受攻擊面縮小規則參考
適用於:
- 端點方案 1 的Microsoft Microsoft Defender 全面偵測回應
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
平臺:
- Windows
本文提供 適用於端點的 Microsoft Defender ASR 規則 (受攻擊面縮小規則的相關信息) :
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
提示
作為本文的附隨者,請參閱我們的 適用於端點的 Microsoft Defender 設定指南,以檢閱最佳做法,並瞭解基本工具,例如受攻擊面縮小和新一代保護。 如需以您的環境為基礎的自定義體驗,您可以在 Microsoft 365 系統管理中心 中存取適用於端點的 Defender 自動化設定指南。
依類型縮小攻擊面規則
受攻擊面縮小規則會分類為下列兩種類型之一:
Standard 保護規則:這是Microsoft建議您一律啟用的最小規則集,同時您正在評估其他 ASR 規則的效果和設定需求。 這些規則通常會對終端使用者造成最小到沒有明顯的影響。
其他規則:需要遵循所述部署步驟 [規劃>測試 (稽核) > 啟用 (封鎖/警告模式) ] 的一些量值的規則,如受攻擊面縮小規則部署指南中所述
如需啟用標準保護規則的最簡單方法,請參閱: 簡化的標準保護選項。
ASR 規則名稱: | Standard 保護規則? | 其他規則? |
---|---|---|
封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | 是 | |
封鎖 Adobe Reader 使其無法建立子程序 | 是 | |
封鎖所有 Office 應用程式使其無法建立子程序 | 是 | |
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 是 | |
封鎖來自電子郵件用戶端及網路郵件的可執行內容 | 是 | |
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | 是 | |
封鎖可能經過模糊化的指令碼的執行 | 是 | |
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | 是 | |
封鎖 Office 應用程式使其無法建立可執行的內容 | 是 | |
封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 是 | |
封鎖 Office 通訊應用程式使其無法建立子程序 | 是 | |
透過 WMI 事件訂閱封鎖持續性 | 是 | |
封鎖源自 PSExec 與 WMI 命令的程序建立 | 是 | |
封鎖在安全模式下重新啟動電腦 (預覽) | 是 | |
封鎖從 USB 執行的未受信任與未簽署程序 | 是 | |
封鎖使用複製或仿真的系統工具 (預覽) | 是 | |
封鎖建立伺服器的 WebShell | 是 | |
封鎖來自 Office 巨集的 Win32 API 呼叫 | 是 | |
對惡意勒索軟體使用進階保護 | 是 |
Microsoft Defender 防病毒軟體排除專案和 ASR 規則
Microsoft Defender 防病毒軟體排除專案適用於某些 適用於端點的 Microsoft Defender 功能,例如一些受攻擊面縮小規則。
下列 ASR 規則不接受 Microsoft Defender 防病毒軟體排除專案:
ASR 規則名稱: |
---|
封鎖 Adobe Reader 使其無法建立子程序 |
封鎖源自 PSExec 與 WMI 命令的程序建立 |
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 |
封鎖 Office 應用程式使其無法建立可執行的內容 |
封鎖 Office 應用程式使其無法將程式碼插入其他程序 |
封鎖 Office 通訊應用程式使其無法建立子程序 |
注意事項
如需設定個別規則排除專案的資訊,請參閱測試受攻擊面縮小規則主題中標題為設定 ASR 規則的個別規則排除專案一節。
ASR 規則和 Defender 端點入侵指標 (IOC)
下列 ASR 規則不接受 適用於端點的 Microsoft Defender IOC) (入侵指標:
ASR 規則名稱 | 描述 |
---|---|
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 不接受檔案或憑證的入侵指標。 |
封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 不接受檔案或憑證的入侵指標。 |
封鎖來自 Office 巨集的 Win32 API 呼叫 | 不接受憑證的入侵指標。 |
ASR 規則支援的作業系統
下表列出目前發行至正式運作之規則的支援操作系統。 規則會依字母順序列在此數據表中。
注意事項
除非另有指示,否則 Windows 10 組建的最小版本是 1709 (RS3,組建 16299) 或更新版本;組建的最小 Windows Server 是1809版或更新版本。 Windows Server 2012 R2 和 Windows Server 2016 中的受攻擊面縮小規則適用於使用新式整合解決方案套件上線的裝置。 如需詳細資訊,請參閱新式整合解決方案中的新 Windows Server 2012 R2 和 2016 功能。
規則名稱 | Windows 11 及 Windows 10 |
