Jaa


Hyökkäyksen pinnan pienentämissääntöjen viittaus

Koskee seuraavia:

Alustoilla:

  • Windows

Tässä artikkelissa on tietoja Microsoft Defender for Endpoint hyökkäysalueen vähentämissäännöistä (ASR-säännöt):

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Vihje

Tämän artikkelin kumppanina tutustu Microsoft Defender for Endpoint määritysoppaaseen, jossa tarkastellaan parhaita käytäntöjä ja tutustutaan keskeisiin työkaluihin, kuten hyökkäyspinnan vähentämiseen ja seuraavan sukupolven suojaukseen. Ympäristöösi perustuvan mukautetun käyttökokemuksen saat käyttämällä Defender for Endpointin automaattista määritysopasta Microsoft 365 -hallintakeskus.

Hyökkäyksen pinnan pienentämissäännöt tyypin mukaan

Hyökkäyspinnan pienentämissäännöt luokitellaan toiseksi kahdesta tyypistä:

  • Standard suojaussäännöt: Ovatko microsoftin suosittelemien sääntöjen vähimmäisjoukko aina käytössä, kun arvioit muiden ASR-sääntöjen vaikutusta ja määritystarpeita. Näillä säännöillä on yleensä pienistä ei-lainkaan huomattava vaikutus loppukäyttäjään.

  • Muut säännöt: Säännöt, jotka vaativat jonkin verran toimenpiteitä dokumentoitujen käyttöönottovaiheiden noudattamiseksi [Suunnitelmatesti > (valvonta) > Ota käyttöön (esto- ja varoitustilat)], kuten hyökkäyspinnan vähentämissääntöjen käyttöönotto-oppaassa on dokumentoitu

Helpoin tapa ottaa käyttöön vakiosuojaussäännöt on kohdassa : Yksinkertaistettu vakiosuojausasetus.

ASR-säännön nimi: Standard suojaussääntöä? Toinen sääntö?
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen Kyllä
Estä Adobe Readeria luomasta aliprosesseja Kyllä
Estä aliprosessien luominen kaikilta Office-sovelluksilta Kyllä
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) Kyllä
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista Kyllä
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa Kyllä
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Kyllä
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä Kyllä
Estä Office-sovelluksia luomasta suoritettavaa sisältöä Kyllä
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin Kyllä
Estä Office-tietoliikennesovellusta luomasta aliprosesseja Kyllä
Estä pysyvyys WMI-tapahtumatilauksen kautta Kyllä
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista Kyllä
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu) Kyllä
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Kyllä
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu) Kyllä
Estä verkkosellien luominen palvelimia varten Kyllä
Estä Win32-ohjelmointirajapintakutsut Office-makroista Kyllä
Lisäsuojauksen käyttö kiristysohjelmia vastaan Kyllä

Microsoft Defender virustentorjuntaohjelman poikkeukset ja ASR-säännöt

Microsoft Defender virustentorjuntaohjelman poikkeukset koskevat joitakin Microsoft Defender for Endpoint ominaisuuksia, kuten joitakin hyökkäysalueen vähentämissääntöjä.

Seuraavat ASR-säännöt EIVÄT kunnioita Microsoft Defender virustentorjuntaa koskevia poissulkemisia:

ASR-sääntöjen nimi:
Estä Adobe Readeria luomasta aliprosesseja
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe)
Estä Office-sovelluksia luomasta suoritettavaa sisältöä
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin
Estä Office-tietoliikennesovellusta luomasta aliprosesseja

Huomautus

Lisätietoja sääntökohtaisten poissulkemisten määrittämisestä on kohdassa ASR-sääntöjen määrittäminen sääntökohtaisia poissulkemisia käsittelevässä aiheessa Testaa hyökkäyksen pinnan pienentämissääntöjä.

ASR:n säännöt ja Defender for Endpoint Indicators of Compromise (IOC)

Seuraavissa ASR:n säännöissä ei nojaudu Microsoft Defender for Endpoint kompromissiindikaattoreita (IOC):

ASR-säännön nimi Kuvaus
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) Ei kunnioita tiedostojen tai varmenteiden vaarantumisen indikaattoreita.
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin Ei kunnioita tiedostojen tai varmenteiden vaarantumisen indikaattoreita.
Estä Win32-ohjelmointirajapintakutsut Office-makroista Ei kunnioita sertifikaattien kompromissiindikaattoreita.

ASR-säännöt tukevat käyttöjärjestelmiä

Seuraavassa taulukossa on lueteltu tuetut käyttöjärjestelmät säännöille, jotka ovat tällä hetkellä yleisesti saatavilla. Säännöt on lueteltu aakkosjärjestyksessä tässä taulukossa.

