Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje informace o pravidlech Microsoft Defender for Endpoint omezení potenciální oblasti útoku (pravidla ASR):
- Podporované verze operačního systému pravidel ASR
- Podporované systémy správy konfigurace pravidel ASR
- Upozornění a podrobnosti o oznámeních na pravidlo ASR
- Pravidlo ASR na matici GUID
- Režimy pravidel ASR
- Popisy jednotlivých pravidel
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Tip
Jako doplněk k tomuto článku si projděte našeho průvodce nastavením Microsoft Defender for Endpoint, kde najdete osvědčené postupy a seznámíte se se základními nástroji, jako je omezení potenciálních útoků a ochrana nové generace. Pro přizpůsobené prostředí na základě vašeho prostředí můžete získat přístup k průvodci automatizovaným nastavením Defenderu for Endpoint v Centrum pro správu Microsoftu 365.
Požadavky
Podporované operační systémy
- Windows
Pravidla omezení potenciální oblasti útoku podle typu
Pravidla omezení potenciální oblasti útoku jsou kategorizována jako jeden ze dvou typů:
Standardní pravidla ochrany: Jedná se o minimální sadu pravidel, která Microsoft doporučuje vždy povolit, zatímco vyhodnocujete účinek a požadavky na konfiguraci ostatních pravidel ASR. Tato pravidla mají obvykle minimální až žádný znatelný vliv na koncového uživatele.
Další pravidla: Pravidla, která vyžadují určitou míru dodržování zdokumentovaných kroků nasazení [Plan > Test (audit) > Enable (režimy blokování/upozornění)], jak je popsáno v průvodci nasazením pravidel omezení potenciální oblasti útoku.
Nejjednodušší způsob povolení standardních pravidel ochrany najdete v tématu Zjednodušená možnost standardní ochrany.
| Název pravidla ASR | Standard Ochranu Pravidlo? |
Další Pravidlo? |
|---|---|---|
| Blokovat zneužití zneužít ohrožených podepsaných ovladačů | Ano | |
| Blokovat aplikaci Adobe Reader ve vytváření podřízených procesů¹ | Ano | |
| Blokovat vytváření podřízených procesů všem aplikacím Office | Ano | |
| Blokování krádeže přihlašovacích údajů ze subsystému Místní autorita zabezpečení Windows (lsass.exe)¹ ² | Ano | |
| Blokování spustitelného obsahu z e-mailového klienta a webové pošty | Ano | |
| Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu³ | Ano | |
| Blokování spouštění potenciálně obfuskovaných skriptů | Ano | |
| Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu | Ano | |
| Blokování aplikací Office ve vytváření spustitelného obsahu¹ | Ano | |
| Blokování vkládání kódu do jiných procesů aplikací Office¹² | Ano | |
| Blokovat komunikační aplikaci Office ve vytváření podřízených procesů¹ | Ano | |
| Blokování trvalosti prostřednictvím odběru událostí WMI | Ano | |
| Blokování vytváření procesů pocházejících z příkazů PSExec a WMI¹ | Ano | |
| Blokovat restartování počítače v nouzovém režimu | Ano | |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ano | |
| Blokování použití zkopírovaných nebo zosobněných systémových nástrojů | Ano | |
| Blokování vytváření webového prostředí pro servery | Ano | |
| Blokování volání rozhraní API Win32 z maker Office⁴ | Ano | |
| Použití pokročilé ochrany proti ransomwaru | Ano |
¹ Toto pravidlo ASR neresektuje vyloučení Microsoft Defender antivirové ochrany. Informace o konfiguraci vyloučení ASR pro jednotlivá pravidla najdete v tématu Konfigurace vyloučení možností útoku na jednotlivá pravidla.
² Toto pravidlo ASR neresektuje Microsoft Defender for Endpoint Indikátory ohrožení (IOC) pro soubory nebo certifikáty.
³ Toto pravidlo ASR v současné době nemusí být dostupné v konfiguraci zásad Intune Omezení potenciální oblasti útoku kvůli známému problému s back-endem. Pravidlo ale stále existuje a je dostupné prostřednictvím jiných metod. Například Microsoft Defender for Endpoint správu nastavení zabezpečení, poskytovatele konfiguračních služeb (CSP), add-mpPreference nebo existující Intune konfiguraci zásad ASR v pravidlech vytvořených před problémem.
⁴ Toto pravidlo ASR neresektuje Microsoft Defender for Endpoint indikátory ohrožení (IOC) pro certifikáty.
