ASR-regels detecteren niet alleen malware — ze blokkeren het gedrag dat malware gebruikt (zoals Office-applicaties die uitvoerbare kindprocessen starten). Dit is preventie op gedragsniveau, niet op handtekeninniveau.
De meeste organisaties laten ASR-regels uitgeschakeld omdat ze bang zijn legacy-applicaties te breken of zakelijke workflows te onderbreken. De angst is gerechtvaardigd — onjuist afgestelde ASR-regels stoppen productielijnen en overspoelen helpdesks.
Confidence-Based implementatie: Begin in Audit-modus om impact te visualiseren, ga naar Warn-modus om gebruikers te informeren, en dwing Blokkeer-modus alleen af nadat uitsluitingen zijn afgesteld. Dit elimineert het false positive-risico dat ASR uitgeschakeld houdt.
U neutraliseert volledige klassen aanvallen — inclusief Ransomware en Zero-Days — door de vectoren te elimineren waarop ze vertrouwen, zonder een enkel supportticket te genereren van een verkeerd geconfigureerde regel.
Inzicht in Attack Surface Reduction
Een van de krachtigste maar vaak over het hoofd geziene mogelijkheden van Microsoft Defender for Endpoint is Attack Surface Reduction. Ondanks de ambitieuze naam levert ASR aanzienlijke beveiligingswaarde door zich te richten op softwaregedrag dat aanvallers vaak exploiteren.
ASR richt zich op het identificeren en blokkeren van verdachte activiteiten die legitieme applicaties zelden uitvoeren tijdens normale operaties, maar die veelvuldig worden gebruikt door malware en dreigingsactoren. Door intelligente gedragsanalyse te implementeren, kan ASR aanvallen voorkomen voordat ze volledig materialiseren — en zo het risicooppervlak van uw organisatie aanzienlijk verkleinen.
"Attack Surface Reduction vertegenwoordigt een proactieve benadering van endpointbeveiliging, gericht op het gedrag en de technieken die aanvallers gewoonlijk exploiteren voordat ze een voet aan de grond kunnen krijgen in uw omgeving."
Primaire ASR-doelgedragingen
Uitvoerbare Downloads
Blokkeren van bestanden en scripts die proberen aanvullende payloads te downloaden of uit te voeren
Verdoezelde Scripts
Detecteren en voorkomen van de uitvoering van verdachte of verdoezelde scriptinhoud
Afwijkend Applicatiegedrag
Identificeren van activiteiten die applicaties normaal niet uitvoeren tijdens legitieme operaties
Procesinjectietechnieken
Voorkomen van kwaadaardige code-injectie in legitieme processen
Pogingen tot Diefstal van Inloggegevens
Blokkeren van ongeautoriseerde toegang tot authenticatiesubsystemen inclusief LSASS
Hoewel sommige legitieme applicaties af en toe dit gedrag vertonen, vormen ze aanzienlijke beveiligingsrisico's vanwege het frequente misbruik door aanvallers. ASR-regels bieden intelligente beperkingen op deze activiteiten — en helpen organisaties beveiliging te handhaven zonder productiviteit te verstoren wanneer ze correct zijn afgesteld.
ASR-regelreferentie: De 6 Aanvalscategorieën
Microsoft Defender for Endpoint biedt 17 ASR-regels georganiseerd per aanvalsvector. Hieronder worden de meest consequente regels behandeld met NPS Adviezen — de operationele context die bepaalt of het inschakelen van elke regel in Blokkeer-modus veilig is voor uw omgeving.
Blokkeer uitvoerbare inhoud van e-mailclient en webmail
BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550NPS Advisory
Dit is doorgaans de veiligste regel om als eerste in te schakelen — het blokkeert .exe-, .dll- en scriptbestanden die via Outlook of webmail binnenkomen. De meeste organisaties kunnen deze direct in Blokkeer-modus inschakelen.
