Freigeben über


Referenz zu Regeln zur Verringerung der Angriffsfläche

Gilt für:

Plattformen:

  • Windows

Dieser Artikel enthält Informationen zu Microsoft Defender for Endpoint Regeln zur Verringerung der Angriffsfläche (ASR-Regeln):

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Tipp

Als Ergänzung zu diesem Artikel lesen Sie unseren Microsoft Defender for Endpoint Einrichtungsleitfaden, um sich mit bewährten Methoden vertraut zu machen und wichtige Tools wie die Verringerung der Angriffsfläche und den Schutz der nächsten Generation zu erfahren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden für die automatisierte Einrichtung von Defender für Endpunkt zugreifen.

Regeln zur Verringerung der Angriffsfläche nach Typ

Regeln zur Verringerung der Angriffsfläche werden als einer von zwei Typen kategorisiert:

  • Standard Schutzregeln: Sind die Mindestregelsätze, die Microsoft empfiehlt, immer zu aktivieren, während Sie die Auswirkungen und Konfigurationsanforderungen der anderen ASR-Regeln auswerten. Diese Regeln haben in der Regel minimale bis gar keine spürbaren Auswirkungen auf den Endbenutzer.

  • Andere Regeln: Regeln, für die die Ausführung der dokumentierten Bereitstellungsschritte [Plan > test (audit) enable (block/warn modes)] > erforderlich ist, wie im Bereitstellungshandbuch zur Verringerung der Angriffsfläche dokumentiert

Die einfachste Methode zum Aktivieren der Standardschutzregeln finden Sie unter Vereinfachte Standardschutzoption.

ASR-Regelname: Standard Schutzregel? Andere Regel?
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern Ja
Adobe Reader am Erstellen von untergeordneten Prozessen hindern Ja
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern Ja
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren Ja
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren Ja
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium Ja
Ausführung potenziell verborgener Skripts blockieren Ja
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern Ja
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern Ja
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern Ja
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern Ja
Persistenz durch WMI-Ereignisabonnement blockieren Ja
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren Ja
Neustart des Computers im abgesicherten Modus blockieren (Vorschau) Ja
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren Ja
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau) Ja
Webshellerstellung für Server blockieren Ja
Win32-API-Aufrufe von Office-Makros blockieren Ja
Erweiterten Schutz vor Ransomware verwenden Ja

Microsoft Defender Antivirusausschlüsse und ASR-Regeln

Microsoft Defender Antivirusausschlüsse gelten für einige Microsoft Defender for Endpoint Funktionen, z. B. einige der Regeln zur Verringerung der Angriffsfläche.

Die folgenden ASR-Regeln berücksichtigen nicht Microsoft Defender Antivirus-Ausschlüsse:

Name der ASR-Regeln:
Adobe Reader am Erstellen von untergeordneten Prozessen hindern
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern

Hinweis

Informationen zum Konfigurieren von Ausschlüssen pro Regel finden Sie im Abschnitt Konfigurieren von ASR-Regeln pro Regelausschlüssen im Thema Testen von Regeln zur Verringerung der Angriffsfläche.

ASR-Regeln und Defender für Endpunktindikatoren für Gefährdung (IOC)

Die folgenden ASR-Regeln berücksichtigen nicht Microsoft Defender for Endpoint Indicators of Compromise (IOC):

ASR-Regelname Beschreibung
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren Berücksichtigt keine Gefährdungsindikatoren für Dateien oder Zertifikate.
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern Berücksichtigt keine Gefährdungsindikatoren für Dateien oder Zertifikate.
Win32-API-Aufrufe von Office-Makros blockieren Berücksichtigt keine Gefährdungsindikatoren für Zertifikate.

Unterstützte Betriebssysteme für ASR-Regeln

In der folgenden Tabelle sind die unterstützten Betriebssysteme für Regeln aufgeführt, die derzeit für die allgemeine Verfügbarkeit freigegeben sind. Die Regeln sind in dieser Tabelle in alphabetischer Reihenfolge aufgeführt.

Hinweis

Sofern nicht anders angegeben, ist der Windows10-Mindestbuild Version 1709 (RS3, Build 16299) oder höher; Die Mindestversion Windows Server Build ist Version 1809 oder höher. Regeln zur Verringerung der Angriffsfläche in Windows Server 2012 R2 und Windows Server 2016 sind für Geräte verfügbar, die mithilfe des modernen einheitlichen Lösungspakets integriert wurden. Weitere Informationen finden Sie unter Neue Windows Server 2012 R2- und 2016-Funktionalität in der modernen einheitlichen Lösung.

