Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pravidla omezení potenciální oblasti útoku (ASR) cílí na rizikové chování softwaru na zařízeních s Windows, která útočníci běžně zneužívají prostřednictvím malwaru (například spouštění skriptů, které stahují soubory, spouštění obfuskovaných skriptů a vkládání kódu do jiných procesů). Tento článek popisuje, jak povolit a nakonfigurovat pravidla ASR.
Nejlepších výsledků dosáhnete, když ke správě pravidel ASR použijete řešení správy na podnikové úrovni, jako jsou Microsoft Intune nebo Microsoft Configuration Manager. Nastavení pravidla ASR z Intune nebo Správce konfigurace přepsat všechna konfliktní nastavení ze zásad skupiny nebo PowerShellu při spuštění.
Požadavky
Další informace najdete v tématu Požadavky na pravidla ASR.
Konfigurace pravidel ASR v Microsoft Intune
Microsoft Intune je doporučený nástroj pro konfiguraci a distribuci zásad pravidel ASR do zařízení. Vyžaduje Microsoft Intune – plán 1 (zahrnuté v předplatných, jako je Microsoft 365 E3 nebo dostupné jako samostatný doplněk).
V Intune jsou doporučeným způsobem nasazení pravidel ASR zásady zabezpečení koncových bodů, i když v Intune jsou k dispozici i jiné metody, jak je popsáno v následujících pododdílech.
Konfigurace pravidel a vyloučení ASR v Intune pomocí zásad zabezpečení koncových bodů
Informace o konfiguraci pravidel ASR pomocí zásad omezení potenciálního útoku Microsoft Intune Endpoint Security najdete v tématu Vytvoření zásady zabezpečení koncového bodu (otevře se na nové kartě v dokumentaci k Intune). Při vytváření zásad použijte tato nastavení:
Důležité
Microsoft Defender for Endpoint správa podporuje pouze objekty zařízení. Cílení na uživatele není podporováno. Přiřaďte zásadu Microsoft Entra skupinám zařízení, ne skupinám uživatelů.
- Typ zásady: Omezení prostoru útoku
- Platforma: Windows
- Profil: Pravidla omezení potenciální oblasti útoku
-
Nastavení konfigurace:
Zmenšení prostoru útoku: Standardní pravidla ochrany můžete obvykle povolit v režimu blokování nebo upozornění bez testování. Před přepnutím do režimu blokování nebo upozornění byste měli otestovat další pravidla ASR v režimu auditování. Další informace najdete v průvodci nasazením pravidel ASR.
Jakmile nastavíte režim pravidla na Audit, Blokovat nebo Upozornit, zobrazí se oddíl ASR pouze pro vyloučení pravidla , ve kterém můžete zadat vyloučení, která se vztahují pouze na toto pravidlo.
Vyloučení pouze pro omezení potenciální oblasti útoku: V této části můžete zadat vyloučení, která se vztahují na všechna pravidla ASR.
Pokud chcete určit vyloučení pravidel podle ASR nebo globální vyloučení pravidel ASR, použijte některou z následujících metod:
Vyberte možnost Přidat. Do zobrazeného pole zadejte cestu nebo cestu a název souboru, které chcete vyloučit. Příklady:
C:\folder%ProgramFiles%\folder\file.exeC:\path
Pokud chcete importovat soubor CSV obsahující názvy souborů a složek, které chcete vyloučit, vyberte Importovat . Soubor CSV používá následující formát:
AttackSurfaceReductionOnlyExclusions "C:\folder" "%ProgramFiles%\folder\file.exe" "C:\path" ...Tip
Dvojité uvozovky kolem hodnot jsou volitelné, a pokud je zahrnete, ignorují se (v hodnotách se nepoužívají). Nepoužívejte kolem hodnot jednoduché uvozovky.
Další informace o vyloučeních najdete v tématu Vyloučení souborů a složek pro pravidla ASR.
Povolení řízeného přístupu ke složkám, Řízený přístup ke složkám chráněných složek a Řízený přístup ke složkám povolených aplikací: Další informace najdete v tématu Ochrana důležitých složek pomocí řízeného přístupu ke složkám.
