Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren


    Tags: , ,

    Device Guard und Credential GuardMicrosoft Defender bietet neben dem Viren­scanner noch weitere Sicher­heits­­funk­tionen. Zu diesen gehört die Reduktion der Angriffs­­fläche, mit der sich Anwendungen wie Office, Browser oder Adobe Reader härten lassen. Das Feature ist standard­­mäßig nicht aktiv und lässt sich per Gruppen­richt­linie oder PowerShell konfi­gurieren.

    Zu den gängigen Einfallstoren für Angreifer gehören Anhänge von E-Mails, die schädlichen Code in Form von Scripts, ausführbaren Dateien oder in Office eingebettete Makros enthalten. Zu den weiteren Angriffspunkten zählen ganz besonders auch Web-Browser sowie weit verbreitete Programme wie Adobe Reader, die regelmäßig durch Schwachstellen auffallen.

    Ergänzung zu App-spezifischen Maßnahmen

    Neben den Maßnahmen, die Admins durch die Konfiguration der Anwendungen selbst ergreifen können, bietet Defender eine zusätzliche Schutzschicht. So lassen sich etwa Makros in Office mit Hilfe von Gruppenrichtlinien weitgehend zähmen, aber die Regeln zur Reduktion der Angriffsfläche (Attack Surface Reduction, ASR) dichten diese noch weiter ab.

    So kann man damit Office am Erzeugen von ausführbarem Code, am Einfügen von Code in untergeordnete Prozesse oder am Erstellen von Kind­prozessen hindern. Letzteres lässt sich auch für den Adobe Reader durchsetzen. Defender kann zudem ausführbare Inhalte blockieren, wenn diese über einen Mail-Client auf den Rechner gelangen.

    Interessant ist zudem die Einstellung für den erweiterten Schutz vor Ransomware. Sie bezieht Informationen zu einer verdächtigen Datei aus der Microsoft Cloud und prüft etwa anhand der Häufigkeit ihres Auftretens oder erwiesener Harmlosigkeit, ob von ihr eine Gefahr ausgeht. Die Funktion setzt voraus, dass der Cloud-basierte Schutz aktiv ist.

    Der erweiterte Schutz vor Ransomware benötigt Daten aus der Microsoft-Cloud.

    Limitierte Management-Optionen

    Die Reduktion der Angriffsfläche ist nicht nur in kostenpflichtigen Produkten wie Defender for Endpoint enthalten, sondern gehört zum Lieferumfang von Windows 10 / 11 sowie von Windows Server, wobei auf älteren Versionen einige Regeln nicht unterstützt werden.

    Der große Nachteil der kostenlosen Version besteht in den reduzierten Möglichkeiten für das Management und Reporting. Eine GUI in der App Einstellung existiert dafür überhaupt nicht, die Administration der Regeln erfolgt über Gruppen­richtlinien oder PowerShell.

    Sie beschränkt sich auf das Aktivieren bzw. Deaktivieren einzelner Regeln sowie auf das optionale Definieren von Verzeichnissen und Dateien, die davon ausgenommen sein sollen.

    Evaluierung über den Audit-Modus

    Per Voreinstellung ist ASR nicht aktiviert. Admins sollte aber in jedem Fall einen Blick auf die Regeln werfen und prüfen, welche sich für ihre Umgebung eignen.

    Man muss diese nicht gleich scharf schalten, sondern kann sie erst im Audit-Modus betreiben und beobachten, welche Auswirkungen sie haben würden.

    ASR über PowerShell verwalten

    PowerShell kommt die Aufgabe zu, den aktuellen Status der ASR-Regeln abzurufen:

    Get-MpPreference | select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

    Dieser Aufruf zeigt an, welche Regeln konfiguriert wurden und welchen Status sie haben. Allerdings erhält man dabei nicht ihren Namen, sondern nur eine GUID. Die Tabelle am Ende des Textes (Quelle) löst diese auf.

    Für den Status ("Actions") sind die Werte 0, 1, 2 und 6 vorgesehen. Dabei steht 0 für deaktiviert, 1 für aktiviert, 2 für den Audit-Modus (bloße Protokollierung, sobald eine Regeln ausgelöst würde) sowie 6 für Warnung, bei der User einen Hinweis auf die mögliche Gefahr erhalten, aber die Blockierung umgehen können.

    Status von ASR abfragen (per Default leer) und neue Regel für Adobe Reader hinzufügen

    Wenn man Regeln konfigurieren möchte, dann sieht das Cmdlet Set-MpPreference für den Parameter Attack­Surface­Reduction­Rules_Actions statt dieser numerischen Werte die Konstanten Disabled, Enabled und AuditMode vor. Dagegen gibt man für Attack­Surface­Reduction­Rules_Ids wieder die GUID an.

    Um beispielsweise Adobe Reader am Starten von Kindprozessen zu hindern, geht man mit PowerShell so vor:

    Set-MpPreference `
    -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c `
    -AttackSurfaceReductionRules_Actions Enabled

    Um Ausschlüsse für Verzeichnisse und Dateien zu definieren, ruft man Set-MpPreference nach diesem Muster auf:

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "c:\windows"

    Den Status dieser Eigenschaft fragt man dann mit diesem Befehl ab:

    Get-MpPreference | select AttackSurfaceReductionOnlyExclusions

    Ausschlüsse für die ASR-Regeln mit PowerShell verwalten

    ASR-Regeln über Gruppenrichtlinien konfigurieren

    Für das zentrale Management von ASR stehen in den Gruppen­richtlinien zwei Einstellungen zur Verfügung, eine für die Aktivierung bzw. Deaktivierung von Regeln und die andere für die Definition der Ausschlüsse.

