Referenz zu Regeln zur Verringerung der Angriffsfläche
Gilt für:
- Microsoft Microsoft Defender XDR für Endpunktplan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformen:
- Windows
Dieser Artikel enthält Informationen zu Microsoft Defender for Endpoint Regeln zur Verringerung der Angriffsfläche (ASR-Regeln):
- Unterstützte Betriebssystemversionen von ASR-Regeln
- Von ASR-Regeln unterstützte Konfigurationsverwaltungssysteme
- Warnungs- und Benachrichtigungsdetails pro ASR-Regel
- ASR-Regel zu GUID-Matrix
- ASR-Regelmodi
- Beschreibungen pro Regel
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Tipp
Als Ergänzung zu diesem Artikel lesen Sie unseren Microsoft Defender for Endpoint Einrichtungsleitfaden, um sich mit bewährten Methoden vertraut zu machen und wichtige Tools wie die Verringerung der Angriffsfläche und den Schutz der nächsten Generation zu erfahren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden für die automatisierte Einrichtung von Defender für Endpunkt zugreifen.
Regeln zur Verringerung der Angriffsfläche nach Typ
Regeln zur Verringerung der Angriffsfläche werden als einer von zwei Typen kategorisiert:
Standard Schutzregeln: Sind die Mindestregelsätze, die Microsoft empfiehlt, immer zu aktivieren, während Sie die Auswirkungen und Konfigurationsanforderungen der anderen ASR-Regeln auswerten. Diese Regeln haben in der Regel minimale bis gar keine spürbaren Auswirkungen auf den Endbenutzer.
Andere Regeln: Regeln, für die die Ausführung der dokumentierten Bereitstellungsschritte [Plan > test (audit) enable (block/warn modes)] > erforderlich ist, wie im Bereitstellungshandbuch zur Verringerung der Angriffsfläche dokumentiert
Die einfachste Methode zum Aktivieren der Standardschutzregeln finden Sie unter Vereinfachte Standardschutzoption.
ASR-Regelname: | Standard Schutzregel? | Andere Regel? |
---|---|---|
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern | Ja | |
Adobe Reader am Erstellen von untergeordneten Prozessen hindern | Ja | |
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern | Ja | |
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren | Ja | |
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | Ja | |
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium | Ja | |
Ausführung potenziell verborgener Skripts blockieren | Ja | |
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern | Ja | |
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern | Ja | |
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern | Ja | |
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern | Ja | |
Persistenz durch WMI-Ereignisabonnement blockieren | Ja | |
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren | Ja | |
Neustart des Computers im abgesicherten Modus blockieren (Vorschau) | Ja | |
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | Ja | |
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau) | Ja | |
Webshellerstellung für Server blockieren | Ja | |
Win32-API-Aufrufe von Office-Makros blockieren | Ja | |
Erweiterten Schutz vor Ransomware verwenden | Ja |
Microsoft Defender Antivirusausschlüsse und ASR-Regeln
Microsoft Defender Antivirusausschlüsse gelten für einige Microsoft Defender for Endpoint Funktionen, z. B. einige der Regeln zur Verringerung der Angriffsfläche.
Die folgenden ASR-Regeln berücksichtigen nicht Microsoft Defender Antivirus-Ausschlüsse:
Hinweis
Informationen zum Konfigurieren von Ausschlüssen pro Regel finden Sie im Abschnitt Konfigurieren von ASR-Regeln pro Regelausschlüssen im Thema Testen von Regeln zur Verringerung der Angriffsfläche.
ASR-Regeln und Defender für Endpunktindikatoren für Gefährdung (IOC)
Die folgenden ASR-Regeln berücksichtigen nicht Microsoft Defender for Endpoint Indicators of Compromise (IOC):
ASR-Regelname | Beschreibung |
---|---|
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren | Berücksichtigt keine Gefährdungsindikatoren für Dateien oder Zertifikate. |
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern | Berücksichtigt keine Gefährdungsindikatoren für Dateien oder Zertifikate. |
Win32-API-Aufrufe von Office-Makros blockieren | Berücksichtigt keine Gefährdungsindikatoren für Zertifikate. |
Unterstützte Betriebssysteme für ASR-Regeln
In der folgenden Tabelle sind die unterstützten Betriebssysteme für Regeln aufgeführt, die derzeit für die allgemeine Verfügbarkeit freigegeben sind. Die Regeln sind in dieser Tabelle in alphabetischer Reihenfolge aufgeführt.
