Oversigt over regler for reduktion af angrebsoverflade

Gælder for:

Platforme

  • Windows

Hvorfor regler for reduktion af angrebsoverfladen er vigtige

Din organisations angrebsoverflade indeholder alle de steder, hvor en hacker kan kompromittere organisationens enheder eller netværk. Reduktion af angrebsoverfladen betyder beskyttelse af organisationens enheder og netværk, hvilket efterlader hackere med færre måder at udføre angreb på. Konfiguration af regler for reduktion af angrebsoverfladen i Microsoft Defender for Endpoint kan hjælpe!

Regler for reduktion af angrebsoverfladen er målrettet bestemte softwarefunktioner, f.eks.:

  • Start af eksekverbare filer og scripts, der forsøger at downloade eller køre filer
  • Kørsel af slørede eller på anden måde mistænkelige scripts
  • Udførelse af funktionsmåder, som apps normalt ikke initierer under normalt dag-til-dag-arbejde

Sådanne software adfærd er nogle gange set i legitime applikationer. Disse funktionsmåder betragtes dog ofte som risikable, fordi de ofte misbruges af hackere via malware. Regler for reduktion af angrebsoverfladen kan begrænse softwarebaserede risikable funktionsmåder og hjælpe med at beskytte din organisation.

Du kan få flere oplysninger om konfiguration af regler for reduktion af angrebsoverfladen under Aktivér regler for reduktion af angrebsoverfladen.

Vurder regelvirkning før udrulning

Du kan vurdere, hvordan en regel for reduktion af angrebsoverfladen kan påvirke dit netværk ved at åbne sikkerhedsanbefalingerne for den pågældende regel i Håndtering af trusler og sikkerhedsrisici.

ASR-anbefalingen

I ruden med anbefalingsoplysninger skal du kontrollere, om brugeren har indflydelse, for at bestemme, hvilken procentdel af dine enheder der kan acceptere en ny politik, der aktiverer reglen i blokeringstilstand, uden at det påvirker produktiviteten negativt.

Se Krav i artiklen "Aktivér regler for reduktion af angrebsoverfladen" for at få oplysninger om understøttede operativsystemer og yderligere kravoplysninger.

Overvågningstilstand til evaluering

Brug overvågningstilstand til at evaluere, hvordan regler for reduktion af angrebsoverfladen ville påvirke din organisation, hvis den er aktiveret. Kør først alle regler i overvågningstilstand, så du kan forstå, hvordan de påvirker dine line of business-programmer. Mange line-of-business-programmer skrives med begrænsede sikkerhedsproblemer, og de kan udføre opgaver på måder, der synes at ligne malware. Ved at overvåge overvågningsdata og tilføje udeladelser for nødvendige programmer kan du udrulle regler for reduktion af angrebsoverfladen uden at reducere produktiviteten.

Advarselstilstand for brugere

(NY!) Før du advarer om tilstandsfunktioner, kan regler for reduktion af angrebsoverfladen, der er aktiveret, indstilles til enten overvågningstilstand eller bloktilstand. Med den nye advarselstilstand kan brugerne se en dialogboks, der angiver, at indholdet er blokeret, når indhold er blokeret af en regel for reduktion af angrebsoverfladen. Dialogboksen giver også brugeren mulighed for at fjerne blokeringen af indholdet. Brugeren kan derefter prøve at udføre handlingen igen, så fuldføres handlingen. Når en bruger fjerner blokeringen af indhold, fjernes blokeringen af indholdet i 24 timer, og blokeringen af genoptages derefter.

Advarselstilstand hjælper din organisation med at have regler for reduktion af angrebsoverfladen på plads uden at forhindre brugerne i at få adgang til det indhold, de har brug for til at udføre deres opgaver.

Krav til advarselstilstand for at fungere

Advarselstilstand understøttes på enheder, der kører følgende versioner af Windows:

Microsoft Defender Antivirus skal køre med beskyttelse i realtid i aktiv tilstand.

Sørg også for, at Microsoft Defender Antivirus og antimalwareopdateringer er installeret.

  • Minimumkrav til udgivelse af platform: 4.18.2008.9
  • Minimumkrav til udgivelse af motor: 1.1.17400.5

Du kan få flere oplysninger og hente dine opdateringer under Opdater til Microsoft Defender-platformen til antimalware.

