Verwenden von Regeln zur Verringerung der Angriffsfläche, um eine Infektion durch Schadsoftware zu verhindern

Gilt für:

Warum Regeln zur Verringerung der Angriffsfläche wichtig sind

Die Angriffsfläche Ihrer Organisation umfasst alle Stellen, an denen ein Angreifer die Geräte oder Netzwerke Ihrer Organisation kompromittieren könnte. Die Reduzierung der Angriffsfläche bedeutet, die Geräte und das Netzwerk Ihrer Organisation zu schützen, sodass Angreifer weniger Möglichkeiten haben, Angriffe auszuführen. Das Konfigurieren von Regeln zur Verringerung der Angriffsfläche in Microsoft Defender für Endpunkt kann hilfreich sein!

Regeln zur Verringerung der Angriffsfläche zielen auf bestimmte Softwareverhalten ab, z. B.:

  • Starten von ausführbaren Dateien und Skripts, die versuchen, Dateien herunterzuladen oder auszuführen
  • Ausführen verborgener oder anderweitig verdächtiger Skripts
  • Ausführen von Verhaltensweisen, die Apps in der Regel während der normalen täglichen Arbeit nicht initiieren

Solche Softwareverhaltensweisen werden manchmal in legitimen Anwendungen angezeigt. Diese Verhaltensweisen werden jedoch häufig als riskant betrachtet, da sie häufig von Angreifern durch Schadsoftware missbraucht werden. Regeln zur Verringerung der Angriffsfläche können softwarebasiertes riskantes Verhalten einschränken und dazu beitragen, ihre Organisation zu schützen.

Weitere Informationen zum Konfigurieren von Regeln zur Verringerung der Angriffsfläche finden Sie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche.

Bewerten der Auswirkungen auf die Regel vor der Bereitstellung

Sie können bewerten, wie sich eine Regel zur Verringerung der Angriffsfläche auf Ihr Netzwerk auswirken kann, indem Sie die Sicherheitsempfehlungen für diese Regel in Bedrohungs- und Sicherheitsrisikomanagementöffnen.

Sicherheitsreco für die Regel zur Verringerung der Angriffsfläche.

Überprüfen Sie im Bereich mit den Empfehlungsdetails, welche Auswirkungen auf die Benutzer haben, um festzustellen, welcher Prozentsatz Ihrer Geräte eine neue Richtlinie akzeptieren kann, die die Regel im Blockierungsmodus aktiviert, ohne die Produktivität zu beeinträchtigen.

Weitere Informationen zu unterstützten Betriebssystemen und zusätzliche Anforderungsinformationen finden Sie unter "Anforderungen" im Artikel "Attack Surface Reduction-Regeln aktivieren".

Überwachungsmodus für die Auswertung

Verwenden Sie den Überwachungsmodus, um zu bewerten, wie sich Regeln zur Verringerung der Angriffsfläche auf Ihre Organisation auswirken, wenn sie aktiviert sind. Führen Sie zuerst alle Regeln im Überwachungsmodus aus, damit Sie verstehen können, wie sich diese auf Ihre Branchenanwendungen auswirken. Viele Branchenanwendungen sind mit eingeschränkten Sicherheitsbedenken geschrieben und führen möglicherweise Aufgaben auf ähnliche Weise wie Schadsoftware aus. Durch die Überwachung von Überwachungsdaten und das Hinzufügen von Ausschlüssen für erforderliche Anwendungen können Sie Regeln zur Verringerung der Angriffsfläche bereitstellen, ohne die Produktivität zu verringern.

Warnmodus für Benutzer

(NEU!) Vor den Funktionen des Warnmodus können aktivierte Regeln für die Verringerung der Angriffsfläche entweder auf den Überwachungsmodus oder den Blockierungsmodus festgelegt werden. Mit dem neuen Warnmodus wird Benutzern bei jeder Blockierung von Inhalten durch eine Regel zur Verringerung der Angriffsfläche ein Dialogfeld angezeigt, das angibt, dass der Inhalt blockiert ist. Das Dialogfeld bietet dem Benutzer auch die Möglichkeit, die Blockierung des Inhalts aufzuheben. Der Benutzer kann dann seine Aktion wiederholen, und der Vorgang wird abgeschlossen. Wenn ein Benutzer die Blockierung von Inhalten freigibt, bleibt der Inhalt 24 Stunden lang entsperrt, und dann wird die Fortsetzung blockiert.

