Wat is ASR (Attack Surface Reduction) en hoe beschermt het uw apparaten?

Wanneer u zich verdiept in Windows-beveiliging en alles wat Microsoft Defender te bieden heeft, is de term ASR (Aanvalsoppervlaktereductie) Het verschijnt keer op keer. En dat is geen toeval: we hebben het hier over een reeks regels en technieken die erop gericht zijn aanvallen te stoppen voordat ze überhaupt de kans krijgen.

In een context van steeds geavanceerdere bedreigingenBij ransomware, verduisterde scripts, diefstal van inloggegevens en fileless-aanvallen zijn ASR-regels een belangrijk onderdeel van preventieve verdediging geworden. Het probleem is dat ze vaak worden gezien als iets "magisch" en ingewikkelds, terwijl ze in werkelijkheid een vrij duidelijke logica hebben als ze rustig worden uitgelegd.

Wat is ASR (Attack Surface Reduction) en welk probleem lost het op?

Vermindering van het aanvalsoppervlak, of vermindering van het aanvalsoppervlakASR is een aanpak die erop gericht is alle punten te minimaliseren waarlangs een aanvaller code in een omgeving kan invoeren, verplaatsen of uitvoeren. In het specifieke geval van Microsoft wordt ASR geïmplementeerd via regels die risicovol gedrag op eindpunten beheersen: scriptuitvoering, Office-macro's, processen die vanaf USB-sticks worden gestart, WMI-misbruik, enzovoort.

In praktische termen is de Microsoft Defender ASR-regels voor eindpunten Dit zijn beleidsmaatregelen die zeggen: ‘bepaalde dingen die typisch zijn voor de malware Ze worden niet toegestaan, hoewel legitieme applicaties ze soms ook doen. Bijvoorbeeld Word Boot PowerShell, dat een script gedownload van het internet start een uitvoerbaar bestand of probeert één proces code in een ander proces te injecteren.

Het onderliggende idee is om het aantal aanvalsroutes te verminderen die een systeem kunnen nemen. Minder beschikbare routes, minder oppervlakteDit past perfect bij het Zero Trust-model: we gaan ervan uit dat er op een gegeven moment een inbreuk zal plaatsvinden, dus verkleinen we de 'explosieradius' van het incident zoveel mogelijk.

Het is hierbij belangrijk om onderscheid te maken tussen twee begrippen die vaak door elkaar worden gehaald: enerzijds de het verkleinen van het aanvalsoppervlak als algemene strategie (het verwijderen van onnodige services, het sluiten van poorten, het verwijderen van overbodige software, het beperken van machtigingen, enz.), en aan de andere kant de Microsoft Defender ASR-regelsdie een heel specifiek deel van die strategie vormen, gericht op het eindpunt en softwaregedrag.

Het aanvalsoppervlak: fysiek, digitaal en menselijk

Als we het hebben over het aanvalsoppervlak van een organisatie, hebben we het over alle punten waar een aanvaller bij betrokken kan rakenApparaten, applicaties, onlinediensten, gebruikersaccounts, API's, interne netwerken, externe clouds, enzovoort. Het is niet alleen een technisch probleem; menselijke fouten spelen ook een rol.

In het digitale gedeelte vinden we websites, servers, databankeneindpunten, cloudservices en bedrijfsapplicatiesElke verkeerd geconfigureerde service, elke onnodig open poort en elke ongepatchte softwareapplicatie kan een toegangspunt vormen voor een exploit. Daarom vertrouwen veel bedrijven op EASM-tools (External Attack Surface Management) die de detectie van blootgestelde assets en kwetsbaarheden automatiseren.

Op het fysieke oppervlak spelen de volgende zaken een rol on-premise servers, werkstations, netwerkapparaten en terminalsHier wordt het risico beperkt door fysieke toegangscontroles, camera's, kaarten, sloten, afgesloten rekken en hardware Versterkt. Als iedereen met een USB-stick toegang heeft tot het datacenter, maakt het niet uit hoe goed uw beveiligingsbeleid is.

