Referens för regler för minskning av attackytan
Gäller för:
- Microsoft Microsoft Defender XDR för slutpunktsplan 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformar:
- Windows
Den här artikeln innehåller information om Microsoft Defender för Endpoint regler för minskning av attackytan (ASR-regler):
- ASR-regler som stöds operativsystemversioner
- ASR-regler som stöds av konfigurationshanteringssystem
- Information om aviseringar och meddelanden per ASR-regel
- ASR-regel till GUID-matris
- ASR-regellägen
- Beskrivningar per regel
Viktigt
Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Tips
Som ett komplement till den här artikeln kan du läsa vår Microsoft Defender för Endpoint installationsguide för att granska metodtips och lära dig mer om viktiga verktyg som minskning av attackytan och nästa generations skydd. Om du vill ha en anpassad upplevelse baserat på din miljö kan du komma åt den automatiserade konfigurationsguiden för Defender för Endpoint i Administrationscenter för Microsoft 365.
Regler för minskning av attackytan efter typ
Regler för minskning av attackytan kategoriseras som en av två typer:
Standardskyddsregler: Är den minsta uppsättningen regler som Microsoft rekommenderar att du alltid aktiverar, medan du utvärderar effekt- och konfigurationsbehoven för de andra ASR-reglerna. Dessa regler har vanligtvis minimal till ingen märkbar inverkan på slutanvändaren.
Andra regler: Regler som kräver något mått på att följa de dokumenterade distributionsstegen [Plan > Test (granskning) > Aktivera (block/varna lägen)], enligt beskrivningen i distributionsguiden för regler för minskning av attackytan
Den enklaste metoden för att aktivera standardskyddsregler finns i: Förenklat standardskyddsalternativ.
ASR-regelnamn: | Standardskyddsregel? | Annan regel? |
---|---|---|
Blockera missbruk av utnyttjade sårbara signerade drivrutiner | Ja | |
Blockera Adobe Reader från att skapa underordnade processer | Ja | |
Blockera alla Office-program från att skapa underordnade processer | Ja | |
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) | Ja | |
Blockera körbart innehåll från e-postklienten och webbmeddelandet | Ja | |
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista | Ja | |
Blockera körning av potentiellt dolda skript | Ja | |
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll | Ja | |
Blockera Office-program från att skapa körbart innehåll | Ja | |
Blockera Office-program från att mata in kod i andra processer | Ja | |
Blockera Office-kommunikationsprogram från att skapa underordnade processer | Ja | |
Blockera beständighet via WMI-händelseprenumeration | Ja | |
Blockera processskapanden från PSExec- och WMI-kommandon | Ja | |
Blockera omstart av datorn i felsäkert läge (förhandsversion) | Ja | |
Blockera obetrodda och osignerade processer som körs från USB | Ja | |
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion) | Ja | |
Blockera skapande av WebShell för servrar | Ja | |
Blockera Win32 API-anrop från Office-makron | Ja | |
Använda avancerat skydd mot utpressningstrojaner | Ja |
Microsoft Defender antivirusundantag och ASR-regler
Microsoft Defender Antivirus-undantag gäller för vissa Microsoft Defender för Endpoint funktioner, till exempel några av reglerna för minskning av attackytan.
Följande ASR-regler respekterar INTE Microsoft Defender antivirusundantag:
Obs!
Information om hur du konfigurerar undantag per regel finns i avsnittet Konfigurera ASR-regler per regelundantag i avsnittet Testa regler för minskning av attackytan.
ASR-regler och Defender for Endpoint Indicators of Compromise (IOC)
Följande ASR-regler respekterar INTE Microsoft Defender för Endpoint indikatorer för kompromisser (IOK):
ASR-regelnamn | Beskrivning |
---|---|
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) | Respekterar inte indikatorer för kompromisser för filer eller certifikat. |
Blockera Office-program från att mata in kod i andra processer | Respekterar inte indikatorer för kompromisser för filer eller certifikat. |
Blockera Win32 API-anrop från Office-makron | Respekterar inte indikatorer för kompropromisser för certifikat. |
OPERATIVSYSTEM som stöds av ASR-regler
I följande tabell visas de operativsystem som stöds för regler som för närvarande släpps till allmän tillgänglighet. Reglerna visas i alfabetisk ordning i den här tabellen.
