Aktivieren von Regeln zur Verringerung der Angriffsfläche

  • 17 Minuten

Die Angriffsfläche umfasst alle Stellen, an denen ein Angreifer Geräte oder Netzwerke Ihrer Organisation kompromittieren könnte. Das Reduzieren der Angriffsfläche bedeutet den Schutz der Geräte und Netzwerke Ihres Unternehmens, sodass Angreifer weniger Möglichkeiten für ihre Angriffe haben.

Regeln zur Verringerung der Angriffsfläche zielen auf bestimmte Softwareverhaltensweisen ab, die häufig von Angreifern ausgenutzt werden. Zu diesen Verhaltensweisen gehören:

  • Starten ausführbarer Dateien und Skripts, die zum Herunterladen oder Ausführen von Dateien verwendet werden

  • Ausführen von verschleierten oder auf andere Weise verdächtigen Skripts

  • Ausführen von Aktionen, die Apps in der Regel nicht während der normalen täglichen Arbeit initiieren

Solche Softwareverhaltensweisen werden manchmal auch von legitimen Anwendungen gezeigt, sie werden aber sehr oft als riskant eingestuft, da sie häufig von Schadsoftware missbraucht werden. Mithilfe von Regeln zur Verringerung der Angriffsfläche können riskante Verhaltensweisen eingeschränkt werden, um Ihre Organisation zu schützen.

Jede Regel zur Verringerung der Angriffsfläche enthält eine von vier Einstellungen:

  • Nicht konfiguriert: Die Regel zur Verringerung der Angriffsfläche ist deaktiviert.

  • Blockieren: Die Regel zur Verringerung der Angriffsfläche ist aktiviert.

  • Überwachen: Überprüfen Sie, wie sich die Regel zur Verringerung der Angriffsfläche auf Ihre Organisation auswirkt.

  • Warnen: Aktivieren Sie die Regel zur Verringerung der Angriffsfläche, aber geben Sie dem Endbenutzer die Möglichkeit, die Blockierung zu umgehen.

Regeln zur Verringerung der Angriffsfläche

Regeln zur Verringerung der Angriffsfläche unterstützen derzeit folgende Regeln:

  • Ausführbare Inhalte von E-Mail-Clients und Webmail blockieren
  • Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
  • Erstellung ausführbarer Inhalte durch Office-Anwendungen blockieren
  • Einschleusung von Code durch Office-Anwendungen in andere Prozesse blockieren
  • Starten heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript blockieren
  • Ausführung möglicherweise verschleierter Skripts blockieren
  • Win32-API-Aufrufe über Office-Makros blockieren
  • Erweiterten Schutz vor Ransomware verwenden
  • Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) von Windows blockieren
  • Prozesserstellungen über PSExec- und WMI-Befehle blockieren
  • Ausführung nicht vertrauenswürdiger und nicht signierter Prozesse von einem USB-Datenträger blockieren
  • Ausführung von ausführbaren Dateien blockieren, wenn diese bestimmte Kriterien hinsichtlich Verbreitung, Alter oder Vertrauenswürdigkeit nicht erfüllen
  • Erstellung untergeordneter Prozesse durch Office-Anwendungen blockieren
  • Adobe Reader am Erstellen von untergeordneten Prozessen hindern
  • Persistenz durch WMI-Ereignisabonnement blockieren

Ausschließen von Dateien und Ordner von den Regeln zur Verringerung der Angriffsfläche

Sie können Dateien und Ordner aus der Auswertung der meisten Regeln zur Verringerung der Angriffsfläche ausschließen. Selbst wenn eine Regel zur Verringerung der Angriffsfläche feststellt, dass die Datei oder der Ordner ein schädliches Verhalten aufweist, wird in diesem Fall die Ausführung der Datei nicht blockiert. Das bedeutet aber auch, dass potenziell unsichere Dateien ausgeführt werden dürfen und Ihre Geräte infizieren könnten.

Sie verhindern das Auslösen von Regeln zur Verringerung der Angriffsfläche auf der Grundlage von Zertifikaten und Dateihashes, indem Sie bestimmte Datei- und Zertifikatsindikatoren von Defender für Endpunkt zulassen.

