Dela via


Referens för regler för minskning av attackytan

Gäller för:

Plattformar:

  • Windows

Den här artikeln innehåller information om Microsoft Defender för Endpoint regler för minskning av attackytan (ASR-regler):

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Tips

Som ett komplement till den här artikeln kan du läsa vår Microsoft Defender för Endpoint installationsguide för att granska metodtips och lära dig mer om viktiga verktyg som minskning av attackytan och nästa generations skydd. Om du vill ha en anpassad upplevelse baserat på din miljö kan du komma åt den automatiserade konfigurationsguiden för Defender för Endpoint i Administrationscenter för Microsoft 365.

Regler för minskning av attackytan efter typ

Regler för minskning av attackytan kategoriseras som en av två typer:

  • Standardskyddsregler: Är den minsta uppsättningen regler som Microsoft rekommenderar att du alltid aktiverar, medan du utvärderar effekt- och konfigurationsbehoven för de andra ASR-reglerna. Dessa regler har vanligtvis minimal till ingen märkbar inverkan på slutanvändaren.

  • Andra regler: Regler som kräver något mått på att följa de dokumenterade distributionsstegen [Plan > Test (granskning) > Aktivera (block/varna lägen)], enligt beskrivningen i distributionsguiden för regler för minskning av attackytan

Den enklaste metoden för att aktivera standardskyddsregler finns i: Förenklat standardskyddsalternativ.

ASR-regelnamn: Standardskyddsregel? Annan regel?
Blockera missbruk av utnyttjade sårbara signerade drivrutiner Ja
Blockera Adobe Reader från att skapa underordnade processer Ja
Blockera alla Office-program från att skapa underordnade processer Ja
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) Ja
Blockera körbart innehåll från e-postklienten och webbmeddelandet Ja
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista Ja
Blockera körning av potentiellt dolda skript Ja
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll Ja
Blockera Office-program från att skapa körbart innehåll Ja
Blockera Office-program från att mata in kod i andra processer Ja
Blockera Office-kommunikationsprogram från att skapa underordnade processer Ja
Blockera beständighet via WMI-händelseprenumeration Ja
Blockera processskapanden från PSExec- och WMI-kommandon Ja
Blockera omstart av datorn i felsäkert läge (förhandsversion) Ja
Blockera obetrodda och osignerade processer som körs från USB Ja
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion) Ja
Blockera skapande av WebShell för servrar Ja
Blockera Win32 API-anrop från Office-makron Ja
Använda avancerat skydd mot utpressningstrojaner Ja

Microsoft Defender antivirusundantag och ASR-regler

Microsoft Defender Antivirus-undantag gäller för vissa Microsoft Defender för Endpoint funktioner, till exempel några av reglerna för minskning av attackytan.

Följande ASR-regler respekterar INTE Microsoft Defender antivirusundantag:

NAMN på ASR-regler:
Blockera Adobe Reader från att skapa underordnade processer
Blockera processskapanden från PSExec- och WMI-kommandon
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
Blockera Office-program från att skapa körbart innehåll
Blockera Office-program från att mata in kod i andra processer
Blockera Office-kommunikationsprogram från att skapa underordnade processer

Obs!

Information om hur du konfigurerar undantag per regel finns i avsnittet Konfigurera ASR-regler per regelundantag i avsnittet Testa regler för minskning av attackytan.

ASR-regler och Defender for Endpoint Indicators of Compromise (IOC)

Följande ASR-regler respekterar INTE Microsoft Defender för Endpoint indikatorer för kompromisser (IOK):

ASR-regelnamn Beskrivning
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) Respekterar inte indikatorer för kompromisser för filer eller certifikat.
Blockera Office-program från att mata in kod i andra processer Respekterar inte indikatorer för kompromisser för filer eller certifikat.
Blockera Win32 API-anrop från Office-makron Respekterar inte indikatorer för kompropromisser för certifikat.

OPERATIVSYSTEM som stöds av ASR-regler

I följande tabell visas de operativsystem som stöds för regler som för närvarande släpps till allmän tillgänglighet. Reglerna visas i alfabetisk ordning i den här tabellen.

Obs!

