Testen der Verringerung der Angriffsfläche in Microsoft Defender für Endpunkt

Gilt für:

Als Teil des Sicherheitsteams Ihrer Organisation können Sie Attack Surface Reduction-Funktionen so konfigurieren, dass sie im Überwachungsmodus ausgeführt werden, um zu sehen, wie sie funktionieren. Im Überwachungsmodus können Sie Folgendes aktivieren:

  • Regeln zur Verringerung der Angriffsfläche
  • Exploit-Schutz
  • Netzwerkschutz
  • Und kontrollierter Ordnerzugriff im Überwachungsmodus

Im Überwachungsmodus können Sie sehen, was passiert wäre, wenn Sie das Feature aktiviert hätten.

Sie können den Überwachungsmodus aktivieren, wenn Sie testen, wie die Features funktionieren. Das Aktivieren des Überwachungsmodus nur für Tests trägt dazu bei, zu verhindern, dass sich der Überwachungsmodus auf Ihre Branchen-Apps auswirkt. Sie können sich auch einen Eindruck davon verschaffen, wie viele verdächtige Dateiänderungsversuche über einen bestimmten Zeitraum erfolgen.

Die Features blockieren oder verhindern nicht, dass Apps, Skripts oder Dateien geändert werden. Das Windows Ereignisprotokoll zeichnet jedoch Ereignisse auf, als wären die Features vollständig aktiviert. Im Überwachungsmodus können Sie das Ereignisprotokoll überprüfen, um festzustellen, welche Auswirkungen das Feature hätte, wenn es aktiviert wäre.

Um die überwachten Einträge zu finden, wechseln Sie zu Anwendungen und Dienste > Microsoft > Windows > Windows Defender > Operational.

Verwenden Sie Defender für Endpunkt, um mehr Details für jedes Ereignis zu erhalten. Diese Details sind besonders hilfreich für die Untersuchung von Regeln zur Verringerung der Angriffsfläche. Mithilfe der Defender für Endpunkt-Konsole können Sie Probleme im Rahmen der Warnungszeitachse und untersuchungsszenarien untersuchen.

Sie können den Überwachungsmodus mithilfe von Gruppenrichtlinien, PowerShell und Konfigurationsdienstanbietern (Configuration Service Providers, CSPs) aktivieren.

Tipp

Sie können auch die Windows Defender Testground-Website unter demo.wd.microsoft.com besuchen, um zu bestätigen, dass die Features funktionieren und wie sie funktionieren.

Überwachungsoptionen So aktivieren Sie den Überwachungsmodus Anzeigen von Ereignissen
Überwachung gilt für alle Ereignisse Kontrollierte Ordnerzugriff aktivieren Kontrollierte Ordnerzugriffsereignisse
Überwachung gilt für einzelne Regeln Aktivieren der Regeln zur Verringerung der Angriffsfläche Regelereignisse zur Verringerung der Angriffsfläche
Überwachung gilt für alle Ereignisse Netzwerkschutz aktivieren Netzwerkschutzereignisse
Die Überwachung gilt für einzelne Risikominderungen Aktivieren des Exploit-Schutzes Exploit-Schutzereignisse