Aktivér regler for reduktion af angrebsoverflade

  • Artikel

Gælder for:

Platforme

  • Windows

Tip

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Regler for reduktion af angrebsoverfladen hjælper med at forhindre handlinger, som malware ofte misbruger for at kompromittere enheder og netværk.

Forudsætninger

Funktioner til reduktion af angrebsoverflade på tværs af Windows-versioner

Du kan angive regler for reduktion af angrebsoverfladen for enheder, der kører en af følgende versioner af Windows:

Hvis du vil bruge hele funktionssættet med regler for reduktion af angrebsoverfladen, skal du bruge:

  • Microsoft Defender Antivirus som primær AV (beskyttelse i realtid på)
  • Cloud-Delivery Protection på (nogle regler kræver det)
  • Windows 10 Enterprise E5- eller E3-licens

Selvom regler for reduktion af angrebsoverfladen ikke kræver en Windows E5-licens med en Windows E5-licens, får du avancerede administrationsfunktioner, herunder overvågning, analyse og arbejdsprocesser, der er tilgængelige i Defender for Endpoint, samt rapporterings- og konfigurationsegenskaber i Microsoft Defender XDR portalen. Disse avancerede funktioner er ikke tilgængelige med en E3-licens, men du kan stadig bruge Logbog til at gennemse hændelser for regler for reduktion af angrebsoverfladen.

Hver regel for reduktion af angrebsoverfladen indeholder en af fire indstillinger:

  • Ikke konfigureret | Disabled: Deaktiver reglen for reduktion af angrebsoverfladen
  • Blok: Aktivér reglen for reduktion af angrebsoverfladen
  • Overvågning: Evaluer, hvordan reglen for reduktion af angrebsoverfladen vil påvirke din organisation, hvis den er aktiveret
  • Advarsel! Aktivér reglen for reduktion af angrebsoverfladen, men tillad, at slutbrugeren tilsidesætter blokken

Vi anbefaler, at du bruger regler for reduktion af angrebsoverfladen med en Windows E5-licens (eller lignende licens-SKU) til at drage fordel af de avancerede overvågnings- og rapporteringsfunktioner, der er tilgængelige i Microsoft Defender for Endpoint (Defender for Endpoint). Men hvis du har en anden licens, f.eks. Windows Professional eller Windows E3, der ikke omfatter avancerede overvågnings- og rapporteringsfunktioner, kan du udvikle dine egne overvågnings- og rapporteringsværktøjer oven på de hændelser, der genereres på hvert slutpunkt, når regler for reduktion af angrebsoverfladen udløses (f.eks. viderestilling af hændelse).

Tip

Hvis du vil vide mere om Windows-licenser, skal du se Windows 10 Licenser og få vejledningen til volumenlicens til Windows 10.

Du kan aktivere regler for reduktion af angrebsoverfladen ved hjælp af en af disse metoder:

Administration på virksomhedsniveau, f.eks. Intune eller Microsoft Configuration Manager, anbefales. Administration på virksomhedsniveau overskriver alle modstridende Gruppepolitik eller PowerShell-indstillinger ved start.

Udelad filer og mapper fra regler for reduktion af angrebsoverflade

Du kan udelukke filer og mapper fra at blive evalueret af de fleste regler for reduktion af angrebsoverfladen. Det betyder, at selvom en regel for reduktion af angrebsoverfladen bestemmer, at filen eller mappen indeholder skadelig funktionsmåde, blokerer den ikke for, at filen kører.

Vigtigt!

Hvis du udelader filer eller mapper, kan det i alvorlig grad reducere den beskyttelse, der leveres af regler for reduktion af angrebsoverfladen. Udeladte filer får tilladelse til at køre, og der registreres ingen rapport eller hændelse. Hvis regler for reduktion af angrebsoverfladen registrerer filer, som du mener ikke skal registreres, skal du først bruge overvågningstilstanden til at teste reglen. En udeladelse anvendes kun, når det udeladte program eller den udeladte tjeneste starter. Hvis du f.eks. tilføjer en udeladelse for en opdateringstjeneste, der allerede kører, fortsætter opdateringstjenesten med at udløse hændelser, indtil tjenesten stoppes og genstartes.