Om inget annat anges är den minsta Windows10-versionen version 1709 (RS3, build 16299) eller senare; Den lägsta Versionen av Windows Server är version 1809 eller senare. Regler för minskning av attackytan i Windows Server 2012 R2 och Windows Server 2016 är tillgängliga för enheter som registrerats med hjälp av det moderna enhetliga lösningspaketet. Mer information finns i Nya Windows Server 2012 R2- och 2016-funktioner i den moderna enhetliga lösningen.

Regelnamn Windows 11
och
Windows 10
Windows Server 2022
och
Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
Blockera missbruk av utnyttjade sårbara signerade drivrutiner J J J
version 1803 (Halvårskanal för företag) eller senare
J J
Blockera Adobe Reader från att skapa underordnade processer J
version 1809 eller senare [3]
J J J J
Blockera alla Office-program från att skapa underordnade processer J J J J J
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) J
version 1803 eller senare [3]
J J J J
Blockera körbart innehåll från e-postklienten och webbmeddelandet J J J J J
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista J
version 1803 eller senare [3]
J J J J
Blockera körning av potentiellt dolda skript J J J J J
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll J J J N N
Blockera Office-program från att skapa körbart innehåll J J J J J
Blockera Office-program från att mata in kod i andra processer J J J J J
Blockera Office-kommunikationsprogram från att skapa underordnade processer J J J J J
Blockera beständighet via WMI-händelseprenumeration (Windows Management Instrumentation) J
version 1903 (version 18362) eller senare [3]
J J
version 1903 (version 18362) eller senare
N N
Blockera processskapanden från PSExec- och WMI-kommandon J
version 1803 eller senare [3]
J J J J
Blockera omstart av datorn i felsäkert läge (förhandsversion) J J J J J
Blockera obetrodda och osignerade processer som körs från USB J J J J J
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion) J J J J J
Blockera skapande av WebShell för servrar N J
Endast Exchange-roll
J
Endast Exchange-roll
J
Endast Exchange-roll
J
Endast Exchange-roll
Blockera Win32 API-anrop från Office-makron J N N N N
Använda avancerat skydd mot utpressningstrojaner J
version 1803 eller senare [3]
J J J J

(1) Avser den moderna enhetliga lösningen för Windows Server 2012 och 2016. Mer information finns i Publicera Windows-servrar till Defender för Endpoint-tjänsten.

(2) För Windows Server 2016 och Windows Server 2012 R2 är den lägsta version av Microsoft Endpoint Configuration Manager version 2111 som krävs.

(3) Versions- och versionsnummer gäller endast för Windows10.

ASR-regler som stöds av konfigurationshanteringssystem

Länkar till information om konfigurationshanteringssystemversioner som refereras i den här tabellen visas under den här tabellen.

Regelnamn Microsoft Intune Microsoft Endpoint Configuration Manager grupprincip[1] PowerShell[1]
Blockera missbruk av utnyttjade sårbara signerade drivrutiner J J J
Blockera Adobe Reader från att skapa underordnade processer J J J
Blockera alla Office-program från att skapa underordnade processer J J

CB 1710
J J
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) J J

CB 1802
J J
Blockera körbart innehåll från e-postklienten och webbmeddelandet J J

CB 1710
J J
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista J J

CB 1802
J J
Blockera körning av potentiellt dolda skript J J

CB 1710
J J
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll J J

CB 1710
J J
Blockera Office-program från att skapa körbart innehåll J J

CB 1710
J J
Blockera Office-program från att mata in kod i andra processer J J

CB 1710
J J
Blockera Office-kommunikationsprogram från att skapa underordnade processer J J

CB 1710
J J
Blockera beständighet via WMI-händelseprenumeration J J J
Blockera processskapanden från PSExec- och WMI-kommandon J J J
Blockera omstart av datorn i felsäkert läge (förhandsversion) J J J
Blockera obetrodda och osignerade processer som körs från USB J J

CB 1802
J J
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion) J J J
Blockera skapande av WebShell för servrar J J J
Blockera Win32 API-anrop från Office-makron J J

CB 1710
J J
Använda avancerat skydd mot utpressningstrojaner J J

CB 1802
J J

(1) Du kan konfigurera regler för minskning av attackytan per regel med hjälp av en regels GUID.

