Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen

  • 17 minuten

Uw kwetsbaarheid voor aanvallen bevat alle plaatsen waar een aanvaller de apparaten of netwerken van uw organisatie kan in gevaar kunnen komen. Het verminderen van de kwetsbaarheid voor aanvallen betekent dat u de apparaten en het netwerk van uw organisatie beveiligt, waardoor aanvallers minder manieren hebben om aanvallen uit te voeren.

Regels voor het verminderen van kwetsbaarheid voor aanvallen richten zich op bepaald softwaregedrag dat vaak wordt misbruikt door aanvallers. Dergelijke gedragingen zijn onder andere:

  • Uitvoerbare bestanden en scripts starten die proberen bestanden te downloaden of uit te voeren

  • Verborgen of anderszins verdachte scripts uitvoeren

  • Het uitvoeren van gedrag dat apps meestal niet initiĆ«ren tijdens normale dagelijkse werkzaamheden.

Dergelijke softwaregedrag wordt soms gezien in legitieme toepassingen; deze gedragingen worden echter vaak beschouwd als riskant omdat ze vaak worden misbruikt door malware. Regels voor het verminderen van kwetsbaarheid voor aanvallen kunnen riskante gedragingen beperken en helpen uw organisatie veilig te houden.

Elke regel voor het verminderen van kwetsbaarheid voor aanvallen bevat een van de vier instellingen:

  • Niet geconfigureerd: de regel voor het verminderen van kwetsbaarheid voor aanvallen uitschakelen

  • Blokkeren: de regel voor het verminderen van kwetsbaarheid voor aanvallen inschakelen

  • Controle: Evalueer hoe de regel voor het verminderen van kwetsbaarheid voor aanvallen van invloed is op uw organisatie als deze is ingeschakeld

  • Waarschuwen: schakel de regel voor het verminderen van kwetsbaarheid voor aanvallen in, maar laat de eindgebruiker het blok omzeilen

Regels voor het verminderen van kwetsbaarheid voor aanvallen

Regels voor kwetsbaarheid voor aanvallen verminderen ondersteunen momenteel de onderstaande regels:

  • Uitvoerbare inhoud van e-mailclient en webmail blokkeren
  • Alle Office-app licaties blokkeren voor het maken van onderliggende processen
  • Blokkeren Office-app licaties voor het maken van uitvoerbare inhoud
  • Voorkomen dat Office-app licaties code in andere processen injecteren
  • Voorkomen dat JavaScript of VBScript gedownloade uitvoerbare inhoud start
  • Uitvoering van mogelijk verborgen scripts blokkeren
  • Win32 API-aanroepen van Office-macro's blokkeren
  • Geavanceerde beveiliging tegen ransomware gebruiken
  • Het stelen van referenties van het windows-subsysteem voor lokale beveiligingsinstanties blokkeren (lsass.exe)
  • Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten
  • Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB
  • Voorkomen dat uitvoerbare bestanden worden uitgevoerd, tenzij ze voldoen aan een gangbaarheid, leeftijd of vertrouwde lijstcriteria
  • Voorkomen dat Office-communicatietoepassingen onderliggende processen maken
  • Voorkomen dat Adobe Reader onderliggende processen maakt
  • Persistentie via WMI-gebeurtenisabonnement blokkeren

Bestanden en mappen uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen

U kunt bestanden en mappen uitsluiten van evaluatie door de meeste regels voor kwetsbaarheid voor aanvallen. Dit betekent dat zelfs als een regel voor het verminderen van het kwetsbaarheid voor aanvallen bepaalt dat het bestand of de map schadelijk gedrag bevat, het bestand niet wordt uitgevoerd, wat ook betekent dat mogelijk onveilige bestanden kunnen worden uitgevoerd en uw apparaten mogen infecteren.

U sluit regels voor kwetsbaarheid voor aanvallen uit van triggering op basis van certificaat- en bestands-hashes door opgegeven Defender voor Eindpunt-bestands- en certificaatindicatoren toe te staan.

U kunt afzonderlijke bestanden of mappen opgeven (met mappaden of volledig gekwalificeerde resourcenamen), maar u kunt niet opgeven op welke regels de uitsluitingen van toepassing zijn. Er wordt alleen een uitsluiting toegepast wanneer de uitgesloten toepassing of service wordt gestart. Als u bijvoorbeeld een uitsluiting toevoegt voor een updateservice die al wordt uitgevoerd, blijft de updateservice gebeurtenissen activeren totdat de service is gestopt en opnieuw wordt gestart.

