Attack Surface Reduction-Richtlinie für Endpunktsicherheit in Intune

Wenn Defender Antivirus auf Ihren Windows 10/11-Geräten verwendet wird, können Sie Intune-Endpunktsicherheitsrichtlinien für Attack Surface Reduction verwenden, um diese Einstellungen für Ihre Geräte zu verwalten.

Richtlinien zur Verringerung der Angriffsfläche tragen dazu bei, Ihre Angriffsflächen zu reduzieren, indem sie die Stellen minimieren, an denen Ihre Organisation anfällig für Cyberbedrohungen und Angriffe ist. Weitere Informationen finden Sie unter "Übersicht über die Verringerung der Angriffsfläche" in der Dokumentation Windows Bedrohungsschutz.

Suchen Sie die Endpunktsicherheitsrichtlinien für die Verringerung der Angriffsfläche unter "Verwalten" im Endpunkt-Sicherheitsknoten des Microsoft Endpoint Manager Admin Centers. Jedes Angriffsflächenreduzierungsprofil verwaltet Einstellungen für einen bestimmten Bereich eines Windows 10/11-Geräts.

Anzeigen von Einstellungen für Attack Surface Reduction-Profile.

Voraussetzungen für Attack Surface Reduction-Profile

Allgemein:

  • Windows 10 oder Windows 11
  • Defender Antivirus muss das primäre Antivirenprogramm auf dem Gerät sein

Unterstützung für Configuration Manager-Clients:

Dieses Szenario befindet sich in der Vorschau und erfordert die Verwendung der aktuellen Branch-Version 2006 oder höher von Configuration Manager.

  • Einrichten von Mandantenanfügung für Configuration Manager-Geräte – Konfigurieren Sie Mandantenanfügung, um die Bereitstellung von Richtlinien zur Verringerung der Angriffsfläche auf Geräten zu unterstützen, die von Configuration Manager verwaltet werden. Die Einrichtung von Mandantenanfügung umfasst das Konfigurieren von Configuration Manager-Gerätesammlungen zur Unterstützung von Endpunktsicherheitsrichtlinien von Intune.

    Informationen zum Einrichten von Mandantenanfügung finden Sie unter Konfigurieren von Mandantenanfügung zur Unterstützung von Endpunktschutzrichtlinien.

Profile zur Verringerung der Angriffsfläche

Von Intune verwaltete Geräte

Windows 10/11-Profile:

  • App- und Browserisolation – Verwalten von Einstellungen für Windows Defender Application Guard (Application Guard) als Teil von Defender für Endpunkt. Application Guard trägt dazu bei, alte und neu auftretende Angriffe zu verhindern und unternehmensdefinierte Websites als nicht vertrauenswürdig zu isolieren, während definiert wird, welche Websites, Cloudressourcen und internen Netzwerke vertrauenswürdig sind.

    Weitere Informationen finden Sie unter Application Guard in der Dokumentation zu Microsoft Defender für Endpunkt.

  • Webschutz (Vorgängerversion von Microsoft Edge) – Einstellungen Sie für den Webschutz in Microsoft Defender für Endpunkt verwalten können, konfigurieren Sie den Netzwerkschutz, um Ihre Computer vor Webbedrohungen zu schützen. Durch die Integration mit Microsoft Edge und beliebten Browsern von Drittanbietern wie Chrome und Firefox stoppt der Webschutz Webbedrohungen ohne Webproxy und kann Computer schützen, während sie abwesend oder lokal sind. Der Webschutz beendet den Zugriff auf:

    • Phishingwebsites
    • Schadsoftwarevektoren
    • Exploit-Websites
    • Nicht vertrauenswürdige Websites oder Websites mit niedriger Reputation
    • Websites, die Sie in Ihrer benutzerdefinierten Indikatorliste blockiert haben.

    Weitere Informationen finden Sie unter Webschutz in der Dokumentation zu Microsoft Defender für Endpunkt.

  • Anwendungssteuerung: Anwendungssteuerungseinstellungen können dazu beitragen, Sicherheitsbedrohungen zu mindern, indem sie die Anwendungen einschränken, die Benutzer ausführen können, und den Code, der im System Core (Kernel) ausgeführt wird. Verwalten Sie Einstellungen, die nicht signierte Skripts und MSIs blockieren können, und beschränken Sie Windows PowerShell auf die Ausführung im eingeschränkten Sprachmodus.