Operational Risk
Sommige sectoren ontvangen nog steeds legitieme uitvoerbare bestanden via e-mail (softwareleveranciers, ontwikkelingspartners). Voer twee weken Audit-modus uit en bekijk de logboeken voordat u blokkeert.
Blokkeer alle Office-applicaties van het aanmaken van kindprocessen
D4F940AB-401B-4EFC-AADC-AD5F3C50688ANPS Advisory
De meest impactvolle — en meest gevaarlijke — regel. Dit voorkomt dat Word, Excel en PowerPoint andere processen spawnen, wat precies is hoe macro-gebaseerde malware werkt.
Operational Risk
Deze enkele regel zal meer bedrijfsprocessen breken dan alle andere. We hebben gezien hoe het factuurverwerking stopzet, HR-onboarding workflows uitschakelt en ERP-integraties crasht die Excel-automatisering gebruiken. Kunt u elke Office-macro en add-in benoemen die in uw organisatie wordt gebruikt? Als dat niet zo is, betekent Blokkeer-modus inschakelen dat uw eerste maandagochtend begint met een vloed aan helpdesktickets.
+4 meer regels in deze categorie — in de volledige referentie.
Blokkeer uitvoering van mogelijk verdoezelde scripts
5BEB7EFE-FD9A-4556-801D-275E5FFC04CCNPS Advisory
Gebruikt de AMSI (Antimalware Scan Interface) om gecodeerde of verdoezelde PowerShell, JavaScript en VBScript te detecteren — het kenmerk van "bestandsloze" malware.
Operational Risk
Veel legitieme beheerdersscripts gebruiken codering voor het verwerken van speciale tekens of wachtwoorden. We hebben gezien hoe deze regel SCCM-taaksequenties, implementatiescripts en zelfs door leveranciers geleverde automatiseringstools blokkeert. Heeft uw IT-team een standaard voor scriptontwikkeling die obfuscatiepatronen vermijdt? Als dat niet zo is, verwacht dan wrijving met uw operationeel team.
+2 meer regels in deze categorie — in de volledige referentie.
Gebruik geavanceerde bescherming tegen ransomware
c1db55ab-c21a-4637-bb3f-a12568109d35NPS Advisory
Past agressieve heuristieken toe om ransomware-achtig gedrag te identificeren: snelle bestandswijzigingen, verdachte versleutelingspatronen en manipulatie van schaduwkopieën.
Operational Risk
Legitieme versleuteling en back-uptools kunnen deze regel activeren. We hebben gezien hoe schijfversleutelingssoftware, archieringsprogramma's en zelfs databasecompactieprogramma's worden gemarkeerd. Heeft u een inventarisatie gemaakt van alle applicaties die bulk bestandsoperaties of versleuteling uitvoeren? Zonder die lijst zult u wekenlang achter false positives aan zitten.
Blokkeer diefstal van inloggegevens van Windows Local Security Authority (lsass.exe)
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2NPS Advisory
Cruciaal voor het stoppen van laterale beweging. Voorkomt dat tools zoals Mimikatz inloggegevens uit het geheugen dumpen — een kerntechniek in vrijwel elke ransomware-aanvalsketen.
Operational Risk
Sommige legitieme back-upagenten, PAM-oplossingen en beveiligingstools moeten toegang hebben tot LSASS. We hebben gezien hoe deze regel Veeam-back-uptaken breekt en conflicteert met CyberArk-integraties. Heeft u een volledige inventarisatie van elke applicatie die inloggegevensopslag raadt?
+1 meer regel in deze categorie — in de volledige referentie.
Blokkeer procesaanmaak vanuit PSExec- en WMI-opdrachten
d1e49aac-8f56-4280-b9ba-993a6d77406cNPS Advisory
PSExec en WMI zijn de primaire tools die aanvallers gebruiken voor laterale beweging na initiële compromittering. Deze regel beperkt hun mogelijkheid om zich te verspreiden aanzienlijk.
