Verstehen und Verwenden von Funktionen zur Verringerung der Angriffsfläche

Gilt für:

Plattformen

  • Windows

Tipp

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Angriffsflächen sind alle Orte, an denen Ihre organization anfällig für Cyberbedrohungen und Angriffe ist. Defender für Endpunkt umfasst mehrere Funktionen, mit denen Sie Ihre Angriffsfläche reduzieren können. Sehen Sie sich das folgende Video an, um mehr über die Verringerung der Angriffsfläche zu erfahren.

Konfigurieren der Funktionen zur Verringerung der Angriffsfläche

Führen Sie die folgenden Schritte aus, um die Verringerung der Angriffsfläche in Ihrer Umgebung zu konfigurieren:

  1. Aktivieren Sie die hardwarebasierte Isolation für Microsoft Edge.

  2. Aktivieren der Regeln zur Verringerung der Angriffsfläche

  3. Aktivieren Sie die Anwendungssteuerung.

    1. Überprüfen Sie die Basisrichtlinien in Windows. Weitere Informationen finden Sie unter Beispielbasisrichtlinien.
    2. Weitere Informationen finden Sie im Entwurfshandbuch für Windows Defender-Anwendungssteuerung.
    3. Weitere Informationen finden Sie unter Deploying Windows Defender Application Control (WDAC)-Richtlinien.
  4. Aktivieren Sie den kontrollierten Ordnerzugriff.

  5. Aktivieren des Wechselspeicherschutzes

  6. Aktivieren Sie den Netzwerkschutz.

  7. Aktivieren des Webschutzes

  8. Aktivieren Des Exploit-Schutzes.

  9. Richten Sie Ihre Netzwerkfirewall ein.

    1. Verschaffen Sie sich einen Überblick über die Windows-Firewall mit erweiterter Sicherheit.
    2. Verwenden Sie den Entwurfsleitfaden für die Windows-Firewall , um zu entscheiden, wie Sie Ihre Firewallrichtlinien entwerfen möchten.
    3. Verwenden Sie das Bereitstellungshandbuch für die Windows-Firewall, um die Firewall Ihrer organization mit erweiterter Sicherheit einzurichten.

Tipp

In den meisten Fällen können Sie beim Konfigurieren von Funktionen zur Verringerung der Angriffsfläche aus mehreren Methoden wählen:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Gruppenrichtlinien
  • PowerShell-Cmdlets

Testen der Verringerung der Angriffsfläche in Microsoft Defender for Endpoint

Als Teil des Sicherheitsteams Ihres organization können Sie Funktionen zur Verringerung der Angriffsfläche so konfigurieren, dass sie im Überwachungsmodus ausgeführt werden, um zu sehen, wie diese funktionieren. Sie können die folgenden Sicherheitsfeatures zur Verringerung der Angriffsfläche im Überwachungsmodus aktivieren:

  • Regeln zur Verringerung der Angriffsfläche
  • Exploit-Schutz
  • Netzwerkschutz
  • Kontrollierter Ordnerzugriff
  • Gerätesteuerung

Im Überwachungsmodus können Sie einen Datensatz darüber anzeigen, was passiert wäre , wenn Sie das Feature aktiviert hätten.

Sie können den Überwachungsmodus aktivieren, wenn Sie testen, wie die Features funktionieren. Wenn Sie den Überwachungsmodus nur zu Testzwecken aktivieren, können Sie verhindern, dass sich der Überwachungsmodus auf Ihre branchenspezifischen Apps auswirkt. Sie können sich auch eine Vorstellung davon verschaffen, wie viele verdächtige Dateiänderungsversuche über einen bestimmten Zeitraum auftreten.

Die Features blockieren oder verhindern nicht, dass Apps, Skripts oder Dateien geändert werden. Das Windows-Ereignisprotokoll zeichnet ereignisse jedoch so auf, als ob die Features vollständig aktiviert wären. Im Überwachungsmodus können Sie das Ereignisprotokoll überprüfen, um zu sehen, welche Auswirkungen das Feature hätte, wenn es aktiviert wäre.

Um die überwachten Einträge zu finden, wechseln Sie zu Anwendungen und Dienste>Microsoft>Windows>Windows Defender>Operational.

Verwenden Sie Defender für Endpunkt, um ausführlichere Details für jedes Ereignis zu erhalten. Diese Details sind besonders hilfreich für die Untersuchung von Regeln zur Verringerung der Angriffsfläche. Mithilfe der Defender für Endpunkt-Konsole können Sie Probleme im Rahmen der Warnungs- Zeitleiste und Untersuchungsszenarien untersuchen.

