Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Test Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen hjælper dig med at afgøre, om regler hindrer line of business-handlinger, før du aktiverer regler. Ved at starte med en lille kontrolleret gruppe kan du begrænse potentielle arbejdsafbrydelser, når du udvider din udrulning på tværs af organisationen.
I dette afsnit af installationsvejledningen til regler for reduktion af angrebsoverfladen lærer du, hvordan du:
- Konfigurer regler ved hjælp af Microsoft Intune
- Brug rapporter Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen
- Konfigurer undtagelser for regler for reduktion af angrebsoverflade
- Aktivér regler for reduktion af angrebsoverfladen ved hjælp af PowerShell
- Brug Logbog til hændelser med regler for reduktion af angrebsoverfladen
Bemærk!
Før du begynder at teste regler for reduktion af angrebsoverfladen, anbefales det, at du først deaktiverer alle de regler, der tidligere er angivet til enten overvågning eller aktivering (hvis det er relevant). Se Rapporter over regler for reduktion af angrebsoverfladen for at få oplysninger om brug af regler for reduktion af angrebsoverflader i rapporten om deaktivering af regler for reduktion af angrebsoverfladen.
Begynd udrulningen af reglerne for reduktion af angrebsoverfladen med ring 1.
Trin 1: Test regler for reduktion af angrebsoverfladen ved hjælp af overvågning
Begynd testfasen ved at aktivere reglerne for reduktion af angrebsoverfladen med de regler, der er angivet til Overvågning, startende med dine mesterbrugere eller enheder i ring 1. Anbefalingen er typisk, at du aktiverer alle reglerne (i Overvågning), så du kan afgøre, hvilke regler der udløses i testfasen.
Regler, der er angivet til Overvågning, påvirker generelt ikke funktionaliteten af den eller de enheder, som reglen anvendes på, men genererer logførte hændelser til evalueringen. der ikke er nogen effekt på slutbrugere.
Konfigurer regler for reduktion af angrebsoverfladen ved hjælp af Intune
Hvis du vil konfigurere regler for reduktion af angrebsoverfladen ved hjælp af en Microsoft Intune overfladereduktionspolitik for sikkerhedsangreb, skal du se Opret en sikkerhedspolitik for slutpunkter (åbner under en ny fane i dokumentationen til Intune). Når du opretter politikken, skal du bruge disse indstillinger:
- Politiktype: Reduktion af angrebsoverflade
- Platform: Windows 10, Windows 11 og Windows Server
- Profil: Regler for reduktion af angrebsoverflade
- Konfigurationsindstillinger: Angiv alle regler til overvågningstilstand for at vurdere virkningen før håndhævelse
Du kan få flere oplysninger om de profiler til reduktion af angrebsoverfladen, der er tilgængelige i Microsoft Intune, under Administrer indstillinger for reduktion af angrebsoverfladen med Microsoft Intune.
Når din politik er oprettet og tildelt, skal du vende tilbage til denne artikel for at fortsætte med test og validering.
Trin 2: Forstå rapporteringssiden for regler for reduktion af angrebsoverfladen på portalen Microsoft Defender
Rapporteringssiden for regler for reduktion af angrebsoverfladen findes i Microsoft Defender portalen>Rapporterer>regler for reduktion af angrebsoverfladen. Denne side har tre faner:
- Opdagelser
- Konfiguration
- Tilføj udeladelser
Fanen Registreringer
Indeholder en 30-dages tidslinje over registrerede overvågnings- og blokerede hændelser.
Ruden med regler for reduktion af angrebsoverfladen indeholder en oversigt over registrerede hændelser pr. regel.
Bemærk!
Der er nogle variationer i rapporter over regler for reduktion af angrebsoverfladen. Microsoft er i gang med at opdatere funktionsmåden for rapporter med regler for reduktion af angrebsoverfladen for at give en ensartet oplevelse.
Vælg Vis registreringer for at åbne fanen Registreringer .
Ruden GroupBy og Filter indeholder følgende indstillinger:
GroupBy returnerer resultater, der er angivet til følgende grupper:
- Ingen gruppering
- Registreret fil
- Overvåg eller bloker
- Regel
- Kildeapp
- Enhed
- Bruger
- Publisher
Bemærk!
Når du filtrerer efter regel, er antallet af individuelle registrerede elementer, der er angivet i den nederste halvdel af rapporten, i øjeblikket begrænset til 200 regler. Du kan bruge Eksportér til at gemme den komplette liste over registreringer i Excel.
Filter åbner siden Filtrer efter regler , hvilket giver dig mulighed for kun at begrænse resultaterne til de valgte regler for reduktion af angrebsoverfladen:
Bemærk!
Hvis du har en licens til Microsoft 365 Security E5 eller A5 eller Windows E5 eller A5, åbner følgende link portalen Microsoft Defender med synlige registreringer: Registreringer af reduktion af angrebsoverfladen.
Fanen Konfiguration
Lister, pr. computer, den samlede tilstand af regler for reduktion af angrebsoverfladen: Fra, Overvågning, Blok.
Under fanen Konfigurationer kan du se, hvilke regler for reduktion af angreb der er aktiveret, og deres tilstand for hver enhed ved at vælge den enhed, du vil gennemse.
