ASR-Regeln in Windows 11: Konfiguration, Sicherheit und Best Practices

Mundobytes » Rechnen » Cyber » ASR-Regeln in Windows 11: Sicherheit konfigurieren und optimieren

Die ASR-Regeln sind unerlässlich zum Schutz Windows 11 ante Malware und fortgeschrittene Angriffe.
Sie können mit Intune, Configuration Manager, GPOs und Powershell.
Sie ermöglichen eine Feinabstimmung dank Prüf-, Blockierungs-, Warn- und benutzerdefinierten Ausschlussmodi.
Zur Maximierung der Wirksamkeit sind proaktive Überwachung und kontinuierliche Anpassungen von entscheidender Bedeutung.

ASR-Regeln

In der heutigen Welt, wo Computerbedrohungen entwickeln sich in schwindelerregendem TempoDer Schutz unserer Geräte durch robuste Systeme hat höchste Priorität. In diesem Zusammenhang ASR-Regeln (Attack Surface Reduction Rules) en Windows 11 haben sich als eine der effektivsten Strategien zum Schutz von Computern und Netzwerken vor Malware und Angriffen auf gängige Schwachstellen erwiesen. Egal, ob Sie in der IT arbeiten oder die Sicherheit Ihrer privaten oder geschäftlichen Geräte verbessern möchten, Die genaue Kenntnis dieser Regeln und deren Anwendung kann im Kampf gegen mögliche Angriffe den entscheidenden Unterschied ausmachen..

Wir untersuchen detailliert, was ASR-Regeln sind, wie sie auf verschiedenen Plattformen (Intune, Configuration Manager, Gruppenrichtlinien und PowerShell) konfiguriert werden, welche Vorteile, Einschränkungen und Best Practices sie bieten. Sie erhalten außerdem Tipps zur Optimierung und Fehlerbehebung, um die Regeln optimal zu nutzen, die Auswirkungen auf kritische Anwendungen zu minimieren und den täglichen Betrieb jeder IT-Abteilung zu optimieren.

Was sind ASR-Regeln in Windows 11 und warum sind sie so wichtig?

Die Regeln zur Reduzierung der Angriffsfläche (Attack Surface Reduction Rules) sind eine Reihe von Sicherheitsvorschriften, die in Microsoft Defender und überschaubar von Intune oder andere Management-Tools. Sein Hauptziel ist Vermeiden Sie Verhaltensweisen und Aktionen, die häufig von Malware verwendet werden, um Computer und Netzwerke zu kompromittieren: Wir sprechen über das Blockieren verdächtiger Skripts, das Unterbinden der Ausführung potenziell gefährlicher Dateien, die Kontrolle der Makronutzung in Office-Anwendungen und die Begrenzung von Versuchen zum Diebstahl von Anmeldeinformationen.

Diese Regeln schützen nicht nur vor dem Zugriff auf gängige Schwachstellen, sondern tragen auch dazu bei, das Risiko komplexer Angriffe, Ransomware und anderer komplexer Bedrohungen zu verringern.Das Beste daran ist, dass sie äußerst anpassbar sind und flexible Konfigurationen für jede Umgebung ermöglichen, von großen Unternehmen bis hin zu Einzelbenutzern.

In Windows 11 hat der ASR-Schutz ein neues Niveau an Granularität und Verwaltbarkeit erreicht, was einen Quantensprung gegenüber früheren Versionen darstellt und zu einem wesentlichen Bestandteil jeder Sicherheitsstrategie wird. Cybersicherheit modern

Lizenzierung und Anforderungen in Windows 11

Bevor wir uns mit der Konfiguration und Bereitstellung von ASR-Regeln befassen, müssen wir die wichtigsten Aspekte verstehen: Lizenzen und Voraussetzungen. ASR-Regeln sind für Computer mit Windows 10 und Windows 11 verfügbar, das vollständige Regelpaket kann jedoch nur auf Enterprise-Editionen (z. B. E3 oder E5) genutzt werden.Wenn Sie eine Lizenz haben Microsoft 365 E5 haben Sie Zugriff auf erweiterte Überwachungs- und Analysefunktionen von Defender for Endpoint oder dem Microsoft Defender XDR-Portal.

