Förstå och använda funktioner för minskning av attackytan
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Attackytor är alla platser där din organisation är sårbar för cyberhot och attacker. Defender för Endpoint innehåller flera funktioner för att minska dina attackytor. Titta på följande video om du vill veta mer om minskning av attackytan.
Konfigurera funktioner för minskning av attackytan
Följ dessa steg för att konfigurera minskning av attackytan i din miljö:
Aktivera programkontroll.
Granska grundläggande principer i Windows. Se Exempel på basprinciper.
Se Distribuera Windows Defender WDAC-principer (Application Control).
Aktivera flyttbart lagringsskydd.
Aktivera webbskydd.
Konfigurera nätverksbrandväggen.
Få en översikt över Windows-brandväggen med avancerad säkerhet.
Använd designguiden för Windows-brandväggen för att bestämma hur du vill utforma dina brandväggsprinciper.
Använd distributionsguiden för Windows-brandväggen för att konfigurera din organisations brandvägg med avancerad säkerhet.
Tips
När du konfigurerar funktioner för minskning av attackytan kan du i de flesta fall välja bland flera metoder:
- Microsoft Intune
- Microsoft Configuration Manager
- Grupprincip
- PowerShell-cmdletar
Testa minskning av attackytan i Microsoft Defender för Endpoint
Som en del av organisationens säkerhetsteam kan du konfigurera funktioner för minskning av attackytan så att de körs i granskningsläge för att se hur de fungerar. Du kan aktivera följande säkerhetsfunktioner för minskning av attackytan i granskningsläge:
- Regler för minskning av attackytan
- Exploateringsskydd
- Nätverksskydd
- Reglerad mappåtkomst
- Enhetskontroll
Med granskningsläget kan du se en post över vad som skulle ha hänt om funktionen var aktiverad.
Du kan aktivera granskningsläge när du testar hur funktionerna fungerar. Genom att endast aktivera granskningsläge för testning kan du förhindra att granskningsläget påverkar dina verksamhetsspecifika appar. Du kan också få en uppfattning om hur många misstänkta filändringsförsök som görs under en viss tidsperiod.
Funktionerna blockerar eller förhindrar inte att appar, skript eller filer ändras. Händelseloggen i Windows registrerar dock händelser som om funktionerna var helt aktiverade. Med granskningsläge kan du granska händelseloggen för att se vilken effekt funktionen skulle ha haft om den var aktiverad.
Om du vill hitta de granskade posterna går du till Program och tjänster>Microsoft>Windows>Windows Defender>Operational.
Använd Defender för Endpoint för att få mer information om varje händelse. Den här informationen är särskilt användbar för att undersöka regler för minskning av attackytan. Med hjälp av Defender för Endpoint-konsolen kan du undersöka problem som en del av tidslinjen för aviseringar och undersökningsscenarier.
Du kan aktivera granskningsläge med hjälp av grupprincip, PowerShell och konfigurationstjänstleverantörer (CSP:er).
| Granskningsalternativ | Så här aktiverar du granskningsläge | Så här visar du händelser |
|---|---|---|
| Granskning gäller för alla händelser | Aktivera kontrollerad mappåtkomst | Kontrollerade mappåtkomsthändelser |
| Granskning gäller för enskilda regler | Steg 1: Testa regler för minskning av attackytan med hjälp av granskningsläge | Steg 2: Förstå rapporteringssidan för regler för minskning av attackytan |
| Granskning gäller för alla händelser | Aktivera nätverksskydd | Nätverksskyddshändelser |
| Granskning gäller enskilda åtgärder | Aktivera exploateringsskydd | Händelser för exploateringsskydd |
Du kan till exempel testa regler för minskning av attackytan i granskningsläge innan du aktiverar dem i blockeringsläge. Regler för minskning av attackytan är fördefinierade för att härda vanliga, kända attackytor. Det finns flera metoder som du kan använda för att implementera regler för minskning av attackytan. Den föredragna metoden dokumenteras i följande distributionsartiklar om regler för minskning av attackytan:
- Översikt över distribution av regler för minskning av attackytan
- Planera distribution av regler för minskning av attackytan
- Testa regler för minskning av attackytan
- Aktivera regler för minskning av attackytan
- Operationalisera regler för minskning av attackytan
Visa händelser för minskning av attackytan
Granska händelser för minskning av attackytan i Loggboken för att övervaka vilka regler eller inställningar som fungerar. Du kan också avgöra om några inställningar är för "bullriga" eller påverkar ditt dagliga arbetsflöde.
