Sdílet prostřednictvím

Povolení pravidel omezení potenciální oblasti útoku

  • Platí pro: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

Pravidla omezení potenciální oblasti útoku pomáhají předcházet akcím, které malware často zneužívá k ohrožení zabezpečení zařízení a sítí. Tento článek popisuje, jak povolit a nakonfigurovat pravidla omezení potenciální oblasti útoku prostřednictvím:

Požadavky

Pokud chcete použít celou sadu funkcí pravidel omezení potenciální oblasti útoku, musí být splněny následující požadavky:

  • Microsoft Defender Antivirus musí být nastavený jako primární antivirový program. Nesmí běžet v pasivním režimu ani nesmí být zakázané.

  • Ochrana v reálném čase musí být zapnutá.

  • Cloud-Delivery Protection musí být zapnutá (některá pravidla vyžadují Cloud Protection).

  • Musíte mít připojení k síti služby Cloud Protection.

  • Doporučeno: Microsoft 365 E5

    I když pravidla omezení potenciální oblasti útoku nevyžadují Microsoft 365 E5 licenci, doporučujeme použít pravidla omezení potenciální oblasti útoku s licencí Microsoft 365 E5 (nebo podobnou skladovou položkou licencování), abyste mohli využívat pokročilé možnosti správy, včetně monitorování, analýz a pracovních postupů dostupných v Defenderu for Endpoint, a také možnosti vytváření sestav a konfigurace v nástroji Microsoft Defender XDR portál. I když tyto pokročilé funkce nejsou dostupné s licencí E3, s licencí E3 můžete stále používat Prohlížeč událostí ke kontrole událostí pravidel omezení potenciální oblasti útoku.

    Pokud máte jinou licenci, například Windows Professional nebo Microsoft 365 E3, která nezahrnuje pokročilé možnosti monitorování a vytváření sestav, můžete vyvíjet vlastní nástroje pro monitorování a vytváření sestav nad událostmi, které se vygenerují v jednotlivých koncových bodech při aktivaci pravidel omezení potenciální oblasti útoku (například předávání událostí).

    Další informace o licencování Windows najdete v tématu Windows 10 licencování a v průvodci multilicencemi pro Windows 10.

Podporované operační systémy

Pravidla omezení potenciální oblasti útoku můžete nastavit pro zařízení, která používají některou z následujících edic a verzí Windows:

Poznámka

Některá pravidla omezení potenciální oblasti útoku se vynucují jenom v případě, že jsou spustitelné soubory Office nainstalované v adresářích %ProgramFiles% nebo %ProgramFiles(x86)% (ve většině systémů odkazuje %ProgramFiles% na C:\Program Files). Pokud je Office nainstalovaný ve vlastní cestě mimo jeden z těchto systémově definovaných adresářů, tato pravidla nebudou platit. Ovlivněná pravidla jsou:

  • Blokování vytváření podřízených procesů komunikačních aplikací Office (26190899-1602-49e8-8b27-eb1d0a1ce869)
  • Blokovat vytváření podřízených procesů všem aplikacím Office (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  • Blokování vkládání kódu do jiných procesů aplikací Office (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)

Povolení pravidel omezení potenciální oblasti útoku

Každé pravidlo omezení potenciální oblasti útoku obsahuje jedno ze čtyř nastavení:

  • Nenakonfigurováno nebo zakázáno: Zakažte pravidlo omezení potenciální oblasti útoku.
  • Blok: Povolení pravidla omezení potenciální oblasti útoku
  • Audit: Vyhodnoťte, jaký vliv by pravidlo omezení potenciální oblasti útoku mělo na vaši organizaci, pokud je povolené.
  • Upozornění: Povolte pravidlo omezení potenciální oblasti útoku, ale umožněte koncovému uživateli obejít tento blok.

Pravidla omezení potenciální oblasti útoku můžete povolit pomocí některé z následujících metod:

Doporučuje se správa na podnikové úrovni, jako je Intune nebo Microsoft Configuration Manager. Správa na podnikové úrovni přepíše všechny konfliktní zásady skupiny nebo nastavení PowerShellu při spuštění.

Vyloučení souborů a složek z pravidel omezení potenciální oblasti útoku

Z vyhodnocování souborů a složek můžete vyloučit většinu pravidel omezení potenciální oblasti útoku. To znamená, že i když pravidlo omezení potenciální oblasti útoku určí, že soubor nebo složka obsahují škodlivé chování, neblokuje spuštění souboru.