Sie können einzelne Dateien oder Ordner angeben (mithilfe von Ordnerpfaden oder vollqualifizierten Ressourcennamen), aber Sie können nicht angeben, für welche Regeln die Ausschlüsse gelten. Ein Ausschluss wird nur angewandt, wenn die ausgeschlossene Anwendung oder der ausgeschlossene Dienst gestartet wird. Wenn Sie z. B. einen Ausschluss für einen Updatedienst hinzufügen, der bereits ausgeführt wird, löst der Updatedienst weiterhin Ereignisse aus, bis er beendet und neu gestartet wird.

Überwachungsmodus für die Auswertung

Mithilfe des Überwachungsmodus können Sie auswerten, wie sich Regeln zur Verringerung der Angriffsfläche auf Ihre Organisation auswirken würden, wenn sie aktiviert werden. Sie sollten am besten alle Regeln zuerst im Überwachungsmodus ausführen, damit Sie die Auswirkungen auf Ihre Branchenanwendung verstehen. Bei vielen Branchenanwendungen spielen Sicherheitsbedenken bei der Entwicklung nur eine untergeordnete Rolle, während sie möglicherweise bestimmte Aufgaben auf ähnliche Weise wie Schadsoftware ausführen. Indem Sie die Überwachungsdaten im Auge behalten und Ausschlüsse für erforderliche Anwendungen hinzufügen, können Sie Regeln zur Verringerung der Angriffsfläche bereitstellen, ohne die Produktivität zu beeinträchtigen.

Benachrichtigungen beim Auslösen einer Regel

Bei Auslösung einer Regel wird immer eine Benachrichtigung auf dem Gerät angezeigt. Sie können die Benachrichtigung mit Details zu Ihrem Unternehmen und Kontaktinformationen anpassen. Die Benachrichtigung wird auch im Microsoft Defender-Portal angezeigt.

Konfigurieren von Regeln zur Verringerung der Angriffsfläche

Sie können diese Regeln für Geräte festlegen, auf denen eine der folgenden Editionen und Versionen von Windows ausgeführt wird:

  • Windows 10 Pro ab Version 1709
  • Windows 10 Enterprise ab Version 1709
  • Windows Server ab Version 1803 (halbjährlicher Kanal)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Sie können Regeln zur Verringerung der Angriffsfläche mithilfe einer der folgenden Methoden aktivieren:

  • Microsoft Intune
  • Mobile Geräteverwaltung (MDM)
  • Microsoft Endpoint Configuration Manager
  • Gruppenrichtlinie
  • PowerShell

Es wird eine Verwaltung auf Unternehmensebene empfohlen, z. B. mit Intune oder Microsoft Endpoint Configuration Manager. Bei der Verwaltung auf Unternehmensebene werden alle in Konflikt stehenden Gruppenrichtlinien- oder PowerShell-Einstellungen beim Start überschrieben.

Intune

Gerätekonfigurationsprofile:

  1. Klicken Sie auf Gerätekonfiguration > Profile. Wählen Sie ein vorhandenes Schutzprofil für den Endpunkt aus, oder erstellen Sie ein neues. Wenn Sie ein neues erstellen möchten, wählen Sie Profil erstellen aus, und geben Sie die Informationen für dieses Profil ein. Wählen Sie als Profiltyp die Option Endpoint Protection aus. Wenn Sie ein vorhandenes Profil ausgewählt haben, wählen Sie Eigenschaften und dann Einstellungen aus.

  2. Wählen Sie im Bereich „Endpoint Protection“ die Option Windows Defender Exploit Guard und dann Verringerung der Angriffsfläche aus. Wählen Sie die gewünschte Einstellung für die einzelnen Regeln aus.

  3. Geben Sie unter „Ausnahmen“ für die Verringerung der Angriffsfläche einzelne Dateien und Ordner ein. Sie können auch „Importieren“ auswählen, um eine CSV-Datei mit Dateien und Ordnern zu importieren, die von den Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen. Jede Zeile in der CSV-Datei sollte wie folgt formatiert sein:

    C:\Ordner, %ProgramFiles%\Ordner\Datei, C:\Pfad

  4. Wählen Sie in den drei Konfigurationsbereichen OK aus. Wählen Sie dann „Erstellen“ aus, wenn Sie eine neue Endpoint Protection-Datei erstellen möchten, oder „Speichern“, wenn Sie eine vorhandene bearbeiten.

