Häufig gestellte Fragen (FAQ) zur Verringerung der Angriffsfläche

Ja. Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) sind ein Feature von Microsoft Defender Antivirus, das in allen aktuellen Editionen von Windows enthalten ist. Die zentralisierte Verwaltung und Berichterstellung für ASR-Regeln erfordert jedoch Microsoft Defender for Endpoint. Weitere Informationen finden Sie unter Übersicht über Regeln zur Verringerung der Angriffsfläche.

Nein ASR-Regeln sind ein Feature von Microsoft Defender Antivirus, sodass sie unter allen aktuellen Editionen von Windows funktionieren. Für die zentrale Verwaltung und Berichterstellung über Microsoft Intune oder Microsoft Configuration Manager sind jedoch Microsoft Defender for Endpoint und die entsprechende Unternehmenslizenzierung erforderlich.

Weitere Informationen zur Windows-Lizenzierung finden Sie unter https://www.microsoft.com/licensing/product-licensing/windows.

Microsoft Defender for Endpoint bietet eine zentralisierte Verwaltung und Überwachung für ASR-Regeln, einschließlich:

• Zentralisierte Bereitstellung und Konfiguration von ASR-Regeln auf allen Geräten.
• ASR-Regelberichterstellung und Warnungssichtbarkeit im Microsoft Defender-Portal.
• Erweiterte Suchabfragen für ASR-Regelereignisse.

Diese Funktionen erfordern eine Defender für Endpunkt-Lizenz (z. B. als Teil von Microsoft 365 E3 oder E5). Weitere Informationen finden Sie unter Bereitstellungs- und Konfigurationsmethoden für ASR-Regeln.

Weitere Informationen finden Sie unter Referenz zu Regeln zur Verringerung der Angriffsfläche.

Sie können ASR-Regeln einzeln aktivieren. Es wird empfohlen, zuerst die meisten Regeln im Überwachungsmodus zu aktivieren, um die möglichen Auswirkungen auf Ihre organization (z. B. auf Ihre Branchenanwendungen) zu bestimmen.

ASR-Regeln unterstützen die folgenden Arten von Ausschlüssen:

• Globale ASR-Regelausschlüsse gelten für alle ASR-Regeln. Alle KONFIGURATIONsmethoden für ASR-Regeln unterstützen globale Ausschlüsse.
• Ausschlüsse pro ASR-Regel gelten für einzelne Regeln, sodass Sie verschiedenen Regeln unterschiedliche Ausschlüsse zuweisen können. Nur Gruppenrichtlinie- und Endpunktsicherheitsrichtlinien in Microsoft Intune unterstützen Regelausschlüsse.

Nicht alle ASR-Regeln berücksichtigen Microsoft Defender Antivirus-Ausschlüsse. Eine vollständige Aufschlüsselung der Ausschlussunterstützung pro Regel finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

Verschiedene Regeln zur Verringerung der Angriffsfläche weisen unterschiedliche Schutzabläufe auf. Denken Sie immer daran, vor welchen Schutz die Regel zur Verringerung der Angriffsfläche schützt und wie der Ausführungsablauf funktioniert. Beispielsweise kann das direkte Lesen aus dem LSASS-Prozess (Local Security Authority Subsystem) ein Sicherheitsrisiko darstellen, da dadurch Anmeldeinformationen des Unternehmens verfügbar gemacht werden können.

Die Regel Block credential stealing from the Windows local security authority subsystem (lsass.exe) verhindert, dass nicht vertrauenswürdige Prozesse direkten Zugriff auf LSASS-Arbeitsspeicher haben. Wenn ein Prozess mit dem PROCESS_VM_READ Zugriffsrecht versucht, die Funktion für den OpenProcess() Zugriff auf LSASS zu verwenden, blockiert die Regel dieses Zugriffsrecht speziell, wie im folgenden Screenshot gezeigt:

Wenn Sie eine Ausnahme für den blockierten Prozess erstellen müssen, verwenden Sie den Dateinamen und den vollständigen Pfad, wie im folgenden Screenshot gezeigt:

Der Wert 0 bedeutet, dass ASR-Regeln die angegebene Datei oder den angegebenen Prozess ignorieren und nicht blockieren oder überwachen.