Windows Server 2022 及 Windows Server 2019 |
Windows 伺服器 | Windows Server 2016 [1, 2] | Windows 伺服器 2012 R2 [1, 2] |
---|---|---|---|---|---|
封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | Y | Y | Y 版本 1803 (半年企業通道) 或更新版本 |
Y | Y |
封鎖 Adobe Reader 使其無法建立子程序 | Y 版本 1809 或更新版本 [3] |
Y | Y | Y | Y |
封鎖所有 Office 應用程式使其無法建立子程序 | Y | Y | Y | Y | Y |
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | Y 版本 1803 或更新版本 [3] |
Y | Y | Y | Y |
封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | Y | Y | Y | Y | Y |
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | Y 版本 1803 或更新版本 [3] |
Y | Y | Y | Y |
封鎖可能經過模糊化的指令碼的執行 | Y | Y | Y | Y | Y |
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | Y | Y | N | N |
封鎖 Office 應用程式使其無法建立可執行的內容 | Y | Y | Y | Y | Y |
封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | Y | Y | Y | Y |
封鎖 Office 通訊應用程式使其無法建立子程序 | Y | Y | Y | Y | Y |
透過 Windows Management Instrumentation (WMI) 事件訂閱封鎖持續性 | Y 版本 1903 (組建 18362) 或更新版本 [3] |
Y | Y 版本 1903 (組建 18362) 或更新版本 |
N | N |
封鎖源自 PSExec 與 WMI 命令的程序建立 | Y 版本 1803 或更新版本 [3] |
Y | Y | Y | Y |
封鎖在安全模式下重新啟動機器 (預覽) | Y | Y | Y | Y | Y |
封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y | Y | Y | Y |
封鎖使用複製或仿真的系統工具 (預覽) | Y | Y | Y | Y | Y |
封鎖建立伺服器的 WebShell | N | Y 僅限 Exchange 角色 |
Y 僅限 Exchange 角色 |
Y 僅限 Exchange 角色 |
Y 僅限 Exchange 角色 |
封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | N | N | N | N |
對惡意勒索軟體使用進階保護 | Y 版本 1803 或更新版本 [3] |
Y | Y | Y | Y |
(1) 指的是 Windows Server 2012 和 2016 的新式整合解決方案。 如需詳細資訊,請參閱將 Windows 伺服器上線到適用於端點的 Defender 服務。
(2) 針對 Windows Server 2016 和 Windows Server 2012 R2,Microsoft端點 Configuration Manager 的最低必要版本為 2111 版。
(3) 版本和組建編號僅適用於 Windows10。
ASR 規則支援的組態管理系統
下表列出此表格參考的組態管理系統版本相關資訊的連結。
規則名稱 | Microsoft Intune | Microsoft Endpoint Configuration Manager | 群組原則[1] | PowerShell[1] |
---|---|---|---|---|
封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | Y | Y | Y | |
封鎖 Adobe Reader 使其無法建立子程序 | Y | Y | Y | |
封鎖所有 Office 應用程式使其無法建立子程序 | Y | Y CB 1710 |
Y | Y |
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | Y | Y CB 1802 |
Y | Y |
封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | Y | Y CB 1710 |
Y | Y |
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | Y | Y CB 1802 |
Y | Y |
封鎖可能經過模糊化的指令碼的執行 | Y | Y CB 1710 |
Y | Y |
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | Y CB 1710 |
Y | Y |
封鎖 Office 應用程式使其無法建立可執行的內容 | Y | Y CB 1710 |