Allerdings können Sie ASR auch mit Windows Professional- oder Microsoft 365 E3-Lizenzen eingeschränkt nutzen.Die Regeln können über die Ereignisanzeige überprüft und eigene Überwachungssysteme entwickelt werden. Wichtig ist, Microsoft Defender-Antivirus als primäre und aktive Lösung, da ASR-Regeln auf der Analyse-Engine basieren, um verdächtiges Verhalten zu bewerten und zu blockieren.

Konfigurationsmethoden: Intune, Configuration Manager, GPO und PowerShell

Eine der Stärken der ASR-Regeln liegt in ihrer Vielseitigkeit bei der Verwaltung und Bereitstellung von RichtlinienEs gibt mehrere Routen und Tools, die jeweils für unterschiedliche Umgebungen und Anforderungen geeignet sind:

IntuneIdeal für Unternehmen, die Geräteflotten über die Cloud verwalten. Sie können ASR-Richtlinien zentral konfigurieren und zuweisen, deren Wirksamkeit überwachen und bei Bedarf Anpassungen oder Ausschlüsse vornehmen.
Konfigurationsmanager (SCCM): Erweiterte, traditionelle Lösung für große Organisationen. Ermöglicht Ihnen die Erstellung detaillierter Richtlinien und deren Bereitstellung auch in gemischten oder getrennten Umgebungen.
Gruppenrichtlinienobjekte (GPO): Perfekt für Umgebungen mit Active Directory, da Sie Regeln auf Domänen-, Organisationseinheits- oder bestimmter Computerebene definieren können.
Powershell: Flexible Option, mit der Sie ASR-Regeln über die Befehlszeile konfigurieren, prüfen und sogar debuggen können. Befehle, ideal für Automatisierung oder erweiterte Skripterstellung.

So organisieren und klassifizieren Sie meine Lieblings-WhatsApp-Sticker, die mir über Android oder iPhone gesendet wurden

Jede Methode hat ihre eigenen Vorteile und Überlegungen, aber alle Ermöglicht Ihnen, den Status jeder ASR-Regel zwischen folgenden Optionen zu definieren: Blockieren, Überwachen, Warnen oder DeaktiviertDies ermöglicht absolute Kontrolle über das Sicherheitsverhalten basierend auf den Anforderungen und Risiken jeder Organisation.

Konfigurieren von ASR-Regeln mit Intune

Intune hat sich zur Flaggschiff-Lösung für modernes Gerätemanagement in Unternehmen entwickelt, insbesondere in Windows 11-Umgebungen.Die Konfiguration von ASR-Regeln über diese Plattform bietet eine zentralisierte, skalierbare und leicht zu überwachende Erfahrung.

Um zu beginnen, rufen Sie das Menü auf Endpoint Security in Intune und wählen Sie Reduzierung der AngriffsflächeSie können eine neue Richtlinie erstellen oder eine vorhandene bearbeiten. Achten Sie darauf, die richtige Plattform (Windows) und das richtige Profil (ASR-Regeln) auszuwählen.

Als Nächstes können Sie die Regeln auswählen, die Sie anwenden möchten:

Blockieren Sie die Ausführung potenziell verschleierter Skripte
Verhindern, dass Office-Anwendungen untergeordnete Prozesse erstellen (Kinder)
Verhindern der Verwendung von Office-Makros zum Ausführen von Win32-API-Aufrufen
Blockieren der Dateiausführung von E-Mails, Webmails und Geräte USB die nicht vertrauenswürdig sind
Verhindern Sie den Diebstahl von Anmeldeinformationen und Angriffe auf LSASS
Kontrollieren Sie die Verwendung von JavaScript oder VBScript in heruntergeladenen Inhalten
Stoppen Sie den Missbrauch gefährdeter signierter Treiber

Sie können jede Regel auf den Modus „Blockieren“ (aktiv), „Überwachen“ (protokolliert nur Ereignisse), „Warnen“ (ermöglicht dem Benutzer, die Blockierung zu umgehen) oder „Deaktiviert“ anpassen.Sobald die Richtlinie konfiguriert ist, wird sie den entsprechenden Gerätegruppen zugewiesen.

