Referanse for reduksjonsregler for angrepsoverflate
Gjelder for:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformer:
- Windows
Denne artikkelen inneholder informasjon om Microsoft Defender for endepunkt regler for reduksjon av angrepsoverflater (ASR-regler):
- ASR-regler som støttes av operativsystemversjoner
- ASR-regler støttet konfigurasjonsbehandlingssystemer
- Varslings- og varslingsdetaljer per ASR-regel
- ASR-regel til GUID-matrise
- ASR-regelmoduser
- Beskrivelser per regel
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Tips
Som en følgesvenn til denne artikkelen, kan du se vår Microsoft Defender for endepunkt installasjonsveiledning for å gjennomgå anbefalte fremgangsmåter og lære om viktige verktøy som reduksjon av angrepsoverflate og neste generasjons beskyttelse. Hvis du vil ha en tilpasset opplevelse basert på miljøet ditt, kan du få tilgang til den automatiserte installasjonsveiledningen for Defender for Endpoint i Administrasjonssenter for Microsoft 365.
Regler for reduksjon av angrepsoverflate etter type
Regler for reduksjon av angrepsoverflate kategoriseres som én av to typer:
Standard beskyttelsesregler: Er minimumssettet med regler som Microsoft anbefaler at du alltid aktiverer, mens du evaluerer virknings- og konfigurasjonsbehovene til de andre ASR-reglene. Disse reglene har vanligvis minimal-til-ingen merkbar innvirkning på sluttbrukeren.
Andre regler: Regler som krever en viss grad av mål for å følge de dokumenterte distribusjonstrinnene [Plantest > (revisjon) > Aktiver (blokk-/varslingsmoduser)], som dokumentert i distribusjonsveiledningen for regler for reduksjon av angrepsoverflate.
Hvis du vil ha den enkleste metoden for å aktivere standard beskyttelsesregler, kan du se alternativet for forenklet standardbeskyttelse.
| NAVN på ASR-regel: | Standard beskyttelsesregel? | En annen regel? |
|---|---|---|
| Blokker misbruk av utnyttede sårbare signerte sjåfører | Ja | |
| Blokkere Adobe Reader fra å opprette underordnede prosesser | Ja | |
| Blokkere alle Office-programmer fra å opprette underordnede prosesser | Ja | |
| Blokkere legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows (lsass.exe) | Ja | |
| Blokkere kjørbart innhold fra e-postklient og nettpost | Ja | |
| Blokkere kjørbare filer fra å kjøre med mindre de oppfyller vilkåret prevalens, alder eller klarert liste | Ja | |
| Blokkkjøring av potensielt obfuscated skript | Ja | |
| Blokkere JavaScript eller VBScript fra å starte nedlastet kjørbart innhold | Ja | |
| Blokkere Office-programmer fra å opprette kjørbart innhold | Ja | |
| Blokkere Office-programmer fra å sette inn kode i andre prosesser | Ja | |
| Blokkere Office-kommunikasjonsprogram fra å opprette underordnede prosesser | Ja | |
| Blokker utholdenhet gjennom WMI-hendelsesabonnement | Ja | |
| Blokker prosessopprettinger med opprinnelse fra PSExec- og WMI-kommandoer | Ja | |
| Blokker omstart av maskinen i sikkermodus (forhåndsversjon) | Ja | |
| Blokkere ikke-klarerte og usignerte prosesser som kjører fra USB | Ja | |
| Blokker bruk av kopierte eller representerte systemverktøy (forhåndsversjon) | Ja | |
| Blokker oppretting av Webshell for servere | Ja | |
| Blokkere Win32-API-kall fra Office-makroer | Ja | |
| Bruk avansert beskyttelse mot løsepengevirus | Ja |
Microsoft Defender Antivirus-utelatelser og ASR-regler
Microsoft Defender Antivirus-utelukkelser gjelder for noen Microsoft Defender for endepunkt funksjoner, for eksempel noen av reglene for reduksjon av angrepsoverflaten.