Podporované operační systémy pravidel ASR
Následující tabulka obsahuje seznam podporovaných operačních systémů pro pravidla, která jsou aktuálně obecně dostupná. Pravidla jsou v této tabulce uvedená v abecedním pořadí.
Poznámka
Pokud není uvedeno jinak, minimální Windows 10 build je verze 1709 (RS3, build 16299) nebo novější. Minimální Windows Server build je verze 1809 nebo novější. Pravidla omezení potenciální oblasti útoku v Windows Server 2012 R2 a Windows Server 2016 jsou k dispozici pro zařízení nasazená pomocí moderního balíčku sjednoceného řešení. Další informace najdete v tématu Nové funkce Windows Server 2012 R2 a 2016 v moderním sjednocené řešení.
*V současné době nemusí být toto pravidlo ASR dostupné v konfiguraci zásad Intune Omezení potenciálních oblastí útoku kvůli známému problému s back-endem. Pravidlo ale stále existuje a je dostupné prostřednictvím jiných metod. Například Microsoft Defender for Endpoint správu nastavení zabezpečení, poskytovatele konfiguračních služeb (CSP), add-mpPreference nebo existující Intune konfiguraci zásad ASR v pravidlech vytvořených před problémem).
Poznámka
- Informace o Windows Server 2012 R2 a Windows Server 2016 najdete v tématu Onboarding Windows Server 2016 a Windows Server 2012 R2.
- Pokud používáte Správce konfigurace, minimální požadovaná verze Microsoft Configuration Manager je verze 2111 (prosinec 2021).
Podporované systémy správy konfigurace pravidel ASR
Odkazy na informace o verzích systému pro správu konfigurace, na které odkazuje tato tabulka, jsou uvedeny pod touto tabulkou.
(1) Pomocí identifikátoru GUID libovolného pravidla můžete nakonfigurovat pravidla omezení prostoru útoku pro jednotlivá pravidla.
*V současné době nemusí být toto pravidlo ASR dostupné v konfiguraci zásad Intune Omezení potenciálních oblastí útoku kvůli známému problému s back-endem. Pravidlo ale stále existuje a je dostupné prostřednictvím jiných metod. Například Microsoft Defender for Endpoint správu nastavení zabezpečení, poskytovatele konfiguračních služeb (CSP), add-mpPreference nebo existující Intune konfiguraci zásad ASR v pravidlech vytvořených před problémem).
- Správce konfigurace CB 1710
- Správce konfigurace CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM je teď Microsoft Configuration Manager.
Upozornění a podrobnosti o oznámeních na pravidlo ASR
Informační zprávy se generují pro všechna pravidla v režimu blokování. Pravidla v žádném jiném režimu negenerují informační zprávy.
Pro pravidla se zadaným stavem pravidla:
- Pravidla ASR s kombinacemi
\ASR Rule, Rule State\se používají k zobrazení upozornění (informačních zpráv) na Microsoft Defender for Endpoint pouze pro zařízení nastavená na úrovniHighbloku cloudu . - Zařízení, která nejsou nastavená na úrovni
Highcloudového bloku, negenerují upozornění pro žádnéASR Rule, Rule Statekombinace. - Upozornění EDR (Detekce a odezva koncového bodu) se generují pro pravidla ASR v zadaných stavech pro zařízení nastavená na úrovni
High+bloku cloudu . - Informační zprávy se zobrazují pouze v režimu blokování a pro zařízení nastavená na úrovni
Highbloku cloudu .
*V současné době nemusí být toto pravidlo ASR dostupné v konfiguraci zásad Intune Omezení potenciálních oblastí útoku kvůli známému problému s back-endem. Pravidlo ale stále existuje a je dostupné prostřednictvím jiných metod. Například Microsoft Defender for Endpoint správu nastavení zabezpečení, poskytovatele konfiguračních služeb (CSP), add-mpPreference nebo existující Intune konfiguraci zásad ASR v pravidlech vytvořených před problémem).
