Förstå och använda funktioner för att minska attackytan
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Attackytor är alla platser där organisationen är sårbar för cyberhot och attacker. Defender för Slutpunkt innehåller flera funktioner som hjälper dig att minska attackytorna. I följande video får du lära dig mer om hur du minskar attackytan.
Konfigurera funktioner för minskning av attackytan
Konfigurera minskning av attackytan i din miljö genom att följa de här stegen:
Aktivera programkontroll.
- Granska basprinciper i Windows. Se Exempel på basprinciper.
- Se Windows Defender för designguiden för Programkontroll.
- Mer information finns i Windows Defender programkontrollprinciper (WDAC).
Konfigurera nätverkets brandvägg.
- Få en översikt över Windows Defender brandväggen med avancerad säkerhet.
- Använd guiden Windows Defender för att bestämma hur du vill utforma brandväggsprinciperna.
- Använd Windows Defender för brandväggsdistribution för att konfigurera din organisations brandvägg med avancerad säkerhet.
Tips
När du konfigurerar funktioner för att minska attackytan kan du i de flesta fall välja mellan flera metoder:
- Microsoft Endpoint Manager (som nu innehåller Microsoft Intune och Microsoft Endpoint Configuration Manager)
- Grupprincip
- PowerShell-cmdlets
Minska testytans attackyta i Microsoft Defender för Endpoint
Som en del av organisationens säkerhetsteam kan du konfigurera funktioner för att minska attackytan i granskningsläge och se hur de kommer att fungera. I granskningsläge kan du aktivera:
- Regler för minskning av attackytan
- Exploateringsskydd
- Nätverksskydd
- Och kontrollerad mappåtkomst i granskningsläge
I granskningsläget kan du se vad som skulle ha hänt om du hade aktiverat funktionen.
Du kan aktivera granskningsläge när du testar hur funktionerna fungerar. Att bara aktivera granskningsläge för tester hjälper till att förhindra att granskningsläget påverkar dina verksamhetsbaserade appar. Du kan också få en uppfattning om hur många misstänkta filändringsförsök som görs under en viss tidsperiod.
Funktionerna blockerar eller förhindrar inte att appar, skript eller filer ändras. Men i Windows händelseloggen visas händelser som om funktionerna är helt aktiverade. Med granskningsläge kan du granska händelseloggen och se vilken effekt funktionen skulle ha haft om den var aktiverad.
Du hittar de granskade posterna genom att gå till Program och tjänster som > Microsoft > Windows > Windows Defender > drift.
Använd Defender för Slutpunkt för att få mer information om varje händelse. Den här informationen är särskilt användbar när du behöver undersöka regler för att minska attackytan. Med Defender för slutpunktskonsolen kan du undersöka problem som en del av scenarierna för aviseringstid och undersökning.
Du kan aktivera granskningsläge med grupprincip-, PowerShell- och konfigurationstjänstleverantörer (CSP).
Tips
Du kan också besöka webbplatsen Windows Defender Testground på demo.wd.microsoft.com för att bekräfta att funktionerna fungerar och se hur de fungerar.
| Granskningsalternativ | Så här aktiverar du granskningsläge | Så här visar du händelser |
|---|---|---|
| Granskning gäller för alla händelser | Aktivera kontrollerad mappåtkomst | Kontrollerade mappåtkomsthändelser |
| Granskning gäller för enskilda regler | Steg 1: Testa ASR-regler med granskning | Steg 2: Förstå rapportsidan för att minska attackytan |
| Granskning gäller för alla händelser | Aktivera nätverksskydd | Nätverksskyddshändelser |
| Granskning gäller för enskilda åtgärder | Aktivera exploateringsskydd | Sårbarhetsskyddshändelser |
Visa händelser för minskning av attackytan
Granska händelser för att minska attackytan i Loggboken för att övervaka vilka regler eller inställningar som fungerar. Du kan också bestämma om några inställningar är för "bullriga" eller påverkar det dagliga arbetsflödet.