Controlemodus voor evaluatie

Gebruik de controlemodus om te evalueren hoe regels voor het verminderen van kwetsbaarheid voor aanvallen van invloed zijn op uw organisatie als ze zijn ingeschakeld. Het is raadzaam om eerst alle regels in de controlemodus uit te voeren, zodat u de impact ervan op uw Line-Of-Business-toepassingen kunt begrijpen. Veel Line-Of-Business-toepassingen worden geschreven met beperkte beveiligingsproblemen en ze kunnen taken uitvoeren op manieren die lijken op malware. Door controlegegevens te bewaken en uitsluitingen toe te voegen voor de benodigde toepassingen, kunt u regels voor het verminderen van kwetsbaarheid voor aanvallen implementeren zonder dat dit van invloed is op de productiviteit.

Meldingen wanneer een regel wordt geactiveerd

Wanneer een regel wordt geactiveerd, wordt er een melding weergegeven op het apparaat. U kunt de melding aanpassen met uw bedrijfsgegevens en contactgegevens. De melding wordt ook weergegeven in de Microsoft Defender-portal.

Regels voor het verminderen van kwetsbaarheid voor aanvallen configureren

U kunt deze regels instellen voor apparaten met een van de volgende edities en versies van Windows:

  • Windows 10 Pro, versie 1709 of hoger
  • Windows 10 Enterprise, versie 1709 of hoger
  • Windows Server, versie 1803 (Semi-Annual-kanaal) of hoger
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

U kunt regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen met behulp van een van de volgende methoden:

  • Microsoft Intune
  • het beheren van mobiele apparaten
  • Microsoft Endpoint Configuration Manager
  • Groepsbeleid
  • Powershell

Beheer op ondernemingsniveau, zoals Intune of Microsoft Endpoint Configuration Manager, wordt aanbevolen. Het beheer op ondernemingsniveau overschrijft alle conflicterende groepsbeleid- of PowerShell-instellingen bij het opstarten.

Intune

Apparaatconfiguratieprofielen:

  1. Selecteer Apparaatconfiguratieprofielen>. Kies een bestaand Endpoint Protection-profiel of maak een nieuw profiel. Als u een nieuw profiel wilt maken, selecteert u Profiel maken en voert u gegevens voor dit profiel in. Selecteer Endpoint Protection voor profieltype. Als u een bestaand profiel hebt gekozen, selecteert u Eigenschappen en vervolgens Instellingen.

  2. Selecteer Windows Defender Exploit Guard in het deelvenster Endpoint Protection en selecteer vervolgens Kwetsbaarheid voor aanvallen verminderen. Selecteer de gewenste instelling voor elke regel.

  3. Voer onder Uitzonderingen voor kwetsbaarheid voor aanvallen de afzonderlijke bestanden en mappen in. U kunt ook Importeren selecteren om een CSV-bestand te importeren dat bestanden en mappen bevat die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen. Elke regel in het CSV-bestand moet als volgt worden opgemaakt:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecteer OK in de drie configuratievensters. Selecteer Vervolgens Maken als u een nieuw Endpoint Protection-bestand maakt of Opslaan als u een bestaand bestand bewerkt.

Eindpuntbeveiligingsbeleid:

  1. Selecteer Kwetsbaarheid voor aanvallen van eindpuntbeveiliging > verminderen. Kies een bestaande regel of maak een nieuwe regel. Als u een nieuw beleid wilt maken, selecteert u Beleid maken en voert u gegevens in voor dit profiel. Selecteer voor profieltype regels voor het verminderen van kwetsbaarheid voor aanvallen. Als u een bestaand profiel hebt gekozen, selecteert u Eigenschappen en vervolgens Instellingen.

  2. Selecteer in het deelvenster Configuratie-instellingen de optie Kwetsbaarheid voor aanvallen verminderen en selecteer vervolgens de gewenste instelling voor elke regel.

  3. Voer onder Lijst met extra mappen die moeten worden beveiligd, een lijst met apps die toegang hebben tot beveiligde mappen, en bestanden en paden uitsluiten van regels voor kwetsbaarheid voor aanvallen, afzonderlijke bestanden en mappen in. U kunt ook Importeren selecteren om een CSV-bestand te importeren dat bestanden en mappen bevat die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen. Elke regel in het CSV-bestand moet als volgt worden opgemaakt:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecteer Volgende in de drie configuratievensters en selecteer Vervolgens Maken als u een nieuw beleid maakt of Opslaan als u een bestaand beleid bewerkt.

Mobile Device Management

De regels voor het verminderen van kwetsbaarheid voor aanvallen beheren in Mobile Device Management:

  • Gebruik de ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Configuration Service Provider (CSP) om de modus voor elke regel afzonderlijk in te schakelen en in te stellen.

  • Volg de naslaginformatie over het beheer van mobiele apparaten in regels voor het verminderen van kwetsbaarheid voor aanvallen voor het gebruik van GUID-waarden.

  • OMA-URI-pad: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Waarde: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEEE46550=1

  • De waarden voor het inschakelen, uitschakelen of inschakelen in de controlemodus zijn:

    • Uitschakelen = 0

    • Blokkeren (regel voor het verminderen van kwetsbaarheid voor aanvallen inschakelen) = 1

    • Controle = 2

  • Gebruik de ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) om uitsluitingen toe te voegen.