Pravidlo ASR na matici GUID
| Název pravidla | Identifikátor GUID pravidla |
|---|---|
| Blokovat zneužití zneužít ohrožených podepsaných ovladačů | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Blokovat Adobe Readeru vytváření podřízených procesů | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blokovat vytváření podřízených procesů všem aplikacím Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blokování spustitelného obsahu z e-mailového klienta a webové pošty | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Blokování spouštění potenciálně obfuskovaných skriptů | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu | d3e037e1-3eb8-44c8-a917-57927947596d |
| Blokování aplikací Office ve vytváření spustitelného obsahu | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Blokování vkládání kódu do jiných procesů aplikací Office | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Blokovat komunikační aplikaci Office ve vytváření podřízených procesů | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Blokování trvalosti prostřednictvím odběru událostí WMI * Vyloučení souborů a složek není podporováno. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blokování vytváření procesů pocházejících z příkazů PSExec a WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Blokovat restartování počítače v nouzovém režimu | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Blokování použití zkopírovaných nebo zosobněných systémových nástrojů | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Blokování vytváření webového prostředí pro servery | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Blokování volání rozhraní API Win32 z maker Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Použití pokročilé ochrany proti ransomwaru | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*V současné době nemusí být toto pravidlo ASR dostupné v konfiguraci zásad Intune Omezení potenciálních oblastí útoku kvůli známému problému s back-endem. Pravidlo ale stále existuje a je dostupné prostřednictvím jiných metod. Například Microsoft Defender for Endpoint správu nastavení zabezpečení, poskytovatele konfiguračních služeb (CSP), add-mpPreference nebo existující Intune konfiguraci zásad ASR v pravidlech vytvořených před problémem).
Režimy pravidel ASR
| Režim pravidla | Kód | Popis |
|---|---|---|
| Nenakonfigurováno nebo zakázáno | 0 | Pravidlo ASR není povolené nebo je zakázané. |
| Blokování | 1 | Pravidlo ASR je povolené v režimu blokování. |
| Auditování | 2 | Pravidlo ASR se vyhodnocuje z hlediska vlivu na prostředí, pokud je povoleno v režimu blokování nebo upozornění. |
| Varovat | 6 | Pravidlo ASR je povolené a uživateli zobrazí oznámení, ale uživatel může blok obejít. |
Upozornění je typ bloku, který uživatele upozorní na potenciálně rizikové akce prostřednictvím automaticky otevíraného okna s upozorněním. Uživatelé můžou vybrat OK , aby blok vynutily, nebo výběrem možnosti Odblokovat blok obejít na dalších 24 hodin. Po 24 hodinách musí uživatel blokování znovu povolit.
Režim upozornění pro pravidla ASR se podporuje jenom v Windows 10 verze 1809 nebo novější. Starší verze Windows 10 s přiřazeným pravidlem režimu Upozornění jsou ve skutečnosti v režimu blokování.
V PowerShellu můžete vytvořit pravidlo ASR v režimu upozornění zadáním parametru AttackSurfaceReductionRules_Actions s hodnotou Warn. Příklady:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Popisy jednotlivých pravidel
Blokovat zneužití zneužít ohrožených podepsaných ovladačů
Poznámka
Pokud chcete chránit své prostředí před ohroženými ovladači, měli byste nejprve implementovat tyto metody:
- U Windows 10 nebo novějších Windows Server 2016 nebo novějších pomocí Microsoft App Control pro firmy byste měli ve výchozím nastavení blokovat všechny ovladače a povolit jenom ty ovladače, které považujete za nezbytné a o kterých se neví, že jsou zranitelné.
- U Windows 8.1 nebo starších, Windows Server 2012 R2 nebo starších, byste pomocí Microsoft AppLockeru měli ve výchozím nastavení blokovat všechny ovladače a povolit jenom ty ovladače, které považujete za nezbytné a o kterých se neví, že jsou zranitelné.
- Pro Windows 11 nebo novější a Windows Server core 1809 nebo novější nebo Windows Server 2019 nebo novější byste měli také povolit seznam blokovaných ovladačů ohrožených systémem Microsoft Windows. Pak byste měli jako další vrstvu ochrany povolit toto pravidlo omezení potenciální plochy útoku.
Toto pravidlo brání aplikaci v zápisu ohroženého podepsaného ovladače na disk. Místní aplikace s dostatečnými oprávněními můžou zneužít ohrožené podepsané ovladače k získání přístupu k jádru. Ohrožené podepsané ovladače umožňují útočníkům zakázat nebo obejít řešení zabezpečení, což nakonec vede k ohrožení systému.
Pravidlo Blokovat zneužití zneužít ohrožených podepsaných ovladačů nezablokuje načtení ovladače, který už v systému existuje.
