Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Minskning av attackytan är en uppsättning funktioner i Microsoft Defender för Endpoint som eliminerar riskfyllda eller onödiga beteenden på enheter och nätverk, vilket minskar de möjligheter som angripare har att kompromettera din organisation. Attackytor är alla platser där din organisation är sårbar för cyberhot. Genom att härda dessa ytor kan du förhindra att attacker sker i första hand.
Dessa funktioner blockerar riskfyllda programvarubeteenden, förhindrar anslutningar till skadliga webbplatser och skyddar data från obehörig åtkomst eller exfiltrering. Tillsammans utgör de ett lagerskydd som kompletterar identifierings- och svarsfunktionerna i Defender för Endpoint.
Funktioner för minskning av attackytan
Minskning av attackytan i Defender för Endpoint innehåller följande funktioner:
Regler för minskning av attackytan (ASR) begränsar riskfyllda programvarubeteenden som angripare utnyttjar, till exempel att starta körbara filer som försöker ladda ned filer, köra fördunklade skript eller utföra åtgärder som appar normalt inte initierar under det dagliga arbetet. Mer information finns i Översikt över regler för minskning av attackytan (ASR).
Kontrollerad mappåtkomst skyddar värdefulla data från skadliga appar och hot som utpressningstrojaner. Den kontrollerar appar mot en lista över kända, betrodda appar och förhindrar att ej betrodda appar ändrar filer i skyddade mappar. Mer information finns i Skydda viktiga mappar med kontrollerad mappåtkomst.
Exploateringsskydd tillämpar tekniker för att minska exploateringen på operativsystemprocesser och appar automatiskt. Den bygger på de skydd som var tillgängliga i EMET (Enhanced Mitigation Experience Toolkit) och integreras med Defender för Endpoint för rapportering och aviseringar. Mer information finns i Skydda enheter från kryphål.
Nätverksskydd förhindrar anslutningar till skadliga eller misstänkta domäner och IP-adresser. Den utökar Microsoft Defender SmartScreen-skydd för att blockera all utgående HTTP(S)-trafik som försöker ansluta till källor med lågt rykte. Mer information finns i Nätverksskydd.
Webbskydd skyddar enheter mot webbhot och hjälper till att reglera oönskat innehåll. Webbskydd omfattar skydd mot webbhot, webbinnehållsfiltrering och anpassade indikatorer. Mer information finns i Webbskydd.
Webbinnehållsfiltrering spårar och reglerar åtkomsten till webbplatser baserat på deras innehållskategorier, så att du kan blockera kategorier som bryter mot efterlevnadsregler eller organisationsprinciper. Mer information finns i Webbinnehållsfiltrering.
Enhetskontroll avgör om användare kan installera och använda kringutrustning som USB-enheter, skrivare och Bluetooth-enheter på sina datorer. Enhetskontroll hjälper till att förhindra dataförlust och skadlig kod från flyttbara medier. Mer information finns i Enhetskontroll i Microsoft Defender för Endpoint.
Rapportering av nätverksbrandväggar integreras med Windows-brandväggen för att ge central insyn i brandväggshändelser i Microsoft Defender-portalen. Mer information finns i Rapportering av värdbrandvägg.
Tillgängligheten för dessa funktioner sammanfattas i följande tabell:
| Funktion | Windows | macOS | Linux |
|---|---|---|---|
| ASR-regler | J | N | N |
| Reglerad mappåtkomst | J | N | N |
| Exploateringsskydd | J | N | N |
| Nätverksskydd | J | J | J* |
| Webbskydd | J | J | J* |
| Filtrering av webbinnehåll | J | J | J |
| Enhetskontroll | J | J | N |
| Brandväggsrapportering | J | N | N |
* För närvarande i förhandsversion.
Relaterade Säkerhetsfunktioner i Windows
Följande Windows-säkerhetsfunktioner kompletterar minskning av attackytan i Defender för Endpoint, men konfigureras och hanteras separat:
- Microsoft Defender Application Guard tillhandahåller maskinvarubaserad isolering för Microsoft Edge och öppnar ej betrodda platser i en container för att skydda din organisation. Mer information finns i Microsoft Defender Application Guard översikt.
- Windows Defender Application Control (WDAC) säkerställer att endast betrodda program körs på dina enheter. Mer information finns i Programkontroll för Windows.
- Windows-brandväggen styr inkommande och utgående nätverkstrafik på enheter. Mer information finns i Windows-brandväggen med avancerad säkerhet.
Så här passar minskning av attackytan in i Defender för Endpoint
Minskning av attackytan kompletterar andra Defender för Endpoint-funktioner som identifierar och svarar på hot när de inträffar. Nästa generations skydd och slutpunktsidentifiering och svar fokuserar på att identifiera och åtgärda aktiva hot, men minskning av attackytan förhindrar att hot får fotfäste.
Varje funktion hanterar en annan del av attackytan:
- Riskfyllt programvarubeteende: ASR-regler begränsar hur program och skript kan bete sig, vilket blockerar vanliga tekniker som angripare använder för att leverera skadlig kod eller stjäla autentiseringsuppgifter.
- Nätverksanslutningar: Nätverksskydd och webbskydd blockerar åtkomst till kända skadliga eller olämpliga webbplatser innan innehållet når enheten.
- Data- och filåtkomst: Kontrollerad mappåtkomst och enhetskontroll begränsar vilka program och maskinvara som kan komma åt eller ändra känsliga filer.
- Sårbarheter i programmet: Sårbarhetsskydd tillämpar åtgärder som gör det svårare för angripare att utnyttja sårbarheter i operativsystemprocesser och program.
Granskningsläge
Granskningsläget hjälper dig att utvärdera effekten av funktioner för minskning av attackytan i din miljö utan att påverka produktiviteten. Följande funktioner stöder granskningsläge:
- Regler och undantag för minskning av attackytan (ASR)
- Kontrollerad mappåtkomst
- Exploateringsskydd
- Nätverksskydd
I granskningsläge blockerar inte funktionerna appar, skript eller anslutningar. I stället registrerar Windows-händelseloggen händelser som om funktionerna var aktiva. Du kan granska händelseloggar och använda avancerad jakt i Microsoft Defender-portalen för att förstå hur varje funktion skulle påverka dina verksamhetsspecifika program. Mer information om data i Windows Loggboken finns i Visa händelser för minskning av attackytan i Windows Loggboken.
Hanteringsverktyg
Du kan konfigurera funktioner för minskning av attackytan med hjälp av flera hanteringsverktyg. Följande verktyg används ofta:
- Microsoft Intune
- Microsoft Configuration Manager
- Grupprincip
- PowerShell-cmdletar
Rätt verktyg beror på organisationens infrastruktur och hanteringsinställningar. Detaljerad konfigurationsvägledning finns i de enskilda funktionsartiklarna som är länkade i avsnittet Funktioner för minskning av attackytan .
Relaterat innehåll
- Översikt över regler för minskning av attackytan (ASR)
- Regler för minskning av attackytan (ASR): Distributionsguide
- Händelser för minskning av attackytan i Windows Loggboken
- Skydda viktiga mappar med kontrollerad mappåtkomst
- Skydda enheter från exploatering
- Nätverksskydd
- Webbskydd
- Enhetskontroll i Microsoft Defender för Endpoint