Det kan vara användbart att granska händelser när du utvärderar funktionerna. Du kan aktivera granskningsläge för funktioner eller inställningar och sedan granska vad som skulle ha hänt om de var aktiverade.
I det här avsnittet visas alla händelser, deras associerade funktioner eller inställningar och du får en beskrivning av hur du skapar anpassade vyer för att filtrera efter specifika händelser.
Få detaljerad rapportering om händelser, block och varningar som en del av Windows-säkerhet om du har en E5-prenumeration och använder Microsoft Defender för Slutpunkt.
Använda anpassade vyer för att granska funktioner för att minska attackytan
Skapa anpassade vyer i Windows loggboken om du bara vill visa händelser för specifika funktioner och inställningar. Det enklaste sättet är att importera en anpassad vy som en XML-fil. Du kan kopiera XML-koden direkt från den här sidan.
Du kan också manuellt navigera till det händelseområde som motsvarar funktionen.
Importera en befintlig ANPASSAD XML-vy
Skapa en tom .txt och kopiera XML för den anpassade vy du vill använda till den .txt filen. Gör så här för var och en av de anpassade vyer som du vill använda. Byt namn på filerna på följande sätt (se till att du ändrar typ från .txt till .xml):
- Kontrollerad mappåtkomsthändelser, anpassad vy: cfa-events.xml
- Den anpassade vyn för sårbarhetsskyddshändelser: ep-events.xml
- Anpassad vy för minskning av attackytor: asr-events.xml
- Anpassad vy för nätverks- och skyddshändelser: np-events.xml
Skriv in loggboken i Start-menyn och öppna Loggboken.
Välj Anpassad > vy för åtgärdsimport...

Navigera till den plats där du extraherade XML-filen för den anpassade vyn du vill ha och markera den.
Välj Öppna.
Den skapar en anpassad vy som filtrerar för att bara visa händelser relaterade till den funktionen.
Kopiera XML direkt
Skriv loggboken i Start-menyn och öppna Windows Loggboken.
I den vänstra panelen under Åtgärder väljer du Skapa anpassad vy...

Gå till fliken XML och välj Redigera fråga manuellt. Ett varningsmeddelande visas om att du inte kan redigera frågan med hjälp av fliken Filter om du använder alternativet XML. Välj Ja.
Klistra in XML-koden för den funktion du vill filtrera händelser från i XML-avsnittet.
Välj OK. Ange ett namn för filtret. Då skapas en anpassad vy som filtreras för att bara visa händelser relaterade till den funktionen.
XML för händelser för attackytans minskningsregel
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML för styrda mappåtkomsthändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML för sårbarhetsskyddshändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML för nätverksskyddshändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista över minskningar av attackytor
Alla minskningshändelser för attackytor finns under Program- och tjänstloggar > Microsoft > Windows och sedan mappen eller leverantören som anges i följande tabell.
Du kan komma åt dessa händelser Windows i händelsevisaren:
Öppna Start-menyn , skriv loggboken och välj sedan resultatet för Loggboken .
Expandera Loggar för program och > för Microsoft > Windows och gå sedan till den mapp som visas under Leverantör / källa i tabellen nedan.
Dubbelklicka på underobjektet för att visa händelser. Bläddra igenom händelserna för att hitta den du letar efter.

