Vanliga frågor och svar om att minska attackytan

Är minskning av attackytan (ASR) en del av Windows?

ASR var ursprungligen en funktion i paketet med sårbarhetsskydd-funktioner som introducerades i en större uppdatering för Microsoft Defender Antivirus, Windows 10, version 1709. Microsoft Defender Antivirus är den inbyggda antimalware-komponenten i Windows. Den fullständiga ASR-funktionsuppsättningen är dock bara tillgänglig med en Windows för företag. Observera även att undantag för ASR-regler hanteras separat Microsoft Defender Antivirus undantag.

Måste jag ha en företagslicens för att köra ASR-regler?

Hela uppsättningen ASR-regler och funktioner stöds endast om du har en företagslicens för Windows 10 eller Windows 11. Ett begränsat antal regler kan fungera utan en företagslicens. Om du har Microsoft 365 Business anger Microsoft Defender Antivirus som din primära säkerhetslösning och aktiverar reglerna via PowerShell. Att använda ASR utan en företagslicens stöds inte officiellt och du kommer inte att kunna använda de fullständiga funktionerna i ASR.

Mer information om Windows finns i Windows 10 licensiering och få volymlicensieringsguiden för Windows 10.

Stöds ASR om jag har en E3-licens?

Ja. ASR stöds för Windows Enterprise, E3 och högre.

Vilka funktioner stöds med en E5-licens?

Alla regler som stöds med E3 stöds också med E5.

E5 lägger till större integrering med Defender för Endpoint. Med E5 kan du visa aviseringar i realtid, finjustera undantag för regler, konfigurera ASR-regler och visa listor med händelserapporter.

Vilka asr-regler stöds för närvarande?

ASR har för närvarande stöd för alla regler nedan.

Vilka regler bör aktiveras? Alla, eller kan jag aktivera enskilda regler?

För att hjälpa dig att ta reda på vad som passar bäst för din miljö rekommenderar vi att du aktiverar ASR-regler i granskningsläge. Med den här metoden kan du avgöra hur det kan påverka organisationen. Till exempel dina affärsprogram.

Hur fungerar undantag för ASR-regler?

Om du lägger till ett undantag för ASR-regler påverkar det alla ASR-regler.

ASR-regler utesluter jokertecken, sökvägar och miljövariabler. Mer information om hur du använder jokertecken i ASR-regler finns i konfigurera och validera undantag baserat på filtillägg och mappplats.

Tänk på följande om ASR-undantag för regler (inklusive jokertecken och env). variabler):

  • UNDANTAG för ASR-regler är oberoende Microsoft Defender Antivirus undantag
  • Jokertecken kan inte användas för att definiera en enhetsbeteckning
  • Om du vill utesluta fler än en mapp i en sökväg använder du flera instanser av \ för att ange flera kapslade *mappar (till exempel c:\Mapp**\Test)
  • Microsoft Endpoint Configuration Manager stöder inte jokertecken (* eller ?)
  • Om du vill utesluta en fil som innehåller slumpmässiga tecken (automatisk generering av filer) kan du använda symbolen "?", till exempel C:\Mapp\fileversion?.docx)
  • ASR-undantag i Grupprincip stöder inte citattecken (motorn hanterar inbyggda långa sökvägar, blanksteg osv., så du behöver inte använda citattecken)
  • ASR-regler körs under NT AUTHORITY\SYSTEM-konto, så miljövariabler begränsas till maskinvariabler.

Hur vet jag vad jag behöver utesluta?

Olika ASR-regler har olika skyddsflöden. Tänk alltid på vad ASR-regeln du konfigurerar skyddar mot och hur det faktiska körningsflödet panorerar ut.

Exempel: Blockera att autentiseringsuppgifter stjäls från undersystemet i Windows local security authority Reading direkt från LSASS-processen (Local Security Authority Subsystem) kan vara en säkerhetsrisk eftersom det kan exponera företagets autentiseringsuppgifter.