Der Warnmodus hilft Ihrer Organisation bei der Anwendung von Regeln zur Verringerung der Angriffsfläche, ohne dass Benutzer auf die Inhalte zugreifen können, die sie zum Ausführen ihrer Aufgaben benötigen.

Anforderungen für die Funktion des Warnmodus

Der Warnmodus wird auf Geräten unterstützt, auf denen die folgenden Versionen von Windows ausgeführt werden:

Microsoft Defender Antivirus muss mit Echtzeitschutz im aktiven Modusausgeführt werden.

Stellen Sie außerdem sicher, dass Microsoft Defender Antivirus- und Antischadsoftwareupdates installiert sind.

  • Mindestanforderung für die Plattformversion: 4.18.2008.9
  • Mindestanforderung für die Veröffentlichung des Moduls: 1.1.17400.5

Weitere Informationen und Zum Abrufen Ihrer Updates finden Sie unter Update für die Microsoft Defender-Antischadsoftwareplattform.

Fälle, in denen der Warnmodus nicht unterstützt wird

Der Warnmodus wird für drei Regeln zur Verringerung der Angriffsfläche nicht unterstützt, wenn Sie sie in Microsoft Endpoint Manager konfigurieren. (Wenn Sie gruppenrichtlinien verwenden, um die Regeln zur Verringerung der Angriffsfläche zu konfigurieren, wird der Warnmodus unterstützt.) Die drei Regeln, die den Warnmodus nicht unterstützen, wenn Sie sie in Microsoft Endpoint Manager konfigurieren, sind wie folgt:

Außerdem wird der Warnmodus auf Geräten mit älteren Versionen von Windows nicht unterstützt. In diesen Fällen werden Attack Surface Reduction-Regeln, die für die Ausführung im Warnmodus konfiguriert sind, im Blockierungsmodus ausgeführt.

Benachrichtigungen und Warnungen

Wenn eine Regel zur Verringerung der Angriffsfläche ausgelöst wird, wird eine Benachrichtigung auf dem Gerät angezeigt. Mit Ihren Unternehmensdetails und Kontaktinformationen können Sie die Benachrichtigung anpassen.

Wenn außerdem bestimmte Regeln zur Verringerung der Angriffsfläche ausgelöst werden, werden Warnungen generiert.

Benachrichtigungen und generierte Warnungen können im Microsoft 365 Defender Portalangezeigt werden.

Erweiterte Suche und Attack Surface Reduction-Ereignisse

Sie können die erweiterte Suche verwenden, um Attack Surface Reduction-Ereignisse anzuzeigen. Um das Volumen der eingehenden Daten zu optimieren, können mit der erweiterten Suche nur eindeutige Prozesse für jede Stunde angezeigt werden. Die Zeit eines Attack Surface Reduction-Ereignisses ist das erste Mal, dass das Ereignis innerhalb der Stunde angezeigt wird.

Nehmen wir beispielsweise an, dass ein Angriffsflächenreduzierungsereignis auf 10 Geräten während der Stunde 14:00 Uhr auftritt. Angenommen, das erste Ereignis ist um 2:15 Und das letzte um 2:45 aufgetreten. Bei der erweiterten Suche sehen Sie eine Instanz dieses Ereignisses (obwohl es tatsächlich auf 10 Geräten aufgetreten ist), und der Zeitstempel lautet 14:15 Uhr.

Weitere Informationen zur erweiterten Suche finden Sie unter proaktive Suche nach Bedrohungen mit erweiterter Suche.