Information om aviseringar och meddelanden per ASR-regel

Popup-meddelanden genereras för alla regler i blockeringsläge. Regler i andra lägen genererar inte popup-meddelanden.

För regler med "Regeltillstånd" angivet:

  • ASR-regler med \ASR Rule, Rule State\ kombinationer används för att visa aviseringar (popup-meddelanden) på Microsoft Defender för Endpoint endast för enheter på molnblockeringsnivå "Hög".
  • Enheter som inte är på den höga molnblockeringsnivån genererar inte aviseringar för några ASR Rule, Rule State kombinationer
  • EDR-aviseringar genereras för ASR-regler i de angivna tillstånden, för enheter på molnblockeringsnivå "Hög+"
  • Popup-meddelanden sker endast i blockeringsläge och för enheter på molnblockeringsnivå "Hög"
Regelnamn Regeltillstånd EDR-aviseringar Popup-meddelanden
Blockera missbruk av utnyttjade sårbara signerade drivrutiner N J
Blockera Adobe Reader från att skapa underordnade processer Blockera J J
Blockera alla Office-program från att skapa underordnade processer N J
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) N N
Blockera körbart innehåll från e-postklienten och webbmeddelandet J J
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista N J
Blockera körning av potentiellt dolda skript Granska eller blockera Y (i blockeringsläge)
N (i granskningsläge)
Y (i blockeringsläge)
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll Blockera J J
Blockera Office-program från att skapa körbart innehåll N J
Blockera Office-program från att mata in kod i andra processer N J
Blockera Office-kommunikationsprogram från att skapa underordnade processer N J
Blockera beständighet via WMI-händelseprenumeration Granska eller blockera Y (i blockeringsläge)
N (i granskningsläge)
Y (i blockeringsläge)
Blockera processskapanden från PSExec- och WMI-kommandon N J
Blockera omstart av datorn i felsäkert läge (förhandsversion) N N
Blockera obetrodda och osignerade processer som körs från USB Granska eller blockera Y (i blockeringsläge)
N (i granskningsläge)
Y (i blockeringsläge)
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion) N N
Blockera skapande av WebShell för servrar N N
Blockera Win32 API-anrop från Office-makron N J
Använda avancerat skydd mot utpressningstrojaner Granska eller blockera Y (i blockeringsläge)
N (i granskningsläge)
Y (i blockeringsläge)

ASR-regel till GUID-matris

Regelnamn Regel-GUID
Blockera missbruk av utnyttjade sårbara signerade drivrutiner 56a863a9-875e-4185-98a7-b882c64b5ce5
Blockera Adobe Reader från att skapa underordnade processer 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Blockera alla Office-program från att skapa underordnade processer d4f940ab-401b-4efc-aadc-ad5f3c50688a
Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Blockera körbart innehåll från e-postklienten och webbmeddelandet be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista 01443614-cd74-433a-b99e-2ecdc07bfc25
Blockera körning av potentiellt dolda skript 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll d3e037e1-3eb8-44c8-a917-57927947596d
Blockera Office-program från att skapa körbart innehåll 3b576869-a4ec-4529-8536-b80a7769e899
Blockera Office-program från att mata in kod i andra processer 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Blockera Office-kommunikationsprogram från att skapa underordnade processer 26190899-1602-49e8-8b27-eb1d0a1ce869
Blockera beständighet via WMI-händelseprenumeration
* Fil- och mappundantag stöds inte.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Blockera processskapanden från PSExec- och WMI-kommandon d1e49aac-8f56-4280-b9ba-993a6d77406c
Blockera omstart av datorn i felsäkert läge (förhandsversion) 33ddedf1-c6e0-47cb-833e-de6133960387
Blockera obetrodda och osignerade processer som körs från USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Blockera skapande av WebShell för servrar a8f5898e-1dc8-49a9-9878-85004b8a61e6
Blockera Win32 API-anrop från Office-makron 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Använda avancerat skydd mot utpressningstrojaner c1db55ab-c21a-4637-bb3f-a12568109d35

ASR-regellägen

  • Inte konfigurerad eller Inaktivera: Tillståndet där ASR-regeln inte är aktiverad eller inaktiverad. Koden för det här tillståndet = 0.
  • Blockera: Tillståndet där ASR-regeln är aktiverad. Koden för det här tillståndet är 1.
  • Granskning: Tillståndet där ASR-regeln utvärderas för den effekt den skulle ha på organisationen eller miljön om den är aktiverad (inställd på att blockera eller varna). Koden för det här tillståndet är 2.
  • Varna Tillståndet där ASR-regeln är aktiverad och visar ett meddelande till slutanvändaren, men tillåter slutanvändaren att kringgå blocket. Koden för det här tillståndet är 6.

