Reference pravidel omezení potenciální oblasti útoku (OPOÚ)

  • Platí pro: Microsoft Defender for Endpoint Plan 2

Pravidla omezení potenciální oblasti útoku (ASR) cílí na rizikové chování softwaru na zařízeních s Windows, která útočníci běžně zneužívají prostřednictvím malwaru (například spouštění skriptů, které stahují soubory, spouštění obfuskovaných skriptů a vkládání kódu do jiných procesů). Další informace o pravidlech ASR najdete v tématu Přehled pravidel omezení potenciální oblasti útoku (ASR).

Tento článek je technickým referenčním materiálem pro pravidla ASR, který obsahuje následující informace:

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Podpora operačního systému pro pravidla ASR

Pravidla ASR jsou funkce Microsoft Defender Antivirové ochrany, která je dostupná v libovolné edici Windows, která obsahuje Microsoft Defender Antivirus (například Windows 11 Home). Pravidla ASR můžete nakonfigurovat místně pomocí PowerShellu nebo Zásady skupiny.

Následující tabulka popisuje podporu operačního systému pro pravidla ASR v Microsoft Defender for Endpoint, která poskytuje centralizovanou správu, vytváření sestav a upozorňování prostřednictvím Microsoft Intune, Microsoft Configuration Manager a Microsoft Defender portál:

Název pravidla Windows 11 nebo novější Windows 10 Windows Server 2019 nebo novější Windows Server 2016* Windows Server 2012 R2*
Standardní pravidla ochrany
Blokování zneužití zneužít ohrožených podepsaných ovladačů (zařízení) A 1709 nebo novější A Windows Server 1803 (SAC) nebo novější A
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows A 1803 nebo novější A A A
Blokování trvalosti prostřednictvím odběru událostí WMI A 1903 nebo novější Windows Server 1903 (SAC) nebo novější N N
Další pravidla ASR
Blokovat Adobe Readeru vytváření podřízených procesů A 1809 nebo novější A A A
Blokovat vytváření podřízených procesů všem aplikacím Office A 1709 nebo novější A A A
Blokování spustitelného obsahu z e-mailového klienta a webové pošty A 1709 nebo novější A A A
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu A 1803 nebo novější A A A
Blokování spouštění potenciálně obfuskovaných skriptů A 1709 nebo novější A A A
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu A 1709 nebo novější A N N
Blokování aplikací Office ve vytváření spustitelného obsahu A 1709 nebo novější A A A
Blokování vkládání kódu do jiných procesů aplikací Office A 1709 nebo novější A A A
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů A 1709 nebo novější A A A
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI A 1803 nebo novější A A A
Blokovat restartování počítače v nouzovém režimu A 1709 nebo novější A A A
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB A 1709 nebo novější A A A
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů A 1709 nebo novější A A A
Blokování vytváření webového prostředí pro servery Není k dispozici Není k dispozici Pouze servery Exchange Pouze servery Exchange N
Blokování volání rozhraní API Win32 z maker Office A 1709 nebo novější Není k dispozici Není k dispozici Není k dispozici
Použití pokročilé ochrany proti ransomwaru A 1803 nebo novější A A A

*Podporovaná pravidla ASR v Windows Server 2016 a Windows Server 2012 R2 vyžadují onboarding pomocí moderního sjednoceného balíčku řešení. Další informace najdete v tématu Nové funkce Windows Server 2012 R2 a 2016 v moderním sjednocené řešení.

Podpora metod nasazení pro pravidla ASR

I když Defender for Endpoint podporuje pravidla ASR, k nasazení pravidel do zařízení potřebujete samostatnou službu. Podporované metody nasazení pravidel ASR jsou popsány v následující tabulce.