| Funktion | Leverantör/källa | Händelse-ID | Beskrivning |
|---|---|---|---|
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 1 | ACG-granskning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 2 | ACG-tillämpning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 3 | Tillåt inte granskning av underordnade processer |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 4 | Tillåt inte blockering av underordnade processer |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 5 | Blockera granskning av bilder med låg integritet |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 6 | Blockera blockering av bilder med låg integritet |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 7 | Blockera granskning av fjärrbilder |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 8 | Blockera blockering av fjärrbilder |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 9 | Inaktivera granskning av win32k-systemanrop |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 10 | Inaktivera blockering av win32k-systemanrop |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 11 | Granskning av kodintegritetsskydd |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 12 | Blockering av kodintegritetsskydd |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 13 | EAF-granskning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 14 | EAF-tillämpning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 15 | EAF+ granskning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 16 | EAF+ tillämpning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 17 | IAF-granskning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 18 | IAF-tillämpning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 19 | Granskning för ROP StackPivot |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 20 | Tillämpning av ROP StackPivot |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 21 | Granskning för ROP CallerCheck |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 22 | Tillämpning av ROP CallerCheck |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 23 | Granskning för ROP SimExec |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 24 | Tillämpning av ROP SimExec |
| Exploateringsskydd | WER-diagnostik | 5 | CFG-blockering |
| Exploateringsskydd | Win32K (drift) | 260 | Teckensnitt som inte är betrott |
| Nätverksskydd | Windows Defender (drift) | 5007 | Händelse när inställningar ändras |
| Nätverksskydd | Windows Defender (drift) | 1125 | Händelse när nätverksskydd aktiveras i granskningsläge |
| Nätverksskydd | Windows Defender (drift) | 1126 | Händelse när nätverksskydd aktiveras i blockläge |
| Reglerad mappåtkomst | Windows Defender (drift) | 5007 | Händelse när inställningar ändras |
| Reglerad mappåtkomst | Windows Defender (drift) | 1124 | Granskad reglerad mappåtkomsthändelse |
| Reglerad mappåtkomst | Windows Defender (drift) | 1123 | Händelse för blockerad reglerad mappåtkomst |
| Reglerad mappåtkomst | Windows Defender (drift) | 1127 | Skrivblockshändelse för blockerad reglerad mappåtkomstsektor |
| Reglerad mappåtkomst | Windows Defender (drift) | 1128 | Kontrollerad skrivningsblockshändelse för mappåtkomstsektor granskad |
| Minska attackytan | Windows Defender (drift) | 5007 | Händelse när inställningar ändras |
| Minska attackytan | Windows Defender (drift) | 1122 | Händelse när en regel aktiveras i granskningsläge |
| Minska attackytan | Windows Defender (drift) | 1121 | Händelse när en regel ut sätts i blockläge |
Anteckning
Utifrån användarens perspektiv görs MEDDELANDEN i ASR-varningsläge som ett popup Windows meddelande för regler för att minska attackytan.
I ASR tillhandahåller nätverksskydd endast gransknings- och blocklägen.
Resurser för att lära dig mer om att minska attackytan
Som nämns i videon innehåller Defender för Slutpunkt flera minskningsfunktioner för attackytor. Använd följande resurser för mer information:
| Artikel | Beskrivning |
|---|---|
| Maskinvarubaserad isolering | Skydda och upprätthålla integriteten för ett system när det startar och medan det körs. Verifiera systemintegritet genom lokal och fjärransluten tillförlitlighet. Använd behållarisolering för Microsoft Edge för att skydda dig mot skadliga webbplatser. |
| Applikationskontroll | Använd programkontrollen så att programmen måste vara betrodda för att kunna köras. |
| Kontrollerad mappåtkomst | Förhindra skadliga eller misstänkta program (inklusive filkrypterande skadlig kod för utpressningstrojan) från att göra ändringar i filer i viktiga systemmappar (kräver Microsoft Defender Antivirus) |
| Nätverksskydd | Utöka skyddet till nätverkstrafiken och anslutningarna på din organisations enheter. (Kräver Microsoft Defender Antivirus) |
| Exploateringsskydd | Hjälper till att skydda operativsystem och appar som din organisation använder från att utnyttjas. Sårbarhetsskydd fungerar också med antiviruslösningar från tredje part. |
| Regler för minskning av attackytan | Minska säkerhetsproblem (attackytor) i dina program med intelligenta regler som hjälper dig att stoppa skadlig programvara. (Kräver Microsoft Defender Antivirus). |
| Enhetskontroll | Skyddar mot dataförlust genom att övervaka och kontrollera media som används på enheter, till exempel flyttbara lagringsenheter och USB-enheter, i organisationen. |