Reference til regler for reduktion af angrebsoverflade
Gælder for:
- Microsoft Microsoft Defender XDR til Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Platforme:
- Windows
Denne artikel indeholder oplysninger om Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen (ASR-regler):
- ASR-regler, der understøttes af operativsystemversioner
- ASR-regler understøttede konfigurationsstyringssystemer
- Oplysninger om besked og meddelelse pr. ASR-regel
- ASR-regel til GUID-matrix
- ASR-regeltilstande
- Beskrivelser pr. regel
Vigtigt!
Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
Tip
Som ledsager til denne artikel kan du se vores konfigurationsvejledning til Microsoft Defender for Endpoint for at gennemse bedste praksis og få mere at vide om vigtige værktøjer, f.eks. reduktion af angrebsoverfladen og næste generations beskyttelse. Hvis du vil have en tilpasset oplevelse baseret på dit miljø, kan du få adgang til den automatiserede konfigurationsvejledning til Defender for Endpoint i Microsoft 365 Administration.
Regler for reduktion af angrebsoverfladen efter type
Regler for reduktion af angrebsoverfladen er kategoriseret som en af to typer:
Standard beskyttelsesregler: Er det mindste sæt regler, som Microsoft anbefaler, at du altid aktiverer, mens du evaluerer effekten og konfigurationsbehovene for de andre ASR-regler. Disse regler har typisk minimal til ingen mærkbar indvirkning på slutbrugeren.
Andre regler: Regler, der kræver en måling af, hvordan du følger de dokumenterede udrulningstrin [Plan > Test (overvågning) > Aktivér (blok-/advarselstilstande)], som dokumenteret i installationsvejledningen til regler for reduktion af angrebsoverfladen.
Hvis du vil have den nemmeste metode til at aktivere standardbeskyttelsesregler, skal du se: Forenklet standardbeskyttelsesindstilling.
| Navn på ASR-regel: | Standard beskyttelsesregel? | Anden regel? |
|---|---|---|
| Bloker misbrug af udnyttede sårbare bilister | Ja | |
| Bloker Adobe Reader fra at oprette underordnede processer | Ja | |
| Bloker alle Office-programmer, så de ikke kan oprette underordnede processer | Ja | |
| Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) | Ja | |
| Bloker eksekverbart indhold fra mailklient og webmail | Ja | |
| Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til | Ja | |
| Bloker udførelse af potentielt slørede scripts | Ja | |
| Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold | Ja | |
| Bloker Office-programmer fra at oprette eksekverbart indhold | Ja | |
| Bloker Office-programmer fra at indsætte kode i andre processer | Ja | |
| Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer | Ja | |
| Bloker vedholdenhed via WMI-hændelsesabonnement | Ja | |
| Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI | Ja | |
| Bloker genstart af computer i fejlsikret tilstand (prøveversion) | Ja | |
| Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB | Ja | |
| Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion) | Ja | |
| Bloker oprettelse af Webshell for servere | Ja | |
| Bloker Win32 API-kald fra Office-makroer | Ja | |
| Brug avanceret beskyttelse mod ransomware | Ja |
Microsoft Defender Antivirus-undtagelser og ASR-regler
Microsoft Defender Antivirus udelukkelser gælder for nogle Microsoft Defender for Endpoint egenskaber, såsom nogle af de angreb overflade reduktion regler.
Følgende ASR-regler hæd ikke Microsoft Defender Antivirus-undtagelser:
Bemærk!
Du kan finde oplysninger om konfiguration af undtagelser pr. regel i afsnittet Konfigurer ASR-regler pr. regel i emnet Test regler for overfladereduktion af angreb.
ASR-regler og Defender for Endpoint Indicators of Compromise (IOC)
Følgende ASR-regler overholdes ikke Microsoft Defender for Endpoint Indikatorer for Kompromis (IOC):
| Navn på ASR-regel | Beskrivelse |
|---|---|
| Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) | Understøtter ikke indikatorer for kompromitteret fil eller certifikater. |
| Bloker Office-programmer fra at indsætte kode i andre processer | Understøtter ikke indikatorer for kompromitteret fil eller certifikater. |
| Bloker Win32 API-kald fra Office-makroer | Understøtter ikke indikatorer for kompromitteret certifikat. |
UNDERSTØTTEDE ASR-regler for operativsystemer
I følgende tabel vises de understøttede operativsystemer til regler, der i øjeblikket er offentligt tilgængelige. Reglerne vises alfabetisk i denne tabel.
