Aktivera regler för minskning av attackytan

  • Artikel

Gäller för:

Plattformar

  • Windows

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Regler för minskning av attackytan hjälper till att förhindra åtgärder som skadlig kod ofta missbrukar för att kompromettera enheter och nätverk.

Krav

Funktioner för minskning av attackytan i Windows-versioner

Du kan ange regler för minskning av attackytan för enheter som kör någon av följande utgåvor och versioner av Windows:

Om du vill använda hela funktionsuppsättningen med regler för minskning av attackytan behöver du:

  • Microsoft Defender Antivirus som primärT AV (realtidsskydd på)
  • Cloud-Delivery Protection på (vissa regler kräver det)
  • Windows 10 Enterprise E5- eller E3-licens

Även om regler för minskning av attackytan inte kräver en Windows E5-licens, med en Windows E5-licens, får du avancerade hanteringsfunktioner, inklusive övervakning, analys och arbetsflöden som är tillgängliga i Defender för Endpoint, samt rapporterings- och konfigurationsfunktioner i Microsoft Defender XDR-portalen. Dessa avancerade funktioner är inte tillgängliga med en E3-licens, men du kan fortfarande använda Loggboken för att granska regelhändelser för minskning av attackytan.

Varje regel för minskning av attackytan innehåller en av fyra inställningar:

  • Inte konfigurerad | Inaktiverad: Inaktivera regeln för minskning av attackytan
  • Blockera: Aktivera regeln för minskning av attackytan
  • Granskning: Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den aktiveras
  • Varna: Aktivera regeln för minskning av attackytan men tillåt att slutanvändaren kringgår blocket

Vi rekommenderar att du använder regler för minskning av attackytan med en Windows E5-licens (eller liknande licensierings-SKU) för att dra nytta av de avancerade övervaknings- och rapporteringsfunktionerna i Microsoft Defender för Endpoint (Defender för Endpoint). Men om du har en annan licens, till exempel Windows Professional eller Windows E3 som inte innehåller avancerade övervaknings- och rapporteringsfunktioner, kan du utveckla egna övervaknings- och rapporteringsverktyg ovanpå de händelser som genereras vid varje slutpunkt när regler för minskning av attackytan utlöses (till exempel vidarebefordran av händelser).

Tips

Mer information om Windows-licensiering finns i Windows 10 Licensing (Licensiering) och hämta volume licensing guide for Windows 10 (Volymlicensieringsguide för Windows 10).

Du kan aktivera regler för minskning av attackytan med någon av följande metoder:

Hantering på företagsnivå, till exempel Intune eller Microsoft Configuration Manager rekommenderas. Hantering på företagsnivå skriver över eventuella motstridiga grupprincip- eller PowerShell-inställningar vid start.

Undanta filer och mappar från regler för minskning av attackytan

Du kan undanta filer och mappar från att utvärderas av de flesta regler för minskning av attackytan. Det innebär att även om en regel för minskning av attackytan avgör att filen eller mappen innehåller skadligt beteende, blockerar den inte filen från att köras.

Viktigt

Om du undantar filer eller mappar kan skyddet som tillhandahålls av regler för minskning av attackytan avsevärt minskas. Undantagna filer tillåts att köras och ingen rapport eller händelse registreras. Om reglerna för minskning av attackytan identifierar filer som du anser inte bör identifieras bör du använda granskningsläget först för att testa regeln. Ett undantag tillämpas endast när det exkluderade programmet eller tjänsten startar. Om du till exempel lägger till ett undantag för en uppdateringstjänst som redan körs fortsätter uppdateringstjänsten att utlösa händelser tills tjänsten stoppas och startas om.

Tänk på följande när du lägger till undantag:

Principkonflikt

  1. Om en princip i konflikt tillämpas via MDM och GP har inställningen som tillämpas från gp företräde.

  2. Regler för minskning av attackytan för hanterade enheter stöder nu beteende för sammanslagning av inställningar från olika principer, för att skapa en överordnad principuppsättning för varje enhet. Endast de inställningar som inte är i konflikt sammanfogas, medan de som är i konflikt inte läggs till i superuppsättningen med regler. Om två principer tidigare innehöll konflikter för en enda inställning flaggades båda principerna som i konflikt och inga inställningar från någon av profilerna skulle distribueras. Beteendet för regelsammanslagning för minskning av attackytan är följande:

    • Regler för minskning av attackytan från följande profiler utvärderas för varje enhet som reglerna gäller för:
      • Enheter Konfigurationsprofiler >> Endpoint Protection-profil > Microsoft Defender Minskningav attackytan förExploit Guard>.
      • Endpoint Security >Policy för minskning av attackytans policy>Regler för minskning av attackytan.
      • Säkerhetsbaslinjer för slutpunktssäkerhet >> Microsoft Defender regler för minskning av ATP-baslinjeangreppsytan>.
    • Inställningar som inte har konflikter läggs till i en överordnad principuppsättning för enheten.
    • När två eller flera principer har motstridiga inställningar läggs de motstridiga inställningarna inte till i den kombinerade principen, medan inställningar som inte står i konflikt läggs till i den överordnad princip som gäller för en enhet.
    • Endast konfigurationerna för motstridiga inställningar hålls tillbaka.

Konfigurationsmetoder

Det här avsnittet innehåller konfigurationsinformation för följande konfigurationsmetoder:

Följande procedurer för att aktivera regler för minskning av attackytan innehåller instruktioner för hur du exkluderar filer och mappar.

Intune

Enhetskonfigurationsprofiler

  1. Välj Enhetskonfigurationsprofiler>. Välj en befintlig slutpunktsskyddsprofil eller skapa en ny. Om du vill skapa en ny väljer du Skapa profil och anger information för den här profilen. För Profiltyp väljer du Slutpunktsskydd. Om du har valt en befintlig profil väljer du Egenskaper och sedan Inställningar.

  2. I fönstret Slutpunktsskydd väljer du Windows Defender Exploit Guard och sedan Minskning av attackytan. Välj önskad inställning för varje regel för minskning av attackytan.

  3. Under Undantag för minskning av attackytan anger du enskilda filer och mappar. Du kan också välja Importera för att importera en CSV-fil som innehåller filer och mappar som ska undantas från reglerna för minskning av attackytan. Varje rad i CSV-filen ska formateras på följande sätt:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Välj OK i de tre konfigurationsrutorna. Välj sedan Skapa om du skapar en ny endpoint protection-fil eller Spara om du redigerar en befintlig.

Slutpunktssäkerhetsprincip

  1. Välj Minskningav attackytan förslutpunktssäkerhet>. Välj en befintlig regel för minskning av attackytan eller skapa en ny. Om du vill skapa en ny väljer du Skapa Princip och anger information för den här profilen. För Profiltyp väljer du Regler för minskning av attackytan. Om du har valt en befintlig profil väljer du Egenskaper och sedan Inställningar.

  2. I fönstret Konfigurationsinställningar väljer du Minskning av attackytan och väljer sedan önskad inställning för varje regel för minskning av attackytan.

  3. Under Lista över ytterligare mappar som behöver skyddas, Lista över appar som har åtkomst till skyddade mappar och Exkludera filer och sökvägar från regler för minskning av attackytan anger du enskilda filer och mappar. Du kan också välja Importera för att importera en CSV-fil som innehåller filer och mappar som ska undantas från reglerna för minskning av attackytan. Varje rad i CSV-filen ska formateras på följande sätt:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Välj Nästa i de tre konfigurationsrutorna och välj sedan Skapa om du skapar en ny princip eller Spara om du redigerar en befintlig princip.

Anpassad profil i Intune

Du kan använda Microsoft Intune OMA-URI för att konfigurera anpassade regler för minskning av attackytan. Följande procedur använder regeln Blockera missbruk av utnyttjade sårbara signerade drivrutiner för exemplet.

  1. Öppna Microsoft Intune administrationscenter. På startmenyn klickar du på Enheter, väljer Konfigurationsprofiler och klickar sedan på Skapa profil.

    Den Skapa profilsidan i Microsoft Intune administrationscenterportalen.

  2. I Skapa en profil väljer du följande i följande två listrutor:

    • I Plattform väljer du Windows 10 och senare
    • I Profiltyp väljer du Mallar
    • Om regler för minskning av attackytan redan har angetts via Slutpunktssäkerhet väljer du Inställningskatalog i Profiltyp.

    Välj Anpassad och välj sedan Skapa.

    Regelprofilattributen i Microsoft Intune administrationscenterportalen.

