Dela via


Förstå och använda funktioner för minskning av attackytan

Gäller för:

Plattformar

  • Windows

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Attackytor är alla platser där din organisation är sårbar för cyberhot och attacker. Defender för Endpoint innehåller flera funktioner för att minska dina attackytor. Titta på följande video om du vill veta mer om minskning av attackytan.

Konfigurera funktioner för minskning av attackytan

Följ dessa steg för att konfigurera minskning av attackytan i din miljö:

  1. Aktivera maskinvarubaserad isolering för Microsoft Edge.

  2. Aktivera regler för minskning av attackytan.

  3. Aktivera programkontroll.

    1. Granska grundläggande principer i Windows. Se Exempel på basprinciper.

    2. Se designguiden för Windows Defender-programkontroll.

    3. Se Distribuera WDAC-principer (Windows Defender Application Control).

  4. Aktivera kontrollerad mappåtkomst.

  5. Aktivera enhetskontroll.

  6. Aktivera nätverksskydd.

  7. Aktivera webbskydd.

  8. Aktivera exploateringsskydd.

  9. Konfigurera nätverksbrandväggen.

    1. Få en översikt över Windows-brandväggen med avancerad säkerhet.

    2. Använd designguiden för Windows-brandväggen för att bestämma hur du vill utforma dina brandväggsprinciper.

    3. Använd distributionsguiden för Windows-brandväggen för att konfigurera din organisations brandvägg med avancerad säkerhet.

Tips

När du konfigurerar funktioner för minskning av attackytan kan du i de flesta fall välja bland flera metoder:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Grupprincip
  • PowerShell-cmdletar

Testa minskning av attackytan i Microsoft Defender för Endpoint

Som en del av organisationens säkerhetsteam kan du konfigurera funktioner för minskning av attackytan så att de körs i granskningsläge för att se hur de fungerar. Du kan aktivera följande säkerhetsfunktioner för minskning av attackytan i granskningsläge:

  • Regler för minskning av attackytan
  • Exploateringsskydd
  • Nätverksskydd
  • Reglerad mappåtkomst
  • Enhetskontroll

Med granskningsläget kan du se en post över vad som skulle ha hänt om funktionen var aktiverad.

Du kan aktivera granskningsläge när du testar hur funktionerna fungerar. Genom att endast aktivera granskningsläge för testning kan du förhindra att granskningsläget påverkar dina verksamhetsspecifika appar. Du kan också få en uppfattning om hur många misstänkta filändringsförsök som görs under en viss tidsperiod.

Funktionerna blockerar eller förhindrar inte att appar, skript eller filer ändras. Händelseloggen i Windows registrerar dock händelser som om funktionerna var helt aktiverade. Med granskningsläge kan du granska händelseloggen för att se vilken effekt funktionen skulle ha haft om den var aktiverad.

Om du vill hitta de granskade posterna går du till Program och tjänster>Microsoft>Windows Windows>Defender>Operational.

Använd Defender för Endpoint för att få mer information om varje händelse. Den här informationen är särskilt användbar för att undersöka regler för minskning av attackytan. Med hjälp av Defender för Endpoint-konsolen kan du undersöka problem som en del av tidslinjen för aviseringar och undersökningsscenarier.

Du kan aktivera granskningsläge med hjälp av grupprincip, PowerShell och konfigurationstjänstleverantörer (CSP:er).

Granskningsalternativ Så här aktiverar du granskningsläge Så här visar du händelser
Granskning gäller för alla händelser Aktivera kontrollerad mappåtkomst Kontrollerade mappåtkomsthändelser
Granskning gäller för enskilda regler Steg 1: Testa regler för minskning av attackytan med hjälp av granskningsläge Steg 2: Förstå rapporteringssidan för regler för minskning av attackytan
Granskning gäller för alla händelser Aktivera nätverksskydd Nätverksskyddshändelser
Granskning gäller enskilda åtgärder Aktivera exploateringsskydd Händelser för exploateringsskydd

Du kan till exempel testa regler för minskning av attackytan i granskningsläge innan du aktiverar dem i blockeringsläge. Regler för minskning av attackytan är fördefinierade för att härda vanliga, kända attackytor. Det finns flera metoder som du kan använda för att implementera regler för minskning av attackytan. Den föredragna metoden dokumenteras i följande distributionsartiklar om regler för minskning av attackytan:

Visa händelser för minskning av attackytan

Granska händelser för minskning av attackytan i Loggboken för att övervaka vilka regler eller inställningar som fungerar. Du kan också avgöra om några inställningar är för "bullriga" eller påverkar ditt dagliga arbetsflöde.

