Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel ist Teil des Bereitstellungsleitfadens für Regeln zur Verringerung der Angriffsfläche.
Das Testen von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) ist ein wichtiger Schritt in Ihrer Bereitstellung. Sie müssen ermitteln, ob ASR-Regeln Ihre branchenspezifischen Apps blockieren. Indem Sie mit einer kleinen, kontrollierten Gruppe beginnen, können Sie potenzielle Arbeitsunterbrechungen begrenzen, wenn Sie die Bereitstellung auf Ihre organization erweitern.
Hinweis
Bevor Sie mit der Testphase Ihrer BEREITSTELLUNG von ASR-Regeln beginnen, deaktivieren Sie alle zugehörigen ASR-Regeln, die derzeit im Block - oder Warnmodus aktiviert sind (falls zutreffend). Informationen zur Verwendung des Berichts zum Suchen aktivierter ASR-Regeln finden Sie unter Berichte zu Regeln zur Verringerung der Angriffsfläche.
Wie im folgenden Diagramm dargestellt, beginnen Sie mit der Bereitstellung von ASR-Regeln mit Ring 1.
Bewerten und Bewerten von Regeln vor der Bereitstellung
In Defender für Endpunkt Plan 2 zeigt Microsoft Defender Vulnerability Management sicherheitsbezogene Sicherheitsempfehlungen für ASR-Regeln an, die allgemeine Auswirkungsindikatoren bereitstellen können (z. B. ob die Überwachungsaktivität geräteübergreifend beobachtet wurde).
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzuEmpfehlungen für das Risikoverwaltung> (oder direkt zur Seite Sicherheitsempfehlungen unter https://security.microsoft.com/exposure-recommendations). Wählen Sie auf der Seite Sicherheitsempfehlungen eine ASR-Regel aus, um das Details-Flyout zu öffnen, und wählen Sie dann die Registerkarte Geräte aus. Der Wert user impact (Benutzerauswirkung ) zeigt den Prozentsatz der Geräte an, die eine neue Richtlinie akzeptieren können, die die Regel im Blockmodus aktiviert, ohne die Produktivität zu beeinträchtigen.
Hinweis
Um die potenziellen Auswirkungen einer ASR-Regel genau zu bewerten, bevor Sie sie im Block - oder Warn-Modus aktivieren, müssen Sie Überwachungsmodusdaten und detaillierte Berichte überprüfen, z. B. den Bericht zur Regel zur Verringerung der Angriffsfläche oder erweiterte Huntingdaten.
Schritt 1: Testen aller ASR-Regeln im Überwachungsmodus
Hinweis
Wie bereits beschrieben, können Sie die Standardschutzregeln in der Regel ohne Tests im Block- oder Warnmodus aktivieren.
Aktivieren Sie in der Regel alle ASR-Regeln gleichzeitig im Überwachungsmodus , damit Sie bestimmen können, welche Regeln durch alltägliche Geschäftsaktivitäten ausgelöst werden. Beginnen Sie mit Ihren ASR-Regel-Champions oder -Geräten in Ring 1.
ASR-Regeln im Überwachungsmodus wirken sich nicht auf Benutzer aus. Die Regeln generieren jedoch protokollierte Ereignisse, die Sie auswerten können.
Wenn Ihr organization über Microsoft Intune verfügt (in Abonnements wie Microsoft 365 E5 enthalten oder als Add-On verfügbar), verwenden Sie die Sicherheitsrichtlinie endpunktverringernde von Angriffsflächen in Intune, um ASR-Regeln im Überwachungsmodus zu konfigurieren und zu verteilen. Anweisungen finden Sie unter Konfigurieren von ASR-Regeln und -Ausschlüssen in Intune mithilfe von Endpunktsicherheitsrichtlinien.
Wenn Sie nicht über Intune verfügen, sind andere ASR-Regelbereitstellungsmethoden verfügbar:
- Microsoft Configuration Manager
- Alle MDM-Lösungen, die den Richtlinien-CSP verwenden
- Gruppenrichtlinie
- PowerShell
Tipp
Die Bereitstellungsmethode, die Sie für ASR-Regeln verwenden, wirkt sich nicht auf Berichtsdaten aus, solange die Geräte in Defender für Endpunkt registriert sind.