Følgende ASR-regler respekterer IKKE Microsoft Defender antivirusutelukkelser:
Obs!
Hvis du vil ha informasjon om hvordan du konfigurerer utelukkelser per regel, kan du se delen «Konfigurere ASR-regler per regel»-utelukkelser i emnet regler for reduksjon av overflatereduksjon for testangrep.
ASR-regler og Defender for endepunktindikatorer for kompromiss (IOC)
Følgende ASR-regler respekterer IKKE Microsoft Defender for endepunkt indikatorer for kompromiss (IOC):
| NAVN på ASR-regel | Beskrivelse |
|---|---|
| Blokkere legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows (lsass.exe) | Respekterer ikke indikatorer for kompromisser for filer eller sertifikater. |
| Blokkere Office-programmer fra å sette inn kode i andre prosesser | Respekterer ikke indikatorer for kompromisser for filer eller sertifikater. |
| Blokkere Win32-API-kall fra Office-makroer | Respekterer ikke indikatorer for kompromiss for sertifikater. |
ASR-regler støttet operativsystemer
Tabellen nedenfor viser de støttede operativsystemene for regler som for øyeblikket utgis til generell tilgjengelighet. Reglene er oppført alfabetisk rekkefølge i denne tabellen.
Obs!
Med mindre annet er angitt, er minimum Windows 10 build versjon 1709 (RS3, bygg 16299) eller nyere. Minimum Windows Server build er versjon 1809 eller nyere. Regler for reduksjon av angrepsoverflater i Windows Server 2012 R2 og Windows Server 2016 er tilgjengelige for enheter som er innebygd ved hjelp av den moderne enhetlige løsningspakken. Hvis du vil ha mer informasjon, kan du se Ny Windows Server 2012 R2- og 2016-funksjonalitet i den moderne enhetlige løsningen.
(1) Refererer til den moderne enhetlige løsningen for Windows Server 2012 og 2016. Hvis du vil ha mer informasjon, kan du se Pålaste Windows-servere til Defender for Endpoint-tjenesten.
(2) For Windows Server 2016 og Windows Server 2012 R2 er den minste nødvendige versjonen av Microsoft Endpoint Configuration Manager versjon 2111.
(3) Versjons- og byggnummer gjelder bare for Windows10.
ASR-regler støttet konfigurasjonsbehandlingssystemer
Koblinger til informasjon om konfigurasjonsbehandlingssystemversjoner som det refereres til i denne tabellen, er oppført nedenfor denne tabellen.
(1) Du kan konfigurere regler for reduksjon av angrepsoverflaten per regel ved hjelp av en regels GUID.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM er nå Microsoft Configuration Manager.
Varslings- og varslingsdetaljer per ASR-regel
Varsler genereres for alle regler i blokkmodus. Regler i andre moduser genererer ikke varsler.
For regler med «Regeltilstand» angitt:
- ASR-regler med
\ASR Rule, Rule State\kombinasjoner brukes til å vise varsler (varsler) på Microsoft Defender for endepunkt bare for enheter på skyblokknivå «Høy» - Enheter som ikke er på høyt skyblokknivå, genererer ikke varsler for noen
ASR Rule, Rule Statekombinasjoner - EDR-varsler genereres for ASR-regler i de angitte tilstandene, for enheter på skyblokknivå «High+»
- Varsler forekommer bare i blokkmodus og for enheter på skyblokknivå «Høy»
ASR-regel til GUID-matrise
| Regelnavn | GUID for regel |
|---|---|
| Blokker misbruk av utnyttede sårbare signerte sjåfører | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Blokkere Adobe Reader fra å opprette underordnede prosesser | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blokkere alle Office-programmer fra å opprette underordnede prosesser | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Blokkere legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blokkere kjørbart innhold fra e-postklient og nettpost | be9ba2d9-53ea-4cdc-84e5-9b1eeeee46550 |
| Blokkere kjørbare filer fra å kjøre med mindre de oppfyller vilkåret prevalens, alder eller klarert liste | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Blokkkjøring av potensielt obfuscated skript | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Blokkere JavaScript eller VBScript fra å starte nedlastet kjørbart innhold | d3e037e1-3eb8-44c8-a917-57927947596d |
| Blokkere Office-programmer fra å opprette kjørbart innhold | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Blokkere Office-programmer fra å sette inn kode i andre prosesser | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Blokkere Office-kommunikasjonsprogram fra å opprette underordnede prosesser | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Blokker utholdenhet gjennom WMI-hendelsesabonnement * Fil- og mappeutelukkelse støttes ikke. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blokker prosessopprettinger med opprinnelse fra PSExec- og WMI-kommandoer | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Blokker omstart av maskinen i sikkermodus (forhåndsversjon) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Blokkere ikke-klarerte og usignerte prosesser som kjører fra USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Blokker bruk av kopierte eller representerte systemverktøy (forhåndsversjon) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Blokker oppretting av Webshell for servere | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Blokkere Win32-API-kall fra Office-makroer | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Bruk avansert beskyttelse mot løsepengevirus | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-regelmoduser
Ikke konfigurert eller Deaktiver: Tilstanden der ASR-regelen ikke er aktivert eller er deaktivert. Koden for denne tilstanden = 0.
