L1 BIO 12.02.01 ISO A.8.7 CIS Intune-ASR-Rules

Aanvalsoppervlakreductie (ASR) Regels Ingeschakeld

📅 2025-10-30
⏱️ 10 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Aanvalsoppervlakreductie (ASR) regels blokkeren veelgebruikte aanvalstechnieken zoals Office macro-malware, script-gebaseerde aanvallen, ransomware-gedrag en diefstal van inloggegevens, waardoor het aantal succesvolle exploitpogingen met 50-90% wordt verminderd voordat malware überhaupt kan worden uitgevoerd.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
32u (tech: 16u)
Van toepassing op:
Windows 10
Windows 11
Intune
Defender voor Endpoint

Moderne malware gebruikt specifieke, voorspelbare aanvalstechnieken die door Microsoft zijn geïdentificeerd via telemetrie van miljarden endpoints: Office-macro's die ransomware downloaden (Emotet, TrickBot leveringsmethode), JavaScript/VBScript-downloaders die tweede-fase payloads ophalen, credential dumping van het lsass.exe-proces (Mimikatz-techniek voor diefstal van inloggegevens), PSExec en WMI voor laterale beweging over het netwerk, uitvoerbare bijlagen in e-mails (directe malware-levering), Office-applicaties die uitvoerbare content creëren (.exe-bestanden), niet-vertrouwde USB-processen (verwijderbare media-malware), en geavanceerd ransomware-gedrag (snelle bestandsversleutelingspatronen). ASR-regels blokkeren deze technieken op systeemniveau voordat malware kan worden uitgevoerd, complementair aan traditionele antivirus met signatuurgebaseerde detectie. Kritieke ransomwarebescherming: ASR blokkeert macro-gebaseerde ransomware-levering, script-downloaders, en lsass-diefstal van inloggegevens die laterale beweging mogelijk maken. Dit is verdediging in lagen: zelfs als malware op schijf komt, blokkeert ASR de uitvoering.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Aanvalsoppervlakreductie omvat meer dan 20 regels die specifieke aanvalsgedragingen blokkeren op systeemniveau. Deze regels werken door het identificeren en blokkeren van gedragspatronen die kenmerkend zijn voor kwaadaardige activiteiten, ongeacht of de specifieke malware al bekend is of niet. Deze aanpak is fundamenteel anders dan traditionele antivirusoplossingen die afhankelijk zijn van signature-databases en alleen bekende bedreigingen kunnen detecteren. Microsoft beveelt een minimumset van 10 kritieke regels aan voor implementatie via Microsoft Intune. Deze regels zijn geselecteerd op basis van hun effectiviteit tegen de meest voorkomende en gevaarlijkste aanvalstechnieken die worden gebruikt door moderne cybercriminelen. De eerste kritieke regel blokkeert uitvoerbare content van e-mailclients en webmail. Deze regel, geïdentificeerd met GUID BE9BA2D9-53EA-4CED-88E0-4740F7EFF98C, voorkomt dat gebruikers per ongeluk kwaadaardige bijlagen openen die rechtstreeks via e-mail worden geleverd. Dit is een van de meest voorkomende manieren waarop malware wordt verspreid, waarbij aanvallers gebruik maken van social engineering om gebruikers te verleiden om gevaarlijke bestanden te openen. De tweede regel blokkeert Office-applicaties die subprocessen aanmaken. Deze regel, met GUID D4F940AB-401B-4EFC-AADC-AD5F3C50388B, is specifiek ontworpen om macro-gebaseerde malware te voorkomen. Veel ransomware-campagnes gebruiken kwaadaardige macro's in Word- of Excel-documenten die vervolgens PowerShell of andere scripts uitvoeren om de daadwerkelijke malware te downloaden. Door Office-applicaties te blokkeren om subprocessen te starten, wordt deze aanvalsketen onderbroken voordat schade kan worden aangericht. De derde regel voorkomt dat Office-applicaties uitvoerbare content creëren. Met GUID 3B576869-A4EC-4529-8535-B80741172D99 blokkeert deze regel pogingen van kwaadaardige macro's om .exe-bestanden te genereren op het systeem. Dit is een veelgebruikte techniek waarbij macro's uitvoerbare bestanden rechtstreeks in het geheugen of op schijf creëren om detectie te omzeilen. De vierde regel blokkeert JavaScript en VBScript die uitvoerbare bestanden starten. Deze regel, geïdentificeerd met GUID D3E037E1-3EB8-4C12-9814-914689F0E859, voorkomt dat script-gebaseerde downloaders hun payloads kunnen uitvoeren. Veel moderne malware gebruikt scripts als eerste fase van een aanval, waarbij de scripts worden gebruikt om de daadwerkelijke malware te downloaden en uit te voeren. De vijfde regel is cruciaal voor het voorkomen van diefstal van inloggegevens. Met GUID 9E6C4E1F-7D60-472F-BA1A-A39E77BEF179 blokkeert deze regel toegang tot het Windows Local Security Authority Subsystem (lsass.exe) proces. Dit proces bevat in het geheugen opgeslagen inloggegevens, en tools zoals Mimikatz gebruiken deze toegang om credentials te stelen die vervolgens worden gebruikt voor laterale beweging door het netwerk. De zesde regel blokkeert niet-vertrouwde en niet-ondertekende processen van USB-apparaten. Geïdentificeerd met GUID B2B3F03D-ACA6-403D-86AE-FA98B9C66A3E, voorkomt deze regel dat malware zich verspreidt via verwijderbare media. Dit is vooral belangrijk in omgevingen waar USB-apparaten regelmatig worden gebruikt en waar het risico op geïnfecteerde USB-sticks hoog is. De zevende regel gebruikt geavanceerde bescherming tegen ransomware. Met GUID C1DB55AB-C375-4BD8-A3FA-C3DE5180B142 detecteert en blokkeert deze regel specifieke ransomware-gedragspatronen, zoals snelle bestandsversleuteling en pogingen om back-ups te verwijderen. Deze regel is bijzonder effectief omdat het niet afhankelijk is van signatures, maar in plaats daarvan kijkt naar het gedrag van de applicatie. De achtste regel blokkeert uitvoerbare bestanden van uitvoeren tenzij ze voldoen aan prevalentie- of leeftijdscriteria. Geïdentificeerd met GUID 01443614-CD74-4A0E-B371-BB4F85A51B7A, voorkomt deze regel dat onbekende of zeldzame uitvoerbare bestanden worden uitgevoerd. Dit is effectief tegen zero-day-aanvallen en nieuwe malware-varianten die nog niet in signature-databases staan. De negende regel blokkeert Office-communicatie-apps die subprocessen aanmaken. Met GUID 26190899-1605-49E8-AD8A-31EDB73CA08B voorkomt deze regel dat kwaadaardige content in Teams of andere Office-communicatie-apps subprocessen kan starten. Dit is belangrijk omdat aanvallers steeds vaker gebruik maken van communicatieplatforms voor malware-levering. De tiende regel blokkeert persistentie via WMI-gebeurtenisabonnementen. Geïdentificeerd met GUID E6DB77E5-3CD2-4D40-A402-CEF2AAD99630, voorkomt deze regel dat malware zichzelf persistent maakt door WMI-gebeurtenisabonnementen te gebruiken. Dit is een geavanceerde techniek die wordt gebruikt door geavanceerde persistent threats om opnieuw toegang te krijgen tot gecompromitteerde systemen. Elke ASR-regel heeft drie operationele modi die bepalen hoe de regel reageert op gedetecteerde activiteiten. De Blokkeren-modus voorkomt daadwerkelijk de uitvoering van de gedetecteerde activiteit en is bedoeld voor productieomgevingen waar de regels volledig zijn gevalideerd. De Audit-modus logt alleen de gebeurtenissen zonder acties te blokkeren, wat essentieel is voor het testen en afstemmen van de regels voordat ze in productie worden geactiveerd. De Uitgeschakeld-modus deactiveert de regel volledig. De aanbevolen implementatiestrategie begint met het activeren van alle regels in Audit-modus gedurende een periode van 2-4 weken. Deze periode stelt organisaties in staat om te identificeren welke legitieme applicaties mogelijk worden beïnvloed door de regels en om uitsluitingen te configureren waar nodig. Na deze validatieperiode kunnen de regels worden overgezet naar Blokkeren-modus voor volledige bescherming.