Hinweis
Sofern nicht anders angegeben, ist der Windows10-Mindestbuild Version 1709 (RS3, Build 16299) oder höher; Der Windows Server-Mindestbuild ist Version 1809 oder höher. Regeln zur Verringerung der Angriffsfläche in Windows Server 2012 R2 und Windows Server 2016 sind für Geräte verfügbar, die mithilfe des modernen einheitlichen Lösungspakets integriert wurden. Weitere Informationen finden Sie unter Neue Windows Server 2012 R2- und 2016-Funktionalität in der modernen einheitlichen Lösung.
(1) Bezieht sich auf die moderne einheitliche Lösung für Windows Server 2012 und 2016. Weitere Informationen finden Sie unter Onboarding von Windows-Servern in den Defender für Endpunkt-Dienst.
(2) Für Windows Server 2016 und Windows Server 2012 R2 ist die mindestens erforderliche Version von Microsoft Endpoint Configuration Manager Version 2111.
(3) Version und Buildnummer gelten nur für Windows10.
Von ASR-Regeln unterstützte Konfigurationsverwaltungssysteme
Links zu Informationen zu Versionen des Konfigurationsverwaltungssystems, auf die in dieser Tabelle verwiesen wird, sind unterhalb dieser Tabelle aufgeführt.
(1) Sie können Regeln zur Verringerung der Angriffsfläche auf Regelbasis konfigurieren, indem Sie die GUID einer beliebigen Regel verwenden.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM ist jetzt Microsoft Configuration Manager.
Warnungs- und Benachrichtigungsdetails pro ASR-Regel
Popupbenachrichtigungen werden für alle Regeln im Blockierungsmodus generiert. Regeln in einem anderen Modus generieren keine Popupbenachrichtigungen.
Für Regeln mit dem angegebenen "Regelzustand" gilt Folgendes:
- ASR-Regeln mit
\ASR Rule, Rule State\
Kombinationen werden verwendet, um Warnungen (Popupbenachrichtigungen) auf Microsoft Defender for Endpoint nur für Geräte auf Cloudblockebene "Hoch" anzuzeigen. - Geräte, die sich nicht auf der hohen Cloudblockebene befinden, generieren keine Warnungen für Kombinationen
ASR Rule, Rule State
. - EDR-Warnungen werden für ASR-Regeln in den angegebenen Zuständen generiert, für Geräte auf Cloudblockebene "High+".
- Popupbenachrichtigungen werden nur im Blockmodus und für Geräte auf Cloudblockebene "Hoch" angezeigt.
ASR-Regel zu GUID-Matrix
Regelname | Regel-GUID |
---|---|
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Adobe Reader am Erstellen von untergeordneten Prozessen hindern | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Ausführung potenziell verborgener Skripts blockieren | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern | d3e037e1-3eb8-44c8-a917-57927947596d |
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern | 3b576869-a4ec-4529-8536-b80a7769e899 |
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Persistenz durch WMI-Ereignisabonnement blockieren * Datei- und Ordnerausschlüsse werden nicht unterstützt. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Neustart des Computers im abgesicherten Modus blockieren (Vorschau) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Webshellerstellung für Server blockieren | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Win32-API-Aufrufe von Office-Makros blockieren | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Erweiterten Schutz vor Ransomware verwenden | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-Regelmodi
- Nicht konfiguriert oder Deaktiviert: Der Zustand, in dem die ASR-Regel nicht aktiviert oder deaktiviert ist. Der Code für diesen Zustand = 0.
- Blockieren: Der Status, in dem die ASR-Regel aktiviert ist. Der Code für diesen Zustand ist 1.
