17. November 2022

Microsoft Intune: Attack Surface Reduction Rules

Allgeier Blog Microsoft Intune: Attack Surface Reduction Rules

Best Practices zur ASR-Konfiguration für verschiedene Szenarien

In diesem Blogbeitrag erfahren Sie, wie Attack Surface Reduction Rules über Intune konfiguriert werden. Es gibt mehrere Optionen zur Konfiguration von ASR Rules. Ich zeige auf, wie sich die integrierten Methoden gegenüber der benutzerdefinierten Option unterscheiden und warum sich nur eine Option für ein Enterprise Szenario eignet. Der Beitrag bietet Unternehmen, die Microsoft Intune aktiv als Device Management einsetzen und deren Verantwortlichen für die Sicherheit der Endgeräte, zum Beispiel einem CISO oder einem Microsoft365 Security Administrator, eine gute Übersicht.

Was sind Attack Surface Reduction Rules?

Attack Surfaces (Angriffsflächen) sind alle Stellen, an denen ein Unternehmen für Cyber-Bedrohungen und Angriffe anfällig ist. Ein Angreifer könnte beispielweise Endgeräte oder Netzwerke eines Unternehmens kompromittieren. Um das Risiko zu minimieren, dass ein Endgerät durch einen Angreifer kompromittiert werden kann, müssen Sicherheitsmassnahmen implementiert werden. In Intune können hierzu die Attack Surface Reduction Rules angewendet werden.

Bei den Attack Surface Reduction Rules handelt es sich demnach um Einstellungen, die das Windows Endgerät besser vor Angriffen und ungewöhnlichem Verhalten schützen (z.B. vor potenziell verschleierten Skripten oder dem Diebstahl von Anmeldeinformationen durch das Local Security Authority Subsystem [LSASS] von Windows).

Ausgangslage und Herausforderung

Wir stellen fest, dass die ASR in den meisten Tenants nicht konfiguriert sind. Dadurch erhöht sich das Risiko eines erfolgreichen Angriffes auf ein Device. Bei einem erfolgreichen Angriff können Endgeräte kompromittiert werden und das Schadenspotenzial ist hoch.

Als mögliche Hürde zur Konfiguration der ASR sehe ich die hohe Komplexität des Themas, der Überschneidung von möglichen Sicherheitseinstellungen in Intune und im Defender und der damit verbundenen Aufgabe, dass zur korrekten Einführung ein konzeptioneller Aufwand und tiefe Kenntnisse notwendig sind.

ASR Rules Konfigurations-Optionen

Nachstehend aufgeführt, stehen uns für die Konfiguration der ASR Rules folgende 5 Optionen zur Verfügung:

1. Configuration Profiles | Endpoint protection

Das Konfigurationsprofil “Endpoint Protection” kann verwendet werden, um die Sicherheit von Windows-Geräten zu kontrollieren.
Die Kategorie Microsoft Defender Exploit Guard beinhaltet eine Gruppe zur Attack Surface Reduction und enthält fast alle derzeit verfügbaren ASR-Rules.

2. Endpoint security | Security baselines

Security-Baselines sind von Microsoft empfohlene Konfigurationseinstellungen. Diese Einstellungen basieren auf dem Feedback der Microsoft security engineering teams, Produktgruppen sowie Partner und Kunden von Microsoft. Eine Security-Baseline umfasst eine Gruppe von Microsoft Defender Einstellungen.
Die Security-Baseline enthält fast alle derzeit verfügbaren ASR-Rules.

3. Endpoint security | Attack surface reduction

Das Profil Attack Surface Reduction rules kann ebenfalls zur Konfiguration der Attack Surface Reduction Rules verwendet werden. Diese ist im Vergleich zu den restlichen Optionen am einfachsten zu konfiguieren und wird daher auch in meisten Fällen für SMB-Umgebungen verwendet. Sie enthält fast alle derzeit verfügbaren ASR- Rules.

4. PowerShell Script

PowerShell ist eine plattformübergreifende Lösung zur Aufgabenautomatisierung, die aus einer Befehlszeilen-Shell, einer Skriptsprache und einem Konfigurationsmanagement-Framework besteht. PowerShell Script kann verwendet werden, um alle verfügbaren ASR- Rules festzulegen.

5. Configuration Profiles | Custom

Ein benutzerdefiniertes Konfigurationsprofil kann verwendet werden, um Einstellungen zu konfigurieren, die im Configuration Service Provider (CSP) verfügbar sind.
CSP enthält alle ASR-Rules. ASR-Rules und Ausschlüsse müssen über benutzerdefinierte OMA-URI’s festgelegt werden.

Welche ASR Rule Option für welches Szenario?