Blokk: Tilstanden der ASR-regelen er aktivert. Koden for denne tilstanden er 1.
Revisjon: Tilstanden der ASR-regelen evalueres for effekten den ville ha på organisasjonen eller miljøet hvis den er aktivert (satt til å blokkere eller advare). Koden for denne tilstanden er 2.
Advar: Tilstanden der ASR-regelen er aktivert og presenterer et varsel til sluttbrukeren, men tillater sluttbrukeren å hoppe over blokken. Koden for denne tilstanden er 6.
Varslingsmodus er en blokkmodustype som varsler brukere om potensielt risikable handlinger. Brukere kan velge å hoppe over blokkadvarselen og tillate den underliggende handlingen. Brukere kan velge OK for å fremtvinge blokken, eller velge alternativet omgåelse – Opphev blokkeringen – gjennom popup-varselet til sluttbrukeren som genereres på tidspunktet for blokken. Når advarselen ikke er blokkert, tillates operasjonen til neste gang advarselen vises, og sluttbrukeren må omforme handlingen.
Når tillat-knappen klikkes, skjules blokken i 24 timer. Etter 24 timer må sluttbrukeren tillate blokken på nytt. Varslingsmodusen for ASR-regler støttes bare for RS5+ (1809+)-enheter. Hvis forbikobling tilordnes til ASR-regler på enheter med eldre versjoner, er regelen i blokkert modus.
Du kan også angi en regel i varslingsmodus via PowerShell ved å
AttackSurfaceReductionRules_Actionsangi «Advarsel». Eksempel:Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Beskrivelser per regel
Blokker misbruk av utnyttede sårbare signerte sjåfører
Denne regelen hindrer at et program skriver en sårbar signert driver på disken. In-the-wild, sårbare signerte drivere kan utnyttes av lokale applikasjoner - som har tilstrekkelige privilegier - for å få tilgang til kjernen. Sårbare signerte drivere gjør det mulig for angripere å deaktivere eller omgå sikkerhetsløsninger, noe som til slutt fører til systemkompromisse.
Blokker misbruk av utnyttede sårbare signerte drivere-regelen blokkerer ikke en driver som allerede finnes på systemet, fra å bli lastet inn.
Obs!
Du kan konfigurere denne regelen ved hjelp av Intune OMA-URI. Se Intune OMA-URI for å konfigurere egendefinerte regler. Du kan også konfigurere denne regelen ved hjelp av PowerShell. Hvis du vil at en driver skal undersøkes, kan du bruke dette webområdet til å sende inn en driver for analyse.
Intune navn:Block abuse of exploited vulnerable signed drivers
Configuration Manager navn: Ikke tilgjengelig ennå
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Avansert jakthandlingstype:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Blokkere Adobe Reader fra å opprette underordnede prosesser
Denne regelen hindrer angrep ved å blokkere Adobe Reader fra å opprette prosesser.
