Freigeben über

Erstellen und Bereitstellen einer Exploit Guard-Richtlinie

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Sie können Configuration Manager Richtlinien konfigurieren und bereitstellen, die alle vier Komponenten von Windows Defender Exploit Guard verwalten. Zu diesen Komponenten gehören:

  • Verringerung der Angriffsfläche
  • Kontrollierter Ordnerzugriff
  • Exploit-Schutz
  • Netzwerkschutz

Konformitätsdaten für die Exploit Guard-Richtlinienbereitstellung sind in der Configuration Manager-Konsole verfügbar.

Hinweis

Configuration Manager aktiviert dieses optionale Feature nicht standardmäßig. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden können. Weitere Informationen finden Sie unter Aktivieren optionaler Features aus Updates.

Voraussetzungen

Verwaltete Geräte müssen Windows 10 1709 oder höher ausgeführt werden. Der Windows Server-Mindestbuild ist nur Version 1809 oder höher bis Server 2019. Abhängig von den konfigurierten Komponenten und Regeln müssen auch die folgenden Anforderungen erfüllt werden:

Exploit Guard-Komponente Zusätzliche Voraussetzungen
Verringerung der Angriffsfläche Auf Geräten muss Microsoft Defender for Endpoint Always-On-Schutz aktiviert sein.
Kontrollierter Ordnerzugriff Auf Geräten muss Microsoft Defender for Endpoint Always-On-Schutz aktiviert sein.
Exploit-Schutz Keine
Netzwerkschutz Auf Geräten muss Microsoft Defender for Endpoint Always-On-Schutz aktiviert sein.

Erstellen einer Exploit Guard-Richtlinie

  1. Wechseln Sie in der Configuration Manager-Konsole zu Bestand und Konformität>Endpoint Protection, und klicken Sie dann auf Windows Defender Exploit Guard.

  2. Klicken Sie auf der Registerkarte Start in der Gruppe Erstellen auf Exploitrichtlinie erstellen.

  3. Geben Sie auf der Seite Allgemein des Assistenten zum Erstellen von Konfigurationselementen einen Namen und eine optionale Beschreibung für das Konfigurationselement an.

  4. Wählen Sie als Nächstes die Exploit Guard-Komponenten aus, die Sie mit dieser Richtlinie verwalten möchten. Für jede ausgewählte Komponente können Sie dann zusätzliche Details konfigurieren.

    • Verringerung der Angriffsfläche: Konfigurieren Sie die Office-Bedrohungen, Skriptbedrohungen und E-Mail-Bedrohungen, die Sie blockieren oder überwachen möchten. Sie können auch bestimmte Dateien oder Ordner aus dieser Regel ausschließen.
    • Kontrollierter Ordnerzugriff: Konfigurieren Sie das Blockieren oder Überwachen, und fügen Sie dann Apps hinzu, die diese Richtlinie umgehen können. Sie können auch zusätzliche Ordner angeben, die nicht standardmäßig geschützt sind.
    • Exploit-Schutz: Geben Sie eine XML-Datei an, die Einstellungen zum Mindern von Exploits von Systemprozessen und Apps enthält. Sie können diese Einstellungen aus der Windows Defender Security Center-App auf einem Windows 10 oder höher exportieren.
    • Netzwerkschutz: Legen Sie den Netzwerkschutz so fest, dass der Zugriff auf verdächtige Domänen blockiert oder überwacht wird.

  5. Schließen Sie den Assistenten ab, um die Richtlinie zu erstellen, die Sie später auf Geräten bereitstellen können.

    Warnung

    Die XML-Datei für den Exploit-Schutz sollte bei der Übertragung zwischen Computern geschützt werden. Die Datei sollte nach dem Import gelöscht oder an einem sicheren Speicherort aufbewahrt werden.

Bereitstellen einer Exploit Guard-Richtlinie

Nachdem Sie Exploit Guard-Richtlinien erstellt haben, verwenden Sie den Assistenten zum Bereitstellen von Exploit Guard-Richtlinien, um sie bereitzustellen. Öffnen Sie dazu die Configuration Manager-Konsole für Ressourcen und Konformität>Endpoint Protection, und klicken Sie dann auf Exploit Guard-Richtlinie bereitstellen.