Důležité

Vyloučení souborů nebo složek může výrazně snížit ochranu poskytovanou pravidly pro omezení potenciální oblasti útoku. Vyloučené soubory se můžou spouštět a nezaznamenávají se žádné sestavy ani události. Pokud pravidla omezení potenciální oblasti útoku detekují soubory, o které se domníváte, že by se neměly detekovat, měli byste k otestování pravidla nejprve použít režim auditování. Vyloučení se použije pouze při spuštění vyloučené aplikace nebo služby. Pokud například přidáte vyloučení pro již spuštěnou aktualizační službu, bude služba Aktualizace dál spouštět události, dokud se služba nezastaví a nerestartuje.

Při přidávání vyloučení mějte na paměti tyto body:

Jak se zpracovávají konflikty zásad

Pokud se konfliktní zásady použijí prostřednictvím MDM a GP, bude mít přednost nastavení použité z Zásady skupiny.

Pravidla omezení potenciální oblasti útoku pro spravovaná zařízení podporují chování při slučování nastavení z různých zásad, aby se pro každé zařízení vytvořila nadmnožina zásad. Slučují se jenom nastavení, která nejsou v konfliktu, zatímco konflikty zásad se nepřidávají do nadmnožiny pravidel. Pokud dříve dvě zásady obsahovaly konflikty pro jedno nastavení, obě zásady se označovaly jako konfliktní a nenasadila se žádná nastavení z žádného profilu.

Chování při slučování pravidla omezení potenciální oblasti útoku funguje takto:

  • Pravidla omezení potenciální oblasti útoku z následujících profilů se vyhodnocují pro každé zařízení, na které se pravidla vztahují:

  • Nastavení, která neobsahují konflikty, se přidají do nadmnožiny zásad pro zařízení.

  • Pokud mají dvě nebo více zásad konfliktní nastavení, konfliktní nastavení se do kombinované zásady nepřidají, zatímco nastavení, která nejsou v konfliktu, se přidají do zásady nadmnožina, která platí pro zařízení.

  • Zadržou se pouze konfigurace pro konfliktní nastavení.

Metody konfigurace

Tato část obsahuje podrobnosti o konfiguraci pro následující metody konfigurace:

Následující postupy pro povolení pravidel omezení potenciální oblasti útoku obsahují pokyny k vyloučení souborů a složek.

Intune

Důležité

Pokud používáte Intune na Windows Server 2012 R2 a Windows Server 2016 s moderním jednotným řešením, musíte nastavit následující pravidla Not Configured omezení potenciální oblasti útoku, protože tato pravidla nejsou v těchto verzích operačního systému podporovaná. V opačném případě se zásady obsahující některá z těchto pravidel cílených na Windows Server 2012 R2 nebo Windows Server 2016 nepoužijí:

Zásady zabezpečení koncového bodu (upřednostňované)

  1. VyberteOmezení potenciální oblasti útoku zabezpečení >koncového bodu. Zvolte existující pravidlo omezení potenciální oblasti útoku nebo vytvořte nové. Pokud chcete vytvořit novou zásadu, vyberte Vytvořit zásadu a zadejte informace pro tento profil. Jako Typ profilu vyberte Pravidla omezení potenciální oblasti útoku. Pokud jste vybrali existující profil, vyberte Vlastnosti a pak vyberte Nastavení.

  2. V podokně Nastavení konfigurace vyberte Omezení potenciální oblasti útoku a pak vyberte požadované nastavení pro každé pravidlo omezení potenciální oblasti útoku.

  3. V části Seznam dalších složek, které je potřeba chránit, Seznam aplikací, které mají přístup k chráněným složkám a Vyloučení souborů a cest z pravidel omezení potenciální oblasti útoku zadejte jednotlivé soubory a složky.

    Můžete také vybrat Importovat a importovat soubor CSV, který obsahuje soubory a složky a vyloučit je z pravidel omezení potenciální oblasti útoku. Každý řádek v souboru CSV by měl být naformátovaný takto:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Ve třech podoknech konfigurace vyberte Další a pak vyberte Vytvořit , pokud vytváříte novou zásadu, nebo Uložit , pokud upravujete existující zásadu.

