Forstå og brug funktioner til reduktion af angrebsoverfladen

Gælder for:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows

Tip

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Angrebsoverflader er alle de steder, hvor din organisation er sårbar over for cybertrusler og angreb. Defender for Endpoint indeholder flere funktioner, der kan hjælpe med at reducere dine angrebsoverflader. Se følgende video for at få mere at vide om reduktion af angrebsoverfladen.

Konfigurer funktioner til reduktion af angrebsoverfladen

Hvis du vil konfigurere reduktion af angrebsoverfladen i dit miljø, skal du følge disse trin:

1. Aktivér hardwarebaseret isolation for Microsoft Edge.

2. Aktivér regler for reduktion af angrebsoverfladen.

3. Aktivér programkontrol.

   1. Gennemse grundlæggende politikker i Windows. Se eksempel på grundlæggende politikker.

   2. Se designvejledningen til Windows Defender Application Control.

   3. Se Installation af WDAC-politikker (Windows Defender Application Control).

4. Aktivér kontrolleret mappeadgang.

5. Aktivér enhedsstyring.

6. Slå netværksbeskyttelse til.

7. Aktivér webbeskyttelse.

8. Aktivér beskyttelse mod udnyttelse.

9. Konfigurer din netværksfirewall.

   1. Få en oversigt over Windows Firewall med avanceret sikkerhed.

   2. Brug designvejledningen til Windows Firewall til at beslutte, hvordan du vil designe firewallpolitikkerne.

   3. Brug installationsvejledningen til Windows Firewall til at konfigurere din organisations firewall med avanceret sikkerhed.

Tip

Når du konfigurerer funktioner til reduktion af angrebsoverfladen, kan du i de fleste tilfælde vælge mellem flere metoder:

• Microsoft Intune
• Microsoft Configuration Manager
• Gruppepolitik
• PowerShell-cmdlet'er

Reduktion af angrebsoverfladen i Microsoft Defender for Endpoint

Som en del af organisationens sikkerhedsteam kan du konfigurere funktioner til reduktion af angrebsoverfladen til at køre i overvågningstilstand for at se, hvordan de fungerer. Du kan aktivere følgende funktioner til reduktion af angrebsoverfladen i overvågningstilstand:

• Regler for reduktion af angrebsoverflade
• Exploit Protection
• Netværksbeskyttelse
• Styret mappeadgang
• Enhedskontrol

I overvågningstilstand kan du se en post over, hvad der ville være sket, hvis funktionen var aktiveret.

Du kan aktivere overvågningstilstand, når du tester, hvordan funktionerne fungerer. Hvis du kun aktiverer overvågningstilstand til test, hjælper det med at forhindre, at overvågningstilstanden påvirker dine line of business-apps. Du kan også få en idé om, hvor mange mistænkelige filændringsforsøg der forekommer over en bestemt periode.

Funktionerne blokerer eller forhindrer ikke, at apps, scripts eller filer ændres. Windows-hændelsesloggen registrerer dog hændelser, som om funktionerne var fuldt aktiveret. Med overvågningstilstand kan du gennemse hændelsesloggen for at se, hvilken effekt funktionen ville have haft, hvis den var aktiveret.

Hvis du vil finde de overvågede poster, skal du gå til Programmer og tjenester>Microsoft>Windows>Defender>Operational.

Brug Defender for Endpoint til at få flere oplysninger om hver enkelt hændelse. Disse oplysninger er især nyttige til undersøgelse af regler for reduktion af angrebsoverfladen. Ved hjælp af Defender for Endpoint-konsollen kan du undersøge problemer som en del af tidslinjen for beskeder og undersøgelsesscenarier.

Du kan aktivere overvågningstilstand ved hjælp af Gruppepolitik, PowerShell og udbydere af konfigurationstjenester.

Overvågningsindstillinger	Sådan aktiverer du overvågningstilstand	Sådan får du vist hændelser
Overvågning gælder for alle hændelser	Aktivér styret mappeadgang	Hændelser for adgang til styrede mapper
Overvågning gælder for individuelle regler	Trin 1: Test regler for reduktion af angrebsoverfladen ved hjælp af overvågningstilstand	Trin 2: Forstå rapporteringssiden for regler for reduktion af angrebsoverfladen
Overvågning gælder for alle hændelser	Aktivér netværksbeskyttelse	Netværksbeskyttelseshændelser
Overvågning gælder for individuelle afhjælpninger	Aktivér Exploit Protection	Udnyt beskyttelseshændelser

Du kan f.eks. teste regler for reduktion af angrebsoverfladen i overvågningstilstand, før du aktiverer dem i bloktilstand. Regler for reduktion af angrebsoverfladen er foruddefineret for at hærde almindelige kendte angrebsoverflader. Der er flere metoder, du kan bruge til at implementere regler for reduktion af angrebsoverfladen. Den foretrukne metode er dokumenteret i følgende artikler om regler for reduktion af angrebsoverfladen:

• Oversigt over installation af regler for reduktion af angrebsoverflade
• Planlæg installation af regler for reduktion af angrebsoverflade
• Test regler for reduktion af angrebsoverflade
• Aktivér regler for reduktion af angrebsoverflade
• Operationalize regler for reduktion af angrebsoverfladen

Få vist hændelser for reduktion af angrebsoverfladen

Gennemse hændelser for reduktion af angrebsoverfladen i Logbog for at overvåge, hvilke regler eller indstillinger der fungerer. Du kan også afgøre, om nogen indstillinger er for "støjende" eller påvirker din daglige arbejdsproces.