Huomautus

Ellei toisin mainita, Windows10:n vähimmäisversio on 1709 (RS3, koontiversio 16299) tai uudempi versio. koontiversion vähimmäisversio Windows Server on versio 1809 tai uudempi versio. Hyökkäyspinnan vähentämissäännöt Windows Server 2012 R2 ja Windows Server 2016 ovat käytettävissä laitteille, jotka on otettu käyttöön käyttämällä modernia yhdistettyä ratkaisupakettia. Lisätietoja on artikkelissa Uuden Windows Server 2012 R2 ja 2016 toiminnot modernissa yhdistetyssä ratkaisussa.

Säännön nimi Windows 11
ja
Windows 10
Windows Server 2022
ja
Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen Y Y Y
versio 1803 (puolivuosittainen yrityskanava) tai uudempi versio
Y Y
Estä Adobe Readeria luomasta aliprosesseja Y
versio 1809 tai uudempi [3]
Y Y Y Y
Estä aliprosessien luominen kaikilta Office-sovelluksilta Y Y Y Y Y
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) Y
versio 1803 tai uudempi [3]
Y Y Y Y
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista Y Y Y Y Y
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa Y
versio 1803 tai uudempi [3]
Y Y Y Y
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Y Y Y Y Y
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä Y Y Y N N
Estä Office-sovelluksia luomasta suoritettavaa sisältöä Y Y Y Y Y
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin Y Y Y Y Y
Estä Office-tietoliikennesovellusta luomasta aliprosesseja Y Y Y Y Y
Estä pysyvyys Windows Management Instrumentation (WMI) -tapahtumatilauksen kautta Y
versio 1903 (koontiversio 18362) tai uudempi [3]
Y Y
versio 1903 (koontiversio 18362) tai uudempi versio
N N
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista Y
versio 1803 tai uudempi [3]
Y Y Y Y
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu) Y Y Y Y Y
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Y Y Y Y Y
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu) Y Y Y Y Y
Estä verkkosellien luominen palvelimia varten N Y
Vain Exchange-rooli
Y
Vain Exchange-rooli
Y
Vain Exchange-rooli
Y
Vain Exchange-rooli
Estä Win32-ohjelmointirajapintakutsut Office-makroista Y N N N N
Lisäsuojauksen käyttö kiristysohjelmia vastaan Y
versio 1803 tai uudempi [3]
Y Y Y Y

(1) Viittaa nykyaikaiseen yhtenäiseen ratkaisuun Windows Server 2012 ja 2016. Lisätietoja on kohdassa Windows-palvelimien käyttöönotto Defender for Endpoint -palvelussa.

(2) Windows Server 2016 ja Windows Server 2012 R2:ssa Microsoft Endpoint Configuration Manager vähimmäisversio on versio 2111.

(3) Versio ja koontiversion numero koskevat vain Windows 10:aa.

ASR-säännöt tukivat määritysten hallintajärjestelmiä

Linkit tässä taulukossa viitattuihin kokoonpanon hallintajärjestelmäversioihin on lueteltu tämän taulukon alla.

Säännön nimi Microsoft Intune Microsoft Endpoint Configuration Manager ryhmäkäytäntö[1] PowerShell[1]
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen Y Y Y
Estä Adobe Readeria luomasta aliprosesseja Y Y Y
Estä aliprosessien luominen kaikilta Office-sovelluksilta Y Y

CB 1710
Y Y
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) Y Y

CB 1802
Y Y
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista Y Y

CB 1710
Y Y
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa Y Y

CB 1802
Y Y
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Y Y

CB 1710
Y Y
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä Y Y

CB 1710
Y Y
Estä Office-sovelluksia luomasta suoritettavaa sisältöä Y Y

CB 1710
Y Y
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin Y Y

CB 1710
Y Y
Estä Office-tietoliikennesovellusta luomasta aliprosesseja Y Y

CB 1710
Y Y
Estä pysyvyys WMI-tapahtumatilauksen kautta Y Y Y
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista Y Y Y
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu) Y Y Y
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Y Y

CB 1802
Y Y
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu) Y Y Y
Estä verkkosellien luominen palvelimia varten Y Y Y
Estä Win32-ohjelmointirajapintakutsut Office-makroista Y Y

CB 1710
Y Y
Lisäsuojauksen käyttö kiristysohjelmia vastaan Y Y

CB 1802
Y Y

(1) Voit määrittää hyökkäyspinnan pienentämissääntöjä sääntökohtaisesti käyttämällä minkä tahansa säännön GUID-tunnusta.

ASR-sääntöhälytyksen ja -ilmoituksen tiedot

Ilmoitusruutuja luodaan kaikille säännöille Lohko-tilassa. Missä tahansa muussa tilassa olevat säännöt eivät luo ilmoitusruutuja.