Skadelig programvare kan laste ned og starte nyttelaster og bryte ut av Adobe Reader gjennom sosial utvikling eller utnyttelse. Ved å blokkere underordnede prosesser fra å bli generert av Adobe Reader, hindres det at skadelig programvare som forsøker å bruke Adobe Reader som angrepsvektor, spres.
Intune navn:Process creation from Adobe Reader (beta)
Configuration Manager navn: Ikke tilgjengelig ennå
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Avansert jakthandlingstype:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Avhengigheter: Microsoft Defender Antivirus
Blokkere alle Office-programmer fra å opprette underordnede prosesser
Denne regelen blokkerer Office-apper fra å opprette underordnede prosesser. Office-apper omfatter Word, Excel, PowerPoint, OneNote og Access.
Oppretting av skadelige underordnede prosesser er en vanlig strategi for skadelig programvare. Skadelig programvare som misbruker Office som vektor, kjører ofte VBA-makroer og utnytter kode til å laste ned og prøver å kjøre flere nyttelaster. Noen legitime bransjeprogrammer kan imidlertid også generere underordnede prosesser for godartede formål; for eksempel å gyte en ledetekst eller bruke PowerShell til å konfigurere registerinnstillinger.
Intune navn:Office apps launching child processes
Configuration Manager navn:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Avansert jakthandlingstype:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Avhengigheter: Microsoft Defender Antivirus
Blokkere legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows
Obs!
Hvis du har LSA-beskyttelse aktivert, er ikke denne regelen for reduksjon av angrepsoverflaten nødvendig. For en sikrere holdning anbefaler vi også å aktivere Credential Guard med LSA-beskyttelsen.
Hvis LSA-beskyttelsen er aktivert, klassifiseres ASR-regelen som ikke aktuell i Defender for administrasjonsinnstillinger for endepunkt i Microsoft Defender-portalen.
Denne regelen bidrar til å forhindre at legitimasjon stjeles ved å låse ned LSASS (Local Security Authority Subsystem Service).
LSASS godkjenner brukere som logger på en Windows-datamaskin. Microsoft Defender Credential Guard i Windows hindrer vanligvis forsøk på å trekke ut legitimasjon fra LSASS. Noen organisasjoner kan ikke aktivere Credential Guard på alle datamaskinene sine på grunn av kompatibilitetsproblemer med egendefinerte smartkortdrivere eller andre programmer som lastes inn i den lokale sikkerhetsmyndigheten (LSA). I slike tilfeller kan angripere bruke verktøy som Mimikatz til å skrape klartekstpassord og NTLM-hash-koder fra LSASS.
Som standard er statusen for denne regelen satt til å blokkere. I de fleste tilfeller foretar mange prosesser kall til LSASS for tilgangsrettigheter som ikke er nødvendige. For eksempel når den første blokken fra ASR-regelen resulterer i et etterfølgende kall for en mindre rettighet som senere lykkes. Hvis du vil ha informasjon om hvilke typer rettigheter som vanligvis er forespurt i prosesskall til LSASS, kan du se Prosesssikkerhet og Tilgangsrettigheter.
Aktivering av denne regelen gir ikke ekstra beskyttelse hvis du har LSA-beskyttelse aktivert siden ASR-regelen og LSA-beskyttelsen fungerer på samme måte. Men når LSA-beskyttelse ikke kan aktiveres, kan denne regelen konfigureres til å gi tilsvarende beskyttelse mot skadelig programvare som mål lsass.exe.
Tips
- ASR-overvåkingshendelser genererer ikke varsler. Men siden LSASS ASR-regelen produserer et stort volum av overvåkingshendelser, og nesten alle er trygge å ignorere når regelen er aktivert i blokkmodus, kan du velge å hoppe over evalueringen i overvåkingsmodus og fortsette å blokkere modusdistribusjon, som begynner med et lite sett med enheter og gradvis utvides for å dekke resten.