- Überwachung: Der Status, in dem die ASR-Regel auf die Auswirkung ausgewertet wird, die sie auf die organization oder Umgebung hätte, wenn sie aktiviert ist (auf Blockieren oder Warnen festgelegt). Der Code für diesen Zustand ist 2.
- Warnen Der Zustand, in dem die ASR-Regel aktiviert ist und dem Endbenutzer eine Benachrichtigung anzeigt, der Endbenutzer jedoch die Umgehung des Blocks zulässt. Der Code für diesen Zustand ist 6.
Der Warnmodus ist ein Blockmodustyp, der Benutzer über potenziell riskante Aktionen warnt. Benutzer können die Blockwarnung umgehen und die zugrunde liegende Aktion zulassen. Benutzer können OK auswählen, um den Block zu erzwingen, oder die Umgehungsoption – Blockierung aufheben – über die Popupbenachrichtigung des Endbenutzers auswählen, die zum Zeitpunkt des Blocks generiert wird. Nachdem die Blockierung der Warnung aufgehoben wurde, ist der Vorgang bis zum nächsten Auftreten der Warnmeldung zulässig. Zu diesem Zeitpunkt muss der Endbenutzer die Aktion erneut senden.
Wenn auf die Schaltfläche Zulassen geklickt wird, wird der Block 24 Stunden lang unterdrückt. Nach 24 Stunden muss der Endbenutzer den Block erneut zulassen. Der Warnmodus für ASR-Regeln wird nur für RS5+-Geräte (1809+) unterstützt. Wenn umgehung ASR-Regeln auf Geräten mit älteren Versionen zugewiesen ist, befindet sich die Regel im blockierten Modus.
Sie können eine Regel auch im Warnmodus über PowerShell festlegen, indem Sie als AttackSurfaceReductionRules_Actions
"Warn" angeben. Zum Beispiel:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Beschreibungen pro Regel
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern
Diese Regel verhindert, dass eine Anwendung einen anfälligen signierten Treiber auf den Datenträger schreibt. Anfällige signierte Treiber können von lokalen Anwendungen ausgenutzt werden, die über ausreichende Berechtigungen verfügen, um Zugriff auf den Kernel zu erhalten. Anfällige signierte Treiber ermöglichen es Angreifern, Sicherheitslösungen zu deaktivieren oder zu umgehen, was schließlich zu einer Kompromittierung des Systems führt.
Die Regel Missbrauch von exploited vulnerablen signierten Treibern blockieren verhindert nicht, dass ein Treiber, der bereits auf dem System vorhanden ist, geladen wird.
Hinweis
Sie können diese Regel mit Intune OMA-URI konfigurieren. Informationen zum Konfigurieren benutzerdefinierter Regeln finden Sie unter Intune OMA-URI. Sie können diese Regel auch mithilfe von PowerShell konfigurieren. Um einen Treiber untersuchen zu lassen, verwenden Sie diese Website, um einen Treiber zur Analyse zu übermitteln.
Intune Name:Block abuse of exploited vulnerable signed drivers
Configuration Manager Name: Noch nicht verfügbar
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Aktionstyp "Erweiterte Suche":
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Adobe Reader am Erstellen von untergeordneten Prozessen hindern
Diese Regel verhindert Angriffe, indem Adobe Reader daran gehindert wird, Prozesse zu erstellen.
Schadsoftware kann Nutzlasten herunterladen und starten und durch Social Engineering oder Exploits aus Adobe Reader ausbrechen. Indem die Generierung untergeordneter Prozesse durch Adobe Reader blockiert wird, wird die Verbreitung von Schadsoftware, die versucht, Adobe Reader als Angriffsvektor zu verwenden, verhindert.
Intune Name:Process creation from Adobe Reader (beta)
Configuration Manager Name: Noch nicht verfügbar
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Aktionstyp "Erweiterte Suche":
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
Diese Regel verhindert, dass Office-Apps untergeordnete Prozesse erstellen. Office-Apps umfassen Word, Excel, PowerPoint, OneNote und Access.
