Verwenden von Regeln zur Verringerung der Angriffsfläche, um eine Infektion durch Schadsoftware zu verhindern

Gilt für:

Warum Regeln zur Verringerung der Angriffsfläche wichtig sind

Die Angriffsfläche Ihrer Organisation umfasst alle Stellen, an denen ein Angreifer die Geräte oder Netzwerke Ihrer Organisation kompromittieren könnte. Die Reduzierung der Angriffsfläche bedeutet, die Geräte und das Netzwerk Ihrer Organisation zu schützen, sodass Angreifer weniger Möglichkeiten haben, Angriffe auszuführen. Das Konfigurieren von Regeln zur Verringerung der Angriffsfläche in Microsoft Defender für Endpunkt kann hilfreich sein!

Regeln zur Verringerung der Angriffsfläche zielen auf bestimmte Softwareverhalten ab, z. B.:

  • Starten von ausführbaren Dateien und Skripts, die versuchen, Dateien herunterzuladen oder auszuführen
  • Ausführen verborgener oder anderweitig verdächtiger Skripts
  • Ausführen von Verhaltensweisen, die Apps in der Regel während der normalen täglichen Arbeit nicht initiieren

Solche Softwareverhaltensweisen werden manchmal in legitimen Anwendungen angezeigt. Diese Verhaltensweisen werden jedoch häufig als riskant betrachtet, da sie häufig von Angreifern durch Schadsoftware missbraucht werden. Regeln zur Verringerung der Angriffsfläche können softwarebasiertes riskantes Verhalten einschränken und dazu beitragen, ihre Organisation zu schützen.

Weitere Informationen zum Konfigurieren von Regeln zur Verringerung der Angriffsfläche finden Sie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche.

Bewerten der Auswirkungen auf die Regel vor der Bereitstellung

Sie können bewerten, wie sich eine Regel zur Verringerung der Angriffsfläche auf Ihr Netzwerk auswirken kann, indem Sie die Sicherheitsempfehlungen für diese Regel in Bedrohungs- und Sicherheitsrisikomanagementöffnen.

Sicherheitsreco für die Regel zur Verringerung der Angriffsfläche.

Überprüfen Sie im Bereich mit den Empfehlungsdetails, welche Auswirkungen auf die Benutzer haben, um festzustellen, welcher Prozentsatz Ihrer Geräte eine neue Richtlinie akzeptieren kann, die die Regel im Blockierungsmodus aktiviert, ohne die Produktivität zu beeinträchtigen.

Weitere Informationen zu unterstützten Betriebssystemen und zusätzliche Anforderungsinformationen finden Sie unter "Anforderungen" im Artikel "Attack Surface Reduction-Regeln aktivieren".

Überwachungsmodus für die Auswertung

Verwenden Sie den Überwachungsmodus, um zu bewerten, wie sich Regeln zur Verringerung der Angriffsfläche auf Ihre Organisation auswirken, wenn sie aktiviert sind. Führen Sie zuerst alle Regeln im Überwachungsmodus aus, damit Sie verstehen können, wie sich diese auf Ihre Branchenanwendungen auswirken. Viele Branchenanwendungen sind mit eingeschränkten Sicherheitsbedenken geschrieben und führen möglicherweise Aufgaben auf ähnliche Weise wie Schadsoftware aus. Durch die Überwachung von Überwachungsdaten und das Hinzufügen von Ausschlüssen für erforderliche Anwendungen können Sie Regeln zur Verringerung der Angriffsfläche bereitstellen, ohne die Produktivität zu verringern.

Warnmodus für Benutzer

(NEU!) Vor den Funktionen des Warnmodus können aktivierte Regeln für die Verringerung der Angriffsfläche entweder auf den Überwachungsmodus oder den Blockierungsmodus festgelegt werden. Mit dem neuen Warnmodus wird Benutzern bei jeder Blockierung von Inhalten durch eine Regel zur Verringerung der Angriffsfläche ein Dialogfeld angezeigt, das angibt, dass der Inhalt blockiert ist. Das Dialogfeld bietet dem Benutzer auch die Möglichkeit, die Blockierung des Inhalts aufzuheben. Der Benutzer kann dann seine Aktion wiederholen, und der Vorgang wird abgeschlossen. Wenn ein Benutzer die Blockierung von Inhalten freigibt, bleibt der Inhalt 24 Stunden lang entsperrt, und dann wird die Fortsetzung blockiert.

Der Warnmodus hilft Ihrer Organisation bei der Anwendung von Regeln zur Verringerung der Angriffsfläche, ohne dass Benutzer auf die Inhalte zugreifen können, die sie zum Ausführen ihrer Aufgaben benötigen.

Anforderungen für die Funktion des Warnmodus

Der Warnmodus wird auf Geräten unterstützt, auf denen die folgenden Versionen von Windows ausgeführt werden:

Microsoft Defender Antivirus muss mit Echtzeitschutz im aktiven Modusausgeführt werden.

Stellen Sie außerdem sicher, dass Microsoft Defender Antivirus- und Antischadsoftwareupdates installiert sind.

  • Mindestanforderung für die Plattformversion: 4.18.2008.9
  • Mindestanforderung für die Veröffentlichung des Moduls: 1.1.17400.5

Weitere Informationen und Zum Abrufen Ihrer Updates finden Sie unter Update für die Microsoft Defender-Antischadsoftwareplattform.