Obs!
Om inget annat anges är den minsta Windows10-versionen version 1709 (RS3, build 16299) eller senare; Den lägsta Versionen av Windows Server är version 1809 eller senare. Regler för minskning av attackytan i Windows Server 2012 R2 och Windows Server 2016 är tillgängliga för enheter som registrerats med hjälp av det moderna enhetliga lösningspaketet. Mer information finns i Nya Windows Server 2012 R2- och 2016-funktioner i den moderna enhetliga lösningen.
(1) Avser den moderna enhetliga lösningen för Windows Server 2012 och 2016. Mer information finns i Publicera Windows-servrar till Defender för Endpoint-tjänsten.
(2) För Windows Server 2016 och Windows Server 2012 R2 är den lägsta version av Microsoft Endpoint Configuration Manager version 2111 som krävs.
(3) Versions- och versionsnummer gäller endast för Windows10.
ASR-regler som stöds av konfigurationshanteringssystem
Länkar till information om konfigurationshanteringssystemversioner som refereras i den här tabellen visas under den här tabellen.
(1) Du kan konfigurera regler för minskning av attackytan per regel med hjälp av en regels GUID.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM är nu Microsoft Configuration Manager.
Information om aviseringar och meddelanden per ASR-regel
Popup-meddelanden genereras för alla regler i blockeringsläge. Regler i andra lägen genererar inte popup-meddelanden.
För regler med "Regeltillstånd" angivet:
- ASR-regler med
\ASR Rule, Rule State\
kombinationer används för att visa aviseringar (popup-meddelanden) på Microsoft Defender för Endpoint endast för enheter på molnblockeringsnivå "Hög". - Enheter som inte är på den höga molnblockeringsnivån genererar inte aviseringar för några
ASR Rule, Rule State
kombinationer - EDR-aviseringar genereras för ASR-regler i de angivna tillstånden, för enheter på molnblockeringsnivå "Hög+"
- Popup-meddelanden sker endast i blockeringsläge och för enheter på molnblockeringsnivå "Hög"
ASR-regel till GUID-matris
Regelnamn | Regel-GUID |
---|---|
Blockera missbruk av utnyttjade sårbara signerade drivrutiner | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Blockera Adobe Reader från att skapa underordnade processer | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Blockera alla Office-program från att skapa underordnade processer | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Blockera körbart innehåll från e-postklienten och webbmeddelandet | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Blockera körning av potentiellt dolda skript | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll | d3e037e1-3eb8-44c8-a917-57927947596d |
Blockera Office-program från att skapa körbart innehåll | 3b576869-a4ec-4529-8536-b80a7769e899 |
Blockera Office-program från att mata in kod i andra processer | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Blockera Office-kommunikationsprogram från att skapa underordnade processer | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Blockera beständighet via WMI-händelseprenumeration * Fil- och mappundantag stöds inte. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Blockera processskapanden från PSExec- och WMI-kommandon | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Blockera omstart av datorn i felsäkert läge (förhandsversion) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Blockera obetrodda och osignerade processer som körs från USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Blockera skapande av WebShell för servrar | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Blockera Win32 API-anrop från Office-makron | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Använda avancerat skydd mot utpressningstrojaner | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-regellägen
- Inte konfigurerad eller Inaktivera: Tillståndet där ASR-regeln inte är aktiverad eller inaktiverad. Koden för det här tillståndet = 0.
- Blockera: Tillståndet där ASR-regeln är aktiverad. Koden för det här tillståndet är 1.
- Granskning: Tillståndet där ASR-regeln utvärderas för den effekt den skulle ha på organisationen eller miljön om den är aktiverad (inställd på att blockera eller varna). Koden för det här tillståndet är 2.
- Varna Tillståndet där ASR-regeln är aktiverad och visar ett meddelande till slutanvändaren, men tillåter slutanvändaren att kringgå blocket. Koden för det här tillståndet är 6.