Y | Y |
封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | Y CB 1710 |
Y | Y |
封鎖 Office 通訊應用程式使其無法建立子程序 | Y | Y CB 1710 |
Y | Y |
透過 WMI 事件訂閱封鎖持續性 | Y | Y | Y | |
封鎖源自 PSExec 與 WMI 命令的程序建立 | Y | Y | Y | |
封鎖在安全模式下重新啟動機器 (預覽) | Y | Y | Y | |
封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y CB 1802 |
Y | Y |
封鎖使用複製或仿真的系統工具 (預覽) | Y | Y | Y | |
封鎖建立伺服器的 WebShell | Y | Y | Y | |
封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | Y CB 1710 |
Y | Y |
對惡意勒索軟體使用進階保護 | Y | Y CB 1802 |
Y | Y |
(1) 您可以使用任何規則的 GUID,以規則為基礎設定受攻擊面縮小規則。
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM 現在已 Microsoft Configuration Manager。
根據 ASR 規則警示和通知詳細數據
封鎖模式的所有規則皆會產生快顯通知。 任何其他模式中的規則不會產生快顯通知。
針對已指定「規則狀態」的規則:
- ASR 規則搭配
\ASR Rule, Rule State\
組合可用來呈現警示 (快顯通知,) 適用於端點的 Microsoft Defender 僅針對雲端區塊層級 「高」的裝置) 。 - 不在高雲端區塊層級的裝置不會產生任何
ASR Rule, Rule State
組合的警示 - 針對位於雲端區塊層級 「High+」 的裝置,會針對處於指定狀態的 ASR 規則產生 EDR 警示
- 快顯通知只會在封鎖模式中發生,而雲端區塊層級為「高」的裝置則會發生
規則名稱 | 規則狀態 | EDR 警示 | 快顯通知 |
---|---|---|---|
封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | N | Y | |
封鎖 Adobe Reader 使其無法建立子程序 | 封鎖 | Y | Y |
封鎖所有 Office 應用程式使其無法建立子程序 | N | Y | |
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | N | N | |
封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | Y | Y | |
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | N | Y | |
封鎖可能經過模糊化的指令碼的執行 | 稽核或封鎖 | 封鎖模式中的 Y () 稽核模式中的 N () |
封鎖模式中的 Y () |
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | 封鎖 | Y | Y |
封鎖 Office 應用程式使其無法建立可執行的內容 | N | Y | |
封鎖 Office 應用程式使其無法將程式碼插入其他程序 | N | Y | |
封鎖 Office 通訊應用程式使其無法建立子程序 | N | Y | |
透過 WMI 事件訂閱封鎖持續性 | 稽核或封鎖 | 封鎖模式中的 Y () 稽核模式中的 N () |
封鎖模式中的 Y () |
封鎖源自 PSExec 與 WMI 命令的程序建立 | N | Y | |
封鎖在安全模式下重新啟動機器 (預覽) | N | N | |
封鎖從 USB 執行的未受信任與未簽署程序 | 稽核或封鎖 | 封鎖模式中的 Y () 稽核模式中的 N () |
封鎖模式中的 Y () |
封鎖使用複製或仿真的系統工具 (預覽) | N | N | |
封鎖建立伺服器的 WebShell | N | N | |
封鎖來自 Office 巨集的 Win32 API 呼叫 | N | Y | |
對惡意勒索軟體使用進階保護 | 稽核或封鎖 | 封鎖模式中的 Y () 稽核模式中的 N () |
封鎖模式中的 Y () |
ASR 規則至 GUID 矩陣
規則名稱 | 規則 GUID |
---|---|
封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
封鎖 Adobe Reader 使其無法建立子程序 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
封鎖所有 Office 應用程式使其無法建立子程序 | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
封鎖來自電子郵件用戶端及網路郵件的可執行內容 | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
封鎖可能經過模糊化的指令碼的執行 | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | d3e037e1-3eb8-44c8-a917-57927947596d |