Vereisten

Voor het succesvol implementeren van ASR-regels binnen een organisatie zijn verschillende technische en organisatorische voorwaarden essentieel. Deze vereisten vormen de basis voor een effectieve implementatie en zorgen ervoor dat de beveiligingsmaatregelen optimaal functioneren zonder onnodige verstoring van bedrijfsprocessen. De technische vereisten beginnen met het besturingssysteem. Organisaties moeten beschikken over Windows 10 versie 1709 of hoger (Fall Creators Update), of Windows 11. Het is belangrijk te benadrukken dat alleen de Pro, Enterprise of Education edities worden ondersteund. De Home-editie biedt geen ondersteuning voor ASR-regels, wat betekent dat organisaties met thuiswerkplekken deze moeten upgraden naar een ondersteunde editie. Een kritieke vereiste is dat Microsoft Defender Antivirus als primaire antivirusoplossing actief moet zijn. ASR-regels werken niet met antivirusoplossingen van derde partijen, omdat de regels diep geïntegreerd zijn in de Windows Defender-architectuur. Organisaties die momenteel een andere antivirusoplossing gebruiken, moeten eerst overstappen naar Microsoft Defender Antivirus voordat ASR-regels kunnen worden geïmplementeerd. Voor de volledige functionaliteit van ASR-regels is een Microsoft Defender voor Endpoint Plan 1 of Plan 2 licentie vereist. Deze licentie is onderdeel van Microsoft 365 E5 of kan standalone worden aangeschaft. Deze licentie is essentieel omdat ASR-regels gebruik maken van de cloudgebaseerde beveiligingsdiensten van Microsoft voor optimale detectie en respons. Centraal beheer van ASR-regels vereist een Microsoft Intune-abonnement. Intune biedt de mogelijkheid om ASR-regels centraal te configureren, te distribueren en te monitoren over alle endpoints binnen de organisatie. Zonder Intune zou elke endpoint individueel moeten worden geconfigureerd, wat onpraktisch is voor organisaties met honderden of duizenden apparaten. Cloud-delivered bescherming moet zijn ingeschakeld voor optimale effectiviteit van ASR-regels. Deze functie maakt gebruik van Microsoft's cloudgebaseerde intelligentie om nieuwe bedreigingen te detecteren en te blokkeren, zelfs voordat traditionele signature-updates beschikbaar zijn. Dit is vooral belangrijk voor de effectiviteit van ASR-regels tegen zero-day-aanvallen. Organisatorisch gezien is een test- of pilootomgeving essentieel voor het testen van ASR-regels in Audit-modus gedurende 2-4 weken. Deze periode stelt organisaties in staat om te identificeren welke legitieme applicaties mogelijk worden beïnvloed door de regels en om uitsluitingen te configureren waar nodig. Een grondige inventarisatie van bedrijfskritieke applicaties is noodzakelijk voor de planning van uitsluitingen. Organisaties moeten weten welke applicaties essentieel zijn voor hun bedrijfsvoering en welke mogelijk worden beïnvloed door ASR-regels. Deze inventarisatie helpt bij het bepalen welke uitsluitingen nodig zijn en welke applicaties mogelijk moeten worden vervangen door veiligere alternatieven. Een goed gedefinieerd uitsluitingsbeheerproces is cruciaal. Het principe moet zijn om uitsluitingen te minimaliseren, omdat elke uitsluiting het aanvalsoppervlak vergroot. Alle uitsluitingen moeten worden gedocumenteerd met een duidelijke zakelijke rechtvaardiging, goedkeuring en een reviewdatum voor periodieke evaluatie. Voor continue monitoring van ASR-gebeurtenissen is toegang tot het Microsoft 365 Defender-portal of integratie met een SIEM-systeem vereist. Dit stelt security teams in staat om geblokkeerde aanvallen te identificeren, trends te analyseren en de effectiviteit van de ASR-regels te meten. Tot slot is training van de helpdesk essentieel voor het afhandelen van ASR-gerelateerde ondersteuningstickets. Medewerkers moeten begrijpen wat ASR-regels zijn, waarom bepaalde applicaties mogelijk worden geblokkeerd, en hoe ze gebruikers kunnen helpen bij het oplossen van problemen. Goede training vermindert de impact op de helpdesk en zorgt voor snellere resolutie van problemen.

Implementatie

De implementatie van ASR-regels volgt een gefaseerde uitrolbenadering, wat kritiek is voor minimale impact op de bedrijfsvoering. Deze aanpak stelt organisaties in staat om potentiële problemen te identificeren en op te lossen voordat de regels volledig worden geactiveerd op alle endpoints. De implementatie bestaat uit drie hoofdfasen: implementatie in auditmodus, analyse en afstemming, en implementatie in blokkeermodus. Elke fase heeft specifieke doelen en deliverables die essentieel zijn voor een succesvolle implementatie. Het PowerShell-script asr-rules-enabled.ps1 met de functie Invoke-Monitoring kan worden gebruikt voor lokale validatie van de ASR-regelconfiguratie. Dit script helpt bij het verifiëren dat de regels correct zijn geconfigureerd en actief zijn op endpoints voordat de volledige uitrol plaatsvindt. Het script controleert de configuratiestatus van elke ASR-regel en rapporteert welke regels actief zijn en in welke modus ze opereren. Deze validatie is cruciaal om te garanderen dat de implementatie correct is uitgevoerd voordat de regels worden overgezet naar productieomgevingen.

Gebruik PowerShell-script asr-rules-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor lokale validatie van ASR rules configuratie.