Poznámka
Toto pravidlo můžete nakonfigurovat pomocí Intune OMA-URI. Informace o konfiguraci vlastních pravidel najdete v tématu Intune OMA-URI. Toto pravidlo můžete také nakonfigurovat pomocí PowerShellu. Pokud chcete ovladač prověřit, použijte tento web k odeslání ovladače k analýze.
název Intune:Block abuse of exploited vulnerable signed drivers
název Správce konfigurace: Zatím není k dispozici
IDENTIFIKÁTOR GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Typ akce rozšířeného proaktivního vyhledávání:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Blokovat Adobe Readeru vytváření podřízených procesů
Toto pravidlo brání útokům tím, že aplikaci Adobe Reader blokuje vytváření procesů.
Malware může stahovat a spouštět datové části a vymanit se z Adobe Readeru prostřednictvím sociálního inženýrství nebo zneužití. Blokováním aplikace Adobe Reader ve generování podřízených procesů se zabrání šíření malwaru, který se pokouší použít Adobe Reader jako vektor útoku.
název Intune:Process creation from Adobe Reader (beta)
název Správce konfigurace: Zatím není k dispozici
IDENTIFIKÁTOR GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Typ akce rozšířeného proaktivního vyhledávání:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokovat vytváření podřízených procesů všem aplikacím Office
Toto pravidlo blokuje aplikace Office ve vytváření podřízených procesů. Mezi aplikace Office patří Word, Excel, PowerPoint, OneNote a Access.
Vytváření škodlivých podřízených procesů je běžnou strategií malwaru. Malware, který zneužívá Office jako vektor, často spouští makra jazyka VBA a zneužívají kód ke stažení a pokusu o spuštění dalších datových částí. Některé legitimní obchodní aplikace ale můžou také generovat podřízené procesy pro neškodné účely. Například vytvoření příkazového řádku nebo konfigurace nastavení registru pomocí PowerShellu.
název Intune:Office apps launching child processes
název Správce konfigurace:Block Office application from creating child processes
IDENTIFIKÁTOR GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
Poznámka
Pokud máte povolenou ochranu LSA , toto pravidlo omezení potenciální oblasti útoku se nevyžaduje. Pro lepší zabezpečení doporučujeme také povolit ochranu Credential Guard s ochranou LSA.
Pokud je ochrana LSA povolená, pravidlo ASR se klasifikuje jako nepoužitelné v nastavení správy Defenderu for Endpoint na portálu Microsoft Defender.
Toto pravidlo pomáhá zabránit krádeži přihlašovacích údajů tím, že uzamkne službu LSASS (Local Security Authority Subsystem Service).
LSASS ověřuje uživatele, kteří se přihlašují na počítači s Windows. Ochrana Credential Guard ve Windows obvykle brání pokusům o extrakci přihlašovacích údajů z LSASS. Některé organizace nemůžou ochranu Credential Guard povolit na všech svých počítačích kvůli problémům s kompatibilitou s vlastními ovladači čipových karet nebo jinými programy, které se načítají do místního úřadu zabezpečení (LSA). V těchto případech můžou útočníci pomocí nástrojů, jako je Mimikatz, ze služby LSASS vyškrtnout hesla a hodnoty hash PROTOKOLU NTLM.
Ve výchozím nastavení je stav tohoto pravidla nastavený na Nenakonfigurováno (zakázáno). Ve většině případů mnoho procesů volá LSASS pro přístupová práva, která nejsou potřeba. Například když počáteční blokování z pravidla ASR vede k následnému volání menšího oprávnění, které je úspěšné. Informace o typech práv, která se obvykle vyžadují při volání procesu LSASS, najdete v tématu Zabezpečení procesů a přístupová práva.
Povolení tohoto pravidla neposkytuje další ochranu, pokud máte povolenou ochranu LSA, protože pravidlo ASR a ochrana LSA fungují podobně. Pokud ale nemůžete povolit ochranu LSA, můžete toto pravidlo nakonfigurovat tak, aby poskytovalo ekvivalentní ochranu proti malwaru, který cílí na lsass.exe.
Tip
- Události auditu ASR negenerují informační zprávy. Pravidlo LSASS ASR vytváří velké množství událostí auditu, z nichž téměř všechny se dají ignorovat, když je pravidlo povolené v režimu blokování. Můžete přeskočit vyhodnocení režimu auditu a pokračovat v nasazení v režimu blokování. Doporučujeme začít s malou sadou zařízení a postupně rozšiřovat, aby pokrývaly zbytek.
- Pravidlo je navržené tak, aby potlačilo blokové sestavy nebo informační zprávy pro popisné procesy. Je také navržený tak, aby sestavy pro duplicitní bloky vyřadily. Proto je pravidlo vhodné pro povolení v režimu blokování bez ohledu na to, jestli jsou informační zprávy povolené nebo zakázané.
