Defender for Business macht EDR- und Bedrohungsüberwachungsfunktionen, die in teureren Windows-Lizenzen enthalten sind, für kleinere Unternehmen zugänglich. [...]
Auf seiner jüngsten Ignite-Konferenz kündigte Microsoft ein neues Produkt an, das sich an Unternehmen mit weniger als 300 Benutzern oder Arbeitsplätzen richtet: Microsoft Defender for Business. Alle kleinen Unternehmen, die nicht über eine automatisierte Methode zur Untersuchung von Eindringlingen und anderen Sicherheitsproblemen oder über irgendeine Art von Endpoint Detection and Response (EDR)-Technologie verfügen, sollten dieses Produkt evaluieren. Dies gilt auch für Anbieter von verwalteten Diensten, die kleine Unternehmen unterstützen oder Verbindungen zu einem kleinen Unternehmen haben, das Ihre Firma beliefert.
Defender for Business stellt sicher, dass Sie den nativen Virenschutz überwachen und steuern können und Cloud-Schutz und -Erkennungen einbeziehen können, da Microsoft die Sicherheitsinformationen aus seinen Cloud-Eigenschaften erhält. Für kleine Unternehmen, die nicht in EDR investiert haben, zeigt die Konsole Anomalien auf und identifiziert, wenn ungewöhnliche Ereignisse aufgetreten sind. Mit der Zeitleistenfunktion können Sie die Prozesse auf den Systemen überprüfen, um festzustellen, was auf den Systemen passiert ist, und eine forensische Cloud-Version der Workstation-Prozesse aufbewahren, damit Sie sie später überprüfen können.
Microsoft arbeitet auch an Übersichtsplattformen für Anbieter von verwalteten Diensten, die es ihnen ermöglichen werden, viele Kunden gleichzeitig zu überwachen und proaktiv zu verwalten. Microsoft 365 Lighthouse gibt Ihnen einen Überblick über Sicherheitsvorfälle und Warnungen bei allen Kunden, die in Lighthouse integriert sind. Ein bevorstehendes Microsoft-Seminar wird weitere Informationen zu Microsoft Defender for Business liefern.
Wenn Ihr Unternehmen Zugriff auf Microsoft 365 E5-Lizenzen und das Microsoft Defender Security Center hat, sind Sie bereits mit den Technologien vertraut, die in diesem neuen Angebot enthalten sind. Jedes Unternehmen, das über eine Lizenz für Microsoft 365 Business Premium verfügt, wird dieses neue Angebot nutzen können. Falls nicht, kann es gegen eine Gebühr von 3 US-Dollar pro Benutzer hinzugefügt werden.
Microsoft Defender for Business enthält die Konsole für Bedrohungs- und Schwachstellenmanagement, die Schwachstellen im Netzwerk aufzeigt, so dass Unternehmen die zu ergreifenden Maßnahmen priorisieren können. Dieses Dashboard liefert eine Gesamtbewertung der Schwachstellen in Ihrem Netzwerk. Es liefert auch eine Bewertung der Risiken für Ihre Geräte, die die Risiken für Ihre Anwendungen, das Betriebssystem, das Netzwerk, die Konten und die Sicherheitskontrollen aufzeigt. Dies liefert umsetzbare Informationen, um sicherzustellen, dass kleine Unternehmen keine Einfallstore für größere Unternehmen sind.
Sicherheitsempfehlungen von Microsoft Defender for Business
Die Konsolen von Defender for Business bieten umsetzbare Sicherheitsentscheidungen, die in einem Netzwerk getroffen werden können, um es weniger anfällig für Angriffe zu machen. Zu den Sicherheitsempfehlungen für Anwendungen gehören:
- Deaktivieren Sie die Ausführung oder Installation von heruntergeladener Software mit ungültiger Signatur
- Blockieren veralteter ActiveX-Steuerelemente für Internet Explorer
- Deaktivieren Sie den Passwort-Manager.
Zu den Empfehlungen für den Schutz von Betriebssystemen gehört die Aktivierung des LSA-Schutzes (Local Security Authority). Es wird empfohlen, eine Richtlinie festzulegen, die LSA zwingt, als geschützter Prozess light (PPL) zu laufen. Laut MITRE ATT&CK schützt diese Abschwächung „Prozesse mit hohen Privilegien, die zur Interaktion mit kritischen Systemkomponenten genutzt werden können, durch die Verwendung von Protected Process Light, Anti-Process Injection Defenses oder anderen Maßnahmen zur Durchsetzung der Prozessintegrität.“
Zu den Netzwerkempfehlungen gehören:
- Setzen Sie die Authentifizierungsstufe des LAN-Managers auf „Nur NTLMv2-Antwort senden“. LM & NTLM verweigern
- SMBv1-Client-Treiber deaktivieren
Die Abkehr von SMBv1 kann Ihr Netzwerk erheblich gegen Ransomware-Angriffe absichern.