Regelname Windows 11
und
Windows 10
Windows Server 2022
und
Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern v v v
Version 1803 (Halbjährlicher Enterprise-Kanal) oder höher
v v
Adobe Reader am Erstellen von untergeordneten Prozessen hindern Y
Version 1809 oder höher [3]
v v v v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern v v v v v
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren Y
Version 1803 oder höher [3]
v v v v
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren v v v v v
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium Y
Version 1803 oder höher [3]
v v v v
Ausführung potenziell verborgener Skripts blockieren v v v v v
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern v v J N N
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern v v v v v
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern v v v v v
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern v v v v v
Blockieren der Persistenz über ein WMI-Ereignisabonnement (Windows Management Instrumentation) Y
Version 1903 (Build 18362) oder höher [3]
v v
Version 1903 (Build 18362) oder höher
N N
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren Y
Version 1803 oder höher [3]
v v v v
Neustart des Computers im abgesicherten Modus blockieren (Vorschau) v v v v v
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren v v v v v
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau) v v v v v
Webshellerstellung für Server blockieren N J
Nur Exchange-Rolle
Y
Nur Exchange-Rolle
Y
Nur Exchange-Rolle
Y
Nur Exchange-Rolle
Blockieren von Win32-API-Aufrufen von Office-Makros J N N N N
Verwenden des erweiterten Schutzes vor Ransomware Y
Version 1803 oder höher [3]
v v v v

(1) Bezieht sich auf die moderne einheitliche Lösung für Windows Server 2012 und 2016. Weitere Informationen finden Sie unter Onboarding von Windows-Servern in den Defender für Endpunkt-Dienst.

(2) Für Windows Server 2016 und Windows Server 2012 R2 ist die mindestens erforderliche Version von Microsoft Endpoint Configuration Manager Version 2111.

(3) Version und Buildnummer gelten nur für Windows10.

Von ASR-Regeln unterstützte Konfigurationsverwaltungssysteme

Links zu Informationen zu Versionen des Konfigurationsverwaltungssystems, auf die in dieser Tabelle verwiesen wird, sind unterhalb dieser Tabelle aufgeführt.

Regelname Microsoft Intune Microsoft Endpoint Configuration Manager Gruppenrichtlinie[1] PowerShell[1]
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern v v v
Adobe Reader am Erstellen von untergeordneten Prozessen hindern v v v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern v v

CB 1710
v v
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren v v

CB 1802
v v
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren v v

CB 1710
v v
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium v v

CB 1802
v v
Ausführung potenziell verborgener Skripts blockieren v v

CB 1710
v v
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern v v

CB 1710
v v
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern v v

CB 1710
v v
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern v v

CB 1710
v v
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern v v

CB 1710
v v
Persistenz durch WMI-Ereignisabonnement blockieren v v v
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren v v v
Neustart des Computers im abgesicherten Modus blockieren (Vorschau) v v v
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren v v

CB 1802
v v
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau) v v v
Webshellerstellung für Server blockieren v v v
Blockieren von Win32-API-Aufrufen von Office-Makros v v

CB 1710
v v
Verwenden des erweiterten Schutzes vor Ransomware v v

CB 1802
v v

(1) Sie können Regeln zur Verringerung der Angriffsfläche auf Regelbasis konfigurieren, indem Sie die GUID einer beliebigen Regel verwenden.

Warnungs- und Benachrichtigungsdetails pro ASR-Regel

Popupbenachrichtigungen werden für alle Regeln im Blockierungsmodus generiert. Regeln in einem anderen Modus generieren keine Popupbenachrichtigungen.

Für Regeln mit dem angegebenen "Regelzustand" gilt Folgendes:

  • ASR-Regeln mit \ASR Rule, Rule State\ Kombinationen werden verwendet, um Warnungen (Popupbenachrichtigungen) auf Microsoft Defender for Endpoint nur für Geräte auf Cloudblockebene "Hoch" anzuzeigen.
  • Geräte, die sich nicht auf der hohen Cloudblockebene befinden, generieren keine Warnungen für Kombinationen ASR Rule, Rule State .
  • EDR-Warnungen werden für ASR-Regeln in den angegebenen Zuständen generiert, für Geräte auf Cloudblockebene "High+".
  • Popupbenachrichtigungen werden nur im Blockmodus und für Geräte auf Cloudblockebene "Hoch" angezeigt.
Regelname Regelzustand EDR-Warnungen Popupbenachrichtigungen
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern N J
Adobe Reader am Erstellen von untergeordneten Prozessen hindern Blockieren v v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern N J
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren N N
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren v v
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium N J
Ausführung potenziell verborgener Skripts blockieren Überwachen oder Blockieren Y (im Blockmodus)
N (im Überwachungsmodus)
Y (im Blockmodus)
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern Blockieren v v
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern N J
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern N J
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern N J
Persistenz durch WMI-Ereignisabonnement blockieren Überwachen oder Blockieren Y (im Blockmodus)
N (im Überwachungsmodus)
Y (im Blockmodus)
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren N J
Neustart des Computers im abgesicherten Modus blockieren (Vorschau) N N
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren Überwachen oder Blockieren Y (im Blockmodus)
N (im Überwachungsmodus)
Y (im Blockmodus)
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau) N N
Webshellerstellung für Server blockieren N N
Blockieren von Win32-API-Aufrufen von Office-Makros N J
Verwenden des erweiterten Schutzes vor Ransomware Überwachen oder Blockieren Y (im Blockmodus)
N (im Überwachungsmodus)
Y (im Blockmodus)

ASR-Regel zu GUID-Matrix

Regelname Regel-GUID
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern 56a863a9-875e-4185-98a7-b882c64b5ce5
Adobe Reader am Erstellen von untergeordneten Prozessen hindern 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern d4f940ab-401b-4efc-aadc-ad5f3c50688a
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium 01443614-cd74-433a-b99e-2ecdc07bfc25
Ausführung potenziell verborgener Skripts blockieren 5beb7efe-fd9a-4556-801d-275e5ffc04cc
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern d3e037e1-3eb8-44c8-a917-57927947596d
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern 3b576869-a4ec-4529-8536-b80a7769e899
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern 26190899-1602-49e8-8b27-eb1d0a1ce869
Persistenz durch WMI-Ereignisabonnement blockieren
* Datei- und Ordnerausschlüsse werden nicht unterstützt.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren d1e49aac-8f56-4280-b9ba-993a6d77406c
Neustart des Computers im abgesicherten Modus blockieren (Vorschau) 33ddedf1-c6e0-47cb-833e-de6133960387
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Webshellerstellung für Server blockieren a8f5898e-1dc8-49a9-9878-85004b8a61e6
Win32-API-Aufrufe von Office-Makros blockieren 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Erweiterten Schutz vor Ransomware verwenden c1db55ab-c21a-4637-bb3f-a12568109d35

ASR-Regelmodi

  • Nicht konfiguriert oder Deaktiviert: Der Zustand, in dem die ASR-Regel nicht aktiviert oder deaktiviert ist. Der Code für diesen Zustand = 0.
  • Blockieren: Der Status, in dem die ASR-Regel aktiviert ist. Der Code für diesen Zustand ist 1.
  • Überwachung: Der Status, in dem die ASR-Regel auf die Auswirkung ausgewertet wird, die sie auf die organization oder Umgebung hätte, wenn sie aktiviert ist (auf Blockieren oder Warnen festgelegt). Der Code für diesen Zustand ist 2.
  • Warnen Der Zustand, in dem die ASR-Regel aktiviert ist und dem Endbenutzer eine Benachrichtigung anzeigt, der Endbenutzer jedoch die Umgehung des Blocks zulässt. Der Code für diesen Zustand ist 6.

Der Warnmodus ist ein Blockmodustyp, der Benutzer über potenziell riskante Aktionen warnt. Benutzer können die Blockwarnung umgehen und die zugrunde liegende Aktion zulassen. Benutzer können OK auswählen, um den Block zu erzwingen, oder die Umgehungsoption – Blockierung aufheben – über die Popupbenachrichtigung des Endbenutzers auswählen, die zum Zeitpunkt des Blocks generiert wird. Nachdem die Blockierung der Warnung aufgehoben wurde, ist der Vorgang bis zum nächsten Auftreten der Warnmeldung zulässig. Zu diesem Zeitpunkt muss der Endbenutzer die Aktion erneut senden.

Wenn auf die Schaltfläche Zulassen geklickt wird, wird der Block 24 Stunden lang unterdrückt. Nach 24 Stunden muss der Endbenutzer den Block erneut zulassen. Der Warnmodus für ASR-Regeln wird nur für RS5+-Geräte (1809+) unterstützt. Wenn umgehung ASR-Regeln auf Geräten mit älteren Versionen zugewiesen ist, befindet sich die Regel im blockierten Modus.

