Dokumentacja reguł zmniejszania obszaru podatnego na ataki
Dotyczy:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
- Program antywirusowy Microsoft Defender
Platformy:
- System Windows
Ten artykuł zawiera informacje o regułach zmniejszania obszaru ataków Ochrona punktu końcowego w usłudze Microsoft Defender (reguły asr):
- Obsługiwane wersje systemów operacyjnych reguł usługi ASR
- Obsługiwane systemy zarządzania konfiguracją reguł usługi ASR
- Alert reguły usługi ASR i szczegóły powiadomień
- Reguła usługi ASR do macierzy GUID
- Tryby reguł usługi ASR
- Opisy reguł
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Porada
Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z najlepszymi rozwiązaniami i poznać podstawowe narzędzia, takie jak zmniejszanie obszaru podatnego na ataki i ochrona nowej generacji. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji usługi Defender for Endpoint w Centrum administracyjne platformy Microsoft 365.
Reguły zmniejszania obszaru ataków według typu
Reguły zmniejszania obszaru ataków są skategoryzowane jako jeden z dwóch typów:
Standardowe reguły ochrony: są minimalnym zestawem reguł, które firma Microsoft zaleca, aby zawsze włączyć, podczas oceniania wymagań dotyczących efektu i konfiguracji innych reguł usługi ASR. Te reguły zwykle mają minimalny lub żaden zauważalny wpływ na użytkownika końcowego.
Inne reguły: reguły wymagające pewnej miary wykonania udokumentowanych kroków wdrażania [Test planu > (inspekcja) > Włączanie (tryby bloku/ostrzegania)], zgodnie z opisem w przewodniku wdrażania reguł zmniejszania obszaru ataków
Aby uzyskać najprostszą metodę włączania standardowych reguł ochrony, zobacz: Uproszczona standardowa opcja ochrony.
Nazwa reguły usługi ASR: | Standardowa reguła ochrony? | Inna reguła? |
---|---|---|
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców | Tak | |
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych | Tak | |
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office | Tak | |
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) | Tak | |
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej | Tak | |
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych | Tak | |
Blokuj wykonywanie potencjalnie zaciemnionych skryptów | Tak | |
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript | Tak | |
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office | Tak | |
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów | Tak | |
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office | Tak | |
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI | Tak | |
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI | Tak | |
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza) | Tak | |
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB | Tak | |
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza) | Tak | |
Blokuj tworzenie programu WebShell dla serwerów | Tak | |
Blokuj wywołania interfejsu API Win32 z makr pakietu Office | Tak | |
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup | Tak |
Microsoft Defender wykluczeń programu antywirusowego i reguł usługi ASR
Microsoft Defender wykluczenia programu antywirusowego mają zastosowanie do niektórych funkcji Ochrona punktu końcowego w usłudze Microsoft Defender, takich jak niektóre reguły zmniejszania obszaru ataków.
Następujące reguły usługi ASR NIE uwzględniają wykluczeń programu antywirusowego Microsoft Defender:
Uwaga
Aby uzyskać informacje na temat konfigurowania wykluczeń dla reguł, zobacz sekcję Zatytułowaną Konfigurowanie reguł asr dla wykluczeń reguł w temacie Testowanie reguł zmniejszania obszaru ataków.
Reguły usługi ASR i wskaźniki naruszenia zabezpieczeń usługi Defender for Endpoint (IOC)
Następujące reguły usługi ASR NIE uwzględniają Ochrona punktu końcowego w usłudze Microsoft Defender wskaźników kompromisu (MKOl):
Nazwa reguły usługi ASR | Opis |
---|---|
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) | Nie uwzględnia wskaźników naruszenia zabezpieczeń dla plików lub certyfikatów. |
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów | Nie uwzględnia wskaźników naruszenia zabezpieczeń dla plików lub certyfikatów. |
Blokuj wywołania interfejsu API Win32 z makr pakietu Office | Nie uwzględnia wskaźników naruszenia zabezpieczeń certyfikatów. |
Obsługiwane systemy operacyjne reguł usługi ASR
Poniższa tabela zawiera listę obsługiwanych systemów operacyjnych dla reguł, które są obecnie udostępniane do ogólnej dostępności. Reguły są wymienione w kolejności alfabetycznej w tej tabeli.