- Regelen er utformet for å undertrykke blokkrapporter/varsler for egendefinerte prosesser. Den er også utformet for å slippe rapporter for dupliserte blokker. Derfor er regelen godt egnet til å aktiveres i blokkmodus, uavhengig av om varsler er aktivert eller deaktivert.
- ASR i varslingsmodus er utformet for å presentere brukere med et varsel om blokkvarsling som inneholder en «Opphev blokkering»-knapp. På grunn av LSASS ASR-blokkenes "sikre å ignorere" og deres store volum, anbefales ikke WARN-modus for denne regelen (uavhengig av om varsler er aktivert eller deaktivert).
Obs!
I dette scenarioet klassifiseres ASR-regelen som «ikke aktuell» i Defender for endepunktinnstillinger i Microsoft Defender-portalen.
Asr-regelen for blokklegitimasjon som stjeler fra asr-regelen for lokale sikkerhetsmyndigheter i Windows, støtter ikke WARN-modus.
I noen apper lister koden opp alle prosessene som kjører, og forsøker å åpne dem med uttømmende tillatelser. Denne regelen avslår appens åpne prosesshandling og logger detaljene til hendelsesloggen for sikkerhet. Denne regelen kan generere mye støy. Hvis du har en app som bare lister opp LSASS, men ikke har noen reell innvirkning på funksjonaliteten, er det ikke nødvendig å legge den til i utelatelseslisten. I seg selv indikerer ikke denne hendelsesloggoppføringen nødvendigvis en skadelig trussel.
Intune navn:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager navn:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Avansert jakthandlingstype:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Avhengigheter: Microsoft Defender Antivirus
Kjente problemer: Disse programmene og regelen «Blokker legitimasjonsstjele fra windows lokale sikkerhetsmyndigheters delsystem» er inkompatible:
| Programnavn | Hvis du vil ha informasjon |
|---|---|
| Quest Dirsync-passordsynkronisering | Dirsync-passordsynkronisering fungerer ikke når Windows Defender er installert, feil: VirtualAllocEx mislyktes: 5 (4253914) |
Hvis du trenger teknisk støtte, kontakter du programvareleverandøren.
Blokkere kjørbart innhold fra e-postklient og nettpost
Denne regelen blokkerer e-post som åpnes i Microsoft Outlook-programmet, eller Outlook.com og andre populære nettpostleverandører fra å overføre følgende filtyper:
- Kjørbare filer (for eksempel .exe, .dll eller .scr)
- Skriptfiler (for eksempel en PowerShell .ps1-, Visual Basic .vbs- eller JavaScript .js-fil)
Intune navn:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager navn:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Avansert jakthandlingstype:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Avhengigheter: Microsoft Defender Antivirus
Obs!
Regelen Blokker kjørbart innhold fra e-postklient og nettpost har følgende alternative beskrivelser, avhengig av hvilket program du bruker:
- Intune (Konfigurasjonsprofiler): Kjøring av kjørbart innhold (exe, dll, ps, js, vbs osv.) forkastet fra e-post (nettpost/e-postklient) (ingen unntak).
- Configuration Manager: Blokker nedlasting av kjørbart innhold fra e-post- og nettpostklienter.
- gruppepolicy: Blokkere kjørbart innhold fra e-postklient og nettpost.
Blokkere kjørbare filer fra å kjøre med mindre de oppfyller vilkåret prevalens, alder eller klarert liste
Denne regelen blokkerer kjørbare filer, for eksempel .exe, .dll eller .scr, fra å starte. Dermed kan det være risikabelt å starte ikke-klarerte eller ukjente kjørbare filer, da det i utgangspunktet ikke er klart om filene er skadelige.
Viktig
Du må aktivere skybasert beskyttelse for å bruke denne regelen.
Regelen Blokker kjørbare filer fra å kjøre med mindre de oppfyller vilkåret for utbredelse, alder eller klarert liste med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 , eies av Microsoft og er ikke angitt av administratorer. Denne regelen bruker skybasert beskyttelse til å oppdatere den klarerte listen regelmessig.