Poznámka

V nejnovějším rozhraní Intune se profily konfigurace nacházejí v části Profily konfigurace zařízení>.
Dřívější verze Intune to zobrazily v části Profily konfigurace > zařízení.
Pokud možnost Konfigurační profil nevidíte tak, jak je napsáno ve starších pokynech, vyhledejte konfigurační profily v nabídce Zařízení.

Profily konfigurace zařízení (alternativa 1)

  1. Vyberte Profily konfigurace> zařízení. Zvolte existující profil ochrany koncového bodu nebo vytvořte nový. Pokud chcete vytvořit nový profil, vyberte Vytvořit profil a zadejte informace o tomto profilu. Jako Typ profilu vyberte Endpoint Protection. Pokud jste vybrali existující profil, vyberte Vlastnosti a pak vyberte Nastavení.

  2. V podokně Endpoint Protection vyberte Ochrana Exploit Guard v programu Windows Defender a pak vyberte Zmenšení potenciální oblasti útoku. Vyberte požadované nastavení pro každé pravidlo omezení prostoru útoku.

  3. V části Výjimky omezení potenciální oblasti útoku zadejte jednotlivé soubory a složky. Můžete také vybrat Importovat a importovat soubor CSV, který obsahuje soubory a složky a vyloučit je z pravidel omezení potenciální oblasti útoku. Každý řádek v souboru CSV by měl být naformátovaný takto:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Ve třech podoknech konfigurace vyberte OK . Pak vyberte Vytvořit , pokud vytváříte nový soubor ochrany koncového bodu, nebo Uložit , pokud upravujete existující soubor.

Vlastní profil v Intune (alternativa 2)

Pomocí Microsoft Intune OMA-URI můžete nakonfigurovat vlastní pravidla omezení potenciální oblasti útoku. V následujícím postupu se v příkladu používá pravidlo Blokovat zneužití zneužívaného ohroženého podepsaného ovladače .

  1. V centru pro správu Microsoft Intune na adrese https://intune.microsoft.comvyberte Zařízení>Spravovat zařízení>Konfigurace. Nebo můžete přejít přímo na zařízení | Na stránce Konfigurace použijte https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. Na kartě Zásady v části Zařízení | Na stránce Konfigurace vyberte Vytvořit>novou zásadu.

    Snímek obrazovky s kartou Zásady na stránce Zařízení – konfigurace v Centru pro správu Microsoft Intune s vybranou možností Vytvořit

  3. V rozevíracím seznamu Vytvořit profil , který se otevře, nakonfigurujte následující nastavení:

    • Platforma: Zvolte Windows 10 a novější.
    • Typ profilu: Vyberte jednu z následujících hodnot:

      • Šablony

        V části Název šablony , která se zobrazí, vyberte Vlastní.

        nebo

      • Pokud už jsou pravidla omezení potenciální oblasti útoku nastavená prostřednictvím zabezpečení koncového bodu, vyberte Katalog nastavení.

    Až budete hotovi v informačním rámečku Vytvořit profil , vyberte Vytvořit.

    Atributy profilu pravidla na portálu centra pro správu Microsoft Intune.

  4. Nástroj Vlastní šablona se otevře ve kroku 1 Základy. V části 1 Základy zadejte do pole Název název šablony a do pole Popis můžete zadat popis (volitelné). Základní atributy na portálu centra pro správu Microsoft Intune

  5. Klikněte na tlačítko Další. Krok 2 Otevře se nastavení konfigurace . V části OMA-URI Settings (Nastavení OMA-URI) klikněte na Add (Přidat). Zobrazí se dvě možnosti: Přidat a Exportovat.

    Snímek obrazovky znázorňující nastavení konfigurace na portálu centra pro správu Microsoft Intune

  6. Znovu klikněte na Přidat . Otevře se možnost Přidat nastavení OMA-URI řádku . V části Přidat řádek vyplňte následující informace:

    1. Do pole Název zadejte název pravidla.

    2. Do pole Popis zadejte stručný popis.

    3. V OMA-URI zadejte nebo vložte konkrétní odkaz OMA-URI pro pravidlo, které přidáváte. Informace o použití OMA-URI pro toto ukázkové pravidlo najdete v části MDM v tomto článku. Identifikátory GUID pravidla omezení potenciální oblasti útoku najdete v tématu Popisy jednotlivých pravidel.