Säännöille, joiden "Säännön tila" on määritetty:

  • ASR-sääntöjä \ASR Rule, Rule State\ ja yhdistelmiä käytetään ilmoitusten (ilmoitusruutujen) esille tuomiseen Microsoft Defender for Endpoint vain laitteissa, joiden pilvilohkotaso on Suuri.
  • Laitteet, jotka eivät ole korkealla pilvipalvelulohkotasolla, eivät luo ilmoituksia mistään ASR Rule, Rule State yhdistellyistä
  • EDR-hälytyksiä luodaan ASR-säännöille määritetyissä tiloissa pilvilohkotason laitteille "High+"
  • Ilmoitusruutuilmoitukset tehdään vain lohkotilassa ja laitteissa, jotka ovat pilvilohkotasolla "High"
Säännön nimi Säännön tila EDR-hälytykset Ilmoitusruutu
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen N Y
Estä Adobe Readeria luomasta aliprosesseja Estä Y Y
Estä aliprosessien luominen kaikilta Office-sovelluksilta N Y
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) N N
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista Y Y
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa N Y
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Valvonta tai lohko Y (lohkotilassa)
N (valvontatilassa)
Y (lohkotilassa)
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä Estä Y Y
Estä Office-sovelluksia luomasta suoritettavaa sisältöä N Y
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin N Y
Estä Office-tietoliikennesovellusta luomasta aliprosesseja N Y
Estä pysyvyys WMI-tapahtumatilauksen kautta Valvonta tai lohko Y (lohkotilassa)
N (valvontatilassa)
Y (lohkotilassa)
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista N Y
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu) N N
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Valvonta tai lohko Y (lohkotilassa)
N (valvontatilassa)
Y (lohkotilassa)
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu) N N
Estä verkkosellien luominen palvelimia varten N N
Estä Win32-ohjelmointirajapintakutsut Office-makroista N Y
Lisäsuojauksen käyttö kiristysohjelmia vastaan Valvonta tai lohko Y (lohkotilassa)
N (valvontatilassa)
Y (lohkotilassa)

ASR-sääntö GUID-matriisiin

Säännön nimi Säännön GUID-tunnus
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen 56a863a9-875e-4185-98a7-b882c64b5ce5
Estä Adobe Readeria luomasta aliprosesseja 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Estä aliprosessien luominen kaikilta Office-sovelluksilta d4f940ab-401b-4efc-aadc-ad5f3c50688a
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista be9ba2d9-53ea-4cdc-84e5-9b1ee46550
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa 01443614-cd74-433a-b99e-2ecdc07bfc25
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä d3e037e1-3eb8-44c8-a917-57927947596d
Estä Office-sovelluksia luomasta suoritettavaa sisältöä 3b576869-a4ec-4529-8536-b80a7769e899
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Estä Office-tietoliikennesovellusta luomasta aliprosesseja 26190899-1602-49e8-8b27-eb1d0a1ce869
Estä pysyvyys WMI-tapahtumatilauksen kautta
* Tiedostojen ja kansioiden poissulkemisia ei tueta.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista d1e49aac-8f56-4280-b9ba-993a6d77406c
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu) 33ddedf1-c6e0-47cb-833e-de6133960387
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Estä verkkosellien luominen palvelimia varten a8f5898e-1dc8-49a9-9878-85004b8a61e6
Estä Win32-ohjelmointirajapintakutsut Office-makroista 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Lisäsuojauksen käyttö kiristysohjelmia vastaan c1db55ab-c21a-4637-bb3f-a12568109d35

ASR-sääntötilat

  • Ei määritetty tai poista käytöstä: Tila, jossa ASR-sääntö ei ole käytössä tai poistettu käytöstä. Tämän tilan koodi = 0.
  • Lohko: Tila, jossa ASR-sääntö on käytössä. Tämän tilan koodi on 1.
  • Valvonta: Tila, jossa ASR-sääntöä arvioidaan sen vaikutuksen osalta, joka sillä olisi organisaatioon tai ympäristöön, jos se on käytössä (aseta estämään tai varoittamaan). Tämän tilan koodi on 2.
  • Varoittaa Tila, jossa ASR-sääntö on käytössä ja näyttää ilmoituksen loppukäyttäjälle, mutta sallii käyttäjän ohittaa lohkon. Tämän tilan koodi on 6.

Varoitustila on lohkotilatyyppi, joka varoittaa käyttäjiä mahdollisesti riskialttiista toiminnoista. Käyttäjät voivat ohittaa estovaroituksen ja sallia taustalla olevan toiminnon. Käyttäjät voivat ottaa lohkon käyttöön valitsemalla OK tai valita ohitusasetuksen Poista esto lohkon aikana luodun käyttäjän ponnahdusikkunan ilmoitusikkunan kautta. Kun varoituksen esto on purettu, toiminto on sallittu, kunnes varoitussanoma tulee seuraavan kerran, jolloin käyttäjän on suoritettava toiminto uudelleen.