Attack Surface Reduction-Features in Windows Versionen

Sie können Regeln zur Verringerung der Angriffsfläche für Geräte festlegen, auf denen eine der folgenden Editionen und Versionen von Windows ausgeführt wird:

Obwohl die Regeln zur Verringerung der Angriffsfläche keine Windows E5-Lizenzerfordern, erhalten Sie, wenn Sie über Windows E5 verfügen, erweiterte Verwaltungsfunktionen. Die erweiterten Funktionen – nur in Windows E5 verfügbar – umfassen:

Diese erweiterten Funktionen sind nicht mit einer Windows Professional- oder Windows E3-Lizenz verfügbar. Wenn Sie jedoch über diese Lizenzen verfügen, können Sie die Ereignisanzeige und Microsoft Defender Antivirus Protokolle verwenden, um ihre Regelereignisse zur Verringerung der Angriffsfläche zu überprüfen.

Überprüfen von Attack Surface Reduction-Ereignissen im Microsoft 365 Defender Portal

Defender für Endpunkt bietet detaillierte Berichte für Ereignisse und Blöcke im Rahmen von Warnungsuntersuchungsszenarien.

Sie können Defender für Endpunktdaten in Microsoft 365 Defender abfragen, indem Sie die erweiterte Sucheverwenden. Wenn Sie den Überwachungsmodusausführen, können Sie die erweiterte Suche verwenden, um zu verstehen, wie sich Regeln zur Verringerung der Angriffsfläche auf Ihre Umgebung auswirken können.

Hier ist eine Beispielabfrage:

DeviceEvents
| where ActionType startswith 'Asr'

Überprüfen von Ereignissen zur Verringerung der Angriffsfläche in Windows Ereignisanzeige

Sie können das Windows Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die durch Attack Surface Reduction-Regeln generiert werden:

  1. Laden Sie das Evaluierungspaket herunter, und extrahieren Sie die Datei cfa-events.xml an einen leicht zugänglichen Speicherort auf dem Gerät.

  2. Geben Sie die Wörter Ereignisanzeige in die Startmenü ein, um die Windows Ereignisanzeige zu öffnen.

  3. Wählen Sie unter "Aktionen" die Option "Benutzerdefinierte Ansicht importieren" aus....

  4. Wählen Sie die Datei cfa-events.xml aus, aus der sie extrahiert wurde. Alternativ können Sie den XML-Code direkt kopieren.

  5. Wählen Sie OK aus.

Sie können eine benutzerdefinierte Ansicht erstellen, die Ereignisse filtert, um nur die folgenden Ereignisse anzuzeigen, die alle mit dem kontrollierten Ordnerzugriff zusammenhängen:

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1121 Ereignis beim Auslösen der Regel im Blockierungsmodus
1122 Ereignis, wenn die Regel im Überwachungsmodus ausgelöst wird

Die "Modulversion", die für Attack Surface Reduction-Ereignisse im Ereignisprotokoll aufgeführt ist, wird von Defender für Endpunkt und nicht vom Betriebssystem generiert. Defender für Endpunkt ist in Windows 10 und Windows 11 integriert, sodass dieses Feature auf allen Geräten mit Windows 10 oder Windows 11 installiert ist.

Regeln zur Verringerung der Angriffsfläche

In der folgenden Tabelle und den unteren Abschnitten werden die einzelnen Regeln zur Reduzierung der Angriffsfläche beschrieben. Die Regeln zur Verringerung der Angriffsfläche werden in alphabetischer Reihenfolge nach Regelname aufgelistet.

Wenn Sie Regeln zur Verringerung der Angriffsfläche mithilfe von Gruppenrichtlinien oder PowerShell konfigurieren, benötigen Sie die GUIDs. Wenn Sie andererseits Microsoft Endpoint Manager oder Microsoft Intune verwenden, benötigen Sie die GUIDs nicht.

