Förstå och använda funktioner för att minska attackytan

Gäller för:

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Attackytor är alla platser där organisationen är sårbar för cyberhot och attacker. Defender för Slutpunkt innehåller flera funktioner som hjälper dig att minska attackytorna. I följande video får du lära dig mer om hur du minskar attackytan.

Konfigurera funktioner för minskning av attackytan

Konfigurera minskning av attackytan i din miljö genom att följa de här stegen:

  1. Aktivera maskinvarubaserad avgränsning för Microsoft Edge.

  2. Aktivera programkontroll.

    1. Granska basprinciper i Windows. Se Exempel på basprinciper.
    2. Se Windows Defender för designguiden för Programkontroll.
    3. Mer information finns i Windows Defender programkontrollprinciper (WDAC).
  3. Aktivera reglerad mappåtkomst.

  4. Aktivera nätverksskydd.

  5. Aktivera sårbarhetsskydd.

  6. Använd regler för att minska attackytan.

  7. Konfigurera nätverkets brandvägg.

    1. Få en översikt över Windows Defender brandväggen med avancerad säkerhet.
    2. Använd guiden Windows Defender för att bestämma hur du vill utforma brandväggsprinciperna.
    3. Använd Windows Defender för brandväggsdistribution för att konfigurera din organisations brandvägg med avancerad säkerhet.

Tips

När du konfigurerar funktioner för att minska attackytan kan du i de flesta fall välja mellan flera metoder:

  • Microsoft Endpoint Manager (som nu innehåller Microsoft Intune och Microsoft Endpoint Configuration Manager)
  • Grupprincip
  • PowerShell-cmdlets

Minska testytans attackyta i Microsoft Defender för Endpoint

Som en del av organisationens säkerhetsteam kan du konfigurera funktioner för att minska attackytan i granskningsläge och se hur de kommer att fungera. I granskningsläge kan du aktivera:

  • Regler för minskning av attackytan
  • Exploateringsskydd
  • Nätverksskydd
  • Och kontrollerad mappåtkomst i granskningsläge

I granskningsläget kan du se vad som skulle ha hänt om du hade aktiverat funktionen.

Du kan aktivera granskningsläge när du testar hur funktionerna fungerar. Att bara aktivera granskningsläge för tester hjälper till att förhindra att granskningsläget påverkar dina verksamhetsbaserade appar. Du kan också få en uppfattning om hur många misstänkta filändringsförsök som görs under en viss tidsperiod.

Funktionerna blockerar eller förhindrar inte att appar, skript eller filer ändras. Men i Windows händelseloggen visas händelser som om funktionerna är helt aktiverade. Med granskningsläge kan du granska händelseloggen och se vilken effekt funktionen skulle ha haft om den var aktiverad.

Du hittar de granskade posterna genom att gå till Program och tjänster som > Microsoft > Windows > Windows Defender > drift.

Använd Defender för Slutpunkt för att få mer information om varje händelse. Den här informationen är särskilt användbar när du behöver undersöka regler för att minska attackytan. Med Defender för slutpunktskonsolen kan du undersöka problem som en del av scenarierna för aviseringstid och undersökning.

Du kan aktivera granskningsläge med grupprincip-, PowerShell- och konfigurationstjänstleverantörer (CSP).

Tips

Du kan också besöka webbplatsen Windows Defender Testground på demo.wd.microsoft.com för att bekräfta att funktionerna fungerar och se hur de fungerar.

Granskningsalternativ Så här aktiverar du granskningsläge Så här visar du händelser
Granskning gäller för alla händelser Aktivera kontrollerad mappåtkomst Kontrollerade mappåtkomsthändelser
Granskning gäller för enskilda regler Steg 1: Testa ASR-regler med granskning Steg 2: Förstå rapportsidan för att minska attackytan
Granskning gäller för alla händelser Aktivera nätverksskydd Nätverksskyddshändelser
Granskning gäller för enskilda åtgärder Aktivera exploateringsskydd Sårbarhetsskyddshändelser

Visa händelser för minskning av attackytan

Granska händelser för att minska attackytan i Loggboken för att övervaka vilka regler eller inställningar som fungerar. Du kan också bestämma om några inställningar är för "bullriga" eller påverkar det dagliga arbetsflödet.

