Verstehen und Verwenden der Funktionen zur Verringerung der Angriffsfläche

Gilt für:

Tipp

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Angriffsflächen sind alle Orte, an denen Ihre Organisation anfällig für Cyberbedrohungen und Angriffe ist. Defender für Endpunkt enthält mehrere Funktionen, um Ihre Angriffsflächen zu reduzieren. Sehen Sie sich das folgende Video an, um mehr über die Verringerung der Angriffsfläche zu erfahren.

Konfigurieren der Funktionen zur Verringerung der Angriffsfläche

Führen Sie die folgenden Schritte aus, um die Verringerung der Angriffsfläche in Ihrer Umgebung zu konfigurieren:

  1. Aktivieren Sie die hardwarebasierte Isolation für Microsoft Edge.

  2. Aktivieren Sie die Anwendungssteuerung.

    1. Überprüfen Sie die Basisrichtlinien in Windows. Siehe Beispiel für Basisrichtlinien.
    2. Weitere Informationen finden Sie im Entwurfshandbuch für Windows Defender Anwendungssteuerung.
    3. Weitere Informationen finden Sie unter Deploying Windows Defender Application Control (WDAC)-Richtlinien.
  3. Aktivieren Sie den kontrollierten Ordnerzugriff.

  4. Aktivieren Sie den Netzwerkschutz.

  5. Aktivieren Des Exploit-Schutzes.

  6. Stellen Sie Regeln zur Verringerung der Angriffsfläche bereit.

  7. Richten Sie Ihre Netzwerkfirewall ein.

    1. Hier erhalten Sie einen Überblick über Windows Defender Firewall mit erweiterter Sicherheit.
    2. Verwenden Sie die Windows Defender Firewall-Entwurfshandbuchs, um zu entscheiden, wie Sie Ihre Firewallrichtlinien entwerfen möchten.
    3. Verwenden Sie das Windows Defender Firewall-Bereitstellungshandbuch, um die Firewall Ihrer Organisation mit erweiterter Sicherheit einzurichten.

Tipp

In den meisten Fällen können Sie beim Konfigurieren von Attack Surface Reduction-Funktionen zwischen verschiedenen Methoden wählen:

  • Microsoft Endpoint Manager (die jetzt Microsoft Intune und Microsoft Endpoint Configuration Manager umfasst)
  • Gruppenrichtlinien
  • PowerShell-Cmdlets

Testen der Verringerung der Angriffsfläche in Microsoft Defender für Endpunkt

Als Teil des Sicherheitsteams Ihrer Organisation können Sie Attack Surface Reduction-Funktionen so konfigurieren, dass sie im Überwachungsmodus ausgeführt werden, um zu sehen, wie sie funktionieren. Im Überwachungsmodus können Sie Folgendes aktivieren:

  • Regeln zur Verringerung der Angriffsfläche
  • Exploit-Schutz
  • Netzwerkschutz
  • Und kontrollierter Ordnerzugriff im Überwachungsmodus

Im Überwachungsmodus können Sie sehen, was passiert wäre, wenn Sie das Feature aktiviert hätten.

Sie können den Überwachungsmodus aktivieren, wenn Sie testen, wie die Features funktionieren. Das Aktivieren des Überwachungsmodus nur für Tests trägt dazu bei, zu verhindern, dass sich der Überwachungsmodus auf Ihre Branchen-Apps auswirkt. Sie können sich auch einen Eindruck davon verschaffen, wie viele verdächtige Dateiänderungsversuche über einen bestimmten Zeitraum erfolgen.

Die Features blockieren oder verhindern nicht, dass Apps, Skripts oder Dateien geändert werden. Das Windows Ereignisprotokoll zeichnet jedoch Ereignisse auf, als wären die Features vollständig aktiviert. Im Überwachungsmodus können Sie das Ereignisprotokoll überprüfen, um festzustellen, welche Auswirkungen das Feature hätte, wenn es aktiviert wäre.

Um die überwachten Einträge zu finden, wechseln Sie zu Anwendungen und Dienste > Microsoft > Windows > Windows Defender > Operational.