Das Erstellen bösartiger untergeordneter Prozesse ist eine gängige Schadsoftwarestrategie. Schadsoftware, die Office als Vektor missbraucht, führt häufig VBA-Makros aus und nutzt Code aus, um weitere Nutzlasten herunterzuladen und auszuführen. Einige legitime Branchenanwendungen können jedoch auch untergeordnete Prozesse für harmlose Zwecke generieren. z. B. das Erstellen einer Eingabeaufforderung oder die Verwendung von PowerShell zum Konfigurieren von Registrierungseinstellungen.
Intune Name:Office apps launching child processes
Configuration Manager Name:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Aktionstyp "Erweiterte Suche":
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
Hinweis
Wenn Sie den LSA-Schutz aktiviert und Credential Guard aktiviert haben, ist diese Regel zur Verringerung der Angriffsfläche nicht erforderlich.
Diese Regel trägt dazu bei, den Diebstahl von Anmeldeinformationen zu verhindern, indem der Lokale Sicherheitsautoritätssubsystemdienst (LSASS) gesperrt wird.
LSASS authentifiziert Benutzer, die sich auf einem Windows-Computer anmelden. Microsoft Defender Credential Guard unter Windows verhindert normalerweise versuche, Anmeldeinformationen aus LSASS zu extrahieren. Einige Organisationen können Credential Guard aufgrund von Kompatibilitätsproblemen mit benutzerdefinierten Smartcardtreibern oder anderen Programmen, die in die lokale Sicherheitsautorität (LSA) geladen werden, nicht auf allen Computern aktivieren. In diesen Fällen können Angreifer Tools wie Mimikatz verwenden, um Klartextkennwörter und NTLM-Hashes aus LSASS abzulesen.
Standardmäßig ist der Status dieser Regel auf Blockieren festgelegt. In den meisten Fällen rufen viele Prozesse LSASS auf, um Zugriffsrechte zu erhalten, die nicht benötigt werden. Beispielsweise, wenn der anfängliche Block aus der ASR-Regel zu einem nachfolgenden Aufruf einer geringeren Berechtigung führt, der anschließend erfolgreich ist. Informationen zu den Arten von Rechten, die in der Regel bei Prozessaufrufen an LSASS angefordert werden, finden Sie unter Prozesssicherheit und Zugriffsrechte.
Das Aktivieren dieser Regel bietet keinen zusätzlichen Schutz, wenn Sie den LSA-Schutz aktiviert haben, da die ASR-Regel und der LSA-Schutz ähnlich funktionieren. Wenn der LSA-Schutz jedoch nicht aktiviert werden kann, kann diese Regel so konfiguriert werden, dass sie einen gleichwertigen Schutz vor Schadsoftware bietet, die auf ausgerichtet lsass.exe
ist.
Tipp
- ASR-Überwachungsereignisse generieren keine Popupbenachrichtigungen. Da die LSASS-ASR-Regel jedoch eine große Menge von Überwachungsereignissen erzeugt, von denen fast alle sicher ignoriert werden können, wenn die Regel im Blockmodus aktiviert ist, können Sie die Auswertung des Überwachungsmodus überspringen und mit der Bereitstellung im Blockmodus fortfahren, beginnend mit einer kleinen Gruppe von Geräten und der schrittweisen Erweiterung, um den Rest abzudecken.
- Die Regel ist so konzipiert, dass Blockberichte/Popups für benutzerfreundliche Prozesse unterdrückt werden. Es ist auch so konzipiert, dass Berichte für doppelte Blöcke gelöscht werden. Daher eignet sich die Regel gut für die Aktivierung im Blockmodus, unabhängig davon, ob Popupbenachrichtigungen aktiviert oder deaktiviert sind.
- ASR im Warnmodus ist so konzipiert, dass Benutzern eine Block-Popupbenachrichtigung angezeigt wird, die eine Schaltfläche "Blockierung aufheben" enthält. Aufgrund des "sicher zu ignorierenden" Charakters von LSASS-ASR-Blöcken und deren großem Volumen ist der WARN-Modus für diese Regel nicht ratsam (unabhängig davon, ob Popupbenachrichtigungen aktiviert oder deaktiviert sind).