Varningsläget är en blocklägestyp som varnar användarna om potentiellt riskfyllda åtgärder. Användare kan välja att kringgå blockvarningsmeddelandet och tillåta den underliggande åtgärden. Användare kan välja OK för att framtvinga blocket eller välja alternativet Kringgå – Avblockera – via popup-meddelandet för slutanvändare som genereras vid tidpunkten för blocket. När varningen har avblockerats tillåts åtgärden till nästa gång varningsmeddelandet inträffar, då slutanvändaren måste formulera om åtgärden.

När knappen Tillåt klickas ignoreras blocket i 24 timmar. Efter 24 timmar måste slutanvändaren tillåta blocket igen. Varningsläget för ASR-regler stöds bara för RS5+-enheter (1809+). Om förbikoppling tilldelas till ASR-regler på enheter med äldre versioner är regeln i blockerat läge.

Du kan också ange en regel i varningsläge via PowerShell genom att AttackSurfaceReductionRules_Actions ange som "Varna". Till exempel:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Beskrivningar per regel

Blockera missbruk av utnyttjade sårbara signerade drivrutiner

Den här regeln förhindrar att ett program skriver en sårbar signerad drivrutin till disken. Sårbara signerade drivrutiner i naturen kan utnyttjas av lokala program – som har tillräckliga privilegier – för att få åtkomst till kerneln. Sårbara signerade drivrutiner gör det möjligt för angripare att inaktivera eller kringgå säkerhetslösningar, vilket så småningom leder till systemkompromisser.

Regeln Blockera missbruk av utnyttjade sårbara signerade drivrutiner blockerar inte att en drivrutin som redan finns i systemet läses in.

Obs!

Du kan konfigurera den här regeln med hjälp av Intune OMA-URI. Mer information om hur du konfigurerar anpassade regler finns i Intune OMA-URI. Du kan också konfigurera den här regeln med hjälp av PowerShell. Om du vill att en drivrutin ska undersökas använder du den här webbplatsen för att skicka en drivrutin för analys.

Intune namn:Block abuse of exploited vulnerable signed drivers

Configuration Manager namn: Inte tillgängligt än

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Avancerad jaktåtgärdstyp:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Blockera Adobe Reader från att skapa underordnade processer

Den här regeln förhindrar attacker genom att blockera Adobe Reader från att skapa processer.

Skadlig kod kan ladda ned och starta nyttolaster och bryta sig ut ur Adobe Reader via social teknik eller kryphål. Genom att blockera underordnade processer från att genereras av Adobe Reader förhindras skadlig kod som försöker använda Adobe Reader som attackvektor från att spridas.

Intune namn:Process creation from Adobe Reader (beta)

Configuration Manager namn: Inte tillgängligt än

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Avancerad jaktåtgärdstyp:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Beroenden: Microsoft Defender Antivirus

Blockera alla Office-program från att skapa underordnade processer

Den här regeln blockerar Office-appar från att skapa underordnade processer. Office-appar omfattar Word, Excel, PowerPoint, OneNote och Access.

Att skapa skadliga underordnade processer är en vanlig strategi för skadlig kod. Skadlig kod som missbrukar Office som vektor kör ofta VBA-makron och utnyttjar kod för att ladda ned och försöka köra fler nyttolaster. Vissa legitima verksamhetsspecifika program kan dock också generera underordnade processer för godartade ändamål. till exempel skapa en kommandotolk eller använda PowerShell för att konfigurera registerinställningar.

Intune namn:Office apps launching child processes

Configuration Manager namn:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Avancerad jaktåtgärdstyp:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Beroenden: Microsoft Defender Antivirus

Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows

Obs!

