Förutsättningar för ASR-regler för distribution

Innan du börjar

Attackytor är alla platser där organisationen är sårbar för cyberhot och attacker. Din organisations attackytor omfattar alla platser där en attack kan avslöja organisationens enheter eller nätverk. Att minska attackytan innebär att skydda organisationens enheter och nätverk, vilket gör att attacker inte hindras från att bli attackerade. Att konfigurera ASR-regler (Attack Surface Reduction) – en av många säkerhetsfunktioner i Microsoft Defender för Slutpunkt – kan vara till hjälp.

ASR-reglerna riktar sig mot vissa programvarubeteenden, till exempel:

  • Starta körbara filer och skript som försöker ladda ned eller köra filer
  • Köra obfuscated eller på annat sätt misstänkta skript
  • Beteenden som appar inte vanligtvis inträffar under normalt normalt arbete

Genom att minska de olika attackytorna kan du förhindra att attacker sker från början.

Under de inledande förberedelserna är det viktigt att du förstår funktionerna i de system som du kommer att använda. Genom att förstå funktionerna kan du avgöra vilka ASR-regler som är viktigast för att skydda din organisation. Det finns dessutom flera förutsättningar som du måste ta med när du inför ASR-distributionen.

Viktigt

Den här guiden innehåller bilder och exempel som hjälper dig att bestämma hur du konfigurerar ASR-regler. Bilderna och exemplen kanske inte passar de bästa konfigurationsalternativen för din miljö.

Innan du börjar bör du gå igenom Översikt över minskning av attackytan och Avmystifiera minskning av attackytor - del 1 för grundinformation. Bekanta dig med den aktuella uppsättningen ASR-regler för att förstå vilka områden som täcker och kan påverkas. se Referens för minskning av attackytan.

ASR-regler är endast en funktion för minskning av attackytan i Microsoft Defender för Endpoint. Det här dokumentet kommer att gå in på mer information om hur du använder ASR-regler effektivt för att stoppa avancerade hot som utpressningstrojaner och andra hot.

Regler efter kategori

Som beskrivs i Använd regler för att minska attackytan för att förhindra skadlig smitta finns det flera minskningsregler för attackytor i MDE som du kan aktivera för att skydda organisationen. Här följer reglerna som är uppdelade efter kategori:


Polymorfiska hot Röran & autentiseringsstöld Produktivitetsprogramsregler E-postregler Skriptregler Misc-regler
Blockera körbara filer från att köras såvida de inte uppfyller en bedömningsansvarig (1000 datorer), ålder (24 t) eller betrodda listvillkor Blockera processskapanden som kommer från PSExec- och WMI-kommandon Blockera Office appar från att skapa körbart innehåll Blockera körbart innehåll från e-postklient och webbaserad e-post Blockera obfuscated JS/VBS/PS/macro code Blockera missbruk av utnyttjas sårbara signerade drivrutiner [1]
Blockera icke betrodda och osignerade processer som körs från USB Blockera att autentiseringsuppgifter stjäls från Windows lokala säkerhetsutfärdares undersystem (lsass.exe)[2] Blockera Office appar från att skapa underordnade processer Blockera endast Office kommunikationsprogram från att skapa underordnade processer Blockera JS/VBS från att starta hämtat körbart innehåll
Använd avancerat skydd mot utpressningstrojaner Blockera beständighet via WMI-händelseprenumeration Blockera Office-appar från att mata in kod i andra processer Blockera Office från att skapa underordnade processer
Blockera Adobe Reader från att skapa underordnade processer

(1) Blockera missbruk av utnyttjas sårbara signerade drivrutiner är för närvarande inte tillgängligt i SÄKERHET för MEM Endpoint. Du kan konfigurera den här regeln med MEM OMA-URI.

(2) Vissa ASR-regler genererar betydande brus, men blockerar inte funktioner. Om du till exempel uppdaterar Chrome: Chrome kommer åt lsass.exe; lösenord lagras i lsass på enheten. Chrome bör dock inte ha åtkomst till lokala enheter lsass.exe. Om du aktiverar regeln för att blockera åtkomst till lsass genereras många händelser. Dessa händelser är bra händelser eftersom processen för programuppdatering inte ska komma åt lsass.exe. Om du aktiverar den här regeln blockeras Chrome-uppdateringar från att komma åt lsass, men Chrome blockeras inte från att uppdateras. Det gäller även andra program som ringer onödiga samtal för att lsass.exe. Blockering av åtkomst till lsass-regeln blockerar onödiga anrop till lsass, men blockerar inte programmet från att köras.

Krav på infrastrukturen

Även om det är möjligt att implementera ASR-regler på flera sätt baseras den här guiden på en infrastruktur som består av:

  • Azure Active Directory
  • Microsoft Endpoint Management (MEM)
  • Windows 10 och Windows 11 enheter
  • Microsoft Defender för licenser för Slutpunkt E5 Windows E5

Om du vill dra full nytta av ASR-regler och rapportering rekommenderar vi att du använder en Microsoft 365 Defender E5- Windows E5-licens och A5. Läs mer: Minimikraven för Microsoft Defender för Endpoint.