  3. Verktyget Anpassad mall öppnas i steg 1 Grundläggande. I 1 Grundläggande, i Namn, skriver du ett namn för mallen och i Beskrivning kan du ange en beskrivning (valfritt).

    De grundläggande attributen i portalen för Microsoft Intune administrationscenter

  4. Klicka Nästa. Steg 2 Konfigurationsinställningar öppnas. För OMA-URI-inställningar klickar du på Lägg till. Två alternativ visas nu: Lägg till och exportera.

    Konfigurationsinställningarna i Microsoft Intune administrationscenterportalen.

  5. Klicka på Lägg till igen. Lägg till rad-OMA-URI-inställningar öppnas. Gör följande i Lägg till rad:

    • I Namn skriver du ett namn för regeln.

    • I Beskrivning skriver du en kort beskrivning.

    • I OMA-URI skriver eller klistrar du in den specifika OMA-URI-länken för regeln som du lägger till. Se MDM-avsnittet i den här artikeln för oma-URI som ska användas för den här exempelregeln. För GUIDS för regelreduktion av attackytan, se Beskrivningar per regel i artikeln: Regler för minskning av attackytan.

    • I Datatyp väljer du Sträng.

    • I Värde skriver eller klistrar du in GUID-värdet, tecknet = och värdet State utan blanksteg (GUID=StateValue). Var:

      • 0: Inaktivera (inaktivera regeln för minskning av attackytan)
      • 1: Blockera (Aktivera regeln för minskning av attackytan)
      • 2: Granskning (Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den är aktiverad)
      • 6: Varna (Aktivera regeln för minskning av attackytan men tillåt slutanvändaren att kringgå blocket)

    OMA-URI-konfigurationen i Microsoft Intune administrationscenterportalen

  6. Välj Spara. Lägg till radstängningar . I Anpassad väljer du Nästa. I steg 3 Omfångstaggar är omfångstaggar valfria. Gör något av följande:

    • Välj Välj omfångstaggar, välj omfångstaggen (valfritt) och välj sedan Nästa.
    • Eller välj Nästa

  7. I steg 4 Tilldelningar, i Inkluderade grupper, för de grupper som du vill att den här regeln ska gälla, väljer du bland följande alternativ:

    • Lägga till grupper
    • Lägga till alla användare
    • Lägg till alla enheter

    Tilldelningarna i Microsoft Intune administrationscenterportalen

  8. I Exkluderade grupper väljer du alla grupper som du vill undanta från den här regeln och väljer sedan Nästa.

  9. I steg 5 Tillämplighetsregler för följande inställningar gör du följande:

    • I Regel väljer du antingen Tilldela profil om eller Tilldela inte profil om

    • I Egenskap väljer du den egenskap som du vill att regeln ska gälla för

    • I Värde anger du det tillämpliga värdet eller värdeintervallet

    Tillämplighetsreglerna i portalen för Microsoft Intune administrationscenter

  10. Välj Nästa. I steg 6 Granska + skapa granskar du de inställningar och den information som du har valt och angett och väljer sedan Skapa.

    Alternativet Granska och skapa i portalen för Microsoft Intune administrationscenter

    Regler är aktiva och aktiva inom några minuter.

Obs!

Konflikthantering:

Om du tilldelar en enhet två olika principer för minskning av attackytan kan potentiella principkonflikter uppstå, beroende på om regler tilldelas olika tillstånd, om konflikthantering finns på plats och om resultatet är ett fel. Icke-konfigurationsregler resulterar inte i ett fel och sådana regler tillämpas korrekt. Den första regeln tillämpas och efterföljande icke-konfigurationsregler slås samman i principen.

MDM

Använd ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP) för att aktivera och ange läget för varje regel individuellt.

Följande är ett referensexempel som använder GUID-värden för referens för regler för minskning av attackytan.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Värdena för att aktivera (Blockera), inaktivera, varna eller aktivera i granskningsläge är:

  • 0: Inaktivera (inaktivera regeln för minskning av attackytan)
  • 1: Blockera (Aktivera regeln för minskning av attackytan)
  • 2: Granskning (Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den är aktiverad)
  • 6: Varna (Aktivera regeln för minskning av attackytan men tillåt slutanvändaren att kringgå blocket). Varningsläget är tillgängligt för de flesta regler för minskning av attackytan.

Använd ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) för att lägga till undantag.

Exempel:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Obs!

