Microsoft Defender bietet neben dem Virenscanner noch weitere Sicherheitsfunktionen. Zu diesen gehört die Reduktion der Angriffsfläche, mit der sich Anwendungen wie Office, Browser oder Adobe Reader härten lassen. Das Feature ist standardmäßig nicht aktiv und lässt sich per Gruppenrichtlinie oder PowerShell konfigurieren.
Zu den gängigen Einfallstoren für Angreifer gehören Anhänge von E-Mails, die schädlichen Code in Form von Scripts, ausführbaren Dateien oder in Office eingebettete Makros enthalten. Zu den weiteren Angriffspunkten zählen ganz besonders auch Web-Browser sowie weit verbreitete Programme wie Adobe Reader, die regelmäßig durch Schwachstellen auffallen.
Neben den Maßnahmen, die Admins durch die Konfiguration der Anwendungen selbst ergreifen können, bietet Defender eine zusätzliche Schutzschicht. So lassen sich etwa Makros in Office mit Hilfe von Gruppenrichtlinien weitgehend zähmen, aber die Regeln zur Reduktion der Angriffsfläche (Attack Surface Reduction, ASR) dichten diese noch weiter ab.
So kann man damit Office am Erzeugen von ausführbarem Code, am Einfügen von Code in untergeordnete Prozesse oder am Erstellen von Kindprozessen hindern. Letzteres lässt sich auch für den Adobe Reader durchsetzen. Defender kann zudem ausführbare Inhalte blockieren, wenn diese über einen Mail-Client auf den Rechner gelangen.
Interessant ist zudem die Einstellung für den erweiterten Schutz vor Ransomware. Sie bezieht Informationen zu einer verdächtigen Datei aus der Microsoft Cloud und prüft etwa anhand der Häufigkeit ihres Auftretens oder erwiesener Harmlosigkeit, ob von ihr eine Gefahr ausgeht. Die Funktion setzt voraus, dass der Cloud-basierte Schutz aktiv ist.
Limitierte Management-Optionen
Die Reduktion der Angriffsfläche ist nicht nur in kostenpflichtigen Produkten wie Defender for Endpoint enthalten, sondern gehört zum Lieferumfang von Windows 10 / 11 sowie von Windows Server, wobei auf älteren Versionen einige Regeln nicht unterstützt werden.
Der große Nachteil der kostenlosen Version besteht in den reduzierten Möglichkeiten für das Management und Reporting. Eine GUI in der App Einstellung existiert dafür überhaupt nicht, die Administration der Regeln erfolgt über Gruppenrichtlinien oder PowerShell.
Sie beschränkt sich auf das Aktivieren bzw. Deaktivieren einzelner Regeln sowie auf das optionale Definieren von Verzeichnissen und Dateien, die davon ausgenommen sein sollen.
Evaluierung über den Audit-Modus
Per Voreinstellung ist ASR nicht aktiviert. Admins sollte aber in jedem Fall einen Blick auf die Regeln werfen und prüfen, welche sich für ihre Umgebung eignen.
Man muss diese nicht gleich scharf schalten, sondern kann sie erst im Audit-Modus betreiben und beobachten, welche Auswirkungen sie haben würden.
ASR über PowerShell verwalten
PowerShell kommt die Aufgabe zu, den aktuellen Status der ASR-Regeln abzurufen:
Get-MpPreference | select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions
Dieser Aufruf zeigt an, welche Regeln konfiguriert wurden und welchen Status sie haben. Allerdings erhält man dabei nicht ihren Namen, sondern nur eine GUID. Die Tabelle am Ende des Textes (Quelle) löst diese auf.
Für den Status ("Actions") sind die Werte 0, 1, 2 und 6 vorgesehen. Dabei steht 0 für deaktiviert, 1 für aktiviert, 2 für den Audit-Modus (bloße Protokollierung, sobald eine Regeln ausgelöst würde) sowie 6 für Warnung, bei der User einen Hinweis auf die mögliche Gefahr erhalten, aber die Blockierung umgehen können.
Wenn man Regeln konfigurieren möchte, dann sieht das Cmdlet Set-MpPreference für den Parameter AttackSurfaceReductionRules_Actions statt dieser numerischen Werte die Konstanten Disabled, Enabled und AuditMode vor. Dagegen gibt man für AttackSurfaceReductionRules_Ids wieder die GUID an.