    4. Do pole Hodnota zadejte nebo vložte hodnotu GUID, znaménko \= a hodnotu State bez mezer (GUID=StateValue):

      • 0: Zakázat (zakázat pravidlo omezení potenciální oblasti útoku)
      • 1: Blokovat (povolení pravidla omezení potenciální oblasti útoku)
      • 2: Audit (vyhodnoťte, jak by pravidlo omezení potenciální oblasti útoku ovlivnilo vaši organizaci, pokud je povolené)
      • 6: Upozornit (povolte pravidlo omezení potenciální oblasti útoku, ale umožněte koncovému uživateli obejít blok)

      Konfigurace identifikátoru OMA URI na portálu centra pro správu Microsoft Intune.

  7. Vyberte Uložit. Přidání řádku se zavře. V části Vlastní vyberte Další. V kroku 3 Značky oboru jsou značky oboru volitelné. Udělejte jedno z následujícího:

    • Vyberte Vybrat značky oboru, vyberte značku oboru (volitelné) a pak vyberte Další.
    • Nebo vyberte Další.

  8. V kroku 4 Přiřazení vyberte v části Zahrnuté skupiny pro skupiny, které má toto pravidlo použít, z následujících možností:

    • Přidání skupin
    • Přidat všechny uživatele
    • Přidat všechna zařízení

    Přiřazení na portálu Centra pro správu Microsoft Intune

  9. V části Vyloučené skupiny vyberte skupiny, které chcete z tohoto pravidla vyloučit, a pak vyberte Další.

  10. V kroku 5 Pravidla použitelnosti pro následující nastavení postupujte takto:

    1. V části Pravidlo vyberte přiřadit profil, pokud nebo Nepřiřazovat profil, pokud.
    2. V části Vlastnost vyberte vlastnost, na kterou chcete toto pravidlo použít.
    3. Do pole Hodnota zadejte příslušnou hodnotu nebo rozsah hodnot.

    Pravidla použitelnosti na portálu centra pro správu Microsoft Intune.

  11. Vyberte Další. V kroku 6 Kontrola a vytvoření zkontrolujte nastavení a informace, které jste vybrali a zadali, a pak vyberte Vytvořit.

    Snímek obrazovky znázorňující možnost Zkontrolovat a vytvořit na portálu Centra pro správu Microsoft Intune

    Pravidla jsou aktivní a platí během několika minut.

Poznámka

Pokud jde o zpracování konfliktů, přiřadíte-li zařízení dvě různé zásady omezení potenciální oblasti útoku, může docházet ke konfliktům zásad v závislosti na tom, jestli jsou pravidla přiřazená různým stavům, jestli je zavedeno řízení konfliktů a jestli je výsledkem chyba.

Nekonfliktní pravidla nevedou k chybě a tato pravidla se použijí správně. Použije se první pravidlo a následná nekonfliktní pravidla se sloučí se zásadou.

MDM

Pomocí poskytovatele konfigurační služby (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules můžete jednotlivě povolit a nastavit režim pro každé pravidlo.

Následuje příklad pro referenci s použitím hodnot GUID pro referenční informace o pravidlech omezení potenciální oblasti útoku.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Hodnoty, které se mají povolit (Blokovat), zakázat, upozornit nebo povolit v režimu auditování, jsou:

  • 0: Zakázat (zakázat pravidlo omezení prostoru útoku)
  • 1: Blokování (povolení pravidla omezení potenciální oblasti útoku)
  • 2: Audit (vyhodnoťte, jaký vliv by pravidlo omezení potenciální oblasti útoku mělo na vaši organizaci, pokud je povolené)
  • 6: Upozornit (Povolte pravidlo omezení potenciální oblasti útoku, ale umožněte koncovému uživateli obejít blok). Režim upozornění je k dispozici pro většinu pravidel omezení potenciální oblasti útoku.

K přidání vyloučení použijte poskytovatele konfiguračních služeb (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions .

Příklad:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Poznámka

Nezapomeňte zadat hodnoty OMA-URI bez mezer.

Microsoft Configuration Manager

  1. V Microsoft Configuration Manager přejděte na Prostředky a dodržování předpisů>Endpoint Protection> OchranaExploit Guard v programu Windows Defender.

