Anpassen der Regeln zur Verringerung der Angriffsfläche

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Regeln zur Verringerung der Angriffsfläche helfen, Softwareverhalten zu verhindern, die häufig missbraucht werden, um Ihr Gerät oder Netzwerk zu kompromittieren. Beispielsweise kann ein Angreifer versuchen, ein nicht signiertes Skript von einem USB-Laufwerk aus auszuführen, oder ein Makro in einem Office Dokument aufruft direkt an die Win32-API. Regeln zur Verringerung der Angriffsfläche können diese Arten von riskanten Verhaltensweisen einschränken und die Verteidigungslage Ihrer Organisation verbessern.

Erfahren Sie, wie Sie Regeln zur Verringerung der Angriffsfläche anpassen, indem Sie Dateien und Ordner ausschließen oder der Benachrichtigungswarnung, die auf dem Computer eines Benutzers angezeigt wird, benutzerdefinierten Text hinzufügen.

Sie können Regeln zur Verringerung der Angriffsfläche für Geräte festlegen, auf denen eine der folgenden Editionen und Versionen von Windows ausgeführt wird:

Sie können diese Einstellungen mithilfe von Gruppenrichtlinien- und PowerShell-Konfigurationsdienstanbietern (CSP) für die mobile Geräteverwaltung (Mobile Device Management, MDM) konfigurieren.

Weitere Informationen zu unterstützten Betriebssystemen und zusätzliche Anforderungsinformationen finden Sie unter "Anforderungen" im Artikel "Attack Surface Reduction-Regeln aktivieren".

Ausschließen von Dateien und Ordnern

Sie können dateien und Ordner von der Auswertung durch Attack Surface Reduction-Regeln ausschließen. Wenn sie ausgeschlossen wird, wird die Ausführung der Datei auch dann nicht blockiert, wenn eine Regel zur Verringerung der Angriffsfläche erkennt, dass die Datei schädliches Verhalten enthält.

Betrachten Sie beispielsweise die Ransomware-Regel:

Die Ransomware-Regel soll Unternehmenskunden dabei helfen, Risiken von Ransomware-Angriffen zu verringern und gleichzeitig die Geschäftskontinuität zu gewährleisten. Standardmäßig sind Fehler bei der Ransomware-Regel auf der Seite der Vorsicht und schutzen vor Dateien, die noch nicht über ausreichende Zuverlässigkeit und Vertrauenswürdigkeit verfügen. Zur Neubetonierung wird die Ransomware-Regel nur für Dateien ausgelöst, die nicht genügend positive Reputation und Verbreitung auf der Grundlage von Nutzungsmetriken von Millionen unserer Kunden erhalten haben. In der Regel werden die Blöcke selbst aufgelöst, da die "Zuverlässigkeits- und Vertrauenswerte" jeder Datei inkrementell aktualisiert werden, wenn die Nutzung nicht problematisch wird.

In Fällen, in denen Blöcke nicht zeitnah selbst aufgelöst werden, können Kunden – auf eigenes Risiko – entweder den Self-Service-Mechanismus oder eine Auf IOC-basierte "Zulassungsliste"-Funktion (Indicator of Compromise, Kompromissindikator) verwenden, um die Blockierung der Dateien selbst aufzuheben.

Warnung

Durch das Ausschließen oder Aufheben der Blockierung von Dateien oder Ordnern können möglicherweise unsichere Dateien ausgeführt und Ihre Geräte infiziert werden. Das Ausschließen von Dateien oder Ordnern kann den Schutz durch Regeln zur Verringerung der Angriffsfläche erheblich beeinträchtigen. Dateien, die durch eine Regel blockiert worden wären, dürfen ausgeführt werden, und es wird kein Bericht oder Ereignis aufgezeichnet.

Ein Ausschluss gilt für alle Regeln, die Ausschlüsse zulassen. Sie können eine einzelne Datei, einen Ordnerpfad oder den vollqualifizierten Domänennamen für eine Ressource angeben. Sie können einen Ausschluss jedoch nicht auf eine bestimmte Regel beschränken.