Het derde been is het oppervlak dat geassocieerd wordt met de sociale engineering en de menselijke factorPhishing-e-mails, pretexting calls, waterhole-websites of simpele fouten van medewerkers die leiden tot het downloaden van schadelijke content. Daarom vereist het verkleinen van het aanvalsoppervlak niet alleen technologie, maar ook training en bewustwording.

ASR als pijler van preventieve beveiliging en Zero Trust

In een Zero Trust-model gaan we ervan uit dat het netwerk is al gecompromitteerd of zal worden gecompromitteerdEn ons doel is te voorkomen dat de aanvaller gemakkelijk kan escaleren of privileges kan verkrijgen. ASR-regels passen hier perfect bij, omdat ze barrières opwerpen tegen de meest uitgebuite aanvalsvectoren, vooral aan het eindpunt.

De ASR-regels hanteren het principe van minimumprivilege toegepast op gedragHet gaat niet alleen om de machtigingen die een account heeft, maar ook om de acties die een specifieke applicatie kan uitvoeren. Zo kan Office nog steeds probleemloos documenten bewerken, maar kan het geen achtergrondprocessen meer starten of uitvoerbare bestanden op schijf aanmaken.

Dit type gedragscontrole is vooral krachtig tegen polymorfe bedreigingen en bestandsloze aanvallenHoewel malware voortdurend zijn handtekening of hash verandert, moeten de meeste malware nog steeds dezelfde dingen doen: scripts uitvoeren, code in processen injecteren, LSASS manipuleren, WMI misbruiken, kwetsbare drivers schrijven, enzovoort. ASR richt zich juist op deze patronen.

Bovendien kunnen de regels in verschillende modi worden uitgevoerd: blokkeren, controleren of waarschuwenHierdoor is een gefaseerde invoering mogelijk. Eerst wordt de impact in kaart gebracht (auditmodus), vervolgens wordt de gebruiker gewaarschuwd (waarschuwing) en ten slotte wordt de implementatie genadeloos geblokkeerd zodra uitsluitingen zijn aangepast.

Vereisten en compatibele besturingssystemen

Om ASR-regels in Microsoft Defender optimaal te benutten, is een solide basis belangrijk. In de praktijk moet je: Microsoft Defender Antivirus moet uw primaire antivirusprogramma zijn.draait in de actieve (niet passieve) modus en met realtime bescherming ingeschakeld.

Veel regels, vooral de meer geavanceerde, vereisen dat je Cloud-geleverde bescherming Actief en verbonden met Microsoft-cloudservices. Dit is essentieel voor functies die afhankelijk zijn van reputatie, prevalentie of heuristiek in de cloud, zoals de regel 'uitvoerbare bestanden die niet voldoen aan de criteria voor prevalentie, leeftijd of vertrouwde lijsten' of de regel 'geavanceerde ransomwarebescherming'.

Hoewel de ASR-regels niet strikt een vergunning vereisen Microsoft 365 E5, ja dat is het Het is sterk aan te raden om een ​​E5-rijbewijs of een gelijkwaardig rijbewijs te hebben. Als u de geavanceerde beheer-, bewakings-, analyse-, rapportage- en workflowfuncties wilt integreren in Microsoft Defender voor Endpoint en de Microsoft Defender XDR-portal.

Als u werkt met licenties zoals Windows Professional of Microsoft 365 E3 zonder die geavanceerde functies, kunt u nog steeds ASR gebruiken, maar u zult meer moeten vertrouwen op Gebeurtenisviewer, Microsoft Defender Antivirus-logboeken en bedrijfseigen oplossingen monitoring en rapportage (event forwarding, SIEM, etc.). In alle gevallen is het essentieel om de lijst met besturingssystemen ondersteundomdat de verschillende regels minimumvereisten hebben voor Windows 10/11 en serverversies.