Název pravidla Intune Správce konfigurace MDM CSP Centralizované Zásady skupiny
Standardní pravidla ochrany
Blokování zneužití zneužít ohrožených podepsaných ovladačů (zařízení) A N A A
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows A 1802 nebo novější A A
Blokování trvalosti prostřednictvím odběru událostí WMI A N A A
Další pravidla ASR
Blokovat Adobe Readeru vytváření podřízených procesů A N A A
Blokovat vytváření podřízených procesů všem aplikacím Office A 1710 nebo novější A A
Blokování spustitelného obsahu z e-mailového klienta a webové pošty A 1710 nebo novější A A
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu[1] A 1802 nebo novější A A
Blokování spouštění potenciálně obfuskovaných skriptů A 1710 nebo novější A A
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu A 1710 nebo novější A A
Blokování aplikací Office ve vytváření spustitelného obsahu A 1710 nebo novější A A
Blokování vkládání kódu do jiných procesů aplikací Office A 1710 nebo novější A A
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů A N A A
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI A N A A
Blokovat restartování počítače v nouzovém režimu A N A A
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB A 1802 nebo novější A A
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů A N A A
Blokování vytváření webového prostředí pro servery A N A A
Blokování volání rozhraní API Win32 z maker Office A 1710 nebo novější A A
Použití pokročilé ochrany proti ransomwaru A 1802 nebo novější A A

Tip

Pravidla ASR můžete také nakonfigurovat místně na jednotlivých zařízeních pomocí Zásady skupiny nebo PowerShellu. Všechna pravidla ASR jsou podporována oběma metodami na místních zařízeních.

1 Toto pravidlo ASR nemusí být v současné době dostupné v konfiguraci zásad Intune ASR kvůli známému problému s back-endem. Pravidlo je ale dostupné prostřednictvím dalších dostupných metod konfigurace zásad ASR nebo v existujících Intune zásadách ASR vytvořených před problémem.

Upozornění a oznámení z akcí pravidel ASR

Následující tabulka popisuje organizační a místní výstrahy, které můžou generovat aktivní pravidla ASR.

  • Hodnota upozornění EDR označuje, jestli pravidlo ASR v režimu blokování nebo upozornění generuje výstrahy detekce a odezvy koncového bodu (EDR) v Defenderu for Endpoint.
  • Hodnota Oznámení uživatelů označuje, jestli pravidlo ASR podporuje automaticky otevíraná okna oznámení uživatele v režimu Blokování nebo Upozornění (pokud pravidlo podporuje režim Upozornění ).
Název pravidla Upozornění EDR User
Oznámení
Standardní pravidla ochrany
Blokování zneužití zneužít ohrožených podepsaných ovladačů (zařízení) N A
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows[¹] N N
Blokování trvalosti prostřednictvím odběru událostí WMI A A
Další pravidla ASR
Blokovat aplikaci Adobe Reader ve vytváření podřízených procesů[²] A A
Blokovat vytváření podřízených procesů všem aplikacím Office N A
Blokování spustitelného obsahu z e-mailového klienta a webové pošty[²] A A
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu N A
Blokování spouštění potenciálně obfuskovaných skriptů A A
Blokovat spuštění staženého spustitelného obsahu javascriptu nebo jazyka VBScript[²] A A
Blokování aplikací Office ve vytváření spustitelného obsahu N A
Blokovat aplikacím Office vkládání kódu do jiných procesů[¹] N A
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů N A
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI N A
Blokovat restartování počítače v nouzovém režimu N N
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB A A
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů N A
Blokování vytváření webového prostředí pro servery N N
Blokování volání rozhraní API Win32 z maker Office A N
Použití pokročilé ochrany proti ransomwaru A A

¹ Toto pravidlo ASR nepodporuje režim Upozornění .

² Toto pravidlo ASR v režimu blokování nebo upozornění má následující dodatečné požadavky na úroveň ochrany cloudu v Microsoft Defender Antivirové ochrany:

  • Upozornění EDR se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká plus nebo Nulová tolerance.
  • Automaticky otevíraná okna s oznámeními uživatele se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká, Vysoká plus nebo Nulová tolerance.

Podrobnosti pravidla ASR

Standardní pravidla ochrany

Blokování zneužití zneužít ohrožených podepsaných ovladačů (zařízení)

Místní aplikace s dostatečnými oprávněními můžou zneužít ohrožené podepsané ovladače k získání přístupu k jádru operačního systému. Ohrožené podepsané ovladače umožňují útočníkům zakázat nebo obejít řešení zabezpečení, což nakonec vede k ohrožení systému.