FASE 1: Implementatie in Auditmodus (Week 1-4) De eerste fase van de implementatie begint met het configureren van ASR-regels in auditmodus. Deze modus logt gebeurtenissen zonder daadwerkelijk acties te blokkeren, wat essentieel is voor het identificeren van potentiële impact op bedrijfsprocessen. De implementatie start in het Microsoft Intune Admin Center, waar beheerders navigeren naar Endpoint Security en vervolgens naar Aanvalsoppervlakreductie. Deze centrale locatie biedt een overzichtelijke interface voor het beheren van alle ASR-regels en het monitoren van hun effectiviteit. Bij het aanmaken van een nieuw beleid selecteren beheerders het platform: Windows 10, Windows 11 en Windows Server. Het profieltype is Aanvalsoppervlakreductie Regels. Het beleid krijgt een duidelijke naam zoals 'ASR-regels - Auditmodus - Pilot' om onderscheid te maken tussen verschillende implementatiefasen. Deze naamgevingsconventie helpt bij het organiseren van meerdere beleidsregels en maakt het eenvoudiger om de juiste configuratie te identificeren tijdens audits en reviews. De configuratie omvat tien kritieke regels, allemaal ingesteld op auditmodus. De eerste regel blokkeert uitvoerbare content van e-mailclient en webmail, wat voorkomt dat malware direct via e-mail wordt geleverd. Deze regel is bijzonder effectief tegen phishing-aanvallen waarbij kwaadaardige bijlagen worden gebruikt om malware te verspreiden. De tweede regel blokkeert Office-applicaties die subprocessen aanmaken, wat macro-malware voorkomt die ransomware downloadt. Deze regel is cruciaal omdat veel moderne ransomware-campagnes gebruik maken van kwaadaardige macro's in Office-documenten. De derde regel blokkeert Office-applicaties die uitvoerbare content creëren, wat voorkomt dat kwaadaardige macro's .exe-bestanden genereren. Deze regel voorkomt dat macro's uitvoerbare bestanden rechtstreeks in het geheugen of op schijf creëren om detectie te omzeilen. De vierde regel blokkeert JavaScript en VBScript die uitvoerbare bestanden starten, wat script-gebaseerde downloaders voorkomt. Veel moderne malware gebruikt scripts als eerste fase van een aanval, waarbij de scripts worden gebruikt om de daadwerkelijke malware te downloaden en uit te voeren. De vijfde regel blokkeert diefstal van inloggegevens van lsass.exe, wat voorkomt dat tools zoals Mimikatz credentials stelen. Deze regel is essentieel voor het voorkomen van laterale beweging door het netwerk, omdat gestolen credentials vaak worden gebruikt om toegang te krijgen tot andere systemen. De zesde regel blokkeert niet-vertrouwde USB-processen, wat malware via verwijderbare media voorkomt. Dit is vooral belangrijk in omgevingen waar USB-apparaten regelmatig worden gebruikt en waar het risico op geïnfecteerde USB-sticks hoog is. De zevende regel gebruikt geavanceerde ransomwarebescherming die specifieke ransomware-gedragspatronen detecteert. Deze regel is bijzonder effectief omdat het niet afhankelijk is van signatures, maar in plaats daarvan kijkt naar het gedrag van de applicatie. De achtste regel blokkeert uitvoerbare bestanden tenzij ze voldoen aan prevalentie-, leeftijds- of vertrouwde lijstcriteria. Dit is effectief tegen zero-day-aanvallen en nieuwe malware-varianten die nog niet in signature-databases staan. De negende regel blokkeert Office-communicatie-apps die subprocessen aanmaken. Dit is belangrijk omdat aanvallers steeds vaker gebruik maken van communicatieplatforms voor malware-levering. De tiende regel blokkeert persistentie via WMI-gebeurtenisabonnementen. Dit is een geavanceerde techniek die wordt gebruikt door geavanceerde persistent threats om opnieuw toegang te krijgen tot gecompromitteerde systemen. Het beleid wordt toegewezen aan een pilootgroep van 50-100 apparaten die representatief zijn voor de organisatie. Deze groep moet verschillende afdelingen, gebruikersrollen en applicaties vertegenwoordigen om een volledig beeld te krijgen van de potentiële impact. De selectie van deze pilootgroep is cruciaal omdat het de basis vormt voor alle verdere beslissingen over uitsluitingen en configuratie. De monitoringperiode duurt 2-4 weken, gedurende welke tijd alle ASR-auditgebeurtenissen worden verzameld via het Microsoft 365 Defender-portal onder Reports en Aanvalsoppervlakreductie. Deze periode moet voldoende lang zijn om een representatief beeld te krijgen van de normale bedrijfsactiviteiten en om seizoensgebonden variaties te identificeren.