Om du har LSA-skydd aktiverat och Credential Guard aktiverat krävs inte den här regeln för minskning av attackytan.

Den här regeln hjälper till att förhindra stöld av autentiseringsuppgifter genom att låsa undersystemtjänsten lokal säkerhetsmyndighet (LSASS).

LSASS autentiserar användare som loggar in på en Windows-dator. Microsoft Defender Credential Guard i Windows förhindrar normalt försök att extrahera autentiseringsuppgifter från LSASS. Vissa organisationer kan inte aktivera Credential Guard på alla sina datorer på grund av kompatibilitetsproblem med anpassade smartkortsdrivrutiner eller andra program som läses in i LSA (Local Security Authority). I dessa fall kan angripare använda verktyg som Mimikatz för att skrapa lösenord i klartext och NTLM-hashar från LSASS.

Som standard är tillståndet för den här regeln inställt på blockera. I de flesta fall gör många processer anrop till LSASS för åtkomsträttigheter som inte behövs. Till exempel när det första blocket från ASR-regeln resulterar i ett efterföljande anrop för en mindre behörighet som därefter lyckas. Information om vilka typer av rättigheter som vanligtvis begärs i processanrop till LSASS finns i : Processsäkerhet och åtkomsträttigheter.

Att aktivera den här regeln ger inte ytterligare skydd om du har LSA-skydd aktiverat eftersom ASR-regeln och LSA-skyddet fungerar på samma sätt. Men när LSA-skydd inte kan aktiveras kan den här regeln konfigureras för att ge motsvarande skydd mot skadlig kod som mål lsass.exe.

Tips

  1. ASR-granskningshändelser genererar inte popup-meddelanden. Men eftersom LSASS ASR-regeln skapar stora mängder granskningshändelser, som nästan alla är säkra att ignorera när regeln är aktiverad i blockeringsläge, kan du välja att hoppa över utvärderingen av granskningsläget och fortsätta att blockera lägesdistribution, med början med en liten uppsättning enheter och gradvis expandera för att täcka resten.
  2. Regeln är utformad för att förhindra blockrapporter/popup-popup-flöden för egna processer. Den är också utformad för att släppa rapporter för duplicerade block. Därför är regeln väl lämpad för att aktiveras i blockeringsläge, oavsett om popup-meddelanden är aktiverade eller inaktiverade. 
  3. ASR i varningsläge är utformat för att ge användarna ett popup-meddelande som innehåller knappen "Avblockera". På grund av LSASS ASR-blockens "säkra att ignorera" och deras stora volym är WARN-läget inte tillrådligt för den här regeln (oavsett om popup-meddelanden är aktiverade eller inaktiverade).

Obs!

I det här scenariot klassificeras ASR-regeln som "inte tillämplig" i Defender för Endpoint-inställningar i Microsoft Defender-portalen. Asr-regeln Blockera stöld av autentiseringsuppgifter från undersystemet ASR i Windows lokala säkerhetsmyndighet stöder inte WARN-läge. I vissa appar räknar koden upp alla processer som körs och försöker öppna dem med fullständig behörighet. Den här regeln nekar appens processöppningsåtgärd och loggar informationen till säkerhetshändelseloggen. Den här regeln kan generera mycket brus. Om du har en app som helt enkelt räknar upp LSASS, men inte har någon verklig inverkan på funktionaliteten, behöver du inte lägga till den i undantagslistan. Den här händelseloggposten indikerar inte nödvändigtvis ett skadligt hot.

Intune namn:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager namn:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Avancerad jaktåtgärdstyp:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Beroenden: Microsoft Defender Antivirus

Kända problem: Dessa program och regeln "Blockera stöld av autentiseringsuppgifter från undersystemet windows local security authority" är inkompatibla:

Programnamn För information
Quest Dirsync Lösenordssynkronisering Dirsync Password Sync fungerar inte när Windows Defender är installerat, fel: "VirtualAllocEx misslyckades: 5" (4253914)

Kontakta programvaruleverantören om du vill ha teknisk support.