Toto pravidlo ASR brání aplikacím v ukládání ohrožených podepsaných ovladačů do počítače. Nezabrání načtení existujících ovladačů, které už jsou v počítači.

  • název Microsoft Intune:Block abuse of exploited vulnerable signed drivers (Device)
  • název Microsoft Configuration Manager: není k dispozici
  • IDENTIFIKÁTOR GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Závislosti: Žádné

Poznámka

Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows

Poznámka

Pokud jste povolili ochranu místního úřadu zabezpečení (LSA) (doporučeno spolu s ochranou Credential Guard):

  • Toto pravidlo ASR není povinné.
  • Toto pravidlo ASR neposkytuje dodatečnou ochranu (pravidlo ASR a ochrana LSA fungují podobně).
  • Toto pravidlo ASR je klasifikováno jako neuvedené v nastavení správy defenderu for Endpoint na portálu Microsoft Defender.

Toto pravidlo ASR pomáhá zabránit krádeži přihlašovacích údajů tím, že uzamkne službu LSASS (Local Security Authority Subsystem Service). LSASS ověřuje uživatele, kteří se přihlašují na počítačích s Windows. Ochrana Credential Guard ve Windows obvykle brání pokusům o extrakci přihlašovacích údajů z LSASS.

Mnoho procesů zbytečně volá LSASS kvůli nepotřebným přístupovým právům. Tato aktivita generuje značné šumy pravidel ASR, ale neblokuje funkce. Například Google Chrome aktualizuje zbytečně přístup k LSASS, protože hesla jsou uložená v LSASS na zařízení. Aktivace tohoto pravidla ASR na zařízení zablokuje aktualizace Chromu přístup k LSASS, ale neblokuje chrome v aktualizaci. Tyto události pravidel ASR jsou dobré, protože proces aktualizace softwaru Chrome by neměl přistupovat k LSASS.

Informace o typech práv, která se obvykle vyžadují při volání procesu LSASS, najdete v tématu Zabezpečení procesů a přístupová práva.

Některé organizace nemůžou povolit ochranu Credential Guard kvůli problémům s kompatibilitou s vlastními ovladači čipových karet nebo jinými programy, které se načítají do LSA. V těchto případech můžou útočníci pomocí nástrojů, jako je Mimikatz, ze služby LSASS vyškrtnout hesla a hodnoty hash PROTOKOLU NTLM.

Pokud nemůžete povolit ochranu LSA nebo Ochranu Credential Guard, můžete toto pravidlo nakonfigurovat tak, aby poskytovalo ekvivalentní ochranu proti malwaru, který cílí na lsass.exe.

  • název Microsoft Intune:Block credential stealing from the Windows local security authority subsystem
  • název Microsoft Configuration Manager:Block credential stealing from the Windows local security authority subsystem
  • IDENTIFIKÁTOR GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Závislosti: Microsoft Defender Antivirus

Poznámka

  • Toto pravidlo ASR nepodporuje režim Upozornění .
  • Toto pravidlo ASR vytváří velké množství událostí auditu, z nichž téměř všechny se dají ignorovat, když je pravidlo povolené v režimu blokování . Můžete přeskočit vyhodnocení režimu auditu a pokračovat v nasazení v režimu blokování. Microsoft doporučuje začít s malou sadou zařízení a postupně se rozšiřovat, aby pokrývaly zbytek.
  • Toto pravidlo ASR potlačuje upozornění a automaticky otevíraná oznámení uživatelům pro popisné procesy a duplicitní blokové akce.
  • Toto pravidlo ASR blokuje přístup k paměti procesu LSASS. Neblokuje spuštění procesů. Pokud toto pravidlo ASR blokuje procesy jako svchost.exe, znamená to, že proces nemá přístup k paměti procesu LSASS. Blokování těchto procesů tímto pravidlem ASR můžete často bezpečně ignorovat.
  • Některé aplikace zobrazí výčet všech spuštěných procesů a pokusí se je otevřít s vyčerpávajícími oprávněními. Toto pravidlo ASR zakazuje akce otevřeného procesu aplikace a zaznamenává podrobnosti do protokolu zabezpečení ve Windows Prohlížeč událostí. Toto pravidlo může generovat velký počet šumů. Pokud máte aplikaci, která pouze vytváří výčet LSASS, ale nemá žádný skutečný vliv na funkčnost, není potřeba ji přidávat do seznamu vyloučení. Tato položka protokolu událostí sama o sobě nemusí nutně znamenat škodlivou hrozbu.
  • Toto pravidlo ASR má problémy se synchronizací hesel Dirsync úkolů. Další informace najdete v tématu Synchronizace hesel Dirsync nefunguje, když je nainstalovaný program Windows Defender, chyba VirtualAllocEx selhala: 5 (4253914).
  • Toto pravidlo má omezenou podporu vyloučení. Podrobnosti najdete v tématu Vyloučení souborů a složek pro pravidla ASR.