FASE 2: Analyse en Afstemming (Week 4-6) De tweede fase richt zich op analyse en afstemming van de ASR-regels op basis van de verzamelde auditgegevens. Beveiligingsteams reviewen ASR-auditgebeurtenissen via Microsoft 365 Defender onder Reports en Aanvalsoppervlakreductie. Het doel is om fout-positieven te identificeren: legitieme applicaties die door ASR-regels zouden worden geblokkeerd. Deze analyse is essentieel omdat het de basis vormt voor alle uitsluitingen die nodig zijn om de regels in productie te kunnen gebruiken zonder onnodige impact op de bedrijfsvoering. Het analyseren van auditgebeurtenissen vereist een systematische aanpak waarbij elke gebeurtenis wordt geëvalueerd op basis van de context en de legitimiteit van de activiteit. Beveiligingsteams moeten samenwerken met applicatie-eigenaren en IT-beheerders om te bepalen of een geblokkeerde activiteit legitiem is of daadwerkelijk een beveiligingsbedreiging vertegenwoordigt. Deze samenwerking is cruciaal omdat beveiligingsteams mogelijk niet volledig op de hoogte zijn van alle legitieme bedrijfsprocessen en applicaties. Veelvoorkomende fout-positieven omvatten software-installatieprogramma's die worden geblokkeerd via de Office child process-regel. Deze installatieprogramma's worden vaak gestart vanuit Office-applicaties tijdens installatieprocessen, wat een legitieme bedrijfsactiviteit is. Macro-ingeschakelde templates voor bedrijfsprocessen, zoals Excel- of Word-macro's die worden gebruikt voor geautomatiseerde rapportage, kunnen ook worden geblokkeerd. Deze macro's zijn vaak essentieel voor de bedrijfsvoering en moeten worden uitgesloten van de ASR-regels die Office-macro's blokkeren. Legitieme scripting, zoals PowerShell-automatiseringsscripts die worden gebruikt voor systeembeheer, kan worden geblokkeerd door de script-regels. Deze scripts zijn vaak kritiek voor de IT-operaties en moeten worden uitgesloten. Ontwikkeltools zoals Visual Studio en IDE's kunnen worden beïnvloed omdat ze vaak subprocessen aanmaken of scripts uitvoeren tijdens het ontwikkelingsproces. Deze tools zijn essentieel voor softwareontwikkeling en moeten worden uitgesloten om de productiviteit van ontwikkelaars niet te belemmeren. Bij het configureren van uitsluitingen is het principe om deze minimaal te houden en alleen goedgekeurde bedrijfsapplicaties uit te sluiten. Bestandsuitluitingen moeten specifieke .exe-paden bevatten, niet brede mappen. Mapuitluitingen moeten worden vermeden omdat ze te breed zijn en het aanvalsoppervlak onnodig vergroten. Procesuitluitingen worden per ASR-regel geconfigureerd, wat betekent dat elke regel zijn eigen specifieke uitsluitingen kan hebben. Deze granulariteit is belangrijk omdat het zorgt voor minimale uitsluitingen terwijl het toch de functionaliteit behoudt die nodig is voor de bedrijfsvoering. Alle uitsluitingen moeten worden gedocumenteerd met de applicatienaam, zakelijke rechtvaardiging, goedkeuringsdatum en reviewdatum. Deze documentatie is essentieel voor compliance en audits, en helpt bij het beheren van uitsluitingen over tijd. Het is belangrijk te begrijpen dat elke uitsluiting het aanvalsoppervlak vergroot, dus er moet een balans zijn tussen functionaliteit en beveiliging. Een beveiligingsreview moet worden uitgevoerd om te bevestigen dat de uitsluitingen gerechtvaardigd zijn en dat er geen veiligere alternatieven beschikbaar zijn. Deze review moet regelmatig worden herhaald om ervoor te zorgen dat uitsluitingen nog steeds nodig zijn en dat er geen nieuwe veiligere alternatieven beschikbaar zijn gekomen.