Det är praktiskt att granska händelser när du utvärderar funktionerna. Du kan aktivera granskningsläge för funktioner eller inställningar och sedan granska vad som skulle ha hänt om de var helt aktiverade.
Det här avsnittet visar alla händelser, deras associerade funktion eller inställning och beskriver hur du skapar anpassade vyer för att filtrera efter specifika händelser.
Få detaljerad rapportering om händelser, block och varningar som en del av Windows-säkerhet om du har en E5-prenumeration och använder Microsoft Defender för Endpoint.
Använda anpassade vyer för att granska funktionerna för minskning av attackytan
Skapa anpassade vyer i Windows Loggboken för att endast se händelser för specifika funktioner och inställningar. Det enklaste sättet är att importera en anpassad vy som en XML-fil. Du kan kopiera XML-koden direkt från den här sidan.
Du kan också navigera manuellt till händelseområdet som motsvarar funktionen.
Importera en befintlig anpassad XML-vy
Skapa en tom .txt fil och kopiera XML-koden för den anpassade vy som du vill använda till den .txt filen. Gör detta för var och en av de anpassade vyer som du vill använda. Byt namn på filerna enligt följande (se till att du ändrar typen från .txt till .xml):
- Anpassad vy för kontrollerade mappåtkomsthändelser: cfa-events.xml
- Anpassad vy för exploateringsskyddshändelser: ep-events.xml
- Anpassad vy för minskning av attackytan: asr-events.xml
- Anpassad vy för nätverks-/skyddshändelser: np-events.xml
Skriv loggboken på Start-menyn och öppna Loggboken.
Välj Anpassad vyför åtgärdsimport...>
Navigera till platsen där du extraherade XML-filen för den anpassade vy som du vill använda och välj den.
Välj Öppna.
Den skapar en anpassad vy som filtrerar för att endast visa de händelser som är relaterade till den funktionen.
Kopiera XML-koden direkt
Skriv loggboken på Start-menyn och öppna Windows-Loggboken.
Välj Skapa anpassad vy under Åtgärder på den vänstra panelen...
Gå till fliken XML och välj Redigera fråga manuellt. Du ser en varning om att du inte kan redigera frågan med hjälp av fliken Filter om du använder XML-alternativet. Välj Ja.
Klistra in XML-koden för funktionen som du vill filtrera händelser från i XML-avsnittet.
Välj OK. Ange ett namn för filtret. Den här åtgärden skapar en anpassad vy som filtrerar för att endast visa de händelser som är relaterade till den funktionen.
XML för regelhändelser för minskning av attackytan
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML för kontrollerade mappåtkomsthändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML för exploateringsskyddshändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML för nätverksskyddshändelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista över händelser för minskning av attackytan
Alla händelser för minskning av attackytan finns under Program- och tjänstloggar > Microsoft > Windows och sedan mappen eller providern som anges i följande tabell.
Du kan komma åt dessa händelser i Windows Loggboken:
Öppna Start-menyn och skriv loggboken och välj sedan det Loggboken resultatet.
Expandera Program- och tjänstloggar > Microsoft > Windows och gå sedan till mappen under Provider/källa i tabellen nedan.
Dubbelklicka på underobjektet för att se händelser. Bläddra igenom händelserna för att hitta den du letar efter.