Regelname GUID Datei- & Ordnerausschlüsse Unterstützte Mindestversion des Betriebssystems
Blockieren des Missbrauchs von gefährdeten signierten Treibern 56a863a9-875e-4185-98a7-b882c64b5ce5 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Adobe Reader am Erstellen von untergeordneten Prozessen hindern 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Windows Server 2016
Windows Server 2012 R2
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern D4F940AB-401B-4EFC-AADC-AD5F3C50688A Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Windows Server 2016
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11

Windows Server 2016
Windows Server 2012 R2
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Windows Server 2016
Windows Server 2012 R2
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium 01443614-cd74-433a-b99e-2ecdc07bfc25 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Ausführung potenziell verborgener Skripts blockieren 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Windows Server 2016
Windows Server 2012 R2
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern D3E037E1-3EB8-44C8-A917-57927947596D Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Windows Server 2016
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern 3B576869-A4EC-4529-8536-B80A7769E899 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Windows Server 2016
Windows Server 2012 R2
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern 26190899-1602-49e8-8b27-eb1d0a1ce869 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Persistenz durch WMI-Ereignisabonnement blockieren e6db77e5-3df2-4cf1-b95a-636979351e5b Nicht unterstützt Windows 10, Version 1903 (Build 18362) oder höher oder Windows 11
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren d1e49aac-8f56-4280-b9ba-993a6d77406c Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11

Windows Server 2016
Windows Server 2012 R2
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Blockieren von Win32-API-Aufrufen von Office Makros 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11
Verwenden des erweiterten Schutzes vor Ransomware c1db55ab-c21a-4637-bb3f-a12568109d35 Unterstützt Windows 10, Version 1709 (RS3, Build 16299) oder höher oder Windows 11

Windows Server 2016
Windows Server 2012 R2

Blockieren des Missbrauchs von gefährdeten signierten Treibern

Diese Regel verhindert, dass eine Anwendung einen anfälligen signierten Treiber auf den Datenträger schreibt. Gefährdete signierte Treiber können von lokalen Anwendungen ausgenutzt werden, - die über ausreichende Berechtigungen für den Zugriff auf den Kernel - verfügen. Anfällige signierte Treiber ermöglichen Es Angreifern, Sicherheitslösungen zu deaktivieren oder zu umgehen, was letztendlich zu Systemkompromittierungen führt.

Die Regel zum Blockieren des Missbrauchs gefährdeter signierter Treiber verhindert nicht, dass ein bereits auf dem System vorhandener Treiber geladen wird.

Hinweis

Sie können diese Regel mithilfe von MEM-OMA-URI für benutzerdefinierte Mem-OMA-URI-Regel-Prozedurinformationen konfigurieren.

Sie können diese Regel auch mithilfe von PowerShellkonfigurieren.

Um einen Treiber untersuchen zu lassen, verwenden Sie diese Website, um einen Treiber für die Analyse zu übermitteln.

Unterstützte Betriebssysteme:

Intune-Name: Block abuse of exploited vulnerable signed drivers

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Adobe Reader am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert Angriffe, indem Adobe Reader am Erstellen von Prozessen gehindert wird.

Durch Social Engineering oder Exploits kann Schadsoftware Nutzlasten herunterladen und starten und aus Adobe Reader ausbrechen. Durch das Blockieren der Generierung von untergeordneten Prozessen durch Adobe Reader wird verhindert, dass Schadsoftware versucht, sie als Vektor zu verwenden.

Unterstützte Betriebssysteme:

Intune-Name: Process creation from Adobe Reader (beta)

Configuration Manager-Name: Noch nicht verfügbar

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert, dass Office Apps untergeordnete Prozesse erstellen. Office Apps umfassen Word, Excel, PowerPoint, OneNote und Access.

Das Erstellen bösartiger untergeordneter Prozesse ist eine gängige Schadsoftwarestrategie. Schadsoftware, die Office als Vektor missbraucht, führt häufig VBA-Makros und Exploit-Code aus, um weitere Nutzlasten herunterzuladen und auszuführen. Einige legitime Branchenanwendungen können jedoch auch untergeordnete Prozesse für unfreundliche Zwecke generieren. z. B. das Auslösen einer Eingabeaufforderung oder die Verwendung von PowerShell zum Konfigurieren von Registrierungseinstellungen.