Blokování trvalosti prostřednictvím odběru událostí WMI

Toto pravidlo ASR brání malwaru ve zneužití rozhraní WMI k získání trvalosti na zařízeních.

Hrozby bez souborů používají různé taktiky, aby zůstaly skryté, aby se vyhnuly zobrazení v systému souborů a získaly pravidelnou kontrolu. Některé hrozby můžou zneužít úložiště služby WMI a model událostí, aby zůstaly skryté.

  • název Microsoft Intune:Block persistence through WMI event subscription
  • název Microsoft Configuration Manager: není k dispozici
  • IDENTIFIKÁTOR GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Závislosti: Microsoft Defender Antivirus, RPC

Poznámka

  • Toto pravidlo se nepodporuje při nasazení prostřednictvím Microsoft Intune do Windows Server 2012 R2 nebo Windows Server 2016 pomocí moderního sjednoceného řešení.
  • Pokud používáte Microsoft Configuration Manager, microsoft před pokračováním do režimu blokování doporučuje rozsáhlé testování tohoto pravidla ASR v režimu auditování. Klient Správce konfigurace do značné míry spoléhá na rozhraní WMI.
  • Toto pravidlo má omezenou podporu vyloučení. Podrobnosti najdete v tématu Vyloučení souborů a složek pro pravidla ASR.

Další pravidla ASR

Blokovat Adobe Readeru vytváření podřízených procesů

Toto pravidlo ASR brání útokům tím, že aplikaci Adobe Reader blokuje vytváření procesů.

Malware může stahovat a spouštět datové části a vymanit se z Adobe Readeru prostřednictvím sociálního inženýrství nebo zneužití. Blokováním aplikace Adobe Reader ve generování podřízených procesů brání šíření malwaru, který se pokouší použít Adobe Reader jako vektor útoku.

  • název Microsoft Intune:Block Adobe Reader from creating child processes
  • název Microsoft Configuration Manager: není k dispozici
  • IDENTIFIKÁTOR GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Závislosti: Microsoft Defender Antivirus

Poznámka

  • Toto pravidlo má omezenou podporu vyloučení. Podrobnosti najdete v tématu Vyloučení souborů a složek pro pravidla ASR.
  • Toto pravidlo ASR v režimu blokování nebo upozornění má další požadavky na úroveň cloudové ochrany v Microsoft Defender Antivirové ochraně:
    • Upozornění EDR se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká plus nebo Nulová tolerance.
    • Automaticky otevíraná okna s oznámeními uživatele se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká, Vysoká plus nebo Nulová tolerance.

Blokovat vytváření podřízených procesů všem aplikacím Office

Toto pravidlo blokuje aplikace Office ve vytváření podřízených procesů. Mezi aplikace Office patří Word, Excel, PowerPoint, OneNote a Access.

Vytváření škodlivých podřízených procesů je běžnou strategií malwaru. Malware, který zneužívá Office jako vektor, často spouští makra jazyka VBA a zneužívají kód ke stažení a pokusu o spuštění dalších datových částí. Některé legitimní obchodní aplikace ale můžou také generovat podřízené procesy pro neškodné účely. Například vytvoření příkazového řádku nebo konfigurace nastavení registru pomocí PowerShellu.