Uwaga
O ile nie wskazano inaczej, minimalna kompilacja systemu Windows10 to wersja 1709 (RS3, kompilacja 16299) lub nowsza; minimalna kompilacja Windows Server to wersja 1809 lub nowsza. Reguły zmniejszania obszaru ataków w Windows Server 2012 R2 i Windows Server 2016 są dostępne dla urządzeń dołączonych przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nowe funkcje Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu).
(1) Odnosi się do nowoczesnego ujednoliconego rozwiązania dla Windows Server 2012 i 2016 roku. Aby uzyskać więcej informacji, zobacz Dołączanie serwerów z systemem Windows do usługi Defender for Endpoint.
(2) W przypadku Windows Server 2016 i Windows Server 2012 R2 minimalna wymagana wersja programu Microsoft Endpoint Configuration Manager to wersja 2111.
(3) Wersja i numer kompilacji mają zastosowanie tylko do systemu Windows10.
Obsługiwane systemy zarządzania konfiguracją reguł usługi ASR
Poniżej tej tabeli znajdują się linki do informacji o wersjach systemu zarządzania konfiguracją, do których odwołuje się ta tabela.
(1) Reguły zmniejszania obszaru ataków można skonfigurować dla każdej reguły przy użyciu identyfikatora GUID dowolnej reguły.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM jest teraz Microsoft Configuration Manager.
Alert reguły usługi ASR i szczegóły powiadomień
Powiadomienia wyskakujące są generowane dla wszystkich reguł w trybie bloku. Reguły w żadnym innym trybie nie generują wyskakujących powiadomień.
W przypadku reguł z określonym stanem reguły:
- Reguły usługi ASR z
\ASR Rule, Rule State\
kombinacjami są używane do wyskakujących alertów (wyskakujących powiadomień) na Ochrona punktu końcowego w usłudze Microsoft Defender tylko dla urządzeń na poziomie bloku chmury "Wysoki". - Urządzenia, które nie są na wysokim poziomie bloku chmury, nie generują alertów dla żadnych
ASR Rule, Rule State
kombinacji - Alerty EDR są generowane dla reguł usługi ASR w określonych stanach dla urządzeń na poziomie bloku chmury "High+"
- Powiadomienia wyskakujące są wykonywane tylko w trybie bloku, a w przypadku urządzeń na poziomie bloku chmury "Wysoki"
Reguła usługi ASR do macierzy GUID
Nazwa reguły | Identyfikator GUID reguły |
---|---|
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Blokuj wykonywanie potencjalnie zaciemnionych skryptów | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript | d3e037e1-3eb8-44c8-a917-57927947596d |
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office | 3b576869-a4ec-4529-8536-b80a7769e899 |
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI * Wykluczenia plików i folderów nie są obsługiwane. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Blokuj tworzenie programu WebShell dla serwerów | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Blokuj wywołania interfejsu API Win32 z makr pakietu Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Tryby reguł usługi ASR
- Nie skonfigurowano lub wyłącz: stan, w którym reguła usługi ASR nie jest włączona lub jest wyłączona. Kod dla tego stanu = 0.
- Blokuj: stan, w którym jest włączona reguła usługi ASR. Kod dla tego stanu to 1.
- Inspekcja: stan, w którym reguła usługi ASR jest oceniana pod kątem wpływu, jaki miałaby na organizację lub środowisko, jeśli zostałaby włączona (ustawiona na wartość bloku lub ostrzeżenia). Kod dla tego stanu to 2.
- Ostrzegać Stan, w którym reguła usługi ASR jest włączona i wyświetla użytkownikowi końcowemu powiadomienie, ale umożliwia użytkownikowi końcowemu obejście bloku. Kod dla tego stanu to 6.
Tryb ostrzeżenia to typ trybu bloku, który ostrzega użytkowników o potencjalnie ryzykownych akcjach. Użytkownicy mogą pominąć komunikat ostrzegawczy bloku i zezwolić na akcję bazową. Użytkownicy mogą wybrać przycisk OK , aby wymusić blok, lub wybrać opcję obejścia — Odblokuj — za pośrednictwem wyskakujących powiadomień wyskakujących użytkownika końcowego generowanych w czasie blokowania. Po odblokowaniu ostrzeżenia operacja jest dozwolona do następnego wystąpienia komunikatu ostrzegawczego, w którym to czasie użytkownik końcowy będzie musiał ponownie sformułować akcję.