Konfigurace pravidel ASR v Intune pomocí vlastních profilů s OMA-URIs a CSP
Přestože se doporučují zásady zabezpečení koncových bodů, můžete pravidla ASR v Intune nakonfigurovat také pomocí vlastních profilů, které obsahují profily OMA-URI (Open Mobile Alliance – Uniform Resource) pomocí poskytovatele konfiguračních služeb zásad Systému Windows (CSP).
Obecné informace o OMA-URIs v Intune najdete v tématu Nasazení OMA-URIs pro cílení na poskytovatele CSP prostřednictvím Intune a porovnání s místním prostředím.
V centru pro správu Microsoft Intune na adrese https://intune.microsoft.comvyberte Zařízení>Spravovat zařízení>Konfigurace. Nebo můžete přejít přímo na zařízení | Na stránce Konfigurace použijte https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.
Na kartě Zásady v části Zařízení | Na stránce Konfigurace vyberte Vytvořit>novou zásadu.
V rozevíracím seznamu Vytvořit profil , který se otevře, nakonfigurujte následující nastavení:
- Platforma: Zvolte Windows 10 a novější.
-
Typ profilu: Vyberte Šablony.
- V části Název šablony , která se zobrazí, vyberte Vlastní.
Vyberte Vytvořit.
Otevře se průvodce vlastní šablonou. Na kartě Základy nakonfigurujte následující nastavení:
- Název: Zadejte jedinečný název šablony.
- Popis: Zadejte volitelný popis.
Až skončíte na kartě Základy , vyberte Další.
Na kartě Nastavení konfigurace vyberte Přidat.
V rozevíracím rámečku Přidat řádek , který se otevře, nakonfigurujte následující nastavení:
Název: Zadejte jedinečný název pravidla.
Popis: Zadejte volitelný stručný popis.
OMA-URI: Zadejte hodnotu Device z poskytovatele CSP AttackSurfaceReductionRules :
./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRulesDatový typ: Vyberte Řetězec.
Hodnota: Použijte následující syntaxi:
<RuleGuid1>=<ModeForRuleGuid1> <RuleGuid2>=<ModeForRuleGuid2> ... <RuleGuidN>=<ModeForRuleGuidN>- Hodnoty GUID pro pravidla ASR jsou k dispozici v pravidlech ASR.
- K dispozici jsou následující režimy pravidel :
-
0: Vypnuto -
1:Blok -
2:Auditu -
5: Nenakonfigurováno -
6:Varovat
-
Příklady:
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2 3b576869-a4ec-4529-8536-b80a7769e899=1 d4f940ab-401b-4efc-aadc-ad5f3c50688a=2 d3e037e1-3eb8-44c8-a917-57927947596d=1 5beb7efe-fd9a-4556-801d-275e5ffc04cc=0 be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
Až budete hotovi v informačním rámečku Přidat řádek , vyberte Uložit.
Tip
V tomto okamžiku můžete také přidat globální vyloučení pravidel ASR do vlastního profilu místo vytvoření samostatného profilu jen pro vyloučení. Pokyny najdete v další části Konfigurace globálních vyloučení pravidel ASR v Intune pomocí vlastních profilů s OMA-URIs a CSP.
Zpět na kartě Nastavení konfigurace vyberte Další.
Na kartě Přiřazení nakonfigurujte následující nastavení:
-
Oddíl Zahrnuté skupiny : Vyberte jednu z následujících možností:
- Přidat skupiny: Vyberte jednu nebo více skupin, které chcete zahrnout.
- Přidat všechny uživatele
- Přidat všechna zařízení
- Oddíl Vyloučené skupiny: Vyberte Přidat skupiny a určete skupiny, které chcete vyloučit.
Až skončíte na kartě Zadání , vyberte Další.
-
Oddíl Zahrnuté skupiny : Vyberte jednu z následujících možností:
Na kartě Pravidla použitelnosti vyberte Další.
Pomocí vlastností edice operačního systému a verze operačního systému můžete definovat typy zařízení, která by měla nebo neměla získat profil.
Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení. Pokud se chcete vrátit zpět a provést změny, můžete použít Předchozí nebo vybrat kartu.
Až budete připravení vytvořit profil, vyberte Vytvořit na kartě Zkontrolovat a vytvořit .
Okamžitě se vrátíte na kartu Zásady v části Zařízení | Konfigurační stránka. Možná budete muset vybrat Aktualizovat, aby se zásady zobrazily.