Det er praktisk at gennemgå hændelser, når du evaluerer funktionerne. Du kan aktivere overvågningstilstand for funktioner eller indstillinger og derefter gennemse, hvad der ville være sket, hvis de var fuldt aktiveret.

I dette afsnit vises alle hændelserne, deres tilknyttede funktion eller indstilling, og det beskrives, hvordan du opretter brugerdefinerede visninger for at filtrere efter bestemte hændelser.

Få detaljeret rapportering om hændelser, blokke og advarsler som en del af Windows Sikkerhed hvis du har et E5-abonnement og bruger Microsoft Defender for Endpoint.

Brug brugerdefinerede visninger til at gennemse funktioner til reduktion af angrebsoverfladen

Opret brugerdefinerede visninger i Windows Logbog for kun at se hændelser for bestemte egenskaber og indstillinger. Den nemmeste måde er at importere en brugerdefineret visning som en XML-fil. Du kan kopiere XML-koden direkte fra denne side.

Du kan også navigere til det hændelsesområde, der svarer til funktionen, manuelt.

Importér en eksisterende brugerdefineret XML-visning

1. Opret en tom .txt fil, og kopiér XML-filen for den brugerdefinerede visning, du vil bruge, til den .txt fil. Gør dette for hver af de brugerdefinerede visninger, du vil bruge. Omdøb filerne på følgende måde (sørg for at ændre typen fra .txt til .xml):

   • Brugerdefineret visning af hændelser for adgang til styrede mapper: cfa-events.xml
   • Brugerdefineret visning af hændelser for udnyttelse af beskyttelse: ep-events.xml
   • Brugerdefineret visning af hændelser til reduktion af angrebsoverfladen: asr-events.xml
   • Brugerdefineret visning af netværks-/beskyttelseshændelser: np-events.xml

2. Skriv Logbog i menuen Start, og åbn Logbog.

3. Vælgimportér brugerdefineret visning afhandling>...

   

4. Gå til den placering, hvor du har udtrukket XML-filen til den ønskede brugerdefinerede visning, og vælg den.

5. Vælg Åbn.

6. Den opretter en brugerdefineret visning, der filtrerer, så den kun viser de hændelser, der er relateret til den pågældende funktion.

Kopiér XML-koden direkte

1. Skriv Logbog i menuen Start, og åbn Windows Logbog.

2. Vælg Opret brugerdefineret visning under Handlinger i panelet til venstre...

   

3. Gå til fanen XML, og vælg Rediger forespørgsel manuelt. Du får vist en advarsel om, at du ikke kan redigere forespørgslen ved hjælp af fanen Filter , hvis du bruger indstillingen XML. Vælg Ja.

4. Indsæt XML-koden for den funktion, du vil filtrere hændelser fra, i AFSNITTET XML.

5. Vælg OK. Angiv et navn til filteret. Denne handling opretter en brugerdefineret visning, der filtrerer, så den kun viser de hændelser, der er relateret til den pågældende funktion.

XML til regelhændelser for reduktion af angrebsoverflade

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML til hændelser for adgang til styrede mapper

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML til udnyttelse af beskyttelseshændelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML til netværksbeskyttelseshændelser

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste over hændelser for reduktion af angrebsoverfladen

Alle hændelser for reduktion af angrebsoverfladen er placeret under Programmer og tjenester logfører > Microsoft > Windows og derefter mappen eller udbyderen som angivet i følgende tabel.

Du kan få adgang til disse hændelser i Windows Logbog:

1. Åbn menuen Start, skriv Logbog, og vælg derefter Logbog resultat.

2. Udvid Programmer og tjenester Logfører > Microsoft > Windows , og gå derefter til den mappe, der er angivet under Provider/source i tabellen nedenfor.