Hinweis
In diesem Szenario wird die ASR-Regel in den Defender für Endpunkt-Einstellungen im Microsoft Defender-Portal als "nicht zutreffend" klassifiziert. Die ASR-Regel Block credential stealing from the Windows local security authority subsystem (ASR) blockiert den WARN-Modus nicht. In einigen Apps listet der Code alle ausgeführten Prozesse auf und versucht, sie mit vollständigen Berechtigungen zu öffnen. Diese Regel verweigert die Aktion zum Öffnen des App-Prozesses und protokolliert die Details im Sicherheitsereignisprotokoll. Diese Regel kann viel Rauschen verursachen. Wenn Sie über eine App verfügen, die einfach LSASS aufzählt, aber keine wirklichen Auswirkungen auf die Funktionalität hat, ist es nicht erforderlich, sie der Ausschlussliste hinzuzufügen. Dieser Ereignisprotokolleintrag an sich weist nicht unbedingt auf eine böswillige Bedrohung hin.
Intune Name:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager Name:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Aktionstyp "Erweiterte Suche":
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Bekannte Probleme: Diese Anwendungen und die Regel "Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität blockieren" sind inkompatibel:
Name der Anwendung | Weitere Informationen |
---|---|
Quest Dirsync Password Sync | Die Dirsync-Kennwortsynchronisierung funktioniert nicht, wenn Windows Defender installiert ist. Fehler: "VirtualAllocEx failed: 5" (4253914) |
Wenden Sie sich an den Softwarehersteller, um technischen Support zu erhalten.
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren
Diese Regel verhindert, dass E-Mails, die in der Microsoft Outlook-Anwendung oder Outlook.com und anderen gängigen Webmailanbietern geöffnet wurden, die folgenden Dateitypen weitergeben:
- Ausführbare Dateien (z. B. .exe, .dll oder SCR)
- Skriptdateien (z. B. powerShell-.ps1, Visual Basic.vbs oder JavaScript-.js-Datei)
Intune Name:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager Name:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Aktionstyp "Erweiterte Suche":
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Hinweis
Die Regel Ausführbare Inhalte von E-Mail-Client und Webmail blockieren enthält die folgenden alternativen Beschreibungen, je nachdem, welche Anwendung Sie verwenden:
- Intune (Konfigurationsprofile): Ausführung ausführbarer Inhalte (exe, DLL, ps, js, vbs usw.), die aus E-Mail (Webmail/Mail-Client) gelöscht wurden (keine Ausnahmen).
- Configuration Manager: Herunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren.
- Gruppenrichtlinie: Ausführbare Inhalte aus E-Mail-Client und Webmail blockieren.
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium
Diese Regel blockiert das Starten ausführbarer Dateien wie .exe, .dll oder .scr. Daher kann das Starten von nicht vertrauenswürdigen oder unbekannten ausführbaren Dateien riskant sein, da es möglicherweise zunächst nicht klar ist, ob die Dateien böswillig sind.
Wichtig
Sie müssen den in der Cloud bereitgestellten Schutz aktivieren , um diese Regel verwenden zu können.
Die Regel Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium mit GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
ist im Besitz von Microsoft und wird nicht von Administratoren angegeben. Diese Regel verwendet den von der Cloud bereitgestellten Schutz, um die vertrauenswürdige Liste regelmäßig zu aktualisieren.
Sie können einzelne Dateien oder Ordner angeben (mithilfe von Ordnerpfaden oder vollqualifizierten Ressourcennamen), aber Sie können nicht angeben, für welche Regeln oder Ausschlüsse gelten.
Intune Name:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager Name:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Aktionstyp "Erweiterte Suche":
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz
Ausführung potenziell verborgener Skripts blockieren
Diese Regel erkennt verdächtige Eigenschaften in einem verschleierten Skript.
Hinweis
PowerShell-Skripts werden jetzt für die Regel "Ausführung potenziell verschleierter Skripts blockieren" unterstützt.
Wichtig
Sie müssen den in der Cloud bereitgestellten Schutz aktivieren, um diese Regel verwenden zu können.