Ausnahmen pro ASR-Regel werden nur in Gruppenrichtlinie- und Endpunktsicherheitsrichtlinien in Microsoft Intune unterstützt. Konfigurationsanweisungen finden Sie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche. Informationen zu den verschiedenen Arten von Ausschlüssen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

Im Allgemeinen wird empfohlen, alle Regeln zu aktivieren, jedoch mit den folgenden Überlegungen:

• In der Regel können Sie die folgenden Standardschutzregeln im Blockierungsmodus aktivieren, ohne im Überwachungsmodus zu testen:

  • Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät)
  • Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-SicherheitsautoritätHinweis: Wenn Sie den Schutz der lokalen Sicherheitsautorität (Local Security Authority, LSA) aktiviert haben (was wir zusammen mit Credential Guard empfehlen), ist diese Regel redundant.
  • Blockpersistenz über WMI-EreignisabonnementHinweis: Der Microsoft Configuration Manager -Client (oder frühere Versionen) basiert stark auf WMI. Daher empfehlen wir umfangreiche Tests im Überwachungsmodus, bevor Sie diese Regel im Blockierungsmodus aktivieren.

  Ausführliche Informationen zu diesen Regeln finden Sie unter Standard Schutzregeln.

• Alle anderen Regeln erfordern Tests im Überwachungsmodus , bevor Sie sie im Blockierungsmodus aktivieren. Ausführliche Informationen zu diesen Regeln finden Sie unter Andere ASR-Regeln.

Testen Sie die Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus , um branchenspezifische Anwendungen zu identifizieren, die Sie von der Verringerung der Angriffsfläche ausschließen müssen.

Große Organisationen sollten die Einführung von Regeln zur Verringerung der Angriffsfläche in Betracht ziehen, um "Ringe" zu erweitern, in denen Sie Regeln für mehr Geräte überwachen und aktivieren. Sie können Geräte mithilfe von Microsoft Intune oder einem Gruppenrichtlinie-Verwaltungstool in Ringen organisieren.

Anweisungen finden Sie unter Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche.

Eine Regel im Überwachungsmodus für etwa 30 Tage sollte eine gute Basis für die Funktionsweise der Regel bieten. Sie können alle branchenspezifischen Anwendungen identifizieren, für die Ausschlüsse erforderlich sind.

In den meisten Fällen ist es einfacher und besser, mit den von Defender für Endpunkt vorgeschlagenen Baselineempfehlungen zu beginnen, anstatt zu versuchen, Regeln aus einer anderen Sicherheitslösung zu importieren. Verwenden Sie den Überwachungsmodus , die Überwachung und die Analyse, um Defender für Endpunkt zu konfigurieren.

Die Standardkonfiguration für die meisten Regeln zur Verringerung der Angriffsfläche in Kombination mit dem Echtzeitschutz von Defender für Endpunkt schützt vor einer großen Anzahl von Exploits und Sicherheitsrisiken.

In Defender für Endpunkt können Sie Ihre Schutzmaßnahmen mit benutzerdefinierten Indikatoren aktualisieren, um bestimmtes Softwareverhalten zuzulassen und zu blockieren. ASR-Regeln unterstützen auch Datei- und Ordnerausschlüsse. Testen Sie im Allgemeinen eine Regel im Überwachungsmodus , um Ausschlüsse zu identifizieren, die für branchenspezifische Anwendungen erforderlich sein können.

Ja. Weitere Informationen finden Sie in den folgenden Artikeln:

• Datei- und Ordnerausschlüsse für ASR-Regeln
• Konfigurieren und überprüfen Sie Ausschlüsse basierend auf der Dateierweiterung und dem Speicherort des Ordners.

Dies hängt von der Regel ab. Die meisten Regeln decken das Verhalten von Microsoft Office-Produkten und -Diensten ab, z. B. Word, Excel, PowerPoint, OneNote oder Outlook. Einige Regeln (z. B. Ausführung potenziell verschleierter Skripts blockieren) sind allgemeiner.

Nein Die Verringerung der Angriffsfläche verwendet Microsoft Defender Antivirus, um Apps zu blockieren. Sie können die Verringerung der Angriffsfläche nicht so konfigurieren, dass eine andere Sicherheitslösung verwendet wird.