  • název Microsoft Intune:Block all Office applications from creating child processes
  • název Microsoft Configuration Manager:Block Office application from creating child processes
  • IDENTIFIKÁTOR GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Závislosti: Microsoft Defender Antivirus

Poznámka

Toto pravidlo se vynucuje jenom v případě, C:\Program Files že je Office nainstalovaný v %ProgramFiles% umístěních nebo %ProgramFiles(x86)% (ve výchozím nastavení a C:\Program Files (x86)).

Blokování spustitelného obsahu z e-mailového klienta a webové pošty

Toto pravidlo blokuje šíření následujících typů souborů e-mailů otevřených pomocí aplikace Microsoft Outlook, Outlook.com a dalších oblíbených poskytovatelů webové pošty:

  • Spustitelné soubory (například .exe, .dll nebo .scr).

  • Soubory skriptů (například .ps1, .vbs nebo .js).

  • Archive soubory (například .zip).

  • název Microsoft Intune:Block executable content from email client and webmail

  • název Microsoft Configuration Manager:Block executable content from email client and webmail

  • IDENTIFIKÁTOR GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Typ akce rozšířeného proaktivního vyhledávání:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Závislosti: Microsoft Defender Antivirus

Poznámka

  • Toto pravidlo ASR v režimu blokování nebo upozornění má další požadavky na úroveň cloudové ochrany v Microsoft Defender Antivirové ochraně:
    • Upozornění EDR se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká plus nebo Nulová tolerance.
    • Automaticky otevíraná okna s oznámeními uživatele se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká, Vysoká plus nebo Nulová tolerance.
  • Toto pravidlo ASR má následující alternativní popisy:
    • Intune (konfigurační profily):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Správce konfigurace:Block executable content download from email and webmail clients
    • Zásady skupiny:Block executable content from email client and webmail

Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu

Tip

V současné době nemusí být toto pravidlo ASR dostupné v konfiguraci zásad Intune ASR kvůli známému problému s back-endem. Pravidlo je ale dostupné prostřednictvím dalších dostupných metod konfigurace zásad ASR nebo v existujících Intune zásadách ASR vytvořených před problémem.

Toto pravidlo ASR blokuje spuštění spustitelných souborů (například .exe, .dll nebo .scr). Spouštění nedůvěryhodných nebo neznámých spustitelných souborů může být riskantní, protože ze začátku není jasné, jestli jsou soubory škodlivé.

  • název Microsoft Intune:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • název Microsoft Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • IDENTIFIKÁTOR GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Závislosti: Microsoft Defender Antivirus, Cloud Protection

Poznámka

Blokování spouštění potenciálně obfuskovaných skriptů

Toto pravidlo ASR detekuje podezřelé vlastnosti v obfuskovaném skriptu.

Obfuskace skriptů je běžná technika, kterou autoři malwaru i legitimní aplikace používají ke skrytí duševního vlastnictví nebo zkrácení doby načítání skriptů. Autoři malwaru také používají obfuskaci, aby škodlivý kód byl obtížně čitelný, což brání podrobnému zkoumání lidí a bezpečnostního softwaru.

  • název Microsoft Intune:Block execution of potentially obfuscated scripts
  • název Microsoft Configuration Manager:Block execution of potentially obfuscated scripts
  • IDENTIFIKÁTOR GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Závislosti: Microsoft Defender Antivirus, rozhraní AMSI (Antimalware Scan Interface), Cloud Protection

Poznámka

  • Pokud chcete toto pravidlo ASR použít, musíte povolit cloudovou ochranu.
  • Toto pravidlo ASR podporuje skripty PowerShellu.

Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu

Toto pravidlo ASR brání skriptům ve spouštění potenciálně škodlivého staženého obsahu. Malware napsaný v JavaScriptu nebo VBScriptu často funguje jako stahovač, který načítá a spouští další malware z internetu. I když to není běžné, obchodní aplikace někdy používají skripty ke stažení a spouštění instalačních programů.

