Trinn 4. Beskytt enheter

For å beskytte enheter (endepunkter) mot den første tilgangsdelen av et ransomware-angrep:

• Distribuer Intune som en leverandør for administrasjon av mobilenheter (MDM) og administrasjon av mobilprogrammer (MAM) for enhetene dine, og registrer de organisasjonseide enhetene dine.
• Implementer vanlige policyer for identitets- og enhetstilgang for å validere brukerkontolegitimasjonen og fremtvinge krav til enhetstilstand og samsvar.
• Aktiver nettverksbeskyttelse i Microsoft Defender for endepunkt og Microsoft Defender XDR.
• Konfigurer nettsteds- og nedlastingskontroll og app- og filkontroll i Microsoft Defender SmartScreen for å blokkere eller advare.
• Aktiver Microsoft Defender antivirusskanning av nedlastede filer og vedlegg.
• Angi sikkerhetsnivået eksternt skrivebord til TLS i Microsoft Defender for endepunkt og Microsoft Defender XDR.

Windows 11 eller 10 enheter

For å beskytte mot lateral bevegelse del av et angrep fra en Windows 11 eller 10 enhet:

• Slå på brannmuren Microsoft Defender.
• Oppdater Microsoft Defender antivirusdefinisjoner.

For å redusere virkningen av angrepet:

• Bruk regler for reduksjon av angrepsoverflaten og avansert beskyttelse mot løsepengevirus.

For å beskytte mot en angriper som unngår sikkerhetsforsvaret:

• Hold skybasert beskyttelse i Microsoft Defender Antivirus slått på.
• Hold Microsoft Defender Overvåking av antivirusvirkemåte i sanntid aktivert.
• Slå på sanntidsbeskyttelse.
• Slå på manipuleringsbeskyttelse i Microsoft Defender for endepunkt for å forhindre skadelige endringer i sikkerhetsinnstillingene.

For å beskytte mot en angriper som utfører kode som en del av et angrep:

• Slå på Microsoft Defender Antivirus.
• Blokker Win32-API-kall fra Office-makroer.
• Overfør alle eldre arbeidsbøker som krever Excel 4.0-makroer, til det oppdaterte VBA-makroformatet.
• Deaktiver bruk av usignerte makroer. Sørg for at alle interne makroer med forretningsbehov er signert og dra nytte av klarerte plasseringer for å sikre at ukjente makroer ikke kjører i miljøet ditt.
• Stopp ondsinnede XLM- eller VBA-makroer ved å sikre at kjøring av makroskanning av Antimalware Scan Interface (AMSI) er aktivert. Denne funksjonen (aktivert som standard) er aktivert hvis innstillingen gruppepolicy for søkeomfanget for makrokjøring er satt til Aktiver for alle filer eller Aktiver for filer med lav klarering. Hent de nyeste malfilene for gruppepolicyer.

Innvirkning på brukere og endringsadministrasjon

Når du implementerer disse beskyttelsene, kan du utføre endringsbehandling for følgende:

• Vanlige nulltillit identitets- og enhetstilgangspolicyer kan nekte tilgang til brukere som har enheter som ikke er kompatible.
• Nedlasting av filer kan advare brukere før nedlastingen, eller det kan være blokkert.
• Enkelte Office-, Excel 4.0-, XLM- eller VBA-makroer kjører kanskje ikke lenger.

Resulterende konfigurasjon

Her er løsepengevirusbeskyttelsen for leieren for trinn 1–4.

Neste trinn:

Fortsett med trinn 5 for å beskytte informasjon i Microsoft 365-leieren.