- Služba ASR v režimu upozornění je navržená tak, aby uživatelům zobrazovala oznámení o blokování, které obsahuje tlačítko Odblokovat. Vzhledem k tomu, že bloky LSASS ASR a jejich velké objemy jsou bezpečné ignorovat, není režim WARN pro toto pravidlo vhodný (bez ohledu na to, jestli jsou informační zprávy povolené nebo zakázané).
- Toto pravidlo je navržené tak, aby zabránilo procesům v přístupu k paměti LSASS.EXE procesů. Nezablokuje jejich spuštění. Pokud vidíte blokované procesy, jako je svchost.exe, blokuje se tím jenom přístup k paměti procesů LSASS. Proto lze svchost.exe a další procesy bezpečně ignorovat. Jedinou výjimkou jsou následující známé problémy.
Poznámka
V tomto scénáři se pravidlo ASR klasifikuje jako neuvedené v nastavení defenderu pro koncový bod na portálu Microsoft Defender.
Pravidlo ASR blokování krádeže přihlašovacích údajů ze subsystému místní bezpečnostní autority Windows nepodporuje režim upozornění.
V některých aplikacích kód vytvoří výčet všech spuštěných procesů a pokusí se je otevřít s vyčerpávajícími oprávněními. Toto pravidlo odmítne akci otevření procesu aplikace a zapíše podrobnosti do protokolu událostí zabezpečení. Toto pravidlo může generovat velký počet šumů. Pokud máte aplikaci, která pouze vytváří výčet LSASS, ale nemá žádný skutečný vliv na funkčnost, není potřeba ji přidávat do seznamu vyloučení. Tato položka protokolu událostí sama o sobě nemusí nutně znamenat škodlivou hrozbu.
název Intune:Flag credential stealing from the Windows local security authority subsystem
název Správce konfigurace:Block credential stealing from the Windows local security authority subsystem
IDENTIFIKÁTOR GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Typ akce rozšířeného proaktivního vyhledávání:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Závislosti: Microsoft Defender Antivirus
Známé problémy: Tyto aplikace a pravidlo blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows nejsou kompatibilní:
| Název aplikace | Další informace |
|---|---|
| Synchronizace hesel Dirsync úkolu | Synchronizace hesel Dirsync nefunguje při instalaci programu Windows Defender, chyba: VirtualAllocEx selhal: 5 (4253914) |
Pokud potřebujete technickou podporu, obraťte se na vydavatele softwaru.
Blokování spustitelného obsahu z e-mailového klienta a webové pošty
Toto pravidlo blokuje e-maily otevřené v aplikaci Microsoft Outlook nebo Outlook.com a dalších oblíbených poskytovatelů webové pošty šíření následujících typů souborů:
Spustitelné soubory (například .exe, .dll nebo .scr)
Soubory skriptů (například PowerShell.ps1, Visual Basic .vbs nebo javascriptový soubor .js)
Archive soubory (například .zip a další)
název Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
název Microsoft Configuration Manager:Block executable content from email client and webmail
IDENTIFIKÁTOR GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Typ akce rozšířeného proaktivního vyhledávání:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Závislosti: Microsoft Defender Antivirus
Poznámka
Pravidlo Blokovat spustitelný obsah z e-mailového klienta a webové pošty obsahuje následující alternativní popisy v závislosti na tom, kterou aplikaci používáte:
- Intune (konfigurační profily): Spuštění spustitelného obsahu (exe, dll, ps, js, vbs atd.) vyřazeného z e-mailu (webmail/poštovní klient) (bez výjimek).
- Správce konfigurace: Blokovat stahování spustitelného obsahu z e-mailových a webových e-mailových klientů.
- Zásady skupiny: Blokovat spustitelný obsah z e-mailového klienta a webové pošty.
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu
Tip
*V současné době nemusí být toto pravidlo ASR dostupné v konfiguraci zásad Intune Omezení potenciálních oblastí útoku kvůli známému problému s back-endem. Pravidlo ale stále existuje a je dostupné prostřednictvím jiných metod. Například Microsoft Defender for Endpoint správu nastavení zabezpečení, poskytovatele konfiguračních služeb (CSP), add-mpPreference nebo existující Intune konfiguraci zásad ASR v pravidlech vytvořených před problémem).