Endpunktsicherheitsrichtlinie:

  1. Wählen Sie Endpunktsicherheit > Verringerung der Angriffsfläche aus. Wählen Sie eine bereits vorhandene Regel aus, oder erstellen Sie eine neue. Wenn Sie eine neue erstellen möchten, wählen Sie Richtlinie erstellen aus, und geben Sie Informationen für dieses Profil ein. Wählen Sie für den Profiltyp die Option Regeln zur Verringerung der Angriffsfläche aus. Wenn Sie ein vorhandenes Profil ausgewählt haben, wählen Sie Eigenschaften und dann Einstellungen aus.

  2. Wählen Sie im Bereich mit den Konfigurationseinstellungen die Option Verringerung der Angriffsfläche und anschließend die gewünschte Einstellung für die jeweilige Regel aus.

  3. Geben Sie unter Liste zusätzlicher Ordner, die geschützt werden müssen, „Liste der Apps, die auf geschützte Ordner zugreifen können“ und „Dateien und Ordner, die von den Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen“ einzelne Dateien und Ordner ein. Sie können auch „Importieren“ auswählen, um eine CSV-Datei mit Dateien und Ordnern zu importieren, die von den Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen. Jede Zeile in der CSV-Datei sollte wie folgt formatiert sein:

    C:\Ordner, %ProgramFiles%\Ordner\Datei, C:\Pfad

  4. Wählen Sie in den drei Konfigurationsbereichen die Option Weiter und anschließend Erstellen aus, wenn Sie eine neue Richtlinie erstellen, oder Speichern, wenn Sie eine bereits vorhandene Richtlinie bearbeiten.

Verwaltung mobiler Geräte

So verwalten Sie die Regeln zur Verringerung der Angriffsfläche in der mobilen Geräteverwaltung

  • Verwenden Sie den Konfigurationsdienstanbieter „./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules“, um den Modus für jede Regel einzeln zu aktivieren und festzulegen.

  • In der Referenz zur mobilen Geräteverwaltung in den Regeln zur Verringerung der Angriffsfläche finden Sie Informationen zur Verwendung von GUID-Werten.

  • OMA-URI-Pfad: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Wert: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • Die Werte zum Aktivieren, Deaktivieren oder Aktivieren im Überwachungsmodus lauten wie folgt:

    • Deaktivieren = 0

    • Blockieren (Aktivieren der Regel zur Verringerung der Angriffsfläche) = 1

    • Überwachen = 2

  • Verwenden Sie den Konfigurationsdienstanbieter „./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions“, um Ausschlüsse hinzuzufügen.

Beispiel:

  • OMA-URI-Pfad: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Wert: c:\Pfad|e:\Pfad|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

So verwalten Sie die Regeln zur Verringerung der Angriffsfläche in Microsoft Endpoint Configuration Manager

  1. Wechseln Sie in Microsoft Endpoint Configuration Manager zu Assets und Konformität > Endpoint Protection > Windows Defender Exploit Guard.

  2. Klicken Sie auf Startseite > Exploit Guard-Richtlinie erstellen.

  3. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie Verringerung der Angriffsfläche und dann Weiter aus.

  4. Wählen Sie aus, welche Regeln Aktionen blockieren oder überwachen sollen, und wählen Sie dann Weiter aus.

  5. Überprüfen Sie die Einstellungen, und wählen Sie Weiter aus, um die Richtlinie zu erstellen.

  6. Wählen Sie nach dem Erstellen der Richtlinie Schließen aus.

Gruppenrichtlinie

So verwalten Sie die Regeln zur Verringerung der Angriffsfläche in Gruppenrichtlinien

Warnung

Wenn Sie Ihre Computer und Geräte mit Intune, Configuration Manager oder einer anderen Verwaltungsplattform auf Unternehmensebene verwalten, überschreibt diese Verwaltungssoftware alle in Konflikt stehenden Gruppenrichtlinieneinstellungen beim Start.