Blockera körbart innehåll från e-postklienten och webbmeddelandet

Den här regeln blockerar e-post som öppnas i Microsoft Outlook-programmet, eller Outlook.com och andra populära webbtjänstleverantörer från att sprida följande filtyper:

  • Körbara filer (till exempel .exe, .dll eller .scr)
  • Skriptfiler (till exempel en PowerShell-.ps1, Visual Basic .vbs eller JavaScript-.js fil)

Intune namn:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager namn:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Avancerad jaktåtgärdstyp:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Beroenden: Microsoft Defender Antivirus

Obs!

Regeln Blockera körbart innehåll från e-postklienten och webbmeddelandet har följande alternativa beskrivningar, beroende på vilket program du använder:

  • Intune (konfigurationsprofiler): Körning av körbart innehåll (exe, dll, ps, js, vbs osv.) som tagits bort från e-post (webbmail/e-postklient) (inga undantag).
  • Configuration Manager: Blockera nedladdning av körbart innehåll från e-post- och webbmailklienter.
  • grupprincip: Blockera körbart innehåll från e-postklienten och webbmeddelandet.

Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista

Den här regeln blockerar körbara filer, till exempel .exe, .dll eller .scr, från att starta. Därför kan det vara riskabelt att starta obetrodda eller okända körbara filer, eftersom det kanske inte är klart från början om filerna är skadliga.

Viktigt

Du måste aktivera molnlevererad skydd för att använda den här regeln. Regeln Blockera körbara filer från att köras om de inte uppfyller ett villkor för prevalens, ålder eller betrodd lista med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ägs av Microsoft och anges inte av administratörer. Den här regeln använder molnlevererad skydd för att uppdatera sin betrodda lista regelbundet. Du kan ange enskilda filer eller mappar (med hjälp av mappsökvägar eller fullständigt kvalificerade resursnamn), men du kan inte ange vilka regler eller undantag som gäller för.

Intune namn:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager namn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Avancerad jaktåtgärdstyp:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Beroenden: Microsoft Defender Antivirus, Cloud Protection

Blockera körning av potentiellt dolda skript

Den här regeln identifierar misstänkta egenskaper i ett dolt skript.

Obs!

PowerShell-skript stöds nu för regeln "Blockera körning av potentiellt dolda skript".

Viktigt

Du måste aktivera molnlevererad skydd för att använda den här regeln.

Skriptfördunkning är en vanlig teknik som både författare av skadlig kod och legitima program använder för att dölja immateriella rättigheter eller minska inläsningstiderna för skript. Författare av skadlig kod använder också fördunklare för att göra skadlig kod svårare att läsa, vilket hämmar noggrann granskning av människor och säkerhetsprogramvara.

Intune namn:Obfuscated js/vbs/ps/macro code

Configuration Manager namn:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Avancerad jaktåtgärdstyp:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Beroenden: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)

Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll

Den här regeln förhindrar att skript startar potentiellt skadligt nedladdat innehåll. Skadlig kod som skrivits i JavaScript eller VBScript fungerar ofta som en nedladdningskomponent för att hämta och starta annan skadlig kod från Internet. Även om det inte är vanligt använder verksamhetsspecifika program ibland skript för att ladda ned och starta installationsprogram.

Intune namn:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager namn:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Avancerad jaktåtgärdstyp:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Beroenden: Microsoft Defender Antivirus, AMSI

Blockera Office-program från att skapa körbart innehåll

Den här regeln förhindrar att Office-appar, inklusive Word, Excel och PowerPoint, skapar potentiellt skadligt körbart innehåll genom att blockera skadlig kod från att skrivas till disk. Skadlig kod som missbrukar Office som en vektor kan försöka bryta sig ur Office och spara skadliga komponenter på disken. Dessa skadliga komponenter skulle överleva en omstart av datorn och finnas kvar i systemet. Den här regeln skyddar därför mot en gemensam beständighetsteknik. Den här regeln blockerar även körning av ej betrodda filer som kan ha sparats av Office-makron som tillåts köras i Office-filer.

Intune namn:Office apps/macros creating executable content

Configuration Manager namn:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Avancerad jaktåtgärdstyp:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Beroenden: Microsoft Defender Antivirus, RPC

Blockera Office-program från att mata in kod i andra processer

Den här regeln blockerar kodinmatningsförsök från Office-appar till andra processer.