Sie können eine Regel auch im Warnmodus über PowerShell festlegen, indem Sie als AttackSurfaceReductionRules_Actions "Warn" angeben. Zum Beispiel:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Beschreibungen pro Regel

Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern

Diese Regel verhindert, dass eine Anwendung einen anfälligen signierten Treiber auf den Datenträger schreibt. Anfällige signierte Treiber können von lokalen Anwendungen ausgenutzt werden, die über ausreichende Berechtigungen verfügen, um Zugriff auf den Kernel zu erhalten. Anfällige signierte Treiber ermöglichen es Angreifern, Sicherheitslösungen zu deaktivieren oder zu umgehen, was schließlich zu einer Kompromittierung des Systems führt.

Die Regel Missbrauch von exploited vulnerablen signierten Treibern blockieren verhindert nicht, dass ein Treiber, der bereits auf dem System vorhanden ist, geladen wird.

Hinweis

Sie können diese Regel mit Intune OMA-URI konfigurieren. Informationen zum Konfigurieren benutzerdefinierter Regeln finden Sie unter Intune OMA-URI. Sie können diese Regel auch mithilfe von PowerShell konfigurieren. Um einen Treiber untersuchen zu lassen, verwenden Sie diese Website, um einen Treiber zur Analyse zu übermitteln.

Intune Name:Block abuse of exploited vulnerable signed drivers

Configuration Manager Name: Noch nicht verfügbar

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Aktionstyp "Erweiterte Suche":

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Adobe Reader am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert Angriffe, indem Adobe Reader daran gehindert wird, Prozesse zu erstellen.

Schadsoftware kann Nutzlasten herunterladen und starten und durch Social Engineering oder Exploits aus Adobe Reader ausbrechen. Indem die Generierung untergeordneter Prozesse durch Adobe Reader blockiert wird, wird die Verbreitung von Schadsoftware, die versucht, Adobe Reader als Angriffsvektor zu verwenden, verhindert.

Intune Name:Process creation from Adobe Reader (beta)

Configuration Manager Name: Noch nicht verfügbar

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Aktionstyp "Erweiterte Suche":

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert, dass Office-Apps untergeordnete Prozesse erstellen. Office-Apps umfassen Word, Excel, PowerPoint, OneNote und Access.

Das Erstellen bösartiger untergeordneter Prozesse ist eine gängige Schadsoftwarestrategie. Schadsoftware, die Office als Vektor missbraucht, führt häufig VBA-Makros aus und nutzt Code aus, um weitere Nutzlasten herunterzuladen und auszuführen. Einige legitime Branchenanwendungen können jedoch auch untergeordnete Prozesse für harmlose Zwecke generieren. z. B. das Erstellen einer Eingabeaufforderung oder die Verwendung von PowerShell zum Konfigurieren von Registrierungseinstellungen.

Intune Name:Office apps launching child processes

Configuration Manager Name:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Aktionstyp "Erweiterte Suche":

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität

Hinweis

Wenn Sie den LSA-Schutz aktiviert und Credential Guard aktiviert haben, ist diese Regel zur Verringerung der Angriffsfläche nicht erforderlich.

Diese Regel trägt dazu bei, den Diebstahl von Anmeldeinformationen zu verhindern, indem der Lokale Sicherheitsautoritätssubsystemdienst (LSASS) gesperrt wird.

LSASS authentifiziert Benutzer, die sich auf einem Windows-Computer anmelden. Microsoft Defender Credential Guard unter Windows verhindert normalerweise versuche, Anmeldeinformationen aus LSASS zu extrahieren. Einige Organisationen können Credential Guard aufgrund von Kompatibilitätsproblemen mit benutzerdefinierten Smartcardtreibern oder anderen Programmen, die in die lokale Sicherheitsautorität (LSA) geladen werden, nicht auf allen Computern aktivieren. In diesen Fällen können Angreifer Tools wie Mimikatz verwenden, um Klartextkennwörter und NTLM-Hashes aus LSASS abzulesen.

Standardmäßig ist der Status dieser Regel auf Blockieren festgelegt. In den meisten Fällen rufen viele Prozesse LSASS auf, um Zugriffsrechte zu erhalten, die nicht benötigt werden. Beispielsweise, wenn der anfängliche Block aus der ASR-Regel zu einem nachfolgenden Aufruf einer geringeren Berechtigung führt, der anschließend erfolgreich ist. Informationen zu den Arten von Rechten, die in der Regel bei Prozessaufrufen an LSASS angefordert werden, finden Sie unter Prozesssicherheit und Zugriffsrechte.