Når du tilføjer udeladelser, skal du være opmærksom på følgende:

Politikkonflikt

  1. Hvis der anvendes en modstridende politik via MDM og GP, har den indstilling, der anvendes fra GP, forrang.

  2. Regler for reduktion af angrebsoverfladen for administrerede enheder understøtter nu funktionsmåde for sammenlægning af indstillinger fra forskellige politikker for at oprette en overordnet politik for hver enhed. Det er kun de indstillinger, der ikke er i konflikt, der flettes, mens dem, der er i konflikt, ikke føjes til undersættet af regler. Tidligere hvis to politikker indeholdt konflikter for en enkelt indstilling, var begge politikker markeret som værende i konflikt, og ingen indstillinger fra nogen af profilerne ville blive installeret. Funktionsmåden for fletning af regler for reduktion af angrebsoverfladen er som følger:

    • Regler for reduktion af angrebsoverfladen fra følgende profiler evalueres for hver enhed, som reglerne gælder for:
    • Indstillinger, der ikke har konflikter, føjes til en delmængde af politikken for enheden.
    • Når to eller flere politikker har modstridende indstillinger, føjes de modstridende indstillinger ikke til den kombinerede politik, mens indstillinger, der ikke er i konflikt, føjes til den politik for supersæt, der gælder for en enhed.
    • Det er kun konfigurationerne for modstridende indstillinger, der holdes tilbage.

Konfigurationsmetoder

Dette afsnit indeholder konfigurationsoplysninger om følgende konfigurationsmetoder:

Følgende procedurer for aktivering af regler for reduktion af angrebsoverfladen omfatter instruktioner til, hvordan filer og mapper udelades.

Intune

Profiler til enhedskonfiguration

  1. Vælg Profiler for enhedskonfiguration>. Vælg en eksisterende beskyttelsesprofil for slutpunkter, eller opret en ny. Hvis du vil oprette en ny, skal du vælge Create profil og angive oplysninger om denne profil. Vælg Slutpunktsbeskyttelse som Profiltype. Hvis du har valgt en eksisterende profil, skal du vælge Egenskaber og derefter vælge Indstillinger.

  2. I ruden Endpoint Protection skal du vælge Windows Defender Exploit Guard og derefter vælge Reduktion af angrebsoverflade. Vælg den ønskede indstilling for hver regel for reduktion af angrebsoverfladen.

  3. Under Undtagelser for Reduktion af angrebsoverflade skal du angive individuelle filer og mapper. Du kan også vælge Importér for at importere en CSV-fil, der indeholder filer og mapper, for at udelukke fra regler for reduktion af angrebsoverfladen. Hver linje i CSV-filen skal formateres på følgende måde:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Vælg OK i de tre konfigurationsruder. Vælg derefter Create, hvis du opretter en ny fil til beskyttelse af slutpunkter eller Gem, hvis du redigerer en eksisterende fil.

Sikkerhedspolitik for slutpunkt

  1. VælgOverfladereduktion afslutpunktssikkerhedsangreb>. Vælg en eksisterende regel for reduktion af angrebsoverfladen, eller opret en ny. Hvis du vil oprette en ny, skal du vælge Create Politik og angive oplysninger for denne profil. Som Profiltype skal du vælge Regler for reduktion af angrebsoverflade. Hvis du har valgt en eksisterende profil, skal du vælge Egenskaber og derefter vælge Indstillinger.

  2. I ruden Konfigurationsindstillinger skal du vælge Reduktion af angrebsoverflade og derefter vælge den ønskede indstilling for hver regel for reduktion af angrebsoverfladen.