ASR-regelmodi en pre-beoordeling

Elke ASR-regel kan in vier toestanden worden geconfigureerd: niet geconfigureerd/uitgeschakeld, blok, audit of waarschuwingDeze statussen worden ook weergegeven met numerieke codes (respectievelijk 0, 1, 2 en 6) die worden gebruikt in GPO, MDM, Intune en PowerShell.

mode slot Activeert de regel en stopt direct het verdachte gedrag. De modus audit Gebeurtenissen die anders zouden worden geblokkeerd, worden vastgelegd, maar de actie kan wel doorgaan. Zo kunt u de impact op zakelijke toepassingen beoordelen voordat u de beveiliging aanscherpt.

mode waarschuwing (Waarschuwen) is een soort middenweg: de regel gedraagt ​​zich als een blokkeringsregel, maar de gebruiker ziet een dialoogvenster waarin wordt aangegeven dat de inhoud is geblokkeerd en krijgt de mogelijkheid om tijdelijk ontgrendelen voor 24 uurNa deze periode wordt hetzelfde patroon opnieuw geblokkeerd, tenzij de gebruiker dit opnieuw toestaat.

Waarschuwingsmodus wordt alleen ondersteund vanaf Windows 10 versie 1809 (RS5) en laterIn eerdere versies gedroeg een regel die u in de waarschuwingsmodus configureerde zich feitelijk als een blokkeringsregel. Bovendien ondersteunen sommige specifieke regels de waarschuwingsmodus niet wanneer ze via Intune worden geconfigureerd (hoewel ze dit wel via Groepsbeleid doen).

Voordat het vergrendelingspunt wordt bereikt, wordt sterk aanbevolen de auditmodus te gebruiken en te vertrouwen op de Microsoft Defender KwetsbaarheidsbeheerHier ziet u de verwachte impact van elke regel (percentage getroffen apparaten, potentiële impact op gebruikers, enz.). Op basis van de auditgegevens kunt u beslissen welke regels u in de blokkeringsmodus wilt activeren, in welke pilotgroepen en welke uitsluitingen u nodig hebt.

ASR-regels per type: standaardbeschermingsregels en andere regels

Microsoft classificeert ASR-regels in twee groepen: enerzijds de standaardbeschermingsregelsDit zijn de regels die bijna altijd worden aanbevolen om te activeren, omdat ze zeer weinig impact hebben op de bruikbaarheid. Aan de andere kant zijn dit de regels die doorgaans een zorgvuldigere testfase vereisen.

Onder de standaardbeschermingsregels vallen bijvoorbeeld de volgende op: “Blokkeer het misbruik van uitgebuite kwetsbare ondertekende controllers”, “Blokkeer de diefstal van inloggegevens uit het subsysteem van de lokale beveiligingsautoriteit (lsass.exe)” o “Blokkeer persistentie via WMI-gebeurtenisabonnementen”Deze verwijzen direct naar veelgebruikte technieken voor privilege-escalatie, verdedigingsontduiking en persistentie.

De overige regels, hoewel zeer krachtig, zullen eerder in conflict komen met bedrijfsapplicaties die intensief gebruikmaken van scripts, macro's, onderliggende processen of tools voor extern beheer. Dit omvat alle regels die van invloed zijn op Office, Adobe Reader, PSExec, externe WMI, verduisterde scripts, uitvoering vanaf USB, WebShells, Etc.

Voor elke regel documenteert Microsoft een Intune-naam, mogelijke naam in Configuration Manager, unieke GUID, afhankelijkheden (AMSI, Cloud Protection, RPC…) en soorten gebeurtenissen die worden gegenereerd bij geavanceerd zoeken (bijvoorbeeld AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditedenz.). Deze GUID's zijn de GUID's die u in GPO, MDM en PowerShell moet gebruiken om de modus in of uit te schakelen of te wijzigen.

Gedetailleerde beschrijving van de belangrijkste ASR-regels

De ASR-regels bestrijken een zeer breed scala aan aanvalsvectorenHieronder vindt u een samenvatting van de meest relevante en wat elk ervan precies blokkeert, gebaseerd op officiële referenties en praktische ervaring.

Blokkeer het misbruik van kwetsbare, uitgebuite ondertekende drivers

Deze regel voorkomt dat een applicatie met voldoende rechten schrijf ondertekende maar kwetsbare drivers naar schijf die aanvallers vervolgens kunnen laden om toegang te krijgen tot de kernel en beveiligingsoplossingen uit te schakelen of te omzeilen. Het blokkeert het laden van kwetsbare drivers die al aanwezig waren niet, maar het blokkeert wel een van de gebruikelijke manieren om ze te introduceren.