Det kan vara användbart att granska händelser när du utvärderar funktionerna. Du kan aktivera granskningsläge för funktioner eller inställningar och sedan granska vad som skulle ha hänt om de var aktiverade.

I det här avsnittet visas alla händelser, deras associerade funktioner eller inställningar och du får en beskrivning av hur du skapar anpassade vyer för att filtrera efter specifika händelser.

Få detaljerad rapportering om händelser, block och varningar som en del av Windows-säkerhet om du har en E5-prenumeration och använder Microsoft Defender för Slutpunkt.

Använda anpassade vyer för att granska funktioner för att minska attackytan

Skapa anpassade vyer i Windows loggboken om du bara vill visa händelser för specifika funktioner och inställningar. Det enklaste sättet är att importera en anpassad vy som en XML-fil. Du kan kopiera XML-koden direkt från den här sidan.

Du kan också manuellt navigera till det händelseområde som motsvarar funktionen.

Importera en befintlig ANPASSAD XML-vy

  1. Skapa en tom .txt och kopiera XML för den anpassade vy du vill använda till den .txt filen. Gör så här för var och en av de anpassade vyer som du vill använda. Byt namn på filerna på följande sätt (se till att du ändrar typ från .txt till .xml):

    • Kontrollerad mappåtkomsthändelser, anpassad vy: cfa-events.xml
    • Den anpassade vyn för sårbarhetsskyddshändelser: ep-events.xml
    • Anpassad vy för minskning av attackytor: asr-events.xml
    • Anpassad vy för nätverks- och skyddshändelser: np-events.xml
  2. Skriv in loggboken i Start-menyn och öppna Loggboken.

  3. Välj Anpassad > vy för åtgärdsimport...

    Animeringsmarkering Importera anpassad vy till vänster om fönstret Jämn visningsprogram.

  4. Navigera till den plats där du extraherade XML-filen för den anpassade vyn du vill ha och markera den.

  5. Välj Öppna.

  6. Den skapar en anpassad vy som filtrerar för att bara visa händelser relaterade till den funktionen.

Kopiera XML direkt

  1. Skriv loggboken i Start-menyn och öppna Windows Loggboken.

  2. I den vänstra panelen under Åtgärder väljer du Skapa anpassad vy...

    Animering som markerar alternativet Skapa anpassad vy i fönstret Loggboken.

  3. Gå till fliken XML och välj Redigera fråga manuellt. Ett varningsmeddelande visas om att du inte kan redigera frågan med hjälp av fliken Filter om du använder alternativet XML. Välj Ja.

  4. Klistra in XML-koden för den funktion du vill filtrera händelser från i XML-avsnittet.

  5. Välj OK. Ange ett namn för filtret. Då skapas en anpassad vy som filtreras för att bara visa händelser relaterade till den funktionen.

XML för händelser för attackytans minskningsregel

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML för styrda mappåtkomsthändelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML för sårbarhetsskyddshändelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML för nätverksskyddshändelser

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lista över minskningar av attackytor

Alla minskningshändelser för attackytor finns under Program- och tjänstloggar > Microsoft > Windows och sedan mappen eller leverantören som anges i följande tabell.

Du kan komma åt dessa händelser Windows i händelsevisaren:

  1. Öppna Start-menyn , skriv loggboken och välj sedan resultatet för Loggboken .

  2. Expandera Loggar för program och > för Microsoft > Windows och gå sedan till den mapp som visas under Leverantör / källa i tabellen nedan.

  3. Dubbelklicka på underobjektet för att visa händelser. Bläddra igenom händelserna för att hitta den du letar efter.

    Animering som visar hur du använder Loggboken.



