Reference til regler for reduktion af angrebsoverflade
Gælder for:
- Microsoft Defender XDR for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Platforme:
- Windows
Denne artikel indeholder oplysninger om Microsoft Defender for Endpoint-regler for overfladereduktion af angreb (ASR-regler):
- ASR-regler, der understøttes af operativsystemversioner
- ASR-regler understøttede konfigurationsstyringssystemer
- Oplysninger om besked og meddelelse pr. ASR-regel
- ASR-regel til GUID-matrix
- ASR-regeltilstande
- Beskrivelser pr. regel
Vigtigt!
Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
Tip
Som ledsager til denne artikel kan du se vores konfigurationsvejledning til Microsoft Defender for Endpoint for at gennemgå bedste praksis og få mere at vide om vigtige værktøjer, f.eks. reduktion af angrebsoverfladen og beskyttelse i næste generation. Hvis du vil have en tilpasset oplevelse baseret på dit miljø, kan du få adgang til den automatiserede konfigurationsvejledning til Defender for Endpoint i Microsoft 365 Administration.
Regler for reduktion af angrebsoverfladen efter type
Regler for reduktion af angrebsoverfladen er kategoriseret som en af to typer:
Standardbeskyttelsesregler: Er det mindste sæt regler, som Microsoft anbefaler, at du altid aktiverer, mens du evaluerer effekten og konfigurationsbehovene for de andre ASR-regler. Disse regler har typisk minimal til ingen mærkbar indvirkning på slutbrugeren.
Andre regler: Regler, der kræver en måling af, hvordan du følger de dokumenterede udrulningstrin [Plan > Test (overvågning) > Aktivér (blok/advar-tilstande)], som beskrevet i installationsvejledningen til regler for reduktion af angrebsoverfladen
Hvis du vil have den nemmeste metode til at aktivere standardbeskyttelsesregler, skal du se: Forenklet standardbeskyttelsesindstilling.
Navn på ASR-regel: | Standardbeskyttelsesregel? | Anden regel? |
---|---|---|
Bloker misbrug af udnyttede sårbare bilister | Ja | |
Bloker Adobe Reader fra at oprette underordnede processer | Ja | |
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer | Ja | |
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) | Ja | |
Bloker eksekverbart indhold fra mailklient og webmail | Ja | |
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til | Ja | |
Bloker udførelse af potentielt slørede scripts | Ja | |
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold | Ja | |
Bloker Office-programmer fra at oprette eksekverbart indhold | Ja | |
Bloker Office-programmer fra at indsætte kode i andre processer | Ja | |
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer | Ja | |
Bloker vedholdenhed via WMI-hændelsesabonnement | Ja | |
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI | Ja | |
Bloker genstart af computer i fejlsikret tilstand (prøveversion) | Ja | |
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB | Ja | |
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion) | Ja | |
Bloker oprettelse af Webshell for servere | Ja | |
Bloker Win32 API-kald fra Office-makroer | Ja | |
Brug avanceret beskyttelse mod ransomware | Ja |
Microsoft Defender Antivirus-undtagelser og ASR-regler
Microsoft Defender Antivirus-undtagelser gælder for nogle Microsoft Defender for Endpoint-funktioner, f.eks. nogle af reglerne for reduktion af angrebsoverfladen.
Følgende ASR-regler hædr IKKE Microsoft Defender Antivirus-undtagelser:
Bemærk!
Du kan finde oplysninger om konfiguration af undtagelser pr. regel i afsnittet Konfigurer ASR-regler pr. regel i emnet Test regler for overfladereduktion af angreb.
ASR-regler og Defender for Endpoint Indicators of Compromise (IOC)
Følgende ASR-regler overholder IKKE Microsoft Defender for Endpoint Indicators of Compromise (IOC):
Navn på ASR-regel | Beskrivelse |
---|---|
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) | Understøtter ikke indikatorer for kompromitteret fil eller certifikater. |
Bloker Office-programmer fra at indsætte kode i andre processer | Understøtter ikke indikatorer for kompromitteret fil eller certifikater. |
Bloker Win32 API-kald fra Office-makroer | Understøtter ikke indikatorer for kompromitteret certifikat. |
UNDERSTØTTEDE ASR-regler for operativsystemer
I følgende tabel vises de understøttede operativsystemer til regler, der i øjeblikket er offentligt tilgængelige. Reglerne vises alfabetisk i denne tabel.