Obs!

ASR-regeln Blockera program från att mata in kod i andra processer stöder inte WARN-läge.

Viktigt

Den här regeln kräver omstart Microsoft 365-applikationer (Office-program) för att konfigurationsändringarna ska börja gälla.

Angripare kan försöka använda Office-appar för att migrera skadlig kod till andra processer via kodinmatning, så att koden kan maskeras som en ren process. Det finns inga kända legitima affärssyften för att använda kodinmatning.

Den här regeln gäller för Word, Excel, OneNote och PowerPoint.

Intune namn:Office apps injecting code into other processes (no exceptions)

Configuration Manager namn:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Avancerad jaktåtgärdstyp:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Beroenden: Microsoft Defender Antivirus

Kända problem: Dessa program och regeln "Blockera Office-program från att mata in kod i andra processer" är inkompatibla:

Programnamn För information
Avecto (BeyondTrust) Privilege Guard September-2024 (Plattform: 4.18.24090.11 | Motor 1.1.24090.11).
Säkerhet i Heimdal Saknas

Kontakta programvaruleverantören om du vill ha teknisk support.

Blockera Office-kommunikationsprogram från att skapa underordnade processer

Den här regeln förhindrar att Outlook skapar underordnade processer, samtidigt som legitima Outlook-funktioner tillåts. Den här regeln skyddar mot socialteknikattacker och förhindrar att kod missbrukar sårbarheter i Outlook. Det skyddar också mot Outlook-regler och formulärexploateringar som angripare kan använda när en användares autentiseringsuppgifter komprometteras.

Obs!

Den här regeln blockerar DLP-principtips och knappbeskrivningar i Outlook. Den här regeln gäller endast för Outlook och Outlook.com.

Intune namn:Process creation from Office communication products (beta)

Configuration Manager namn: Inte tillgängligt

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Avancerad jaktåtgärdstyp:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Beroenden: Microsoft Defender Antivirus

Blockera beständighet via WMI-händelseprenumeration

Den här regeln förhindrar att skadlig kod missbrukar WMI för att uppnå beständighet på en enhet.

Viktigt

Fil- och mappundantag gäller inte för den här regeln för minskning av attackytan.

Fillösa hot använder olika metoder för att hålla sig dolda, för att undvika att ses i filsystemet och för att få regelbunden körningskontroll. Vissa hot kan missbruka WMI-lagringsplatsen och händelsemodellen för att förbli dolda.

Obs!

Om CcmExec.exe (SCCM Agent) identifieras på enheten klassificeras ASR-regeln som "inte tillämplig" i Defender för Endpoint-inställningarna i Microsoft Defender-portalen.

Intune namn:Persistence through WMI event subscription

Configuration Manager namn: Inte tillgängligt

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Avancerad jaktåtgärdstyp:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Beroenden: Microsoft Defender Antivirus, RPC

Blockera processskapanden från PSExec- och WMI-kommandon

Den här regeln blockerar processer som skapas via PsExec och WMI från att köras. Både PsExec och WMI kan fjärrköra kod. Det finns en risk för att skadlig kod missbrukar funktionerna i PsExec och WMI i kommando- och kontrollsyfte, eller för att sprida en infektion i en organisations nätverk.

Varning

Använd endast den här regeln om du hanterar dina enheter med Intune eller en annan MDM-lösning. Den här regeln är inte kompatibel med hantering via Microsoft Endpoint Configuration Manager eftersom den här regeln blockerar WMI-kommandon som Configuration Manager klienten använder för att fungera korrekt.

Intune namn:Process creation from PSExec and WMI commands

Configuration Manager namn: Ej tillämpligt

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Avancerad jaktåtgärdstyp:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Beroenden: Microsoft Defender Antivirus

Blockera omstart av datorn i felsäkert läge (förhandsversion)

Den här regeln förhindrar körning av kommandon för att starta om datorer i felsäkert läge. Felsäkert läge är ett diagnostikläge som bara läser in de viktiga filer och drivrutiner som krävs för att Windows ska kunna köras. Men i felsäkert läge är många säkerhetsprodukter antingen inaktiverade eller fungerar i en begränsad kapacitet, vilket gör att angripare kan starta manipuleringskommandon ytterligare, eller helt enkelt köra och kryptera alla filer på datorn. Den här regeln blockerar sådana attacker genom att förhindra att processer startar om datorer i felsäkert läge.