Die Skriptverschleierung ist eine gängige Technik, die sowohl Schadsoftwareautoren als auch legitime Anwendungen verwenden, um geistiges Eigentum zu verbergen oder die Ladezeiten von Skripts zu verkürzen. Malware-Autoren verwenden auch Verschleierung, um schädlichen Code schwieriger zu lesen, was die genaue Kontrolle durch Menschen und Sicherheitssoftware erschwert.
Intune Name:Obfuscated js/vbs/ps/macro code
Configuration Manager Name:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Aktionstyp "Erweiterte Suche":
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Abhängigkeiten: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
Diese Regel verhindert, dass Skripts potenziell schädliche heruntergeladene Inhalte starten. Schadsoftware, die in JavaScript oder VBScript geschrieben wurde, fungiert häufig als Downloader, um andere Schadsoftware aus dem Internet abzurufen und zu starten. Branchenanwendungen verwenden manchmal Skripts zum Herunterladen und Starten von Installationsprogrammen, obwohl sie nicht häufig verwendet werden.
Intune Name:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager Name:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Aktionstyp "Erweiterte Suche":
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Abhängigkeiten: Microsoft Defender Antivirus, AMSI
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
Diese Regel verhindert, dass Office-Apps, einschließlich Word, Excel und PowerPoint, potenziell schädliche ausführbare Inhalte erstellen, indem verhindert wird, dass bösartiger Code auf den Datenträger geschrieben wird. Schadsoftware, die Office als Vektor missbraucht, könnte versuchen, aus Office auszubrechen und schädliche Komponenten auf dem Datenträger zu speichern. Diese schädlichen Komponenten überstehen einen Computerneustart und bleiben auf dem System erhalten. Daher schützt diese Regel gegen eine gängige Persistenztechnik. Diese Regel blockiert auch die Ausführung von nicht vertrauenswürdigen Dateien, die möglicherweise von Office-Makros gespeichert wurden, die in Office-Dateien ausgeführt werden dürfen.
Intune Name:Office apps/macros creating executable content
Configuration Manager Name:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Aktionstyp "Erweiterte Suche":
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Abhängigkeiten: Microsoft Defender Antivirus, RPC
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
Diese Regel blockiert Codeeinschleusungsversuche von Office-Apps in andere Prozesse.
Hinweis
Die ASR-Regel Blockieren, dass Anwendungen Code in andere Prozesse einfügen, unterstützt den WARN-Modus nicht.
Wichtig
Für diese Regel muss Microsoft 365 Apps (Office-Anwendungen) neu gestartet werden, damit die Konfigurationsänderungen wirksam werden.
Angreifer versuchen möglicherweise, Mithilfe von Office-Apps schädlichen Code durch Codeinjektion in andere Prozesse zu migrieren, sodass sich der Code als sauber Prozess tarnen kann. Es gibt keine bekannten legitimen geschäftlichen Zwecke für die Verwendung von Code Injection.
Diese Regel gilt für Word, Excel, OneNote und PowerPoint.
Intune Name:Office apps injecting code into other processes (no exceptions)
Configuration Manager Name:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Aktionstyp "Erweiterte Suche":
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Bekannte Probleme: Diese Anwendungen und die Regel "Office-Anwendungen daran hindern, Code in andere Prozesse einzufügen", sind inkompatibel:
Name der Anwendung | Weitere Informationen |
---|---|
Avecto (BeyondTrust) Privilege Guard | September-2024 (Plattform: 4.18.24090.11 | Engine 1.1.24090.11). |
Heimdal-Sicherheit | n/v |
Wenden Sie sich an den Softwarehersteller, um technischen Support zu erhalten.
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern
Diese Regel verhindert, dass Outlook untergeordnete Prozesse erstellt und gleichzeitig legitime Outlook-Funktionen zulässt. Diese Regel schützt vor Social Engineering-Angriffen und verhindert, dass Code ausgenutzt wird, um Sicherheitsrisiken in Outlook zu missbrauchen. Es schützt auch vor Outlook-Regeln und Formular-Exploits , die Angreifer verwenden können, wenn die Anmeldeinformationen eines Benutzers kompromittiert werden.