Verwenden Sie Defender für Endpunkt, um mehr Details für jedes Ereignis zu erhalten. Diese Details sind besonders hilfreich für die Untersuchung von Regeln zur Verringerung der Angriffsfläche. Mithilfe der Defender für Endpunkt-Konsole können Sie Probleme im Rahmen der Warnungszeitachse und untersuchungsszenarien untersuchen.

Sie können den Überwachungsmodus mithilfe von Gruppenrichtlinien, PowerShell und Konfigurationsdienstanbietern (Configuration Service Providers, CSPs) aktivieren.

Tipp

Sie können auch die Windows Defender Testground-Website unter demo.wd.microsoft.com besuchen, um zu bestätigen, dass die Features funktionieren und wie sie funktionieren.

Überwachungsoptionen So aktivieren Sie den Überwachungsmodus Anzeigen von Ereignissen
Überwachung gilt für alle Ereignisse Kontrollierte Ordnerzugriff aktivieren Kontrollierte Ordnerzugriffsereignisse
Überwachung gilt für einzelne Regeln Schritt 1: Testen von ASR-Regeln mithilfe der Überwachung Schritt 2: Grundlegendes zur Berichtsseite für Attack Surface Reduction-Regeln
Überwachung gilt für alle Ereignisse Netzwerkschutz aktivieren Netzwerkschutzereignisse
Die Überwachung gilt für einzelne Risikominderungen Aktivieren des Exploit-Schutzes Exploit-Schutzereignisse

Anzeigen der Ereignisse zur Verringerung der Angriffsfläche

Überprüfen Sie die Ereignisse zur Verringerung der Angriffsfläche in der Ereignisanzeige, um zu überwachen, welche Regeln oder Einstellungen funktionieren. Sie können auch feststellen, ob Einstellungen zu "laut" sind oder sich auf Ihren täglichen Workflow auswirken.

Das Überprüfen von Ereignissen ist praktisch, wenn Sie die Features auswerten. Sie können den Überwachungsmodus für Features oder Einstellungen aktivieren und dann überprüfen, was passiert wäre, wenn sie vollständig aktiviert wären.

In diesem Abschnitt werden alle Ereignisse, die zugehörigen Features oder Einstellungen aufgelistet und beschrieben, wie Sie benutzerdefinierte Ansichten erstellen, um nach bestimmten Ereignissen zu filtern.

Erhalten Sie detaillierte Berichte zu Ereignissen, Blöcken und Warnungen als Teil Windows-Sicherheit, wenn Sie über ein E5-Abonnement verfügen und Microsoft Defender für Endpunktverwenden.

Verwenden von benutzerdefinierten Ansichten zum Überprüfen der Attack Surface Reduction-Funktionen

Erstellen Sie benutzerdefinierte Ansichten in der Windows Ereignisanzeige, um nur Ereignisse für bestimmte Funktionen und Einstellungen anzuzeigen. Die einfachste Möglichkeit besteht darin, eine benutzerdefinierte Ansicht als XML-Datei zu importieren. Sie können den XML-Code direkt von dieser Seite kopieren.

Sie können auch manuell zum Ereignisbereich navigieren, der dem Feature entspricht.

Importieren einer vorhandenen benutzerdefinierten XML-Ansicht

  1. Erstellen Sie eine leere .txt Datei, und kopieren Sie den XML-Code für die benutzerdefinierte Ansicht, die Sie verwenden möchten, in die datei .txt. Führen Sie dies für jede benutzerdefinierte Ansicht aus, die Sie verwenden möchten. Benennen Sie die Dateien wie folgt um (stellen Sie sicher, dass Sie den Typ von .txt in .xml ändern):

    • Ereignisse für den kontrollierten Ordnerzugriff in der benutzerdefinierten Ansicht: cfa-events.xml
    • Exploit-Schutzereignisse benutzerdefinierte Ansicht: ep-events.xml
    • Benutzerdefinierte Ansicht für Attack Surface Reduction-Ereignisse: asr-events.xml
    • Benutzerdefinierte Ansicht für Netzwerk-/Schutzereignisse: np-events.xml
  2. Geben Sie die Ereignisanzeige in die Startmenü ein, und öffnen Sie die Ereignisanzeige.

  3. Auswählen der benutzerdefinierten Ansicht zum Importieren von > Aktionen...

    Animation, die die benutzerdefinierte Ansicht importieren auf der linken Seite des Fensters "Gerade Anzeige" hervorhebt.