  1. Öffnen Sie auf dem Computer, auf dem Sie Ihre Gruppenrichtlinien verwalten, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu „Computerkonfiguration“, und wählen Sie „Administrative Vorlagen“ aus.

  3. Erweitern Sie die Struktur wie folgt: Windows-Komponenten > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Verringerung der Angriffsfläche.

  4. Wählen Sie Regeln zur Verringerung der Angriffsfläche konfigurieren und dann Aktiviert aus. Anschließend können Sie im Abschnitt „Optionen“ einzeln den Status für jede Regel festlegen.

  5. Wählen Sie „Anzeigen“ aus, und geben Sie wie folgt die Regel-ID in der Spalte „Wertname“ und den gewünschten Status in der Spalte „Wert“ ein:

    Deaktivieren = 0, Blockieren (Aktivieren der Regel zur Verringerung der Angriffsfläche) = 1, Überwachen = 2

  6. Um Dateien und Ordner von den Regeln zur Verringerung der Angriffsfläche auszuschließen, wählen Sie die Einstellung Dateien und Pfade aus der Regel zur Verringerung der Angriffsfläche ausschließen aus und legen die Option auf Aktiviert fest. Wählen Sie Anzeigen aus, und geben Sie die einzelnen Dateien oder Ordner in der Spalte „Wertname“ ein. Geben Sie für jedes Element in der Spalte „Wert“ den Wert 0 ein.

PowerShell

So verwalten Sie die Regeln zur Verringerung der Angriffsfläche mit PowerShell

Warnung

Wenn Sie Ihre Computer und Geräte mit Intune, Configuration Manager oder einer anderen Verwaltungsplattform auf Unternehmensebene verwalten, überschreibt diese Verwaltungssoftware alle in Konflikt stehenden PowerShell-Einstellungen beim Start. Damit Benutzer den Wert mithilfe von PowerShell definieren können, verwenden Sie auf der Verwaltungsplattform die Option „Benutzerdefiniert“ für die Regel.

  1. Geben Sie im Startmenü PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie „Als Administrator ausführen“ aus.

  2. Geben Sie das folgende Cmdlet ein:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Verwenden Sie das folgende Cmdlet, um Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus zu aktivieren:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Verwenden Sie das folgende Cmdlet, um Regeln zur Verringerung der Angriffsfläche zu deaktivieren:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Sie müssen den Status für jede Regel einzeln angeben, Sie können aber Regeln und Zustände in einer durch Trennzeichen getrennten Liste zusammenfassen.

  6. Im folgenden Beispiel werden die ersten beiden Regeln aktiviert, die dritte Regel wird deaktiviert, und die vierte Regel wird im Überwachungsmodus aktiviert:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. Sie können auch das PowerShell-Verb „Add-MpPreference“ verwenden, um der vorhandenen Liste neue Regeln hinzuzufügen.

  8. Der vorhandene Regelsatz wird von „Set-MpPreference“ immer überschrieben. Wenn Sie den vorhandenen Satz erweitern möchten, sollten Sie stattdessen „Add-MpPreference“ verwenden. Mithilfe von „Get-MpPreference“ können Sie eine Liste der Regeln mit ihrem aktuellen Status abrufen.

  9. Verwenden Sie das folgende Cmdlet, um Dateien und Ordner aus den Regeln zur Verringerung der Angriffsfläche auszuschließen:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Verwenden Sie „Add-MpPreference -AttackSurfaceReductionOnlyExclusions“, um der Liste weitere Dateien und Ordner hinzuzufügen.

Wichtig

Verwenden Sie „Add-MpPreference“, um der Liste Apps an- oder hinzuzufügen. Mit dem Cmdlet „Set-MpPreference“ wird die vorhandene Liste überschrieben.

Liste der Ereignisse zur Verringerung der Angriffsfläche

Alle Ereignisse zur Verringerung der Angriffsfläche finden Sie in der Windows-Ereignisansicht unter „Anwendungs- und Dienstprotokolle“ > „Microsoft“ > „Windows“.