Sie können den Überwachungsmodus mithilfe von Gruppenrichtlinie, PowerShell und Konfigurationsdienstanbietern (CSPs) aktivieren.

Überwachungsoptionen Aktivieren des Überwachungsmodus Anzeigen von Ereignissen
Die Überwachung gilt für alle Ereignisse Kontrollierte Ordnerzugriff aktivieren Kontrollierte Ordnerzugriffsereignisse
Die Überwachung gilt für einzelne Regeln Schritt 1: Testen von Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus Schritt 2: Grundlegendes zur Berichterstellungsseite für Regeln zur Verringerung der Angriffsfläche
Die Überwachung gilt für alle Ereignisse Aktivieren des Netzwerkschutzes Netzwerkschutzereignisse
Die Überwachung gilt für einzelne Risikominderungen Aktivieren des Exploit-Schutzes Exploit-Schutzereignisse

Sie können beispielsweise Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus testen, bevor Sie sie aktivieren (Blockmodus). Regeln zur Verringerung der Angriffsfläche sind vordefiniert, um gängige, bekannte Angriffsflächen zu härten. Es gibt mehrere Methoden, mit denen Sie Regeln zur Verringerung der Angriffsfläche implementieren können. Die bevorzugte Methode ist in den folgenden Artikeln zur Bereitstellung von Regeln zur Verringerung der Angriffsfläche dokumentiert:

Anzeigen der Ereignisse zur Verringerung der Angriffsfläche

Überprüfen Sie die Ereignisse zur Verringerung der Angriffsfläche in Ereignisanzeige, um zu überwachen, welche Regeln oder Einstellungen funktionieren. Sie können auch bestimmen, ob Einstellungen zu "laut" sind oder sich auf Ihren täglichen Workflow auswirken.

Das Überprüfen von Ereignissen ist praktisch, wenn Sie die Features auswerten. Sie können den Überwachungsmodus für Features oder Einstellungen aktivieren und dann überprüfen, was passiert wäre, wenn sie vollständig aktiviert wären.

In diesem Abschnitt werden alle Ereignisse, die zugehörigen Features oder Einstellungen aufgelistet, und es wird beschrieben, wie Sie benutzerdefinierte Ansichten erstellen, um nach bestimmten Ereignissen zu filtern.

Erhalten Sie detaillierte Berichte zu Ereignissen, Blöcken und Warnungen im Rahmen von Windows-Sicherheit, wenn Sie über ein E5-Abonnement verfügen und Microsoft Defender for Endpoint verwenden.

Verwenden von benutzerdefinierten Ansichten zum Überprüfen der Möglichkeiten zur Verringerung der Angriffsfläche

Erstellen Sie benutzerdefinierte Ansichten im Windows-Ereignisanzeige, um nur Ereignisse für bestimmte Funktionen und Einstellungen anzuzeigen. Die einfachste Möglichkeit besteht darin, eine benutzerdefinierte Ansicht als XML-Datei zu importieren. Sie können den XML-Code direkt von dieser Seite kopieren.

Sie können auch manuell zu dem Ereignisbereich navigieren, der dem Feature entspricht.

Importieren einer vorhandenen benutzerdefinierten XML-Ansicht

  1. Erstellen Sie eine leere .txt Datei, und kopieren Sie den XML-Code für die benutzerdefinierte Ansicht, die Sie verwenden möchten, in die .txt-Datei. Führen Sie dies für jede der benutzerdefinierten Ansichten aus, die Sie verwenden möchten. Benennen Sie die Dateien wie folgt um (stellen Sie sicher, dass Sie den Typ von .txt in .xml ändern):

    • Benutzerdefinierte Ansicht kontrollierter Ordnerzugriffsereignisse: cfa-events.xml
    • Benutzerdefinierte Ansicht von Exploitschutzereignissen: ep-events.xml
    • Benutzerdefinierte Ansicht von Ereignissen zur Verringerung der Angriffsfläche: asr-events.xml
    • Benutzerdefinierte Ansicht von Netzwerk-/Schutzereignissen: np-events.xml
  2. Geben Sie ereignisanzeige in das Startmenü ein, und öffnen Sie Ereignisanzeige.