Um beispielsweise Adobe Reader am Starten von Kindprozessen zu hindern, geht man mit PowerShell so vor:
Set-MpPreference `
-AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c `
-AttackSurfaceReductionRules_Actions Enabled
Um Ausschlüsse für Verzeichnisse und Dateien zu definieren, ruft man Set-MpPreference nach diesem Muster auf:
Set-MpPreference -AttackSurfaceReductionOnlyExclusions "c:\windows"
Den Status dieser Eigenschaft fragt man dann mit diesem Befehl ab:
Get-MpPreference | select AttackSurfaceReductionOnlyExclusions
ASR-Regeln über Gruppenrichtlinien konfigurieren
Für das zentrale Management von ASR stehen in den Gruppenrichtlinien zwei Einstellungen zur Verfügung, eine für die Aktivierung bzw. Deaktivierung von Regeln und die andere für die Definition der Ausschlüsse.
Beide befinden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Microsoft Defender Exploit Guard => Verringerung der Angriffsfläche.
Anstatt einfach für jede Regel eine eigene Option zu aktivieren, muss man für alle eine gemeinsame Einstellung verwenden ("Regeln zur Verringerung der Angriffsfläche konfigurieren"). Dort trägt man die oben erwähnte GUID sowie den Wert für die Action in eine Tabelle ein.
Um Ausschlüsse für Verzeichnisse und Dateien einzurichten, konfiguriert man die andere Einstellung in diesem Ordner. Auch hier trägt man alle Wertnamen in eine Tabelle ein, für den Wert in der rechten Spalte wählt man hier grundsätzlich 0.
ASR im Eventlog beobachten
Nachdem die Bordmittel für ASR kein Reporting vorsehen, muss man sich auf die Auswertung der Logs beschränken. Die Aufzeichnung erfolgt unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Windows Defender => Operational.
Von Interesse sind hier die folgenden IDs:
| Ereignis-ID | Beschreibung |
|---|---|
| 5007 | Einstellungen wurden geändert |
| 1121 | Auslösen einer Regel im Blockierungsmodus |
| 1122 | Auslösen Einer Regel Im Überwachungsmodus (Audit-Modus) |
Um diese Events zu beobachten, kann man in der Ereignisanzeige eine benutzerdefinierte Ansicht erstellen.
Alternativ kann man die Log-Einträge auch mit PowerShell abfragen:
Get-WinEvent -LogName 'Microsoft-Windows-Windows Defender/Operational' |
where {$_.ID -eq "5007" -or $_.ID -like "112?"}
Fazit
Die Reduktion der Angriffsfläche kann einen wichtigen Beitrag leisten, um die Sicherheit der am meisten attackierten Anwendungen zu erhöhen. Das Feature gehört zum Lieferumfang aller aktuellen Windows-Versionen, ist aber per Voreinstellung nicht aktiviert.
Möchte man keinen kostenpflichtigen Service wie Defender for Endpoint oder ein Management-Tool wie ConfigMgr bzw. von einem Drittanbieter einsetzen, dann ist man auf die Verwaltung mittels Gruppenrichtlinien und PowerShell beschränkt. Dabei fehlen vor allem vernünftige Fähigkeiten für das Reporting.
Wenn man ASR im Unternehmen einführt, dann sollte man mit dem Überwachungsmodus starten und anhand des Eventlogs studieren, welche Auswirkungen die Regeln in der Praxis hätten. Ist keine größere Beeinträchtigung der User zu erwarten, dann kann man sie scharf schalten.
Namen der Regeln und ihre GUIDs
| Regelname | Regel-GUID |
|---|---|
| Missbrauch von gefährdeten signierten Treibern blockieren | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Adobe Reader am Erstellen von untergeordneten Prozessen hindern | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Ausführung potenziell verborgener Skripts blockieren | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern | d3e037e1-3eb8-44c8-a917-57927947596d |
| Office-Anwendungen am Erstellen ausführbarer Inhalte hindern | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Persistenz durch WMI-Ereignisabonnement blockieren (Datei- und Ordnerausschlüsse werden nicht unterstützt). | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Win32-API-Aufrufe von Office-Makros blockieren | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Erweiterten Schutz vor Ransomware verwenden | c1db55ab-c21a-4637-bb3f-a12568109d35 |