Toto pravidlo blokuje spuštění spustitelných souborů, například .exe, .dll nebo .scr. Spuštění nedůvěryhodných nebo neznámých spustitelných souborů proto může být riskantní, protože nemusí být zpočátku jasné, pokud jsou soubory škodlivé.
Důležité
Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu . Toto pravidlo používá cloudovou ochranu k pravidelné aktualizaci seznamu důvěryhodných položek. Jednotlivé soubory nebo složky můžete zadat pomocí cest ke složkám nebo plně kvalifikovaných názvů prostředků. Podporuje také nastavení ASROnlyPerRuleExclusions .
název Intune:Executables that don't meet a prevalence, age, or trusted list criteria
název Správce konfigurace:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
IDENTIFIKÁTOR GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Typ akce rozšířeného proaktivního vyhledávání:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Závislosti: Microsoft Defender Antivirus, Cloud Protection
Blokování spouštění potenciálně obfuskovaných skriptů
Toto pravidlo rozpozná podezřelé vlastnosti v obfuskovaném skriptu.
Poznámka
Skripty PowerShellu se teď podporují pro pravidlo blokování spouštění potenciálně obfuskovaných skriptů.
Důležité
Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu.
Obfuskace skriptů je běžná technika, kterou autoři malwaru i legitimní aplikace používají ke skrytí duševního vlastnictví nebo zkrácení doby načítání skriptů. Autoři malwaru také používají obfuskaci, aby škodlivý kód byl obtížně čitelný, což brání podrobnému zkoumání lidí a bezpečnostního softwaru.
název Intune:Obfuscated js/vbs/ps/macro code
název Správce konfigurace:Block execution of potentially obfuscated scripts
IDENTIFIKÁTOR GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Typ akce rozšířeného proaktivního vyhledávání:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Závislosti: antivirová ochrana Microsoft Defender, antimalwarové rozhraní AMSI (Antimalwarové skenování), cloudová ochrana
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Toto pravidlo brání skriptům ve spouštění potenciálně škodlivého staženého obsahu. Malware napsaný v JavaScriptu nebo VBScriptu často funguje jako stahovací modul pro načtení a spuštění dalšího malwaru z internetu. I když to není běžné, obchodní aplikace někdy ke stažení a spouštění instalačních programů používají skripty.
název Intune:js/vbs executing payload downloaded from Internet (no exceptions)
název Správce konfigurace:Block JavaScript or VBScript from launching downloaded executable content
IDENTIFIKÁTOR GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Typ akce rozšířeného proaktivního vyhledávání:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Závislosti: Microsoft Defender Antivirus, AMSI
Blokování aplikací Office ve vytváření spustitelného obsahu
Toto pravidlo zabraňuje použití aplikací Office, včetně Word, Excelu a PowerPointu, jako vektoru k zachování škodlivého kódu na disku. Malware, který zneužívá Office jako vektor, se může pokusit uložit škodlivé komponenty na disk, který by přežil restartování počítače a zůstal v systému. Toto pravidlo brání proti této technice trvalosti tím, že blokuje přístup (otevření/spuštění) ke kódu zapsaného na disk. Toto pravidlo také blokuje spouštění nedůvěryhodných souborů, které mohly být uloženy makry Office, které se můžou spouštět v souborech Office.
název Intune:Office apps/macros creating executable content
název Správce konfigurace:Block Office applications from creating executable content
IDENTIFIKÁTOR GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Typ akce rozšířeného proaktivního vyhledávání:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Závislosti: Microsoft Defender Antivirus, RPC
Blokování vkládání kódu do jiných procesů aplikací Office
Toto pravidlo blokuje pokusy o injektáž kódu z aplikací Office do jiných procesů.
Poznámka
Pravidlo ASR blokovat aplikacím vkládání kódu do jiných procesů nepodporuje režim WARN.
Důležité
Aby se změny konfigurace projevily, vyžaduje toto pravidlo restartování Microsoft 365 Apps (aplikace Office).
Útočníci se můžou pokusit použít aplikace Office k migraci škodlivého kódu do jiných procesů prostřednictvím injektáže kódu, aby se kód mohl maskovat jako čistý proces. Neexistují žádné známé legitimní obchodní účely pro použití injektáže kódu.