Po kliknięciu przycisku zezwalania blok jest pomijany przez 24 godziny. Po 24 godzinach użytkownik końcowy będzie musiał ponownie zezwolić na blok. Tryb ostrzegania dla reguł usługi ASR jest obsługiwany tylko dla urządzeń RS5+ (1809+). Jeśli obejście jest przypisane do reguł usługi ASR na urządzeniach ze starszymi wersjami, reguła jest w trybie zablokowanym.
Możesz również ustawić regułę w trybie ostrzeżenia za pośrednictwem programu PowerShell, określając AttackSurfaceReductionRules_Actions
ją jako "Warn". Przykład:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Opisy reguł
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
Ta reguła uniemożliwia aplikacji zapisanie na dysku wrażliwego sterownika podpisanego. W środowisku naturalnym, wrażliwe sterowniki podpisane mogą być wykorzystywane przez aplikacje lokalne - które mają wystarczające uprawnienia - aby uzyskać dostęp do jądra. Wrażliwe sterowniki podpisane umożliwiają osobom atakującym wyłączanie lub obchodzenie rozwiązań zabezpieczeń, co ostatecznie prowadzi do naruszenia zabezpieczeń systemu.
Reguła Blokuj nadużywanie wykorzystywanych sterowników podpisanych przez luki w zabezpieczeniach nie blokuje załadowania sterownika już istniejącego w systemie.
Uwaga
Tę regułę można skonfigurować przy użyciu Intune identyfikatora OMA-URI. Zobacz Intune OMA-URI, aby skonfigurować reguły niestandardowe. Tę regułę można również skonfigurować przy użyciu programu PowerShell. Aby zbadać sterownik, użyj tej witryny sieci Web, aby przesłać sterownik do analizy.
nazwa Intune:Block abuse of exploited vulnerable signed drivers
nazwa Configuration Manager: Nie jest jeszcze dostępna
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych
Ta reguła zapobiega atakom, blokując programowi Adobe Reader tworzenie procesów.
Złośliwe oprogramowanie może pobierać i uruchamiać ładunki oraz wyrwać się z programu Adobe Reader za pośrednictwem inżynierii społecznej lub exploitów. Blokując generowanie procesów podrzędnych przez program Adobe Reader, złośliwe oprogramowanie próbujące użyć programu Adobe Reader jako wektora ataku nie może się rozprzestrzeniać.
nazwa Intune:Process creation from Adobe Reader (beta)
nazwa Configuration Manager: Nie jest jeszcze dostępna
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office
Ta reguła uniemożliwia aplikacjom pakietu Office tworzenie procesów podrzędnych. Aplikacje pakietu Office obejmują Word, Excel, PowerPoint, OneNote i Access.
Tworzenie złośliwych procesów podrzędnych jest typową strategią złośliwego oprogramowania. Złośliwe oprogramowanie, które nadużywa pakietu Office jako wektora, często uruchamia makra VBA i wykorzystuje kod do pobrania i próby uruchomienia większej liczby ładunków. Jednak niektóre uzasadnione aplikacje biznesowe mogą również generować procesy podrzędne dla niegroźnych celów; na przykład zduplikowanie wiersza polecenia lub użycie programu PowerShell do skonfigurowania ustawień rejestru.
nazwa Intune:Office apps launching child processes
nazwa Configuration Manager:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows
Uwaga
Jeśli włączono ochronę LSA i włączono funkcję Credential Guard , ta reguła zmniejszania obszaru ataków nie jest wymagana.
Ta reguła pomaga zapobiegać kradzieży poświadczeń przez zablokowanie usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS).
Usługa LSASS uwierzytelnia użytkowników, którzy logują się na komputerze z systemem Windows. Microsoft Defender Credential Guard w systemie Windows zwykle uniemożliwia próby wyodrębnienia poświadczeń z usługi LSASS. Niektóre organizacje nie mogą włączyć funkcji Credential Guard na wszystkich swoich komputerach z powodu problemów ze zgodnością z niestandardowymi sterownikami kart inteligentnych lub innymi programami, które ładują się do lokalnego urzędu zabezpieczeń (LSA). W takich przypadkach osoby atakujące mogą używać narzędzi takich jak Mimikatz, aby zeskrobać hasła zwykłego tekstu i skróty NTLM z usługi LSASS.
