Planen der Bereitstellung von Asr-Regeln (Attack Surface Reduction, Verringerung der Angriffsfläche)

Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Dieser Artikel ist Teil des Bereitstellungsleitfadens für Regeln zur Verringerung der Angriffsfläche.

Bevor Sie Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) testen oder aktivieren, planen Sie Ihre Bereitstellung. In diesem Artikel wird eine Planungsmethodik beschrieben, die Sie an Ihre Geschäftsanforderungen anpassen können.

Tipp

In der Regel können Sie die Standardschutzregeln im Block- oder Warnmodus ohne Tests aktivieren. Sie sollten andere ASR-Regeln im Überwachungsmodus testen, bevor Sie sie in den Block- oder Warnmodus wechseln. Weitere Informationen finden Sie im Bereitstellungshandbuch für ASR-Regeln.

Infrastrukturanforderungen für das Bereitstellungshandbuch

Obwohl es mehrere Möglichkeiten gibt, ASR-Regeln zu aktivieren, basiert dieser Bereitstellungsleitfaden auf einer Infrastruktur, die Folgendes verwendet:

Microsoft Entra-ID
Microsoft Intune
Windows 10- und Windows 11-Geräte
Microsoft Defender for Endpoint E5- oder Windows E5-Lizenzen

Verwenden Sie eine Microsoft 365 E5-, Windows E5- oder Microsoft 365 A5-Lizenz, um ASR-Regeln und -Berichte in vollem Umfang nutzen zu können. Weitere Informationen finden Sie unter Mindestanforderungen für Microsoft Defender for Endpoint.

Hinweis

Wenn Sie von einem nicht von Microsoft stammenden Host Intrusion Prevention System (HIPS) zu Microsoft Defender Antivirus- und ASR-Regeln wechseln, führen Sie die HIPS-Lösung zusammen mit ASR-Regeln aus, bis Sie während der Implementierungsphase Regeln im Blockierungsmodus aktivieren. Wenden Sie sich an den Anbieter von Antivirenlösungen, um Ausschlussempfehlungen zu erfahren.

Schritt 1: Identifizieren von Geschäftseinheiten

Wie Sie die erste Geschäftseinheit auswählen, die ASR-Regeln in der Testphase erhält, hängt von den folgenden Faktoren ab:

Größe der Geschäftseinheit (kleiner ist einfacher zu verwalten)
Verfügbarkeit von ASR-Regelexperten
Verteilung und Verwendung der betroffenen Software. Zum Beispiel:
- Software
- Freigegebene Ordner
- Skripts
- Office-Makros

Ihre geschäftlichen Anforderungen können eindeutig eine der folgenden Optionen diktieren:

Schließen Sie mehrere Geschäftseinheiten ein, um eine umfassende Stichprobe von Software, freigegebenen Ordnern, Skripts, Makros und branchenspezifischen Apps zu erhalten, die sich auf ASR-Regeln auswirken könnten.
Beschränken Sie den anfänglichen Bereich auf eine einzelne Geschäftseinheit, bearbeiten Sie alle Probleme in dieser Geschäftseinheit, und wiederholen Sie dann den Rollout für andere Geschäftseinheiten einzeln.

Schritt 2: Identifizieren von ASR-Regelexperten

ASR-Regelexperten sind Personen in den betroffenen Geschäftseinheiten, die Ihnen während der vorläufigen Test- und Implementierungsphase helfen können. In der Regel verfügt ein Champion über mehr technische Fähigkeiten und hat nichts gegen zeitweilige Workflowausfälle. Die Einbindung von Champions setzt sich während der umfassenderen Erweiterung der Bereitstellung von ASR-Regeln auf Ihre organization fort. Ihre ASR-Regelexperten sind die ersten, die jede Ebene des Rollouts von ASR-Regeln erleben.

Es ist wichtig, einen Feedback- und Antwortkanal für Ihre ASR-Regelexperten bereitzustellen, um Sie bei Arbeitsunterbrechungen zu benachrichtigen und AsR-Regel-Rolloutkommunikation zu erhalten.

Schritt 3: Inventarisieren branchenspezifischer Apps und Verstehen der Geschäftseinheitenprozesse

Ein vollständiges Verständnis der Apps und Geschäftsprozesse in Ihrem organization ist entscheidend für eine erfolgreiche Bereitstellung von ASR-Regeln. Es ist unerlässlich, dass Sie verstehen, wie diese Apps in den verschiedenen Geschäftseinheiten In Ihrem organization verwendet werden.

Inventarisieren Sie die genehmigten Apps in Ihrem organization. Sie können Tools wie das Microsoft 365 Apps Admin Center verwenden. Weitere Informationen finden Sie unter Übersicht über den Bestand im Microsoft 365 Apps Admin Center.

Hinweis

Einige ASR-Regeln funktionieren nicht gut, wenn Sie häufig nicht signierte, intern entwickelte Apps und Skripts verwenden. Es ist schwieriger, ASR-Regeln bereitzustellen, wenn Sie keine Codesignatur erzwingen.

Schritt 4: Definieren der Rollen und Zuständigkeiten des Teams für Berichterstellung und Reaktion auf ASR-Regeln

Legen Sie die Rollen und Verantwortlichkeiten für die Überwachung und Kommunikation von ASR-Regeln status und Aktivitäten klar fest. Daher ist es wichtig, Folgendes zu bestimmen:

Wer ist für das Sammeln von Berichten verantwortlich?
Wie und für wen Berichte freigegeben werden.
Eskalieren und Behandeln neuer Bedrohungen oder unerwünschter Blöcke durch ASR-Regeln

Typische Rollen und Zuständigkeiten sind:

IT-Administratoren: Implementieren Sie ASR-Regeln und verwalten Sie Ausschlüsse. Arbeiten Sie mit verschiedenen Geschäftseinheiten an Apps und Prozessen. Erstellen und Freigeben von Berichten für Projektbeteiligte.
Zertifizierte CsOC-Analysten (Security Operations Center): Untersuchen Sie blockierte Prozesse mit hoher Priorität.
Chief Information Security Officer (CISO): Verantwortlich für den allgemeinen Sicherheitsstatus und die Integrität der organization.

Schritt 5: Definieren von ASR-Regelbereitstellungsringen

Für große Unternehmen stellen Sie ASR-Regeln in Ringen bereit. Sie definieren Ringe durch die Bewertung Ihrer Geschäftseinheiten, ASR-Regelexperten, Apps und Prozesse. Nachdem Sie ASR-Regeln erfolgreich im ersten Ring bereitgestellt haben, können Sie zum nächsten Ring in die Testphase wechseln usw. Wenn Sie bereits Ringe für den stufenweisen Rollout von Windows-Updates definiert haben, können Sie diese Ringe wahrscheinlich zum Bereitstellen von ASR-Regeln verwenden.

Weitere Informationen zu Ringen finden Sie unter Windows: Erstellen eines Bereitstellungsplans.

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-23