Das Aktivieren dieser Regel bietet keinen zusätzlichen Schutz, wenn Sie den LSA-Schutz aktiviert haben, da die ASR-Regel und der LSA-Schutz ähnlich funktionieren. Wenn der LSA-Schutz jedoch nicht aktiviert werden kann, kann diese Regel so konfiguriert werden, dass sie einen gleichwertigen Schutz vor Schadsoftware bietet, die auf ausgerichtet lsass.exeist.

Tipp

  1. ASR-Überwachungsereignisse generieren keine Popupbenachrichtigungen. Da die LSASS-ASR-Regel jedoch eine große Menge von Überwachungsereignissen erzeugt, von denen fast alle sicher ignoriert werden können, wenn die Regel im Blockmodus aktiviert ist, können Sie die Auswertung des Überwachungsmodus überspringen und mit der Bereitstellung im Blockmodus fortfahren, beginnend mit einer kleinen Gruppe von Geräten und der schrittweisen Erweiterung, um den Rest abzudecken.
  2. Die Regel ist so konzipiert, dass Blockberichte/Popups für benutzerfreundliche Prozesse unterdrückt werden. Es ist auch so konzipiert, dass Berichte für doppelte Blöcke gelöscht werden. Daher eignet sich die Regel gut für die Aktivierung im Blockmodus, unabhängig davon, ob Popupbenachrichtigungen aktiviert oder deaktiviert sind. 
  3. ASR im Warnmodus ist so konzipiert, dass Benutzern eine Block-Popupbenachrichtigung angezeigt wird, die eine Schaltfläche "Blockierung aufheben" enthält. Aufgrund des "sicher zu ignorierenden" Charakters von LSASS-ASR-Blöcken und deren großem Volumen ist der WARN-Modus für diese Regel nicht ratsam (unabhängig davon, ob Popupbenachrichtigungen aktiviert oder deaktiviert sind).

Hinweis

In diesem Szenario wird die ASR-Regel in den Defender für Endpunkt-Einstellungen im Microsoft Defender-Portal als "nicht zutreffend" klassifiziert. Die ASR-Regel Block credential stealing from the Windows local security authority subsystem (ASR) blockiert den WARN-Modus nicht. In einigen Apps listet der Code alle ausgeführten Prozesse auf und versucht, sie mit vollständigen Berechtigungen zu öffnen. Diese Regel verweigert die Aktion zum Öffnen des App-Prozesses und protokolliert die Details im Sicherheitsereignisprotokoll. Diese Regel kann viel Rauschen verursachen. Wenn Sie über eine App verfügen, die einfach LSASS aufzählt, aber keine wirklichen Auswirkungen auf die Funktionalität hat, ist es nicht erforderlich, sie der Ausschlussliste hinzuzufügen. Dieser Ereignisprotokolleintrag an sich weist nicht unbedingt auf eine böswillige Bedrohung hin.

Intune Name:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager Name:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Aktionstyp "Erweiterte Suche":

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Bekannte Probleme: Diese Anwendungen und die Regel "Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität blockieren" sind inkompatibel:

Name der Anwendung Weitere Informationen
Quest Dirsync Password Sync Die Dirsync-Kennwortsynchronisierung funktioniert nicht, wenn Windows Defender installiert ist. Fehler: "VirtualAllocEx failed: 5" (4253914)

Wenden Sie sich an den Softwarehersteller, um technischen Support zu erhalten.

Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren

Diese Regel verhindert, dass E-Mails, die in der Microsoft Outlook-Anwendung oder Outlook.com und anderen gängigen Webmailanbietern geöffnet wurden, die folgenden Dateitypen weitergeben:

  • Ausführbare Dateien (z. B. .exe, .dll oder SCR)
  • Skriptdateien (z. B. powerShell-.ps1, Visual Basic.vbs oder JavaScript-.js-Datei)

Intune Name:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager Name:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Aktionstyp "Erweiterte Suche":

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

Die Regel Ausführbare Inhalte von E-Mail-Client und Webmail blockieren enthält die folgenden alternativen Beschreibungen, je nachdem, welche Anwendung Sie verwenden:

  • Intune (Konfigurationsprofile): Ausführung ausführbarer Inhalte (exe, DLL, ps, js, vbs usw.), die aus E-Mail (Webmail/Mail-Client) gelöscht wurden (keine Ausnahmen).
  • Configuration Manager: Herunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren.
  • Gruppenrichtlinie: Ausführbare Inhalte aus E-Mail-Client und Webmail blockieren.

Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium

Diese Regel blockiert das Starten ausführbarer Dateien wie .exe, .dll oder .scr. Daher kann das Starten von nicht vertrauenswürdigen oder unbekannten ausführbaren Dateien riskant sein, da es möglicherweise zunächst nicht klar ist, ob die Dateien böswillig sind.

Wichtig

Sie müssen den in der Cloud bereitgestellten Schutz aktivieren , um diese Regel verwenden zu können. Die Regel Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium mit GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ist im Besitz von Microsoft und wird nicht von Administratoren angegeben. Diese Regel verwendet den von der Cloud bereitgestellten Schutz, um die vertrauenswürdige Liste regelmäßig zu aktualisieren. Sie können einzelne Dateien oder Ordner angeben (mithilfe von Ordnerpfaden oder vollqualifizierten Ressourcennamen), aber Sie können nicht angeben, für welche Regeln oder Ausschlüsse gelten.

Intune Name:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager Name:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Aktionstyp "Erweiterte Suche":

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz

Ausführung potenziell verborgener Skripts blockieren

Diese Regel erkennt verdächtige Eigenschaften in einem verschleierten Skript.

Hinweis

PowerShell-Skripts werden jetzt für die Regel "Ausführung potenziell verschleierter Skripts blockieren" unterstützt.

Wichtig

Sie müssen den in der Cloud bereitgestellten Schutz aktivieren, um diese Regel verwenden zu können.

Die Skriptverschleierung ist eine gängige Technik, die sowohl Schadsoftwareautoren als auch legitime Anwendungen verwenden, um geistiges Eigentum zu verbergen oder die Ladezeiten von Skripts zu verkürzen. Malware-Autoren verwenden auch Verschleierung, um schädlichen Code schwieriger zu lesen, was die genaue Kontrolle durch Menschen und Sicherheitssoftware erschwert.

Intune Name:Obfuscated js/vbs/ps/macro code

Configuration Manager Name:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Aktionstyp "Erweiterte Suche":

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Abhängigkeiten: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)

JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern

Diese Regel verhindert, dass Skripts potenziell schädliche heruntergeladene Inhalte starten. Schadsoftware, die in JavaScript oder VBScript geschrieben wurde, fungiert häufig als Downloader, um andere Schadsoftware aus dem Internet abzurufen und zu starten. Branchenanwendungen verwenden manchmal Skripts zum Herunterladen und Starten von Installationsprogrammen, obwohl sie nicht häufig verwendet werden.

Intune Name:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager Name:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Aktionstyp "Erweiterte Suche":

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Abhängigkeiten: Microsoft Defender Antivirus, AMSI

Office-Anwendungen am Erstellen ausführbarer Inhalte hindern

Diese Regel verhindert, dass Office-Apps, einschließlich Word, Excel und PowerPoint, potenziell schädliche ausführbare Inhalte erstellen, indem verhindert wird, dass bösartiger Code auf den Datenträger geschrieben wird. Schadsoftware, die Office als Vektor missbraucht, könnte versuchen, aus Office auszubrechen und schädliche Komponenten auf dem Datenträger zu speichern. Diese schädlichen Komponenten überstehen einen Computerneustart und bleiben auf dem System erhalten. Daher schützt diese Regel gegen eine gängige Persistenztechnik. Diese Regel blockiert auch die Ausführung von nicht vertrauenswürdigen Dateien, die möglicherweise von Office-Makros gespeichert wurden, die in Office-Dateien ausgeführt werden dürfen.

Intune Name:Office apps/macros creating executable content

Configuration Manager Name:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Aktionstyp "Erweiterte Suche":

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Abhängigkeiten: Microsoft Defender Antivirus, RPC

Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern

Diese Regel blockiert Codeeinschleusungsversuche von Office-Apps in andere Prozesse.

Hinweis

Die ASR-Regel Blockieren, dass Anwendungen Code in andere Prozesse einfügen, unterstützt den WARN-Modus nicht.

Wichtig

Für diese Regel muss Microsoft 365 Apps (Office-Anwendungen) neu gestartet werden, damit die Konfigurationsänderungen wirksam werden.