封鎖 Office 應用程式使其無法建立可執行的內容 | 3b576869-a4ec-4529-8536-b80a7769e899 |
封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
封鎖 Office 通訊應用程式使其無法建立子程序 | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
透過 WMI 事件訂閱封鎖持續性 * 不支援檔案和資料夾排除專案。 |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
封鎖源自 PSExec 與 WMI 命令的程序建立 | d1e49aac-8f56-4280-b9ba-993a6d77406c |
封鎖在安全模式下重新啟動電腦 (預覽) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
封鎖從 USB 執行的未受信任與未簽署程序 | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
封鎖使用複製或仿真的系統工具 (預覽) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
封鎖建立伺服器的 WebShell | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
封鎖來自 Office 巨集的 Win32 API 呼叫 | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
對惡意勒索軟體使用進階保護 | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR 規則模式
- 未設定 或 停用:未啟用或停用 ASR 規則的狀態。 此狀態的代碼 = 0。
- 封鎖:啟用 ASR 規則的狀態。 此狀態的代碼為 1。
- 稽核:如果已啟用 ASR 規則, (設定為封鎖或警告) ,則會評估 ASR 規則對組織或環境的影響。 此狀態的代碼為 2。
- 警告 啟用 ASR 規則並向使用者顯示通知的狀態,但允許使用者略過區塊。 此狀態的代碼為 6。
警告模式是一種封鎖模式類型,可警示使用者有潛在危險的動作。 使用者可以選擇略過封鎖警告訊息,並允許基礎動作。 使用者可以選取 [確定] 以強制執行封鎖,或透過封鎖時產生的使用者快顯通知選取略過選項 - 解除封鎖。 在解除封鎖警告後,便會允許此作業,直到下一次出現警告訊息,此時使用者必須重新執行動作。
按兩下 [允許] 按鈕時,區塊會隱藏 24 小時。 24 小時後,使用者必須再次允許封鎖。 ASR 規則的警告模式僅支援 RS5+ (1809+) 裝置。 如果在具有舊版的裝置上將略過指派給 ASR 規則,則規則會處於封鎖模式。
您也可以透過PowerShell將 指定為 「警告」, AttackSurfaceReductionRules_Actions
以在警告模式中設定規則。 例如:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
每個規則描述
封鎖濫用惡意探索易受攻擊的已簽署驅動程式
此規則可防範應用程式將易受攻擊的已簽署驅動程式寫入磁碟。 具有 足夠權 限的本機應用程式可以惡意探索易受攻擊的已簽署驅動程式,以取得核心的存取權。 易受攻擊的已簽署驅動程式可讓攻擊者停用或規避安全性解決方案,最終導致系統洩露。
[封鎖惡意探索易受攻擊的已簽署驅動程式] 規則不會封鎖系統上已存在的驅動程式載入。
注意事項
您可以使用 Intune OMA-URI 來設定此規則。 請參閱 Intune OMA-URI 以設定自定義規則。 您也可以使用 PowerShell 來設定此規則。 若要檢查驅動程式,請使用此網站來提交驅動程式以進行分析。
Intune 名稱:Block abuse of exploited vulnerable signed drivers
Configuration Manager 名稱:尚無法使用
GUID:56a863a9-875e-4185-98a7-b882c64b5ce5
進階搜捕動作類型:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
封鎖 Adobe Reader 使其無法建立子程序
此規則會透過封鎖 Adobe Reader 使其無法建立程序來防範攻擊。
惡意代碼可以下載並啟動承載,並透過社交工程或惡意探索來中斷 Adobe Reader。 藉由封鎖 Adobe Reader 產生的子進程,嘗試使用 Adobe Reader 作為攻擊媒介的惡意代碼會防止散佈。
Intune 名稱:Process creation from Adobe Reader (beta)
Configuration Manager 名稱:尚無法使用
GUID:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
進階搜捕動作類型:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
封鎖所有 Office 應用程式使其無法建立子程序
此規則會封鎖 Office 應用程式,使其無法建立子程序。 Office 應用程式包括 Word、Excel、PowerPoint、OneNote 和 Access。