Fälle, in denen der Warnmodus nicht unterstützt wird

Der Warnmodus wird für drei Regeln zur Verringerung der Angriffsfläche nicht unterstützt, wenn Sie sie in Microsoft Endpoint Manager konfigurieren. (Wenn Sie gruppenrichtlinien verwenden, um die Regeln zur Verringerung der Angriffsfläche zu konfigurieren, wird der Warnmodus unterstützt.) Die drei Regeln, die den Warnmodus nicht unterstützen, wenn Sie sie in Microsoft Endpoint Manager konfigurieren, sind wie folgt:

Außerdem wird der Warnmodus auf Geräten mit älteren Versionen von Windows nicht unterstützt. In diesen Fällen werden Attack Surface Reduction-Regeln, die für die Ausführung im Warnmodus konfiguriert sind, im Blockierungsmodus ausgeführt.

Benachrichtigungen und Warnungen

Wenn eine Regel zur Verringerung der Angriffsfläche ausgelöst wird, wird eine Benachrichtigung auf dem Gerät angezeigt. Mit Ihren Unternehmensdetails und Kontaktinformationen können Sie die Benachrichtigung anpassen.

Wenn außerdem bestimmte Regeln zur Verringerung der Angriffsfläche ausgelöst werden, werden Warnungen generiert.

Benachrichtigungen und generierte Warnungen können im Microsoft 365 Defender Portalangezeigt werden.

Erweiterte Suche und Attack Surface Reduction-Ereignisse

Sie können die erweiterte Suche verwenden, um Attack Surface Reduction-Ereignisse anzuzeigen. Um das Volumen der eingehenden Daten zu optimieren, können mit der erweiterten Suche nur eindeutige Prozesse für jede Stunde angezeigt werden. Die Zeit eines Attack Surface Reduction-Ereignisses ist das erste Mal, dass das Ereignis innerhalb der Stunde angezeigt wird.

Nehmen wir beispielsweise an, dass ein Angriffsflächenreduzierungsereignis auf 10 Geräten während der Stunde 14:00 Uhr auftritt. Angenommen, das erste Ereignis ist um 2:15 Und das letzte um 2:45 aufgetreten. Bei der erweiterten Suche sehen Sie eine Instanz dieses Ereignisses (obwohl es tatsächlich auf 10 Geräten aufgetreten ist), und der Zeitstempel lautet 14:15 Uhr.

Weitere Informationen zur erweiterten Suche finden Sie unter proaktive Suche nach Bedrohungen mit erweiterter Suche.

Attack Surface Reduction-Features in Windows Versionen

Sie können Regeln zur Verringerung der Angriffsfläche für Geräte festlegen, auf denen eine der folgenden Editionen und Versionen von Windows ausgeführt wird:

Obwohl die Regeln zur Verringerung der Angriffsfläche keine Windows E5-Lizenzerfordern, erhalten Sie, wenn Sie über Windows E5 verfügen, erweiterte Verwaltungsfunktionen. Die erweiterten Funktionen – nur in Windows E5 verfügbar – umfassen:

Diese erweiterten Funktionen sind nicht mit einer Windows Professional- oder Windows E3-Lizenz verfügbar. Wenn Sie jedoch über diese Lizenzen verfügen, können Sie die Ereignisanzeige und Microsoft Defender Antivirus Protokolle verwenden, um die Regelereignisse für die Verringerung der Angriffsfläche zu überprüfen.

Überprüfen von Attack Surface Reduction-Ereignissen im Microsoft 365 Defender Portal

Defender für Endpunkt bietet detaillierte Berichte für Ereignisse und Blöcke im Rahmen von Warnungsuntersuchungsszenarien.

Sie können Defender für Endpunktdaten in Microsoft 365 Defender mithilfe der erweiterten Sucheabfragen. Wenn Sie den Überwachungsmodusausführen, können Sie die erweiterte Suche verwenden, um zu verstehen, wie sich Regeln zur Verringerung der Angriffsfläche auf Ihre Umgebung auswirken können.

Hier ist eine Beispielabfrage:

DeviceEvents
| where ActionType startswith 'Asr'

Überprüfen von Ereignissen zur Verringerung der Angriffsfläche in Windows Ereignisanzeige

Sie können das Windows Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die durch Attack Surface Reduction-Regeln generiert werden:

  1. Laden Sie das Evaluierungspaket herunter, und extrahieren Sie die Datei cfa-events.xml an einen leicht zugänglichen Speicherort auf dem Gerät.

  2. Geben Sie die Wörter Ereignisanzeige in die Startmenü ein, um die Windows Ereignisanzeige zu öffnen.

  3. Wählen Sie unter "Aktionen" die Option "Benutzerdefinierte Ansicht importieren" aus....

  4. Wählen Sie die Datei cfa-events.xml aus, aus der sie extrahiert wurde. Alternativ können Sie den XML-Code direkt kopieren.

  5. Wählen Sie OK aus.

Sie können eine benutzerdefinierte Ansicht erstellen, die Ereignisse filtert, um nur die folgenden Ereignisse anzuzeigen, die alle mit dem kontrollierten Ordnerzugriff zusammenhängen:

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1121 Ereignis beim Auslösen der Regel im Blockierungsmodus
1122 Ereignis, wenn die Regel im Überwachungsmodus ausgelöst wird

Die "Modulversion", die für Attack Surface Reduction-Ereignisse im Ereignisprotokoll aufgeführt ist, wird von Defender für Endpunkt und nicht vom Betriebssystem generiert. Defender für Endpunkt ist in Windows 10 und Windows 11 integriert, sodass dieses Feature auf allen Geräten mit Windows 10 oder Windows 11 installiert ist.