Konfigurieren zur Reduzierung der Angriffsfläche in Windows 10

0
412

Zur Reduzierung der Angriffsfläche ist ein neues Sicherheits-feature von Windows Defender Nutzen Wache auf Windows 10, die Microsoft eingeführt, in den Herbst-Schöpfer-Update.

Zur Reduzierung der Angriffsfläche kann verhindern, dass gemeinsame Aktionen von schädlicher software, die auf Windows 10-Geräte, die die Funktion aktiviert.

Die Funktion ist in den Regeln basierende und mit dem Ziel entwickelt, Handlungen und Verhaltensweisen, die normalerweise von malware. Sie können aktivieren von Regeln zum blockieren von der Ausführung des verborgenen Skripts, ausführbare Inhalte in E-mail-clients oder Office von Laich-Kind-Prozesse.

Zur Reduzierung der Angriffsfläche ist nur verfügbar, wenn Sie die Echtzeit-Schutz aktivieren im Windows Defender Antivirus.

Zur Reduzierung der Angriffsfläche Regeln

Die folgenden Regeln stehen zur Verfügung in der Windows 10 Fallen Machern-Update:

  1. Block-Ausführung (möglicherweise) verborgenen Skripts (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
    )
  2. Blockieren Sie ausführbare Inhalte in E-Mail-clients und web-mail (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Block Office-apps von Laich-Kind-Prozessen (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Block-Office-Anwendungen, von der Erstellung von ausführbaren Dateien (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Block-Office-Anwendungen, die vom injizieren von Daten in andere Prozesse (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Block Win32-Importe aus dem Makro-code in Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Behindern JavaScript und VBScript zum starten von ausführbaren Dateien (D3E037E1-3EB8-44C8-A917-57927947596D)

Konfigurieren Der Reduzierung Der Angriffsfläche

Die Reduzierung der Angriffsfläche Schutz kann so konfiguriert werden in drei verschiedene Arten:

  1. Mithilfe Von Gruppenrichtlinien.
  2. Mit PowerShell.
  3. Mit MDM CSP.

Die Konfiguration von Regeln über Richtlinien

attack surface reduction policy

Sie müssen starten Sie den Gruppenrichtlinien-editor, um loszulegen. Beachten Sie, dass die Gruppenrichtlinien-editor ist nicht auf Home-Editionen von Windows 10.

Heimanwender können check out Policy) Plus was bringt, Bearbeitung von Richtlinien für die edition von Windows 10.

  1. Tippen Sie auf die Windows-Taste, geben Sie gpedit.msc und drücken Sie die Enter-Taste starten Sie den Gruppenrichtlinien-editor auf Windows 10.
  2. Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Defender Antivirus – > Windows Defender-Exploit-Schutz > Reduzierung der Angriffsfläche
  3. Klicken Sie doppelt auf die Richtlinie “Konfigurieren zur Reduzierung der Angriffsfläche Regeln”.
  4. Stellen Sie die Richtlinie auf aktiviert.
  5. Festlegen der Richtlinie auf ” aktiviert-aktiviert den button “anzeigen”. Klicken Sie auf die Karte zu laden, den “Inhalt anzeigen” – Fenster.

Zeigt den Inhalt einer Tabelle kann eine Reduzierung der Angriffsfläche Regel pro Zeile. Der Wert name ist der Bezeichner, der aufgeführt ist unter den Regeln, die oben in den Klammern.

Wert akzeptiert die folgenden input:

  • 0 = deaktiviert. Die Regel ist nicht aktiv.
  • 1 = aktiviert. Die Regel aktiv ist, und block-Modus aktiviert.
  • 2 = audit-Modus. Ereignisse aufgezeichnet werden, aber die eigentliche Regel wird nicht durchgesetzt.

Die Konfiguration von Regeln mithilfe von PowerShell

Sie können PowerShell verwenden, zum konfigurieren von Regeln.

  1. Tippen Sie auf die Windows-Taste, geben Sie PowerShell ein, halten Sie die Shift-Taste und die Strg-Taste, und laden Sie das PowerShell-Eintrag mit einem Mausklick aus.