Du kan angi individuelle filer eller mapper (ved hjelp av mappebaner eller fullstendige ressursnavn), men du kan ikke angi hvilke regler eller utelatelser som gjelder for.
Intune navn:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager navn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Avansert jakthandlingstype:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Avhengigheter: Microsoft Defender Antivirus, Cloud Protection
Blokkkjøring av potensielt obfuscated skript
Denne regelen oppdager mistenkelige egenskaper i et obfuscated skript.
Obs!
PowerShell-skript støttes nå for regelen «Blokker kjøring av potensielt obfuscated scripts».
Viktig
Du må aktivere skybasert beskyttelse for å bruke denne regelen.
Skript obfuscation er en vanlig teknikk som både malware forfattere og legitime programmer bruker til å skjule immaterielle rettigheter eller redusere skript innlasting ganger. Malware forfattere bruker også obfuscation å gjøre ondsinnet kode vanskeligere å lese, noe som hindrer tett gransking av mennesker og sikkerhetsprogramvare.
Intune navn:Obfuscated js/vbs/ps/macro code
Configuration Manager navn:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Avansert jakthandlingstype:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Avhengigheter: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)
Blokkere JavaScript eller VBScript fra å starte nedlastet kjørbart innhold
Denne regelen hindrer skript i å starte potensielt skadelig nedlastet innhold. Skadelig programvare som er skrevet i JavaScript eller VBScript, fungerer ofte som en nedlaster for å hente og starte annen skadelig programvare fra Internett. Selv om det ikke er vanlig, bruker bransjespesifikke programmer noen ganger skript til å laste ned og starte installasjonsprogrammer.
Intune navn:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager navn:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Avansert jakthandlingstype:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Avhengigheter: Microsoft Defender Antivirus, AMSI
Blokkere Office-programmer fra å opprette kjørbart innhold
Denne regelen hindrer Office-apper, inkludert Word, Excel og PowerPoint, fra å opprette potensielt skadelig kjørbart innhold ved å blokkere skadelig kode fra å bli skrevet til disken. Skadelig programvare som misbruker Office som vektor, kan prøve å bryte ut av Office og lagre skadelige komponenter på disken. Disse ondsinnede komponentene overlever en omstart av datamaskinen og vedvarer på systemet. Derfor forsvarer denne regelen seg mot en felles utholdenhetsteknikk. Denne regelen blokkerer også kjøring av ikke-klarerte filer som kan ha blitt lagret av Office-makroer som har tillatelse til å kjøre i Office-filer.
Intune navn:Office apps/macros creating executable content
Configuration Manager navn:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Avansert jakthandlingstype:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Avhengigheter: Microsoft Defender Antivirus, RPC
Blokkere Office-programmer fra å sette inn kode i andre prosesser
Denne regelen blokkerer forsøk på kodeinjeksjon fra Office-apper til andre prosesser.
Obs!
Blokker programmer fra å sette inn kode i andre prosesser ASR-regelen støtter ikke WARN-modus.
Viktig
Denne regelen krever omstart av Microsoft 365 Apps (Office-programmer) for at konfigurasjonsendringene skal tre i kraft.
Angripere kan prøve å bruke Office-apper til å overføre skadelig kode til andre prosesser gjennom kodeinjeksjon, slik at koden kan maskere seg som en ren prosess. Det finnes ingen kjente legitime forretningsformål for bruk av kodeinjeksjon.
Denne regelen gjelder for Word, Excel, OneNote og PowerPoint.
Intune navn:Office apps injecting code into other processes (no exceptions)
Configuration Manager navn:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Avansert jakthandlingstype:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Avhengigheter: Microsoft Defender Antivirus
Kjente problemer: Disse programmene og regelen «Blokker Office-programmer fra å injisere kode i andre prosesser», er inkompatible:
| Programnavn | Hvis du vil ha informasjon |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | September-2024 (Plattform: 4.18.24090.11 | Motor 1.1.24090.11). |
| Heimdal-sikkerhet | I/T |
Hvis du trenger teknisk støtte, kontakter du programvareleverandøren.