Kun Salli-painiketta napsautetaan, lohko estetään 24 tunnin ajan. 24 tunnin kuluttua käyttäjän on sallittava lohko uudelleen. ASR-sääntöjen varoitustilaa tuetaan vain RS5+ (1809+) -laitteissa. Jos ohitus on määritetty ASR-säännöille laitteissa, joissa on vanhempia versioita, sääntö on estetty-tilassa.

Voit myös määrittää säännön varoitustilassa PowerShellin kautta määrittämällä AttackSurfaceReductionRules_Actions "Varoita". Esimerkki:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Säännön kuvaukset

Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen

Tämä sääntö estää sovellusta kirjoittamasta haavoittuvassa asemassa olevaa allekirjoitettua ohjainta levylle. Yleisissä ja haavoittuvissa allekirjoitetuissa ohjaimissa paikalliset sovellukset - joilla on riittävät oikeudet - voivat käyttää ydintä. Haavoittuvassa asemassa olevat allekirjoitetut ohjaimet mahdollistavat sen, että hyökkääjät voivat poistaa suojausratkaisuja käytöstä tai kiertää niitä, mikä johtaa lopulta järjestelmän vaarantumiseen.

Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen -sääntö ei estä järjestelmässä jo olevan ohjaimen lataamista.

Huomautus

Voit määrittää tämän säännön Intune OMA-URI:n avulla. Katso Intune OMA-URI mukautettujen sääntöjen määrittämisestä. Voit määrittää tämän säännön myös PowerShellin avulla. Jos haluat, että tavoite tutkitaan, käytä tätä verkkosivustoa kuljettajan lähettämiseen analyysia varten.

Intune nimi:Block abuse of exploited vulnerable signed drivers

Configuration Manager nimi: Ei vielä käytettävissä

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Kehittynyt metsästystoiminnon tyyppi:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Estä Adobe Readeria luomasta aliprosesseja

Tämä sääntö estää hyökkäyksiä estämällä Adobe Readeria luomasta prosesseja.

Haittaohjelmat voivat ladata ja käynnistää hyötykuormat ja irtaudu Adobe Readerista sosiaalisen suunnittelun tai hyväksikäyttöjen kautta. Estämällä Adobe Readerin luomat aliprosessit haittaohjelmat, jotka yrittävät käyttää Adobe Readeria hyökkäysvektorina, estetään leviämästä.

Intune nimi:Process creation from Adobe Reader (beta)

Configuration Manager nimi: Ei vielä käytettävissä

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Kehittynyt metsästystoiminnon tyyppi:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Estä aliprosessien luominen kaikilta Office-sovelluksilta

Tämä sääntö estää Office-sovelluksia luomasta aliprosesseja. Office-sovellukset sisältävät Word, Excelin, PowerPointin, OneNoten ja Accessin.

Haitallisten aliprosessien luominen on yleinen haittaohjelmastrategia. Haittaohjelma, joka väärinkäyttää Officea vektorina, suorittaa usein VBA-makroja ja hyödyntää koodia ladatakseen ja yrittääkseen suorittaa enemmän hyötykuormaa. Jotkin lailliset toimialakohtaiset sovellukset saattavat kuitenkin myös luoda aliprosesseja hyväntahtoisiin tarkoituksiin. esimerkiksi komentokehotteen luominen tai rekisteriasetusten määrittäminen PowerShellin avulla.

Intune nimi:Office apps launching child processes

Configuration Manager nimi:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Kehittynyt metsästystoiminnon tyyppi:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä

Huomautus

Jos LSA-suojaus on käytössä ja tunnistetietojen suojaus on käytössä, tätä hyökkäysalueen pienentämissääntöä ei tarvita.

Tämä sääntö auttaa estämään tunnistetietojen varastamisen lukitsemalla paikallisen suojausviranomaisen alijärjestelmäpalvelun (LSASS).

LSASS todentaa käyttäjät, jotka kirjautuvat sisään Windows-tietokoneessa. Microsoft Defender Tunnistetietojen suojaus Windowsissa yleensä estää yritykset noutaa tunnistetiedot LSASS:stä. Jotkin organisaatiot eivät voi ottaa Credential Guardia käyttöön kaikissa tietokoneissaan mukautettujen älykorttiohjainten tai muiden LSA:han latautuvien ohjelmien yhteensopivuusongelmien vuoksi. Näissä tapauksissa hyökkääjät voivat käyttää Mimikatzin kaltaisia työkaluja tyhjentääkseen tekstisalasanoja ja NTLM-hajautuksia LSASS:stä.