FASE 3: Implementatie in Blokkeermodus (Week 6-12) De derde en laatste fase omvat de geleidelijke uitrol van ASR-regels in blokkeermodus. Een nieuw beleid wordt aangemaakt met de naam 'ASR-regels - Blokkeermodus - Productie'. Dezelfde tien regels worden geconfigureerd in blokkeermodus, inclusief de uitsluitingen die tijdens de tuningfase zijn geïdentificeerd. Deze uitsluitingen zijn essentieel om ervoor te zorgen dat legitieme bedrijfsapplicaties kunnen blijven functioneren terwijl kwaadaardige activiteiten worden geblokkeerd. De uitrol gebeurt geleidelijk om de impact op de organisatie te minimaliseren. In week 6-7 wordt de pilootgroep (dezelfde 50-100 apparaten) overgezet naar blokkeermodus. Dit stelt het team in staat om te valideren dat de uitsluitingen correct werken en dat er geen onverwachte problemen optreden. Tijdens deze validatieperiode wordt intensief gemonitord op helpdesktickets, applicatiefouten en beveiligingsincidenten. Elke onverwachte blokkering wordt onmiddellijk onderzocht en indien nodig worden aanvullende uitsluitingen geconfigureerd. In week 8-9 wordt afdeling 1 uitgerold, bijvoorbeeld Finance of HR, die de hoogste beveiligingsbehoefte hebben. Deze afdelingen werken vaak met gevoelige gegevens en hebben de meeste baat bij de extra beveiliging die ASR-regels bieden. De selectie van deze afdelingen voor de eerste productie-uitrol is strategisch omdat het de waarde van ASR-regels demonstreert voor de meest kritieke delen van de organisatie. Tijdens deze uitrol wordt nauw samengewerkt met de afdelingsmanagers en IT-beheerders om eventuele problemen snel op te lossen. In week 10-11 volgen afdeling 2-3, zoals IT en Sales. Deze afdelingen hebben vaak meer gevarieerde applicaties en kunnen aanvullende uitsluitingen vereisen. IT-afdelingen gebruiken vaak ontwikkeltools en beheertools die mogelijk worden geblokkeerd door ASR-regels, terwijl Sales-afdelingen mogelijk gebruik maken van specifieke CRM-tools of andere applicaties die uitsluitingen vereisen. Na elke golf wordt gemonitord op helpdesktickets, ASR-blokkeergebeurtenissen en applicatiefouten. Deze monitoring is essentieel om trends te identificeren en om ervoor te zorgen dat de uitrol soepel verloopt. Vanaf week 12 worden alle overige apparaten uitgerold. Deze laatste fase omvat meestal de grootste groep apparaten en vereist daarom extra aandacht voor monitoring en support. Gedurende de hele uitrolperiode wordt het afstemmingsproces iteratief voortgezet op basis van feedback. Uitsluitingen worden aangepast waar nodig, maar altijd met behoud van het principe om deze minimaal te houden. Elke aanpassing moet worden gedocumenterd en goedgekeurd door de beveiligingsafdeling om ervoor te zorgen dat het aanvalsoppervlak niet onnodig wordt vergroot. De eindstatus is dat 100% van de apparaten ASR-regels in blokkeermodus heeft binnen 3 maanden na de start van de uitrol. Deze tijdlijn kan worden aangepast op basis van de grootte en complexiteit van de organisatie, maar het is belangrijk om een gestructureerde aanpak te volgen om succes te waarborgen. Na de volledige uitrol moet een post-implementatiereview worden uitgevoerd om de effectiviteit van de implementatie te evalueren en om lessen te leren voor toekomstige beveiligingsimplementaties. Deze review moet ook de beveiligingsmetrieken analyseren om te demonstreren dat ASR-regels daadwerkelijk bijdragen aan een verbeterde beveiligingspostuur.