Linket Introduktion åbner Microsoft Intune Administration, hvor du kan oprette eller ændre en beskyttelsespolitik for slutpunkter for reduktion af angrebsoverfladen:
I Slutpunktssikkerhed | Oversigt, vælg Reduktion af angrebsoverflade:
Slutpunktets sikkerhed | Ruden Reduktion af angrebsoverfladen åbnes:
Bemærk!
Hvis du har en Microsoft Defender 365 E5 (eller Windows E5?) Licens, dette link åbner fanen Microsoft Defender 365 Reports > Attack surface reductions >Configurations.
Tilføj udeladelser
Denne fane indeholder en metode til at vælge registrerede objekter (f.eks. falske positiver) til udeladelse. Når der tilføjes undtagelser, indeholder rapporten en oversigt over den forventede virkning.
Bemærk!
Regler for reduktion af angrebsoverfladen ærer Microsoft Defender Udelukkelse fra Antivirus (AV). Se Konfigurer og valider udeladelser baseret på filtypenavn, navn eller placering.
Bemærk!
Hvis du har en passende licens og de nødvendige tilladelser, åbner dette link Microsoft Defender portalen med synlige udeladelser.
Du kan få flere oplysninger om brug af rapporten over regler for reduktion af angrebsoverfladen i Rapporter over regler for reduktion af angrebsoverfladen.
Konfigurer udeladelser pr. regel for reduktion af angrebsoverflade
Regler for reduktion af angrebsoverfladen giver nu mulighed for at konfigurere regelspecifikke undtagelser, kendt som "Pr. regeludeladelse".
Hvis du vil konfigurere bestemte regeludeladelser, kan du vælge at bruge Defender for Endpoint Security Settings Management, Intune og Gruppepolitik.
Bemærk!
Når du konfigurerer udeladelser pr. regel for Angrebsoverfladereduktion, skal du huske på, at det ikke er tilstrækkeligt kun at angive fil- eller programnavnet (f.eks test1.exe. ). Du skal angive hele fil- eller programstien (f.eks. ) for at sikre, C:\test1.exeat udeladelse anvendes korrekt.
Via Intune
Åbn Microsoft Intune Administration, og naviger tilstartslutpunkt> sikkerhed >Angreb overfladereduktion.
Hvis den ikke allerede er konfigureret, skal du angive den regel, du vil konfigurere udeladelser for, til Overvågning eller Bloker.
I Kun ASR pr. regeludeladelse skal du vælge den til/fra-knap, der skal ændres fra Ikke konfigureret til Konfigureret.
Angiv navnene på de filer eller programmer, der skal udelades.
Nederst i guiden Opret profil skal du vælge Næste og derefter følge vejledningen i guiden.
Tip
Brug afkrydsningsfelterne ud for listen over udeladelseselementer til at vælge elementer, der skal slettes, sorteres, importeres eller eksporteres.
Via Gruppepolitik
Du kan finde instruktioner under Konfigurer ASR-regler via gruppepolitik.
Hvis gruppepolitikobjektet ikke anvendes på enheder, skal du se Fejlfinding Microsoft Defender Antivirusindstillinger.
Brug PowerShell som en alternativ metode til at aktivere regler for reduktion af angrebsoverfladen
Brug PowerShell som et alternativ til Intune til at aktivere regler for reduktion af angrebsoverfladen i overvågningstilstand. Denne konfiguration giver dig mulighed for at få vist en post med apps, der ville være blevet blokeret, hvis funktionen var fuldt aktiveret. Du kan også se, hvor ofte reglerne udløses under normal brug.
Hvis du vil aktivere en regel for reduktion af angrebsoverfladen i overvågningstilstand, skal du bruge følgende PowerShell-cmdlet:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Hvor <rule ID> er en GUID-værdi for reglen for reduktion af angrebsoverfladen.
Hvis du vil aktivere alle de tilføjede regler for reduktion af angrebsoverfladen i overvågningstilstand, skal du bruge følgende PowerShell-cmdlet:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
Tip
Hvis du vil overvåge fuldt ud, hvordan regler for reduktion af angrebsoverfladen fungerer i din organisation, skal du bruge et administrationsværktøj til at installere denne indstilling på enheder i dit netværk.
Du kan også bruge Gruppepolitik, Intune eller MDM-udbydere (Mobile Device Management) til at konfigurere og installere indstillingen. Få mere at vide i artiklen om reduktion af angrebsoverfladen .
Brug Windows Logbog review som et alternativ til rapporteringssiden for regler for reduktion af angreb på Microsoft Defender-portalen
Hvis du vil gennemse apps, der ville blive blokeret, skal du åbne Logbog og filtrere efter Event ID 1121 i Microsoft-Windows-Windows Defender/Operational-logfilen. I følgende tabel vises alle netværksbeskyttelseshændelser.
| Hændelses-id | Beskrivelse |
|---|---|
| 5007 | Hændelse, når indstillingerne ændres |
| 1121 | Hændelse, når en regel for reduktion af angrebsoverfladen udløses i bloktilstand |
| 1122 | Hændelse, når en regel for reduktion af angrebsoverfladen udløses i overvågningstilstand |
Andre artikler i denne installationssamling
Oversigt over installation af regler for reduktion af angrebsoverflade
Planlæg installation af regler for reduktion af angrebsoverflade
Aktivér regler for reduktion af angrebsoverflade
Operationalize regler for reduktion af angrebsoverfladen