Tämän säännön tilaksi on oletusarvoisesti määritetty esto. Useimmissa tapauksissa monet prosessit soittavan LSASS:iin käyttöoikeuksia, joita ei tarvita. Esimerkiksi silloin, kun ASR-säännön ensimmäinen lohko johtaa seuraavaan kutsuun pienemmälle etuoikeudelle, joka myöhemmin onnistuu. Lisätietoja LSASS-prosessikutsuissa yleensä pyydetyistä oikeustyypeistä on kohdassa : Prosessisuojaus ja käyttöoikeudet.

Tämän säännön ottaminen käyttöön ei tarjoa lisäsuojausta, jos LSA-suojaus on käytössä, koska ASR-sääntö ja LSA-suojaus toimivat samalla tavalla. Kuitenkin kun LSA-suojausta ei voida ottaa käyttöön, tämä sääntö voidaan määrittää tarjoamaan vastaava suojaus haittaohjelmia vastaan, jotka kohdistuvat kohteeseen lsass.exe.

Vihje

  1. ASR-valvontatapahtumat eivät luo ilmoitusruutuja. Koska LSASS ASR -sääntö tuottaa kuitenkin suuren määrän valvontatapahtumia, jotka lähes kaikki on turvallista jättää huomiotta, kun sääntö on otettu käyttöön estotilassa, voit ohittaa valvontatilan arvioinnin ja jatkaa tilan käyttöönoton estämistä pienestä laitejoukosta alkaen ja laajentamalla vähitellen kattamaan loput.
  2. Sääntö on suunniteltu estämään raporttien ja ilmoitusruutujen esto ystävällisiä prosesseja varten. Se on myös suunniteltu pudottamaan raportit lohkojen kaksoiskappaleista. Näin ollen sääntö sopii hyvin käyttöön lohkotilassa riippumatta siitä, ovatko ilmoitusruutuilmoitukset käytössä vai poissa käytöstä. 
  3. ASR on ilmoitustilassa, joka on suunniteltu esittämään käyttäjille ilmoitusruutu, joka sisältää Poista esto -painikkeen. LSASS ASR -lohkojen luonteen ja niiden suuren määrän vuoksi WARN-tilaa ei kannata suositella tälle säännölle (riippumatta siitä, ovatko ilmoituspainallukset käytössä vai poissa käytöstä).

Huomautus

Tässä skenaariossa ASR-sääntö on luokiteltu "ei käytettävissä" Defender for Endpoint -asetuksissa Microsoft Defender-portaalissa. Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmän ASR-säännöstä ei tue WARN-tilaa. Joissakin sovelluksissa koodi luetteloi kaikki käynnissä olevat prosessit ja yrittää avata ne tyhjentävällä käyttöoikeudella. Tämä sääntö estää sovelluksen prosessin avaamisen ja kirjaa tiedot suojaustapahtumalokiin. Tämä sääntö voi aiheuttaa paljon melua. Jos sinulla on sovellus, joka vain luetteloi LSASS:n, mutta jolla ei ole todellista vaikutusta toiminnallisuuteen, sitä ei tarvitse lisätä poissulkemisluetteloon. Tämä tapahtumalokin merkintä ei välttämättä tarkoita pahantahtoista uhkaa.

Intune nimi:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager nimi:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Kehittynyt metsästystoiminnon tyyppi:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Tunnetut ongelmat: Nämä sovellukset ja "Estä tunnistetietojen varastaminen Windowsin paikallisen suojauksen myöntäjän alijärjestelmästä" -sääntö eivät ole yhteensopivia:

Sovelluksen nimi Lisätietoja
Quest Dirsync -salasanasynkronointi Dirsync-salasanasynkronointi ei toimi, kun Windows Defender on asennettu. Virhe: VirtualAllocEx epäonnistui: 5 (4253914)

Jos haluat teknistä tukea, ota yhteyttä ohjelmiston toimittajaan.

Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista

Tämä sääntö estää Microsoft Outlook -sovelluksessa avatun sähköpostin avaamisen tai Outlook.com ja muita suosittuja webmail-palveluntarjoajia levittämästä seuraavia tiedostotyyppejä:

  • Suoritettavat tiedostot (kuten .exe, .dll tai .scr)
  • Komentosarjatiedostot (kuten PowerShell-.ps1, Visual Basic .vbs- tai JavaScript-.js-tiedosto)

Intune nimi:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager nimi:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Kehittynyt metsästystoiminnon tyyppi:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

Säännöllä Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista on seuraavat vaihtoehtoiset kuvaukset käyttämästäsi sovelluksesta riippuen:

  • Intune (määritysprofiilit): Suoritettavan sisällön suorittaminen (exe, dll, ps, js, vbs jne.) pudotettiin sähköpostista (webmail/mail client) (ei poikkeuksia).
  • Configuration Manager: Estä suoritettavan sisällön lataaminen sähköposti- ja verkkosähköpostiasiakkailta.
  • ryhmäkäytäntö: Estä suoritettava sisältö sähköpostiasiakkaasta ja verkkosähköpostista.

Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa

Tämä sääntö estää suoritustiedostojen, kuten .exe, .dll tai .scr, käynnistymisen. Epäluotettavien tai tuntemattomien suoritettavan tiedoston käynnistäminen voi siis olla riskialtista, koska aluksi ei ole selvää, ovatko tiedostot haitallisia.

Tärkeää

Sinun on otettava pilvipalveluun toimitettu suojaus käyttöön , jotta voit käyttää tätä sääntöä. Sääntö Estä suoritettavien tiedostojen suorittaminen, elleivät ne täytä esiintyvyyttä, ikää tai luotettua luetteloehtoa , jonka GUID-tunnus 01443614-cd74-433a-b99e-2ecdc07bfc25 on Microsoftin omistuksessa, eivätkä järjestelmänvalvojat ole määrittäneet sitä. Tämä sääntö käyttää pilvipalveluun toimitettua suojausta päivittääkseen luotetun luettelonsa säännöllisesti. Voit määrittää yksittäisiä tiedostoja tai kansioita (käyttämällä kansiopolkuja tai täydellisiä resurssien nimiä), mutta et voi määrittää, mitä sääntöjä tai poissulkemisia sovelletaan.

Intune nimi:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager nimi:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Kehittynyt metsästystoiminnon tyyppi:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Riippuvuudet: Microsoft Defender virustentorjunta, pilvisuojaus

Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen

Tämä sääntö havaitsee epäilyttävät ominaisuudet hämärtyneessä komentosarjassa.

Huomautus

PowerShell-komentosarjoja tuetaan nyt "Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen" -säännölle.

Tärkeää

Sinun on otettava pilvipalveluun toimitettu suojaus käyttöön, jotta voit käyttää tätä sääntöä.

Komentosarjojen obfuscation on yleinen tekniikka, jota sekä haittaohjelmien tekijät että lailliset sovellukset käyttävät immateriaalioikeuksien piilottamiseen tai komentosarjojen latausaikojen lyhentämiseen. Haittaohjelmien tekijät käyttävät myös hämäystä vaikeuttaakseen haitallisen koodin lukemista, mikä haittaa ihmisten ja tietoturvaohjelmistojen tiivistä valvontaa.

Intune nimi:Obfuscated js/vbs/ps/macro code

Configuration Manager nimi:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Kehittynyt metsästystoiminnon tyyppi:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Riippuvuudet: Microsoft Defender virustentorjunta, haittaohjelmien torjunnan tarkistusliittymä (AMSI)

Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä

Tämä sääntö estää komentosarjoja käynnistämästä mahdollisesti haitallista ladattua sisältöä. JavaScriptillä tai VBScriptillä kirjoitettu haittaohjelma toimii usein lataajana muiden haittaohjelmien hakemiseksi ja käynnistämiseksi Internetistä. Vaikka se ei ole yleistä, toimialakohtaiset sovellukset käyttävät joskus komentosarjoja asennussovellusten lataamiseen ja käynnistämiseen.

Intune nimi:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager nimi:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Kehittynyt metsästystoiminnon tyyppi:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Riippuvuudet: Microsoft Defender virustentorjunta, AMSI

Estä Office-sovelluksia luomasta suoritettavaa sisältöä

Tämä sääntö estää Office-sovelluksia, kuten Word, Exceliä ja PowerPointia, luomasta mahdollisesti haitallista suoritettavaa sisältöä estämällä haitallisen koodin kirjoittamisen levylle. Haittaohjelma, joka väärinkäyttää Officea vektorina, saattaa yrittää murtautua Ulos Officesta ja tallentaa haitallisia osia levylle. Nämä haitalliset komponentit selviävät tietokoneen uudelleenkäynnistyksestä ja pysyvät järjestelmässä. Siksi tämä sääntö puolustaa yleistä pysyvyystekniikkaa vastaan. Tämä sääntö estää myös epäluotetettavien tiedostojen suorittamisen, jotka Office-makrot ovat saattaneet tallentaa ja joita voi käyttää Office-tiedostoissa.

Intune nimi:Office apps/macros creating executable content

Configuration Manager nimi:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Kehittynyt metsästystoiminnon tyyppi:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Riippuvuudet: Microsoft Defender virustentorjunta, RPC

Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin

Tämä sääntö estää koodien lisäämisyritykset Office-sovelluksista muihin prosesseihin.

Huomautus

Estä sovelluksia lisäämästä koodia muihin prosesseihin -SÄÄNTÖ ei tue WARN-tilaa.

Tärkeää

Tämä sääntö edellyttää, että Microsoft 365 -sovellukset (Office-sovellukset) käynnistetään uudelleen, jotta määritysmuutokset tulevat voimaan.