Blokkere Office-kommunikasjonsprogram fra å opprette underordnede prosesser
Denne regelen hindrer Outlook i å opprette underordnede prosesser, samtidig som legitime Outlook-funksjoner tillates. Denne regelen beskytter mot angrep på sosial ingeniørarbeid og hindrer utnyttelse av kode fra å misbruke sårbarheter i Outlook. Den beskytter også mot Outlook-regler og -skjemaer som angripere kan bruke når en brukers legitimasjon er kompromittert.
Obs!
Denne regelen blokkerer DLP-policytips og verktøytips i Outlook. Denne regelen gjelder bare for Outlook og Outlook.com.
Intune navn:Process creation from Office communication products (beta)
Configuration Manager navn: Ikke tilgjengelig
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Avansert jakthandlingstype:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Avhengigheter: Microsoft Defender Antivirus
Blokker utholdenhet gjennom WMI-hendelsesabonnement
Denne regelen hindrer at skadelig programvare misbruker WMI for å oppnå utholdenhet på en enhet.
Filløse trusler bruker ulike taktikker for å holde seg skjult, for å unngå å bli sett i filsystemet, og for å få periodisk utførelseskontroll. Noen trusler kan misbruke WMI-repositoriet og hendelsesmodellen for å holde seg skjult.
Obs!
Hvis CcmExec.exe (SCCM-agent) oppdages på enheten, klassifiseres ASR-regelen som «ikke aktuell» i Defender for endepunktinnstillinger i Microsoft Defender-portalen.
Intune navn:Persistence through WMI event subscription
Configuration Manager navn: Ikke tilgjengelig
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Avansert jakthandlingstype:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Avhengigheter: Microsoft Defender Antivirus, RPC
Blokker prosessopprettinger med opprinnelse fra PSExec- og WMI-kommandoer
Denne regelen blokkerer prosesser som er opprettet via PsExec og WMI , fra å kjøre. Både PsExec og WMI kan kjøre kode eksternt. Det er en risiko for at skadelig programvare misbruker funksjonaliteten til PsExec og WMI for kommando- og kontrollformål, eller for å spre en infeksjon over hele organisasjonens nettverk.
Advarsel
Bruk bare denne regelen hvis du administrerer enhetene dine med Intune eller en annen MDM-løsning. Denne regelen er ikke kompatibel med administrasjon via Microsoft Endpoint Configuration Manager fordi denne regelen blokkerer WMI-kommandoer Configuration Manager klienten bruker til å fungere riktig.
Intune navn:Process creation from PSExec and WMI commands
Configuration Manager navn: Gjelder ikke
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Avansert jakthandlingstype:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Avhengigheter: Microsoft Defender Antivirus
Blokker omstart av maskinen i sikkermodus (forhåndsversjon)
Denne regelen hindrer kjøring av kommandoer for å starte maskiner på nytt i sikkermodus. Sikkermodus er en diagnosemodus som bare laster inn de viktige filene og driverne som kreves for at Windows skal kjøre. Men i sikkermodus er mange sikkerhetsprodukter deaktivert eller opererer i en begrenset kapasitet, noe som gjør det mulig for angripere å starte manipuleringskommandoer ytterligere, eller utføre og kryptere alle filer på maskinen. Denne regelen blokkerer slike angrep ved å hindre at prosesser starter maskiner på nytt i sikkermodus.
Obs!
Denne funksjonen er for øyeblikket i forhåndsversjon. Ytterligere oppgraderinger for å forbedre effekten er under utvikling.
Intune navn:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager navn: Ikke tilgjengelig ennå
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Avansert jakthandlingstype:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Avhengigheter: Microsoft Defender Antivirus
Blokkere ikke-klarerte og usignerte prosesser som kjører fra USB
Med denne regelen kan administratorer hindre usignerte eller ikke-klarerte kjørbare filer fra å kjøre fra USB-flyttbare stasjoner, inkludert SD-kort. Blokkerte filtyper inkluderer kjørbare filer (for eksempel .exe, .dll eller .scr)
Viktig
Filer som kopieres fra USB-en til diskstasjonen, blokkeres av denne regelen hvis og når den er i ferd med å bli utført på diskstasjonen.