Varningsläget är en blocklägestyp som varnar användarna om potentiellt riskfyllda åtgärder. Användare kan välja att kringgå blockvarningsmeddelandet och tillåta den underliggande åtgärden. Användare kan välja OK för att framtvinga blocket eller välja alternativet Kringgå – Avblockera – via popup-meddelandet för slutanvändare som genereras vid tidpunkten för blocket. När varningen har avblockerats tillåts åtgärden till nästa gång varningsmeddelandet inträffar, då slutanvändaren måste formulera om åtgärden.
När knappen Tillåt klickas ignoreras blocket i 24 timmar. Efter 24 timmar måste slutanvändaren tillåta blocket igen. Varningsläget för ASR-regler stöds bara för RS5+-enheter (1809+). Om förbikoppling tilldelas till ASR-regler på enheter med äldre versioner är regeln i blockerat läge.
Du kan också ange en regel i varningsläge via PowerShell genom att AttackSurfaceReductionRules_Actions
ange som "Varna". Till exempel:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Beskrivningar per regel
Blockera missbruk av utnyttjade sårbara signerade drivrutiner
Den här regeln förhindrar att ett program skriver en sårbar signerad drivrutin till disken. Sårbara signerade drivrutiner i naturen kan utnyttjas av lokala program – som har tillräckliga privilegier – för att få åtkomst till kerneln. Sårbara signerade drivrutiner gör det möjligt för angripare att inaktivera eller kringgå säkerhetslösningar, vilket så småningom leder till systemkompromisser.
Regeln Blockera missbruk av utnyttjade sårbara signerade drivrutiner blockerar inte att en drivrutin som redan finns i systemet läses in.
Obs!
Du kan konfigurera den här regeln med hjälp av Intune OMA-URI. Mer information om hur du konfigurerar anpassade regler finns i Intune OMA-URI. Du kan också konfigurera den här regeln med hjälp av PowerShell. Om du vill att en drivrutin ska undersökas använder du den här webbplatsen för att skicka en drivrutin för analys.
Intune namn:Block abuse of exploited vulnerable signed drivers
Configuration Manager namn: Inte tillgängligt än
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Avancerad jaktåtgärdstyp:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Blockera Adobe Reader från att skapa underordnade processer
Den här regeln förhindrar attacker genom att blockera Adobe Reader från att skapa processer.
Skadlig kod kan ladda ned och starta nyttolaster och bryta sig ut ur Adobe Reader via social teknik eller kryphål. Genom att blockera underordnade processer från att genereras av Adobe Reader förhindras skadlig kod som försöker använda Adobe Reader som attackvektor från att spridas.
Intune namn:Process creation from Adobe Reader (beta)
Configuration Manager namn: Inte tillgängligt än
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Avancerad jaktåtgärdstyp:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera alla Office-program från att skapa underordnade processer
Den här regeln blockerar Office-appar från att skapa underordnade processer. Office-appar omfattar Word, Excel, PowerPoint, OneNote och Access.
Att skapa skadliga underordnade processer är en vanlig strategi för skadlig kod. Skadlig kod som missbrukar Office som vektor kör ofta VBA-makron och utnyttjar kod för att ladda ned och försöka köra fler nyttolaster. Vissa legitima verksamhetsspecifika program kan dock också generera underordnade processer för godartade ändamål. till exempel skapa en kommandotolk eller använda PowerShell för att konfigurera registerinställningar.
Intune namn:Office apps launching child processes
Configuration Manager namn:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Avancerad jaktåtgärdstyp:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows
Obs!
Om du har LSA-skydd aktiverat och Credential Guard aktiverat krävs inte den här regeln för minskning av attackytan.
Den här regeln hjälper till att förhindra stöld av autentiseringsuppgifter genom att låsa undersystemtjänsten lokal säkerhetsmyndighet (LSASS).