Hyökkääjät saattavat yrittää siirtää haitallista koodia muihin prosesseihin Office-sovellusten avulla koodin lisäämisen avulla, jotta koodi voidaan naamioida puhtaaksi prosessiksi. Koodin lisäämiseen ei ole olemassa tunnettuja laillisia liiketoimintatarkoituksia.

Tämä sääntö koskee Word, Exceliä, OneNotea ja PowerPointia.

Intune nimi:Office apps injecting code into other processes (no exceptions)

Configuration Manager nimi:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Kehittynyt metsästystoiminnon tyyppi:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Tunnetut ongelmat: Nämä sovellukset ja Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin -sääntö eivät ole yhteensopivia:

Sovelluksen nimi Lisätietoja
Avecto (BeyondTrust) Privilege Guard Syyskuu–2024 (ympäristö: 4.18.24090.11 | Moottori 1.1.24090.11).
Heimdal-suojaus Ei käytettävissä

Jos haluat teknistä tukea, ota yhteyttä ohjelmiston toimittajaan.

Estä Office-tietoliikennesovellusta luomasta aliprosesseja

Tämä sääntö estää Outlookia luomasta aliprosesseja ja samalla laillisia Outlook-funktioita. Tämä sääntö suojaa sosiaalisen suunnittelun hyökkäyksiltä ja estää koodia hyödyntämästä Outlookin haavoittuvuuksia väärin. Se suojaa myös Outlookin säännöiltä ja lomakkeilta , joita hyökkääjät voivat käyttää, kun käyttäjän tunnistetiedot ovat vaarantuneet.

Huomautus

Tämä sääntö estää DLP-käytäntövihjeet ja Työkaluvihjeet Outlookissa. Tämä sääntö koskee vain Outlookia ja Outlook.com.

Intune nimi:Process creation from Office communication products (beta)

Configuration Manager nimi: Ei käytettävissä

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Kehittynyt metsästystoiminnon tyyppi:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Estä pysyvyys WMI-tapahtumatilauksen kautta

Tämä sääntö estää haittaohjelmia käyttämästä väärin WMI:tä saavuttaakseen pysyvyyden laitteessa.

Tiedostottomat uhat käyttävät erilaisia taktiikoita pysyäkseen piilossa, välttääkseen näkymisen tiedostojärjestelmässä ja saadakseen kausittaisen suorituksen hallinnan. Jotkin uhat voivat käyttää väärin WMI-säilöä ja tapahtumamallia pysyäkseen piilossa.

Huomautus

Jos CcmExec.exe laitteessa havaitaan (SCCM Agentti), ASR-sääntö luokitellaan "ei käytettävissä" Defender for Endpoint -asetuksissa Microsoft Defender portaalissa.

Intune nimi:Persistence through WMI event subscription

Configuration Manager nimi: Ei käytettävissä

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Kehittynyt metsästystoiminnon tyyppi:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Riippuvuudet: Microsoft Defender virustentorjunta, RPC

Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista

Tämä sääntö estää PsExecin ja WMI :n kautta luotujen prosessien suorittamisen. Sekä PsExec että WMI voivat suorittaa koodia etäyhteyden kautta. On olemassa riski, että haittaohjelma käyttää väärin PsExec- ja WMI-toimintoja komento- ja hallintatarkoituksiin tai levittää tartuntaa koko organisaation verkossa.

Varoitus

Käytä tätä sääntöä vain, jos hallitset laitteitasi Intune tai jollakin toisella MDM-ratkaisulla. Tämä sääntö ei ole yhteensopiva MicrosoftIn päätepisteen Configuration Manager hallinnan kanssa, koska tämä sääntö estää WMI-komentoja, joita Configuration Manager asiakas käyttää toimiakseen oikein.

Intune nimi:Process creation from PSExec and WMI commands

Configuration Manager nimi: Ei käytettävissä

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Kehittynyt metsästystoiminnon tyyppi:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu)

Tämä sääntö estää koneiden uudelleenkäynnistämisen komentojen suorittamisen vikasietotilassa. Vikasietotila on diagnostiikkatila, joka lataa vain Windowsin suorittamiseen tarvittavat olennaiset tiedostot ja ohjaimet. Vikasietotilassa monet suojaustuotteet on kuitenkin joko poistettu käytöstä tai ne toimivat rajoitetussa kapasiteetissa, jolloin hyökkääjät voivat edelleen käynnistää peukalointikomentoja tai yksinkertaisesti suorittaa ja salata kaikki tietokoneen tiedostot. Tämä sääntö estää tällaiset hyökkäykset estämällä prosesseja käynnistämästä koneita uudelleen vikasietotilassa.

Huomautus

Tämä ominaisuus on tällä hetkellä esikatseluvaiheessa. Tehon parantamiseksi on kehitteillä lisäpäivityksiä.