Intune navn:Untrusted and unsigned processes that run from USB
Configuration Manager navn:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Avansert jakthandlingstype:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Avhengigheter: Microsoft Defender Antivirus
Blokker bruk av kopierte eller representerte systemverktøy (forhåndsversjon)
Denne regelen blokkerer bruken av kjørbare filer som identifiseres som kopier av Windows-systemverktøy. Disse filene er enten duplikater eller bedragere av de opprinnelige systemverktøyene. Enkelte skadelige programmer kan prøve å kopiere eller representere Windows-systemverktøy for å unngå gjenkjenning eller rettigheter. Hvis du tillater slike kjørbare filer, kan det føre til potensielle angrep. Denne regelen hindrer overføring og kjøring av slike duplikater og bedragere av systemverktøyene på Windows-maskiner.
Obs!
Denne funksjonen er for øyeblikket i forhåndsversjon. Ytterligere oppgraderinger for å forbedre effekten er under utvikling.
Intune navn:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager navn: Ikke tilgjengelig ennå
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Avansert jakthandlingstype:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Avhengigheter: Microsoft Defender Antivirus
Blokker oppretting av Webshell for servere
Denne regelen blokkerer oppretting av webskalletskript på Microsoft Server, Exchange-rolle. Et nettskallskript er et spesielt utformet skript som gjør det mulig for en angriper å kontrollere den kompromitterte serveren. Et nettskall kan inneholde funksjoner som mottak og kjøring av ondsinnede kommandoer, nedlasting og kjøring av skadelige filer, stjele og eksfiltrere legitimasjon og sensitiv informasjon, og identifisere potensielle mål.
Intune navn:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Avhengigheter: Microsoft Defender Antivirus
Blokkere Win32-API-kall fra Office-makroer
Denne regelen hindrer VBA-makroer i å kalle Win32-API-er. Office VBA aktiverer Win32 API-kall. Skadelig programvare kan misbruke denne funksjonen, for eksempel å kalle Win32 API-er for å starte skadelig skallkode uten å skrive noe direkte til disken. De fleste organisasjoner er ikke avhengige av muligheten til å kalle Win32 API-er i sin daglige funksjon, selv om de bruker makroer på andre måter.
Intune navn:Win32 imports from Office macro code
Configuration Manager navn:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Avansert jakthandlingstype:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Avhengigheter: Microsoft Defender Antivirus, AMSI
Bruk avansert beskyttelse mot løsepengevirus
Denne regelen gir et ekstra lag med beskyttelse mot løsepengevirus. Den bruker både klient- og sky-heuristikk for å finne ut om en fil ligner løsepengevirus. Denne regelen blokkerer ikke filer som har én eller flere av følgende egenskaper:
- Filen har allerede blitt funnet å være uskadd i Microsoft-skyen.
- Filen er en gyldig signert fil.
- Filen er utbredt nok til ikke å anses som løsepengevirus.
Regelen har en tendens til å feile på siden av forsiktighet for å hindre ransomware.
Obs!
Du må aktivere skybasert beskyttelse for å bruke denne regelen.
Intune navn:Advanced ransomware protection
Configuration Manager navn:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Avansert jakthandlingstype:
AsrRansomwareAuditedAsrRansomwareBlocked
Avhengigheter: Microsoft Defender Antivirus, Cloud Protection
Se også
- Distribusjonsoversikt over angrepsoverflatereduksjonsregler
- Planlegg distribusjon av regler for reduksjon av angrepsoverflate
- Regler for reduksjon av angrepsoverflate
- Aktiver regler for reduksjon av angrepsoverflate
- Operasjonalisere regler for reduksjon av angrepsoverflate
- Rapport om reduksjon av angrepsoverflate
- Referanse for reduksjonsregler for angrepsoverflate
- Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.