Funktion Leverantör/källa Händelse-ID Beskrivning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 1 ACG-granskning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 2 ACG-tillämpning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 3 Tillåt inte granskning av underordnade processer
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 4 Tillåt inte blockering av underordnade processer
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 5 Blockera granskning av bilder med låg integritet
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 6 Blockera blockering av bilder med låg integritet
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 7 Blockera granskning av fjärrbilder
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 8 Blockera blockering av fjärrbilder
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 9 Inaktivera granskning av win32k-systemanrop
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 10 Inaktivera blockering av win32k-systemanrop
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 11 Granskning av kodintegritetsskydd
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 12 Blockering av kodintegritetsskydd
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 13 EAF-granskning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 14 EAF-tillämpning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 15 EAF+ granskning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 16 EAF+ tillämpning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 17 IAF-granskning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 18 IAF-tillämpning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 19 Granskning för ROP StackPivot
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 20 Tillämpning av ROP StackPivot
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 21 Granskning för ROP CallerCheck
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 22 Tillämpning av ROP CallerCheck
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 23 Granskning för ROP SimExec
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 24 Tillämpning av ROP SimExec
Exploateringsskydd WER-diagnostik 5 CFG-blockering
Exploateringsskydd Win32K (drift) 260 Teckensnitt som inte är betrott
Nätverksskydd Windows Defender (drift) 5007 Händelse när inställningar ändras
Nätverksskydd Windows Defender (drift) 1125 Händelse när nätverksskydd aktiveras i granskningsläge
Nätverksskydd Windows Defender (drift) 1126 Händelse när nätverksskydd aktiveras i blockläge
Reglerad mappåtkomst Windows Defender (drift) 5007 Händelse när inställningar ändras
Reglerad mappåtkomst Windows Defender (drift) 1124 Granskad reglerad mappåtkomsthändelse
Reglerad mappåtkomst Windows Defender (drift) 1123 Händelse för blockerad reglerad mappåtkomst
Reglerad mappåtkomst Windows Defender (drift) 1127 Skrivblockshändelse för blockerad reglerad mappåtkomstsektor
Reglerad mappåtkomst Windows Defender (drift) 1128 Kontrollerad skrivningsblockshändelse för mappåtkomstsektor granskad
Minska attackytan Windows Defender (drift) 5007 Händelse när inställningar ändras
Minska attackytan Windows Defender (drift) 1122 Händelse när en regel aktiveras i granskningsläge
Minska attackytan Windows Defender (drift) 1121 Händelse när en regel ut sätts i blockläge

Anteckning

Utifrån användarens perspektiv görs MEDDELANDEN i ASR-varningsläge som ett popup Windows meddelande för regler för att minska attackytan.

I ASR tillhandahåller nätverksskydd endast gransknings- och blocklägen.

Resurser för att lära dig mer om att minska attackytan

Som nämns i videon innehåller Defender för Slutpunkt flera minskningsfunktioner för attackytor. Använd följande resurser för mer information:

Artikel Beskrivning
Maskinvarubaserad isolering Skydda och upprätthålla integriteten för ett system när det startar och medan det körs. Verifiera systemintegritet genom lokal och fjärransluten tillförlitlighet. Använd behållarisolering för Microsoft Edge för att skydda dig mot skadliga webbplatser.
Applikationskontroll Använd programkontrollen så att programmen måste vara betrodda för att kunna köras.
Kontrollerad mappåtkomst Förhindra skadliga eller misstänkta program (inklusive filkrypterande skadlig kod för utpressningstrojan) från att göra ändringar i filer i viktiga systemmappar (kräver Microsoft Defender Antivirus)
Nätverksskydd Utöka skyddet till nätverkstrafiken och anslutningarna på din organisations enheter. (Kräver Microsoft Defender Antivirus)
Exploateringsskydd Hjälper till att skydda operativsystem och appar som din organisation använder från att utnyttjas. Sårbarhetsskydd fungerar också med antiviruslösningar från tredje part.
Regler för minskning av attackytan Minska säkerhetsproblem (attackytor) i dina program med intelligenta regler som hjälper dig att stoppa skadlig programvara. (Kräver Microsoft Defender Antivirus).
Enhetskontroll Skyddar mot dataförlust genom att övervaka och kontrollera media som används på enheter, till exempel flyttbara lagringsenheter och USB-enheter, i organisationen.