Det är praktiskt att granska händelser när du utvärderar funktionerna. Du kan aktivera granskningsläge för funktioner eller inställningar och sedan granska vad som skulle ha hänt om de var helt aktiverade.

Det här avsnittet visar alla händelser, deras associerade funktion eller inställning och beskriver hur du skapar anpassade vyer för att filtrera efter specifika händelser.

Få detaljerad rapportering om händelser, block och varningar som en del av Windows-säkerhet om du har en E5-prenumeration och använder Microsoft Defender för Endpoint.

Använda anpassade vyer för att granska funktionerna för minskning av attackytan

Skapa anpassade vyer i Windows Loggboken om du bara vill se händelser för specifika funktioner och inställningar. Det enklaste sättet är att importera en anpassad vy som en XML-fil. Du kan kopiera XML-koden direkt från den här sidan.

Du kan också navigera manuellt till händelseområdet som motsvarar funktionen.

Importera en befintlig anpassad XML-vy

  1. Skapa en tom .txt fil och kopiera XML-filen för den anpassade vy som du vill använda till den .txt filen. Gör detta för var och en av de anpassade vyer som du vill använda. Byt namn på filerna enligt följande (se till att du ändrar typen från .txt till .xml):

    • Anpassad vy för kontrollerade mappåtkomsthändelser: cfa-events.xml
    • Anpassad vy för exploateringsskyddshändelser: ep-events.xml
    • Anpassad vy för minskning av attackytan: asr-events.xml
    • Anpassad vy för nätverks-/skyddshändelser: np-events.xml
  2. Skriv loggboken på Start-menyn och öppna Loggboken.

  3. Välj Anpassad vyför åtgärdsimport...>

    Animering som markerar Import custom view (Importera anpassad vy) till vänster i fönstret Even viewer (Jämn visning).

  4. Navigera till platsen där du extraherade XML-filen för den anpassade vy som du vill använda och välj den.

  5. Välj Öppna.

  6. Den skapar en anpassad vy som filtrerar för att endast visa de händelser som är relaterade till den funktionen.

Kopiera XML-koden direkt

  1. Skriv loggboken på Start-menyn och öppna Windows-Loggboken.

  2. Välj Skapa anpassad vy under Åtgärder på den vänstra panelen...

    Animering som markerar alternativet skapa anpassad vy i fönstret Loggboken.

  3. Gå till fliken XML och välj Redigera fråga manuellt. Du ser en varning om att du inte kan redigera frågan med hjälp av fliken Filter om du använder XML-alternativet. Välj Ja.

  4. Klistra in XML-koden för funktionen som du vill filtrera händelser från i XML-avsnittet.

  5. Välj OK. Ange ett namn för filtret. Den här åtgärden skapar en anpassad vy som filtrerar för att endast visa de händelser som är relaterade till den funktionen.

XML för regelhändelser för minskning av attackytan

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML för kontrollerade mappåtkomsthändelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML för exploateringsskyddshändelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML för nätverksskyddshändelser

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lista över händelser för minskning av attackytan

Alla händelser för minskning av attackytan finns under Program- och tjänstloggar > Microsoft > Windows och sedan mappen eller providern som anges i följande tabell.

Du kan komma åt dessa händelser i Windows Loggboken:

  1. Öppna Start-menyn och skriv loggboken och välj sedan det Loggboken resultatet.

  2. Expandera Program- och tjänstloggar > Microsoft > Windows och gå sedan till mappen under Provider/källa i tabellen nedan.

  3. Dubbelklicka på underobjektet för att se händelser. Bläddra igenom händelserna för att hitta den du letar efter.

    Animering som visas med hjälp av Loggboken.