Tilfælde, hvor advarselstilstand ikke understøttes

Advarselstilstand understøttes ikke for tre regler for reduktion af angrebsoverfladen, når du konfigurerer dem i Microsoft Endpoint Manager. (Hvis du bruger Gruppepolitik til at konfigurere dine regler for reduktion af angrebsoverfladen, understøttes advarselstilstand). De tre regler, der ikke understøtter advarselstilstand, når du konfigurerer dem i Microsoft Endpoint Manager, er som følger:

Advarselstilstand understøttes heller ikke på enheder, der kører ældre versioner af Windows. I disse tilfælde vil regler for reduktion af angrebsoverfladen, der er konfigureret til at køre i advarselstilstand, køre i blokeringstilstand.

Meddelelser og beskeder

Når en regel for reduktion af angrebsoverfladen udløses, vises der en meddelelse på enheden. Du kan tilpasse meddelelsen med dine firmaoplysninger og kontaktoplysninger.

Når visse regler for reduktion af angrebsoverfladen udløses, genereres der også beskeder.

Meddelelser og eventuelle beskeder, der genereres, kan ses på Microsoft 365 Defender-portalen.

Du kan finde specifikke oplysninger om funktionalitet for meddelelser og beskeder under: Oplysninger om regelbeskeder og meddelelser i artiklen Reference til regler for reduktion af angrebsoverflade.

Avancerede hændelser for reduktion af jagt- og angrebsoverfladen

Du kan bruge avanceret jagt til at få vist hændelser for reduktion af angrebsoverfladen. For at strømline mængden af indgående data er det kun unikke processer for hver time, der kan ses med avanceret jagt. Tidspunktet for en hændelse til reduktion af angrebsoverfladen er første gang, at hændelsen ses inden for en time.

Antag f.eks., at der forekommer en hændelse til reduktion af angrebsoverfladen på 10 enheder i løbet af 14:00-timen. Lad os antage, at den første hændelse fandt sted kl. 2:15 og den sidste kl. 2:45. Ved avanceret jagt kan du se én forekomst af hændelsen (selvom den rent faktisk fandt sted på 10 enheder), og tidsstemplet er 14:15.

Du kan finde flere oplysninger om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt.

Reduktion af angrebsoverfladen på tværs af Windows versioner

Du kan angive regler for reduktion af angrebsoverfladen for enheder, der kører en af følgende versioner af Windows:

Selvom regler for reduktion af angrebsoverfladen ikke kræver en Windows E5-licens, får du avancerede administrationsfunktioner, hvis du har Windows E5. De avancerede funktioner – kun tilgængelige i Windows E5 – omfatter:

Disse avancerede funktioner er ikke tilgængelige med en Windows Professional- eller Windows E3-licens. Men hvis du har disse licenser, kan du bruge Logbog og Microsoft Defender Antivirus logge til at gennemse hændelserne for reglen for reduktion af angrebsoverfladen.

Gennemse hændelser for reduktion af angrebsoverfladen på Microsoft 365 Defender-portalen

Defender for Endpoint giver detaljeret rapportering for hændelser og blokke som en del af scenarier med undersøgelse af beskeder.

Du kan forespørge Defender om slutpunktsdata i Microsoft 365 Defender ved hjælp af avanceret jagt.

Her er et eksempel på en forespørgsel:

DeviceEvents
| where ActionType startswith 'Asr'

Gennemse hændelser for reduktion af angrebsoverfladen i Windows Logbog

Du kan gennemse Windows hændelsesloggen for at få vist hændelser, der er genereret af regler for reduktion af angrebsoverfladen:

  1. Download evalueringspakken , og udtræk filen cfa-events.xml til en placering, der er let tilgængelig på enheden.

  2. Indtast ordene Logbog i menuen Start for at åbne Windows Logbog.

  3. Under Handlinger skal du vælge Importér brugerdefineret visning....

  4. Vælg filen cfa-events.xml , hvor den blev udpakket fra. Du kan også kopiere XML-koden direkte.

  5. Vælg OK.

Du kan oprette en brugerdefineret visning, der filtrerer hændelser, så de kun viser følgende hændelser, som alle er relateret til kontrolleret mappeadgang:

Hændelses-id Beskrivelse
5007 Hændelse, når indstillingerne ændres
1121 Hændelse, når reglen udløses i bloktilstand
1122 Hændelse, når reglen udløses i overvågningstilstand

Den "programversion", der er angivet for hændelser for reduktion af angrebsoverfladen i hændelsesloggen, genereres af Defender for Endpoint og ikke af operativsystemet. Defender for Endpoint er integreret med Windows 10 og Windows 11, så denne funktion fungerer på alle enheder, hvor Windows 10 eller Windows 11 er installeret.