Delen via

Demonstraties van regels voor het verminderen van kwetsbaarheid voor aanvallen

  • Van toepassing op: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender Antivirus, Microsoft 365 Apps

Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn gericht op specifiek gedrag dat doorgaans wordt gebruikt door malware en schadelijke apps om machines te infecteren, zoals:

  • Uitvoerbare bestanden en scripts die worden gebruikt in Office-apps of web-e-mail die proberen bestanden te downloaden of uit te voeren
  • Scripts die verborgen of anderszins verdacht zijn
  • Gedrag van apps dat niet wordt geïnitieerd tijdens het normale dagelijkse werk

Vereisten

  • Windows-clientapparaten moeten Windows 11, Windows 10 1709-build 16273 of hoger worden uitgevoerd
  • Windows-serverapparaten moeten worden uitgevoerd Windows Server 2012 R2 en hoger (met de functionaliteit in de moderne geïntegreerde oplossing)
  • Azure Stack HCI OS, versie 23H2 en hoger.

Configuratie

PowerShell-opdrachten

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled

Regelstatussen

Status Modus Numerieke waarde
Uitgeschakeld = Uit 0
Ingeschakeld = Blokmodus 1
Audit = Controlemodus 2

Configuratie controleren


Get-MpPreference

Bestanden testen

Opmerking: sommige testbestanden hebben meerdere aanvallen ingesloten en activeren meerdere regels

Regelnaam Regel-GUID
Uitvoerbare inhoud van e-mailclient en webmail blokkeren BE9BA2D9-53EA-4CDC-84E5-9B1EEE46550
Voorkomen dat Office-toepassingen onderliggende processen kunnen maken D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud 3B576869-A4EC-4529-8536-B80A7769E899
Voorkomen dat Office-toepassingen worden geïnjecteerd in andere processen 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
JavaScript en VBScript verhinderen om uitvoerbare bestanden te starten D3E037E1-3EB8-44C8-A917-57927947596D
Uitvoering van mogelijk verborgen scripts blokkeren 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Win32-importbewerkingen blokkeren vanuit macrocode in Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
{Procescreaties blokkeren die afkomstig zijn van PSExec & WMI-opdrachten D1E49AAC-8F56-4280-B9BA-993A6D77406C
Uitvoering van niet-vertrouwde of niet-ondertekende uitvoerbare bestanden in verwisselbare USB-media blokkeren B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4
Agressieve ransomwarepreventie C1DB55AB-C21A-4637-BB3F-A12568109D35
Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een prevalentie, leeftijd of vertrouwde lijstcriteria 01443614-CD74-433A-B99E-2ECDC07BFC25
Voorkomen dat Adobe Reader onderliggende processen kan maken 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren 56a863a9-875e-4185-98a7-b882c64b5ce5
Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Persistentie blokkeren via WMI-gebeurtenisabonnement e6db77e5-3df2-4cf1-b95a-636979351e5b
Het maken van webshells voor servers blokkeren a8f5898e-1dc8-49a9-9878-85004b8a61e6
Het opnieuw opstarten van de computer in de veilige modus blokkeren (preview) 33ddedf1-c6e0-47cb-833e-de6133960387
Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren (preview) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Scenario's

Configuratie

Download dit installatiescript en voer dit uit. Voordat u het script uitvoert, stelt u het uitvoeringsbeleid in op Onbeperkt met behulp van deze PowerShell-opdracht:

Set-ExecutionPolicy Unrestricted

U kunt in plaats daarvan deze handmatige stappen uitvoeren:

  1. Maak een map onder c: benoemde demo, c:\demo
  2. Sla dit schone bestand op in c:\demo.
  3. Schakel alle regels in met de PowerShell-opdracht.

Scenario 1: Kwetsbaarheid voor aanvallen verminderen blokkeert een testbestand met meerdere beveiligingsproblemen

  1. Alle regels in de blokmodus inschakelen met behulp van de PowerShell-opdrachten (u kunt alles plakken)
  2. Download en open een van de testbestanden/-documenten en schakel bewerken en inhoud in als hierom wordt gevraagd.

Verwachte resultaten scenario 1

U ziet nu onmiddellijk een melding 'Actie geblokkeerd'.

Scenario 2: ASR-regel blokkeert het testbestand met het bijbehorende beveiligingsprobleem

  1. Configureer de regel die u wilt testen met behulp van de PowerShell-opdracht uit de vorige stap.

    Voorbeeld: Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

  2. Download en open het testbestand of -document voor de regel die u wilt testen en schakel bewerken en inhoud in als u hierom wordt gevraagd.

    Voorbeeld: Voorkomen dat Office-toepassingen onderliggende processen maken D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Verwachte resultaten van scenario 2

U ziet nu onmiddellijk een melding 'Actie geblokkeerd'.

Scenario 3 (Windows 10 of hoger): ASR-regel blokkeert de uitvoering van niet-ondertekende USB-inhoud

  1. Configureer de regel voor USB-beveiliging (B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).

    Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled

  2. Download het bestand en plaats het op een USB-stick en voer het uit Blokkeer Uitvoering van niet-vertrouwde of niet-ondertekende uitvoerbare bestanden in verwisselbare USB-media

Verwachte resultaten van scenario 3

U ziet nu onmiddellijk een melding 'Actie geblokkeerd'.

Scenario 4: wat zou er gebeuren zonder kwetsbaarheid voor aanvallen te verminderen

  1. Schakel alle regels voor het verminderen van kwetsbaarheid voor aanvallen uit met behulp van PowerShell-opdrachten in de sectie Opschonen.

  2. Download een testbestand/-document en schakel bewerken en inhoud in als hierom wordt gevraagd.

Verwachte resultaten scenario 4

  • De bestanden in c:\demo zijn versleuteld en u krijgt een waarschuwingsbericht
  • Voer het testbestand opnieuw uit om de bestanden te ontsleutelen

Opschonen

Dit opschoonscript downloaden en uitvoeren

U kunt ook deze handmatige stappen uitvoeren:

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Disabled

Schoon c:\ demo-versleuteling op door het bestand versleutelen/ontsleutelen uit te voeren.

Zie ook

Implementatiehandleiding voor regels voor het verminderen van kwetsbaarheid voor aanvallen

Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Microsoft Defender voor Eindpunt - demonstratiescenario's

  • Last updated on