Pravidla ASR jsou aktivní během několika minut.
Konfigurace globálních vyloučení pravidel ASR v Intune pomocí vlastních profilů s OMA-URIs a CSP
Postup konfigurace globálních vyloučení pravidel ASR v Intune pomocí vlastního profilu se velmi podobá krokům pravidla ASR v předchozí části. Jediným rozdílem je krok 5 (karta Nastavení konfigurace ), kde zadáte informace o výjimkách pravidel ASR:
Na kartě Nastavení konfigurace vyberte Přidat. V rozevíracím rámečku Přidat řádek , který se otevře, nakonfigurujte následující nastavení:
-
Název: Zadejte jedinečný název pravidla.
- Popis: Zadejte volitelný stručný popis.
-
OMA-URI: Zadejte hodnotu Device z poskytovatele CSP AttackSurfaceReductionOnlyExclusions :
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusionsDatový typ: Vyberte Řetězec.
Hodnota: Použijte následující syntaxi:
<PathOrPathAndFilename1> <PathOrPathAndFilename1> ... <PathOrPathAndFilenameN>Příklady:
C:\folder %ProgramFiles%\folder\file.exe C:\path
Až budete hotovi v informačním rámečku Přidat řádek , vyberte Uložit.
Zpět na kartě Nastavení konfigurace vyberte Další.
Zbývající kroky jsou stejné jako konfigurace pravidel ASR.
Konfigurace pravidel ASR v libovolném řešení MDM pomocí poskytovatele CSP zásad
Poskytovatel služby konfigurace zásad (CSP) umožňuje podnikovým organizacím konfigurovat zásady na zařízeních s Windows pomocí libovolného řešení správy mobilních zařízení (MDM), nejen Microsoft Intune. Další informace najdete v tématu Policy CSP.
Pravidla ASR můžete nakonfigurovat pomocí poskytovatele CSP AttackSurfaceReductionRules s následujícím nastavením:
Cesta OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Hodnota: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>
- Hodnoty GUID pro pravidla ASR jsou k dispozici v pravidlech ASR.
- K dispozici jsou následující režimy pravidel :
-
0: Vypnuto -
1:Blok -
2:Auditu -
5: Nenakonfigurováno -
6:Varovat
-
Příklady:
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
Poznámka
Nezapomeňte zadat hodnoty OMA-URI bez mezer.
Konfigurace globálních vyloučení pravidel ASR v libovolném řešení MDM pomocí poskytovatele CSP zásad
Pomocí poskytovatele CSP zásad můžete nakonfigurovat globální cestu k pravidlu ASR a cestu a vyloučení názvů souborů pomocí poskytovatele CSP AttackSurfaceReductionOnlyExclusions s následujícím nastavením:
Cesta OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Hodnota: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0
Například C:\folder|%ProgramFiles%\folder\file.exe|C:\path
Konfigurace pravidel ASR a globálních vyloučení pravidel ASR v Microsoft Configuration Manager
Pokyny najdete v informacích o omezení potenciální oblasti útoku v tématu Vytvoření a nasazení zásad Ochrany Exploit Guard.
Upozornění
Existuje známý problém s použitelností omezení potenciální oblasti útoku na verze operačního systému serveru, který je označen jako vyhovující bez skutečného vynucování. V současné době neexistuje žádné definované datum vydání, kdy se to opraví.
Důležité
Pokud na zařízeních používáte možnost Zakázat sloučení správců nastavenou na true hodnotu a používáte některý z následujících nástrojů nebo metod, přidání pravidel ASR pro jednotlivá vyloučení pravidel nebo vyloučení místních pravidel ASR se nepoužije:
- Defender for Endpoint Security Settings Management (Disable Local Správa Merge) Karta Zásady systému Windows na stránce Zásady zabezpečení koncových bodů na portálu Microsoft Defender na adresehttps://security.microsoft.com/policy-inventory?osPlatform=Windows
- Microsoft Intune (zakázat místní Správa sloučení)
- Defender CSP (DisableLocalAdminMerge)
- Zásady skupiny (Konfigurace chování při slučování seznamů místním správcem)
Pokud chcete toto chování změnit, musíte změnit možnost Zakázat sloučení správců na false.