Domyślnie stan tej reguły jest ustawiony na blok. W większości przypadków wiele procesów wywołuje LSASS w celu uzyskania praw dostępu, które nie są potrzebne. Na przykład, gdy początkowy blok reguły asr powoduje kolejne wywołanie mniejszego uprawnienia, które następnie zakończy się powodzeniem. Aby uzyskać informacje o typach praw, które są zwykle wymagane podczas wywołań procesu do LSASS, zobacz: Zabezpieczenia procesu i prawa dostępu.
Włączenie tej reguły nie zapewnia dodatkowej ochrony, jeśli włączono ochronę LSA, ponieważ reguła usługi ASR i ochrona LSA działają podobnie. Jeśli jednak nie można włączyć ochrony LSA, tę regułę można skonfigurować tak, aby zapewniała równoważną ochronę przed złośliwym oprogramowaniem docelowym lsass.exe
.
Porada
- Zdarzenia inspekcji usługi ASR nie generują wyskakujących powiadomień. Jednak ponieważ reguła LSASS ASR generuje dużą liczbę zdarzeń inspekcji, z których prawie wszystkie można bezpiecznie zignorować, gdy reguła jest włączona w trybie bloku, można pominąć ocenę trybu inspekcji i przejść do blokowania wdrożenia trybu, zaczynając od niewielkiego zestawu urządzeń i stopniowo rozszerzając się, aby pokryć resztę.
- Reguła została zaprojektowana tak, aby pomijać raporty blokowe/wyskakujące dla przyjaznych procesów. Jest również przeznaczony do porzucania raportów dla zduplikowanych bloków. W związku z tym reguła dobrze nadaje się do włączenia w trybie bloku, niezależnie od tego, czy powiadomienia wyskakujące są włączone, czy wyłączone.
- Usługa ASR w trybie ostrzegania jest przeznaczona do prezentowania użytkownikom wyskakujących powiadomień blokowych zawierających przycisk "Odblokuj". Ze względu na "bezpieczny do zignorowania" charakter bloków LSASS ASR i ich duży wolumin, tryb WARN nie jest zalecane dla tej reguły (niezależnie od tego, czy powiadomienia wyskakujące są włączone lub wyłączone).
Uwaga
W tym scenariuszu reguła usługi ASR jest klasyfikowana jako "nie dotyczy" w ustawieniach usługi Defender for Endpoint w portalu Microsoft Defender. Reguła blokuj kradzież poświadczeń z podsystemu ASR lokalnego urzędu zabezpieczeń systemu Windows nie obsługuje trybu WARN. W niektórych aplikacjach kod wylicza wszystkie uruchomione procesy i próbuje je otworzyć z wyczerpującymi uprawnieniami. Ta reguła nie zezwala na akcję otwierania procesu aplikacji i rejestruje szczegóły w dzienniku zdarzeń zabezpieczeń. Ta reguła może generować dużo szumu. Jeśli masz aplikację, która po prostu wylicza usługę LSASS, ale nie ma rzeczywistego wpływu na funkcjonalność, nie ma potrzeby dodawania jej do listy wykluczeń. Sam wpis dziennika zdarzeń nie musi wskazywać na złośliwe zagrożenie.
nazwa Intune:Flag credential stealing from the Windows local security authority subsystem
nazwa Configuration Manager:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Zależności: program antywirusowy Microsoft Defender
Znane problemy: Te aplikacje i reguła "Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows" są niezgodne:
Nazwa aplikacji | Aby uzyskać informacje |
---|---|
Quest Dirsync Password Sync | Synchronizacja haseł dirsync nie działa po zainstalowaniu usługi Windows Defender, błąd: "VirtualAllocEx failed: 5" (4253914) |
Aby uzyskać pomoc techniczną, skontaktuj się z dostawcą oprogramowania.
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej
Ta reguła blokuje otwarcie poczty e-mail w aplikacji Microsoft Outlook lub Outlook.com i innych popularnych dostawców poczty internetowej przed propagowaniem następujących typów plików:
- Pliki wykonywalne (takie jak .exe, .dll lub scr)
- Pliki skryptów (takie jak .ps1 programu PowerShell, pliki vbs języka Visual Basic lub javascript .js)
nazwa Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
nazwa Microsoft Configuration Manager:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Zależności: program antywirusowy Microsoft Defender
Uwaga
Reguła Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej ma następujące alternatywne opisy, w zależności od używanej aplikacji:
- Intune (profile konfiguracji): wykonywanie zawartości wykonywalnej (np. dll, ps, js, vbs itp.) porzucone z poczty e-mail (poczta internetowa/klient poczty) (bez wyjątków).