Darüber hinaus ermöglicht Intune Schließen Sie Dateien, Pfade oder Anwendungen aus, die durch Fehlalarme beschädigt werden könnten, was für noch mehr Flexibilität sorgt.

Konfiguration über Microsoft Configuration Manager (SCCM)

Eine weitere weit verbreitete Alternative ist Konfigurationsmanager, insbesondere in Unternehmen, die sich noch für lokales oder hybrides Management entscheiden. Der Prozess besteht aus dem Zugriff Vermögenswerte und Compliance → Endpunktschutz → Windows Defender Exploit-Schutz und erstellen Sie eine Exploit Guard-Richtlinie.

Im Assistenten werden die zu aktivierenden ASR-Regeln ausgewählt, entweder im Modus Blockieren oder ÜberwachenNach Abschluss wird die Richtlinie basierend auf den in Ihrer Unternehmensumgebung definierten Gerätegruppen oder Sammlungen verteilt.

Überprüfen Sie häufig Protokolle und von SCCM generierte Berichte, um sicherzustellen, dass Regeln korrekt angewendet werden und nicht mit anderen Sicherheitsprofilen in Konflikt stehen.

Gruppenrichtlinie: Verwalten von ASR über GPOs

Die Gruppenrichtlinien In Umgebungen mit Active Directory-Infrastruktur bleiben sie die bevorzugte Vorgehensweise. Das allgemeine Verfahren ist:

Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC).
Bearbeiten (oder erstellen) Sie ein neues Gruppenrichtlinienobjekt und navigieren Sie dorthin Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Reduzierung der Angriffsfläche
Einstellungen aktivieren Konfigurieren von Regeln zur Reduzierung der Angriffsfläche
Legen Sie den Status jeder Regel fest, indem Sie ihre ID und den gewünschten Wert angeben: „1“ für Blockieren, „2“ für Prüfen, „6“ für Warnen, „0“ für Deaktivieren
Konfigurieren Sie optional Ausnahmen von der Option Ausschließen von Dateien und Pfaden von den Regeln zur Angriffsflächenreduzierung

So stellen Sie ein Lovoo-Profil wieder her, um den Zugriff wiederherzustellen

Die so erhaltene Kontrolle ist sehr detailliert, aber erfordert sorgfältige Wartung, um Konflikte zwischen Richtlinien auf verschiedenen Ebenen zu vermeiden.

PowerShell: Erweiterte Automatisierung und Steuerung

ASR-Regeln

Für fortgeschrittene Administratoren oder Umgebungen, in denen Automatisierung von entscheidender Bedeutung ist, PowerShell bietet die Möglichkeit, mit ASR-Regeln direkt von der Konsole oder von Skripten aus zu arbeiten. Die entsprechenden Aspekte können Sie auch in Was ist secpol.msc und wie kann es bei der Verwaltung von Sicherheitsrichtlinien helfen?

Einige Beispiele für nützliche Befehle sind:

Aktivieren einer ASR-Regel:
Set-MpPreference -AttackSurfaceReductionRules_Ids <ID_de_regla> -AttackSurfaceReductionRules_Actions Enabled
Im Überwachungsmodus aktivieren:
Add-MpPreference -AttackSurfaceReductionRules_Ids <ID_de_regla> -AttackSurfaceReductionRules_Actions AuditMode
Ausschlüsse:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Ruta\a\excluir"

Dies ermöglicht beispielsweise Automatisieren Sie die Aktivierung, Prüfung und Feinabstimmung von Regeln für große Geräteflotten, Integration von Aufgaben in CI/CD-Prozesse, Bereitstellungsskripte oder sogar Verwaltung von Vorfällen in Echtzeit.