Bemærk!
Medmindre andet er angivet, er det mindste Windows10-build version 1709 (RS3, build 16299) eller nyere. det mindste Windows Server build er version 1809 eller nyere. Regler for reduktion af angrebsoverfladen i Windows Server 2012 R2 og Windows Server 2016 er tilgængelige for enheder, der er onboardet ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny Windows Server 2012 R2- og 2016-funktionalitet i den moderne samlede løsning.
(1) Henviser til den moderne samlede løsning for Windows Server 2012 og 2016. Du kan finde flere oplysninger under Onboarder Windows-servere til Defender for Endpoint-tjenesten.
(2) For Windows Server 2016 og Windows Server 2012 R2 er den version af Microsoft Endpoint Configuration Manager, der som minimum kræves, version 2111.
(3) Version og buildnummer gælder kun for Windows10.
ASR-regler understøttede konfigurationsstyringssystemer
Links til oplysninger om systemversioner til konfigurationsstyring, der refereres til i denne tabel, er angivet under denne tabel.
(1) Du kan konfigurere regler for reduktion af angrebsoverflader pr. regel ved hjælp af en hvilken som helst regels GUID.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM er nu Microsoft Configuration Manager.
Oplysninger om besked og meddelelse pr. ASR-regel
Toastbeskeder genereres for alle regler i bloktilstand. Regler i en anden tilstand genererer ikke toastbeskeder.
For regler med "Regeltilstand" angivet:
- ASR-regler med
\ASR Rule, Rule State\kombinationer bruges til at vise beskeder (toastbeskeder) på Microsoft Defender for Endpoint kun for enheder på cloudblokeringsniveau "Høj" - Enheder, der ikke har et højt skyblokeringsniveau, genererer ikke beskeder for kombinationer
ASR Rule, Rule State - EDR-beskeder genereres for ASR-regler i de angivne tilstande for enheder på cloudblokeringsniveau "Høj+"
- Toastbeskeder forekommer kun i bloktilstand og for enheder på cloudblokeringsniveau "Høj"
ASR-regel til GUID-matrix
| Regelnavn | Regel-GUID |
|---|---|
| Bloker misbrug af udnyttede sårbare bilister | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Bloker Adobe Reader fra at oprette underordnede processer | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloker alle Office-programmer, så de ikke kan oprette underordnede processer | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloker eksekverbart indhold fra mailklient og webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Bloker udførelse af potentielt slørede scripts | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold | d3e037e1-3eb8-44c8-a917-57927947596d |
| Bloker Office-programmer fra at oprette eksekverbart indhold | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Bloker Office-programmer fra at indsætte kode i andre processer | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Bloker vedholdenhed via WMI-hændelsesabonnement * Fil- og mappeudeladelser understøttes ikke. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Bloker genstart af computer i fejlsikret tilstand (prøveversion) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Bloker oprettelse af Webshell for servere | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Bloker Win32 API-kald fra Office-makroer | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Brug avanceret beskyttelse mod ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-regeltilstande
- Ikke konfigureret eller deaktiveret: Den tilstand, hvor ASR-reglen ikke er aktiveret eller deaktiveret. Koden for denne tilstand = 0.
- Blok: Den tilstand, som ASR-reglen er aktiveret i. Koden for denne tilstand er 1.
- Overvågning: Den tilstand, som ASR-reglen evalueres i for den effekt, den ville have på organisationen eller miljøet, hvis den er aktiveret (indstillet til at blokere eller advare). Koden for denne tilstand er 2.
- Advare Den tilstand, hvor ASR-reglen er aktiveret og præsenterer en meddelelse til slutbrugeren, men tillader slutbrugeren at omgå blokken. Koden for denne tilstand er 6.