Den här regeln förhindrar att icke betrodda processer har direkt åtkomst till LSASS-minnet. När en process försöker använda funktionen OpenProcess() för att komma åt LSASS, med åtkomst till höger PROCESS_VM_READ, blockeras den åtkomstbehörigheten specifikt av regeln.

blockera att autentiseringsuppgifter stjäl LSASS

I exemplet ovan gäller att om du var tvungen att skapa ett undantag för processen där åtkomsten till höger blockerades skulle filnamnet tillsammans med den fullständiga sökvägen uteslutas från att blockeras och när åtkomst till LSASS-processminnet är tillåtet. Värdet 0 innebär att ASR-reglerna ignorerar den här filen/processen och inte blockerar/granskar den.

undanta filer som

Vilka regler rekommenderar Microsoft att aktivera?

Vi rekommenderar att du aktiverar alla möjliga regler. Det finns dock vissa fall där du inte bör aktivera en regel. Vi rekommenderar till exempel inte att du aktiverar regeln Om du använder Microsoft Endpoint Configuration Manager (eller System Center Configuration Manager – SCCM) för att hantera slutpunkter.

Vi rekommenderar att du läser varje regelspecifik information och/eller varningar som finns tillgängliga i vår offentliga dokumentation. som sträcker sig över flera pelar av skydd, Office, autentiseringsuppgifter, skript, e-post osv. Alla ASR-regler, förutom blockering genom WMI-händelseprenumeration, stöds Windows 1709 och senare:

Vilka är några bra rekommendationer för att komma igång med ASR?

Testa hur ASR-regler påverkar organisationen innan du aktiverar dem genom att köra ASR-regler i granskningsläge under en kort tidsperiod. När du kör reglerna i granskningsläge kan du identifiera alla affärsprogram som kan blockeras felaktigt och utesluta dem från ASR.

Större organisationer bör överväga att distribuera ASR-regler i "ringar" genom att granska och möjliggöra regler i allt bredare delmängder av enheter. Du kan ordna organisationens enheter i ringar med hjälp av Intune eller ett grupprinciphanteringsverktyg.

Hur lång tid tar det innan jag aktiverar en ASR-regel i granskningsläge?

Behåll regeln i granskningsläge i ca 30 dagar för att få en bra baslinje för hur regeln fungerar när den fungerar i hela organisationen. Under granskningsperioden kan du identifiera alla affärsprogram som kan blockeras av regeln och konfigurera regeln så att de utesluts.

Jag byter från en säkerhetslösning från tredje part till Defender för Endpoint. Finns det ett "enkelt" sätt att exportera regler från en annan säkerhetslösning till ASR?

I de flesta fall är det enklare och bättre att börja med baslinjerekommendationerna som föreslås av Defender för slutpunkten än att försöka importera regler från en annan säkerhetslösning. Använd sedan verktyg som granskningsläge, övervakning och analys för att konfigurera den nya lösningen så att den passar dina unika behov.

Standardkonfigurationen för de flesta ASR-regler, i kombination med Defender för Endpoints realtidsskydd, kommer att skydda mot ett stort antal sårbarheter och svagheter.

I Defender för slutpunkten kan du uppdatera ditt skydd med anpassade indikatorer för att tillåta och blockera vissa programvarubeteenden. ASR tillåter också vissa anpassning av regler, i form av undantag för filer och mappar. Generellt sett är det bäst att granska en regel under en viss tid och konfigurera undantag för affärsprogram som kan blockeras.

Stöder ASR undantag för filer eller mappar som inkluderar systemvariabler och jokertecken i sökvägen?

Ja. Mer information om hur du använder systemvariabler och jokertecken i uteslutna filsökvägar finns i Exkludera filer och mappar från ASR-regler och Konfigurera och validera undantag baserat på filnamnstillägg och mappsökväg.

Täcker ASR-reglerna alla program som standard?

Det beror på regeln. De flesta ASR-regler omfattar Microsoft Office produkter och tjänster, till exempel Word, Excel, PowerPoint och OneNote, eller Outlook. Vissa ASR-regler, till exempel Blockera körning av potentiellt oönskade skript, är mer allmänna i omfattningen.

Stöder ASR säkerhetslösningar från tredje part?

ASR använder Microsoft Defender Antivirus för att blockera program. Det går för stunden inte att konfigurera ASR att använda en annan säkerhetslösning för blockering.

Jag har en E5-licens och aktiverat vissa ASR-regler tillsammans med Defender för Slutpunkt. Är det möjligt att en ASR-händelse inte visas alls i Defender för Endpoints händelsetidslinje?