Funktion Leverantör/källa Händelse-ID Beskrivning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 1 ACG-granskning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 2 ACG-tillämpning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 3 Tillåt inte granskning av underordnade processer
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 4 Tillåt inte blockering av underordnade processer
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 5 Blockera granskning av bilder med låg integritet
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 6 Blockera blockering av bilder med låg integritet
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 7 Blockera granskning av fjärrbilder
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 8 Blockera blockering av fjärrbilder
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 9 Inaktivera granskning av win32k-systemanrop
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 10 Inaktivera blockering av win32k-systemanrop
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 11 Granskning av kodintegritetsskydd
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 12 Blockering av kodintegritetsskydd
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 13 EAF-granskning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 14 EAF-tillämpning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 15 EAF+ granskning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 16 EAF+ tillämpning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 17 IAF-granskning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 18 IAF-tillämpning
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 19 Granskning för ROP StackPivot
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 20 Tillämpning av ROP StackPivot
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 21 Granskning för ROP CallerCheck
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 22 Tillämpning av ROP CallerCheck
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 23 Granskning för ROP SimExec
Exploateringsskydd Säkerhet-Åtgärder (kernelläge/användarläge) 24 Tillämpning av ROP SimExec
Exploateringsskydd WER-diagnostik 5 CFG-blockering
Exploateringsskydd Win32K (drift) 260 Teckensnitt som inte är betrott
Nätverksskydd Windows Defender (drift) 5007 Händelse när inställningarna ändras
Nätverksskydd Windows Defender (drift) 1125 Händelse när nätverksskyddet utlöses i granskningsläge
Nätverksskydd Windows Defender (drift) 1126 Händelse när nätverksskydd utlöses i blockläge
Reglerad mappåtkomst Windows Defender (drift) 5007 Händelse när inställningarna ändras
Reglerad mappåtkomst Windows Defender (drift) 1124 Granskad kontrollerad mappåtkomsthändelse
Reglerad mappåtkomst Windows Defender (drift) 1123 Blockerad kontrollerad mappåtkomsthändelse
Reglerad mappåtkomst Windows Defender (drift) 1127 Skrivblockeringshändelse för blockerad kontrollerad mappåtkomstsektor
Reglerad mappåtkomst Windows Defender (drift) 1128 Granskad händelse för kontrollerad mappåtkomstsektor för skrivblockering
Minska attackytan Windows Defender (drift) 5007 Händelse när inställningarna ändras
Minska attackytan Windows Defender (drift) 1122 Händelse när regeln utlöses i granskningsläge
Minska attackytan Windows Defender (drift) 1121 Händelse när regeln utlöses i blockläge

Obs!

Från användarens perspektiv görs meddelanden om minskning av attackytans varningsläge som ett Popup-meddelande i Windows för regler för minskning av attackytan.

I minskning av attackytan tillhandahåller nätverksskyddet endast gransknings- och blockeringslägen.

Resurser för att lära dig mer om minskning av attackytan

Som vi nämnde i videon innehåller Defender för Endpoint flera funktioner för minskning av attackytan. Använd följande resurser för att lära dig mer:

Artikel Beskrivning
Applikationskontroll Använd programkontroll så att dina program måste ha förtroende för att kunna köras.
Referens för regler för minskning av attackytan Innehåller information om varje regel för minskning av attackytan.
Distributionsguide för regler för minskning av attackytan Visar översiktsinformation och förutsättningar för distribution av regler för minskning av attackytan, följt av stegvis vägledning för testning (granskningsläge), aktivering (blockläge) och övervakning.
Kontrollerad mappåtkomst Förhindra skadliga eller misstänkta appar (inklusive skadlig kod för filkryptering av utpressningstrojaner) från att göra ändringar i filer i dina viktiga systemmappar (kräver Microsoft Defender Antivirus).
Enhetskontroll Skyddar mot dataförlust genom att övervaka och kontrollera media som används på enheter, till exempel flyttbara lagringsenheter och USB-enheter, i din organisation.
Exploateringsskydd Skydda de operativsystem och appar som din organisation använder från att utnyttjas. Sårbarhetsskydd fungerar också med antiviruslösningar från tredje part.
Maskinvarubaserad isolering Skydda och upprätthålla integriteten i ett system när det startar och medan det körs. Verifiera systemintegriteten via lokal och fjärransluten attestering. Använd containerisolering för Microsoft Edge för att skydda mot skadliga webbplatser.
Nätverksskydd Utöka skyddet till nätverkstrafiken och anslutningen på organisationens enheter. (Kräver Microsoft Defender Antivirus).
Testa regler för minskning av attackytan Innehåller steg för att använda granskningsläge för att testa regler för minskning av attackytan.
Webbskydd Med webbskydd kan du skydda dina enheter mot webbhot och hjälpa dig att reglera oönskat innehåll.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.