  • název Microsoft Intune:Block JavaScript or VBScript from launching downloaded executable content
  • název Microsoft Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
  • IDENTIFIKÁTOR GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Závislosti: Microsoft Defender Antivirus, rozhraní AMSI (Antimalware Scan Interface)

Poznámka

  • Toto pravidlo se nepodporuje při nasazení prostřednictvím Microsoft Intune do Windows Server 2012 R2 nebo Windows Server 2016 pomocí moderního sjednoceného řešení.

  • Toto pravidlo ASR v režimu blokování nebo upozornění má další požadavky na úroveň cloudové ochrany v Microsoft Defender Antivirové ochraně:

    • Upozornění EDR se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká plus nebo Nulová tolerance.
    • Automaticky otevíraná okna s oznámeními uživatele se generují jenom v případě, že úroveň ochrany cloudu na zařízení je Vysoká, Vysoká plus nebo Nulová tolerance.

Blokování aplikací Office ve vytváření spustitelného obsahu

Toto pravidlo ASR zabraňuje aplikacím Office (například Word, Excelu a PowerPointu) používat jako vektor ukládání škodlivých komponent na disk. Tyto škodlivé komponenty přežijí restartování počítače a zůstanou v systému. Toto pravidlo brání proti této technice trvalosti tím, že:

  • Blokování přístupu (otevření/spuštění) ke kódu zapsaného na disk

  • Blokování spouštění nedůvěryhodných souborů uložených makry Office, které se můžou spouštět v souborech Office.

  • název Microsoft Intune:Block Office applications from creating executable content

  • název Microsoft Configuration Manager:Block Office applications from creating executable content

  • IDENTIFIKÁTOR GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Typ akce rozšířeného proaktivního vyhledávání:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Závislosti: Microsoft Defender Antivirus, RPC

Poznámka

Toto pravidlo má omezenou podporu vyloučení. Podrobnosti najdete v tématu Vyloučení souborů a složek pro pravidla ASR.

Toto pravidlo ASR není ovlivněno umístěním instalace Office.

Blokování vkládání kódu do jiných procesů aplikací Office

Toto pravidlo ASR blokuje pokusy o injektáž kódu z aplikací Office do jiných procesů. Útočníci se můžou pokusit použít aplikace Office k migraci škodlivého kódu do jiných procesů prostřednictvím injektáže kódu, aby se kód mohl maskovat jako čistý proces. Neexistují žádné známé legitimní obchodní účely pro použití injektáže kódu.

  • název Microsoft Intune:Block Office applications from injecting code into other processes
  • název Microsoft Configuration Manager:Block Office applications from injecting code into other processes
  • IDENTIFIKÁTOR GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Závislosti: Microsoft Defender Antivirus

Poznámka

  • Toto pravidlo ASR nepodporuje režim Upozornění .
  • Toto pravidlo ASR platí pro Word, Excel, OneNote a PowerPoint.
  • Toto pravidlo ASR vyžaduje restartování Microsoft 365 Apps (aplikace Office), aby se změny konfigurace projevily.
  • Toto pravidlo má omezenou podporu vyloučení. Podrobnosti najdete v tématu Vyloučení souborů a složek pro pravidla ASR.
  • Toto pravidlo ASR není kompatibilní s následujícími aplikacemi:
  • Toto pravidlo ASR se vynucuje jenom v případě, že je Office nainstalovaný v %ProgramFiles% umístěních nebo %ProgramFiles(x86)% (ve výchozím nastavení a C:\Program FilesC:\Program Files (x86)).

Blokovat komunikační aplikaci Office ve vytváření podřízených procesů

Toto pravidlo ASR zabraňuje Outlooku ve vytváření podřízených procesů a zároveň povoluje legitimní funkce Outlooku. Toto pravidlo ASR chrání před:

  • Útoky na sociální inženýrství a brání zneužití kódu ve zneužití ohrožení zabezpečení v Outlooku.

  • Pravidla a formuláře Outlooku zneužívají , které můžou útočníci použít, když dojde k ohrožení přihlašovacích údajů uživatele.