När ett meddelande utlöses lokalt av en ASR-regel skickas en rapport om händelsen även till Defender för Slutpunktsportalen. Om du har svårt att hitta händelsen kan du filtrera tidslinjen för händelser med hjälp av sökrutan. Du kan också visa ASR-händelser genom att besöka Gå till hantering av attackytor, från konfigurationshanteringsikonen i Defender för molnet i aktivitetsfältet. Sidan för hantering av attackytor innehåller en flik för rapportidentifiering, som innehåller en fullständig lista över ASR-regelhändelser som rapporterats till Defender för Slutpunkt.

Jag använde en regel med GPO. Nu när jag försöker kontrollera indexeringsalternativen för regeln i Microsoft Outlook får jag ett meddelande om att åtkomst nekas.

Prova att öppna indexeringsalternativen direkt från Windows 10 eller Windows 11.

  1. Välj sökikonen i Windows Aktivitetsfältet.

  2. Ange indexeringsalternativ i sökrutan.

Används villkoren i regeln "Blockera körbara filer från att köras såvida de inte uppfyller ett villkor av hög ålder eller betrodd lista" som kan konfigureras av en administratör?

Nej. Villkoren som används av den här regeln behålls av Microsofts molnskydd, så att listan med betrodda data hela tiden hålls uppdaterad med data som har samlats från hela världen. Lokala administratörer har inte skrivbehörighet för att ändra dessa data. Om du vill konfigurera den här regeln så att den anpassar sig efter ditt företag kan du lägga till vissa program i undantagslistan för att förhindra att regeln utlöses.

Jag aktiverade ASR-regeln "Blockera körbara filer från att köras såvida de inte uppfyller ett villkor för en betrodd lista eller ålder". Efter en stund uppdaterade jag ett program och regeln blockerar den nu, även om den inte gjorde det tidigare. Gick något fel?

Den här regeln förlitar sig på varje program som har ett känt rykte, baserat på ålder eller inkludering i en lista med betrodda appar. Regelns beslut att blockera eller tillåta ett program avgörs i slutänden av Microsofts molnskydds bedömning av dessa villkor.

Normalt kan molnskydd fastställa att en ny version av ett program liknar tidigare versioner att den inte behöver ses över längre. Det kan dock ta lite tid för programmet att bygga upp sitt rykte efter att ha bytt version, särskilt efter en större uppdatering. Under tiden kan du lägga till programmet i undantagslistan för att förhindra att den här regeln blockerar viktiga program. Om du ofta uppdaterar och arbetar med nya versioner av program kan du välja att i stället köra regeln i granskningsläge.

Jag aktiverade nyligen ASR-regeln "Blockera autentiseringsuppgifter som stjäls från Windows lokala säkerhetsutfärdares undersystem (lsass.exe)" och jag får ett stort antal meddelanden. Vad är det som händer?

Ett meddelande som skapas av den här regeln anger inte nödvändigtvis skadlig aktivitet. Den här regeln är dock fortfarande användbar för att blockera skadlig aktivitet, eftersom skadlig programvara ofta riktar lsass.exe att få tillgång till konton. I lsass.exe processen lagras användarautentiseringsuppgifter i minnet när en användare har loggat in. Windows använder de här autentiseringsuppgifterna för att verifiera användare och tillämpa lokala säkerhetsprinciper.

Eftersom många legitima processer under en vanlig dag kommer att anropa samtal lsass.exe autentiseringsuppgifter, kan regeln vara särskilt bullrig. Om ett känt legitimt program orsakar att regeln genererar ett överflödigt antal meddelanden kan du lägga till den i undantagslistan. De flesta andra ASR-regler genererar ett relativt mindre antal meddelanden jämfört med den här, eftersom samtal till lsass.exe är typiskt för många programs normala funktion.

Är det en bra idé att aktivera regeln "Blockera autentiseringsuppgifter som stjäl från Windows lokala säkerhetsutfärdares undersystem (lsass.exe)", tillsammans med LSA-skyddet?

Att aktivera den här regeln ger inte ytterligare skydd om du har aktiverat LSA-skydd . Både regeln och LSA-skyddet fungerar på ungefär samma sätt, så att båda körs samtidigt är redundanta. Men ibland kanske du inte kan aktivera LSA-skydd. I sådana fall kan du aktivera den här regeln för att ge motsvarande skydd mot skadlig programvara som är lsass.exe.

Se även