Het wordt geïdentificeerd door de GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 en genereert gebeurtenissen van het type AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked in het geavanceerde zoeken van Microsoft Defender.

Voorkom dat Adobe Reader onderliggende processen aanmaakt

Het doel van deze regel is om te voorkomen Adobe Reader dient als springplank om payloads te downloaden en te starten. Het blokkeert de aanmaak van secundaire processen vanuit Reader en beschermt zo tegen PDF-exploits en social engineering-technieken die afhankelijk zijn van deze viewer.

Uw GUID is 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cen kan gebeurtenissen genereren AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedHet hangt ervan af of Microsoft Defender Antivirus operationeel is.

Voorkom dat alle Office-toepassingen onderliggende processen aanmaken

Deze regel verbiedt Word, Excel, PowerPoint, OneNote en Access secundaire processen genererenHet is een directe manier om veel macro-gebaseerde aanvallen van PowerShell te stoppen. CMD of andere systeemhulpprogramma's om schadelijke code uit te voeren.

De bijbehorende GUID is d4f940ab-401b-4efc-aadc-ad5f3c50688aIn realistische scenario's gebruiken sommige legitieme zakelijke toepassingen dit patroon ook (bijvoorbeeld om een opdrachtprompt of wijzigingen in het register aanbrengen), is het essentieel om het eerst in de auditmodus te testen.

Blokkeer LSASS-inloggegevensdiefstal

Deze regel beschermt het proces lsass.exe tegen ongeautoriseerde toegang vanuit andere processen, waardoor het aanvalsoppervlak voor tools als Mimikatz, die hashes, platte tekstwachtwoorden of Kerberos-tickets proberen te extraheren, wordt verkleind.

Hij deelt een filosofie met Microsoft Defender Credential GuardAls u Credential Guard al hebt ingeschakeld, voegt de regel weinig toe, maar is deze erg handig in omgevingen waar u deze niet kunt inschakelen vanwege incompatibiliteit met chauffeurs of software van derden. Uw GUID is 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Blokkeer uitvoerbare inhoud van e-mailclients en webmail

Hier voeren we een regel in die sterk lijkt op phishingaanvallen. Wat deze regel doet, is voorkomen... uitvoerbare bestanden, scripts en gecomprimeerde bestanden die zijn gedownload of bijgevoegd vanuit e-mail- en webmailclients direct uitvoeren. Het is voornamelijk van toepassing op Outlook, Outlook.com en populaire webmailproviders, en is vooral nuttig in combinatie met andere e-mailbeveiligingen en met de veilige browserinstellingen.

Uw GUID is be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 en genereert gebeurtenissen zoals AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedHet is vooral nuttig in combinatie met andere e-mailbeveiligingen.

Voorkom dat uitvoerbare bestanden worden uitgevoerd als ze niet voldoen aan de criteria voor prevalentie, leeftijd of vertrouwenslijst.

Deze regel blokkeert de uitvoering van binaire bestanden (.exe, .dll, .scr, enz.) die zijn niet frequent genoeg, oud genoeg of betrouwbaar Volgens de cloudreputatiegegevens van Microsoft is het een zeer krachtig middel tegen nieuwe malware, maar het kan kwetsbaar zijn in omgevingen met veel interne of ongebruikelijke software.

De GUID is 01443614-cd74-433a-b99e-2ecdc07bfc25 En het hangt expliciet af van Cloud Protection. Nogmaals, het is een duidelijk voorbeeld van de regel dat het het beste is om te beginnen in de auditmodus en vervolgens geleidelijk blokkering te implementeren.

De uitvoering van mogelijk verduisterde scripts blokkeren

Verduisterde code is een veelvoorkomend probleem voor zowel aanvallers als, soms, legitieme ontwikkelaars. Deze regel analyseert verdachte kenmerken in verduisterde PowerShell-, VBScript-, JavaScript- of macroscripts en blokkeert de e-mails waarvan de kans groot is dat ze schadelijk zijn.