Unterstützte Betriebssysteme:

Intune-Name: Office apps launching child processes

Configuration Manager-Name: Block Office application from creating child processes

GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Blockieren des Diebstahls von Anmeldeinformationen aus dem subsystem der Windows lokalen Sicherheitsautorität

Diese Regel trägt dazu bei, das Stehlen von Anmeldeinformationen zu verhindern, indem der Subsystemdienst der lokalen Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) gesperrt wird.

LSASS authentifiziert Benutzer, die sich auf einem Windows Computer anmelden. Microsoft Defender Credential Guard in Windows 10 verhindert normalerweise Versuche, Anmeldeinformationen aus LSASS zu extrahieren. Einige Organisationen können Credential Guard jedoch aufgrund von Kompatibilitätsproblemen mit benutzerdefinierten Smartcardtreibern oder anderen Programmen, die in die lokale Sicherheitsautorität (Local Security Authority, LSA) geladen werden, nicht auf allen ihren Computern aktivieren. In diesen Fällen können Angreifer Hacktools wie Mimikatz verwenden, um Klartextkennwörter und NTLM-Hashes von LSASS zu verwischen.

Hinweis

In einigen Apps zählt der Code alle ausgeführten Prozesse auf und versucht, sie mit vollständigen Berechtigungen zu öffnen. Diese Regel verweigert die Vorgangsöffnungsaktion der App und protokolliert die Details im Sicherheitsereignisprotokoll. Diese Regel kann viel Rauschen erzeugen. Wenn Sie über eine App verfügen, die LSASS einfach aufzählt, aber keine echten Auswirkungen auf die Funktionalität hat, ist es NICHT erforderlich, sie der Ausschlussliste hinzuzufügen. Dieser Ereignisprotokolleintrag allein weist nicht unbedingt auf eine böswillige Bedrohung hin.

Unterstützte Betriebssysteme:

Intune-Name: Flag credential stealing from the Windows local security authority subsystem

Configuration Manager-Name: Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren

Diese Regel verhindert, dass die folgenden Dateitypen von E-Mails gestartet werden, die in der Microsoft Outlook-Anwendung oder Outlook.com und anderen beliebten Webmailanbietern geöffnet wurden:

  • Ausführbare Dateien (z. B. .exe, .dll oder SCR)
  • Skriptdateien (z. B. eine PowerShell-PS-, Visual Basic-VBS- oder JavaScript-.js datei)

Unterstützte Betriebssysteme:

Intune-Name: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Endpoint Manager Name:Block executable content from email client and webmail

GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Hinweis

Die Regel zum Blockieren von ausführbaren Inhalten vom E-Mail-Client und webmail verfügt über die folgenden alternativen Beschreibungen, je nachdem, welche Anwendung Sie verwenden:

  • Intune (Konfigurationsprofile): Ausführung von ausführbaren Inhalten (exe, dll, ps, js, vbs usw.), die aus E-Mails (Webmail/Mail-Client) verworfen wurden (keine Ausnahmen).
  • Endpoint Manager: Blockieren des Downloads ausführbarer Inhalte von E-Mail- und Webmailclients.
  • Gruppenrichtlinie: Blockieren von ausführbaren Inhalten vom E-Mail-Client und webmail.

Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium

Mit dieser Regel wird verhindert, dass ausführbare Dateien wie .exe, .dll oder SCR gestartet werden, es sei denn, eine der folgenden Bedingungen ist erfüllt:

  • Verbreitung: Die ausführbaren Dateien werden auf mehr als 1.000 Endpunkten gefunden.
  • Alter: Die ausführbaren Dateien wurden vor mehr als 24 Stunden veröffentlicht.
  • Speicherort: Die ausführbaren Dateien sind in einer vertrauenswürdigen Liste oder einer Ausschlussliste enthalten.

Das Starten nicht vertrauenswürdiger oder unbekannter ausführbarer Dateien kann riskant sein, da möglicherweise zunächst nicht klar ist, ob die Dateien bösartig sind.

Wichtig

Sie müssen den über die Cloud bereitgestellten Schutz aktivieren, um diese Regel verwenden zu können.