Toto pravidlo platí pro Word, Excel, OneNote a PowerPoint.
název Intune:Office apps injecting code into other processes (no exceptions)
název Správce konfigurace:Block Office applications from injecting code into other processes
IDENTIFIKÁTOR GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Závislosti: Microsoft Defender Antivirus
Známé problémy: Tyto aplikace a pravidlo "Blokovat aplikacím Office vkládání kódu do jiných procesů" nejsou kompatibilní:
| Název aplikace | Další informace |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | Září–2024 (platforma: 4.18.24090.11 |Motor 1.1.24090.11). |
| Zabezpečení Heimdal | Není k dispozici |
Pokud potřebujete technickou podporu, obraťte se na vydavatele softwaru.
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů
Toto pravidlo zabraňuje Outlooku ve vytváření podřízených procesů a zároveň povoluje legitimní funkce Outlooku. Toto pravidlo chrání před útoky sociálního inženýrství a zabraňuje zneužití kódu před zneužitím ohrožení zabezpečení v Outlooku. Chrání také před zneužitím pravidel a formulářů Outlooku , které můžou útočníci použít při ohrožení přihlašovacích údajů uživatele.
název Intune:Process creation from Office communication products (beta)
název Správce konfigurace: Není k dispozici
IDENTIFIKÁTOR GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokování trvalosti prostřednictvím odběru událostí WMI
Toto pravidlo zabraňuje malwaru ve zneužití rozhraní WMI k dosažení trvalosti na zařízení.
Hrozby bez souborů používají různé taktiky, aby zůstaly skryté, aby se vyhnuly zobrazení v systému souborů a získaly pravidelnou kontrolu nad prováděním. Některé hrozby můžou zneužít úložiště služby WMI a model událostí, aby zůstaly skryté.
Poznámka
Pokud používáte Správce konfigurace (CM, dříve označovaný jako MEMCM nebo SCCM) s agentem CcmExec.exe (SCCM Agent), doporučujeme ho spouštět v režimu auditování po dobu nejméně 60 dnů.
Jakmile budete připraveni přepnout do režimu blokování, ujistěte se, že nasadíte příslušná pravidla ASR s ohledem na všechna nezbytná vyloučení pravidel.
název Intune:Persistence through WMI event subscription
název Správce konfigurace: Není k dispozici
IDENTIFIKÁTOR GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Typ akce rozšířeného proaktivního vyhledávání:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Závislosti: Microsoft Defender Antivirus, RPC
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI
Toto pravidlo blokuje spuštění procesů vytvořených prostřednictvím nástroje PsExec a rozhraní WMI . PsExec i WMI mohou vzdáleně spouštět kód. Existuje riziko, že malware zneužívá funkce PsExec a rozhraní WMI pro účely příkazů a řízení nebo k šíření infekce v síti organizace.
Upozornění
Toto pravidlo používejte jenom v případě, že zařízení spravujete pomocí Intune nebo jiného řešení MDM. Toto pravidlo není kompatibilní se správou prostřednictvím Microsoft Configuration Manager, protože blokuje příkazy rozhraní WMI, které Správce konfigurace klient používá ke správnému fungování.
název Intune:Process creation from PSExec and WMI commands
název Správce konfigurace: Nejde použít
IDENTIFIKÁTOR GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Typ akce rozšířeného proaktivního vyhledávání:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokovat restartování počítače v nouzovém režimu
Toto pravidlo zabraňuje spuštění určitých příkazů pro restartování počítačů v nouzovém režimu. V nouzovém režimu je mnoho bezpečnostních produktů buď zakázaných, nebo funguje v omezené kapacitě. Tento efekt umožňuje útočníkům dále spouštět příkazy pro manipulaci nebo spouštět a šifrovat všechny soubory na počítači. Toto pravidlo blokuje zneužití nouzového režimu tím, že zabraňuje často zneužívané příkazy, jako jsou bcdedit a bootcfg , v restartování počítačů v nouzovém režimu. Nouzový režim je stále přístupný ručně z prostředí Windows Recovery Environment.
název Intune:Block rebooting machine in Safe Mode
název Správce konfigurace: Zatím není k dispozici
IDENTIFIKÁTOR GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Typ akce rozšířeného proaktivního vyhledávání:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Závislosti: Microsoft Defender Antivirus
Poznámka
Správa hrozeb a ohrožení zabezpečení v současné době toto pravidlo nerozpozná, takže se v sestavě pravidla omezení potenciální oblasti útoku zobrazuje jako nepoužitelné.
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Pomocí tohoto pravidla můžou správci zabránit spuštění nepodepsaných nebo nedůvěryhodných spustitelných souborů z vyměnitelných jednotek USB, včetně karet SD. Blokované typy souborů zahrnují spustitelné soubory (například .exe, .dll nebo .scr).
