Microsoft Defender for Endpoints – Verringerung der Angriffsfläche

Es ist Zeit für die ultimative Microsoft Defender for Endpoint-Serie. Wir schauen uns detailliertere Informationen zur Angriffsflächenreduzierung und zusätzlichen Schutzschichten von Defender for Endpoint.

Einführung

Microsoft Defender Antivirus ist die „Schutzkomponente der nächsten Generation“ von Microsoft Defender für Endpoint , die maschinelles Lernen, Bedrohungsanalyse und die Cloud-Infrastruktur von Microsoft kombiniert, um Geräte umfassender zu schützen. Zusätzlich zu den Grundeinstellungen von Defender AntiVirus stehen weitere Schutzfunktionen zur Verfügung. In einer einfachen Übersicht sind die folgenden Konfigurationen verfügbar.

Reduzierung der Angriffsfläche

Teil 1:

  • ASR Einweisung schaffen eines Basiswissens

Teil 2: (wird noch veröffentlicht)

  • Kontrollierter Ordnerzugriff
  • Exploit-Schutz
  • Netzwerkschutz
  • Web-Schutz

Teil 3: (wird noch veröffentlicht)

  • Gerätesteuerung
  • Ransomware-Schutz
  • Anwendungssteuerung
  • Hardware Isolierung

 

Zusätzlicher Defender-Schutz

Teil 4: (wird noch veröffentlicht)

  • Windows Defender Credential Guard
  • Microsoft Defender-SmartScreen
  • Windows Defender-Firewall

Defender for Endpoint enthält mehrere Funktionen, um die Angriffsflächen zu reduzieren und die Schutzfunktionen zu erhöhen. Attack Surface Reduction (ASR) ist der Name und enthält mehrere Funktionen.

Attack Surface Reduction (ASR)-Regeln

Attack Surface Reduction (ASR) ist der Name, den Microsoft einer Sammlung von Regeln gegeben hat, die gängige Malware und Exploit-Techniken einschränken. ASR-Regeln sind Teil der Steuerelemente in Defender.

Sehen Sie ASR als Oberbegriff für alle integrierten und Cloud-basierten Sicherheitsfunktionen.

Regeln zur Reduzierung der Angriffsfläche sind wichtig und helfen, viele der häufig von Malware und Ransomware verwendeten Angriffspunkte zu schließen. Mit der Verwendung von ASR wird der Angriff von der ersten Aktivität an blockiert.

Beispiel:

  • Blockieren Sie JavaScript oder VBScript am Starten heruntergeladener ausführbarer Inhalte
  • Blockieren Sie den Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
  • Blockieren von Office-Anwendungen beim Erstellen von untergeordneten Prozessen
  • Verhindern Sie, dass Office-Anwendungen Code in andere Prozesse einfügen

Was sind die Voraussetzungen für die Aktivierung von ASR-Regeln?

ASR-Regeln können für Geräte aktiviert werden, auf denen Defender Antivirus im aktiven Modus ausgeführt wird. ASR funktioniert nicht, wenn Defender im passiven Modus läuft. Einige der Regeln erfordern von der Cloud bereitgestellten Schutz, dessen Aktivierung immer empfohlen wird.

ASR-Staaten

Bei Verwendung der Managementmethoden kann ASR mit folgenden Zuständen konfiguriert werden:

  • Nicht konfiguriert
  • Block
  • Audit

WICHTIG: ASR im Auditmodus generiert nur Ereignisse für Einblicke. Es gibt keinen blockierenden Aktionsteil des Audit-Zustands.

Empfehlung: Starten Sie die Regeln im Auditmodus und überprüfen Sie Ereignisse über Defender Reporting oder Advanced Hunting.
Auch wenn ich kein Fan bin von dem Erlauben des Zugriffes, weil die Benutzer wahrscheinlich einen infizierten Anhang, wenn diese durchgekommen ist auch anklicken, nur hat sich im Produktivbetrieb gezeigt, das es deutlich komfortabler ist das erst zu untersuchen  und nachher zu blockieren.

Empfehlung: Es wird empfohlen, immer den standardmäßigen Schutzsatz von ASR zu aktivieren. Das Stehlen von Block-anmeldeinformationen verursacht viel Lärm im MDE-Portal; Nach meiner Erfahrung sind 99 % falsch positiv.
Einsatzplan
Es wird empfohlen, alle ASR-Regeln im Auditmodus zu aktivieren, um mögliche Auswirkungen anzuzeigen, und den Blockiermodus „geplant“ zu aktivieren.

Daraus ergibt sich folgender Plan:

  • Aktivieren Sie ASR-Regeln im Auditmodus für bereichsbezogene Gruppen
  • Überprüfen Sie ASR-Auditsereignisse im Microsoft 365 Defender-Portal über Berichterstellung und erweiterte Suche
  • Aktivieren Sie ASR-Regeln im Überwachungsmodus für alle Geräte
  • Überprüfen Sie ASR-Überwachungsereignisse im Microsoft 365 Defender-Portal über Berichterstellung und erweiterte Suche
  • Erstellen Sie bei Bedarf Ausschlüsse (Beschränken Sie die Verwendung von Ausschlüssen)
  • Setzen Sie die Regeln auf „Blockieren“
  • Überprüfen Sie die ASR-Berichtsseite im Microsoft 365 Defender-Portal.
  • Erstellen Sie bei Bedarf zusätzliche Ausschlüsse
  • Erweitern Sie den Bereich, den Sie mit der Regel abdecken und sehen Sie sich die Berichte an

Wichtig: Ausschlüsse könnten möglicherweise die Ausführung unsicherer Dateien ermöglichen. Verwenden Sie Ausschlüsse nur bei Bedarf. Es ist besser zu verstehen, warum der Benutzer die Aktionen ausführt, und mit Alternativen zu helfen, um den Angriffsfaktor zu reduzieren und gängigere/neuere Techniken anzuwenden.

Leave a Reply