  4. Navigieren Sie zu der Stelle, an der Sie die XML-Datei für die gewünschte benutzerdefinierte Ansicht extrahiert haben, und wählen Sie sie aus.

  5. Klicken Sie auf Öffnen.

  6. Es wird eine benutzerdefinierte Ansicht erstellt, die filtert, um nur die Ereignisse im Zusammenhang mit diesem Feature anzuzeigen.

Xml direkt kopieren

  1. Geben Sie die Ereignisanzeige in die Startmenü ein, und öffnen Sie die Windows-Ereignisanzeige.

  2. Wählen Sie im linken Bereich unter "Aktionen" die Option "Benutzerdefinierte Ansicht erstellen" aus...

    Animation, die die Option zum Erstellen einer benutzerdefinierten Ansicht im Fenster der Ereignisanzeige hervorhebt.

  3. Wechseln Sie zur XML-Registerkarte, und wählen Sie Abfrage manuell bearbeiten aus. Es wird eine Warnung angezeigt, dass Sie die Abfrage nicht mithilfe der Registerkarte "Filter" bearbeiten können, wenn Sie die XML-Option verwenden. Wählen Sie Ja aus.

  4. Fügen Sie den XML-Code für das Feature, aus dem Sie Ereignisse filtern möchten, in den XML-Abschnitt ein.

  5. Wählen Sie OK aus. Geben Sie einen Namen für den Filter an. Dadurch wird eine benutzerdefinierte Ansicht erstellt, die filtert, um nur die Ereignisse im Zusammenhang mit diesem Feature anzuzeigen.

XML für Regelereignisse zur Verringerung der Angriffsfläche

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML für Ereignisse des kontrollierten Ordnerzugriffs

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML für Exploit-Schutz-Ereignisse

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML für Netzwerkschutzereignisse

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste der Ereignisse zur Verringerung der Angriffsfläche

Alle Ereignisse zur Verringerung der Angriffsfläche befinden sich unter Anwendungs- und Dienstprotokolle > Microsoft > Windows und dann unter dem Ordner oder Anbieter, wie in der folgenden Tabelle aufgeführt.

Sie können auf diese Ereignisse in Windows Ereignisanzeige zugreifen:

  1. Öffnen Sie das Startmenü, geben Sie die Ereignisanzeige ein, und wählen Sie dann das Ergebnis der Ereignisanzeige aus.

  2. Erweitern Sie die Anwendungs- und Dienstprotokolle > Microsoft > Windows, und wechseln Sie dann zu dem Ordner, der in der folgenden Tabelle unter "Anbieter/Quelle" aufgeführt ist.

  3. Doppelklicken Sie auf das Unterelement, um Ereignisse anzuzeigen. Scrollen Sie durch die Ereignisse, um das gesuchte Ereignis zu finden.

    Animation, die mithilfe der Ereignisanzeige angezeigt wird.