Důležité
Toto pravidlo blokuje soubory zkopírované z USB na diskovou jednotku, pokud a když se chystá spustit na diskové jednotce.
název Intune:Untrusted and unsigned processes that run from USB
název Správce konfigurace:Block untrusted and unsigned processes that run from USB
IDENTIFIKÁTOR GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Typ akce rozšířeného proaktivního vyhledávání:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů
Toto pravidlo blokuje použití spustitelných souborů, které jsou identifikovány jako kopie systémových nástrojů Windows. Tyto soubory jsou buď duplicitními, nebo podvodníky původních systémových nástrojů. Některé škodlivé programy se můžou pokusit zkopírovat nebo zosobnit systémové nástroje Windows, aby se vyhnuly detekci nebo získaly oprávnění. Povolení takových spustitelných souborů může vést k potenciálním útokům. Toto pravidlo zabraňuje šíření a spouštění takových duplicit a podvodníků systémových nástrojů na počítačích s Windows.
název Intune:Block use of copied or impersonated system tools
název Správce konfigurace: Zatím není k dispozici
IDENTIFIKÁTOR GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Typ akce rozšířeného proaktivního vyhledávání:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Závislosti: Microsoft Defender Antivirus
Poznámka
Správa hrozeb a ohrožení zabezpečení v současné době toto pravidlo nerozpozná, takže se v sestavě pravidla omezení potenciální oblasti útoku zobrazuje jako nepoužitelné.
Blokování vytváření webového prostředí pro servery
Toto pravidlo blokuje vytváření skriptů webového prostředí na Microsoft Serveru, roli Exchange. Skript webového prostředí je vytvořený skript, který útočníkovi umožňuje řídit napadený server.
Webové prostředí může obsahovat funkce, jako je příjem a spouštění škodlivých příkazů, stahování a spouštění škodlivých souborů, krádež a exfiltrace přihlašovacích údajů a citlivých informací a identifikace potenciálních cílů.
název Intune:Block Webshell creation for Servers
IDENTIFIKÁTOR GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Závislosti: Microsoft Defender Antivirus
Poznámka
Když spravujete pravidla ASR pomocí správy nastavení zabezpečení Microsoft Defender for Endpoint, musíte nakonfigurovat nastavení Blokovat vytváření webového prostředí pro servery jako Not Configured v Zásady skupiny nebo jiných místních nastaveních. Pokud je toto pravidlo nastavené na jinou hodnotu (například Enabled nebo Disabled), může to způsobit konflikty a zabránit správné aplikaci zásad prostřednictvím správy nastavení zabezpečení.
Správa hrozeb a ohrožení zabezpečení v současné době toto pravidlo nerozpozná, takže se v sestavě pravidla omezení potenciální oblasti útoku zobrazuje jako nepoužitelné.
Blokování volání rozhraní API Win32 z maker Office
Toto pravidlo brání makrům jazyka VBA v volání rozhraní API Win32. Office VBA umožňuje volání rozhraní API Win32. Malware může tuto funkci zneužít, například voláním rozhraní API Win32 spustit škodlivý shellcode , aniž by bylo nutné něco zapsat přímo na disk. Většina organizací při každodenním fungování nespoléhá na schopnost volat rozhraní API Win32, a to ani v případě, že používají makra jinými způsoby.
název Intune:Win32 imports from Office macro code
název Správce konfigurace:Block Win32 API calls from Office macros
IDENTIFIKÁTOR GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Závislosti: Microsoft Defender Antivirus, AMSI
Použití pokročilé ochrany proti ransomwaru
Toto pravidlo poskytuje další vrstvu ochrany před ransomwarem. K určení, jestli se soubor podobá ransomwaru, používá klientskou i cloudovou heuristiku. Toto pravidlo neblokuje soubory, které mají jednu nebo více následujících charakteristik:
- V cloudu Microsoftu se zjistí, že soubor není sdílený.
- Jedná se o platný podepsaný soubor.
- Soubor je natolik rozšířený, že se nepovažuje za ransomware.
Pravidlo má tendenci chybovat na straně opatrnosti, aby se zabránilo ransomwaru.
Poznámka
Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu .
název Intune:Advanced ransomware protection
název Správce konfigurace:Use advanced protection against ransomware
IDENTIFIKÁTOR GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Typ akce rozšířeného proaktivního vyhledávání:
AsrRansomwareAuditedAsrRansomwareBlocked
Závislosti: Microsoft Defender Antivirus, Cloud Protection