  • název Microsoft Intune:Block Office communication application from creating child processes

  • název Microsoft Configuration Manager: není k dispozici

  • IDENTIFIKÁTOR GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Typ akce rozšířeného proaktivního vyhledávání:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Závislosti: Microsoft Defender Antivirus

Poznámka

Toto pravidlo má omezenou podporu vyloučení. Podrobnosti najdete v tématu Vyloučení souborů a složek pro pravidla ASR.

Toto pravidlo se vynucuje jenom v případě, C:\Program Files že je Office nainstalovaný v %ProgramFiles% umístěních nebo %ProgramFiles(x86)% (ve výchozím nastavení a C:\Program Files (x86)).

Blokování vytváření procesů pocházejících z příkazů PSExec a WMI

Důležité

Pokud používáte Microsoft Configuration Manager, nepoužívejte k povolení tohoto pravidla na spravovaných zařízeních jiné dostupné metody nasazení. Klient Správce konfigurace do značné míry spoléhá na rozhraní WMI.

Toto pravidlo ASR blokuje spuštění procesů vytvořených prostřednictvím nástroje PsExec a rozhraní WMI . PsExec a WMI mohou vzdáleně spouštět kód. Malware může používat PsExec a WMI pro příkazy a řízení nebo k šíření síťových infekcí.

  • název Microsoft Intune:Block process creations originating from PSExec and WMI commands
  • název Microsoft Configuration Manager: není k dispozici
  • IDENTIFIKÁTOR GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Závislosti: Microsoft Defender Antivirus

Poznámka

Toto pravidlo má omezenou podporu vyloučení. Podrobnosti najdete v tématu Vyloučení souborů a složek pro pravidla ASR.

Blokovat restartování počítače v nouzovém režimu

Toto pravidlo ASR zabraňuje často zneužívané příkazy, jako jsou bcdedit a bootcfg , v restartování počítačů s Windows v nouzovém režimu. V nouzovém režimu je řada produktů zabezpečení zakázaná nebo běží s omezenou funkčností. Nouzový režim umožňuje útočníkům dále spouštět příkazy pro manipulaci nebo spouštět a šifrovat všechny soubory na počítači.

Nouzový režim je stále ručně přístupný z prostředí Windows Recovery Environment.

  • název Microsoft Intune:Block rebooting machine in Safe Mode
  • název Microsoft Configuration Manager: není k dispozici
  • IDENTIFIKÁTOR GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Závislosti: Microsoft Defender Antivirus

Poznámka

V současné době Microsoft Defender Správa zranitelností toto pravidlo nerozpozná. Sestava pravidel omezení potenciální oblasti útoku (ASR) zobrazuje toto pravidlo jako Nepoužitelné.

Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB

Toto pravidlo ASR zabraňuje spouštění nepodepsaných nebo nedůvěryhodných spustitelných souborů (například .exe, .dll nebo .scr) z vyměnitelných jednotek USB, včetně karet SD.

Toto pravidlo ASR neblokuje kopírování souborů z JEDNOTKY USB na disk. Blokuje spuštění zkopírovaných souborů z disku.

  • název Microsoft Intune:Block untrusted and unsigned processes that run from USB
  • název Microsoft Configuration Manager:Block untrusted and unsigned processes that run from USB
  • IDENTIFIKÁTOR GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Závislosti: Microsoft Defender Antivirus

Blokování použití zkopírovaných nebo zosobněných systémových nástrojů

Toto pravidlo ASR blokuje šíření a použití spustitelných souborů identifikovaných jako kopie (duplikáty nebo podvodníky) systémových nástrojů Windows. Některé škodlivé programy se můžou pokusit zkopírovat nebo zosobnit systémové nástroje Windows, aby se vyhnuly detekci nebo získaly oprávnění. Povolení takových spustitelných souborů může vést k potenciálním útokům.

  • název Microsoft Intune:Block use of copied or impersonated system tools
  • název Microsoft Configuration Manager: není k dispozici
  • IDENTIFIKÁTOR GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Závislosti: Microsoft Defender Antivirus

Poznámka

V současné době Microsoft Defender Správa zranitelností toto pravidlo nerozpozná. Sestava pravidel omezení potenciální oblasti útoku (ASR) zobrazuje toto pravidlo jako Nepoužitelné.