Die Regel zum Blockieren der Ausführung ausführbarer Dateien, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium mit GUID, gehört Microsoft und wird nicht von Administratoren 01443614-cd74-433a-b99e-2ecdc07bfc25 angegeben. Diese Regel verwendet über die Cloud bereitgestellten Schutz, um ihre vertrauenswürdige Liste regelmäßig zu aktualisieren.

Sie können einzelne Dateien oder Ordner (mithilfe von Ordnerpfaden oder vollqualifizierten Ressourcennamen) angeben, jedoch nicht angeben, welche Regeln oder Ausschlüsse gelten.

Unterstützte Betriebssysteme:

Intune-Name: Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager-Name: Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Ausführung potenziell verborgener Skripts blockieren

Diese Regel erkennt verdächtige Eigenschaften in einem verborgenen Skript.

Das Verbergen von Skripts ist eine gängige Technik, die sowohl Von Schadsoftwareautoren als auch legitimen Anwendungen verwendet wird, um geistiges Eigentum auszublenden oder die Ladezeiten von Skripts zu verringern. Autoren von Schadsoftware verwenden auch die Verschleierung, um das Lesen von schadhaftem Code zu erschweren, wodurch eine genaue Prüfung durch Menschen und Sicherheitssoftware verhindert wird.

Unterstützte Betriebssysteme:

Intune-Name: Obfuscated js/vbs/ps/macro code

Configuration Manager-Name: Block execution of potentially obfuscated scripts

GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern

Diese Regel verhindert, dass Skripts potenziell schädliche heruntergeladene Inhalte starten. In JavaScript oder VBScript geschriebene Schadsoftware dient häufig als Downloader, um andere Schadsoftware aus dem Internet abzurufen und zu starten.

Obwohl branchenspezifische Anwendungen nicht üblich sind, verwenden sie manchmal Skripts, um Installationsprogramme herunterzuladen und zu starten.

Unterstützte Betriebssysteme:

Intune-Name: js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager-Name: Block JavaScript or VBScript from launching downloaded executable content

GUID: D3E037E1-3EB8-44C8-A917-57927947596D

Office-Anwendungen am Erstellen ausführbarer Inhalte hindern

Diese Regel verhindert, dass Office Apps, einschließlich Word, Excel und PowerPoint, potenziell schädliche ausführbare Inhalte erstellen, indem verhindert wird, dass bösartiger Code auf den Datenträger geschrieben wird.

Schadsoftware, die Office als Vektor missbraucht, versucht möglicherweise, Office zu unterbrechen und schädliche Komponenten auf dem Datenträger zu speichern. Diese schädlichen Komponenten würden einen Computerneustart überstehen und auf dem System beibehalten. Daher schützt diese Regel vor einer gängigen Persistenztechnik.

Unterstützte Betriebssysteme:

Intune-Name: Office apps/macros creating executable content

SCCM-Name: Block Office applications from creating executable content

GUID: 3B576869-A4EC-4529-8536-B80A7769E899

Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern

Diese Regel blockiert Codeeinfügungsversuche von Office Apps in andere Prozesse.

Angreifer versuchen möglicherweise, Office-Apps zu verwenden, um bösartigen Code durch Codeeinschleusung in andere Prozesse zu migrieren, damit sich der Code als sauberen Prozess maskieren kann.

Es gibt keine bekannten legitimen Geschäftszwecke für die Verwendung von Codeeinfügung.

Diese Regel gilt für Word, Excel und PowerPoint.

Unterstützte Betriebssysteme:

Intune-Name: Office apps injecting code into other processes (no exceptions)

Configuration Manager-Name: Block Office applications from injecting code into other processes

GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert, dass Outlook untergeordnete Prozesse erstellen und gleichzeitig legitime Outlook Funktionen zulassen.

Diese Regel schützt vor Social Engineering-Angriffen und verhindert, dass Code Sicherheitslücken in Outlook missbraucht. Es schützt auch vor Outlook Regeln und Formularen, die Angreifer verwenden können, wenn die Anmeldeinformationen eines Benutzers kompromittiert werden.

Hinweis

Diese Regel blockiert DLP-Richtlinientipps und QuickInfos in Outlook. Diese Regel gilt nur für Outlook und Outlook.com.