Advarselstilstand er en type blokeringstilstand, der giver brugerne besked om potentielt risikable handlinger. Brugerne kan vælge at tilsidesætte advarselsmeddelelsen om blokering og tillade den underliggende handling. Brugerne kan vælge OK for at gennemtvinge blokken eller vælge bypassindstillingen – Fjern blokering – via den toastbesked om slutbrugerens pop op-meddelelse, der genereres på tidspunktet for blokken. Når blokeringen af advarslen er fjernet, tillades handlingen, indtil næste gang advarselsmeddelelsen vises, hvorefter slutbrugeren skal udføre handlingen igen.
Når der klikkes på knappen Tillad, undertrykkes blokken i 24 timer. Efter 24 timer skal slutbrugeren tillade blokken igen. Advarselstilstanden for ASR-regler understøttes kun for RS5+-enheder (1809+). Hvis bypass er tildelt ASR-regler på enheder med ældre versioner, er reglen i blokeret tilstand.
Du kan også angive en regel i advarselstilstand via PowerShell ved at angive AttackSurfaceReductionRules_Actions som "Advar". Det kan f.eks. være:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Pr. regelbeskrivelser
Bloker misbrug af udnyttede sårbare bilister
Denne regel forhindrer et program i at skrive en sårbar signeret driver til disken. Sårbare signerede drivere i naturen kan udnyttes af lokale programmer - der har tilstrækkelige rettigheder - til at få adgang til kernen. Sårbare signerede drivere gør det muligt for angribere at deaktivere eller omgå sikkerhedsløsninger, hvilket i sidste ende fører til, at systemet kompromitteres.
Reglen Bloker misbrug af udnyttede sårbare signerede drivere blokerer ikke, at en driver, der allerede findes på systemet, indlæses.
Bemærk!
Du kan konfigurere denne regel ved hjælp af Intune OMA-URI. Se Intune OMA-URI for at få oplysninger om konfiguration af brugerdefinerede regler. Du kan også konfigurere denne regel ved hjælp af PowerShell. Hvis du vil have undersøgt en faktor, skal du bruge dette websted til at sende en driver til analyse.
Intune navn:Block abuse of exploited vulnerable signed drivers
Configuration Manager navn: Endnu ikke tilgængeligt
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Avanceret jagthandlingstype:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Bloker Adobe Reader fra at oprette underordnede processer
Denne regel forhindrer angreb ved at blokere Adobe Reader i at oprette processer.
Malware kan downloade og starte nyttedata og bryde ud af Adobe Reader via social engineering eller udnyttelser. Ved at blokere underordnede processer fra at blive genereret af Adobe Reader forhindres malware, der forsøger at bruge Adobe Reader som angrebsvektor, i at sprede sig.
Intune navn:Process creation from Adobe Reader (beta)
Configuration Manager navn: Endnu ikke tilgængeligt
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Avanceret jagthandlingstype:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer
Denne regel blokerer Office-apps fra at oprette underordnede processer. Office-apps omfatter Word, Excel, PowerPoint, OneNote og Access.
Oprettelse af skadelige underordnede processer er en almindelig malwarestrategi. Malware, der misbruger Office som en vektor, kører ofte VBA-makroer og udnytter kode til at downloade og forsøge at køre flere nyttedata. Nogle legitime line of business-programmer kan dog også generere underordnede processer til godartede formål; f.eks. gydning af en kommandoprompt eller brug af PowerShell til at konfigurere indstillinger i registreringsdatabasen.
Intune navn:Office apps launching child processes
Configuration Manager navn:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Avanceret jagthandlingstype:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed
Bemærk!
Hvis du har aktiveret LSA-beskyttelse , er denne regel for reduktion af angrebsoverfladen ikke påkrævet. Hvis du vil have en mere sikker stilling, anbefaler vi også, at du aktiverer Credential Guard med LSA-beskyttelsen.
Denne regel hjælper med at forhindre tyveri af legitimationsoplysninger ved at låse LSASS (Local Security Authority Subsystem Service) nede.
LSASS godkender brugere, der logger på en Windows-computer. Microsoft Defender Credential Guard i Windows forhindrer normalt forsøg på at udtrække legitimationsoplysninger fra LSASS. Nogle organisationer kan ikke aktivere Credential Guard på alle deres computere på grund af kompatibilitetsproblemer med brugerdefinerede chipkortdrivere eller andre programmer, der indlæses i LSA (Local Security Authority). I disse tilfælde kan hackere bruge værktøjer som Mimikatz til at skrabe cleartext-adgangskoder og NTLM-hashen fra LSASS.