Intune nimi:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager nimi: Ei vielä käytettävissä

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Kehittynyt metsästystoiminnon tyyppi:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Riippuvuudet: Microsoft Defender virustentorjunta

Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä

Tämän säännön avulla järjestelmänvalvojat voivat estää allekirjoittamattomien tai epäluotettavien suoritettavien tiedostojen suorittamisen siirrettävissä USB-asemista, SD-kortit mukaan lukien. Estettyjä tiedostotyyppejä ovat suoritettavat tiedostot (kuten .exe, .dll tai .scr)

Tärkeää

Tämä sääntö estää USB-levyasemaan kopioidut tiedostot, jos ja kun ne suoritetaan levyasemassa.

Intune nimi:Untrusted and unsigned processes that run from USB

Configuration Manager nimi:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Kehittynyt metsästystoiminnon tyyppi:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Riippuvuudet: Microsoft Defender virustentorjunta

Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu)

Tämä sääntö estää suoritettavan tiedoston käytön, joka tunnistetaan Windows-järjestelmätyökalujen kopioiksi. Nämä tiedostot ovat alkuperäisten järjestelmätyökalujen kaksoiskappaleita tai huijareita. Jotkin haittaohjelmat saattavat yrittää kopioida tai tekeytyä Windows-järjestelmätyökaluksi, jotta niitä ei tunnistusta tai oikeuksia saada. Tällaisten suoritettavien tiedostojen salliminen voi johtaa mahdollisiin hyökkäyksiin. Tämä sääntö estää tällaisten järjestelmätyökalujen kaksoiskappaleiden ja impostorien levittämisen ja suorittamisen Windows-koneissa.

Huomautus

Tämä ominaisuus on tällä hetkellä esikatseluvaiheessa. Tehon parantamiseksi on kehitteillä lisäpäivityksiä.

Intune nimi:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager nimi: Ei vielä käytettävissä

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Kehittynyt metsästystoiminnon tyyppi:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Riippuvuudet: Microsoft Defender virustentorjunta

Estä verkkosellien luominen palvelimia varten

Tämä sääntö estää verkkoliittymän komentosarjojen luomisen Microsoft Serverissä, Exchange-roolissa. Verkkoliittymän komentosarja on erityisesti muotoiltu komentosarja, jonka avulla hyökkääjä voi hallita vaarantunutta palvelinta. Verkkoliittymä voi sisältää toimintoja, kuten haittaohjelmien vastaanottamisen ja suorittamisen, haitallisten tiedostojen lataamisen ja suorittamisen, tunnistetietojen ja luottamuksellisten tietojen varastamisen ja latauksen, mahdollisten kohteiden tunnistamisen jne.

Intune nimi:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Riippuvuudet: Microsoft Defender virustentorjunta

Estä Win32-ohjelmointirajapintakutsut Office-makroista

Tämä sääntö estää VBA-makroja kutsumasta Win32-ohjelmointirajapintoja. Office VBA mahdollistaa Win32-ohjelmointirajapintakutsut. Haittaohjelma voi käyttää tätä ominaisuutta väärin, kuten kutsua Win32-ohjelmointirajapintoja käynnistääkseen haitallisen shellcoden kirjoittamatta mitään suoraan levylle. Useimmat organisaatiot eivät luota kykyyn kutsua Win32-ohjelmointirajapintoja päivittäisessä toiminnassaan, vaikka ne käyttäisivät makroja muilla tavoin.

Intune nimi:Win32 imports from Office macro code

Configuration Manager nimi:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Kehittynyt metsästystoiminnon tyyppi:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Riippuvuudet: Microsoft Defender virustentorjunta, AMSI

Lisäsuojauksen käyttö kiristysohjelmia vastaan

Tämä sääntö tarjoaa ylimääräisen suojakerroksen kiristyshaittaohjelmia vastaan. Se käyttää sekä asiakas- että pilvi heuristiikkoja määrittääkseen, muistuttaako tiedosto kiristyshaittaohjelmia. Tämä sääntö ei estä tiedostoja, joilla on vähintään yksi seuraavista ominaisuuksista:

  • Tiedosto on jo todettu vahingoittumattomaksi Microsoftin pilvipalvelussa.
  • Tiedosto on kelvollinen allekirjoitettu tiedosto.
  • Tiedosto on tarpeeksi yleinen, ettei sitä pidetä kiristyshaittaohjelmana.

Sääntöllä on taipumus erehtyä varovaisuuden puolella kiristyshaittaohjelmien estämiseksi.

Huomautus

Sinun on otettava pilvipalveluun toimitettu suojaus käyttöön , jotta voit käyttää tätä sääntöä.

Intune nimi:Advanced ransomware protection

Configuration Manager nimi:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Kehittynyt metsästystoiminnon tyyppi:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Riippuvuudet: Microsoft Defender virustentorjunta, pilvisuojaus

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.