建立惡意子程序是常見的惡意程式碼策略。 濫用 Office 做為向量的惡意代碼通常會執行 VBA 巨集,並利用程式代碼來下載並嘗試執行更多承載。 不過,某些合法的企業營運應用程式可能也會產生基於惡意目的的子程序;例如,繁衍命令提示字元,或使用 PowerShell 來設定登錄設定。
Intune 名稱:Office apps launching child processes
Configuration Manager 名稱:Block Office application from creating child processes
GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a
進階搜捕動作類型:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
封鎖從 Windows 本機安全性授權子系統竊取認證
注意事項
如果您已啟用 LSA 保護 ,且已啟用 Credential Guard ,則不需要此受攻擊面縮小規則。
此規則會透過鎖定本機安全性授權子系統服務 (LSASS),協助防範認證竊取。
LSASS 會驗證在 Windows 電腦上登入的使用者。 Windows 中的 Microsoft Defender Credential Guard 通常會防範從 LSASS 擷取認證的嘗試。 某些組織無法在其所有計算機上啟用 Credential Guard,因為自定義智慧卡驅動程式或其他載入本地安全機構 (LSA) 程式的相容性問題。 在這些情況下,攻擊者可以使用Mimikatz之類的工具,從LSASS抓取純文本密碼和NTLM哈希。
根據預設,此規則的狀態會設定為 [封鎖]。 在大部分情況下,許多進程會呼叫 LSASS 以取得不需要的訪問許可權。 例如,例如當 ASR 規則的初始區塊導致後續呼叫較小的許可權時,後續就會成功。 如需 LSASS 進程呼叫中通常要求之許可權類型的相關信息,請參閱: 處理安全性和訪問許可權。
如果您已啟用 LSA 保護,則啟用此規則並不會提供額外的保護,因為 ASR 規則和 LSA 保護的運作方式類似。 不過,當無法啟用 LSA 保護時,可以將此規則設定為針對以 為目標 lsass.exe
的惡意代碼提供對等的保護。
提示
- ASR 稽核事件不會產生快顯通知。 不過,由於 LSASS ASR 規則會產生大量的稽核事件,而且在封鎖模式中啟用規則時,幾乎所有事件都可放心忽略,因此您可以選擇略過稽核模式評估並繼續封鎖模式部署,從一小組裝置開始,並逐漸展開以涵蓋其餘部分。
- 此規則的設計目的是要隱藏易記進程的封鎖報告/快顯通知。 它也設計為卸除重複區塊的報表。 因此,不論快顯通知是啟用還是停用,規則都非常適合在封鎖模式中啟用。
- 處於警告模式的 ASR 是設計來向使用者顯示包含 [解除封鎖] 按鈕的封鎖快顯通知。 由於 LSASS ASR 區塊及其大型磁碟區的「安全忽略」本質,因此不建議使用此規則 (不論快顯通知是啟用或停用) 。
注意事項
在此案例中,ASR 規則會在 Microsoft Defender 入口網站的適用於端點的Defender設定中分類為「不適用」。 [封鎖從 Windows 本機安全機構子系統竊取認證] ASR 規則不支援 WARN 模式。 在某些應用程式中,程式碼會列舉所有執行中的程序,並嘗試使用完整權限開啟它們。 此規則會拒絕應用程式的程序開啟動作,並且將詳細資料記錄到安全性事件記錄。 此規則會產生許多雜訊。 如果您的應用程式只會列舉 LSASS,但對功能沒有實際影響,則不需要將其新增到排除清單。 此事件記錄項目本身不一定表示惡意威脅。
Intune 名稱:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager 名稱:Block credential stealing from the Windows local security authority subsystem
GUID:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
進階搜捕動作類型:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
相依性:Microsoft Defender 防病毒軟體
已知問題:這些應用程式和「封鎖從 Windows 本地安全機構子系統竊取認證」規則不相容:
應用程式名稱 | 如需詳細資訊 |
---|---|
Quest Dirsync Password Sync | 安裝 Windows Defender 時,Dirsync 密碼同步無法運作,錯誤:「VirtualAllocEx 失敗:5」 (4253914) |
如需技術支援,請連絡軟體廠商。
封鎖來自電子郵件用戶端及網路郵件的可執行內容
此規則會封鎖在 Microsoft Outlook 應用程式內開啟的電子郵件,或 Outlook.com 和其他熱門的網路郵件提供者傳播下列檔類型:
- 可執行檔 (例如 .exe、.dll 或 .scr)
- 將 PowerShell .ps1、Visual Basic .vbs 或 JavaScript .js 檔案等 (腳本檔案)
Intune 名稱:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager 名稱:Block executable content from email client and webmail
GUID:be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
進階搜捕動作類型:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