| Funktion | Leverantör/källa | Händelse-ID | Beskrivning |
|---|---|---|---|
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 1 | ACG-granskning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 2 | ACG-tillämpning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 3 | Tillåt inte granskning av underordnade processer |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 4 | Tillåt inte blockering av underordnade processer |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 5 | Blockera granskning av bilder med låg integritet |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 6 | Blockera blockering av bilder med låg integritet |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 7 | Blockera granskning av fjärrbilder |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 8 | Blockera blockering av fjärrbilder |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 9 | Inaktivera granskning av win32k-systemanrop |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 10 | Inaktivera blockering av win32k-systemanrop |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 11 | Granskning av kodintegritetsskydd |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 12 | Blockering av kodintegritetsskydd |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 13 | EAF-granskning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 14 | EAF-tillämpning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 15 | EAF+ granskning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 16 | EAF+ tillämpning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 17 | IAF-granskning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 18 | IAF-tillämpning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 19 | Granskning för ROP StackPivot |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 20 | Tillämpning av ROP StackPivot |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 21 | Granskning för ROP CallerCheck |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 22 | Tillämpning av ROP CallerCheck |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 23 | Granskning för ROP SimExec |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 24 | Tillämpning av ROP SimExec |
| Exploateringsskydd | WER-diagnostik | 5 | CFG-blockering |
| Exploateringsskydd | Win32K (drift) | 260 | Teckensnitt som inte är betrott |
| Nätverksskydd | Windows Defender (drift) | 5007 | Händelse när inställningarna ändras |
| Nätverksskydd | Windows Defender (drift) | 1125 | Händelse när nätverksskyddet utlöses i granskningsläge |
| Nätverksskydd | Windows Defender (drift) | 1126 | Händelse när nätverksskydd utlöses i blockläge |
| Reglerad mappåtkomst | Windows Defender (drift) | 5007 | Händelse när inställningarna ändras |
| Reglerad mappåtkomst | Windows Defender (drift) | 1124 | Granskad kontrollerad mappåtkomsthändelse |
| Reglerad mappåtkomst | Windows Defender (drift) | 1123 | Blockerad kontrollerad mappåtkomsthändelse |
| Reglerad mappåtkomst | Windows Defender (drift) | 1127 | Skrivblockeringshändelse för blockerad kontrollerad mappåtkomstsektor |
| Reglerad mappåtkomst | Windows Defender (drift) | 1128 | Granskad händelse för kontrollerad mappåtkomstsektor för skrivblockering |
| Minska attackytan | Windows Defender (drift) | 5007 | Händelse när inställningarna ändras |
| Minska attackytan | Windows Defender (drift) | 1122 | Händelse när regeln utlöses i granskningsläge |
| Minska attackytan | Windows Defender (drift) | 1121 | Händelse när regeln utlöses i blockläge |
Obs!
Från användarens perspektiv görs meddelanden om minskning av attackytans varningsläge som ett Popup-meddelande i Windows för regler för minskning av attackytan.
I minskning av attackytan tillhandahåller nätverksskyddet endast gransknings- och blockeringslägen.
Resurser för att lära dig mer om minskning av attackytan
Som vi nämnde i videon innehåller Defender för Endpoint flera funktioner för minskning av attackytan. Använd följande resurser för att lära dig mer:
| Artikel | Beskrivning |
|---|---|
| Applikationskontroll | Använd programkontroll så att dina program måste ha förtroende för att kunna köras. |
| Referens för regler för minskning av attackytan | Innehåller information om varje regel för minskning av attackytan. |
| Distributionsguide för regler för minskning av attackytan | Visar översiktsinformation och förutsättningar för distribution av regler för minskning av attackytan, följt av stegvis vägledning för testning (granskningsläge), aktivering (blockläge) och övervakning. |
| Kontrollerad mappåtkomst | Förhindra skadliga eller misstänkta appar (inklusive skadlig kod för filkryptering av utpressningstrojaner) från att göra ändringar i filer i dina viktiga systemmappar (kräver Microsoft Defender Antivirus). |
| Enhetskontroll | Skyddar mot dataförlust genom att övervaka och kontrollera media som används på enheter, till exempel flyttbara lagringsenheter och USB-enheter, i din organisation. |
| Exploateringsskydd | Skydda de operativsystem och appar som din organisation använder från att utnyttjas. Sårbarhetsskydd fungerar också med antiviruslösningar från tredje part. |
| Maskinvarubaserad isolering | Skydda och upprätthålla integriteten i ett system när det startar och medan det körs. Verifiera systemintegriteten via lokal och fjärransluten attestering. Använd containerisolering för Microsoft Edge för att skydda mot skadliga webbplatser. |
| Nätverksskydd | Utöka skyddet till nätverkstrafiken och anslutningen på organisationens enheter. (Kräver Microsoft Defender Antivirus). |
| Testa regler för minskning av attackytan | Innehåller steg för att använda granskningsläge för att testa regler för minskning av attackytan. |
| Webbskydd | Med webbskydd kan du skydda dina enheter mot webbhot och hjälpa dig att reglera oönskat innehåll. |
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.