Operational Risk
Deze regel heeft meer impact op uw IT-operationeel team dan op aanvallers. SCCM, Intune en de meeste RMM-tools zijn sterk afhankelijk van WMI voor extern beheer. Heeft u elke administratieve workflow in kaart gebracht die externe uitvoering gebruikt? Blokkeren zonder de juiste uitsluitingen betekent dat uw patchingpipelines, software-implementatie en mogelijkheden voor probleemoplossing op afstand uitvallen.
+1 meer regel in deze categorie — in de volledige referentie.
2 regels voor USB-apparaatbeheer en Adobe Reader-beveiliging — in de volledige referentie.
Ontvang de Volledige Gids met 17 ASR-regels
De zes categorieën hierboven behandelen de meest consequente regels met NPS Adviezen. De volledige referentie documenteert alle 17 ASR-regels — inclusief per-regel uitsluitingsondersteuning, Warn-modus beschikbaarheid, licentievereisten en de specifieke zakelijke applicaties waarmee we elke regel hebben zien conflicteren.
Vraag de Volledige ASR-regelgids opHet Confidence-Based Implementatieframework
ASR-regels inschakelen zonder de juiste afstemming creëert meer problemen dan het oplost: waarschuwingsoverstromingen, geblokkeerde zakelijke apps, gefrustreerde gebruikers. Het Confidence-Based framework brengt u veilig van uitgeschakeld naar afgedwongen.
Audit-modus — Visualiseer zonder te Blokkeren
Schakel alle doelregels in Audit-modus in. MDE registreert elke detectie als een waarschuwing zonder blokkeeractiviteit. Bekijk de Microsoft 365 Defender-portal twee tot vier weken. Identificeer welke detecties legitieme bedrijfsprocessen zijn en bouw uw uitsluitingslijst voordat een regel live gaat.
Warn-modus — Informeer Terwijl U Afdwingt
Zet regels naar Warn-modus. Gebruikers zien een melding wanneer een geblokkeerde actie wordt geprobeerd en kunnen 24 uur overschrijven. Dit traint gebruikers, vermindert de ondersteuningsdruk en onthult resterende false positives in de praktijk. Let op: drie regels ondersteunen geen Warn-modus (JavaScript/VBScript downloader, WMI-persistentie, geavanceerde ransomware-bescherming).
Blokkeer-modus — Dwing af met Vertrouwen
Ga naar Blokkeer-modus pas nadat uitsluitingen zijn afgesteld en overschrijvingspercentages zijn gedaald tot bijna nul. Documenteer elke uitsluiting met een zakelijke rechtvaardiging. False positives die de Blokkeer-modus bereiken vereisen een Submission First-workflow: valideer het bestand in een cloud-sandbox voordat u een globale toestemmingsindicator aanmaakt — responstijd onder 30 minuten.
Licenties en Systeemvereisten
Inzicht in de technische en licentievereisten bepaalt welke ASR-mogelijkheden beschikbaar zijn in uw omgeving.
| License Tier | Capabilities |
|---|---|
| Windows 10 Pro | Kern ASR-regelhandhavingscapaciteit. Event Viewer voor loginzage. Geen gecentraliseerd beheer of analyticsportaal. |
| Microsoft E3 | Volledige ASR-regelfeatureset. Event Viewer toegang. Gecentraliseerde beleidsimplementatie via Group Policy of Intune. De basislijn voor enterprise ASR-implementaties. |
| Microsoft E5 / MDE Plan 2 | Volledige ASR beheer- en rapportagelaag in het Microsoft 365 Defender-portal. Endpoint-detectiecorrelatie, tijdlijnweergaven, geavanceerd jagen via KQL en workflowautomatisering voor false positive-remediation. |
Microsoft Defender Antivirus must be active (not passive mode) for ASR rules to function. If a third-party antivirus is installed, MDE automatically enters passive mode and ASR is disabled.