相依性:Microsoft Defender 防病毒軟體
注意事項
視您使用的應用程式而定,規則封鎖來自電子郵件用戶端和 Web 郵件的可執行內容有下列替代描述:
- Intune (組態設定檔):執行從電子郵件 (Web 郵件/郵件用戶端) 捨棄的可執行內容 (exe、dll、ps、js、vbs 等) (無例外狀況)。
- Configuration Manager:封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容。
- 群組原則:封鎖來自電子郵件用戶端和 Web 郵件的可執行內容。
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行
此規則封鎖了可執行檔 (例如 .exe, .dll, 或 .scr) 的啟動。 因此,啟動未受信任或未知的可執行檔可能有風險,因為一開始可能無法清楚得知檔案是否為惡意。
重要事項
您必須啟用雲端提供的保護,才能使用此規則。
具有 GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
的規則除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行是由 Microsoft 所擁有,且不會由系統管理員指定。 此規則使用雲端提供的保護,以定期更新其信任清單。
您可以指定個別檔案或資料夾 (使用資料夾路徑或完整資源名稱),但無法指定要套用哪些規則或排除項目。
Intune 名稱:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager 名稱:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID:01443614-cd74-433a-b99e-2ecdc07bfc25
進階搜捕動作類型:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
相依性:Microsoft Defender 防病毒軟體、雲端保護
封鎖可能經過模糊化的指令碼的執行
此規則會偵測模糊化指令碼內的可疑屬性。
注意事項
PowerShell 腳本現在支援「封鎖執行可能模糊化的腳本」規則。
重要事項
您必須啟用雲端提供的保護,才能使用此規則。
指令碼混淆是惡意程式碼作者和合法應用程式用來隱藏智慧財產權或減少指令碼載入時間的常見技巧。 惡意代碼作者也會使用混淆來使惡意代碼更難閱讀,這會妨礙人類和安全性軟體的密切威脅。
Intune 名稱:Obfuscated js/vbs/ps/macro code
Configuration Manager 名稱:Block execution of potentially obfuscated scripts
GUID:5beb7efe-fd9a-4556-801d-275e5ffc04cc
進階搜捕動作類型:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
相依性:Microsoft Defender 防病毒軟體、反惡意代碼掃描介面 (AMSI)
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
此規則可防範指令碼啟動潛在惡意的下載內容。 以 JavaScript 或 VBScript 撰寫的惡意程式碼通常會做為下載程式,以從網際網路擷取並啟動其他惡意程式碼。 雖然不常見,但企業營運應用程式有時會使用指令碼來下載和啟動安裝程式。
Intune 名稱:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager 名稱:Block JavaScript or VBScript from launching downloaded executable content
GUID:d3e037e1-3eb8-44c8-a917-57927947596d
進階搜捕動作類型:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
相依性:Microsoft Defender 防病毒軟體、AMSI
封鎖 Office 應用程式使其無法建立可執行的內容
此規則會透過封鎖惡意程式碼使其無法寫入磁碟,以防範 Office 應用程式 (包括 Word、Excel 和 PowerPoint) 建立可能惡意的可執行內容。 濫用 Office 做為媒介的惡意程式碼可能會嘗試突破 Office,並將惡意元件儲存至磁碟。 這些惡意元件會在電腦重新開機後持續存在,並持續存在於系統上。 因此,此規則會防禦常見的持續性技術。 此規則也會封鎖未受信任檔案的執行,這些檔案可能已由允許在 Office 檔案中執行的 Office 巨集儲存。
Intune 名稱:Office apps/macros creating executable content
Configuration Manager 名稱:Block Office applications from creating executable content
GUID:3b576869-a4ec-4529-8536-b80a7769e899
進階搜捕動作類型:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
相依性:Microsoft Defender 防病毒軟體、RPC
封鎖 Office 應用程式使其無法將程式碼插入其他程序