Angreifer versuchen möglicherweise, Mithilfe von Office-Apps schädlichen Code durch Codeinjektion in andere Prozesse zu migrieren, sodass sich der Code als sauber Prozess tarnen kann. Es gibt keine bekannten legitimen geschäftlichen Zwecke für die Verwendung von Code Injection.

Diese Regel gilt für Word, Excel, OneNote und PowerPoint.

Intune Name:Office apps injecting code into other processes (no exceptions)

Configuration Manager Name:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Aktionstyp "Erweiterte Suche":

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Bekannte Probleme: Diese Anwendungen und die Regel "Office-Anwendungen daran hindern, Code in andere Prozesse einzufügen", sind inkompatibel:

Name der Anwendung Weitere Informationen
Avecto (BeyondTrust) Privilege Guard September-2024 (Plattform: 4.18.24090.11 | Engine 1.1.24090.11).
Heimdal-Sicherheit n/v

Wenden Sie sich an den Softwarehersteller, um technischen Support zu erhalten.

Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert, dass Outlook untergeordnete Prozesse erstellt und gleichzeitig legitime Outlook-Funktionen zulässt. Diese Regel schützt vor Social Engineering-Angriffen und verhindert, dass Code ausgenutzt wird, um Sicherheitsrisiken in Outlook zu missbrauchen. Es schützt auch vor Outlook-Regeln und Formular-Exploits , die Angreifer verwenden können, wenn die Anmeldeinformationen eines Benutzers kompromittiert werden.

Hinweis

Diese Regel blockiert DLP-Richtlinientipps und QuickInfos in Outlook. Diese Regel gilt nur für Outlook und Outlook.com.

Intune Name:Process creation from Office communication products (beta)

Configuration Manager Name: Nicht verfügbar

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Aktionstyp "Erweiterte Suche":

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Persistenz durch WMI-Ereignisabonnement blockieren

Diese Regel verhindert, dass Schadsoftware WMI missbraucht, um Persistenz auf einem Gerät zu erhalten.

Dateilose Bedrohungen verwenden verschiedene Taktiken, um versteckt zu bleiben und somit zu vermeiden, im Dateisystem sichtbar zu sein, und um regelmäßige Ausführungskontrolle zu erhalten. Einige Bedrohungen können das WMI-Repository und das Ereignismodell missbrauchen, um versteckt zu bleiben.

Hinweis

Wenn CcmExec.exe (SCCM-Agent) auf dem Gerät erkannt wird, wird die ASR-Regel in den Defender für Endpunkt-Einstellungen im Microsoft Defender-Portal als "nicht zutreffend" klassifiziert.

Intune Name:Persistence through WMI event subscription

Configuration Manager Name: Nicht verfügbar

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Aktionstyp "Erweiterte Suche":

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Abhängigkeiten: Microsoft Defender Antivirus, RPC

Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren

Diese Regel blockiert die Ausführung von Prozessen, die über PsExec und WMI erstellt wurden. Sowohl PsExec als auch WMI können Code remote ausführen. Es besteht das Risiko, dass Schadsoftware die Funktionalität von PsExec und WMI zu Befehls- und Steuerungszwecken missbraucht oder eine Infektion im Netzwerk eines organization verbreitet.

Warnung

Verwenden Sie diese Regel nur, wenn Sie Ihre Geräte mit Intune oder einer anderen MDM-Lösung verwalten. Diese Regel ist mit der Verwaltung über Microsoft Endpoint Configuration Manager nicht kompatibel, da diese Regel WMI-Befehle blockiert, die Configuration Manager Client verwendet, um ordnungsgemäß zu funktionieren.

Intune Name:Process creation from PSExec and WMI commands

Configuration Manager Name: Nicht zutreffend

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Aktionstyp "Erweiterte Suche":

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Neustart des Computers im abgesicherten Modus blockieren (Vorschau)

Diese Regel verhindert die Ausführung von Befehlen zum Neustarten von Computern im abgesicherten Modus. Abgesicherter Modus ist ein Diagnosemodus, der nur die wesentlichen Dateien und Treiber lädt, die für die Ausführung von Windows erforderlich sind. Im abgesicherten Modus sind jedoch viele Sicherheitsprodukte entweder deaktiviert oder funktionieren in einer begrenzten Kapazität, sodass Angreifer weitere Manipulationsbefehle starten oder einfach alle Dateien auf dem Computer ausführen und verschlüsseln können. Diese Regel blockiert solche Angriffe, indem sie verhindert, dass Prozesse Computer im abgesicherten Modus neu starten.