Uw GUID is 5beb7efe-fd9a-4556-801d-275e5ffc04cc Het maakt gebruik van AMSI (Antimalware Scan Interface) en cloudbeveiliging om zijn beslissing te nemen. Dit is een van de meest effectieve regels tegen moderne scriptgebaseerde campagnes.

Voorkom dat JavaScript of VBScript gedownloade uitvoerbare bestanden start

Deze regel richt zich op het typische downloadpatroon: een Een script in JS of VBS downloadt een binair bestand van het internet en voert het uit.Wat ASR hier doet, is voorkomen dat het gedownloade uitvoerbare bestand daadwerkelijk wordt gestart.

Uw GUID is d3e037e1-3eb8-44c8-a917-57927947596dHet is ook afhankelijk van AMSI en is vooral cruciaal in scenario's waarin oudere technologieën of scripts nog steeds worden gebruikt in de browser of op het bureaublad.

Voorkom dat Office-toepassingen uitvoerbare inhoud maken

Een andere veelgebruikte techniek is om Office te gebruiken om schrijf kwaadaardige componenten naar schijf die na een herstart blijven bestaan ​​(bijvoorbeeld een persistent uitvoerbaar bestand of DLL). Deze regel voorkomt dat Office dat type uitvoerbare inhoud opslaat of opent om het te starten.

De GUID is 3b576869-a4ec-4529-8536-b80a7769e899 Het is gebaseerd op Microsoft Defender Antivirus en RPC en is zeer effectief in het doorbreken van macrogebaseerde infectieketens die persistente payloads downloaden.

Voorkom dat Office-toepassingen code in andere processen invoegen

Hiermee wordt voorkomen dat Office technieken gebruikt van proces injectieDit houdt in dat code in andere processen wordt geïnjecteerd om kwaadaardige activiteiten te verhullen. Microsoft is niet op de hoogte van legitieme zakelijke toepassingen van dit patroon, dus het is een redelijk veilige regel om in de meeste omgevingen in te schakelen.

Uw GUID is 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Er zijn echter specifieke toepassingen gedocumenteerd die in strijd zijn met deze regel. Als er ruis in de omgeving optreedt, is het raadzaam om de compatibiliteit te controleren.

Voorkom dat Office-communicatietoepassingen onderliggende processen aanmaken

Deze regel is primair gericht op Outlook en andere Office-communicatieproducten en blokkeert de secundaire processen aanmaken vanuit de e-mailclienthet beperken van aanvallen die misbruik maken van kwetsbaarheden in Outlook-regels, formulieren of schadelijke e-mails om code uit te voeren.

Uw GUID is 26190899-1602-49e8-8b27-eb1d0a1ce869 en helpt een zeer aantrekkelijk vector voor gerichte phishingcampagnes te sluiten.

Persistentie blokkeren via WMI-gebeurtenisabonnementen

Veel 'bestandsloze' bedreigingen vertrouwen op WMI om persistentie te bereiken zonder duidelijke sporen op de schijf achter te laten. Deze regel blokkeert het aanmaken van schadelijke WMI-gebeurtenisabonnementen die code opnieuw kunnen starten wanneer aan een voorwaarde wordt voldaan.

Uw GUID is e6db77e5-3df2-4cf1-b95a-636979351e5b en het is niet toegestaan ​​om bestanden of mappen uit te sluiten, juist om misbruik daarvan te voorkomen.

Blokkeer processen die zijn gemaakt met PSExec- en WMI-opdrachten

PsExec en WMI zijn legitieme hulpmiddelen voor extern beheer, maar ze worden ook constant gebruikt voor laterale beweging en malwareverspreidingDeze regel voorkomt dat processen afkomstig zijn van commando's PSExec of WMI worden uitgevoerd, waardoor die vector wordt verkleind.

De GUID is d1e49aac-8f56-4280-b9ba-993a6d77406cHet is een van die regels waarbij coördinatie met beheerders en operationele teams essentieel is om verstoring van legitieme processen voor beheer op afstand te voorkomen.