Konfigurace pravidel a vyloučení ASR v zásadách skupiny
Upozornění
Pokud spravujete počítače a zařízení pomocí Intune, Microsoft Configuration Manager nebo jiného softwaru pro správu na podnikové úrovni, software pro správu při spuštění přepíše všechna konfliktní nastavení zásad skupiny.
V části Centralizované Zásady skupiny otevřete konzolu pro správu Zásady skupiny (GPMC) na počítači pro správu Zásady skupiny.
Ve stromu konzoly GPMC rozbalte Zásady skupiny Objekty v doménové struktuře a doméně obsahující objekt zásad skupiny, který chcete upravit.
Klikněte pravým tlačítkem na objekt zásad a pak vyberte Upravit.
V editoru pro správu Zásady skupiny přejděte na Konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Antivirus>Microsoft Defender Zmenšení prostoru útoku Exploit Guard>.
V podokně podrobností o omezení potenciální oblasti útoku jsou dostupná nastavení:
- Konfigurace pravidel omezení potenciální oblasti útoku
- Vyloučení souborů a cest z pravidel omezení potenciální oblasti útoku
- Použití seznamu vyloučení na konkrétní pravidla omezení potenciální oblasti útoku (ASR)
Pokud chcete otevřít a nakonfigurovat nastavení pravidla ASR, použijte některou z následujících metod:
- Poklikejte na nastavení.
- Klikněte pravým tlačítkem na nastavení a pak vyberte Upravit.
- Vyberte nastavení a pak vyberte Upravit akci>.
Tip
Můžete také nakonfigurovat Zásady skupiny místně na jednotlivých zařízeních pomocí Editoru místních Zásady skupiny (gpedit.msc). Přejděte na stejnou cestu: Konfigurace> počítačeŠablony pro správu> Součásti >systému WindowsMicrosoft Defender Antivirová ochrana> Microsoft DefenderOmezení potenciální potenciální oblasti útokuExploit Guard>.
Dostupná nastavení jsou popsána v následujících pododdílech.
Důležité
Uvozovky, úvodní mezery, koncové mezery a nadbytečné znaky nejsou podporovány v žádných hodnotách souvisejících s pravidly ASR v zásadách skupiny.
Zásady skupiny cesty před Windows 10 verzí 2004 (květen 2020) můžou místo Microsoft Antivirová ochrana v programu Defender používat Windows Antivirová ochrana v programu Defender. Oba názvy odkazují na stejné umístění zásad.
Konfigurace pravidel ASR v zásadách skupiny
V podokně podrobností v části Omezení potenciální oblasti útoku otevřete nastavení Konfigurovat pravidla omezení oblasti útoku .
V okně nastavení, které se otevře, nakonfigurujte následující možnosti:
- Vyberte Povoleno.
- Nastavte stav pro každé pravidlo ASR: Vyberte Zobrazit....
V dialogovém okně Nastavit stav pro každé pravidlo ASR , které se otevře, nakonfigurujte následující nastavení:
- Název hodnoty: Zadejte hodnotu GUID pravidla ASR.
-
Hodnota: Zadejte jednu z následujících hodnot režimu pravidel :
-
0: Vypnuto -
1:Blok -
2:Auditu -
5: Nenakonfigurováno -
6:Varovat
-
Další informace najdete v tématu Režimy pravidel ASR.
Tento krok opakujte tolikrát, kolikrát je to potřeba. Až budete hotovi, vyberte OK.
Konfigurace globálních vyloučení pravidel ASR v zásadách skupiny
Cesty nebo názvy souborů s cestami, které zadáte, se použijí jako vyloučení pro všechna pravidla ASR.
V podokně podrobností v části Omezení plochy útoku otevřete nastavení Vyloučit soubory a cesty z pravidel omezení potenciální oblasti útoku .
V okně nastavení, které se otevře, nakonfigurujte následující možnosti:
- Vyberte Povoleno.
- Vyloučení z pravidel ASR: Vyberte Zobrazit....
V dialogovém okně Vyloučení z pravidel ASR , které se otevře, nakonfigurujte následující nastavení:
- Název hodnoty: Zadejte cestu nebo cestu a název souboru, které chcete vyloučit ze všech pravidel ASR.
-
Hodnota: Zadejte
0.