LSASS autentiserar användare som loggar in på en Windows-dator. Microsoft Defender Credential Guard i Windows förhindrar normalt försök att extrahera autentiseringsuppgifter från LSASS. Vissa organisationer kan inte aktivera Credential Guard på alla sina datorer på grund av kompatibilitetsproblem med anpassade smartkortsdrivrutiner eller andra program som läses in i LSA (Local Security Authority). I dessa fall kan angripare använda verktyg som Mimikatz för att skrapa lösenord i klartext och NTLM-hashar från LSASS.
Som standard är tillståndet för den här regeln inställt på blockera. I de flesta fall gör många processer anrop till LSASS för åtkomsträttigheter som inte behövs. Till exempel när det första blocket från ASR-regeln resulterar i ett efterföljande anrop för en mindre behörighet som därefter lyckas. Information om vilka typer av rättigheter som vanligtvis begärs i processanrop till LSASS finns i : Processsäkerhet och åtkomsträttigheter.
Att aktivera den här regeln ger inte ytterligare skydd om du har LSA-skydd aktiverat eftersom ASR-regeln och LSA-skyddet fungerar på samma sätt. Men när LSA-skydd inte kan aktiveras kan den här regeln konfigureras för att ge motsvarande skydd mot skadlig kod som mål lsass.exe
.
Tips
- ASR-granskningshändelser genererar inte popup-meddelanden. Men eftersom LSASS ASR-regeln skapar stora mängder granskningshändelser, som nästan alla är säkra att ignorera när regeln är aktiverad i blockeringsläge, kan du välja att hoppa över utvärderingen av granskningsläget och fortsätta att blockera lägesdistribution, med början med en liten uppsättning enheter och gradvis expandera för att täcka resten.
- Regeln är utformad för att förhindra blockrapporter/popup-popup-flöden för egna processer. Den är också utformad för att släppa rapporter för duplicerade block. Därför är regeln väl lämpad för att aktiveras i blockeringsläge, oavsett om popup-meddelanden är aktiverade eller inaktiverade.
- ASR i varningsläge är utformat för att ge användarna ett popup-meddelande som innehåller knappen "Avblockera". På grund av LSASS ASR-blockens "säkra att ignorera" och deras stora volym är WARN-läget inte tillrådligt för den här regeln (oavsett om popup-meddelanden är aktiverade eller inaktiverade).
Obs!
I det här scenariot klassificeras ASR-regeln som "inte tillämplig" i Defender för Endpoint-inställningar i Microsoft Defender-portalen. Asr-regeln Blockera stöld av autentiseringsuppgifter från undersystemet ASR i Windows lokala säkerhetsmyndighet stöder inte WARN-läge. I vissa appar räknar koden upp alla processer som körs och försöker öppna dem med fullständig behörighet. Den här regeln nekar appens processöppningsåtgärd och loggar informationen till säkerhetshändelseloggen. Den här regeln kan generera mycket brus. Om du har en app som helt enkelt räknar upp LSASS, men inte har någon verklig inverkan på funktionaliteten, behöver du inte lägga till den i undantagslistan. Den här händelseloggposten indikerar inte nödvändigtvis ett skadligt hot.
Intune namn:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager namn:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Avancerad jaktåtgärdstyp:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Beroenden: Microsoft Defender Antivirus
Kända problem: Dessa program och regeln "Blockera stöld av autentiseringsuppgifter från undersystemet windows local security authority" är inkompatibla:
Programnamn | För information |
---|---|
Quest Dirsync Lösenordssynkronisering | Dirsync Password Sync fungerar inte när Windows Defender är installerat, fel: "VirtualAllocEx misslyckades: 5" (4253914) |
Kontakta programvaruleverantören om du vill ha teknisk support.
Blockera körbart innehåll från e-postklienten och webbmeddelandet
Den här regeln blockerar e-post som öppnas i Microsoft Outlook-programmet, eller Outlook.com och andra populära webbtjänstleverantörer från att sprida följande filtyper:
- Körbara filer (till exempel .exe, .dll eller .scr)
- Skriptfiler (till exempel en PowerShell-.ps1, Visual Basic .vbs eller JavaScript-.js fil)
Intune namn:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager namn:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Avancerad jaktåtgärdstyp:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Beroenden: Microsoft Defender Antivirus
Obs!