此規則會封鎖從 Office 應用程式插入程式碼到其他程式碼的嘗試。
注意事項
封鎖應用程式將程式代碼插入其他進程 ASR 規則不支援 WARN 模式。
重要事項
此規則需要重新啟動 Microsoft 365 Apps (Office 應用程式) ,設定變更才會生效。
攻擊者可能會嘗試使用 Office 應用程式,透過程式碼插入將惡意程式碼移轉至其他程序,因此程式碼可能會偽裝成全新程序。 使用程式碼插入沒有任何已知的合法商業目的。
此規則適用於 Word、Excel、OneNote 和 PowerPoint。
Intune 名稱:Office apps injecting code into other processes (no exceptions)
Configuration Manager 名稱:Block Office applications from injecting code into other processes
GUID:75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
進階搜捕動作類型:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
相依性:Microsoft Defender 防病毒軟體
已知問題:這些應用程式和「封鎖 Office 應用程式將程式代碼插入其他進程」規則不相容:
應用程式名稱 | 如需詳細資訊 |
---|---|
Avecto (BeyondTrust) Privilege Guard | 2024 年 9 月 (平臺:4.18.24090.11 |引擎 1.1.24090.11) 。 |
並保安全性 | 不適用 |
如需技術支援,請連絡軟體廠商。
封鎖 Office 通訊應用程式使其無法建立子程序
此規則可防範 Outlook 建立子程序,同時仍允許合法的 Outlook 功能。 此規則可防範社交工程攻擊,並防範惡意探索程式碼濫用 Outlook 中的弱點。 它也可防範使用者的認證遭到入侵時,攻擊者可以使用的 Outlook 規則和表單惡意探索。
注意事項
此規則會封鎖 DLP 原則提示和 Outlook 中的工具提示。 此規則僅適用 Outlook 和 Outlook.com。
Intune 名稱:Process creation from Office communication products (beta)
Configuration Manager 名稱:無法使用
GUID:26190899-1602-49e8-8b27-eb1d0a1ce869
進階搜捕動作類型:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
透過 WMI 事件訂閱封鎖持續性
此規則可防範惡意程式碼濫用 WMI,以獲得裝置上的持續性。
無檔案威脅會採用各種策略來保持隱藏,以避免在檔案系統中顯示,以及取得定期執行控制。 某些威脅可能會濫用 WMI 存放庫和事件模型來保持隱藏。
注意事項
如果CcmExec.exe
在裝置上偵測到 (SCCM Agent) ,ASR 規則會在 Microsoft Defender 入口網站的適用於端點的 Defender 設定中分類為「不適用」。
Intune 名稱:Persistence through WMI event subscription
Configuration Manager 名稱:無法使用
GUID:e6db77e5-3df2-4cf1-b95a-636979351e5b
進階搜捕動作類型:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
相依性:Microsoft Defender 防病毒軟體、RPC
封鎖源自 PSExec 與 WMI 命令的程序建立
此規則會封鎖透過 PsExec 和 WMI 建立的程序執行。 PsExec 和 WMI 都可以從遠端執行程式碼。 有惡意代碼濫用 PsExec 和 WMI 功能的風險,以供命令和控制之用,或在整個組織的網路中散佈感染。
警告
只有在使用 Intune 或其他 MDM 解決方案管理裝置時,才使用此規則。 此規則與透過 Microsoft Endpoint Configuration Manager 的管理不相容,因為此規則會封鎖 Configuration Manager 用戶端用來正確運作的 WMI 命令。
Intune 名稱:Process creation from PSExec and WMI commands
Configuration Manager 名稱:不適用
GUID:d1e49aac-8f56-4280-b9ba-993a6d77406c
進階搜捕動作類型:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
封鎖在安全模式下重新啟動電腦 (預覽)
此規則可防止執行命令,以在安全模式中重新啟動機器。 安全模式是一種診斷模式,只會載入執行 Windows 所需的基本檔案和驅動程式。 不過,在安全模式中,許多安全性產品會停用或以有限的容量運作,讓攻擊者能夠進一步啟動竄改命令,或直接執行和加密計算機上的所有檔案。 此規則會防止進程以安全模式重新啟動機器,以封鎖這類攻擊。
注意事項
這項功能目前為預覽狀態。 為了提升效力而進行的其他升級正在開發中。
Intune 名稱:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager 名稱:尚無法使用