Podporují se následující typy názvů hodnot:
- Pokud chcete vyloučit všechny soubory ve složce, zadejte úplnou cestu ke složce. Například:
C:\Data\Test. - Pokud chcete vyloučit konkrétní soubor v konkrétní složce (doporučeno), zadejte cestu a název souboru. Například:
C:\Data\Test\test.exe.
Tento krok opakujte tolikrát, kolikrát je to potřeba. Až budete hotovi, vyberte OK.
Konfigurace vyloučení pravidel podle ASR v zásadách skupiny
Cesty nebo názvy souborů s cestami, které zadáte, se použijí jako vyloučení pro konkrétní pravidla ASR.
Poznámka
Pokud nastavení Použít seznam vyloučení na konkrétní pravidla omezení potenciální oblasti útoku (ASR) není v konzole GPMC dostupné, potřebujete ve svém centrálním úložištišablon pro správu verzi 24H2 nebo novější.
V podokně podrobností v části Omezení potenciální oblasti útoku otevřete nastavení Použít seznam vyloučení na konkrétní pravidla omezení potenciální oblasti útoku (ASR).
V okně nastavení, které se otevře, nakonfigurujte následující možnosti:
- Vyberte Povoleno.
- Vyloučení pro každé pravidlo ASR: Vyberte Zobrazit....
V dialogovém okně Vyloučení pro každé pravidlo ASR , které se otevře, nakonfigurujte následující nastavení:
- Název hodnoty: Zadejte hodnotu GUID pravidla ASR.
-
Hodnota: Zadejte jedno nebo více vyloučení pro pravidlo ASR. Použijte syntaxi
Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Například:C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.
Tento krok opakujte tolikrát, kolikrát je to potřeba. Až budete hotovi, vyberte OK.
Konfigurace pravidel ASR v PowerShellu
Upozornění
Pokud spravujete počítače a zařízení pomocí Intune, Správce konfigurace nebo jiné podnikové platformy pro správu, software pro správu při spuštění přepíše všechna konfliktní nastavení PowerShellu.
Na cílovém zařízení použijte následující syntaxi příkazu PowerShellu v relaci PowerShellu se zvýšenými oprávněními (okno PowerShellu, které jste otevřeli výběrem možnosti Spustit jako správce):
<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>
Set-MpPreferencepřepíše všechna existující pravidla a jejich odpovídající režimy hodnotami, které zadáte. Pokud chcete zobrazit seznam existujících hodnot, spusťte následující příkaz:
$p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSizePokud chcete přidat nová pravidla a jejich odpovídající režimy, aniž by to mělo vliv na existující hodnoty, použijte rutinu Add-MpPreference . Pokud chcete odebrat zadaná pravidla a jejich odpovídající režimy, aniž by to mělo vliv na jiné existující hodnoty, použijte rutinu Remove-MpPreference . Syntaxe příkazu je pro tyto tři rutiny stejná.
Hodnoty GUID pro pravidla ASR jsou k dispozici v pravidlech ASR.
Platné hodnoty parametru AttackSurfaceReductionRules_Actions jsou:
-
0NeboDisabled -
1neboEnabled(režim blokování ) -
2nebo neboAuditModeAudit -
5NeboNotConfigured -
6NeboWarn
-
Následující příklad konfiguruje zadaná pravidla ASR na zařízení:
- První dvě pravidla jsou povolená v režimu blokování .
- Třetí pravidlo je zakázané.
- Poslední pravidlo je povolené v režimu auditování .
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode
Konfigurace globálních vyloučení pravidel ASR v PowerShellu
Na cílovém zařízení použijte v relaci PowerShellu se zvýšenými oprávněními následující syntaxi příkazů PowerShellu:
<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"
Set-MpPreferencepřepíše všechna existující vyloučení pravidel ASR zadanými hodnotami. Pokud chcete zobrazit seznam existujících hodnot, spusťte následující příkaz:
(Get-MpPreference).AttackSurfaceReductionOnlyExclusionsPokud chcete přidat nové výjimky bez ovlivnění existujících hodnot, použijte rutinu Add-MpPreference . Pokud chcete odebrat zadané výjimky, aniž by to mělo vliv na jiné hodnoty, použijte rutinu Remove-MpPreference . Syntaxe příkazu je pro tyto tři rutiny stejná.
Následující příklad konfiguruje zadanou cestu a cestu s názvem souboru jako vyloučením pro všechna pravidla ASR na zařízení:
Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"