- Configuration Manager: blokuj pobieranie zawartości wykonywalnej z klientów poczty e-mail i poczty internetowej.
- zasady grupy: blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej.
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych
Ta reguła blokuje uruchamianie plików wykonywalnych, takich jak .exe, .dll lub scr. W związku z tym uruchamianie niezaufanych lub nieznanych plików wykonywalnych może być ryzykowne, ponieważ początkowo nie jest jasne, czy pliki są złośliwe.
Ważna
Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę .
Reguła Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanej z identyfikatorem GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
, jest własnością firmy Microsoft i nie jest określane przez administratorów. Ta reguła używa ochrony dostarczanej przez chmurę do regularnego aktualizowania swojej listy zaufanej.
Można określić poszczególne pliki lub foldery (przy użyciu ścieżek folderów lub w pełni kwalifikowanych nazw zasobów), ale nie można określić, do których reguł lub wykluczeń mają zastosowanie.
nazwa Intune:Executables that don't meet a prevalence, age, or trusted list criteria
nazwa Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze
Blokuj wykonywanie potencjalnie zaciemnionych skryptów
Ta reguła wykrywa podejrzane właściwości w zaciemnionym skryptze.
Uwaga
Skrypty programu PowerShell są teraz obsługiwane dla reguły "Blokuj wykonywanie potencjalnie zaciemnionych skryptów".
Ważna
Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę.
Zaciemnianie skryptów jest powszechną techniką, z którą korzystają zarówno autorzy złośliwego oprogramowania, jak i uzasadnione aplikacje, aby ukryć własność intelektualną lub skrócić czas ładowania skryptu. Autorzy złośliwego oprogramowania używają również zaciemniania, aby utrudnić odczytywanie złośliwego kodu, co utrudnia ścisłą kontrolę ludzi i oprogramowania zabezpieczającego.
nazwa Intune:Obfuscated js/vbs/ps/macro code
nazwa Configuration Manager:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Zależności: program antywirusowy Microsoft Defender, interfejs skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI)
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript
Ta reguła uniemożliwia skryptom uruchamianie potencjalnie złośliwej pobranej zawartości. Złośliwe oprogramowanie napisane w języku JavaScript lub VBScript często działa jako narzędzie do pobierania i uruchamiania innego złośliwego oprogramowania z Internetu. Chociaż nie jest to typowe, aplikacje biznesowe czasami używają skryptów do pobierania i uruchamiania instalatorów.
nazwa Intune:js/vbs executing payload downloaded from Internet (no exceptions)
nazwa Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Zależności: program antywirusowy Microsoft Defender, amsi
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office
Ta reguła uniemożliwia aplikacjom pakietu Office, w tym Word, Excelowi i PowerPoint, tworzenie potencjalnie złośliwej zawartości wykonywalnej przez blokowanie zapisu złośliwego kodu na dysku. Złośliwe oprogramowanie, które nadużywa pakietu Office jako wektora, może próbować wyrwać się z pakietu Office i zapisać złośliwe składniki na dysku. Te złośliwe składniki przetrwałyby ponowne uruchomienie komputera i utrwaliłyby się w systemie. W związku z tym ta reguła broni się przed powszechną techniką trwałości. Ta reguła blokuje również wykonywanie niezaufanych plików, które mogły zostać zapisane przez makra pakietu Office, które mogą być uruchamiane w plikach pakietu Office.
nazwa Intune:Office apps/macros creating executable content
nazwa Configuration Manager:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Zależności: program antywirusowy Microsoft Defender, RPC
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów
Ta reguła blokuje próby wstrzyknięcia kodu z aplikacji pakietu Office do innych procesów.
Uwaga
Reguła Blokuj aplikacjom wstrzykiwanie kodu do innych procesów asr nie obsługuje trybu WARN.
Ważna
Ta reguła wymaga ponownego uruchomienia Aplikacje Microsoft 365 (aplikacji pakietu Office), aby zmiany konfiguracji zaczęły obowiązywać.
Osoby atakujące mogą próbować przeprowadzić migrację złośliwego kodu do innych procesów za pomocą aplikacji pakietu Office, aby kod mógł zostać zamapowany jako czysty proces. Nie ma znanych uzasadnionych celów biznesowych do wstrzykiwania kodu.