“Built-in” ASR Rules Profile

Alle “Built-in” Profile haben die Gemeinsamtkeit, dass nur fast alle derzeit verfügbaren ASR Rules zur Verfügung stehen. In den meisten Fällen reichen diese Optionen vollkommen aus. Microsoft empfiehlt zwar die Konfiguration über Security Baselines, jedoch in einem Best Pratice Ansatz empfehle ich die Konfiguration über die Option Endpoint Security | Attack Surface Reduction. Diese Empfehlung gilt insbesondere im KMU-/SME-Umfeld, wo diese Möglichkeit einen guten Schutz und eine entsprechende Risiko-Miminierung bietet.

An dieser Stelle wäre es nun extrem lässig beschreiben zu können, dass mit Microsoft 365 Defender ein “vereinfachter” Konfigurationsassistent für ASR-Rules zu Verfügung steht. Aber leider ist dem nicht so, zumindest noch nicht. Wenn man sich die bisherige Microsoft-Vorgehensweise der Step-by-Step-Implentierung von Microsoft Security Features in dem Defender betrachtet, kann man davon ausgehen, dass irgendwann auch ASR-Rules im Defender Portal auftauchen, und zwar unter Endpoints | Device Configuration, wo derzeit Protection Policies der nächsten Generation und Firewall-Einstellungen beheimatet sind.

Im Moment müssen wir jedoch noch über Microsoft Endpoint Manager zugreifen und hier die notwendigen Schritte durchgehen, die zur Erstellung einer Attack Surface Reduction Policy mit ASR Rules erforderlich sind:

Verhinderung von Profilkonflikten

Dies ist die einfachste Option, ASR Rules zu konfigurieren. Es ist zu beachten, dass wenn Einstellungen für ASR-Rules modifiziert werden, diese Einstellungen im Security-Baseline Profil oder im Konfigurationsprofil “Endpoint protection” analog zu den modifizierten Einstellungen auf “not configured” gesetzt werden, somit wird verhindert, dass es zu Profilkonflikten kommt.

Die Built-in Attack Surface Reduction Profiles decken leider nicht alle ASR-Rules ab. Daher müssen jeweils die fehlenden Rules über eine andere Methode definiert werden. Was hierbei sehr umständlich erscheint ist, dass man die fehlenden ASR Rules nicht einfach über eine OMA-URI (Open Mobile Alliance Uniform Resource Identifier) setzen kann, weil sie sich dadurch gegenseitig aufheben würden. Die fehlende ASR Rule wird durch einen PowerShell-Befehl gesetzt. Wie im naschstehenden Abschnitt “Custom Profile Option” beschrieben, hat dies jedoch einen Nachteil hinsichtlich des Managements von ASR-Rules, die mittels PowerShell definiert wurden.

Custom Profile Option

Wie zuvor bereits ausgeführt, gibt es je nach Anforderungen und Präferenzen der Organisation mehrere Methoden für die Bereitstellung. In einem Enterprise-Szenario empfehle ich jedoch das benutzerdefinierte Konfigurationsprofil zu verwenden. Hierbei können alle derzeit zur Verfügung stehende ASR Rules mittels OMI-URI’s in einem Profil zusammengefasst werden. Somit sind alle ASR-Rules in einer einzigen Konfiguration enthalten. Zwar sind diese etwas schwieriger einzurichten und zu verstehen, aber mit dieser Methode können alle ASR Rules konfiguriert werden.

Deployment Phasen

Wie bei jeder neuen, gross angelegten Implementierung, die sich möglicherweise auf alle Geschäftsabläufe auswirken könnte, ist es wichtig, bei der Planung und Implementierung methodisch vorzugehen. Damit der produktive Betrieb während der Deployment-Phase aufgrund einer fehlerhaft erstellten ASR Rule Policy oder wegen False-Positive Effekten nicht unnötig unterbochen wird, sollten die Einstellungen zunächst stets auf “Audit” gesetzt werden (siehe Bereitstellungs-Phase 2).

Aufgrund der leistungsstarken Funktionen von ASR-Regeln zur Verhinderung von Gerätesystem-Kompromitierung ist eine sorgfältige Planung und Implementierung der ASR Rules erforderlich. Um sicherzustellen, dass die individuellen betrieblichen Arbeitsprozesse nicht gestört werden und ASR Rules optimal funktionieren, müssen ASR-Rules vor der Inbetriebnahme sorgfältig geplant, getestet und implementiert werden.

Microsoft empfhielt die Anwendung des Step-by-Step Bereitstellungs-Plans.

Quelle: Attack surface reduction (ASR) rules deployment overview | ASR rules deployment steps

ASR Rules Monitoring

Das Monitoring von ASR Rules wird durch das Defender Threat & Vulnerability Management (TVM) bereitgestellt und bildet somit eine Möglichkeit für das Monitoring von ASR-Rules. TVM verwendet Geräte-Telemetriedaten, um festzustellen, ob die Aktivierung der betreffenden Rule Auswirkungen auf die Benutzer hat. Hinweis: Damit dies funktioniert, müssen die Geräte in die Microsoft 365 Defender Suite eingebunden und der Echtzeitschutz muss aktiviert sein. Zudem kann es eine gewisse Zeit dauern, bis die Telemetriedaten erfasst und angezeigt werden.