Regeln Blockera körbart innehåll från e-postklienten och webbmeddelandet har följande alternativa beskrivningar, beroende på vilket program du använder:
- Intune (konfigurationsprofiler): Körning av körbart innehåll (exe, dll, ps, js, vbs osv.) som tagits bort från e-post (webbmail/e-postklient) (inga undantag).
- Configuration Manager: Blockera nedladdning av körbart innehåll från e-post- och webbmailklienter.
- grupprincip: Blockera körbart innehåll från e-postklienten och webbmeddelandet.
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista
Den här regeln blockerar körbara filer, till exempel .exe, .dll eller .scr, från att starta. Därför kan det vara riskabelt att starta obetrodda eller okända körbara filer, eftersom det kanske inte är klart från början om filerna är skadliga.
Viktigt
Du måste aktivera molnlevererad skydd för att använda den här regeln.
Regeln Blockera körbara filer från att köras om de inte uppfyller ett villkor för prevalens, ålder eller betrodd lista med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
ägs av Microsoft och anges inte av administratörer. Den här regeln använder molnlevererad skydd för att uppdatera sin betrodda lista regelbundet.
Du kan ange enskilda filer eller mappar (med hjälp av mappsökvägar eller fullständigt kvalificerade resursnamn), men du kan inte ange vilka regler eller undantag som gäller för.
Intune namn:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager namn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Avancerad jaktåtgärdstyp:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Beroenden: Microsoft Defender Antivirus, Cloud Protection
Blockera körning av potentiellt dolda skript
Den här regeln identifierar misstänkta egenskaper i ett dolt skript.
Obs!
PowerShell-skript stöds nu för regeln "Blockera körning av potentiellt dolda skript".
Viktigt
Du måste aktivera molnlevererad skydd för att använda den här regeln.
Skriptfördunkning är en vanlig teknik som både författare av skadlig kod och legitima program använder för att dölja immateriella rättigheter eller minska inläsningstiderna för skript. Författare av skadlig kod använder också fördunklare för att göra skadlig kod svårare att läsa, vilket hämmar noggrann granskning av människor och säkerhetsprogramvara.
Intune namn:Obfuscated js/vbs/ps/macro code
Configuration Manager namn:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Avancerad jaktåtgärdstyp:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Beroenden: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
Den här regeln förhindrar att skript startar potentiellt skadligt nedladdat innehåll. Skadlig kod som skrivits i JavaScript eller VBScript fungerar ofta som en nedladdningskomponent för att hämta och starta annan skadlig kod från Internet. Även om det inte är vanligt använder verksamhetsspecifika program ibland skript för att ladda ned och starta installationsprogram.
Intune namn:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager namn:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Avancerad jaktåtgärdstyp:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Beroenden: Microsoft Defender Antivirus, AMSI
Blockera Office-program från att skapa körbart innehåll
Den här regeln förhindrar att Office-appar, inklusive Word, Excel och PowerPoint, skapar potentiellt skadligt körbart innehåll genom att blockera skadlig kod från att skrivas till disk. Skadlig kod som missbrukar Office som en vektor kan försöka bryta sig ur Office och spara skadliga komponenter på disken. Dessa skadliga komponenter skulle överleva en omstart av datorn och finnas kvar i systemet. Den här regeln skyddar därför mot en gemensam beständighetsteknik. Den här regeln blockerar även körning av ej betrodda filer som kan ha sparats av Office-makron som tillåts köras i Office-filer.
Intune namn:Office apps/macros creating executable content
Configuration Manager namn:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Avancerad jaktåtgärdstyp:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Beroenden: Microsoft Defender Antivirus, RPC
Blockera Office-program från att mata in kod i andra processer
Den här regeln blockerar kodinmatningsförsök från Office-appar till andra processer.
Obs!
ASR-regeln Blockera program från att mata in kod i andra processer stöder inte WARN-läge.
Viktigt
Den här regeln kräver omstart Microsoft 365-applikationer (Office-program) för att konfigurationsändringarna ska börja gälla.