Anteckning

Det finns flera metoder för att konfigurera ASR-regler. ASR-regler kan konfigureras med: Microsoft Endpoint Manager (MEM), PowerShell, Grupprincip, Microsoft System Center Configuration Manager (SCCM), MEM OMA-URI. Om du använder en annan infrastrukturkonfiguration än vad som anges för krav på infrastrukturen (ovan ) kan du läsa mer om hur du använder regler för att minska attackytan med hjälp av andra konfigurationer här: Aktivera minskningsregler för attackytor.

ASR-regelsamband

Microsoft Defender Antivirus måste vara aktiverat och konfigurerat som primär antivirusprogram och måste vara i följande läge:

  • Primär antivirus-/antimalwarelösning
  • Tillstånd: Aktivt läge

Microsoft Defender Antivirus får inte vara i något av följande lägen:

  • Passiv form
  • Passivt läge med identifiering av slutpunkt och svar (Identifiering och åtgärd på slutpunkt) i blockläge
  • Begränsad regelbunden genomsökning (LPS)
  • Av

Mer information: Moln levererat skydd och Microsoft Defender Antivirus.

Molnskydd (MAPS) måste vara aktiverat

Microsoft Defender Antivirus fungerar smidigt med Microsofts molntjänster. De här molnskyddstjänster, som även kallas MICROSOFT Advanced Protection Service (MAPS), förbättrar standard realtidsskydd, vilket är en bra antiviruslösning. Molnskydd är viktigt för att förhindra överträdelser mot skadlig programvara och en kritisk komponent i ASR-regler. Aktivera moln levererat skydd i Microsoft Defender Antivirus.

Microsoft Defender Antivirus måste vara aktuella versioner

Följande Microsoft Defender Antivirus-komponentversionerna får inte vara fler än två versioner äldre än den mest tillgängliga versionen:

  • Microsoft Defender Antivirus version av plattformsuppdatering – Microsoft Defender Antivirus-plattformen uppdateras varje månad.
  • Microsoft Defender Antivirus - Microsoft Defender Antivirus uppdateras varje månad.
  • Microsoft Defender Antivirus säkerhetsintelligens – Microsoft uppdaterar kontinuerligt säkerhetsinformation i Microsoft Defender (kallas även definition och signatur) för att hantera de senaste hoten och förfina identifieringslogiken.

Att Microsoft Defender Antivirus versioner aktuella hjälper till att minska antalet felaktiga positiva resultat i ASR-regler och Microsoft Defender Antivirus funktioner för identifiering. Mer information om de aktuella versionerna och hur du uppdaterar de olika Microsoft Defender Antivirus finns i supporten Microsoft Defender Antivirus-plattformen.

Distributionssteg för ASR-regler

Precis som vid alla nya, storskaliga implementeringar som potentiellt kan påverka företagets verksamhet är det viktigt att vara metodisk när det gäller planering och implementering. På grund av de kraftfulla funktionerna i ASR-regler för att förhindra skadlig programvara är det nödvändigt att noggrant planera och distribuera dessa regler för att säkerställa att de fungerar bäst för dina unika kundarbetsflöden. För att arbeta i din miljö måste du planera, testa, implementera och driftisera ASR-regler noggrant.

DISTRIBUTIONSfaser för ASR-regler

Anteckning

För kunder som använder en icke-Microsoft HIPS och flyttar över till Microsoft Defender för Endpoints minskningsregler för attackytan: Microsoft ger kunderna råd om att köra sin HIPS-lösning sida vid sida med distributionen av ASR-regler tills du flyttar från granskning till blockläge. Kom ihåg att du måste kontakta din tredjepartsleverantör för att få undantagsrekommendationer.

Ytterligare avsnitt i den här distributionssamlingen

Fas 1: Planera

Fas 2: Test

Fas 3: Implementera

Fas 4: Operationalisera

Referens

Bloggar

Avmystifiera minskningsregler för attackytor – del 1

Avmystifiera minskningsregler för attackytan – del 2

Avmystifiera minskningsregler för attackytan – del 3

Avmystifiera minskningsregler för attackytan - del 4

ASR-samling

Översikt för minskning av attackytan

Använd minskningsregler för attackytan för att förhindra skadlig smitta

Aktivera regler för minskning av attackytan

Referens för minskning av attackytan

Vanliga frågor och svar för minskning av attackytan

Microsoft Defender

Åtgärda falska positiva/negativa i Microsoft Defender för Endpoint

Molnbaserat skydd och Microsoft Defender Antivirus

Aktivera moln levererat skydd i Microsoft Defender Antivirus

Konfigurera och validera undantag baserat på tillägg, namn eller plats

Microsoft Defender Antivirus-plattformsstöd

Översikt över inventeringen Microsoft 365-applikationer administrationscentret

Skapa en distributionsplan för Windows

Använda rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT i Intune

Tilldela enhetsprofiler i Microsoft Intune

Hanteringswebbplatser

Microsoft Endpoint Manager administrationscenter

Minskning av attackytan

ASR-regler Konfigurationer

Undantag för ASR-regler