3. Dobbeltklik på underelementet for at se hændelser. Rul gennem hændelserne for at finde den, du leder efter.

   

Funktion	Udbyder/kilde	Hændelses-id	Beskrivelse
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	1	ACG-overvågning
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	2	ACG-gennemtving
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	3	Tillad ikke overvågning af underordnede processer
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	4	Tillad ikke blok for underordnede processer
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	5	Bloker for billeder med lav integritet
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	6	Bloker blok for billeder med lav integritet
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	7	Bloker overvågning fjernafbildninger
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	8	Bloker fjernbilleder
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	9	Deaktiver overvågning af Win32k-systemkald
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	10	Deaktiver blokering af win32k-systemkald
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	11	Overvåg beskyttelse af kodeintegritet
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	12	Blok for kodeintegritetsbeskyttelse
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	13	EAF-revision
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	14	Gennemtving EAF
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	15	EAF+ audit
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	16	Gennemtving EAF+
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	17	IAF-revision
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	18	Gennemtving IAF
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	19	ROP StackPivot-overvågning
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	20	ROP StackPivot gennemtving
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	21	ROP CallerCheck audit
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	22	ROP CallerCheck gennemtving
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	23	ROP SimExec-overvågning
Exploit Protection	Sikkerhedsreduktion (kernetilstand/brugertilstand)	24	ROP SimExec gennemtvinge
Exploit Protection	WER-Diagnostics	5	CFG-blok
Exploit Protection	Win32K (driftsklar)	260	Der er ikke tillid til skrifttype
Netværksbeskyttelse	Windows Defender (driftsklar)	5007	Hændelse, når indstillingerne ændres
Netværksbeskyttelse	Windows Defender (driftsklar)	1125	Hændelse, når netværksbeskyttelse udløses i overvågningstilstand
Netværksbeskyttelse	Windows Defender (driftsklar)	1126	Hændelse, når netværksbeskyttelse udløses i bloktilstand
Styret mappeadgang	Windows Defender (driftsklar)	5007	Hændelse, når indstillingerne ændres
Styret mappeadgang	Windows Defender (driftsklar)	1124	Overvåget adgangshændelse for kontrolleret mappe
Styret mappeadgang	Windows Defender (driftsklar)	1123	Adgangshændelse for blokeret kontrolleret mappe
Styret mappeadgang	Windows Defender (driftsklar)	1127	Hændelse for blokeret sektor med adgang til kontrolleret mappe
Styret mappeadgang	Windows Defender (driftsklar)	1128	Hændelse for skriveblokering for overvåget kontrolleret mappeadgangssektor
Reduktion af angrebsoverfladen	Windows Defender (driftsklar)	5007	Hændelse, når indstillingerne ændres
Reduktion af angrebsoverfladen	Windows Defender (driftsklar)	1122	Hændelse, når reglen udløses i overvågningstilstand
Reduktion af angrebsoverfladen	Windows Defender (driftsklar)	1121	Hændelse, når reglen udløses i bloktilstand

Bemærk!

Fra brugerens perspektiv foretages meddelelser om reduktion af angrebsoverfladen Advar-tilstand som en Windows Toast-meddelelse for regler for reduktion af angrebsoverfladen.

I forbindelse med reduktion af angrebsoverfladen leverer Network Protection kun overvågnings- og bloktilstande.

Ressourcer til at få mere at vide om reduktion af angrebsoverfladen

Som nævnt i videoen indeholder Defender for Endpoint flere funktioner til reduktion af angrebsoverfladen. Brug følgende ressourcer til at få mere at vide:

Artikel	Beskrivelse
Programkontrolelement	Brug programkontrolelementet, så dine programmer skal have tillid til at kunne køre.
Reference til regler for reduktion af angrebsoverflade	Indeholder oplysninger om hver regel for reduktion af angrebsoverfladen.
Installationsvejledning til regler for reduktion af angrebsoverflade	Viser oversigtsoplysninger og forudsætninger for installation af regler for reduktion af angrebsoverfladen efterfulgt af en trinvis vejledning i test (overvågningstilstand), aktivering (bloktilstand) og overvågning.
Styret mappeadgang	Hjælp med at forhindre skadelige eller mistænkelige apps (herunder filkryptering af ransomware malware) i at foretage ændringer af filer i dine centrale systemmapper (kræver Microsoft Defender Antivirus).
Enhedsstyring	Beskytter mod tab af data ved at overvåge og styre medier, der bruges på enheder, f.eks. flytbart lager og USB-drev, i din organisation.
Exploit Protection	Hjælp med at beskytte de operativsystemer og apps, din organisation bruger, så de ikke kan udnyttes. Udnyttelse af beskyttelse fungerer også med antivirusløsninger fra tredjepart.
Hardwarebaseret isolation	Beskyt og bevar integriteten af et system, efterhånden som det starter, og mens det kører. Valider systemintegritet via lokal og ekstern attestation. Brug objektbeholderisolation til Microsoft Edge som en hjælp til at beskytte mod skadelige websteder.
Netværksbeskyttelse	Udvid beskyttelsen til netværkstrafik og -forbindelse på organisationens enheder. (Kræver Microsoft Defender Antivirus).
Test regler for reduktion af angrebsoverflade	Indeholder trin til at bruge overvågningstilstand til at teste regler for reduktion af angrebsoverfladen.
Webbeskyttelse	Med webbeskyttelse kan du beskytte dine enheder mod webtrusler og hjælpe dig med at regulere uønsket indhold.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.