Blokkeer het opnieuw opstarten in de veilige modus dat wordt geïnitieerd door opdrachten

En veilige modusVeel beveiligingsoplossingen zijn uitgeschakeld of ernstig beperkt. Sommige ransomware misbruikt commando's zoals bcdedit of bootcfg om opnieuw op te starten in de veilige modus en versleutelen zonder veel weerstand. Deze regel elimineert die mogelijkheid, waardoor toegang tot de veilige modus alleen mogelijk blijft via de handmatige herstelomgeving.

Uw GUID is 33ddedf1-c6e0-47cb-833e-de6133960387 en genereert gebeurtenissen zoals AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Blokkeer niet-ondertekende of niet-vertrouwde processen van USB

Hierbij wordt een klassieke instaproute bestuurd: de USB-sticks en SD-kaartenMet deze regel worden niet-ondertekende of niet-vertrouwde uitvoerbare bestanden die vanaf deze media worden uitgevoerd, geblokkeerd. Dit geldt voor binaire bestanden zoals .exe, .dll, .scr, enz.

De GUID is b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 en het is vooral handig in omgevingen waar het risico bestaat op ongecontroleerd USB-gebruik.

Blokkeer het gebruik van gekopieerde of vervalste systeemtools

Veel aanvallen proberen te kopiëren of imiteren Windows-systeemhulpprogramma's (zoals cmd.exe, powershell.exe, regsvr32.exe, enz.) om zich voor te doen als legitieme processen. Deze regel blokkeert de uitvoering van uitvoerbare bestanden die zijn geïdentificeerd als kopieën of namaakversies van deze tools.

Uw GUID is c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb en produceert evenementen zoals AsrAbusedSystemToolBlockedHet is een goede aanvulling op andere applicatiebeheertechnieken.

Blokkeer het aanmaken van WebShell op servers

WebShells zijn scripts die speciaal zijn ontworpen voor om de aanvaller op afstand controle te geven over een serverwaardoor het opdrachten kan uitvoeren, bestanden kan uploaden, gegevens kan exfiltreren, enz. Deze regel, die gericht is op servers en rollen zoals Exchange, blokkeert het maken van deze schadelijke scripts.

De GUID is a8f5898e-1dc8-49a9-9878-85004b8a61e6 en is speciaal ontworpen om blootgestelde servers te beveiligen.

Win32 API-aanroepen vanuit Office-macro's blokkeren

Waarschijnlijk een van de meest effectieve regels tegen macro-malwareHiermee wordt voorkomen dat Office VBA-code Win32 API's importeert en aanroept, wat vaak wordt gebruikt om shellcode in het geheugen te laden, processen te manipuleren, toegang te krijgen tot het geheugen, etc.

Uw GUID is 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b en het is afhankelijk van AMSI. In de praktijk smoort het veel malwaresjablonen in Word en Excel in de kiem die afhankelijk zijn van deze aanroepen om willekeurige code uit te voeren.

Gebruik van geavanceerde ransomware-bescherming

Deze regel voegt een extra beschermingslaag toe op basis van klant- en cloudheuristiek om gedrag te detecteren dat overeenkomt met ransomware. Hierbij wordt rekening gehouden met factoren zoals reputatie, digitale handtekening en prevalentie om te bepalen of een bestand waarschijnlijker ransomware is dan een legitiem programma.

Uw GUID is c1db55ab-c21a-4637-bb3f-a12568109d35Hoewel er geprobeerd wordt om het aantal fout-positieve resultaten te minimaliseren, blijft het systeem toch voorzichtig om te voorkomen dat er een echte code over het hoofd wordt gezien.

Configuratiemethoden: Intune, MDM, Configuration Manager, GPO en PowerShell

Regels voor het verminderen van het aanvalsoppervlak kunnen op verschillende manieren worden geconfigureerd, afhankelijk van hoe u uw apparatenpark beheert. De algemene aanbeveling van Microsoft is om beheerplatforms op ondernemingsniveau (Intune of Configuration Manager), omdat hun beleid voorrang heeft op GPO- of lokale PowerShell-configuraties wanneer het systeem wordt opgestart.

met Microsoft Intune U hebt drie benaderingen: het ASR-specifieke endpointbeveiligingsbeleid, apparaatconfiguratieprofielen (Endpoint Protection) en aangepaste profielen die OMA-URI gebruiken om regels te definiëren op basis van GUID en status. In alle gevallen kunt u bestands- en mapuitsluitingen rechtstreeks toevoegen of importeren vanuit een CSV-bestand.

