Genegeerd
Is het verminderen van kwetsbaarheid voor aanvallen een onderdeel van Windows?
Ja. ASR-regels (Attack Surface Reduction) zijn een functie van Microsoft Defender Antivirus, dat is opgenomen in alle huidige edities van Windows. Gecentraliseerd beheer en rapportage voor ASR-regels vereist echter Microsoft Defender voor Eindpunt. Zie Overzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie.
Heb ik een enterprise-licentie nodig om regels voor het verminderen van kwetsbaarheid voor aanvallen uit te voeren?
Nee. ASR-regels zijn een functie van Microsoft Defender Antivirus, dus ze werken op alle huidige edities van Windows. Gecentraliseerd beheer en rapportage via Microsoft Intune of Microsoft Configuration Manager vereist echter Microsoft Defender voor Eindpunt en de bijbehorende enterprise-licenties.
Zie https://www.microsoft.com/licensing/product-licensing/windowsvoor meer informatie over Windows-licenties.
Welke extra mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen zijn beschikbaar met Microsoft Defender voor Eindpunt?
Microsoft Defender voor Eindpunt biedt gecentraliseerd beheer en bewaking voor ASR-regels, waaronder:
- Gecentraliseerde implementatie en configuratie van ASR-regels op verschillende apparaten.
- ASR-regelrapportage en zichtbaarheid van waarschuwingen in de Microsoft Defender-portal.
- Geavanceerde opsporingsquery's voor ASR-regel gebeurtenissen.
Voor deze mogelijkheden is een Defender for Endpoint-licentie vereist (bijvoorbeeld als onderdeel van Microsoft 365 E3 of E5). Zie Implementatie- en configuratiemethoden voor ASR-regels voor meer informatie.
Wat zijn de momenteel ondersteunde regels voor het verminderen van kwetsbaarheid voor aanvallen?
Zie Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie.
Moet ik alle regels voor het verminderen van kwetsbaarheid voor aanvallen tegelijkertijd inschakelen of kan ik afzonderlijke regels inschakelen?
U kunt ASR-regels afzonderlijk inschakelen. We raden u aan om eerst de meeste regels in te schakelen in de controlemodus om het mogelijke effect op uw organisatie te bepalen (bijvoorbeeld voor uw Line-Of-Business-toepassingen).
Hoe werken uitsluitingen van regels voor het verminderen van kwetsbaarheid voor aanvallen?
ASR-regels ondersteunen de volgende typen uitsluitingen:
- Algemene uitsluitingen van ASR-regels zijn van toepassing op alle ASR-regels. Alle configuratiemethoden voor ASR-regels ondersteunen globale uitsluitingen.
- Uitsluitingen per ASR-regel zijn van toepassing op afzonderlijke regels, zodat u verschillende uitsluitingen kunt toewijzen aan verschillende regels. Alleen groepsbeleid- en eindpuntbeveiligingsbeleid in Microsoft Intune bieden ondersteuning voor uitsluitingen per regel.
Niet alle ASR-regels gelden Microsoft Defender Antivirus-uitsluitingen. Zie Bestands- en mapuitsluitingen voor ASR-regels voor een volledige uitsplitsing van de uitsluitingsondersteuning per regel.
Hoe kan ik weet wat ik moet uitsluiten?
Verschillende regels voor het verminderen van kwetsbaarheid voor aanvallen hebben verschillende beveiligingsstromen. Denk altijd na over waar de regel voor het verminderen van kwetsbaarheid voor aanvallen tegen beschermt en hoe de uitvoeringsstroom werkt. Het rechtstreeks lezen van het LSASS-proces (Local Security Authority Subsystem) kan bijvoorbeeld een beveiligingsrisico zijn, omdat hierdoor bedrijfsreferenties kunnen worden weergegeven.
De regel Referentie stelen blokkeren van het windows-subsysteem (lsass.exe) voorkomt dat niet-vertrouwde processen directe toegang hebben tot LSASS-geheugen. Wanneer een proces met het PROCESS_VM_READ toegangsrecht de OpenProcess() functie probeert te gebruiken om toegang te krijgen tot LSASS, blokkeert de regel specifiek dat toegangsrecht, zoals wordt weergegeven in de volgende schermopname:
Als u een uitzondering wilt maken voor het proces dat is geblokkeerd, gebruikt u de bestandsnaam en het volledige pad, zoals wordt weergegeven in de volgende schermopname:
De waarde 0 betekent dat ASR-regels het opgegeven bestand of proces negeren en het niet blokkeren of controleren.
Hoe kan ik uitsluitingen per regel configureren?
Uitsluitingen per ASR-regel worden alleen ondersteund in groepsbeleid- en eindpuntbeveiligingsbeleid in Microsoft Intune. Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen voor configuratie-instructies. Zie Bestands- en mapuitsluitingen voor ASR-regels voor meer informatie over de verschillende typen uitsluitingen.