Som standard er tilstanden for denne regel angivet til blokeret. I de fleste tilfælde foretager mange processer kald til LSASS for adgangsrettigheder, der ikke er nødvendige. F.eks. når den første blok fra ASR-reglen resulterer i et efterfølgende kald for et mindre privilegium, som efterfølgende lykkes. Du kan finde oplysninger om de typer rettigheder, der typisk anmodes om i proceskald til LSASS, under: Processikkerhed og adgangsrettigheder.
Aktivering af denne regel giver ikke yderligere beskyttelse, hvis LSA-beskyttelse er aktiveret, da ASR-reglen og LSA-beskyttelse fungerer på samme måde. Men når LSA-beskyttelse ikke kan aktiveres, kan denne regel konfigureres til at give tilsvarende beskyttelse mod malware, der er målrettet lsass.exe.
Tip
- ASR-overvågningshændelser genererer ikke toastbeskeder. Men da LSASS ASR-reglen producerer store mængder overvågningshændelser, som næsten alle er sikre at ignorere, når reglen er aktiveret i bloktilstand, kan du vælge at springe evaluering af overvågningstilstand over og fortsætte med at blokere tilstandsinstallation, begyndende med et lille sæt enheder og gradvist udvide for at dække resten.
- Reglen er designet til at undertrykke blokrapporter/toasts til brugervenlige processer. Det er også designet til at slippe rapporter for dubletblokke. Reglen er derfor velegnet til at blive aktiveret i bloktilstand, uanset om toastbeskeder er aktiveret eller deaktiveret.
- ASR i advarselstilstand er designet til at give brugere en toastbesked, der indeholder en "Fjern blokering"-knap. På grund af LSASS ASR-blokkes "sikre at ignorere"-blokke og deres store volumen anbefales WARN-tilstand ikke for denne regel (uanset om toastbeskeder er aktiveret eller deaktiveret).
Bemærk!
I dette scenarie klassificeres ASR-reglen som "ikke tilgængelig" i indstillingerne for Defender for Endpoint på Microsoft Defender-portalen. Asr-reglen bloker legitimationsoplysninger, der stjæles fra det lokale windows-sikkerhedsmyndighedsystem, understøtter ikke WARN-tilstand. I nogle apps optæller koden alle kørende processer og forsøger at åbne dem med udtømmende tilladelser. Denne regel afviser appens handling for procesåbning og logfører oplysningerne i loggen over sikkerhedshændelser. Denne regel kan generere en masse støj. Hvis du har en app, der blot optæller LSASS, men ikke har nogen reel indvirkning på funktionaliteten, er det ikke nødvendigt at føje den til listen over undtagelser. I sig selv angiver denne post i hændelsesloggen ikke nødvendigvis en ondsindet trussel.
Intune navn:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager navn:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Avanceret jagthandlingstype:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Afhængigheder: Microsoft Defender Antivirus
Kendte problemer: Disse programmer og reglen "Bloker tyveri af legitimationsoplysninger fra det lokale windows-sikkerhedsmyndigheds undersystem" er ikke kompatible:
| Programnavn | Du kan få flere oplysninger |
|---|---|
| Synkronisering af adgangskode til Quest Dirsync | Dirsync-adgangskodesynkronisering fungerer ikke, når Windows Defender er installeret. Fejl: "VirtualAllocEx mislykkedes: 5" (4253914) |
Kontakt softwareleverandøren for at få teknisk support.
Bloker eksekverbart indhold fra mailklient og webmail
Denne regel blokerer mail, der er åbnet i Microsoft Outlook-programmet, eller Outlook.com og andre populære webmailudbydere fra at overføre følgende filtyper:
- Eksekverbare filer (f.eks. .exe, .dll eller .scr)
- Scriptfiler (f.eks. en PowerShell-.ps1, Visual Basic .vbs- eller JavaScript-.js-fil)
Intune navn:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager navn:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Avanceret jagthandlingstype:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Afhængigheder: Microsoft Defender Antivirus
Bemærk!