Se till att ange OMA-URI-värden utan blanksteg.

Microsoft Configuration Manager

  1. I Microsoft Configuration Manager går du till Tillgångar och efterlevnad>endpoint Protection>Windows Defender Exploit Guard.

  2. Välj Start>Skapa Exploit Guard-princip.

  3. Ange ett namn och en beskrivning, välj Minskning av attackytan och välj Nästa.

  4. Välj vilka regler som ska blockera eller granska åtgärder och välj Nästa.

  5. Granska inställningarna och välj Nästa för att skapa principen.

  6. När principen har skapats väljer du Stäng.

Varning

Det finns ett känt problem med tillämpligheten av Attack Surface Reduction på Server OS-versioner som är markerade som kompatibla utan någon faktisk tillämpning. För närvarande finns det ingen ETA för när detta kommer att åtgärdas.

Grupprincip

Varning

Om du hanterar dina datorer och enheter med Intune, Configuration Manager eller annan hanteringsplattform på företagsnivå skriver hanteringsprogramvaran över eventuella motstridiga grupprincip inställningar vid start.

  1. På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.

  2. I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.

  3. Expandera trädet till Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Minskning av attackytan för Exploit Guard>.

  4. Välj Konfigurera regler för minskning av attackytan och välj Aktiverad. Du kan sedan ange individuellt tillstånd för varje regel i alternativavsnittet. Välj Visa... och ange regel-ID:t i kolumnen Värdenamn och det valda tillståndet i kolumnen Värde enligt följande:

    • 0: Inaktivera (inaktivera regeln för minskning av attackytan)

    • 1: Blockera (Aktivera regeln för minskning av attackytan)

    • 2: Granskning (Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den är aktiverad)

    • 6: Varna (Aktivera regeln för minskning av attackytan men tillåt slutanvändaren att kringgå blocket)

      regler för minskning av attackytan i grupprincip

  5. Om du vill exkludera filer och mappar från regler för minskning av attackytan väljer du inställningen Exkludera filer och sökvägar från reglerna för minskning av attackytan och anger alternativet till Aktiverad. Välj Visa och ange varje fil eller mapp i kolumnen Värdenamn . Ange 0 i kolumnen Värde för varje objekt.

    Varning

    Använd inte citattecken eftersom de inte stöds för kolumnen Värdenamn eller Kolumnen Värde . Regel-ID:t bör inte ha några inledande eller avslutande blanksteg.

PowerShell

Varning

Om du hanterar dina datorer och enheter med Intune, Configuration Manager eller någon annan hanteringsplattform på företagsnivå skriver hanteringsprogramvaran över eventuella motstridiga PowerShell-inställningar vid start.

  1. Skriv powershell i Start-menyn, högerklicka Windows PowerShell och välj Kör som administratör.

  2. Skriv någon av följande cmdletar. (Mer information, till exempel regel-ID, finns i referensen för regler för minskning av attackytan.)

    Uppgift PowerShell-cmdlet
    Aktivera regler för minskning av attackytan Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Aktivera regler för minskning av attackytan i granskningsläge Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Aktivera regler för minskning av attackytan i varningsläge Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Aktivera minskning av attackytan Blockera missbruk av utnyttjade sårbara signerade drivrutiner Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Inaktivera regler för minskning av attackytan Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Viktigt

    Du måste ange tillståndet individuellt för varje regel, men du kan kombinera regler och tillstånd i en kommaavgränsad lista.

    I följande exempel är de två första reglerna aktiverade, den tredje regeln är inaktiverad och den fjärde regeln är aktiverad i granskningsläge: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Du kan också använda PowerShell-verbet Add-MpPreference för att lägga till nya regler i den befintliga listan.

    Varning

    Set-MpPreference skriver över den befintliga uppsättningen regler. Om du vill lägga till i den befintliga uppsättningen använder du Add-MpPreference i stället. Du kan hämta en lista över regler och deras aktuella tillstånd med hjälp Get-MpPreferenceav .

  3. Om du vill undanta filer och mappar från regler för minskning av attackytan använder du följande cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Fortsätt att använda Add-MpPreference -AttackSurfaceReductionOnlyExclusions för att lägga till fler filer och mappar i listan.

    Viktigt

    Använd Add-MpPreference för att lägga till eller lägga till appar i listan. Om du använder cmdleten Set-MpPreference skrivs den befintliga listan över.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.