Ein Ausschluss wird nur angewendet, wenn die ausgeschlossene Anwendung oder der ausgeschlossene Dienst gestartet wird. Wenn Sie beispielsweise einen Ausschluss für einen Updatedienst hinzufügen, der bereits ausgeführt wird, löst der Updatedienst weiterhin Ereignisse aus, bis der Dienst beendet und neu gestartet wird.

Attack Surface Reduction unterstützt Umgebungsvariablen und Platzhalter. Informationen zur Verwendung von Platzhaltern finden Sie unter Verwenden von Platzhaltern in den Dateinamen- und Ordnerpfad- oder Erweiterungsausschlusslisten. Wenn Probleme mit Regeln auftreten, die Dateien erkennen, von denen Sie glauben, dass sie nicht erkannt werden sollten, verwenden Sie den Überwachungsmodus, um die Regel zu testen.



Regelbeschreibung GUID
Blockieren des Missbrauchs von gefährdeten signierten Treibern 56a863a9-875e-4185-98a7-b882c64b5ce5
Adobe Reader am Erstellen von untergeordneten Prozessen hindern 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern d4f940ab-401b-4efc-aadc-ad5f3c50688a
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Blockieren der Ausführung ausführbarer Dateien, es sei denn, sie erfüllen verbreitungs-, alters- oder vertrauenswürdige Listenkriterien. 01443614-cd74-433a-b99e-2ecdc07bfc25
Ausführung potenziell verborgener Skripts blockieren 5beb7efe-fd9a-4556-801d-275e5ffc04cc
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern d3e037e1-3eb8-44c8-a917-57927947596d
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern 3b576869-a4ec-4529-8536-b80a7769e899
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Verhindern, dass Office Kommunikationsanwendungen untergeordnete Prozesse erstellen 26190899-1602-49e8-8b27-eb1d0a1ce869
Persistenz durch WMI-Ereignisabonnement blockieren e6db77e5-3df2-4cf1-b95a-636979351e5b
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren d1e49aac-8f56-4280-b9ba-993a6d77406c
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Blockieren von Win32-API-Aufrufen von Office Makro 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Erweiterten Schutz vor Ransomware verwenden c1db55ab-c21a-4637-bb3f-a12568109d35

Weitere Informationen zu den einzelnen Regeln finden Sie im Thema zur Verringerung der Angriffsfläche.

Verwenden von Gruppenrichtlinien zum Ausschließen von Dateien und Ordnern

  1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zur Computerkonfiguration, und klicken Sie auf "Administrative Vorlagen".

  3. Erweitern Sie die Struktur bis Windows Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Attack Surface Reduction.

  4. Doppelklicken Sie auf die Einstellung "Dateien und Pfade von Attack Surface Reduction Rules ausschließen", und legen Sie die Option auf "Aktiviert" fest. Wählen Sie "Anzeigen" aus, und geben Sie jede Datei oder jeden Ordner in der Spalte "Wertname" ein. Geben Sie 0 in die Spalte Wert für jedes Element ein.

Warnung

Verwenden Sie keine Anführungszeichen, da sie weder für die Spalte mit dem Wertnamen noch für die Spalte Value unterstützt werden.

Verwenden von PowerShell zum Ausschließen von Dateien und Ordnern

  1. Geben Sie powershell im Startmenü ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie "Als Administrator ausführen" aus.

  2. Geben Sie das folgende Cmdlet ein:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Verwenden Sie Add-MpPreference -AttackSurfaceReductionOnlyExclusions weiterhin, um der Liste weitere Ordner hinzuzufügen.

    Wichtig

    Dient Add-MpPreference zum Anfügen oder Hinzufügen von Apps zur Liste. Mithilfe des Set-MpPreference Cmdlets wird die vorhandene Liste überschrieben.

Verwenden von MDM-CSPs zum Ausschließen von Dateien und Ordnern

Verwenden Sie ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions Configuration Service Provider (CSP), um Ausschlüsse hinzuzufügen.

Anpassen der Benachrichtigung

Sie können die Benachrichtigung anpassen, wenn eine Regel ausgelöst wird und eine App oder Datei blockiert wird. Weitere Informationen finden Sie im Artikel Windows-Sicherheit.