ConfigureDefender ist in der Version 1.0.1.0. erschienen, und beinhaltet jetzt auch die neuen ASR-Regeln die mit Windows 10 1803 hinzugekommen sind.
Block executable files from running unless they meet a prevalence, age, or trusted list criteria
(Blockieren Sie ausführbare Dateien so lange, bis sie die Kriterien für Häufigkeit, Alter oder Vertrauenswürdigkeit erfüllen)
Diese Regel verhindert, dass die folgenden Dateitypen ausgeführt oder gestartet werden, es sei denn, sie erfüllen die von Administratoren festgelegten Kriterien für Prävalenz oder Alter oder sie befinden sich in einer vertrauenswürdigen Liste oder Ausschlussliste:
Ausführbare Dateien (wie .exe, .dll oder .scr)
Skriptdateien (z. B. PowerShell-Dateien in .ps, VisualBasic .vbs oder JavaScript .js)
Block credential stealing from the Windows local security authority subsystem (lsass.exe)
(Blockieren von Anmeldeinformationen vom lokalen Windows-Sicherheitsautoritätssubsystem (lsass.exe))
Der LSASS (Local Security Authority Subsystem Service) authentifiziert Benutzer, die sich bei einem Windows-Computer anmelden. Windows Defender Credential Guard in Windows 10 verhindert normalerweise Versuche, Anmeldedaten aus LSASS zu extrahieren. Einige Organisationen können Credential Guard jedoch nicht auf allen Computern aktivieren, da Kompatibilitätsprobleme mit benutzerdefinierten Smartcard-Treibern oder anderen Programmen auftreten, die in die lokale Sicherheitsautorität (Local Security Authority, LSA) geladen werden. In diesen Fällen können Angreifer Tools wie Mimikatz verwenden, um Klartext-Passwörter und NTLM-Hashes aus LSASS zu extrahieren. Diese Regel hilft, dieses Risiko zu mindern, indem LSASS gesperrt wird.
Wichtig: Ausschlüsse gelten nicht für diese Regel.
Block process creations originating from PSExec and WMI commands
(Prozesskreationen blockieren, die von PSExec- und WMI-Befehlen stammen)
Diese Regel blockiert Prozesse durch Ausführung von PsExec- und WMI-Befehlen, um Remotecodeausführung zu verhindern, die Malware-Angriffe verbreiten kann.
Block untrusted and unsigned processes that run from USB
(Blockiert nicht vertrauenswürdige und nicht signierte Prozesse, die von USB ausgeführt werden)
Mit dieser Regel können Administratoren verhindern, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien von USB-Wechsellaufwerken, einschließlich SD-Karten, ausgeführt werden. Zu den blockierten Dateitypen gehören:
Ausführbare Dateien (wie .exe, .dll oder .scr)
Skriptdateien (z. B. PowerShell-Dateien in .ps, VisualBasic .vbs oder JavaScript .js)
Use advanced protection against ransomware
(Verwenden Sie erweiterten Schutz gegen Ransomware)
Diese Regel bietet eine zusätzliche Schutzebene gegen Ransomware. Ausführbare Dateien, die in das System gelangen, werden überprüft, um festzustellen, ob sie vertrauenswürdig sind. Wenn die Dateien Eigenschaften aufweisen, die der Ransomware sehr ähnlich sind, werden sie nicht ausgeführt oder gestartet, sofern sie nicht bereits in der Liste der vertrauenswürdigen Listen oder Ausnahmen enthalten sind.