Für jede ASR-Regel verfügbare Zustände und ihre Funktionsweise

Jeder individuelle ASR-Regel kann auf einen der folgenden Zustände eingestellt werden, je nachdem, was Sie erreichen möchten:

Nicht konfiguriert / Deaktiviert: Die Regel wird nicht angewendet und zugehörige Ereignisse werden nicht protokolliert.
Blockieren: Die Regel wird aktiviert und verbotene Aktionen werden direkt blockiert.
Prüfung: Aktionen sind zulässig, werden aber zur späteren Überprüfung protokolliert. Ideal, um die Auswirkungen zu beurteilen, bevor die Regel durchgesetzt wird.
Warnen: Die Regel wird angewendet, aber der Benutzer erhält eine Warnung und kann entscheiden, ob er fortfahren möchte.

Diese Flexibilität macht es einfacher Setzen Sie Regeln zunächst im Überwachungsmodus ein, um ihre Auswirkungen zu überwachen und Störungen zu minimieren. Wechseln Sie dann nach der Feinabstimmung der Ausschlüsse in den Modus „Vollständige Blockierung“..

Die wichtigsten ASR-Regeln in Windows 11 und ihr Zweck

Unter den zahlreichen verfügbaren Regeln zeichnen sich die folgenden durch ihre Wirksamkeit bei der Verhinderung von Infektionen und unbefugtem Zugriff aus:

Blockieren der Ausführung potenziell verschleierter Skripte: Verhindert die Ausführung verdächtiger Skripte, die häufig zum Laden von Malware verwendet werden.
Verhindern, dass Office untergeordnete Prozesse erstellt: Verhindert Angriffe, bei denen Office-Dokumente durch das Starten anderer Prozesse Schadsoftware generieren.
Einschränken von Office-Makros, die Win32-API-Aufrufe verwenden: insbesondere Schutz vor Exploits in bösartigen Makros.
Ausführung von E-Mail- und Webmail-Dateien blockieren: Reduziert Ihr Risiko infizierter Anhänge oder gefährlicher Links in E-Mails.
Verhindern Sie den Diebstahl von Anmeldeinformationen aus LSASS: Schützt im Speicher abgelegte Anmeldeinformationen und verhindert, dass sich Angreifer seitlich bewegen.
Blockieren Sie heruntergeladene Inhalte von nicht vertrauenswürdigen USB-Laufwerken: Minimiert Malware-Risiken auf externen Geräten.
Verhindern Sie Persistenz durch das Abonnieren von WMI-Ereignissen: Stoppt Persistenztechniken, die von fortgeschrittenen Bedrohungen verwendet werden.
Stoppen Sie die Code-Einschleusung in andere Prozesse: erschwert die Umgehung anderer Sicherheitskontrollen.
Schutz vor Ransomware und Verschlüsselungsangriffen: Erhöhung der Widerstandsfähigkeit des Systems gegenüber Vorfällen dieser Art.

Die vollständige Liste kann mit der Weiterentwicklung der Defender-Suite variieren und wachsen. Es wird daher empfohlen, sie zu konsultieren, um neue Regeln und ihren spezifischen Zweck zu identifizieren..

Ausschlüsse: So stellen Sie den Betrieb kritischer Anwendungen sicher

Eine der größten Herausforderungen ist Balance zwischen Sicherheit und BedienbarkeitEs gibt Geschäftsanwendungen, die aufgrund ihrer internen Funktionsweise bei bestimmten ASR-Regeln blockiert werden können oder Fehlalarme erzeugen.

Um diese Probleme zu EVITIEREN, Sie können Ausschlüsse auf Datei-, Ordner- oder sogar bestimmter Anwendungsebene definieren.Diese Ausschlüsse können verwaltet werden:

Über das Konfigurationsfenster in Intune, durch Importieren von CSV-Dateien oder durch manuelle Eingabe von Pfaden.
Verwenden Sie die Ausschlusseinstellungen in SCCM oder GPO, wo die auszuschließenden Pfade angegeben werden.
Über PowerShell mit dem Befehl Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<ruta>".

Es wird empfohlen, vor dem Anwenden von Blockaden im Überwachungsmodus zu analysieren, welche Anwendungen Ereignisse generieren, damit Sie die Ausschlüsse optimieren und das Risiko verringern können, legitime Prozesse zu blockieren..