Wichtig

Nachdem Sie eine Exploit Guard-Richtlinie wie Verringerung der Angriffsfläche oder kontrollierten Ordnerzugriff bereitgestellt haben, werden die Exploit Guard-Einstellungen nicht von den Clients entfernt, wenn Sie die Bereitstellung entfernen. Delete not supported wird im ExploitGuardHandler.log des Clients aufgezeichnet, wenn Sie die Exploit Guard-Bereitstellung des Clients entfernen. Das folgende PowerShell-Skript kann im SYSTEM-Kontext ausgeführt werden, um diese Einstellungen zu entfernen:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Windows Defender Exploit Guard-Richtlinieneinstellungen

Richtlinien und Optionen zur Verringerung der Angriffsfläche

Verringerung der Angriffsfläche kann die Angriffsfläche Ihrer Anwendungen mit intelligenten Regeln verringern, die die von Office, Skripts und E-Mail-basierte Schadsoftware verwendeten Vektoren stoppen. Erfahren Sie mehr über die Verringerung der Angriffsfläche und die dafür verwendeten Ereignis-IDs.

  • Dateien und Ordner, die von den Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen : Klicken Sie auf Festlegen , und geben Sie alle auszuschließenden Dateien oder Ordner an.

  • Email Bedrohungen:

    • Blockieren ausführbarer Inhalte aus E-Mail-Client und Webmail.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung

  • Office-Bedrohungen:

    • Hindern Sie die Office-Anwendung daran, untergeordnete Prozesse zu erstellen.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung
    • Blockieren der Erstellung ausführbarer Inhalte durch Office-Anwendungen.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung
    • Blockieren, dass Office-Anwendungen Code in andere Prozesse einfügen.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung
    • Blockieren Sie Win32-API-Aufrufe aus Office-Makros.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung

  • Skripterstellung für Bedrohungen:

    • Blockieren Sie das Starten heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung
    • Blockieren der Ausführung potenziell verschleierter Skripts.
      • Not Configured
      • Blockieren
      • Überwachung

  • Ransomware-Bedrohungen: (ab Configuration Manager Version 1802)

    • Verwenden Sie den erweiterten Schutz vor Ransomware.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung

  • Bedrohungen des Betriebssystems: (ab Configuration Manager Version 1802)

    • Blockieren sie den Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung
    • Die Ausführung ausführbarer Dateien wird blockiert, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung

  • Bedrohungen externer Geräte: (ab Configuration Manager Version 1802)

    • Blockieren sie nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden.
      • Nicht konfiguriert
      • Blockieren
      • Überwachung

Richtlinien und Optionen für den kontrollierten Ordnerzugriff

Schützt Dateien in wichtigen Systemordnern vor Änderungen, die von schädlichen und verdächtigen Apps vorgenommen werden, einschließlich dateiverschlüsselnder Ransomware-Schadsoftware. Weitere Informationen finden Sie unter Kontrollierter Ordnerzugriff und die von ihr verwendeten Ereignis-IDs.

  • Konfigurieren des kontrollierten Ordnerzugriffs:
    • Blockieren
    • Nur Datenträgersektoren blockieren (ab Configuration Manager Version 1802)
      • Ermöglicht die Aktivierung des kontrollierten Ordnerzugriffs nur für Startsektoren und ermöglicht nicht den Schutz bestimmter Ordner oder der standardmäßig geschützten Ordner.
    • Überwachung
    • Nur Datenträgersektoren überwachen (ab Configuration Manager Version 1802)
      • Ermöglicht die Aktivierung des kontrollierten Ordnerzugriffs nur für Startsektoren und ermöglicht nicht den Schutz bestimmter Ordner oder der standardmäßig geschützten Ordner.
    • Deaktiviert
  • Apps über kontrollierten Ordnerzugriff zulassen : Klicken Sie auf Festlegen , und geben Sie Apps an.
  • Zusätzliche geschützte Ordner : Klicken Sie auf Festlegen , und geben Sie zusätzliche geschützte Ordner an.

Exploit-Schutzrichtlinien

Wendet Exploit-Entschärfungstechniken auf Betriebssystemprozesse und Apps an, die Ihr organization verwendet. Diese Einstellungen können aus der Windows Defender Security Center-App auf Windows 10 oder höheren Geräten exportiert werden. Weitere Informationen finden Sie unter Exploit-Schutz.

  • Exploit-Schutz-XML: Klicken Sie auf Durchsuchen , und geben Sie die zu importierende XML-Datei an.

    Warnung

    Die XML-Datei für den Exploit-Schutz sollte bei der Übertragung zwischen Computern geschützt werden. Die Datei sollte nach dem Import gelöscht oder an einem sicheren Speicherort aufbewahrt werden.

Netzwerkschutzrichtlinie

Trägt dazu bei, die Angriffsfläche auf Geräten durch internetbasierte Angriffe zu minimieren. Der Dienst schränkt den Zugriff auf verdächtige Domänen ein, die Phishing-Betrugsversuche, Exploits und schädliche Inhalte hosten können. Weitere Informationen finden Sie unter Netzwerkschutz.

  • Konfigurieren des Netzwerkschutzes:
    • Blockieren
    • Überwachung
    • Deaktiviert