In omgevingen generieke MDM's CSP wordt gebruikt ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Om een ​​reeks GUID's met statussen te definiëren, gescheiden door verticale balken. U kunt bijvoorbeeld verschillende regels combineren door 0, 1, 2 of 6 toe te wijzen, afhankelijk van of u wilt uitschakelen, blokkeren, controleren of waarschuwen. Uitsluitingen worden beheerd met de CSP. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

met Microsoft Configuratiebeheer U kunt beleid maken voor Windows Defender Exploit Guard richt zich op het verkleinen van het aanvalsoppervlak. Selecteer welke regels u wilt blokkeren of controleren en implementeer deze op specifieke verzamelingen apparaten.

La Groepsbeleid Hiermee kunt u ASR configureren via beheersjablonen door naar de knooppunten Microsoft Defender Antivirus en 'Aanvalsoppervlaktevermindering' te navigeren. Daar schakelt u het beleid 'Regels voor aanvalsoppervlaktevermindering configureren' in en voert u de GUID's met de bijbehorende status in. Met een extra GPO kunt u bestands- en paduitsluitingen definiëren.

Tenslotte PowerShell Het is de meest directe en bruikbare manier voor eenmalige tests of automatiseringsscripts. Cmdlets zoals Set-MpPreference y Add-MpPreference Hiermee kunt u individuele regels inschakelen, controleren, waarschuwen of uitschakelen, en de uitsluitingslijst beheren met -AttackSurfaceReductionOnlyExclusionsAls er echter een GPO of Intune bij betrokken is, hebben de instellingen daarvan voorrang.

Uitsluitingen, beleidsconflicten en meldingen

Bijna alle ASR-regels staan ​​toe bestanden en mappen uitsluiten Dit voorkomt het blokkeren van legitieme applicaties die, door hun ontwerp, malware-achtig gedrag vertonen. Het is een krachtig hulpmiddel, maar het moet met chirurgische precisie worden gebruikt: te brede uitsluitingen kunnen ernstige kwetsbaarheden opleveren.

Wanneer er conflicterende beleidsregels worden toegepast vanuit MDM en Intune, wordt de configuratie van Groepsrichtlijn heeft voorrang Indien aanwezig. Bovendien ondersteunen ASR-regels een samenvoegingsgedrag voor beleid: er wordt een superset samengesteld met de niet-conflicterende configuratie en conflicterende vermeldingen worden voor dat apparaat weggelaten.

Elke keer dat een regel in de blokmodus wordt geactiveerd, ziet de gebruiker een systeemmelding waarin wordt uitgelegd dat een bewerking om veiligheidsredenen is geblokkeerd. Deze meldingen kunnen worden aangepast met bedrijfsgegevens en contactgegevens. Voor sommige regels en statussen worden ook EDR-waarschuwingen en interne meldingen gegenereerd en zijn deze zichtbaar in de Microsoft Defender-portal.

Niet alle regels respecteren de Uitsluitingen voor Microsoft Defender antivirus Ze houden ook geen rekening met de indicatoren van compromis (IOC's) die in Defender for Endpoint zijn geconfigureerd. Zo houden de LSASS-regel voor het blokkeren van diefstal van inloggegevens of de Office-regel voor het blokkeren van code-invoeging geen rekening met bepaalde IOC's, juist om hun robuustheid te behouden.

ASR-gebeurtenisbewaking: portaal, geavanceerd zoeken en gebeurtenisviewer

Monitoring is essentieel om ervoor te zorgen dat ASR geen black box is. Defender for Endpoint biedt gedetailleerde rapporten van gebeurtenissen en blokkades met betrekking tot ASR-regels, die u zowel op de Microsoft Defender XDR-portal als via geavanceerd zoeken kunt raadplegen.