Angripare kan försöka använda Office-appar för att migrera skadlig kod till andra processer via kodinmatning, så att koden kan maskeras som en ren process. Det finns inga kända legitima affärssyften för att använda kodinmatning.
Den här regeln gäller för Word, Excel, OneNote och PowerPoint.
Intune namn:Office apps injecting code into other processes (no exceptions)
Configuration Manager namn:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Avancerad jaktåtgärdstyp:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Beroenden: Microsoft Defender Antivirus
Kända problem: Dessa program och regeln "Blockera Office-program från att mata in kod i andra processer" är inkompatibla:
Programnamn | För information |
---|---|
Avecto (BeyondTrust) Privilege Guard | September-2024 (Plattform: 4.18.24090.11 | Motor 1.1.24090.11). |
Säkerhet i Heimdal | Saknas |
Kontakta programvaruleverantören om du vill ha teknisk support.
Blockera Office-kommunikationsprogram från att skapa underordnade processer
Den här regeln förhindrar att Outlook skapar underordnade processer, samtidigt som legitima Outlook-funktioner tillåts. Den här regeln skyddar mot socialteknikattacker och förhindrar att kod missbrukar sårbarheter i Outlook. Det skyddar också mot Outlook-regler och formulärexploateringar som angripare kan använda när en användares autentiseringsuppgifter komprometteras.
Obs!
Den här regeln blockerar DLP-principtips och knappbeskrivningar i Outlook. Den här regeln gäller endast för Outlook och Outlook.com.
Intune namn:Process creation from Office communication products (beta)
Configuration Manager namn: Inte tillgängligt
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Avancerad jaktåtgärdstyp:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera beständighet via WMI-händelseprenumeration
Den här regeln förhindrar att skadlig kod missbrukar WMI för att uppnå beständighet på en enhet.
Viktigt
Fil- och mappundantag gäller inte för den här regeln för minskning av attackytan.
Fillösa hot använder olika metoder för att hålla sig dolda, för att undvika att ses i filsystemet och för att få regelbunden körningskontroll. Vissa hot kan missbruka WMI-lagringsplatsen och händelsemodellen för att förbli dolda.
Obs!
Om CcmExec.exe
(SCCM Agent) identifieras på enheten klassificeras ASR-regeln som "inte tillämplig" i Defender för Endpoint-inställningarna i Microsoft Defender-portalen.
Intune namn:Persistence through WMI event subscription
Configuration Manager namn: Inte tillgängligt
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Avancerad jaktåtgärdstyp:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Beroenden: Microsoft Defender Antivirus, RPC
Blockera processskapanden från PSExec- och WMI-kommandon
Den här regeln blockerar processer som skapas via PsExec och WMI från att köras. Både PsExec och WMI kan fjärrköra kod. Det finns en risk för att skadlig kod missbrukar funktionerna i PsExec och WMI i kommando- och kontrollsyfte, eller för att sprida en infektion i en organisations nätverk.
Varning
Använd endast den här regeln om du hanterar dina enheter med Intune eller en annan MDM-lösning. Den här regeln är inte kompatibel med hantering via Microsoft Endpoint Configuration Manager eftersom den här regeln blockerar WMI-kommandon som Configuration Manager klienten använder för att fungera korrekt.
Intune namn:Process creation from PSExec and WMI commands
Configuration Manager namn: Ej tillämpligt
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Avancerad jaktåtgärdstyp:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera omstart av datorn i felsäkert läge (förhandsversion)
Den här regeln förhindrar körning av kommandon för att starta om datorer i felsäkert läge. Felsäkert läge är ett diagnostikläge som bara läser in de viktiga filer och drivrutiner som krävs för att Windows ska kunna köras. Men i felsäkert läge är många säkerhetsprodukter antingen inaktiverade eller fungerar i en begränsad kapacitet, vilket gör att angripare kan starta manipuleringskommandon ytterligare, eller helt enkelt köra och kryptera alla filer på datorn. Den här regeln blockerar sådana attacker genom att förhindra att processer startar om datorer i felsäkert läge.
Obs!
Den här funktionen är för närvarande i förhandsversion. Ytterligare uppgraderingar för att förbättra effektiviteten är under utveckling.