Hinweis
Diese Regel blockiert DLP-Richtlinientipps und QuickInfos in Outlook. Diese Regel gilt nur für Outlook und Outlook.com.
Intune Name:Process creation from Office communication products (beta)
Configuration Manager Name: Nicht verfügbar
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Aktionstyp "Erweiterte Suche":
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Persistenz durch WMI-Ereignisabonnement blockieren
Diese Regel verhindert, dass Schadsoftware WMI missbraucht, um Persistenz auf einem Gerät zu erhalten.
Wichtig
Datei- und Ordnerausschlüsse gelten nicht für diese Regel zur Verringerung der Angriffsfläche.
Dateilose Bedrohungen verwenden verschiedene Taktiken, um versteckt zu bleiben und somit zu vermeiden, im Dateisystem sichtbar zu sein, und um regelmäßige Ausführungskontrolle zu erhalten. Einige Bedrohungen können das WMI-Repository und das Ereignismodell missbrauchen, um versteckt zu bleiben.
Hinweis
Wenn CcmExec.exe
(SCCM-Agent) auf dem Gerät erkannt wird, wird die ASR-Regel in den Defender für Endpunkt-Einstellungen im Microsoft Defender-Portal als "nicht zutreffend" klassifiziert.
Intune Name:Persistence through WMI event subscription
Configuration Manager Name: Nicht verfügbar
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Aktionstyp "Erweiterte Suche":
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Abhängigkeiten: Microsoft Defender Antivirus, RPC
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren
Diese Regel blockiert die Ausführung von Prozessen, die über PsExec und WMI erstellt wurden. Sowohl PsExec als auch WMI können Code remote ausführen. Es besteht das Risiko, dass Schadsoftware die Funktionalität von PsExec und WMI zu Befehls- und Steuerungszwecken missbraucht oder eine Infektion im Netzwerk eines organization verbreitet.
Warnung
Verwenden Sie diese Regel nur, wenn Sie Ihre Geräte mit Intune oder einer anderen MDM-Lösung verwalten. Diese Regel ist mit der Verwaltung über Microsoft Endpoint Configuration Manager nicht kompatibel, da diese Regel WMI-Befehle blockiert, die Configuration Manager Client verwendet, um ordnungsgemäß zu funktionieren.
Intune Name:Process creation from PSExec and WMI commands
Configuration Manager Name: Nicht zutreffend
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Aktionstyp "Erweiterte Suche":
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Neustart des Computers im abgesicherten Modus blockieren (Vorschau)
Diese Regel verhindert die Ausführung von Befehlen zum Neustarten von Computern im abgesicherten Modus. Abgesicherter Modus ist ein Diagnosemodus, der nur die wesentlichen Dateien und Treiber lädt, die für die Ausführung von Windows erforderlich sind. Im abgesicherten Modus sind jedoch viele Sicherheitsprodukte entweder deaktiviert oder funktionieren in einer begrenzten Kapazität, sodass Angreifer weitere Manipulationsbefehle starten oder einfach alle Dateien auf dem Computer ausführen und verschlüsseln können. Diese Regel blockiert solche Angriffe, indem sie verhindert, dass Prozesse Computer im abgesicherten Modus neu starten.
Hinweis
Diese Funktion befindet sich derzeit in der Vorschauphase. Weitere Upgrades zur Verbesserung der Wirksamkeit befinden sich in der Entwicklung.
Intune Name:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager Name: Noch nicht verfügbar
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Aktionstyp "Erweiterte Suche":
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Abhängigkeiten: Microsoft Defender Antivirus
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
Mit dieser Regel können Administratoren verhindern, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien von USB-Wechseldatenträgern ausgeführt werden, einschließlich SD-Karten. Zu den blockierten Dateitypen gehören ausführbare Dateien (z. B. .exe, .dll oder .scr).
Wichtig
Dateien, die vom USB auf das Laufwerk kopiert werden, werden durch diese Regel blockiert, wenn sie auf dem Laufwerk ausgeführt werden sollen.