Met geavanceerd zoeken kunt u consultaties over de tafel DeviceEventsfilteren op actietypen die beginnen met 'Asr'. Bijvoorbeeld de basisquery DeviceEvents | where ActionType startswith 'Asr' Hiermee worden ASR-gerelateerde gebeurtenissen gegroepeerd per proces en per uur weergegeven. Dit is genormaliseerd naar één exemplaar per uur om het volume te beperken.

In omgevingen zonder E5 of zonder toegang tot deze mogelijkheden, is er altijd de mogelijkheid om de Windows-logboeken in LogboekenMicrosoft biedt aangepaste weergaven (zoals het bestand cfa-events.xml) waarmee relevante gebeurtenissen worden gefilterd met identificatiegegevens zoals 5007 (configuratiewijzigingen), 1121 (regel in blokkeringsmodus) en 1122 (regel in auditmodus).

Bij hybride implementaties is het heel gebruikelijk om deze gebeurtenissen door te sturen naar een SIEM of gecentraliseerd loggingplatform, correleer ze met andere indicatoren en activeer aangepaste waarschuwingen wanneer bepaalde regels te veel gebeurtenissen genereren in een specifiek segment van het netwerk.

Het verkleinen van het aanvalsoppervlak buiten ASR: strategieën, technologieën en uitdagingen

Hoewel ASR-regels een zeer belangrijk onderdeel zijn, gaat het verkleinen van het aanvalsoppervlak als globale strategie veel verder dan het eindpunt. breng alle activa en toegangspunten in kaartVerwijder onnodige services, segmenteer netwerken, pas strikte toegangscontroles toe, verstevig systemen, onderhoud veilige configuraties en bescherm de cloud en API's.

Organisaties beginnen doorgaans met een volledige inventarisatie van apparaten, software, accounts en verbindingenVervolgens worden ongebruikte services en applicaties geïdentificeerd en verwijderd, netwerkpoorten gesloten en functies die geen waarde toevoegen, uitgeschakeld. Dit vereenvoudigt de omgeving en vermindert het aantal 'deuren' dat moet worden bewaakt.

Het deel van toegangscontrole Van cruciaal belang zijn: toepassing van het principe van minimale privileges, sterke wachtwoorden, multi-factorauthenticatie, snelle intrekking van toegang wanneer iemand van rol verandert of de organisatie verlaat, en bewaking van verdachte inlogpogingen.

In de cloud groeit het aanvalsoppervlak met elke nieuwe service, API of integratie. Verkeerde configuraties in opslagruimteTe brede rollen, verweesde accounts of onveilige standaardwaarden zijn veelvoorkomende problemen. Regelmatige configuratie-audits, encryptie van data in rust en tijdens de overdracht, segmentatie van virtuele netwerken en continue controles van rechten spelen hierbij een rol.

Om dit alles te ondersteunen zijn technologieën zoals hulpmiddelen voor het ontdekken en in kaart brengen van activa, kwetsbaarheidsscanners, toegangscontrolesystemen, configuratiebeheerplatforms en netwerkbeveiligingshulpmiddelen (firewalls, IDS/IPS, NDR, enz.). Oplossingen zoals SentinelOne combineren bijvoorbeeld endpoint protection, gedragsanalyse en geautomatiseerde respons om het effectieve aanvalsoppervlak verder te verkleinen.

Er zijn veel uitdagingen: complexe afhankelijkheden tussen systemenDe aanwezigheid van legacy-applicaties die moderne maatregelen niet ondersteunen, het snelle tempo van technologische veranderingen, beperkte resources en het voortdurende conflict tussen beveiliging en productiviteit dragen allemaal bij aan deze uitdaging. Het vinden van de juiste balans vereist een diepgaand begrip van de bedrijfsvoering en het prioriteren van kritieke activa en processen.

In deze context worden ASR-regels een van de meest effectieve tools om het speelveld van de aanvaller aan het eindpunt te beperken. Goed gepland (beginnend met auditing), verfijnd met precieze uitsluitingen en zorgvuldig gemonitord, voorkomen ze dat een gebruikersfout, een enkele exploit of een kwaadaardige USB-stick automatisch escaleert tot een kritiek incident. Dit draagt ​​bij aan een kleiner, beter beheersbaar en vooral effectiever aanvalsoppervlak. veel moeilijker te exploiteren.