Obs!

Den här funktionen är för närvarande i förhandsversion. Ytterligare uppgraderingar för att förbättra effektiviteten är under utveckling.

Intune namn:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager namn: Inte tillgängligt än

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Avancerad jaktåtgärdstyp:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Beroenden: Microsoft Defender Antivirus

Blockera obetrodda och osignerade processer som körs från USB

Med den här regeln kan administratörer förhindra att osignerade eller ej betrodda körbara filer körs från USB-flyttbara enheter, inklusive SD-kort. Blockerade filtyper inkluderar körbara filer (till exempel .exe, .dll eller .scr)

Viktigt

Filer som kopieras från USB till diskenheten kommer att blockeras av den här regeln om och när den är på väg att köras på diskenheten.

Intune namn:Untrusted and unsigned processes that run from USB

Configuration Manager namn:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Avancerad jaktåtgärdstyp:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Beroenden: Microsoft Defender Antivirus

Blockera användning av kopierade eller personifierade systemverktyg (förhandsversion)

Den här regeln blockerar användningen av körbara filer som identifieras som kopior av Windows-systemverktyg. Dessa filer är antingen dubbletter eller impostorer av de ursprungliga systemverktygen. Vissa skadliga program kan försöka kopiera eller personifiera Windows-systemverktyg för att undvika identifiering eller få privilegier. Att tillåta sådana körbara filer kan leda till potentiella attacker. Den här regeln förhindrar spridning och körning av sådana dubbletter och avpostorer för systemverktygen på Windows-datorer.

Obs!

Den här funktionen är för närvarande i förhandsversion. Ytterligare uppgraderingar för att förbättra effektiviteten är under utveckling.

Intune namn:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager namn: Inte tillgängligt än

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Avancerad jaktåtgärdstyp:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Beroenden: Microsoft Defender Antivirus

Blockera skapande av WebShell för servrar

Den här regeln blockerar skapande av webbgränssnittsskript på Microsoft Server, Exchange-roll. Ett webbgränssnittsskript är ett specifikt utformat skript som gör det möjligt för en angripare att kontrollera den komprometterade servern. Ett webbgränssnitt kan innehålla funktioner som att ta emot och köra skadliga kommandon, ladda ned och köra skadliga filer, stjäla och exfiltratera autentiseringsuppgifter och känslig information, identifiera potentiella mål osv.

Intune namn:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Beroenden: Microsoft Defender Antivirus

Blockera Win32 API-anrop från Office-makron

Den här regeln förhindrar att VBA-makron anropar Win32-API:er. Office VBA aktiverar Win32 API-anrop. Skadlig kod kan missbruka den här funktionen, till exempel att anropa Win32-API:er för att starta skadligt gränssnitt utan att skriva något direkt till disken. De flesta organisationer förlitar sig inte på möjligheten att anropa Win32-API:er i sin dagliga funktion, även om de använder makron på andra sätt.

Intune namn:Win32 imports from Office macro code

Configuration Manager namn:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Avancerad jaktåtgärdstyp:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Beroenden: Microsoft Defender Antivirus, AMSI

Använda avancerat skydd mot utpressningstrojaner

Den här regeln ger ett extra skydd mot utpressningstrojaner. Den använder både klient- och moln-heuristik för att avgöra om en fil liknar utpressningstrojaner. Den här regeln blockerar inte filer som har en eller flera av följande egenskaper:

  • Filen har redan visat sig vara odelningsbar i Microsoft-molnet.
  • Filen är en giltig signerad fil.
  • Filen är tillräckligt utbredd för att inte betraktas som utpressningstrojan.

Regeln tenderar att fela på sidan av försiktighet för att förhindra utpressningstrojaner.

Obs!

Du måste aktivera molnlevererad skydd för att använda den här regeln.

Intune namn:Advanced ransomware protection

Configuration Manager namn:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Avancerad jaktåtgärdstyp:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Beroenden: Microsoft Defender Antivirus, Cloud Protection

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.