Zu den Empfehlungen für Konten gehören:
- Deaktivieren Sie die lokale Speicherung von Kennwörtern und Anmeldeinformationen
- Setzen Sie den Schwellenwert für die Kontosperrung auf 1-10 ungültige Anmeldeversuche.
Zu den Empfehlungen für Sicherheitskontrollen gehören Regeln zur Reduzierung der Angriffsfläche (ASR) wie z. B.:
- Sperren aller Office-Anwendungen für die Erstellung von untergeordneten Prozessen
- Blockieren, dass JavaScript oder VBScript heruntergeladene ausführbare Inhalte starten
- Blockieren der Ausführung von ausführbaren Dateien, sofern sie nicht ein Kriterium für die Prävalenz, das Alter oder eine vertrauenswürdige Liste erfüllen
Regeln zur Reduzierung der Angriffsfläche überwachen
Mit Defender for Business können Sie ASR-Regeln einfach überwachen. Auf Windows 10 Professional-Rechnern ist dies zwar über Gruppenrichtlinien möglich, wird aber nur dann überwacht und gemeldet, wenn Sie eine Enterprise-Lizenz besitzen.
Angreifer nutzen Office häufig als Einstiegspunkt in Netzwerke, und die Überprüfung der ASR-Regeln kann Sie besser vor Office-Einstiegspunkten schützen. ASR-Regeln sind auch eine wichtige Methode zum Schutz vor Ransomware-Angriffen. Eine Regel, die Sie so bald wie möglich einsetzen sollten, lautet zum Beispiel „Blockieren Sie alle Office-Anwendungen bei der Erstellung von untergeordneten Prozessen“. In diesem Palantir-Blog werden viele dieser Einstellungen vorgestellt, die zum besseren Schutz von Netzwerken eingesetzt werden können, und es wird aufgezeigt, welche davon einfacher zu implementieren sind.
Normalerweise benötigen Sie eine Windows Enterprise-Lizenz, um alle ASR-Regeln zu aktivieren und zu verfolgen. Die Verwendung von Microsoft Defender for Business ermöglicht die vollständige Verfolgung auch ohne eine Enterprise-Lizenz. ASR-Regeln umfassen:
- Blockieren des Missbrauchs ausgenutzter anfälliger signierter Treiber
- Blockieren ausführbarer Inhalte von E-Mail-Clients und Webmail
- Blockieren aller Office-Anwendungen bei der Erstellung von untergeordneten Prozessen
- Blockieren von Office-Anwendungen bei der Erstellung von ausführbaren Inhalten
- Blockieren, dass Office-Anwendungen Code in andere Prozesse einschleusen
- Blockieren von JavaScript oder VBScript zum Starten heruntergeladener ausführbarer Inhalte
- Blockieren der Ausführung von potenziell verschleierten Skripten
- Blockieren von Win32-API-Aufrufen aus Office-Makros
- Erweiterten Schutz gegen Ransomware verwenden
- Blockieren des Diebstahls von Anmeldeinformationen aus dem Windows-Subsystem für lokale Sicherheitsstellen (lsass.exe)
- Blockieren der Erstellung von Prozessen aus PSExec- und WMI-BefehlenBlockieren von nicht vertrauenswürdigen und nicht signierten Prozessen, die über USB ausgeführt werden
- Blockieren der Ausführung von ausführbaren Dateien, wenn sie nicht den Kriterien für Prävalenz, Alter oder vertrauenswürdige Listen entsprechen
- Blockieren, dass Office-Kommunikationsanwendungen keine untergeordneten Prozesse erstellen
- Blockieren der Erstellung von untergeordneten Prozessen durch Adobe Reader
- Blockieren der Persistenz durch WMI-Ereignisabonnement
Testen Sie diese Regeln, bevor Sie sie breit einsetzen.
Microsoft Defender for Business als primärer Antivirenschutz
Ich empfehle, Defender als primären Virenschutz zu verwenden, vor allem, wenn Sie sich über die neuesten Versionen der Funktionen informieren. Ich habe die Nebenwirkungen von Service Packs und Funktionsversionen sowie die Interaktion mit Antiviren-Software von Drittanbietern im Laufe der Jahre verfolgt. Wenn Sie planen, Windows 11 einzusetzen oder Windows 10 in Zukunft schneller zu veröffentlichen, empfehle ich Ihnen, Windows Defender als Standard zu verwenden.
Microsoft testet Defender, wenn es Funktionsversionen testet, sodass Nebenwirkungen entweder nicht vorhanden sind oder schnell erkannt und unauffällig behoben werden. Für einige wichtige Funktionen und Schutzmaßnahmen müssen Sie Defender als Standard-Virenschutz verwenden. Zum Beispiel muss Defender Ihr Standard-Virenschutz sein, um ASR-Regeln zu verwenden.
Be the first to comment