Ta reguła ma zastosowanie do Word, Excel, OneNote i PowerPoint.
nazwa Intune:Office apps injecting code into other processes (no exceptions)
nazwa Configuration Manager:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Zależności: program antywirusowy Microsoft Defender
Znane problemy: Te aplikacje i reguła "Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów" są niezgodne:
Nazwa aplikacji | Aby uzyskać informacje |
---|---|
Avecto (BeyondTrust) Privilege Guard | Wrzesień 2024 r. (platforma: 4.18.24090.11 | Silnik 1.1.24090.11). |
Zabezpieczenia Heimdal | nie dotyczy |
Aby uzyskać pomoc techniczną, skontaktuj się z dostawcą oprogramowania.
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office
Ta reguła uniemożliwia programowi Outlook tworzenie procesów podrzędnych, a jednocześnie zezwala na prawidłowe funkcje programu Outlook. Ta reguła chroni przed atakami inżynierii społecznej i uniemożliwia wykorzystanie kodu przed nadużywaniem luk w zabezpieczeniach w programie Outlook. Chroni również przed regułami programu Outlook i formami wykorzystującymi luki w zabezpieczeniach , których osoby atakujące mogą używać w przypadku naruszenia poświadczeń użytkownika.
Uwaga
Ta reguła blokuje porady dotyczące zasad DLP i etykietki narzędzi w programie Outlook. Ta reguła dotyczy tylko programu Outlook i Outlook.com.
nazwa Intune:Process creation from Office communication products (beta)
nazwa Configuration Manager: niedostępna
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
Ta reguła uniemożliwia złośliwemu oprogramowaniu nadużywanie usługi WMI w celu uzyskania trwałości na urządzeniu.
Zagrożenia bez plików stosują różne taktyki, aby pozostać w ukryciu, aby uniknąć bycia widocznym w systemie plików i uzyskać okresową kontrolę nad wykonywaniem. Niektóre zagrożenia mogą nadużywać repozytorium WMI i modelu zdarzeń, aby pozostać w ukryciu.
Uwaga
Jeśli CcmExec.exe
(agent SCCM) zostanie wykryty na urządzeniu, reguła usługi ASR zostanie sklasyfikowana jako "nie dotyczy" w ustawieniach usługi Defender for Endpoint w portalu Microsoft Defender.
nazwa Intune:Persistence through WMI event subscription
nazwa Configuration Manager: niedostępna
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Zależności: program antywirusowy Microsoft Defender, RPC
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI
Ta reguła blokuje uruchamianie procesów utworzonych za pośrednictwem programu PsExec i usługi WMI . Zarówno program PsExec, jak i usługa WMI mogą zdalnie wykonywać kod. Istnieje ryzyko, że złośliwe oprogramowanie nadużywa funkcji programu PsExec i WMI do celów dowodzenia i kontroli lub rozprzestrzeniania infekcji w sieci organizacji.
Ostrzeżenie
Tej reguły należy używać tylko wtedy, gdy zarządzasz urządzeniami za pomocą Intune lub innego rozwiązania MDM. Ta reguła jest niezgodna z zarządzaniem za pośrednictwem Configuration Manager punktu końcowego firmy Microsoft, ponieważ ta reguła blokuje polecenia usługi WMI, których klient Configuration Manager używa do poprawnego działania.
nazwa Intune:Process creation from PSExec and WMI commands
nazwa Configuration Manager: Nie dotyczy
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza)
Ta reguła uniemożliwia wykonywanie poleceń w celu ponownego uruchomienia maszyn w trybie awaryjnym. Tryb awaryjny to tryb diagnostyczny, który ładuje tylko podstawowe pliki i sterowniki potrzebne do uruchomienia systemu Windows. Jednak w trybie awaryjnym wiele produktów zabezpieczeń jest wyłączonych lub działa w ograniczonej pojemności, co pozwala osobom atakującym na dalsze uruchamianie poleceń powodujących naruszenie lub po prostu wykonywanie i szyfrowanie wszystkich plików na maszynie. Ta reguła blokuje takie ataki, uniemożliwiając procesom ponowne uruchamianie maszyn w trybie awaryjnym.