Reglen Bloker eksekverbart indhold fra mailklienten og webmailen har følgende alternative beskrivelser, afhængigt af hvilket program du bruger:
- Intune (konfigurationsprofiler): Udførelse af eksekverbart indhold (exe, dll, ps, js, vbs osv.) blev droppet fra mail (webmail/mail-klient) (ingen undtagelser).
- Configuration Manager: Bloker download af eksekverbart indhold fra mail- og webmailklienter.
- Gruppepolitik: Bloker eksekverbart indhold fra mailklient og webmail.
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til
Denne regel blokerer eksekverbare filer, f.eks. .exe, .dll eller .scr, fra start. Det kan derfor være risikabelt at starte upålidelige eller ukendte eksekverbare filer, da det muligvis ikke indledningsvist er tydeligt, om filerne er skadelige.
Vigtigt!
Du skal aktivere skybaseret beskyttelse for at bruge denne regel.
Reglen Bloker kørsel af eksekverbare filer, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til, med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ejes af Microsoft og ikke er angivet af administratorer. Denne regel bruger skybaseret beskyttelse til at opdatere listen, der er tillid til, regelmæssigt.
Du kan angive individuelle filer eller mapper (ved hjælp af mappestier eller fuldt kvalificerede ressourcenavne), men du kan ikke angive, hvilke regler eller undtagelser der gælder for.
Intune navn:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager navn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Avanceret jagthandlingstype:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Afhængigheder: Microsoft Defender Antivirus, Cloud Protection
Bloker udførelse af potentielt slørede scripts
Denne regel registrerer mistænkelige egenskaber i et sløret script.
Bemærk!
PowerShell-scripts understøttes nu for reglen "Bloker udførelse af potentielt slørede scripts".
Vigtigt!
Du skal aktivere skybaseret beskyttelse for at bruge denne regel.
Script tilsløring er en almindelig teknik, som både malware forfattere og legitime applikationer bruger til at skjule intellektuel ejendom eller reducere script indlæsningstider. Malware forfattere bruger også tilsløring til at gøre ondsindet kode sværere at læse, som hæmmer tæt kontrol af mennesker og sikkerhedssoftware.
Intune navn:Obfuscated js/vbs/ps/macro code
Configuration Manager navn:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Avanceret jagthandlingstype:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Afhængigheder: Microsoft Defender Antivirus, AMSI (AntiMalware Scan Interface)
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold
Denne regel forhindrer scripts i at starte potentielt skadeligt downloadet indhold. Malware, der er skrevet i JavaScript eller VBScript, fungerer ofte som en downloader for at hente og starte anden malware fra internettet. Selvom det ikke er almindeligt, bruger line of business-programmer nogle gange scripts til at downloade og starte installationsprogrammer.
Intune navn:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager navn:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Avanceret jagthandlingstype:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Afhængigheder: Microsoft Defender Antivirus, AMSI
Bloker Office-programmer fra at oprette eksekverbart indhold
Denne regel forhindrer Office-apps, herunder Word, Excel og PowerPoint, i at oprette potentielt skadeligt eksekverbart indhold ved at blokere for, at skadelig kode skrives til disken. Malware, der misbruger Office som en vektor, kan forsøge at bryde ud af Office og gemme skadelige komponenter på disken. Disse skadelige komponenter vil overleve en genstart af computeren og forblive på systemet. Derfor forsvarer denne regel sig mod en fælles vedholdenhedsteknik. Denne regel blokerer også kørsel af filer, der ikke er tillid til, og som kan være blevet gemt af Office-makroer, som har tilladelse til at køre i Office-filer.
Intune navn:Office apps/macros creating executable content
Configuration Manager navn:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Avanceret jagthandlingstype:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Afhængigheder: Microsoft Defender Antivirus, RPC
Bloker Office-programmer fra at indsætte kode i andre processer
Denne regel blokerer kodeinjektionsforsøg fra Office-apps i andre processer.
Bemærk!
Asr-reglen Bloker programmer fra indsprøjtning af kode i andre processer understøtter ikke WARN-tilstand.
Vigtigt!