Ein weitere Möglichkeit für das Monitoring von ASR Rules sind die Search und Reporting Features von M365 Defender, welche jedoch nur bei zugewiesenen Microsoft 365 E5 Lizenzen zur Verfügung steht. Diese Funktion ermöglicht es, leichter zu erkennen, welche Ausnahmen für die Geräte gemacht werden können, die laut TVM “erwartete Auswirkungen auf den Nutzer” haben.

Schlussfolgerung

Die ASR-Rules sind nur ein Teil der Funktionen von Attack Surface Reduction, die in Microsoft 365 Defender enthalten sind.

Sie sind für die grosse Mehrheit der Unternehmen ein geeigneter Einstieg zur Absicherung von Windows Endpoints.

Für Unternehmen mit spezifischen Anforderungen können auch noch weitere ASR-Strategien wie z.B. Device Control, Application Guard, Application Control, etc. von grossem und wichtigem Nutzen sein, doch kann fast jede Intune-Infrastruktur von der Umsetzung der ASR-Regeln sehr schnell profitieren.

Die Anforderungen sind dabei einerseits von der Grösse eines Unternehmens abhängig. Wichtig in der Betrachtung sind andererseits auch branchenspezifische regulatorische Auflagen, Anforderungen aus ISO-Zertifizierungen oder Vorschriften der internen Compliance.

Passendes Angebot zum Thema

M365 Tenant Security Assessment

Kick Off

Vorbereitung
Ziele
Rahmenbedingungen

Assessment

Durchführung
Überwachung

Reporting

Identifizierung
Klassifizierung
Erstellung Report

Abschluss

Handlungsempfehlungen
Umsetzung Prio I
Budget, Planung
Prio II und III, Ziele

Aufwand

4-5 Arbeitstage

Kosten

CHF 3'500

Zurück zur Übersicht

Cookie	Dauer	Beschreibung
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA	5 months 27 days	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	The website's WordPress theme uses this cookie. It allows the website owner to implement or change the website's content in real-time.
JSESSIONID	session	New Relic uses this cookie to store a session identifier so that New Relic can monitor session counts for an application.
PHPSESSID	3 months	This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed.
rc::a	never	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
rc::b	session	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
rc::c	session	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
rc::f	never	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Dauer	Beschreibung
__CSRF	session	Description is currently not available.
_cfuvid	session	Description is currently not available.
cookietest	session	Description is currently not available.
elementor_split_test_client_id	1 year	No description available.

Cookie	Dauer	Beschreibung
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser IDs.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Dauer	Beschreibung
__hstc	5 months 27 days	Hubspot set this main cookie for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_fbp	3 months	Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website.
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_gat_UA-*	1 minute	Google Analytics sets this cookie for user behaviour tracking.n
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
_gid	1 day	Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded YouTube videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Dauer	Beschreibung
__cf_bm	30 minutes	Cloudflare set the cookie to support Cloudflare Bot Management.
li_gc	6 months	Linkedin set this cookie for storing visitor's consent regarding using cookies for non-essential purposes.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

Darum ALLGEIER

Wir sprechen Microsoft

Werde initiativ!

Darum ALLGEIER

Wir sprechen Microsoft

Werde initiativ!

Darum ALLGEIER

Wir sprechen Microsoft

Werde initiativ!

Microsoft Intune: Attack Surface Reduction Rules

Best Practices zur ASR-Konfiguration für verschiedene Szenarien

Was sind Attack Surface Reduction Rules?

Ausgangslage und Herausforderung

ASR Rules Konfigurations-Optionen

1. Configuration Profiles | Endpoint protection

2. Endpoint security | Security baselines

3. Endpoint security | Attack surface reduction

4. PowerShell Script

5. Configuration Profiles | Custom

Welche ASR Rule Option für welches Szenario?

“Built-in” ASR Rules Profile

Verhinderung von Profilkonflikten

Custom Profile Option

Deployment Phasen

ASR Rules Monitoring

Schlussfolgerung

Passendes Angebot zum Thema

M365 Tenant Security Assessment

Kick Off

Assessment

Reporting

Abschluss

Aufwand

Kosten

Sie haben Fragen oder wünschen weitere Infos dazu?

Schreiben Sie uns!

Weitere Artikel

Cloud Governance

5 Erfolgsfaktoren für eine erfolgreiche Cloud-Migration

Security Awareness

Strategische Fusion: Allgeier (Schweiz) AG und MySign AG bündeln maximale Kundenvorteile

The KaDeWe Group: Per Express in eine sichere IT

Wie die richtigen Prompts den Büroalltag transformieren

Max – Das neue Level im Kundenservice

Thommen Group und ihr BI-Erfolgsweg