Voorbeeld:

  • OMA-URI-pad: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Waarde: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

De regels voor het verminderen van kwetsbaarheid voor aanvallen beheren in Microsoft Endpoint Configuration Manager:

  1. Ga in Microsoft Endpoint Configuration Manager naar Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

  2. > Selecteer Exploit Guard-beleid maken.

  3. Voer een naam en een beschrijving in, selecteer Kwetsbaarheid voor aanvallen verminderen en selecteer Volgende.

  4. Kies welke regels acties blokkeren of controleren en selecteer Volgende.

  5. Controleer de instellingen en selecteer Volgende om het beleid te maken.

  6. Nadat het beleid is gemaakt, selecteert u Sluiten.

Groepsbeleid

De regels voor het verminderen van kwetsbaarheid voor aanvallen beheren in Groepsbeleid:

Waarschuwing

Als u uw computers en apparaten beheert met Intune, Configuration Manager of een ander beheerplatform op ondernemingsniveau, overschrijft de beheersoftware alle conflicterende groepsbeleidsinstellingen bij het opstarten.

  1. Open op de computer voor groepsbeleidsbeheer de console Groepsbeleidsbeheer, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer Bewerken.

  2. Ga in de editor voor groepsbeleidsbeheer naar computerconfiguratie en selecteer beheersjablonen.

  3. Vouw de structuur uit naar Windows-onderdelen > Microsoft Defender Antivirus > Windows Defender Exploit Guard-kwetsbaarheid > voor aanvallen verminderen.

  4. Selecteer Regels voor het verminderen van kwetsbaarheid voor aanvallen configureren en selecteer Ingeschakeld. Vervolgens kunt u de afzonderlijke status voor elke regel instellen in de sectie Opties.

  5. Selecteer Weergeven... en voer de regel-id in de kolom Waardenaam en de gekozen status in de kolom Waarde als volgt in:

    Disable = 0 Block (enable attack surface reduction rule) = 1 Audit = 2

  6. Als u bestanden en mappen wilt uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen, selecteert u de instelling Bestanden en paden uitsluiten van regels voor kwetsbaarheid voor aanvallen en stelt u de optie in op Ingeschakeld. Selecteer Weergeven en voer elk bestand of elke map in de kolom Waardenaam in. Voer 0 in de kolom Waarde voor elk item in.

Powershell

De regels voor het verminderen van kwetsbaarheid voor aanvallen beheren met PowerShell:

Waarschuwing

Als u uw computers en apparaten beheert met Intune, Configuration Manager of een ander beheerplatform op ondernemingsniveau, overschrijft de beheersoftware conflicterende PowerShell-instellingen bij het opstarten. Als u wilt toestaan dat gebruikers de waarde definiƫren met Behulp van PowerShell, gebruikt u de optie Door de gebruiker gedefinieerd voor de regel in het beheerplatform.

  1. Typ PowerShell in het Startmenu, klik met de rechtermuisknop op Windows PowerShell en selecteer Uitvoeren als administrator.

  2. Voer de volgende cmdlet in:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Als u regels voor het verminderen van kwetsbaarheid voor aanvallen in de controlemodus wilt inschakelen, gebruikt u de volgende cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Gebruik de volgende cmdlet om regels voor het verminderen van kwetsbaarheid voor aanvallen uit te schakelen:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. U moet de status afzonderlijk opgeven voor elke regel, maar u kunt regels en statussen combineren in een door komma's gescheiden lijst.

  6. In het volgende voorbeeld worden de eerste twee regels ingeschakeld, wordt de derde regel uitgeschakeld en wordt de vierde regel ingeschakeld in de controlemodus:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. U kunt ook het PowerShell-werkwoord Add-MpPreference gebruiken om nieuwe regels toe te voegen aan de bestaande lijst.

  8. Set-MpPreference overschrijft altijd de bestaande set regels. Als u wilt toevoegen aan de bestaande set, moet u in plaats daarvan Add-MpPreference gebruiken. U kunt een lijst met regels en hun huidige status verkrijgen met behulp van Get-MpPreference.

  9. Gebruik de volgende cmdlet om bestanden en mappen uit te sluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Ga door met het gebruik van Add-MpPreference -AttackSurfaceReductionOnlyExclusions om meer bestanden en mappen toe te voegen aan de lijst.

Belangrijk

Gebruik Add-MpPreference om apps aan de lijst toe te voegen of toe te voegen. Als u de cmdlet Set-MpPreference gebruikt, wordt de bestaande lijst overschreven.

Lijst met gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen

Alle gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bevinden zich onder Toepassingen en Services-logboeken > Microsoft > Windows in de Windows-logboeken.