Denne regel kræver, at Microsoft 365 Apps (Office-programmer) genstartes, for at konfigurationsændringerne kan træde i kraft.
Angribere kan forsøge at bruge Office-apps til at overføre skadelig kode til andre processer via kodeinjektion, så koden kan maskerade som en ren proces. Der er ingen kendte legitime forretningsmæssige formål med at bruge kodeinjektion.
Denne regel gælder for Word, Excel, OneNote og PowerPoint.
Intune navn:Office apps injecting code into other processes (no exceptions)
Configuration Manager navn:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Avanceret jagthandlingstype:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Afhængigheder: Microsoft Defender Antivirus
Kendte problemer: Reglen "Bloker Office-programmer fra at indsætte kode i andre processer" er ikke kompatible:
| Programnavn | Du kan få flere oplysninger |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | September-2024 (platform: 4.18.24090.11 | Motor 1.1.24090.11). |
| Sikkerhed i Heimdal | ikke tilgængelig |
Kontakt softwareleverandøren for at få teknisk support.
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer
Denne regel forhindrer Outlook i at oprette underordnede processer, samtidig med at legitime Outlook-funktioner tillades. Denne regel beskytter mod social engineering-angreb og forhindrer, at kode misbruges i Outlook. Den beskytter også mod outlook-regler og formularudnyttelser , som hackere kan bruge, når en brugers legitimationsoplysninger kompromitteres.
Bemærk!
Denne regel blokerer tip til DLP-politik og værktøjstip i Outlook. Denne regel gælder kun for Outlook og Outlook.com.
Intune navn:Process creation from Office communication products (beta)
Configuration Manager navn: Ikke tilgængeligt
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Avanceret jagthandlingstype:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker vedholdenhed via WMI-hændelsesabonnement
Denne regel forhindrer malware i at misbruge WMI for at opnå vedholdenhed på en enhed.
Filløse trusler anvender forskellige taktikker for at forblive skjult, for at undgå at blive set i filsystemet og for at få periodisk kontrol over udførelsen. Nogle trusler kan misbruge WMI-lageret og hændelsesmodellen for at forblive skjult.
Bemærk!
Hvis CcmExec.exe (SCCM Agent) registreres på enheden, klassificeres ASR-reglen som "ikke tilgængelig" i indstillingerne for Defender for Endpoint på Microsoft Defender portalen.
Intune navn:Persistence through WMI event subscription
Configuration Manager navn: Ikke tilgængeligt
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Avanceret jagthandlingstype:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Afhængigheder: Microsoft Defender Antivirus, RPC
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI
Denne regel blokerer processer, der er oprettet via PsExec og WMI , fra at køre. Både PsExec og WMI kan udføre kode eksternt. Der er risiko for, at malware misbruger funktionaliteten i PsExec og WMI med henblik på kommando- og kontrolformål eller for at sprede en infektion gennem en organisations netværk.
Advarsel
Brug kun denne regel, hvis du administrerer dine enheder med Intune eller en anden MDM-løsning. Denne regel er ikke kompatibel med administration via Microsoft Endpoint Configuration Manager fordi denne regel blokerer WMI-kommandoer, som Configuration Manager klient bruger til at fungere korrekt.
Intune navn:Process creation from PSExec and WMI commands
Configuration Manager navn: Ikke relevant
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Avanceret jagthandlingstype:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker genstart af computer i fejlsikret tilstand (prøveversion)
Denne regel forhindrer udførelse af kommandoer til genstart af computere i fejlsikret tilstand. Fejlsikret tilstand er en diagnosticeringstilstand, der kun indlæser de vigtige filer og drivere, der er nødvendige, for at Windows kan køre. Men i fejlsikret tilstand er mange sikkerhedsprodukter enten deaktiveret eller opererer i en begrænset kapacitet, hvilket gør det muligt for hackere at starte manipulationskommandoer yderligere eller blot udføre og kryptere alle filer på computeren. Denne regel blokerer sådanne angreb ved at forhindre processer i at genstarte maskiner i fejlsikret tilstand.
Bemærk!
Denne funktion er i øjeblikket en prøveversion. Yderligere opgraderinger for at forbedre effektiviteten er under udvikling.