    Weitere Informationen finden Sie in der Dokumentation zur Anwendungssteuerung in Microsoft Defender für Endpunkt.

    Hinweis

    Wenn Sie diese Einstellung verwenden, fordert das AppLocker-CSP-Verhalten den Endbenutzer zurzeit auf, den Computer neu zu starten, wenn eine Richtlinie bereitgestellt wird.

  • Regeln zur Verringerung der Angriffsfläche – Konfigurieren Sie Einstellungen für Attack Surface Reduction-Regeln, die auf Verhaltensweisen abzielen, die Schadsoftware und schädliche Apps in der Regel verwenden, um Computer zu infizieren, einschließlich:

    • Ausführbare Dateien und Skripts, die in Office Apps oder Web-Mail verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen
    • Verborgene oder anderweitig verdächtige Skripts
    • Verhaltensweisen, die Apps in der Regel nicht während der normalen täglichen Arbeit starten, indem Sie Ihre Angriffsfläche reduzieren, bedeutet, angreifern weniger Möglichkeiten zur Durchführung von Angriffen zu bieten.

    Weitere Informationen finden Sie unter Attack Surface Reduction-Regeln in der Dokumentation zu Microsoft Defender für Endpunkt.

    Zusammenführungsverhalten für Attack Surface Reduction-Regeln in Intune:

    Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Nur die Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt, während die Einstellungen, die sich in Konflikt befinden, nicht der Obermenge der Regeln hinzugefügt werden. Wenn zuvor zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt begriffen gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.

    Das Regelzusammenführungsverhalten der Verringerung der Angriffsfläche lautet wie folgt:

    • Attack Surface Reduction-Regeln aus den folgenden Profilen werden für jedes Gerät ausgewertet, auf das die Regeln angewendet werden:
      • Geräte > Konfigurationsrichtlinie > Endpoint Protection-Profil > Microsoft Defender Exploit Guard > Attack Surface Reduction
      • Richtlinie zur Verringerung der Angriffsfläche > Endpunktsicherheit > Attack Surface Reduction-Regeln
      • Endpunktsicherheits-> Sicherheitsgrundwerte > Microsoft Defender für Endpunkt baseline > Attack Surface Reduction-Regeln.
    • Einstellungen, die keine Konflikte aufweisen, werden einer Übergeordneten Richtlinie für das Gerät hinzugefügt.
    • Wenn zwei oder mehr Richtlinien widersprüchliche Einstellungen aufweisen, werden die widersprüchlichen Einstellungen nicht zur kombinierten Richtlinie hinzugefügt, während Einstellungen, die keinen Konflikt verursachen, der Obersetrichtlinie hinzugefügt werden, die für ein Gerät gilt.
    • Nur die Konfigurationen für widersprüchliche Einstellungen werden zurück gehalten.
  • Gerätesteuerung – Mit Einstellungen für die Gerätesteuerung können Sie Geräte für einen mehrstufigen Ansatz zum Sichern von Wechselmedien konfigurieren. Microsoft Defender für Endpunkt bietet mehrere Überwachungs- und Kontrollfunktionen, um zu verhindern, dass Bedrohungen in nicht autorisierten Peripheriegeräten Ihre Geräte beeinträchtigen.

    Gerätesteuerungsprofile unterstützen die Zusammenführung von Richtlinien für USB-Geräte-IDs.

    Weitere Informationen finden Sie unter Steuern von USB-Geräten und anderen Wechselmedien mit Microsoft Defender für Endpunkt in der Dokumentation zu Microsoft Defender für Endpunkt.

  • Exploit-Schutz – Exploit-Schutz-Einstellungen können zum Schutz vor Schadsoftware beitragen, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Exploit-Schutz besteht aus einer Reihe von Gegenmaßnahmen, die entweder auf das Betriebssystem oder einzelne Apps angewendet werden können.

    Weitere Informationen finden Sie unter Aktivieren des Exploit-Schutzes in der Dokumentation zu Microsoft Defender für Endpunkt.

Von Configuration Manager verwaltete Geräte

Verringerung der Angriffsfläche

Die Unterstützung für Geräte, die von Configuration Manager verwaltet werden, befindet sich in der Vorschau.

Verwalten Von Einstellungen zur Verringerung der Angriffsfläche für Configuration Manager-Geräte,wenn Sie Mandantenanfügung verwenden.