  3. Wählen Sie Aktion>Benutzerdefinierte Ansicht importieren... aus.

    Animation mit hervorgehobener benutzerdefinierter Ansicht auf der linken Seite des Fensters

  4. Navigieren Sie zu dem Speicherort, an dem Sie die XML-Datei für die gewünschte benutzerdefinierte Ansicht extrahiert haben, und wählen Sie sie aus.

  5. Klicken Sie auf Öffnen.

  6. Es erstellt eine benutzerdefinierte Ansicht, die filtert, um nur die Ereignisse anzuzeigen, die sich auf dieses Feature beziehen.

Direktes Kopieren des XML-Codes

  1. Geben Sie ereignisanzeige in das Startmenü ein, und öffnen Sie die Windows-Ereignisanzeige.

  2. Wählen Sie im linken Bereich unter Aktionen die Option Benutzerdefinierte Ansicht erstellen... aus.

    Animation zur Hervorhebung der Option

  3. Wechseln Sie zur Registerkarte XML, und wählen Sie Abfrage manuell bearbeiten aus. Es wird eine Warnung angezeigt, dass Sie die Abfrage nicht über die Registerkarte Filter bearbeiten können, wenn Sie die XML-Option verwenden. Wählen Sie Ja.

  4. Fügen Sie den XML-Code für das Feature, aus dem Sie Ereignisse filtern möchten, in den XML-Abschnitt ein.

  5. Wählen Sie OK aus. Geben Sie einen Namen für den Filter an. Mit dieser Aktion wird eine benutzerdefinierte Ansicht erstellt, die filtert, um nur die Ereignisse anzuzeigen, die sich auf dieses Feature beziehen.

XML für Regelereignisse zur Verringerung der Angriffsfläche

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML für Kontrollierte Ordnerzugriffsereignisse

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML für Exploit-Schutzereignisse

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML für Netzwerkschutzereignisse

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste der Ereignisse zur Verringerung der Angriffsfläche

Alle Ereignisse zur Verringerung der Angriffsfläche befinden sich unter Anwendungs- und Dienstprotokolle > Microsoft > Windows und dann im Ordner oder Anbieter, wie in der folgenden Tabelle aufgeführt.

Sie können auf diese Ereignisse in der Windows-Ereignisanzeige zugreifen:

  1. Öffnen Sie das Startmenü, geben Sie Ereignisanzeige ein, und wählen Sie dann das Ereignisanzeige Ergebnis aus.

  2. Erweitern Sie Anwendungs- und Dienstprotokolle > Microsoft > Windows , und wechseln Sie dann zu dem Ordner, der in der folgenden Tabelle unter Anbieter/Quelle aufgeführt ist.

  3. Doppelklicken Sie auf das Unterelement, um Ereignisse anzuzeigen. Scrollen Sie durch die Ereignisse, um das gesuchte Ereignis zu finden.

    Animation, die die Verwendung von Ereignisanzeige zeigt.



Feature Anbieter/Quelle Ereignis-ID Beschreibung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 1 ACG-Überwachung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 2 ACG-Erzwingung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 3 Überwachung von untergeordneten Prozessen nicht zulassen
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 4 Blockieren von untergeordneten Prozessen nicht zulassen
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 5 Blockieren von Abbildern mit niedriger Integrität (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 6 Blockieren von Abbildern mit niedriger Integrität (Blockierung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 7 Blockieren von Remote-Abbildern (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 8 Blockieren von Remote-Abbildern (Blockierung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 9 Win32k Systemaufrufe deaktivieren (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 10 Win32k Systemaufrufe deaktivieren (Blockierung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 11 Codeintegrität (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 12 Codeintegrität (Blockierung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 13 EAF-Überwachung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 14 EAF-Erzwingung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 15 EAF+ (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 16 EAF + Erzwingung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 17 IAF-Überwachung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 18 IAF-Erzwingung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 19 ROP StackPivot (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 20 ROP StackPivot (Erzwingen)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 21 ROP CallerCheck (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 22 ROP CallerCheck (Erzwingen)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 23 ROP SimExec (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 24 ROP SimExec (Erzwingen)
Exploit-Schutz WER-Diagnose 5 CFG (Blockieren)
Exploit-Schutz Win32K (betriebsbereit) 260 Nicht vertrauenswürdige Schriftart
Netzwerkschutz Windows Defender (betriebsbereit) 5007 Ereignis, wenn Einstellungen geändert werden
Netzwerkschutz Windows Defender (betriebsbereit) 1125 Ereignis, wenn der Netzwerkschutz im Überwachungsmodus ausgelöst wird
Netzwerkschutz Windows Defender (betriebsbereit) 1126 Ereignis, wenn der Netzwerkschutz im Blockmodus ausgelöst wird
Kontrollierter Ordnerzugriff Windows Defender (betriebsbereit) 5007 Ereignis, wenn Einstellungen geändert werden
Kontrollierter Ordnerzugriff Windows Defender (betriebsbereit) 1124 Überwachtes Ereignis für den kontrollierten Ordnerzugriff
Kontrollierter Ordnerzugriff Windows Defender (betriebsbereit) 1123 Blockiertes Ereignis für den kontrollierten Ordnerzugriff
Kontrollierter Ordnerzugriff Windows Defender (betriebsbereit) 1127 Blockiertes Ereignis für den kontrollierten Ordnerzugriff auf den Sektor "Schreibblock"
Kontrollierter Ordnerzugriff Windows Defender (betriebsbereit) 1128 Überwachtes Schreibblockereignis für den kontrollierten Ordnerzugriff
Verringerung der Angriffsfläche Windows Defender (betriebsbereit) 5007 Ereignis, wenn Einstellungen geändert werden
Verringerung der Angriffsfläche Windows Defender (betriebsbereit) 1122 Ereignis, wenn die Regel im Überwachungsmodus ausgelöst wird
Verringerung der Angriffsfläche Windows Defender (betriebsbereit) 1121 Ereignis, wenn die Regel im Blockmodus ausgelöst wird