Hinweis

Diese Funktion befindet sich derzeit in der Vorschauphase. Weitere Upgrades zur Verbesserung der Wirksamkeit befinden sich in der Entwicklung.

Intune Name:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager Name: Noch nicht verfügbar

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Aktionstyp "Erweiterte Suche":

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Abhängigkeiten: Microsoft Defender Antivirus

Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren

Mit dieser Regel können Administratoren verhindern, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien von USB-Wechseldatenträgern ausgeführt werden, einschließlich SD-Karten. Zu den blockierten Dateitypen gehören ausführbare Dateien (z. B. .exe, .dll oder .scr).

Wichtig

Dateien, die vom USB auf das Laufwerk kopiert werden, werden durch diese Regel blockiert, wenn sie auf dem Laufwerk ausgeführt werden sollen.

Intune Name:Untrusted and unsigned processes that run from USB

Configuration Manager Name:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Aktionstyp "Erweiterte Suche":

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Abhängigkeiten: Microsoft Defender Antivirus

Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau)

Diese Regel blockiert die Verwendung ausführbarer Dateien, die als Kopien von Windows-Systemtools identifiziert werden. Diese Dateien sind entweder Duplikate oder Betrüger der ursprünglichen Systemtools. Einige bösartige Programme versuchen möglicherweise, Windows-Systemtools zu kopieren oder die Identität anzugeben, um die Erkennung zu vermeiden oder Berechtigungen zu erhalten. Das Zulassen solcher ausführbaren Dateien kann zu potenziellen Angriffen führen. Diese Regel verhindert die Weitergabe und Ausführung solcher Duplikate und Betrüger der Systemtools auf Windows-Computern.

Hinweis

Diese Funktion befindet sich derzeit in der Vorschauphase. Weitere Upgrades zur Verbesserung der Wirksamkeit befinden sich in der Entwicklung.

Intune Name:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager Name: Noch nicht verfügbar

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Aktionstyp "Erweiterte Suche":

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Abhängigkeiten: Microsoft Defender Antivirus

Webshellerstellung für Server blockieren

Diese Regel blockiert die Erstellung von Webshellskripts auf Microsoft Server, Exchange-Rolle. Ein Webshellskript ist ein speziell gestaltetes Skript, mit dem ein Angreifer den kompromittierten Server steuern kann. Eine Webshell kann Funktionen wie das Empfangen und Ausführen bösartiger Befehle, das Herunterladen und Ausführen bösartiger Dateien, das Stehlen und Exfiltrieren von Anmeldeinformationen und vertraulichen Informationen, das Identifizieren potenzieller Ziele usw. umfassen.

Intune Name:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Abhängigkeiten: Microsoft Defender Antivirus

Win32-API-Aufrufe von Office-Makros blockieren

Diese Regel verhindert, dass VBA-Makros Win32-APIs aufrufen. Office VBA aktiviert Win32-API-Aufrufe. Schadsoftware kann diese Funktion missbrauchen, z. B. das Aufrufen von Win32-APIs, um schädlichen Shellcode zu starten , ohne etwas direkt auf den Datenträger zu schreiben. Die meisten Organisationen verlassen sich nicht auf die Möglichkeit, Win32-APIs in ihrem täglichen Betrieb aufzurufen, auch wenn sie Makros auf andere Weise verwenden.

Intune Name:Win32 imports from Office macro code

Configuration Manager Name:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Aktionstyp "Erweiterte Suche":

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Abhängigkeiten: Microsoft Defender Antivirus, AMSI

Erweiterten Schutz vor Ransomware verwenden

Diese Regel bietet eine zusätzliche Schutzebene vor Ransomware. Es verwendet sowohl Client- als auch Cloudhuristik, um zu bestimmen, ob eine Datei Ransomware ähnelt. Diese Regel blockiert keine Dateien, die mindestens eines der folgenden Merkmale aufweisen:

  • Es wurde bereits festgestellt, dass die Datei in der Microsoft-Cloud unharmlos ist.
  • Die Datei ist eine gültige signierte Datei.
  • Die Datei ist weit verbreitet genug, um nicht als Ransomware betrachtet zu werden.

Die Regel neigt dazu, auf der Seite der Vorsicht zu irren, um Ransomware zu verhindern.

Hinweis

Sie müssen den in der Cloud bereitgestellten Schutz aktivieren , um diese Regel verwenden zu können.

Intune Name:Advanced ransomware protection

Configuration Manager Name:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Aktionstyp "Erweiterte Suche":

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.