Richtlinienpfad:

  • Endpoint Security > Attach surface reduction > Windows 10 and later (ConfigMgr)

Profile:

  • Exploit-Schutz(ConfigMgr)(Vorschau)
  • Web Protection (ConfigMgr)(Vorschau)

Erforderliche Version von Configuration Manager:

  • Configuration Manager current branch version 2006 oder höher

Unterstützte Configuration Manager-Geräteplattformen:

  • Windows 11 und höher (x86, x64, ARM64)
  • Windows 10 und höher (x86, x64, ARM64)

Richtlinienzusammenführung für Einstellungen

Richtlinienzusammenführung trägt dazu bei, Konflikte zu vermeiden, wenn mehrere Profile, die auf dasselbe Gerät angewendet werden, dieselbe Einstellung mit unterschiedlichen Werten konfigurieren und einen Konflikt verursachen. Um Konflikte zu vermeiden, wertet Intune die entsprechenden Einstellungen aus jedem Profil aus, das für das Gerät gilt. Diese Einstellungen werden dann in einer einzigen Obermenge von Einstellungen zusammengeführt.

Für die Attack Surface Reduction-Richtlinie unterstützen die folgenden Profile die Zusammenführung von Richtlinien:

  • Gerätesteuerung

Zusammenführen von Richtlinien für Gerätesteuerungsprofile

Gerätesteuerungsprofile unterstützen die Zusammenführung von Richtlinien für USB-Geräte-IDs. Zu den Profileinstellungen, die Geräte-IDs verwalten und richtlinienzusammenführung unterstützen, gehören:

  • Zulassen der Hardwaregeräteinstallation nach Gerätebezeichnern
  • Blockieren der Installation von Hardwaregeräten anhand von Geräte-IDs
  • Zulassen der Installation von Hardwaregeräten nach Setupklassen
  • Blockieren der Installation von Hardwaregeräten durch Setupklassen
  • Zulassen der Hardwaregeräteinstallation nach Geräteinstanz-IDs
  • Blockieren der Hardwaregeräteinstallation nach Geräteinstanz-IDs

Richtlinienzusammenführung gilt für die Konfiguration jeder Einstellung in den verschiedenen Profilen, die diese spezifische Einstellung auf ein Gerät anwenden. Das Ergebnis ist eine einzelne Liste für jede der unterstützten Einstellungen, die auf ein Gerät angewendet werden. Beispiel:

  • Richtlinienzusammenführung wertet die Listen der Setupklassen aus, die in jeder Instanz der Installation von Hardwaregeräten durch Setupklassen konfiguriert wurden, die für ein Gerät gelten. In eine einzige Zulassungsliste, in der alle doppelten Setupklassen entfernt werden.

    Das Entfernen von Duplikaten aus der Liste erfolgt, um die häufige Quelle von Konflikten zu entfernen. Die kombinierte Zulassungsliste wird dann an das Gerät übermittelt.

Die Zusammenführung von Richtlinien vergleicht oder führt die Konfigurationen nicht aus verschiedenen Einstellungen zusammen. Beispiel:

  • Erweitern Sie das erste Beispiel, in dem mehrere Listen aus "Installation von Hardwaregeräten durch Setupklassen zulassen" in einer einzigen Liste zusammengeführt wurden, verfügen Sie über mehrere Instanzen der Installation von Hardwaregeräten durch Setupklassen, die für dasselbe Gerät gelten. Alle zugehörigen Blocklisten werden in einer einzigen Blockliste für das Gerät zusammengeführt, das dann auf dem Gerät bereitgestellt wird.

    • Die Zulassungsliste für Setupklassen wird nicht verglichen oder mit der Blockliste für Setupklassen zusammengeführt.
    • Stattdessen empfängt das Gerät beide Listen, da sie aus zwei unterschiedlichen Einstellungen stammen. Das Gerät erzwingt dann die restriktivste Einstellung für die Installation durch Setupklassen.

    In diesem Beispiel überschreibt eine in der Blockierungsliste definierte Setupklasse dieselbe Setupklasse, wenn sie in der Zulassungsliste vorhanden ist. Das Ergebnis wäre, dass die Setupklasse auf dem Gerät blockiert wird.

Nächste Schritte

Konfigurieren von Endpunktsicherheitsrichtlinien