Monitoring

Gebruik PowerShell-script asr-rules-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor compliance checking van ASR rules deployment.

Continue monitoring van de effectiviteit van ASR-regels is essentieel voor het waarborgen van optimale beveiliging en het identificeren van gebieden voor verbetering. Het monitoringproces omvat verschillende aspecten die regelmatig moeten worden geëvalueerd om ervoor te zorgen dat de ASR-regels hun beoogde doel bereiken zonder onnodige impact op de bedrijfsvoering. Het Microsoft 365 Defender-portal biedt uitgebreide rapportagefunctionaliteit onder Reports en Aanvalsoppervlakreductie. Deze rapporten bieden inzicht in detecties per regel, wat helpt bij het identificeren welke regels het meest effectief zijn en welke regels de meeste gebeurtenissen genereren. Deze informatie is waardevol voor het optimaliseren van de configuratie en het begrijpen van de bedreigingslandscape. De rapporten tonen ook geblokkeerde applicaties, wat cruciaal is voor het detecteren van fout-positieven. Door regelmatig te reviewen welke applicaties worden geblokkeerd, kunnen beveiligingsteams identificeren of er aanvullende uitsluitingen nodig zijn of dat er applicaties moeten worden vervangen door veiligere alternatieven. Trendanalyse van aanvalspogingen over tijd helpt bij het identificeren van opkomende bedreigingen en het aanpassen van de beveiligingsstrategie. Apparaatnaleving is een belangrijke metriek die moet worden gemonitord. Het percentage apparaten met ASR-regels in Blokkeren-modus moet regelmatig worden gecontroleerd om ervoor te zorgen dat alle endpoints adequaat zijn beveiligd. Het streefdoel is 100% naleving binnen 3 maanden na de start van de uitrol, maar dit kan variëren afhankelijk van de grootte en complexiteit van de organisatie. Beveiligingsmetrieken, zoals malware-infecties voor en na de implementatie van ASR, zijn essentieel voor het demonstreren van de waarde van de implementatie. Organisaties kunnen een reductie van 50-90% in malware-infecties verwachten na volledige implementatie van ASR-regels. Deze metriek moet regelmatig worden geëvalueerd en gerapporteerd aan het management om de voortdurende investering in beveiliging te rechtvaardigen. Specifieke monitoring van ransomware-blokkeringen is belangrijk omdat ransomware een van de meest kritieke bedreigingen is waartegen ASR-regels beschermen. Door specifiek te volgen hoeveel ransomware-aanvallen zijn voorkomen door ASR, kunnen organisaties de directe waarde van de implementatie kwantificeren. Deze informatie is ook waardevol voor compliance-rapportage en audits. De impact op de helpdesk moet worden gemonitord door het aantal ASR-gerelateerde ondersteuningstickets te volgen. Na de initiële tuningfase zou dit aantal moeten afnemen naarmate gebruikers gewend raken aan de regels en uitsluitingen correct zijn geconfigureerd. Een toename in tickets kan wijzen op problemen met de configuratie of de behoefte aan aanvullende training. Een kwartaalreview van alle uitsluitingen is essentieel om ervoor te zorgen dat uitsluitingen nog steeds nodig zijn. Applicaties kunnen zijn vervangen, bijgewerkt of afgeschaft, waardoor uitsluitingen mogelijk niet meer nodig zijn. Het verwijderen van onnodige uitsluitingen verkleint het aanvalsoppervlak en verbetert de algehele beveiliging. Nieuwe applicaties moeten worden opgenomen in ASR-testing voordat ze in productie worden geïmplementeerd. Dit voorkomt onverwachte blokkeringen en zorgt ervoor dat eventuele benodigde uitsluitingen proactief kunnen worden geconfigureerd. Dit proces moet deel uitmaken van de standaard applicatie-implementatieprocedure.