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe uaktualnienia w celu poprawy skuteczności są w trakcie opracowywania.
nazwa Intune:[PREVIEW] Block rebooting machine in Safe Mode
nazwa Configuration Manager: Nie jest jeszcze dostępna
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Zależności: program antywirusowy Microsoft Defender
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB
Dzięki tej regule administratorzy mogą uniemożliwić uruchamianie niezapisanych lub niezaufanych plików wykonywalnych z dysków wymiennych USB, w tym kart SD. Zablokowane typy plików obejmują pliki wykonywalne (takie jak .exe, .dll lub scr)
Ważna
Pliki skopiowane z dysku USB na dysk zostaną zablokowane przez tę regułę, jeśli i kiedy ma zostać wykonane na dysku.
nazwa Intune:Untrusted and unsigned processes that run from USB
nazwa Configuration Manager:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza)
Ta reguła blokuje korzystanie z plików wykonywalnych, które są identyfikowane jako kopie narzędzi systemu Windows. Te pliki są duplikatami lub oszustami oryginalnych narzędzi systemowych. Niektóre złośliwe programy mogą próbować skopiować lub personifikować narzędzia systemu Windows, aby uniknąć wykrycia lub uzyskania uprawnień. Zezwolenie na takie pliki wykonywalne może prowadzić do potencjalnych ataków. Ta reguła uniemożliwia propagację i wykonywanie takich duplikatów i oszustów narzędzi systemowych na maszynach z systemem Windows.
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe uaktualnienia w celu poprawy skuteczności są w trakcie opracowywania.
nazwa Intune:[PREVIEW] Block use of copied or impersonated system tools
nazwa Configuration Manager: Nie jest jeszcze dostępna
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Zależności: program antywirusowy Microsoft Defender
Blokuj tworzenie programu WebShell dla serwerów
Ta reguła blokuje tworzenie skryptu powłoki internetowej na serwerze Microsoft Server w roli programu Exchange. Skrypt powłoki internetowej to specjalnie spreparowany skrypt, który umożliwia atakującemu kontrolowanie naruszonego serwera. Powłoka internetowa może obejmować funkcje, takie jak odbieranie i wykonywanie złośliwych poleceń, pobieranie i wykonywanie złośliwych plików, kradzież i eksfiltrowanie poświadczeń oraz poufnych informacji, identyfikowanie potencjalnych celów itp.
nazwa Intune:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Zależności: program antywirusowy Microsoft Defender
Blokuj wywołania interfejsu API Win32 z makr pakietu Office
Ta reguła uniemożliwia makra VBA wywoływanie interfejsów API Win32. Usługa Office VBA umożliwia wywołania interfejsu API Win32. Złośliwe oprogramowanie może nadużywać tej funkcji, na przykład wywoływania interfejsów API Win32 w celu uruchomienia złośliwego kodu powłoki bez pisania czegokolwiek bezpośrednio na dysku. Większość organizacji nie polega na możliwości wywoływania interfejsów API Win32 w ich codziennym funkcjonowaniu, nawet jeśli używają makr w inny sposób.
nazwa Intune:Win32 imports from Office macro code
nazwa Configuration Manager:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Zależności: program antywirusowy Microsoft Defender, amsi
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup
Ta reguła zapewnia dodatkową warstwę ochrony przed oprogramowaniem wymuszającym okup. Używa zarówno heurystyki klienta, jak i chmury, aby określić, czy plik przypomina oprogramowanie wymuszające okup. Ta reguła nie blokuje plików o co najmniej jednej z następujących cech:
- Plik został już uznany za bez szwanku w chmurze firmy Microsoft.
- Plik jest prawidłowym podpisanym plikiem.
- Plik jest wystarczająco rozpowszechniony, aby nie być uważanym za oprogramowanie wymuszające okup.
Reguła ma tendencję do błądzić po stronie ostrożności, aby zapobiec ransomware.
Uwaga
Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę .
nazwa Intune:Advanced ransomware protection
nazwa Configuration Manager:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrRansomwareAudited
AsrRansomwareBlocked
Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze
Zobacz też
- Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
- Planowanie wdrożenia reguł zmniejszania obszaru podatnego na ataki
- Reguły zmniejszania obszaru ataków testowych
- Włączanie reguł zmniejszania obszaru ataków
- Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki
- Raport reguł zmniejszania obszaru ataków
- Dokumentacja reguł zmniejszania obszaru podatnego na ataki
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.