Konfigurieren Sie die Reduzierung der Angriffsfläche in Windows 10

by Posted on

Attack Surface Reduction ist eine neue Sicherheitsfunktion von Windows Defender Exploit Guard unter Windows 10, die Microsoft im Fall Creators Update eingeführt hat.

Die Reduzierung der Angriffsfläche verhindert möglicherweise häufige Aktionen von schädlicher Software, die auf Windows 10-Geräten ausgeführt wird, auf denen die Funktion aktiviert ist.

Die Funktion basiert auf Regeln und zielt auf Aktionen und Verhaltensweisen ab, bei denen es sich normalerweise um Malware handelt. Sie können Regeln aktivieren, die die Ausführung von verschleierten Skripten, ausführbaren Inhalten in E-Mail-Clients oder Office daran hindern, untergeordnete Prozesse zu erzeugen.

Die Reduzierung der Angriffsfläche ist nur verfügbar, wenn Sie den Echtzeitschutz in Windows Defender Antivirus aktivieren.

Regeln zur Reduzierung der Angriffsfläche

Die folgenden Regeln sind im Windows 10 Fall Creators-Update verfügbar:

  1. Blockieren Sie die Ausführung von (möglicherweise) verschleierten Skripten (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC)
    )
  2. Blockieren Sie ausführbare Inhalte in E-Mail-Clients und Webmail (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550).
  3. Blockieren Sie, dass Office-Apps untergeordnete Prozesse erzeugen (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
  4. Blockieren Sie die Erstellung ausführbarer Dateien durch Office-Anwendungen (3B576869-A4EC-4529-8536-B80A7769E899).
  5. Verhindern Sie, dass Office-Anwendungen Daten in andere Prozesse einfügen (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
  6. Blockieren von Win32-Importen aus Makrocode in Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Behindern Sie JavaScript und VBScript, um ausführbare Dateien zu starten (D3E037E1-3EB8-44C8-A917-57927947596D)

Konfigurieren der Angriffsflächenreduzierung

Der Schutz zur Reduzierung der Angriffsfläche kann auf drei verschiedene Arten konfiguriert werden:

  1. Gruppenrichtlinien verwenden.
  2. Verwenden von PowerShell.
  3. Verwenden von MDM CSP.

Regeln mithilfe von Richtlinien konfigurieren

Richtlinie zur Reduzierung der Angriffsfläche

Sie müssen den Gruppenrichtlinien-Editor starten, um loszulegen. Beachten Sie, dass der Gruppenrichtlinien-Editor in den Home-Editionen von Windows 10 nicht verfügbar ist.

Privatanwender können Policy Plus auschecken Dies bringt Richtlinienbearbeitung in die Edition von Windows 10.

  1. Tippen Sie auf die Windows-Taste, geben Sie gpedit.msc ein und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor unter Windows 10 zu starten.
  2. Navigieren Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Defender Antivirus> Windows Defender Exploit Guard> Reduzierung der Angriffsfläche
  3. Doppelklicken Sie auf die Richtlinie „Konfigurieren der Regeln zur Reduzierung der Angriffsfläche“.
  4. Setzen Sie die Richtlinie auf aktiviert.
  5. Wenn Sie die Richtlinie auf „Aktiviert“ setzen, wird die Schaltfläche „Anzeigen“ aktiviert. Klicken Sie auf „Anzeigen“, um das Fenster „Inhalt anzeigen“ zu laden.

Inhalt anzeigen ist eine Tabelle, die eine Regel zur Reduzierung der Angriffsfläche pro Zeile akzeptiert. Der Wertname ist die ID, die unter den oben in den Klammern aufgeführten Regeln aufgeführt ist.

Der Wert akzeptiert die folgende Eingabe:

  • 0 = deaktiviert. Die Regel ist nicht aktiv.
  • 1 = aktiviert. Die Regel ist aktiv und der Blockiermodus ist aktiviert.
  • 2 = Prüfmodus. Ereignisse werden aufgezeichnet, aber die tatsächliche Regel wird nicht durchgesetzt.

Konfigurieren von Regeln mit PowerShell

Sie können PowerShell verwenden, um Regeln zu konfigurieren.

  1. Tippen Sie auf die Windows-Taste, geben Sie PowerShell ein, halten Sie die Umschalttaste und die Strg-Taste gedrückt und laden Sie den PowerShell-Eintrag mit einem Klick.