Intune Name:Untrusted and unsigned processes that run from USB
Configuration Manager Name:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Aktionstyp "Erweiterte Suche":
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Blockieren der Verwendung kopierter oder imitierter Systemtools (Vorschau)
Diese Regel blockiert die Verwendung ausführbarer Dateien, die als Kopien von Windows-Systemtools identifiziert werden. Diese Dateien sind entweder Duplikate oder Betrüger der ursprünglichen Systemtools. Einige bösartige Programme versuchen möglicherweise, Windows-Systemtools zu kopieren oder die Identität anzugeben, um die Erkennung zu vermeiden oder Berechtigungen zu erhalten. Das Zulassen solcher ausführbaren Dateien kann zu potenziellen Angriffen führen. Diese Regel verhindert die Weitergabe und Ausführung solcher Duplikate und Betrüger der Systemtools auf Windows-Computern.
Hinweis
Diese Funktion befindet sich derzeit in der Vorschauphase. Weitere Upgrades zur Verbesserung der Wirksamkeit befinden sich in der Entwicklung.
Intune Name:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager Name: Noch nicht verfügbar
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Aktionstyp "Erweiterte Suche":
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Abhängigkeiten: Microsoft Defender Antivirus
Webshellerstellung für Server blockieren
Diese Regel blockiert die Erstellung von Webshellskripts auf Microsoft Server, Exchange-Rolle. Ein Webshellskript ist ein speziell gestaltetes Skript, mit dem ein Angreifer den kompromittierten Server steuern kann. Eine Webshell kann Funktionen wie das Empfangen und Ausführen bösartiger Befehle, das Herunterladen und Ausführen bösartiger Dateien, das Stehlen und Exfiltrieren von Anmeldeinformationen und vertraulichen Informationen, das Identifizieren potenzieller Ziele usw. umfassen.
Intune Name:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Abhängigkeiten: Microsoft Defender Antivirus
Win32-API-Aufrufe von Office-Makros blockieren
Diese Regel verhindert, dass VBA-Makros Win32-APIs aufrufen. Office VBA aktiviert Win32-API-Aufrufe. Schadsoftware kann diese Funktion missbrauchen, z. B. das Aufrufen von Win32-APIs, um schädlichen Shellcode zu starten , ohne etwas direkt auf den Datenträger zu schreiben. Die meisten Organisationen verlassen sich nicht auf die Möglichkeit, Win32-APIs in ihrem täglichen Betrieb aufzurufen, auch wenn sie Makros auf andere Weise verwenden.
Intune Name:Win32 imports from Office macro code
Configuration Manager Name:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Aktionstyp "Erweiterte Suche":
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Abhängigkeiten: Microsoft Defender Antivirus, AMSI
Erweiterten Schutz vor Ransomware verwenden
Diese Regel bietet eine zusätzliche Schutzebene vor Ransomware. Es verwendet sowohl Client- als auch Cloudhuristik, um zu bestimmen, ob eine Datei Ransomware ähnelt. Diese Regel blockiert keine Dateien, die mindestens eines der folgenden Merkmale aufweisen:
- Es wurde bereits festgestellt, dass die Datei in der Microsoft-Cloud unharmlos ist.
- Die Datei ist eine gültige signierte Datei.
- Die Datei ist weit verbreitet genug, um nicht als Ransomware betrachtet zu werden.
Die Regel neigt dazu, auf der Seite der Vorsicht zu irren, um Ransomware zu verhindern.
Hinweis
Sie müssen den in der Cloud bereitgestellten Schutz aktivieren , um diese Regel verwenden zu können.
Intune Name:Advanced ransomware protection
Configuration Manager Name:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Aktionstyp "Erweiterte Suche":
AsrRansomwareAudited
AsrRansomwareBlocked
Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz
Siehe auch
- Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche
- Planen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche
- Testen von Regeln zur Verringerung der Angriffsfläche
- Aktivieren der Regeln zur Verringerung der Angriffsfläche
- Operationalisieren von Regeln zur Verringerung der Angriffsfläche
- Bericht zu Regeln zur Verringerung der Angriffsfläche
- Referenz zu Regeln zur Verringerung der Angriffsfläche
- Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.