  2. Vyberte Domovská stránka>Vytvořit zásady ochrany Exploit Guard.

  3. Zadejte název a popis, vyberte Omezení potenciální oblasti útoku a vyberte Další.

  4. Zvolte pravidla, která budou blokovat nebo auditovat akce, a vyberte Další.

  5. Zkontrolujte nastavení a vyberte Další , abyste zásadu vytvořili.

  6. Po vytvoření zásady vyberte Zavřít.

Upozornění

Existuje známý problém s použitelností omezení potenciální oblasti útoku na verze operačního systému serveru, který je označen jako vyhovující bez skutečného vynucování. V současné době neexistuje žádné definované datum vydání, kdy se to opraví.

Důležité

Pokud na zařízeních používáte možnost Zakázat sloučení správců nastavenou na true hodnotu a používáte některý z následujících nástrojů nebo metod, přidání pravidel ASR pro jednotlivá vyloučení pravidel nebo vyloučení místních pravidel ASR se nepoužije:

  • Defender for Endpoint Security Settings Management (Zakázat místní Správa sloučení)
  • Intune (zakázat místní sloučení Správa)
  • Defender CSP (DisableLocalAdminMerge)
  • Zásady skupiny (Konfigurovat chování při slučování seznamů místním správcem) Chcete-li toto chování změnit, je nutné změnit možnost Zakázat sloučení správců na false.

Zásady skupiny

Upozornění

Pokud spravujete počítače a zařízení pomocí Intune, Správce konfigurace nebo jiné platformy pro správu na podnikové úrovni, software pro správu při spuštění přepíše všechna konfliktní nastavení zásad skupiny.

  1. Otevřete konzolu pro správu Zásady skupiny (GPMC) na počítači pro správu Zásady skupiny.

  2. Ve stromu konzoly GPMC rozbalte Zásady skupiny Objekty v doménové struktuře a doméně obsahující objekt zásad skupiny, který chcete upravit.

  3. Klikněte pravým tlačítkem na objekt zásad a pak vyberte Upravit.

  4. V editoru pro správu Zásady skupiny přejděte na Konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Antivirus>Microsoft Defender Zmenšení prostoru útoku Exploit Guard>.

  5. V podokně podrobností o omezení potenciální oblasti útoku jsou dostupná nastavení:

    Pokud chcete otevřít a nakonfigurovat nastavení pravidla ASR, použijte některou z následujících metod:

    • Poklikejte na nastavení.
    • Klikněte pravým tlačítkem na nastavení a pak vyberte Upravit.
    • Vyberte nastavení a pak vyberte Upravit akci>.

Dostupná nastavení jsou popsána v následujících pododdílech.

Důležité

Uvozovky nejsou podporovány v žádné z hodnot zásad skupiny.

V ID pravidel ASR nepoužívejte úvodní ani koncové mezery.

Od Windows 10 verze 2004 (květen 2020) společnost Microsoft přejmenovala windows Antivirová ochrana v programu Defender na Microsoft Defender Antivirus. Zásady skupiny cesty ve starších verzích Windows můžou stále odkazovat na Windows Antivirová ochrana v programu Defender, zatímco novější buildy ukazují Microsoft Defender Antivirovou ochranu. Oba názvy odkazují na stejné umístění zásad.

Povolení pravidel ASR

  1. V podokně podrobností v části Omezení potenciální oblasti útoku otevřete nastavení Konfigurovat pravidla omezení oblasti útoku .

  2. V okně nastavení, které se otevře, nakonfigurujte následující možnosti:

    1. Vyberte Povoleno.
    2. Nastavte stav pro každé pravidlo ASR: Vyberte Zobrazit....

  3. V dialogovém okně Nastavit stav pro každé pravidlo ASR , které se otevře, nakonfigurujte následující nastavení:

    • Název hodnoty: Zadejte hodnotu GUID pravidla ASR.
    • Hodnota: Zadejte jednu z následujících hodnot:
      • 0: Vypnuto
      • 1: Blok
      • 2: Audit
      • 5: Nenakonfigurováno
      • 6: Upozornění

    Snímek obrazovky s konfigurací pravidel omezení oblasti útoku v Zásady skupiny

    Další informace najdete v tématu Režimy pravidel ASR.

    Tento krok opakujte tolikrát, kolikrát je to potřeba. Až budete hotovi, vyberte OK.