Verwenden Sie den folgenden Befehl, um eine Blockierungsmodusregel hinzuzufügen:

Set-MpPreference -AttackSurfaceReductionRules_Ids -AttackSurfaceReductionRules_Actions aktiviert

Verwenden Sie den folgenden Befehl, um eine Überwachungsmodusregel hinzuzufügen:

Set-MpPreference -AttackSurfaceReductionRules_Ids -AttackSurfaceReductionRules_Actions AuditMode

Verwenden Sie den folgenden Befehl, um eine Regel auf deaktiviert zu setzen:

Set-MpPreference -AttackSurfaceReductionRules_Ids -AttackSurfaceReductionRules_Actions Deaktiviert

Sie können mehrere Regeln in einem einzigen Befehl kombinieren, indem Sie jede Regel durch ein Komma trennen und die Zustände für jede Regel einzeln auflisten. Beispiel:

Set-MpPreference -AttackSurfaceReductionRules_Ids , , -AttackSurfaceReductionRules_Actions Deaktiviert, Aktiviert, Aktiviert

Hinweis: Sie können Set-MpPreference oder Add-MpPreference verwenden. Der Befehl Set überschreibt immer den vorhandenen Regelsatz, während der Befehl Hinzufügen ihn hinzufügt, ohne vorhandene Regeln zu überschreiben.

Sie können den Regelsatz mit dem Befehl Get-MpPreference anzeigen.

Angriffsflächenreduzierungsereignisse

Angriffsflächenreduktionsereignisse

Protokolleinträge werden erstellt, wenn Sie Regeln ändern und wenn Ereignisse Regeln im Überwachungsmodus oder im Blockmodus auslösen.

  1. Laden Sie das Exploit Guard-Evaluierungspaket von Microsoft herunter.
  2. Extrahieren Sie den Inhalt des Archivs in das lokale System, damit auf asr-events.xml auf dem System zugegriffen werden kann.
  3. Tippen Sie auf die Windows-Taste, geben Sie Event Viewer ein und wählen Sie das Element aus der Liste der Vorschläge aus, um die Event Viewer-Oberfläche zu laden.
  4. Wählen Sie Aktion> Benutzerdefinierte Ansicht importieren, wenn die Schnittstelle geöffnet ist.
  5. Wählen Sie die zuvor extrahierte Datei asr-events.xml aus.
  6. Wählen Sie OK, wenn das Fenster „Benutzerdefinierte Ansichtsdatei importieren“ geöffnet wird. Sie können eine Beschreibung hinzufügen, wenn Sie möchten.

Die neue Ansicht wird anschließend unter Benutzerdefinierte Ansichten aufgelistet, in der die folgenden Ereignisse angezeigt werden:

  • Ereignis-ID 1121 – Ereignisse im Blockierungsmodus
  • Ereignis-ID 1122 – Ereignisse im Überwachungsmodus
  • Ereignis-ID 5007 – Ändern von Einstellungsereignissen.

Dateien und Ordner ausschließen

Ausschluss der Reduzierung der Angriffsfläche

Sie können Dateien oder Ordner ausschließen, damit die ausgeschlossenen Elemente nicht durch die Regeln zur Reduzierung der Angriffsfläche bewertet werden.

  • Gruppenrichtlinie: Gehen Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Defender Antivirus> Windows Defender Exploit Guard> Reduzierung der Angriffsfläche> Schließen Sie Dateien und Pfade von den Regeln zur Reduzierung der Angriffsfläche aus. Setzen Sie die Richtlinie auf „Aktiviert“, klicken Sie auf die Schaltfläche „Anzeigen“ und fügen Sie Dateien oder Ordner hinzu (Ordnerpfad oder Ressource, z. B. c: \ Windows im Wertnamen und 0 im Wertefeld jeder Spalte.
  • Power Shell: Verwenden Sie den Befehl Add-MpPreference -AttackSurfaceReductionOnlyExclusions „„, um Dateien oder Ordner zur Ausschlussliste hinzuzufügen.

Microsoft-Ressourcen

Weitere Informationen zur Reduzierung der Angriffsfläche finden Sie in den folgenden Ressourcen auf der Microsoft-Website:

  • Aktivieren Sie die Reduzierung der Angriffsfläche
  • Passen Sie die Reduzierung der Angriffsfläche an
  • Reduzieren Sie Angriffsflächen mit Windows Defender Exploit Guard
  • Windows Defender Exploit Guard
  • Set-MpPreference-Dokumentation
  • Add-MpPreference-Dokumentation
  • Get-MpPreference-Dokumentation

Ähnliche Beiträge:

  1. Firefox OS kommt zuerst nach Südamerika, Osteuropa
  2. Beim Verkauf eines Smartphones können private Informationen verloren gehen: Was müssen Sie tun?
  3. So deaktivieren Sie die kürzlich geschlossenen Registerkarten und Windows-Funktionen in Firefox
  4. Windows 10: Ereignisanzeigefehler nach Installation von KB4503293 und KB4503327

Published by