Welke regels voor het verminderen van kwetsbaarheid voor aanvallen raadt Microsoft aan?
Over het algemeen raden we u aan om alle regels in te schakelen, maar met de volgende overwegingen:
Normaal gesproken kunt u de volgende standaardbeveiligingsregels inschakelen in de blokmodus zonder te testen in de controlemodus :
- Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren (apparaat)
- Het stelen van referenties uit het Windows-subsysteem voor lokale beveiligingsinstantieblokkeren Opmerking: als u LSA-beveiliging (Local Security Authority) hebt ingeschakeld (die we samen met Credential Guard aanbevelen), is deze regel overbodig.
- Persistentie blokkeren via WMI-gebeurtenisabonnementOpmerking: de client Microsoft Configuration Manager (of vorige versies) is sterk afhankelijk van WMI. Daarom raden we u aan uitgebreid te testen in de controlemodus voordat u deze regel activeert in de blokmodus.
Zie Standaardbeveiligingsregels voor meer informatie over elk van deze regels.
Alle andere regels moeten worden getest in de controlemodus voordat u ze activeert in de blokmodus . Zie Andere ASR-regels voor meer informatie over elk van deze regels.
Wat zijn enkele aanbevelingen om aan de slag te gaan met het verminderen van kwetsbaarheid voor aanvallen?
Test regels voor het verminderen van kwetsbaarheid voor aanvallen in de controlemodus om eventuele Line-Of-Business-toepassingen te identificeren die u moet uitsluiten van kwetsbaarheid voor aanvallen.
Grote organisaties moeten overwegen regels voor het verminderen van kwetsbaarheid voor aanvallen uit te rollen in het uitbreiden van 'ringen' waar u regels controleert en inschakelt voor meer apparaten. U kunt apparaten indelen in ringen met behulp van Microsoft Intune of een groepsbeleid-beheerprogramma.
Zie Overzicht van de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen voor instructies.
Hoe lang moet ik een regel voor het verminderen van kwetsbaarheid voor aanvallen testen in de controlemodus voordat ik deze inschakelen?
Een regel in de controlemodus gedurende ongeveer 30 dagen moet een goede basislijn bieden voor de werking van de regel. U kunt alle Line-Of-Business-toepassingen identificeren waarvoor uitsluitingen zijn vereist.
Ik schakel over van een niet-Microsoft-beveiligingsoplossing naar Microsoft Defender voor Eindpunt. Is er een eenvoudige manier om mijn oude regels te importeren om kwetsbaarheid voor aanvallen te verminderen?
In de meeste gevallen is het gemakkelijker en beter om te beginnen met de basislijnaanbeveling die door Defender voor Eindpunt wordt voorgesteld, dan regels te importeren uit een andere beveiligingsoplossing. Gebruik de controlemodus , bewaking en analyse om Defender voor Eindpunt te configureren.
De standaardconfiguratie voor de meeste regels voor het verminderen van kwetsbaarheid voor aanvallen, in combinatie met de realtime-beveiliging van Defender for Endpoint, beschermt tegen een groot aantal aanvallen en beveiligingsproblemen.
In Defender voor Eindpunt kunt u uw verdediging bijwerken met aangepaste indicatoren om specifiek softwaregedrag toe te staan en te blokkeren. ASR-regels ondersteunen ook bestands- en mapuitsluitingen. Over het algemeen test u een regel in de controlemodus om uitsluitingen te identificeren die mogelijk vereist zijn voor Line-Of-Business-toepassingen.
Ondersteunt het verminderen van kwetsbaarheid voor aanvallen uitsluitingen van bestanden of mappen die systeemvariabelen en jokertekens in het pad bevatten?
Ja. Zie de volgende artikelen voor meer informatie:
Gelden regels voor het verminderen van kwetsbaarheid voor aanvallen voor alle apps?
Dit is afhankelijk van de regel. De meeste regels hebben betrekking op het gedrag van Microsoft Office-producten en -services, bijvoorbeeld Word, Excel, PowerPoint, OneNote of Outlook. Sommige regels (bijvoorbeeld De uitvoering van mogelijk verborgen scripts blokkeren) zijn meer algemeen van toepassing.
Biedt vermindering van kwetsbaarheid voor aanvallen ondersteuning voor niet-Microsoft-beveiligingsoplossingen?
Nee. Kwetsbaarheid voor aanvallen verminderen maakt gebruik van Microsoft Defender Antivirus om apps te blokkeren. U kunt het verminderen van kwetsbaarheid voor aanvallen niet configureren voor het gebruik van een andere beveiligingsoplossing.
Ik heb een Windows Enterprise E5-licentie en ik heb enkele regels voor het verminderen van kwetsbaarheid voor aanvallen ingeschakeld met Defender voor Eindpunt. Is het mogelijk dat een gebeurtenis voor het verminderen van kwetsbaarheid voor aanvallen niet wordt weergegeven in de gebeurtenistijdlijn in Defender voor Eindpunt?