Verwenden Sie den folgenden Befehl zum hinzufügen eines blocking-Modus-Regel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <Regel-ID> -AttackSurfaceReductionRules_Actions Aktiviert

Verwenden Sie den folgenden Befehl zum hinzufügen einer audit-Modus-Regel:

Lesen Sie auch: Windows 10-Startmenü StartIsBack++ 2.0 veröffentlicht

Set-MpPreference -AttackSurfaceReductionRules_Ids <Regel-ID> -AttackSurfaceReductionRules_Actions AuditMode

Verwenden Sie den folgenden Befehl aus, um eine Regel aufstellen, die deaktiviert ist:

Set-MpPreference -AttackSurfaceReductionRules_Ids <Regel-ID> -AttackSurfaceReductionRules_Actions Deaktiviert

Kombinieren Sie mehrere Regeln in einem einzigen Befehl durch die Trennung jede Regel mit einem Komma (,) und durch die Auflistung Staaten für jede Regel einzeln. Beispiel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <Regel-ID>, <Regel-ID 2>, <Regel-ID 3> -AttackSurfaceReductionRules_Actions Disabled, Enabled, Enabled

Hinweis: Sie können die Set-MpPreference oder Add-MpPreference. Der Befehl Set wird immer überschreiben Sie den vorhandenen Satz von Regeln, wenn Sie den Befehl Hinzufügen, um es ohne überschreiben der vorhandenen Regeln.

Sie können die Regeln mithilfe der Get-MpPreference Befehl.

Zur Reduzierung Der Angriffsfläche Veranstaltungen

attack surface reduction events

Log-Einträge werden erstellt, Wann immer Sie Regeln ändern, und wenn Ereignisse ausgelöst Regeln im überwachungsmodus oder im block-Modus.

  1. Laden Sie die Exploit-Guard-Auswertung-Paket von Microsoft.
  2. Extrahieren Sie den Inhalt des Archivs auf dem lokalen system, so dass asr-events.xml zugänglich ist das system.
  3. Tippen Sie auf die Windows-Taste, geben Sie die Ereignisanzeige, und wählen Sie das Element aus der Liste der Vorschläge, laden Sie die Ereignis-Viewer-Schnittstelle.
  4. Wählen Sie “Aktion” > “Importieren” benutzerdefinierte Ansicht, wenn die Schnittstelle geöffnet ist.
  5. Wählen Sie die asr-events.xml die Datei, die Sie zuvor extrahiert.
  6. Wählen Sie ok, wenn Sie den “import von benutzerdefinierten Datei anzeigen” öffnet sich das Fenster. Sie können eine Beschreibung hinzufügen, wenn Sie möchten.

Die neue Ansicht ist aufgeführt unter “Benutzerdefinierte Ansichten” im Nachhinein zeigt, dass die folgenden Ereignisse:

  • Event ID 1121 — blocking-Modus Veranstaltungen
  • Ereignis-ID 1122 — audit-Modus Veranstaltungen
  • Event ID 5007 — ändern der Einstellungen-Ereignisse.

Ausschluss von Dateien und Ordnern

attack surface reduction exclusion

Können Sie ausschließen von Dateien oder Ordnern, so dass die items ausgeschlossen, die nicht ausgewertet, die durch Reduzierung der Angriffsfläche Regeln.

  • Gruppenrichtlinien: Gehen Sie zu ” Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Defender Antivirus – > Windows Defender-Exploit-Schutz > Reduzierung der Angriffsfläche > Ausschließen von Dateien und Pfade von der Reduzierung der Angriffsfläche Regeln. Stellen Sie die Richtlinie auf aktiviert, klicken Sie auf die Schaltfläche anzeigen, und fügen Sie Dateien oder Ordner (Ordner-Pfad oder der resource, z.B. c:Windows in das Feld name, und ” 0 ” in das Wert-Feld der einzelnen Spalten.
  • PowerShell: Verwenden Sie den Befehl Add-MpPreference -AttackSurfaceReductionOnlyExclusions “<vollständig Qualifizierter Pfad oder der resource – >” hinzufügen von Dateien oder Ordner in die Ausschlussliste.

Microsoft-Ressourcen

Schauen Sie sich die folgenden Ressourcen auf der Microsoft-website für weitere Informationen auf die Reduzierung der Angriffsfläche:

  • Aktivieren Sie zur Reduzierung der Angriffsfläche
  • Passen Reduzierung der Angriffsfläche
  • Reduzieren angreifen Oberflächen mit Windows Defender Nutzen Wache
  • Windows Defender Nutzen Wache
  • Set-MpPreference Dokumentation
  • Add-MpPreference Dokumentation
  • Get-MpPreference Dokumentation