Feature Anbieter/Quelle Ereignis-ID Beschreibung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 1 ACG-Überwachung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 2 ACG-Erzwingung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 3 Untergeordnete Prozesse nicht zulassen (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 4 Untergeordnete Prozesse nicht zulassen (Blockierung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 5 Blockieren von Abbildern mit niedriger Integrität (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 6 Blockieren von Abbildern mit niedriger Integrität (Blockierung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 7 Blockieren von Remote-Abbildern (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 8 Blockieren von Remote-Abbildern (Blockierung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 9 Win32k Systemaufrufe deaktivieren (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 10 Win32k Systemaufrufe deaktivieren (Blockierung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 11 Codeintegrität (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 12 Codeintegrität (Blockierung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 13 EAF-Überwachung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 14 EAF-Erzwingung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 15 EAF+ (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 16 EAF + Erzwingung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 17 IAF-Überwachung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 18 IAF-Erzwingung
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 19 ROP StackPivot (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 20 ROP StackPivot (Erzwingen)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 21 ROP CallerCheck (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 22 ROP CallerCheck (Erzwingen)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 23 ROP SimExec (Überwachung)
Exploit-Schutz Security-Mitigations (Kernelmodus/Benutzermodus) 24 ROP SimExec (Erzwingen)
Exploit-Schutz WER-Diagnose 5 CFG (Blockieren)
Exploit-Schutz Win32K (Betriebsbereit) 260 Nicht vertrauenswürdige Schriftart
Netzwerkschutz Windows Defender (Betriebsbereit) 5007 Ereignis, wenn Einstellungen geändert werden
Netzwerkschutz Windows Defender (Betriebsbereit) 1125 Ereignis, wenn der Netzwerkschutz im Überwachungsmodus ausgelöst wird
Netzwerkschutz Windows Defender (Betriebsbereit) 1126 Ereignis beim Auslösen des Netzwerkschutzes im Blockierungsmodus
Kontrollierter Ordnerzugriff Windows Defender (Betriebsbereit) 5007 Ereignis, wenn Einstellungen geändert werden
Kontrollierter Ordnerzugriff Windows Defender (Betriebsbereit) 1124 Überwachtes Ereignis für den kontrollierten Ordnerzugriff
Kontrollierter Ordnerzugriff Windows Defender (Betriebsbereit) 1123 Blockiertes Ereignis für den kontrollierten Ordnerzugriff
Kontrollierter Ordnerzugriff Windows Defender (Betriebsbereit) 1127 Blockierungsereignis für blockierten Ordnerzugriffssektor
Kontrollierter Ordnerzugriff Windows Defender (Betriebsbereit) 1128 Überwachter kontrollierter Ordnerzugriffssektor – Schreibblockereignis
Verringerung der Angriffsfläche Windows Defender (Betriebsbereit) 5007 Ereignis, wenn Einstellungen geändert werden
Verringerung der Angriffsfläche Windows Defender (Betriebsbereit) 1122 Ereignis, wenn die Regel im Überwachungsmodus ausgelöst wird
Verringerung der Angriffsfläche Windows Defender (Betriebsbereit) 1121 Ereignis beim Auslösen der Regel im Blockierungsmodus

Hinweis

Aus Sicht des Benutzers werden Benachrichtigungen im ASR-Warnmodus als Windows Popupbenachrichtigung für Attack Surface Reduction-Regeln ausgeführt.

In ASR bietet Netzwerkschutz nur Überwachungs- und Blockierungsmodi.

Ressourcen, um mehr über die Verringerung der Angriffsfläche zu erfahren

Wie im Video erwähnt, enthält Defender für Endpunkt mehrere Funktionen zur Verringerung der Angriffsfläche. Verwenden Sie die folgenden Ressourcen, um mehr zu erfahren:

Artikel Beschreibung
Hardwarebasierte Isolation Schützen und verwalten Sie die Integrität eines Systems, während es gestartet wird und während der Ausführung. Überprüfen der Systemintegrität durch lokale und Remotenachweise. Verwenden Sie die Containerisolation für Microsoft Edge zum Schutz vor schädlichen Websites.
Anwendungssteuerung Verwenden Sie die Anwendungssteuerung, damit Ihre Anwendungen vertrauen müssen, damit sie ausgeführt werden können.
Kontrollierter Ordnerzugriff Verhindern Sie, dass schädliche oder verdächtige Apps (einschließlich dateiverschlüsselender Ransomware-Schadsoftware) Änderungen an Dateien in Ihren wichtigen Systemordnern vornehmen (erfordert Microsoft Defender Antivirus)
Netzwerkschutz Erweitern Sie den Schutz für Ihren Netzwerkdatenverkehr und die Konnektivität auf den Geräten Ihrer Organisation. (Erfordert Microsoft Defender Antivirus)
Exploit-Schutz Schützen Sie die Betriebssysteme und Apps, die Ihre Organisation verwendet, vor Exploits. Exploit-Schutz funktioniert auch mit Antivirenlösungen von Drittanbietern.
Regeln zur Verringerung der Angriffsfläche Mit intelligenten Regeln, die dazu beitragen, Schadsoftware anzuhalten, werden Sicherheitsrisiken (Angriffsflächen) in Ihren Anwendungen reduziert. (Erfordert Microsoft Defender Antivirus).
Gerätesteuerung Schützt vor Datenverlust, indem Medien überwacht und gesteuert werden, die auf Geräten wie Wechselmedien und USB-Laufwerken in Ihrer Organisation verwendet werden.