Regeluitsluitingen: Wat U Moet Weten
Uitsluitingen zijn noodzakelijk — maar ze bevatten significante operationele kanttekeningen die de meeste implementatiegidsen weglaten.
Uitsluitingen zijn van toepassing op ALLE ASR-regels tegelijk. U kunt een pad niet uitsluiten van slechts één regel — de uitsluiting beïnvloedt elke actieve ASR-regel tegelijk.
Uitgesloten bestanden en mappen worden uitgevoerd zonder logging of waarschuwing. Als een dreigingsactor een payload neerzet in een uitgesloten pad, biedt ASR nul bescherming en nul zichtbaarheid.
ASR-uitsluitingen worden afzonderlijk beheerd van Microsoft Defender Antivirus-uitsluitingen. Ga er niet van uit dat AV-uitsluitingen worden overgenomen.
Wildcards in uitsluitingspaden worden alleen ondersteund via Microsoft Intune. SCCM-beheerde ASR-beleidsregels ondersteunen geen wildcards.
ASR-regels worden uitgevoerd als NT AUTHORITY\SYSTEM. U kunt geen gebruikersprofiel-omgevingsvariabelen (zoals %USERPROFILE%) gebruiken in uitsluitingspaden — ze worden niet correct omgezet.
De Vier ASR-regelstatussen
Niet Geconfigureerd
Uitgeschakeld. De regel neemt geen actie en genereert geen gebeurtenissen. Dit is de standaard voor alle regels.
Audit
Detecteert en registreert overeenkomende activiteit in het Microsoft 365 Defender-portal. Blokkeert niet. Gebruik dit voor initiële implementatie en afstemming.
Waarschuwen
Blokkeert het gedetecteerde gedrag maar toont de gebruiker een melding met een 24-uur overschrijdingsoptie. Nuttig voor gebruikersinformatie vóór volledige handhaving.
Blokkeren
Dwingt de regel af en registreert de geblokkeerde gebeurtenis. De doelactie wordt onmiddellijk voorkomen. Implementeer alleen na afronding van de Audit- en Warn-fasen.
U Hoeft Niet Alles Tegelijk in te Schakelen
Veel zakelijke applicaties zijn geschreven met beperkte beveiligingsoverwegingen en kunnen taken uitvoeren die op kwaadaardige activiteit lijken. De aanbevolen aanpak is om ASR-regels eerst in Audit-modus in te schakelen, de gegevens te monitoren, uitsluitingen toe te voegen voor noodzakelijke applicaties en vervolgens te implementeren zonder de productiviteit te beïnvloeden.
Office macro-regels verdienen speciale aandacht. Ze vertegenwoordigen een moeiteloos aanvalsvector, maar veel Nederlandse organisaties zijn nog steeds afhankelijk van Office-macro's voor kernbedrijfsprocessen. Speciale planning is vereist voordat de gerelateerde regels in Blokkeer-modus worden afgedwongen — het kan geen verrassing zijn voor Finance-, HR- of ERP-teams.
New Paradigm Security is klaar om u te helpen bij het implementeren van MDE's ASR-mogelijkheden met uw tool naar keuze — Intune, SCCM of Group Policy. Neem contact met ons op om te leren hoe wij deze beschermingsmiddelen in kaart brengen, afstemmen en afdwingen in complexe omgevingen.
Gerelateerde Dienst
Microsoft Defender for Endpoint Solutions
End-to-end MDE-implementatie: ASR-configuratie, gelaagd antivirusbeleidontwerp, false positive-workflow, NIS2 compliance-afstemming en doorlopende beleidsgovernance voor Nederlandse enterprise-omgevingen.
Bekijk MDE-dienstenGerelateerd Artikel
MDE Antivirus Beleid Best Practices
ASR is slechts één laag. De begeleidende gids behandelt de volledige MDE antivirusbeleidconfiguratie: gelaagde architectuur voor werkstations, servers en mission-critical systemen.
Lees het Artikel