Intune namn:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager namn: Inte tillgängligt än
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Avancerad jaktåtgärdstyp:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Beroenden: Microsoft Defender Antivirus
Blockera obetrodda och osignerade processer som körs från USB
Med den här regeln kan administratörer förhindra att osignerade eller ej betrodda körbara filer körs från USB-flyttbara enheter, inklusive SD-kort. Blockerade filtyper inkluderar körbara filer (till exempel .exe, .dll eller .scr)
Viktigt
Filer som kopieras från USB till diskenheten kommer att blockeras av den här regeln om och när den är på väg att köras på diskenheten.
Intune namn:Untrusted and unsigned processes that run from USB
Configuration Manager namn:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Avancerad jaktåtgärdstyp:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion)
Den här regeln blockerar användningen av körbara filer som identifieras som kopior av Windows-systemverktyg. Dessa filer är antingen dubbletter eller impostorer av de ursprungliga systemverktygen. Vissa skadliga program kan försöka kopiera eller personifiera Windows-systemverktyg för att undvika identifiering eller få privilegier. Att tillåta sådana körbara filer kan leda till potentiella attacker. Den här regeln förhindrar spridning och körning av sådana dubbletter och avpostorer för systemverktygen på Windows-datorer.
Obs!
Den här funktionen är för närvarande i förhandsversion. Ytterligare uppgraderingar för att förbättra effektiviteten är under utveckling.
Intune namn:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager namn: Inte tillgängligt än
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Avancerad jaktåtgärdstyp:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Beroenden: Microsoft Defender Antivirus
Blockera skapande av WebShell för servrar
Den här regeln blockerar skapande av webbgränssnittsskript på Microsoft Server, Exchange-roll. Ett webbgränssnittsskript är ett specifikt utformat skript som gör det möjligt för en angripare att kontrollera den komprometterade servern. Ett webbgränssnitt kan innehålla funktioner som att ta emot och köra skadliga kommandon, ladda ned och köra skadliga filer, stjäla och exfiltratera autentiseringsuppgifter och känslig information, identifiera potentiella mål osv.
Intune namn:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Beroenden: Microsoft Defender Antivirus
Blockera Win32 API-anrop från Office-makron
Den här regeln förhindrar att VBA-makron anropar Win32-API:er. Office VBA aktiverar Win32 API-anrop. Skadlig kod kan missbruka den här funktionen, till exempel att anropa Win32-API:er för att starta skadligt gränssnitt utan att skriva något direkt till disken. De flesta organisationer förlitar sig inte på möjligheten att anropa Win32-API:er i sin dagliga funktion, även om de använder makron på andra sätt.
Intune namn:Win32 imports from Office macro code
Configuration Manager namn:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Avancerad jaktåtgärdstyp:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Beroenden: Microsoft Defender Antivirus, AMSI
Använda avancerat skydd mot utpressningstrojaner
Den här regeln ger ett extra skydd mot utpressningstrojaner. Den använder både klient- och moln-heuristik för att avgöra om en fil liknar utpressningstrojaner. Den här regeln blockerar inte filer som har en eller flera av följande egenskaper:
- Filen har redan visat sig vara odelningsbar i Microsoft-molnet.
- Filen är en giltig signerad fil.
- Filen är tillräckligt utbredd för att inte betraktas som utpressningstrojan.
Regeln tenderar att fela på sidan av försiktighet för att förhindra utpressningstrojaner.
Obs!
Du måste aktivera molnlevererad skydd för att använda den här regeln.
Intune namn:Advanced ransomware protection
Configuration Manager namn:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Avancerad jaktåtgärdstyp:
AsrRansomwareAudited
AsrRansomwareBlocked
Beroenden: Microsoft Defender Antivirus, Cloud Protection
Se även
- Översikt över distribution av regler för minskning av attackytan
- Planera distribution av regler för minskning av attackytan
- Testa regler för minskning av attackytan
- Aktivera regler för minskning av attackytan
- Operationalisera regler för minskning av attackytan
- Rapport över regler för minskning av attackytan
- Referens för regler för minskning av attackytan
- Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.