Vanliga frågor och svar om minskning av attackytan

Ja. Regler för minskning av attackytan (ASR) är en funktion i Microsoft Defender Antivirus, som ingår i alla aktuella utgåvor av Windows. Centraliserad hantering och rapportering för ASR-regler kräver dock Microsoft Defender för Endpoint. Mer information finns i Översikt över regler för minskning av attackytan.

Nej. ASR-regler är en funktion i Microsoft Defender Antivirus, så de fungerar på alla aktuella utgåvor av Windows. Centraliserad hantering och rapportering via Microsoft Intune eller Microsoft Configuration Manager kräver dock Microsoft Defender för Endpoint och motsvarande företagslicensiering.

Mer information om Windows-licensiering finns i https://www.microsoft.com/licensing/product-licensing/windows.

Microsoft Defender för Endpoint tillhandahåller centraliserad hantering och övervakning för ASR-regler, inklusive:

• Centraliserad distribution och konfiguration av ASR-regler mellan enheter.
• ASR-regelrapportering och aviseringssynlighet i Microsoft Defender-portalen.
• Avancerade jaktfrågor för ASR-regelhändelser.

Dessa funktioner kräver en Defender för Endpoint-licens (till exempel som en del av Microsoft 365 E3 eller E5). Mer information finns i Distributions- och konfigurationsmetoder för ASR-regler.

Mer information finns i Referens för regler för minskning av attackytan.

Du kan aktivera ASR-regler individuellt. Vi rekommenderar att du först aktiverar de flesta regler i granskningsläge för att fastställa den möjliga effekten för din organisation (till exempel för dina verksamhetsspecifika program).

ASR-regler stöder följande typer av undantag:

• Globala ASR-regelundantag gäller för alla ASR-regler. Alla konfigurationsmetoder för ASR-regler stöder globala undantag.
• Regelundantag per ASR gäller för enskilda regler, så du kan tilldela olika undantag till olika regler. Endast grupprincip- och slutpunktssäkerhetsprinciper i Microsoft Intune stöder undantag per regel.

Alla ASR-regler respekterar inte Microsoft Defender antivirusundantag. En fullständig uppdelning av undantagsstöd per regel finns i Fil- och mappundantag för ASR-regler.

Olika regler för minskning av attackytan har olika skyddsflöden. Tänk alltid på vad regeln för minskning av attackytan skyddar mot och hur körningsflödet fungerar. Till exempel kan läsning direkt från LSASS-processen (local security authority subsystem) vara en säkerhetsrisk, eftersom den kan exponera företagets autentiseringsuppgifter.

Regeln Blockera stöld av autentiseringsuppgifter från undersystemet windows local security authority (lsass.exe) förhindrar att obetrodda processer har direkt åtkomst till LSASS-minne. När en process med PROCESS_VM_READ åtkomstbehörigheten försöker använda OpenProcess() funktionen för att få åtkomst till LSASS blockerar regeln specifikt åtkomsträtten enligt följande skärmbild:

Om du behöver skapa ett undantag för processen som blockerades använder du filnamnet och den fullständiga sökvägen enligt följande skärmbild:

Värdet 0 innebär att ASR-regler ignorerar den angivna filen eller processen och inte blockerar eller granskar den.

Regelundantag per ASR stöds endast i grupprincip- och slutpunktssäkerhetsprinciper i Microsoft Intune. Konfigurationsinstruktioner finns i Aktivera regler för minskning av attackytan. Information om de olika typerna av undantag finns i Fil- och mappundantag för ASR-regler.

I allmänhet rekommenderar vi att du aktiverar alla regler, men med följande överväganden:

• Vanligtvis kan du aktivera följande standardskyddsregler i blockeringsläge utan att testa i granskningsläge :

  • Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet)
  • Blockera stöld av autentiseringsuppgifter från undersystemet Windows lokal säkerhetsmyndighetObs! Om du har aktiverat LSA-skydd (Local Security Authority) (som vi rekommenderar tillsammans med Credential Guard) är den här regeln redundant.
  • Blockera beständighet via WMI-händelseprenumerationObs! Klienten för Microsoft Configuration Manager (eller tidigare versioner) är starkt beroende av WMI, så vi rekommenderar omfattande testning i granskningsläge innan du aktiverar den här regeln i blockeringsläge.

  Mer information om var och en av dessa regler finns i Standardskyddsregler.

• Alla andra regler kräver testning i granskningsläge innan du aktiverar dem i blockeringsläge . Mer information om var och en av dessa regler finns i Andra ASR-regler.

Testa regler för minskning av attackytan i granskningsläge för att identifiera verksamhetsspecifika program som du behöver undanta från minskning av attackytan.

Stora organisationer bör överväga att distribuera regler för minskning av attackytan i expanderande "ringar" där du granskar och aktiverar regler för fler enheter. Du kan ordna enheter i ringar med hjälp av Microsoft Intune eller ett grupprincip hanteringsverktyg.

Anvisningar finns i Distributionsöversikt över regler för minskning av attackytan.