GUID:33ddedf1-c6e0-47cb-833e-de6133960387
進階搜捕動作類型:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
相依性:Microsoft Defender 防病毒軟體
封鎖從 USB 執行的未受信任與未簽署程序
系統管理員可以使用此規則,來防範未簽署或未受信任的可執行檔從 USB 卸除式磁碟機 (包括 SD 記憶卡) 執行。 封鎖的檔案類型包括可執行檔 (例如 .exe、.dll 或 .scr)
重要事項
如果即將在磁碟驅動器上執行檔案,則此規則會封鎖從USB複製到磁碟驅動器的檔案。
Intune 名稱:Untrusted and unsigned processes that run from USB
Configuration Manager 名稱:Block untrusted and unsigned processes that run from USB
GUID:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
進階搜捕動作類型:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
相依性:Microsoft Defender 防病毒軟體
封鎖使用複製或仿真的系統工具 (預覽)
此規則會封鎖使用識別為 Windows 系統工具複本的可執行檔。 這些檔案是原始系統工具的重複或冒名符。 某些惡意程式可能會嘗試複製或模擬 Windows 系統工具,以避免偵測或取得許可權。 允許這類可執行檔可能會導致潛在攻擊。 此規則可防止在 Windows 電腦上傳播和執行系統工具的這類重複專案和冒名符。
注意事項
這項功能目前為預覽狀態。 為了提升效力而進行的其他升級正在開發中。
Intune 名稱:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager 名稱:尚無法使用
GUID:c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
進階搜捕動作類型:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
相依性:Microsoft Defender 防病毒軟體
封鎖建立伺服器的 WebShell
此規則會封鎖在 Microsoft Server、 Exchange Role 上建立 Web 殼層腳本。 Web 殼層腳本是特別製作的腳本,可讓攻擊者控制遭入侵的伺服器。 Web 殼層可能包括接收和執行惡意命令、下載和執行惡意檔案、竊取和外泄認證和敏感性資訊、識別潛在目標等功能。
Intune 名稱:Block Webshell creation for Servers
GUID:a8f5898e-1dc8-49a9-9878-85004b8a61e6
相依性:Microsoft Defender 防病毒軟體
封鎖來自 Office 巨集的 Win32 API 呼叫
此規則可防範 VBA 巨集呼叫 Win32 API。 Office VBA 可啟用 Win32 API 呼叫。 惡意程式碼可能會濫用此功能,例如呼叫 Win32 API 以啟動惡意 shellcode,而不需直接將任何內容寫入磁碟。 大部分組織的日常運作中不依賴於呼叫 Win32 API 的能力,即使他們以其他方式使用巨集也一樣。
Intune 名稱:Win32 imports from Office macro code
Configuration Manager 名稱:Block Win32 API calls from Office macros
GUID:92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
進階搜捕動作類型:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
相依性:Microsoft Defender 防病毒軟體、AMSI
對惡意勒索軟體使用進階保護
此規則可提供一層額外的保護,以防範勒索軟體。 它同時使用用戶端和雲端啟發式方法來判斷檔案是否類似勒索軟體。 此規則不會封鎖具有下列一或多個特性的檔案:
- 該檔案已在 Microsoft 雲端中發現其無害。
- 檔案是有效的已簽署檔案。
- 檔案非常普遍,足以不將其視為勒索軟體。
規則通常會寧願過於謹慎也不要冒險犯錯,以防範勒索軟體。
注意事項
您必須啟用雲端提供的保護,才能使用此規則。
Intune 名稱:Advanced ransomware protection
Configuration Manager 名稱:Use advanced protection against ransomware
GUID:c1db55ab-c21a-4637-bb3f-a12568109d35
進階搜捕動作類型:
AsrRansomwareAudited
AsrRansomwareBlocked
相依性:Microsoft Defender 防病毒軟體、雲端保護
另請參閱
- 受攻擊面縮小規則部署概觀
- 規劃受攻擊面縮小規則部署
- 測試受攻擊面縮小規則
- 啟用受攻擊面縮小規則
- 讓受攻擊面縮小規則運作
- 受攻擊面縮小規則報告
- 受攻擊面縮小規則參考
- 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
提示
想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。