Wenn eine Regel zur Verringerung der Angriffsfläche lokal eine Benachrichtigung auslöst, wird auch ein Bericht über das Ereignis an das Defender für Endpunkt-Portal gesendet. Wenn Sie Probleme beim Auffinden des Ereignisses haben, können Sie die Ereignisse Zeitleiste mithilfe des Suchfelds filtern.

Sie können auch Ereignisse zur Verringerung der Angriffsfläche anzeigen, indem Sie in der Microsoft Defender für Cloud-Taskleiste unter Konfigurationsverwaltung die Option Zur Verwaltung der Angriffsfläche wechseln auswählen. Die Seite zur Verwaltung der Angriffsfläche enthält eine Registerkarte für Berichtserkennungen, die eine vollständige Liste der Angreifflächenverringerungsregelereignisse enthält, die an Defender für Endpunkt gemeldet wurden.

Versuchen Sie, die Indizierungsoptionen direkt aus Windows 10 oder höher zu öffnen, indem Sie Indizierungsoptionen in das Suchfeld eingeben.

Nein Microsoft Cloud Protection verwaltet die Kriterien mithilfe von Daten, die aus der ganzen Welt gesammelt werden. Sie können die Regel anpassen, indem Sie Apps zur Ausschlussliste hinzufügen, um zu verhindern, dass die Regel ausgelöst wird.

Diese Regel bestimmt den Ruf einer App anhand von Prävalenz, Alter oder Aufnahme in eine Liste vertrauenswürdiger Apps. Die Bewertung dieser Kriterien durch Microsoft Cloud Protection bestimmt letztendlich die Entscheidung, eine App zu blockieren oder zuzulassen.

In der Regel kann der Cloudschutz bestimmen, dass eine neue Version einer App den vorherigen Versionen der App ähnlich genug ist, sodass eine langwierige Neubewertung der App nicht erforderlich ist. Es kann jedoch einige Zeit dauern, bis die neue Version der App einen Guten Ruf hat, insbesondere nach einem größeren Update. In der Zwischenzeit können Sie die App der Ausschlussliste hinzufügen. Wenn Sie häufig neue Versionen von Apps aktualisieren und damit arbeiten, empfiehlt es sich, diese Regel im Überwachungsmodus zu konfigurieren.

Eine von dieser Regel generierte Benachrichtigung weist nicht unbedingt auf schädliche Aktivitäten hin. Diese Regel ist jedoch immer noch nützlich, um schädliche Aktivitäten zu blockieren. Schadsoftware zielt häufig auf lsass.exe ab, um unerlaubten Zugriff auf Konten zu erhalten. Der lsass.exe Prozess speichert Benutzeranmeldeinformationen im Arbeitsspeicher, nachdem sich ein Benutzer angemeldet hat. Windows verwendet diese Anmeldeinformationen, um Benutzer zu überprüfen und lokale Sicherheitsrichtlinien anzuwenden.

Da viele legitime Prozesse lsass.exe für Anmeldeinformationen aufrufen, kann diese Regel besonders laut sein. Wenn eine bekannte, legitime App bewirkt, dass diese Regel eine übermäßige Anzahl von Benachrichtigungen generiert, können Sie sie der Ausschlussliste hinzufügen. Die meisten anderen Regeln zur Verringerung der Angriffsfläche generieren eine relativ kleinere Anzahl von Benachrichtigungen.

Nein Wenn Sie den Schutz der lokalen Sicherheitsautorität (Local Security Authority, LSA) aktiviert haben (was wir zusammen mit Credential Guard empfehlen):

• Diese Regel ist nicht erforderlich.
• Diese Regel bietet keinen zusätzlichen Schutz (die Regel und der LSA-Schutz funktionieren ähnlich).
• Diese Regel wird in den Defender für Endpunkt-Verwaltungseinstellungen im Microsoft Defender-Portal als nicht zutreffend klassifiziert.

Wenn Sie den LSA-Schutz und/oder Credential Guard nicht aktivieren können, können Sie diese Regel konfigurieren, um einen gleichwertigen Schutz vor Schadsoftware bereitzustellen, die auf abzielt lsass.exe.

• Übersicht über Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Referenz zu den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Regelbereitstellungshandbuch zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Überwachen der Regelaktivität zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Konfigurieren von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)