Remediatie

Gebruik PowerShell-script asr-rules-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer legitieme applicaties worden geblokkeerd door ASR-regels, is een gestructureerd remediatieproces essentieel om de juiste balans te vinden tussen beveiliging en functionaliteit. Dit proces zorgt ervoor dat alleen werkelijk veilige en noodzakelijke applicaties worden uitgesloten, terwijl het aanvalsoppervlak minimaal blijft. De eerste stap in het remediatieproces is het verifiëren van de legitimiteit van de geblokkeerde applicatie. Het is belangrijk om te bevestigen dat de applicatie daadwerkelijk veilig is voordat een uitsluiting wordt overwogen. Dit kan worden gedaan door een VirusTotal-check uit te voeren, waarbij de applicatie wordt gescand door meerdere antivirusengines. Daarnaast moet verificatie plaatsvinden bij de leverancier om te bevestigen dat de applicatie legitiem is en niet is gecompromitteerd. Het is ook raadzaam om de digitale handtekening van de applicatie te controleren om te verifiëren dat deze niet is gewijzigd. De tweede stap is het vaststellen van de zakelijke rechtvaardiging. Het is belangrijk om te begrijpen waarom deze applicatie moet kunnen draaien en wat de impact is als deze niet beschikbaar is. Deze rechtvaardiging moet worden gedocumenterd en goedgekeurd door de juiste stakeholders, zoals de applicatie-eigenaar, de IT-manager en de beveiligingsafdeling. Zonder duidelijke zakelijke rechtvaardiging mag geen uitsluiting worden gemaakt. De derde stap is het onderzoeken van alternatieve oplossingen. Voordat een uitsluiting wordt gemaakt, moet worden onderzocht of de applicatie kan worden vervangen door een veiliger alternatief dat niet wordt geblokkeerd door ASR-regels. Dit kan betekenen dat er wordt overgestapt naar een andere applicatie, dat de applicatie wordt bijgewerkt naar een nieuwere versie die compatibel is met ASR-regels, of dat de functionaliteit op een andere manier wordt geïmplementeerd die niet in conflict komt met de beveiligingsregels. Indien een uitsluiting noodzakelijk is, moet deze zorgvuldig worden geconfigureerd. De uitsluiting moet specifiek zijn voor de betreffende ASR-regel en moet zo beperkt mogelijk zijn. Bestandsuitluitingen moeten specifieke paden bevatten, niet brede mappen. Procesuitluitingen moeten specifiek zijn voor het proces dat moet worden uitgesloten. Het is belangrijk om te voorkomen dat uitsluitingen te breed zijn, omdat dit het aanvalsoppervlak onnodig vergroot. Alle uitsluitingen moeten worden gedocumenteerd met de volgende informatie: de naam van de applicatie, de regel waarvan wordt uitgesloten, de zakelijke eigenaar, de goedkeuringsdatum en de reviewdatum. Deze documentatie is essentieel voor compliance en audits, en helpt bij het beheren van uitsluitingen over tijd. Een jaarlijkse beveiligingsreview van alle uitsluitingen is essentieel om ervoor te zorgen dat uitsluitingen nog steeds nodig zijn. Applicaties kunnen zijn vervangen, bijgewerkt of afgeschaft, waardoor uitsluitingen mogelijk niet meer nodig zijn. Het verwijderen van onnodige uitsluitingen verkleint het aanvalsoppervlak en verbetert de algehele beveiliging. Gemonitorde processen die zijn uitgesloten moeten worden gecontroleerd op abnormaal gedrag. Als een uitgesloten proces verdacht gedrag vertoont, zoals ongebruikelijke netwerkverbindingen, toegang tot gevoelige bestanden of andere indicatoren van compromittering, moeten er onmiddellijk waarschuwingen worden gegenereerd. Dit helpt bij het detecteren van potentiële beveiligingsincidenten, zelfs voor processen die zijn uitgesloten van ASR-regels. Tot slot moet er een plan zijn voor het afschaffen van legacy-applicaties die uitsluitingen vereisen. Deze applicaties vormen een beveiligingsrisico omdat ze vaak verouderd zijn en niet langer worden ondersteund door de leverancier. Door een plan te maken voor het vervangen of moderniseren van deze applicaties, kunnen organisaties hun aanvalsoppervlak geleidelijk verkleinen en hun algehele beveiligingspostuur verbeteren.