  3. Angiv individuelle filer og mapper under Liste over yderligere mapper, der skal beskyttes, liste over apps, der har adgang til beskyttede mapper og Udelad filer og stier fra regler for reduktion af angrebsoverfladen. Du kan også vælge Importér for at importere en CSV-fil, der indeholder filer og mapper, for at udelukke fra regler for reduktion af angrebsoverfladen. Hver linje i CSV-filen skal formateres på følgende måde:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Vælg Næste i de tre konfigurationsruder, og vælg derefter Create hvis du opretter en ny politik eller Gem, hvis du redigerer en eksisterende politik.

Brugerdefineret profil i Intune

Du kan bruge Microsoft Intune OMA-URI til at konfigurere brugerdefinerede regler for reduktion af angrebsoverfladen. I følgende procedure bruges reglen Bloker misbrug af udnyttede sårbare signerede drivere i eksemplet.

  1. Åbn Microsoft Intune Administration. Klik på Enheder i menuen Hjem, vælg Konfigurationsprofiler, og klik derefter på Create profil.

    Profilsiden Create på portalen Microsoft Intune Administration.

  2. I Create en profil skal du vælge følgende på følgende to rullelister:

    • Vælg Windows 10 og nyere i Platform
    • Vælg Skabeloner i Profiltype
    • Hvis der allerede er angivet regler for reduktion af angrebsoverfladen via Slutpunktssikkerhed, skal du i Profiltype vælge Indstillinger Katalog.

    Vælg Brugerdefineret, og vælg derefter Create.

    Attributterne for regelprofilen på Microsoft Intune Administrationsportal.

  3. Værktøjet Brugerdefineret skabelon åbnes i trin 1 Grundlæggende. Skriv et navn til skabelonen i Navn i 1 Grundlæggende, og i Beskrivelse kan du skrive en beskrivelse (valgfrit).

    De grundlæggende attributter på portalen Microsoft Intune Administration

  4. Klik på Næste. Trin 2 Konfigurationsindstillinger åbnes. Klik på Tilføj for OMA-URI-indstillinger. Der vises nu to indstillinger: Tilføj og eksportér.

    Konfigurationsindstillingerne på Microsoft Intune Administrationsportal.

  5. Klik på Tilføj igen. Indstillingerne for Tilføj række OMA-URI åbnes. Gør følgende i Tilføj række:

    • Skriv et navn til reglen i Navn.

    • Angiv en kort beskrivelse i Beskrivelse.

    • I OMA-URI skal du skrive eller indsætte det specifikke OMA-URI-link for den regel, du tilføjer. Se AFSNITTET MDM i denne artikel for at få den OMA-URI, der skal bruges til denne eksempelregel. Hvis du vil se GUIDS for regler for reduktion af angrebsoverfladen, skal du se Beskrivelser af regler i artiklen: Regler for reduktion af angrebsoverfladen.

    • I Datatype skal du vælge Streng.

    • I Value skal du skrive eller indsætte GUID-værdien, =-tegnet og værdien State uden mellemrum (GUID=StateValue). Hvor:

      • 0: Deaktiver (deaktiver reglen for reduktion af angrebsoverfladen)
      • 1: Bloker (aktivér reglen for reduktion af angrebsoverfladen)
      • 2: Overvågning (evaluer, hvordan reglen for reduktion af angrebsoverfladen vil påvirke din organisation, hvis den er aktiveret)
      • 6: Advar (aktivér reglen for reduktion af angrebsoverfladen, men giv slutbrugeren tilladelse til at omgå blokken)

    OMA URI-konfigurationen på Microsoft Intune Administrationsportal

  6. Vælg Gem. Tilføj rækkelukninger . Vælg Næste i Brugerdefineret. I trin 3 Områdekoder er områdekoder valgfrie. Gør et af følgende:

    • Vælg Vælg områdekoder, vælg områdekoden (valgfrit), og vælg derefter Næste.
    • Eller vælg Næste

  7. I trin 4 Tildelinger i Inkluderede grupper skal du vælge mellem følgende indstillinger for de grupper, som reglen skal gælde for:

    • Tilføj grupper
    • Tilføj alle brugere
    • Tilføj alle enheder

    Tildelingerne i Microsoft Intune Administrationsportal

  8. I Udeladte grupper skal du vælge de grupper, du vil udelade fra denne regel, og derefter vælge Næste.

  9. I trin 5 skal du gøre følgende for anvendelsesregler for følgende indstillinger:

    • I Regel skal du enten vælge Tildel profil, hvis eller Tildel ikke profil, hvis

    • Under Egenskab skal du vælge den egenskab, som reglen skal gælde for

    • Angiv den relevante værdi eller det relevante værdiinterval i Værdi

    Anvendelighedsreglerne på portalen Microsoft Intune Administration

  10. Vælg Næste. I trin 6 Gennemse + opret skal du gennemse de indstillinger og oplysninger, du har valgt og angivet, og derefter vælge Create.

    Indstillingen Gennemse og opret på Microsoft Intune Administrationsportal

    Reglerne er aktive og live inden for få minutter.

Bemærk!

Konflikthåndtering:

Hvis du tildeler en enhed to forskellige politikker til reduktion af angrebsoverfladen, kan der opstå potentielle politikkonflikter, afhængigt af om regler er tildelt forskellige tilstande, om konfliktstyring er på plads, og om resultatet er en fejl. Ikke-konflicerende regler resulterer ikke i en fejl, og sådanne regler anvendes korrekt. Den første regel anvendes, og efterfølgende ikke-konflikerende regler flettes med politikken.

MDM

Brug ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules CSP (Configuration Service Provider) til individuelt at aktivere og angive tilstanden for hver regel.

Følgende er et eksempel på en reference, der bruger GUID-værdier for referencen til regler for reduktion af angrebsoverfladen.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

De værdier, der skal aktiveres (Bloker), deaktiveres, advares eller aktiveres i overvågningstilstand, er:

  • 0: Deaktiver (deaktiver reglen for reduktion af angrebsoverfladen)
  • 1: Bloker (aktivér reglen for reduktion af angrebsoverfladen)
  • 2: Overvågning (evaluer, hvordan reglen for reduktion af angrebsoverfladen vil påvirke din organisation, hvis den er aktiveret)
  • 6: Advar (aktivér reglen for reduktion af angrebsoverfladen, men tillad, at slutbrugeren tilsidesætter blokken). Advarselstilstand er tilgængelig for de fleste af reglerne for reduktion af angrebsoverfladen.

Brug ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions CSP (Configuration Service Provider) til at tilføje udeladelser.

Eksempel:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Bemærk!

Sørg for at angive OMA-URI-værdier uden mellemrum.

Microsoft Configuration Manager

  1. I Microsoft Configuration Manager skal du gå til Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. Vælg Home>Create Exploit Guard Policy.

  3. Angiv et navn og en beskrivelse, vælg Reduktion af angrebsoverflade, og vælg Næste.

  4. Vælg, hvilke regler der skal blokere eller overvåge handlinger, og vælg Næste.

  5. Gennemse indstillingerne, og vælg Næste for at oprette politikken.

  6. Når politikken er oprettet, skal du vælge Luk.

Advarsel

Der er et kendt problem med anvendelsen af Attack Surface Reduction på Server OS-versioner, som er markeret som kompatibel uden nogen faktisk håndhævelse. Der er i øjeblikket ingen ETA til, hvornår dette vil blive rettet.

Gruppepolitik

Advarsel

Hvis du administrerer dine computere og enheder med Intune, Configuration Manager eller en anden platform til administration på virksomhedsniveau, overskriver administrationssoftwaren eventuelle modstridende Gruppepolitik indstillinger ved start.