Wanneer een regel voor het verminderen van kwetsbaarheid voor aanvallen lokaal een melding activeert, wordt er ook een rapport over de gebeurtenis verzonden naar de Defender voor Eindpunt-portal. Als u problemen ondervindt bij het vinden van de gebeurtenis, kunt u de tijdlijn van gebeurtenissen filteren met behulp van het zoekvak.
U kunt ook gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bekijken door Ga naar aanvalsoppervlakbeheer te selecteren in Configuratiebeheer in de taakbalk Microsoft Defender voor Cloud. De pagina voor het beheer van kwetsbaarheid voor aanvallen bevat een tabblad voor rapportdetecties, met een volledige lijst met regel gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen die zijn gerapporteerd aan Defender voor Eindpunt.
Ik heb een regel toegepast met behulp van groepsbeleid. Wanneer ik de indexeringsopties voor de regel in Microsoft Outlook probeer te controleren, krijg ik de foutmelding 'Toegang geweigerd'.
Probeer de indexeringsopties rechtstreeks vanuit Windows 10 of hoger te openen door Indexeringsopties in het zoekvak in te voeren.
Kan ik de criteria handmatig configureren voor de regel met de naam 'Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor prevalentie, leeftijd of vertrouwde lijst'?
Nee. Microsoft Cloud Protection handhaaft de criteria met behulp van gegevens die zijn verzameld van over de hele wereld. U kunt de regel aanpassen door apps toe te voegen aan de lijst met uitsluitingen om te voorkomen dat de regel wordt geactiveerd.
De regel met de naam 'Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor de prevalentie, leeftijd of vertrouwde lijst' bevindt zich in de blokmodus in mijn organisatie. De regel is begonnen met het blokkeren van een eerder gedeblokkeerde app nadat ik de app heb bijgewerkt. Is er iets mis?
Deze regel bepaalt de reputatie van een app met behulp van prevalentie, leeftijd of opname in een lijst met vertrouwde apps. De beoordeling van deze criteria door Microsoft Cloud Protection bepaalt uiteindelijk de beslissing om een app te blokkeren of toe te staan.
Cloudbeveiliging kan doorgaans bepalen dat een nieuwe versie van een app vergelijkbaar genoeg is met eerdere versies van de app, dus een lange herbeoordeling van de app is niet vereist. Het kan echter even duren voordat de nieuwe versie van de app een reputatie heeft opgebouwd, met name na een grote update. In de tussentijd kunt u de app toevoegen aan de lijst met uitsluitingen. Als u regelmatig nieuwe versies van apps bijwerkt en ermee werkt, kunt u overwegen deze regel te configureren in de controlemodus .
Ik heb onlangs de regel voor het verminderen van kwetsbaarheid voor aanvallen ingeschakeld met de naam Referentie stelen van referenties blokkeren uit het subsysteem van de lokale beveiligingsinstantie van Windows en ik krijg een groot aantal meldingen. Wat gebeurt er?
Een melding die door deze regel wordt gegenereerd, duidt niet noodzakelijkerwijs op schadelijke activiteiten. Maar deze regel is nog steeds handig voor het blokkeren van schadelijke activiteiten. Malware is vaak gericht op lsass.exe om illegale toegang tot accounts te krijgen. In het lsass.exe-proces worden gebruikersreferenties opgeslagen in het geheugen nadat een gebruiker zich heeft aangemeld. Windows gebruikt deze referenties om gebruikers te valideren en lokaal beveiligingsbeleid toe te passen.
Omdat veel legitieme processen lsass.exe voor referenties aanroepen, kan deze regel vooral luidruchtig zijn. Als een bekende, legitieme app ervoor zorgt dat deze regel een overmatig aantal meldingen genereert, kunt u deze toevoegen aan de uitsluitingslijst. De meeste andere regels voor het verminderen van kwetsbaarheid voor aanvallen genereren een relatief kleiner aantal meldingen.
Is het een goed idee om naast LSA-beveiliging de regel Met de naam Referentiediefstal blokkeren van het Windows-subsysteem voor de lokale beveiligingsinstantie in te schakelen?
Nee. Als u LSA-beveiliging (Local Security Authority) hebt ingeschakeld (wat we aanbevelen, samen met Credential Guard):
- Deze regel is niet vereist.
- Deze regel biedt geen extra beveiliging (de regel en LSA-beveiliging werken op dezelfde manier).
- Deze regel is geclassificeerd als niet van toepassing in de beheerinstellingen van Defender for Endpoint in de Microsoft Defender portal.
Als u LSA-beveiliging en/of Credential Guard niet kunt inschakelen, kunt u deze regel configureren om gelijkwaardige bescherming te bieden tegen malware die is gericht op lsass.exe.