Compliance en Auditing

ASR-regels zijn essentieel voor compliance met geavanceerde bedreigingsbescherming en worden steeds vaker als vereiste gesteld bij beveiligingsaudits. De implementatie van ASR-regels draagt bij aan naleving van verschillende belangrijke beveiligingsstandaarden en frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De CIS Benchmark voor Intune en Windows Defender bevat specifieke aanbevelingen voor Aanvalsoppervlakreductie. Deze benchmark wordt wereldwijd erkend als best practice voor beveiligingsconfiguratie en wordt vaak gebruikt als basis voor beveiligingsaudits. Naleving van deze benchmark demonstreert dat een organisatie proactieve maatregelen heeft genomen om het aanvalsoppervlak te verkleinen. BIO Thema 12.02.01 richt zich op bescherming tegen malware en omvat preventieve maatregelen en exploit-mitigatie. ASR-regels zijn een concrete implementatie van deze vereisten, omdat ze voorkomen dat malware wordt uitgevoerd voordat het schade kan aanrichten. BIO Thema 12.06.01 behandelt het beheer van technische kwetsbaarheden en de vermindering van het aanvalsoppervlak, wat direct wordt aangepakt door ASR-regels. ISO 27001:2022 controle A.8.7 vereist bescherming tegen malware en geavanceerde malwareverdediging. ASR-regels voldoen aan deze vereiste door gedrag-gebaseerde detectie en preventie te bieden die verder gaat dan traditionele signature-based antivirusoplossingen. Deze aanpak is essentieel voor het beschermen tegen moderne, geavanceerde bedreigingen die traditionele detectiemethoden kunnen omzeilen. NIS2 Artikel 21 vereist cybersecurity risicobeheersmaatregelen, waaronder ransomwarepreventie. ASR-regels zijn bijzonder effectief tegen ransomware omdat ze specifieke ransomware-gedragspatronen blokkeren, zoals macro-gebaseerde levering, script-downloaders en snelle bestandsversleuteling. Dit maakt ASR-regels een kritieke controle voor naleving van NIS2-vereisten. NIST 800-53 controle SI-3 vereist bescherming tegen kwaadaardige code en gedrag-gebaseerde detectie. ASR-regels implementeren deze vereiste door specifieke aanvalsgedragingen te detecteren en te blokkeren, ongeacht of de malware bekend is of niet. Deze aanpak is essentieel voor het beschermen tegen zero-day-aanvallen en geavanceerde persistent threats. ASR-regels kunnen worden gemapped naar specifieke MITRE ATT&CK-technieken, wat helpt bij het demonstreren van de effectiviteit van de implementatie. Bijvoorbeeld, ASR-regels die Office-macro's blokkeren, beschermen tegen T1566 Phishing, regels die credential dumping blokkeren beschermen tegen T1003 Credential Dumping, en regels die uitvoerbare bestanden blokkeren beschermen tegen T1204 User Execution. Deze mapping helpt bij het begrijpen van welke specifieke bedreigingen worden gemitigeerd en is waardevol voor threat intelligence en security operations. ASR is state-of-the-art endpointbescherming die steeds vaker als vereiste wordt gesteld bij beveiligingsaudits. Auditors verwachten dat organisaties moderne, gedrag-gebaseerde beveiligingsmaatregelen hebben geïmplementeerd die verder gaan dan traditionele antivirusoplossingen. De implementatie van ASR-regels demonstreert dat een organisatie proactief investeert in geavanceerde beveiligingstechnologieën en serieus omgaat met moderne bedreigingen zoals ransomware en geavanceerde persistent threats.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Attack Surface Reduction: ASR Rules Enabled .DESCRIPTION CIS - Microsoft Defender ASR rules moet enabled zijn voor bescherming tegen aanvallen. .NOTES Filename: asr-rules-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: ASR Rules|Expected: 10 critical rules enabled #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $ExpectedRules = 10 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "asr-rules-enabled.ps1"; PolicyName = "ASR Rules"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "$ExpectedRules rules"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Intune" } try { $asrIds = @('BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550', 'D4F940AB-401B-4EFC-AADC-AD5F3C50688A', '3B576869-A4EC-4529-8536-B80A7769E899', '75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84', 'D3E037E1-3EB8-44C8-A917-57927947596D', '5BEB7EFE-FD9A-4556-801D-275E5FFC04CC', '92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B', '9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2', 'B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4', 'C1DB55AB-C21A-4637-BB3F-A12568109D35'); $enabled = 0; foreach ($id in $asrIds) { $v = Get-MpPreference -ErrorAction SilentlyContinue; if ($v.AttackSurfaceReductionRules_Ids -contains $id) { $enabled++ } }; $r.CurrentValue = "$enabled rules"; if ($enabled -ge $ExpectedRules) { $r.IsCompliant = $true; $r.Details += "ASR rules enabled: $enabled" }else { $r.Details += "Onvoldoende ASR rules: $enabled/$ExpectedRules" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { Write-Host "ASR Rules configureren via Intune:" -ForegroundColor Yellow; Write-Host "Endpoint Security > Attack Surface Reduction > Create Policy" -ForegroundColor Gray; Write-Host "10 critical rules:" -ForegroundColor Gray; Write-Host "- Block executable from email/webmail" -ForegroundColor Gray; Write-Host "- Block Office child processes" -ForegroundColor Gray; Write-Host "- Block credential theft (lsass)" -ForegroundColor Gray; Write-Host "- Block ransomware" -ForegroundColor Gray } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Write-Host "Revert via Intune" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: KRITIEK RANSOMWARE EN MALWARE RISICO: Zonder ASR-regels slagen veelvoorkomende aanvalstechnieken: Office-macro's kunnen ransomware downloaden (80% van ransomware-levering), scripts kunnen payloads downloaden, diefstal van inloggegevens van lsass blijft mogelijk (laterale beweging), en ransomware kan ongehinderd versleutelen. Geschatte kosten van ransomware zonder ASR-bescherming: €500.000 - €5.000.000+ (herstel, uitvaltijd, losgeld, reputatie). ASR voorkomt 50-90% van exploitpogingen en is bijzonder effectief tegen ransomware. Dit is een krachtvermenigvuldiger voor Windows Defender en essentieel voor het moderne bedreigingslandschap.

Management Samenvatting

Schakel Aanvalsoppervlakreductie regels in via Intune voor alle Windows-apparaten. Minimum 10 kritieke regels: Blokkeer Office-macro's/subprocessen, scripts, diefstal van inloggegevens, ransomware-gedrag. Gefaseerde uitrol: 2-4 weken Audit-modus (afstemming) → geleidelijke Blokkeren-modus implementatie. Vereist Defender voor Endpoint (E5/P2). Blokkeert 50-90% exploits. Voldoet aan BIO 12.02, ISO 27001 A.8.7, NIS2, CIS. Implementatie: 4-8 weken totaal. KRITIEKE ANTI-RANSOMWARE CONTROLE.