  1. Åbn administrationskonsollen Gruppepolitik Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg Rediger.

  2. I redigeringsprogrammet til administration af gruppepolitik skal du gå til Computerkonfiguration og vælge Administrative skabeloner.

  3. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack overfladereduktion.

  4. Vælg Konfigurer regler for reduktion af angrebsoverfladen , og vælg Aktiveret. Du kan derefter angive den individuelle tilstand for hver regel i indstillingsafsnittet. Vælg Vis... og angiv regel-id'et i kolonnen Værdinavn og din valgte tilstand i kolonnen Værdi på følgende måde:

    • 0: Deaktiver (deaktiver reglen for reduktion af angrebsoverfladen)

    • 1: Bloker (aktivér reglen for reduktion af angrebsoverfladen)

    • 2: Overvågning (evaluer, hvordan reglen for reduktion af angrebsoverfladen vil påvirke din organisation, hvis den er aktiveret)

    • 6: Advar (aktivér reglen for reduktion af angrebsoverfladen, men giv slutbrugeren tilladelse til at omgå blokken)

      regler for reduktion af angrebsoverfladen i Gruppepolitik

  5. Hvis du vil udelade filer og mapper fra regler for reduktion af angrebsoverfladen, skal du vælge indstillingen Udelad filer og stier fra regler for reduktion af angrebsoverfladen og angive indstillingen til Aktiveret. Vælg Vis , og angiv hver fil eller mappe i kolonnen Værdinavn . Angiv 0 i kolonnen Værdi for hvert element.

    Advarsel

    Brug ikke anførselstegn, da de ikke understøttes for hverken kolonnen Value name eller kolonnen Value . Regel-id'et må ikke have foran- eller efterstillede mellemrum.

PowerShell

Advarsel

Hvis du administrerer dine computere og enheder med Intune, Configuration Manager eller en anden administrationsplatform på virksomhedsniveau, overskriver administrationssoftwaren eventuelle modstridende PowerShell-indstillinger ved start.

  1. Skriv powershell i menuen Start, højreklik på Windows PowerShell, og vælg Kør som administrator.

  2. Skriv en af følgende cmdlet'er. Du kan finde flere oplysninger, f.eks. regel-id, i Reference til regler for reduktion af angrebsoverfladen.

    Opgave PowerShell-cmdlet
    Aktivér regler for reduktion af angrebsoverflade Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Aktivér regler for reduktion af angrebsoverflade i overvågningstilstand Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Aktivér regler for reduktion af angrebsoverflade i advarselstilstand Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Aktivér reduktion af angrebsoverfladen Bloker misbrug af udnyttede sårbare signerede drivere Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Slå regler for reduktion af angrebsoverflade fra Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Vigtigt!

    Du skal angive tilstanden enkeltvist for hver regel, men du kan kombinere regler og tilstande på en kommasepareret liste.

    I følgende eksempel er de første to regler aktiveret, den tredje regel er deaktiveret, og den fjerde regel er aktiveret i overvågningstilstand: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Du kan også bruge Add-MpPreference PowerShell-verbet til at føje nye regler til den eksisterende liste.

    Advarsel

    Set-MpPreference overskriver det eksisterende sæt regler. Hvis du vil føje til det eksisterende sæt, skal du i stedet bruge Add-MpPreference . Du kan få en liste over regler og deres aktuelle tilstand ved hjælp Get-MpPreferenceaf .

  3. Hvis du vil udelade filer og mapper fra regler for reduktion af angrebsoverfladen, skal du bruge følgende cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Fortsæt med at bruge Add-MpPreference -AttackSurfaceReductionOnlyExclusions til at føje flere filer og mapper til listen.

    Vigtigt!

    Bruges Add-MpPreference til at tilføje eller føje apps til listen. Hvis du bruger cmdlet'en Set-MpPreference , overskrives den eksisterende liste.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.