En regel i granskningsläge i cirka 30 dagar bör ge en bra baslinje för hur regeln fungerar. Du kan identifiera alla verksamhetsspecifika program som kräver undantag.

I de flesta fall är det enklare och bättre att börja med de baslinjerekommendationer som föreslås av Defender för Endpoint än att försöka importera regler från en annan säkerhetslösning. Använd Granskningsläge , övervakning och analys för att konfigurera Defender för Endpoint.

Standardkonfigurationen för de flesta regler för minskning av attackytan, i kombination med Defender för Endpoints realtidsskydd, skyddar mot ett stort antal sårbarheter och sårbarheter.

I Defender för Endpoint kan du uppdatera ditt försvar med anpassade indikatorer för att tillåta och blockera specifika programvarubeteenden. ASR-regler stöder även fil- och mappundantag. Testa vanligtvis en regel i granskningsläge för att identifiera undantag som kan krävas för verksamhetsspecifika program.

Ja. Mer information finns i följande artiklar:

• Fil- och mappundantag för ASR-regler
• Konfigurera och validera undantag baserat på filnamnstillägg och mappplats.

Det beror på regeln. De flesta regler omfattar beteendet för Microsoft Office-produkter och -tjänster, till exempel Word, Excel, PowerPoint, OneNote eller Outlook. Vissa regler (till exempel Blockera körning av potentiellt dolda skript) är mer allmänna i omfånget.

Nej. Minskning av attackytan använder Microsoft Defender Antivirus för att blockera appar. Du kan inte konfigurera minskning av attackytan för att använda en annan säkerhetslösning.

När en regel för minskning av attackytan utlöser ett meddelande lokalt skickas även en rapport om händelsen till Defender för Endpoint-portalen. Om du har problem med att hitta händelsen kan du filtrera tidslinjen för händelser med hjälp av sökrutan.

Du kan också visa händelser för minskning av attackytan genom att välja Gå till hantering av attackytan från Konfigurationshantering i aktivitetsfältet Microsoft Defender för molnet. Sidan för hantering av attackytan innehåller en flik för rapportidentifieringar, som innehåller en fullständig lista över regelhändelser för minskning av attackytan som rapporteras till Defender för Endpoint.

Försök att öppna indexeringsalternativen direkt från Windows 10 eller senare genom att ange indexeringsalternativ i sökrutan.

Nej. Microsofts molnskydd upprätthåller kriterierna med hjälp av data som samlas in från hela världen. Du kan anpassa regeln genom att lägga till appar i undantagslistan för att förhindra att regeln utlöses.

Den här regeln avgör ryktet för en app med användning av prevalens, ålder eller inkludering i en lista över betrodda appar. Utvärdering av dessa kriterier av Microsofts molnskydd avgör slutligen beslutet att blockera eller tillåta en app.

Normalt kan molnskydd avgöra att en ny version av en app liknar tidigare versioner av appen, så en lång omvärdering av appen krävs inte. Det kan dock ta tid för den nya versionen av appen att skapa ett rykte, särskilt efter en större uppdatering. Under tiden kan du lägga till appen i undantagslistan. Om du ofta uppdaterar och arbetar med nya versioner av appar kan du överväga att konfigurera den här regeln i granskningsläge .

Ett meddelande som genereras av den här regeln indikerar inte nödvändigtvis skadlig aktivitet. Men den här regeln är fortfarande användbar för att blockera skadlig aktivitet. Skadlig kod riktar sig ofta mot lsass.exe för att få olaglig åtkomst till konton. Den lsass.exe processen lagrar användarautentiseringsuppgifter i minnet efter att en användare har loggat in. Windows använder dessa autentiseringsuppgifter för att verifiera användare och tillämpa lokala säkerhetsprinciper.

Eftersom många legitima processer anropar lsass.exe för autentiseringsuppgifter kan den här regeln vara särskilt bullrig. Om en känd, legitim app gör att den här regeln genererar ett överdrivet antal meddelanden kan du lägga till den i undantagslistan. De flesta andra regler för minskning av attackytan genererar ett relativt mindre antal meddelanden.

Nej. Om du har aktiverat LSA-skydd (Local Security Authority) (som vi rekommenderar tillsammans med Credential Guard):

• Den här regeln krävs inte.
• Den här regeln ger inte extra skydd (regeln och LSA-skyddet fungerar på samma sätt).
• Den här regeln klassificeras som inte tillämplig i inställningarna för Defender för Endpoint-hantering i Microsoft Defender-portalen.

Om du inte kan aktivera LSA-skydd och/eller Credential Guard kan du konfigurera den här regeln så att den ger motsvarande skydd mot skadlig kod som riktar sig lsass.exemot .

• Översikt över regler för minskning av attackytan (ASR)
• Referens för regler för minskning av attackytan (ASR)
• Regler för minskning av attackytan (ASR): Distributionsguide
• Övervaka regelaktivitet för minskning av attackytan (ASR)
• Konfigurera regler för minskning av attackytan (ASR)