So erkennen Sie, ob ich in Windows 11 eine iGPU habe: vollständige Anleitung

Richtlinienkonflikte und Zusammenführung: So funktioniert es in Unternehmensumgebungen

In verwalteten Umgebungen kommt es häufig vor, dass ein Gerät Richtlinien aus mehreren Quellen empfängt. ASR-Regeln erlauben das Zusammenführen von Richtlinien, solange keine Konflikte auftreten.Wenn zwei Richtlinien dieselbe Regel mit unterschiedlichen Zuständen definieren, wird nur die restriktivste Einstellung angewendet, oder im Falle eines Konflikts sind beide für diese bestimmte Regel ungültig.

Dieses Verhalten dient dazu, Vermeiden Sie Inkonsistenzen und stellen Sie sicher, dass Umgebungen ein Mindestmaß an Sicherheit aufrechterhalten, auch wenn es überlappende Richtlinien gibt.Daher ist es wichtig, die Hierarchie und Reihenfolge der Anwendung von ASR-Richtlinien in Ihrem Unternehmen sorgfältig zu planen.

Überwachen und Analysieren von ASR-Ereignissen in Windows 11

Die Überwachung der Wirksamkeit von ASR-Regeln ist ebenso wichtig wie deren korrekte Konfiguration. Es gibt verschiedene Tools und Methoden, um Überprüfen Sie, was auf Ihren Geräten passiert:

Ereignisanzeige: Windows protokolliert ASR-bezogene Ereignisse in Apps und Dienste → Microsoft → Windows → Windows Defender → BetriebsbereitHier finden Sie detaillierte Protokolle zu ausgelösten Regeln, Sperren und durchgeführten Aktionen.
Powershell: Sie können die aktiven Regeln und ihren Status auf dem Computer mit Befehlen wie überprüfen: Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids y Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions. Darüber hinaus finden Sie Informationen unter
MpCmdRun.exe: Laufen MpCmdRun.exe -getfiles Sie generieren eine Sammlung von Protokollen und aktuellen Konfigurationen in einer komprimierten Datei, die Sie eingehend prüfen können.
Microsoft Defender für Endpoint: Wenn Sie diese Lösung haben, wird der Abschnitt von Erweiterte Jagd ermöglicht Ihnen die Verwendung erweiterter Abfragen zur Analyse von Ereignissen und betroffenen Dateien sowie zur Korrelation verdächtiger Aktivitäten im großen Maßstab.

Eine kontinuierliche Überwachung ist unerlässlich, um Fehlalarme zu identifizieren, neue Bedrohungen zu erkennen und ASR-Einstellungen anzupassen, ohne dass die Produktivität darunter leidet..

Schrittweise Bereitstellung und Anpassung: empfohlene Best Practices

Die sichere und effektive Umsetzung der ASR-Regeln erfordert die Einhaltung bestimmter bewährte Verfahren zur Risikominimierung:

Immer im Überwachungsmodus startenAuf diese Weise können Sie kontrolliert ermitteln, welche Anwendungen durch die Regeln blockiert oder beeinträchtigt würden, indem Sie Ereignisse für mindestens 30 Tage erfassen.
Überprüfen Sie die Auswirkungen der Regeln in Geschäftsanwendungen, indem bei Bedarf Ausnahmen eingeführt werden, bevor der Blockmodus aktiviert wird.
Aktualisieren Sie regelmäßig Ihre ASR-Konfiguration Wenn Microsoft neue Regeln veröffentlicht oder bestehende verbessert, wird der Schutz vor neuen Bedrohungen gewährleistet.
Dokumentieren Sie alle Ausschlüsse und informiert Benutzer über neue Sicherheitsmaßnahmen und bittet um Feedback zu möglichen Vorfällen.
Verwenden Sie Überwachung und Berichterstattung um Einstellungen dynamisch anzupassen und mögliche Fehlfunktionen zu beheben.

Verwandte Artikel:

secpol.msc: Was es ist und wie man die lokale Sicherheitsrichtlinie in Windows steuert

Holger

Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.