Hinweis

Aus Der Perspektive des Benutzers werden Benachrichtigungen zur Verringerung der Angriffsfläche im Warnmodus als Windows-Popupbenachrichtigung für Regeln zur Verringerung der Angriffsfläche erstellt.

Bei der Verringerung der Angriffsfläche bietet der Netzwerkschutz nur überwachungs- und block-Modi.

Ressourcen, um mehr über die Verringerung der Angriffsfläche zu erfahren

Wie im Video erwähnt, umfasst Defender für Endpunkt mehrere Funktionen zur Verringerung der Angriffsfläche. Verwenden Sie die folgenden Ressourcen, um mehr zu erfahren:

Artikel Beschreibung
Anwendungssteuerung Verwenden Sie die Anwendungssteuerung, damit Ihre Anwendungen vertrauen müssen, damit sie ausgeführt werden können.
Referenz zu Regeln zur Verringerung der Angriffsfläche Enthält Details zu den einzelnen Regel zur Verringerung der Angriffsfläche.
Bereitstellungsleitfaden für Regeln zur Verringerung der Angriffsfläche Enthält Übersichtsinformationen und Voraussetzungen für die Bereitstellung von Regeln zur Verringerung der Angriffsfläche, gefolgt von schrittweisen Anleitungen für Tests (Überwachungsmodus), Aktivieren (Blockmodus) und Überwachung.
Kontrollierter Ordnerzugriff Verhindern Sie, dass schädliche oder verdächtige Apps (einschließlich dateiverschlüsselnder Ransomware-Schadsoftware) Änderungen an Dateien in Ihren wichtigen Systemordnern vornehmen (erfordert Microsoft Defender Antivirus).
Gerätesteuerung Schützt vor Datenverlust, indem Medien überwacht und gesteuert werden, die auf Geräten verwendet werden, z. B. Wechseldatenträger und USB-Laufwerke, in Ihrem organization.
Exploit-Schutz Schützen Sie die Betriebssysteme und Apps, die Ihr organization verwendet, vor Exploits. Der Exploit-Schutz funktioniert auch mit Antivirenprogrammen von Drittanbietern.
Hardwarebasierte Isolation Schützen und verwalten Sie die Integrität eines Systems, während es gestartet und ausgeführt wird. Überprüfen Sie die Systemintegrität durch lokale und Remotenachweise. Verwenden Sie Containerisolation für Microsoft Edge, um sich vor schädlichen Websites zu schützen.
Netzwerkschutz Dehnen Sie den Schutz auf Ihren Netzwerkverkehr und auf die Konnektivität der Geräte Ihrer Organisation aus. (Erfordert Microsoft Defender Antivirus.)
Testen von Regeln zur Verringerung der Angriffsfläche Enthält Schritte zum Verwenden des Überwachungsmodus zum Testen von Regeln zur Verringerung der Angriffsfläche.
Internetschutz Mit dem Webschutz können Sie Ihre Geräte vor Webbedrohungen schützen und unerwünschte Inhalte regulieren.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.