Unterstützte Betriebssysteme:

Intune-Name: Process creation from Office communication products (beta)

Configuration Manager-Name: Nicht verfügbar

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Persistenz durch WMI-Ereignisabonnement blockieren

Diese Regel verhindert, dass Schadsoftware WMI missbraucht, um Persistenz auf einem Gerät zu erhalten.

Wichtig

Datei- und Ordnerausschlüsse gelten nicht für diese Regel zur Verringerung der Angriffsfläche.

Dateilose Bedrohungen verwenden verschiedene Taktiken, um versteckt zu bleiben und somit zu vermeiden, im Dateisystem sichtbar zu sein, und um regelmäßige Ausführungskontrolle zu erhalten. Einige Bedrohungen können das WMI-Repository und das Ereignismodell missbrauchen, um versteckt zu bleiben.

Unterstützte Betriebssysteme:

Intune-Name: Nicht verfügbar

Configuration Manager-Name: Nicht verfügbar

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren

Diese Regel blockiert die Ausführung von Prozessen, die über PsExec und WMI erstellt wurden. Sowohl PsExec als auch WMI können Code remote ausführen, sodass das Risiko besteht, dass Schadsoftware diese Funktionalität zu Befehls- und Steuerungszwecken missbraucht oder eine Infektion im gesamten Netzwerk einer Organisation verbreitet.

Warnung

Verwenden Sie diese Regel nur, wenn Sie Ihre Geräte mit Intune oder einer anderen MDM-Lösung verwalten. Diese Regel ist mit der Verwaltung über Microsoft Endpoint Configuration Manager nicht kompatibel, da diese Regel WMI-Befehle blockiert, die der Configuration Manager-Client verwendet, um ordnungsgemäß zu funktionieren.

Unterstützte Betriebssysteme:

Intune-Name: Process creation from PSExec and WMI commands

Configuration Manager-Name: Nicht zutreffend

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren

Mit dieser Regel können Administratoren verhindern, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien von USB-Wechseldatenträgern ausgeführt werden, einschließlich SD-Karten. Zu den blockierten Dateitypen gehören ausführbare Dateien (z. B. .exe, .dll oder SCR).

Unterstützte Betriebssysteme:

Intune-Name: Untrusted and unsigned processes that run from USB

Configuration Manager-Name: Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Win32-API-Aufrufe von Office-Makros blockieren

Diese Regel verhindert, dass VBA-Makros Win32-APIs aufrufen.

Office VBA aktiviert Win32-API-Aufrufe. Schadsoftware kann diese Funktion missbrauchen, z. B. indem sie Win32-APIs aufruft, um bösartige Shellcode zu starten, ohne etwas direkt auf die Festplatte zu schreiben. Die meisten Organisationen verlassen sich nicht auf die Möglichkeit, Win32-APIs in ihrer täglichen Funktionsweise aufzurufen, auch wenn sie Makros auf andere Weise verwenden.

Unterstützte Betriebssysteme:

Intune-Name: Win32 imports from Office macro code

Configuration Manager-Name: Block Win32 API calls from Office macros

GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Erweiterten Schutz vor Ransomware verwenden

Diese Regel bietet eine zusätzliche Schutzebene vor Ransomware. Es verwendet sowohl Client- als auch Cloud-Heuristiken, um zu bestimmen, ob eine Datei Ransomware ähnelt. Diese Regel blockiert keine Dateien mit einem oder mehreren der folgenden Merkmale:

  • Die Datei wurde bereits in der Microsoft-Cloud als nicht vertrauenswürdig eingestuft.
  • Die Datei ist eine gültige signierte Datei.
  • Die Datei ist weit verbreitet genug, um nicht als Ransomware betrachtet zu werden.

Die Regel tendiert zu einem Fehler auf der Seite der Vorsicht, um Ransomware zu verhindern.

Hinweis

Sie müssen den über die Cloud bereitgestellten Schutz aktivieren, um diese Regel verwenden zu können.

Unterstützte Betriebssysteme:

Intune-Name: Advanced ransomware protection

Configuration Manager-Name: Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35