    Beide befinden sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Microsoft Defender Exploit Guard => Ver­ringerung der Angriffsfläche.

    Anstatt einfach für jede Regel eine eigene Option zu aktivieren, muss man für alle eine gemeinsame Einstellung verwenden ("Regeln zur Verringerung der Angriffs­fläche konfigurieren"). Dort trägt man die oben erwähnte GUID sowie den Wert für die Action in eine Tabelle ein.

    GUID für eine ASR-Regel und Wert für die Aktion (Deaktivieren=0, Blockieren=1, Audit=2, Warnung=6) in die GPO-Einstellung eintragen

    Um Ausschlüsse für Verzeichnisse und Dateien einzurichten, konfiguriert man die andere Einstellung in diesem Ordner. Auch hier trägt man alle Wertnamen in eine Tabelle ein, für den Wert in der rechten Spalte wählt man hier grundsätzlich 0.

    ASR-Ausschlüsse über Gruppenrichtlinien definieren

    ASR im Eventlog beobachten

    Nachdem die Bordmittel für ASR kein Reporting vorsehen, muss man sich auf die Auswertung der Logs beschränken. Die Aufzeichnung erfolgt unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Windows Defender => Operational.

    Von Interesse sind hier die folgenden IDs:

    Ereignis-ID Beschreibung
    5007 Einstellungen wurden geändert
    1121 Auslösen einer Regel im Blockierungsmodus
    1122 Auslösen Einer Regel Im Überwachungsmodus (Audit-Modus)

    Um diese Events zu beobachten, kann man in der Ereignisanzeige eine benutzerdefinierte Ansicht erstellen.

    Eventlog für Windows Defender

    Alternativ kann man die Log-Einträge auch mit PowerShell abfragen:

    Get-WinEvent -LogName 'Microsoft-Windows-Windows Defender/Operational' |
    where {$_.ID -eq "5007" -or $_.ID -like "112?"}

    Fazit

    Die Reduktion der Angriffsfläche kann einen wichtigen Beitrag leisten, um die Sicherheit der am meisten attackierten Anwendungen zu erhöhen. Das Feature gehört zum Lieferumfang aller aktuellen Windows-Versionen, ist aber per Voreinstellung nicht aktiviert.

    Möchte man keinen kosten­pflichtigen Service wie Defender for Endpoint oder ein Management-Tool wie ConfigMgr bzw. von einem Drittanbieter einsetzen, dann ist man auf die Verwaltung mittels Gruppen­richtlinien und PowerShell beschränkt. Dabei fehlen vor allem vernünftige Fähigkeiten für das Reporting.

    Wenn man ASR im Unternehmen einführt, dann sollte man mit dem Überwachungs­modus starten und anhand des Eventlogs studieren, welche Auswirkungen die Regeln in der Praxis hätten. Ist keine größere Beein­trächtigung der User zu erwarten, dann kann man sie scharf schalten.

    Namen der Regeln und ihre GUIDs

    Regelname Regel-GUID
    Missbrauch von gefährdeten signierten Treibern blockieren 56a863a9-875e-4185-98a7-b882c64b5ce5
    Adobe Reader am Erstellen von unter­geordneten Prozessen hindern 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
    Alle Office-Anwendungen am Erstellen von unter­geordneten Prozessen hindern d4f940ab-401b-4efc-aadc-ad5f3c50688a
    Diebstahl von Anmelde­infor­mationen aus dem Subsystem für die lokale Sicher­heits­autorität (lsass.exe) blockieren 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
    Ausführ­bare Inhalte aus E-Mail-Client und Web-E-Mail blockieren be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
    Ausführbare Dateien an der Aus­führung hindern, außer sie erfüllen ein Ver­breitungs-, Alters- oder vertrauens­würdige Listen-Kriterium 01443614-cd74-433a-b99e-2ecdc07bfc25
    Ausführung potenziell verborgener Skripts blockieren 5beb7efe-fd9a-4556-801d-275e5ffc04cc
    JavaScript und VBScript am Starten herunter­geladener ausführ­barer Inhalte hindern d3e037e1-3eb8-44c8-a917-57927947596d
    Office-Anwendungen am Erstellen ausführbarer Inhalte hindern 3b576869-a4ec-4529-8536-b80a7769e899
    Office-Anwendungen am Einfügen von Code in unter­geordnete Prozesse hindern 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
    Office-Kommunikations­anwendung am Erstellen von unter­geordneten Prozessen hindern 26190899-1602-49e8-8b27-eb1d0a1ce869
    Persistenz durch WMI-Ereignis­abonnement blockieren
    (Datei- und Ordner­ausschlüsse werden nicht unterstützt).
    e6db77e5-3df2-4cf1-b95a-636979351e5b
    Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren d1e49aac-8f56-4280-b9ba-993a6d77406c
    Nicht vertrauens­würdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
    Win32-API-Aufrufe von Office-Makros blockieren 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
    Erweiterten Schutz vor Ransomware verwenden c1db55ab-c21a-4637-bb3f-a12568109d35

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links