Blokování vytváření webového prostředí pro servery

Toto pravidlo ASR blokuje vytváření skriptů webového prostředí na serverech s Windows, na kterých běží Microsoft Exchange. Skript webového prostředí je vytvořený skript, který útočníkovi umožňuje řídit napadený server. Skript webového prostředí může obsahovat následující funkce:

  • Příjem a spouštění škodlivých příkazů

  • Stáhněte a spusťte škodlivé soubory.

  • Ukradněte a exfiltrujte přihlašovací údaje a citlivé informace.

  • Identifikujte potenciální cíle.

  • název Microsoft Intune:Block Webshell creation for Servers

  • název Microsoft Configuration Manager: není k dispozici

  • IDENTIFIKÁTOR GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Typ akce rozšířeného proaktivního vyhledávání: není k dispozici

  • Závislosti: Microsoft Defender Antivirus

Poznámka

  • Toto pravidlo se nepodporuje při nasazení prostřednictvím Microsoft Intune do Windows Server 2012 R2 nebo Windows Server 2016 pomocí moderního sjednoceného řešení.
  • Pokud spravujete pravidla ASR v Microsoft Defender for Endpoint, nekonfigurujte tuto službu ASR v Zásady skupiny ani v jiném místním nastavení (ponechte hodnotu jako Not Configured). Jakákoli jiná hodnota (například Enabled nebo Disabled) může způsobit konflikty a zabránit správnému použití pravidla.
  • V současné době Microsoft Defender Správa zranitelností toto pravidlo nerozpozná. Sestava pravidel omezení potenciální oblasti útoku (ASR) zobrazuje toto pravidlo jako Nepoužitelné.

Blokování volání rozhraní API Win32 z maker Office

Office jazyk Visual Basic for Application (VBA) umožňuje volání rozhraní API Win32. Toto pravidlo ASR brání makrům jazyka VBA v volání rozhraní API Win32. Malware může tuto funkci zneužít, například voláním rozhraní API Win32 spustit škodlivý shellcode , aniž by bylo nutné něco zapsat přímo na disk.

Většina organizací nevyžaduje volání rozhraní API Win32 z maker jazyka VBA, i když používají makra jinými způsoby.

  • název Microsoft Intune:Block Win32 API calls from Office macros
  • název Microsoft Configuration Manager:Block Win32 API calls from Office macros
  • IDENTIFIKÁTOR GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Závislosti: Microsoft Defender Antivirus, rozhraní AMSI (Antimalware Scan Interface)

Použití pokročilé ochrany proti ransomwaru

Poznámka

Toto pravidlo ASR poskytuje další vrstvu ochrany před ransomwarem. K určení, jestli se soubor podobá ransomwaru, používá klientskou i cloudovou heuristiku. Toto pravidlo neblokuje soubory, které mají jednu nebo více následujících charakteristik:

  • V cloudu Microsoftu se zjistí, že soubor není sdílený.
  • Jedná se o platný podepsaný soubor.
  • Soubor je natolik rozšířený, že se nepovažuje za ransomware.

Toto pravidlo neblokuje jenom soubory se špatnou reputací. Místo toho pravidlo na straně opatrnosti a také blokuje soubory , které ještě nemají pozitivní reputaci. Obvykle se bloky neškodných neznámých souborů podle tohoto pravidla nakonec vyřeší samy. Hodnoty reputace a důvěryhodnosti souboru se s nárůstem bezproblémového využití postupně zvyšují.

Pokud se bloky neškodných a neznámých souborů nevyřeší včas, můžete pro toto pravidlo nakonfigurovat vyloučení pravidla podle ASR nebo použít akci Povolit pro indikátor ohrožení (IoC).

  • název Microsoft Intune:Use advanced protection against ransomware
  • název Microsoft Configuration Manager:Use advanced protection against ransomware
  • IDENTIFIKÁTOR GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Typ akce rozšířeného proaktivního vyhledávání:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Závislosti: Microsoft Defender Antivirus, Cloud Protection

Související obsah

  • Last updated on