Demonstrationer av regler för minskning av attackytan
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender Antivirus
Regler för minskning av attackytan är inriktade på specifika beteenden som vanligtvis används av skadlig kod och skadliga appar för att infektera datorer, till exempel:
- Körbara filer och skript som används i Office-appar eller webb-e-post som försöker ladda ned eller köra filer
- Skript som är dolda eller på annat sätt misstänkta
- Beteenden som appar utför som inte initieras under normalt dagligt arbete
Scenariokrav och installation
- Windows 11, Windows 10 1709 build 16273 eller senare
- Windows Server 2022, Windows Server 2019, Windows Server 2016 eller Windows Server 2012 R2 med den enhetliga MDE-klienten.
- Microsoft Defender Antivirus
- Microsoft 365-applikationer (Office; krävs för Office-regler och exempel)
- Ladda ned PowerShell-skript för minskning av attackytan
PowerShell-kommandon
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Regeltillstånd
| Tillstånd | Mode | Numeriskt värde |
|---|---|---|
| Inaktiverad | = Av | 0 |
| Aktiverad | = Blockläge | 1 |
| Granskning | = Granskningsläge | 2 |
Verifiera konfigurationen
Get-MpPreference
Testa filer
Obs! Vissa testfiler har flera kryphål inbäddade och utlöser flera regler
| Regelnamn | Regel-GUID |
|---|---|
| Blockera körbart innehåll från e-postklienten och webbmeddelandet | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Blockera Office-program från att skapa underordnade processer | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Blockera Office-program från att skapa körbart innehåll | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Blockera Office-program från att mata in i andra processer | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Hindra JavaScript och VBScript att starta körbara filer | D3E037E1-3EB8-44C8-A917-57927947596D |
| Blockera körning av potentiellt dolda skript | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Blockera Win32-importer från makrokod i Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Blockera processskapanden från PSExec & WMI-kommandon | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Blockera körning av ej betrodda eller osignerade körbara filer i flyttbara USB-media | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Aggressivt skydd mot utpressningstrojaner | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Blockera körbara filer från att köras om de inte uppfyller ett villkor för prevalens, ålder eller betrodd lista | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Blockera Adobe Reader från att skapa underordnade processer | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blockera missbruk av utnyttjade sårbara signerade drivrutiner | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blockera beständighet via WMI-händelseprenumeration | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blockera skapande av WebShell för servrar | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Scenarier
Konfiguration
Ladda ned och kör det här installationsskriptet. Innan du kör körningsprincipen för skriptuppsättningen till Unrestricted med det här PowerShell-kommandot:
Set-ExecutionPolicy Unrestricted
Du kan utföra dessa manuella steg i stället:
- Skapa en mapp under c: med namnet demo, "c:\demo"
- Spara den här rena filen i c:\demo.
- Aktivera alla regler med hjälp av PowerShell-kommandot.
Scenario 1: Minskning av attackytan blockerar en testfil med flera säkerhetsrisker
- Aktivera alla regler i blockeringsläge med powershell-kommandon (du kan kopiera klistra in alla)
- Ladda ned och öppna någon av testfilen/dokumenten och aktivera redigering och innehåll om du uppmanas att göra det.
Scenario 1 – förväntade resultat
Du bör omedelbart se ett meddelande om att åtgärden har blockerats.
Scenario 2: ASR-regeln blockerar testfilen med motsvarande säkerhetsrisk
Konfigurera den regel som du vill testa med hjälp av PowerShell-kommandot från föregående steg.
Exempel:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledLadda ned och öppna testfilen/dokumentet för den regel som du vill testa och aktivera redigering och innehåll om du uppmanas till det.
Exempel: Blockera Office-program från att skapa underordnade processer D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Scenario 2 – förväntade resultat
Du bör omedelbart se ett meddelande om att åtgärden har blockerats.
Scenario 3 (Windows 10 eller senare): ASR-regeln blockerar osignerat USB-innehåll från att köras
- Konfigurera regeln för USB-skydd (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Ladda ned filen och placera den på ett USB-minne och kör den Blockera körning av ej betrodda eller osignerade körbara filer i flyttbara USB-media
Scenario 3 – förväntade resultat
Du bör omedelbart se ett meddelande om att åtgärden har blockerats.
Scenario 4: Vad skulle hända utan minskning av attackytan
Inaktivera alla regler för minskning av attackytan med hjälp av PowerShell-kommandon i rensningsavsnittet.
Ladda ned en testfil/ett testdokument och aktivera redigering och innehåll om du uppmanas till det.
Scenario 4 – förväntade resultat
- Filerna i c:\demo är krypterade och du bör få ett varningsmeddelande
- Kör testfilen igen för att dekryptera filerna
Rensning
Ladda ned och kör det här rensningsskriptet
Alternativt kan du utföra följande manuella steg:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Rensa c:\demokryptering genom att köra kryptera/dekryptera filen
Se även
Distributionsguide för regler för minskning av attackytan
Referens för regler för minskning av attackytan
Microsoft Defender för Endpoint – demonstrationsscenarier
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.