Intune navn:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager navn: Endnu ikke tilgængeligt
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Avanceret jagthandlingstype:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Afhængigheder: Microsoft Defender Antivirus
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB
Med denne regel kan administratorer forhindre usignerede eller upålidelige eksekverbare filer i at køre fra flytbare USB-drev, herunder SD-kort. Blokerede filtyper omfatter eksekverbare filer (f.eks. .exe, .dll eller .scr)
Vigtigt!
Filer, der kopieres fra USB til diskdrevet, blokeres af denne regel, hvis og når den er ved at blive udført på diskdrevet.
Intune navn:Untrusted and unsigned processes that run from USB
Configuration Manager navn:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Avanceret jagthandlingstype:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)
Denne regel blokerer brugen af eksekverbare filer, der identificeres som kopier af Windows-systemværktøjer. Disse filer er enten dubletter eller bedragere af de oprindelige systemværktøjer. Nogle skadelige programmer kan forsøge at kopiere eller repræsentere Windows-systemværktøjer for at undgå registrering eller opnå rettigheder. Det kan føre til potentielle angreb, hvis sådanne eksekverbare filer tillades. Denne regel forhindrer overførsel og udførelse af sådanne dubletter og bedragere af systemværktøjerne på Windows-maskiner.
Bemærk!
Denne funktion er i øjeblikket en prøveversion. Yderligere opgraderinger for at forbedre effektiviteten er under udvikling.
Intune navn:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager navn: Endnu ikke tilgængeligt
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Avanceret jagthandlingstype:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Afhængigheder: Microsoft Defender Antivirus
Bloker oprettelse af Webshell for servere
Denne regel blokerer oprettelse af webshell-scripts på Microsoft Server, Exchange-rolle. Et web shell-script er et specifikt udformet script, der gør det muligt for en hacker at styre den kompromitterede server. En webshell kan omfatte funktioner som modtagelse og udførelse af skadelige kommandoer, download og udførelse af skadelige filer, tyveri og udtømning af legitimationsoplysninger og følsomme oplysninger samt identificering af potentielle mål.
Intune navn:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Afhængigheder: Microsoft Defender Antivirus
Bloker Win32 API-kald fra Office-makroer
Denne regel forhindrer VBA-makroer i at kalde Win32-API'er. Office VBA aktiverer Win32 API-kald. Malware kan misbruge denne funktion, f.eks . kalde Win32-API'er for at starte skadelig shellcode uden at skrive noget direkte til disken. De fleste organisationer er ikke afhængige af muligheden for at kalde Win32-API'er i deres daglige funktion, selvom de bruger makroer på andre måder.
Intune navn:Win32 imports from Office macro code
Configuration Manager navn:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Avanceret jagthandlingstype:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Afhængigheder: Microsoft Defender Antivirus, AMSI
Brug avanceret beskyttelse mod ransomware
Denne regel giver et ekstra lag af beskyttelse mod ransomware. Den bruger både klient- og cloud-heuristik til at afgøre, om en fil ligner ransomware. Denne regel blokerer ikke filer, der har et eller flere af følgende egenskaber:
- Det er allerede konstateret, at filen ikke erharmful i Microsoft-cloudmiljøet.
- Filen er en gyldig signeret fil.
- Filen er udbredt nok til ikke at blive betragtet som ransomware.
Reglen har tendens til at fejle på den side af forsigtighed for at forhindre ransomware.
Bemærk!
Du skal aktivere skybaseret beskyttelse for at bruge denne regel.
Intune navn:Advanced ransomware protection
Configuration Manager navn:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Avanceret jagthandlingstype:
AsrRansomwareAuditedAsrRansomwareBlocked
Afhængigheder: Microsoft Defender Antivirus, Cloud Protection
Se også
- Oversigt over installation af regler for reduktion af angrebsoverflade
- Planlæg installation af regler for reduktion af angrebsoverflade
- Test regler for reduktion af angrebsoverflade
- Aktivér regler for reduktion af angrebsoverflade
- Operationalize regler for reduktion af angrebsoverfladen
- Rapport over regler for reduktion af angrebsoverflade
- Reference til regler for reduktion af angrebsoverflade
- Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.