Schritt 2: Überprüfen der ASR-Regeldaten und Bewerten der Auswirkungen
Nachdem ASR-Regeln im Überwachungsmodus bereitgestellt wurden, überprüfen Sie die ausgelösten Ereignisse, um deren Auswirkungen zu bewerten und potenzielle Ausschlüsse mithilfe einiger oder aller der folgenden Methoden zu identifizieren:
Verwenden Sie in Defender für Endpunkt Plan 2 oder Microsoft Defender for Business den Bericht angriffsflächenverringerte Regeln im Microsoft Defender-Portal. Vollständige Informationen finden Sie unter Bericht zu Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR).
Verwenden Sie in Defender für Endpunkt Plan 2 die erweiterte Suche, um ASR-Regelereignisse zu finden. Weitere Informationen finden Sie unter ASR-Regelereignisse in Der erweiterten Suche.
Verwenden Sie in Defender für Endpunkt Plan 2 oder Defender for Business die Defender für Endpunkt-Zeitleiste. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Zeitleiste.
Andernfalls sind ASR-Regelereignisse nur in Windows Ereignisanzeige auf dem lokalen Gerät verfügbar. Sie können jedoch die Windows-Ereignisweiterleitung verwenden, um die ASR-Regeldatensammlung zu zentralisieren.
Suchen Sie insbesondere nach ereignis-ID 1122 im Anwendungs- und Dienstprotokoll>Microsoft>Windows>WindowsDefender-Betriebsprotokoll> (Ereignisse für Regeln im Überwachungsmodus). Eine vollständige Liste der ASR-Regelereignis-IDs und detaillierte Schritte finden Sie unter Anzeigen von Ereignissen zur Verringerung der Angriffsfläche in Windows Ereignisanzeige.
Schritt 3: Konfigurieren von ASR-Regelausschlüssen
Nachdem Sie ASR-Regeldaten im Überwachungsmodus überprüft haben, stellen Sie möglicherweise fest, dass einige ASR-Regeln legitime Geschäfts-Apps oder -Aktivitäten blockieren (als falsch positive Ergebnisse bezeichnet). Sie können Ausschlüsse hinzufügen, um zu verhindern, dass ASR-Regeln die betroffenen Dateien oder Ordner auswerten.
Eine Übersicht über unterstützte Ausschlusstypen für ASR-Regeln finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.
Wenn Sie in Microsoft Intune zum Bereitstellen der ASR-Regeln eine Endpunktsicherheitsrichtlinie zur Verringerung der Angriffsfläche verwendet haben, verwenden Sie dieselbe Richtlinie zum Konfigurieren von ASR-Regelausschlüssen. Anweisungen finden Sie unter Konfigurieren von ASR-Regeln und -Ausschlüssen in Intune mithilfe von Endpunktsicherheitsrichtlinien.
Wenn Sie eine andere Methode zum Bereitstellen der ASR-Regeln verwendet haben, verwenden Sie dieselbe Methode, um ASR-Regelausschlüsse zu konfigurieren:
- Microsoft Configuration Manager
- Gruppenrichtlinie
- Alle MDM-Lösungen, die den Richtlinien-CSP verwenden
- PowerShell
Tipp
Regelausschlüsse sind besser als das Deaktivieren von Regeln oder das Zurückwechseln in den Überwachungsmodus . Nutzen Sie den Warnmodus in verfügbaren Regeln, um Unterbrechungen zu begrenzen, ohne die Regel vollständig zu deaktivieren. Weitere Informationen finden Sie unter Modi für ASR-Regeln.
Verwandte Inhalte
- Regelbereitstellungshandbuch zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Planen der Bereitstellung von Asr-Regeln (Attack Surface Reduction, Verringerung der Angriffsfläche)
- Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) aktivieren
- Verwalten und Überwachen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Bericht zu Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche
- Referenz zu den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)