Použití vyloučení pro všechna pravidla ASR

  1. V podokně podrobností v části Omezení plochy útoku otevřete nastavení Vyloučit soubory a cesty z pravidel omezení potenciální oblasti útoku .

  2. V okně nastavení, které se otevře, nakonfigurujte následující možnosti:

    1. Vyberte Povoleno.
    2. Vyloučení z pravidel ASR: Vyberte Zobrazit....

  3. V dialogovém okně Vyloučení z pravidel ASR , které se otevře, nakonfigurujte následující nastavení:

    • Název hodnoty: Zadejte hodnotu GUID pravidla ASR.
    • Hodnota: Zadejte jeden z následujících typů hodnot:
      • Pokud chcete vyloučit všechny soubory ve složce, zadejte úplnou cestu ke složce. Například: C:\Data\Test.
      • Pokud chcete vyloučit konkrétní soubor v zadané složce (doporučeno), zadejte cestu a název souboru. Například: C:\Data\Test\test.exe.

    Tento krok opakujte tolikrát, kolikrát je to potřeba. Až budete hotovi, vyberte OK.

Použití vyloučení pro jednotlivá pravidla

Poznámka

Pokud nastavení Použít seznam vyloučení na konkrétní pravidla omezení potenciální oblasti útoku (ASR) není v konzole GPMC dostupné, potřebujete ve svém centrálním úložištišablon pro správu verzi 24H2 nebo novější.

  1. V podokně podrobností v části Omezení potenciální oblasti útoku otevřete nastavení Použít seznam vyloučení na konkrétní pravidla omezení potenciální oblasti útoku (ASR).

  2. V okně nastavení, které se otevře, nakonfigurujte následující možnosti:

    1. Vyberte Povoleno.
    2. Vyloučení pro každé pravidlo ASR: Vyberte Zobrazit....

  3. V dialogovém okně Vyloučení pro každé pravidlo ASR , které se otevře, nakonfigurujte následující nastavení:

    • Název hodnoty: Zadejte hodnotu GUID pravidla ASR.
    • Hodnota: Zadejte jedno nebo více vyloučení pro pravidlo ASR. Použijte syntaxi Path1\ProcessName1>Path2ProcessName2>...PathNProcessNameN. Například: C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

    Tento krok opakujte tolikrát, kolikrát je to potřeba. Až budete hotovi, vyberte OK.

PowerShell

Upozornění

Pokud spravujete počítače a zařízení pomocí Intune, Správce konfigurace nebo jiné podnikové platformy pro správu, software pro správu při spuštění přepíše všechna konfliktní nastavení PowerShellu.

  1. Do nabídky Start zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.

  2. Zadejte jednu z následujících rutin. Další informace, například ID pravidla, najdete v referenčních informacích k pravidlům omezení potenciální oblasti útoku.

    Úloha Rutina PowerShellu
    Povolení pravidel omezení potenciální oblasti útoku Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Povolení pravidel omezení potenciální oblasti útoku v režimu auditování Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Povolení pravidel omezení potenciální oblasti útoku v režimu upozornění Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Povolení omezení potenciální oblasti útoku – Blokování zneužití zneužívaného ohroženého podepsaného ovladače Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Vypnutí pravidel omezení potenciální oblasti útoku Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Důležité

    Stav musíte zadat jednotlivě pro každé pravidlo, ale pravidla a stavy můžete kombinovat v seznamu odděleném čárkami.

    V následujícím příkladu jsou první dvě pravidla povolená, třetí pravidlo je zakázané a čtvrté pravidlo je povolené v režimu auditování: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    K přidání nových pravidel do existujícího Add-MpPreference seznamu můžete také použít příkaz PowerShellu.

    Upozornění

    Set-MpPreference přepíše existující sadu pravidel. Pokud chcete přidat do existující sady, použijte Add-MpPreference místo toho příkaz . Seznam pravidel a jejich aktuální stav můžete získat pomocí .Get-MpPreference

  3. Pokud chcete vyloučit soubory a složky z pravidel omezení potenciální oblasti útoku, použijte následující rutinu:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Pokračujte v používání Add-MpPreference -AttackSurfaceReductionOnlyExclusions k přidání dalších souborů a složek do seznamu.

    Důležité

    Slouží Add-MpPreference k připojení nebo přidání aplikací do seznamu. Použití rutiny Set-MpPreference přepíše existující seznam.

Související obsah

  • Last updated on