Bemærk!
Medmindre andet er angivet, er det mindste Windows 10-build version 1709 (RS3, build 16299) eller nyere. Det mindste Windows Server-build er version 1809 eller nyere.
Regler for reduktion af angrebsoverfladen i Windows Server 2012 R2 og Windows Server 2016 er tilgængelige for enheder, der er onboardet ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny Windows Server 2012 R2- og 2016-funktionalitet i den moderne samlede løsning.
(1) Refererer til den moderne samlede løsning til Windows Server 2012 og 2016. Du kan finde flere oplysninger under Onboarder Windows-servere til Defender for Endpoint-tjenesten.
(2) For Windows Server 2016 og Windows Server 2012 R2 er den mindste påkrævede version af Microsoft Endpoint Configuration Manager version 2111.
(3) Version og buildnummer gælder kun for Windows 10.
ASR-regler understøttede konfigurationsstyringssystemer
Links til oplysninger om systemversioner til konfigurationsstyring, der refereres til i denne tabel, er angivet under denne tabel.
(1) Du kan konfigurere regler for reduktion af angrebsoverflader pr. regel ved hjælp af en hvilken som helst regels GUID.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
- System Center Configuration Manager (SCCM) CB 1710
SCCM er nu Microsoft Configuration Manager.
Oplysninger om besked og meddelelse pr. ASR-regel
Toastbeskeder genereres for alle regler i bloktilstand. Regler i en anden tilstand genererer ikke toastbeskeder.
For regler med "Regeltilstand" angivet:
- ASR-regler med <ASR-regel, kombinationer af regeltilstand> bruges til at vise beskeder (toastbeskeder) på Microsoft Defender for Endpoint kun for enheder på cloudblokeringsniveau Høj. Enheder, der ikke har et højt skyblokeringsniveau, genererer ikke beskeder for asr-regel<- og regeltilstandskombinationer>
- EDR-beskeder genereres for ASR-regler i de angivne tilstande for enheder på cloudblokeringsniveau Høj+
ASR-regel til GUID-matrix
Regelnavn | Regel-GUID |
---|---|
Bloker misbrug af udnyttede sårbare bilister | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Bloker Adobe Reader fra at oprette underordnede processer | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Bloker eksekverbart indhold fra mailklient og webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Bloker udførelse af potentielt slørede scripts | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold | d3e037e1-3eb8-44c8-a917-57927947596d |
Bloker Office-programmer fra at oprette eksekverbart indhold | 3b576869-a4ec-4529-8536-b80a7769e899 |
Bloker Office-programmer fra at indsætte kode i andre processer | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Bloker vedholdenhed via WMI-hændelsesabonnement * Fil- og mappeudeladelser understøttes ikke. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Bloker genstart af computer i fejlsikret tilstand (prøveversion) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Bloker oprettelse af Webshell for servere | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Bloker Win32 API-kald fra Office-makroer | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Brug avanceret beskyttelse mod ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-regeltilstande
- Ikke konfigureret eller deaktiveret: Den tilstand, hvor ASR-reglen ikke er aktiveret eller deaktiveret. Koden for denne tilstand = 0.
- Blok: Den tilstand, som ASR-reglen er aktiveret i. Koden for denne tilstand er 1.
- Overvågning: Den tilstand, som ASR-reglen evalueres i for den effekt, den ville have på organisationen eller miljøet, hvis den er aktiveret (indstillet til at blokere eller advare). Koden for denne tilstand er 2.
- Advare Den tilstand, hvor ASR-reglen er aktiveret og præsenterer en meddelelse til slutbrugeren, men tillader slutbrugeren at omgå blokken. Koden for denne tilstand er 6.
Advarselstilstand er en type blokeringstilstand, der giver brugerne besked om potentielt risikable handlinger. Brugerne kan vælge at tilsidesætte advarselsmeddelelsen om blokering og tillade den underliggende handling. Brugerne kan vælge OK for at gennemtvinge blokken eller vælge bypassindstillingen – Fjern blokering – via den toastbesked om slutbrugerens pop op-meddelelse, der genereres på tidspunktet for blokken. Når blokeringen af advarslen er fjernet, tillades handlingen, indtil næste gang advarselsmeddelelsen vises, hvorefter slutbrugeren skal udføre handlingen igen.
Når der klikkes på knappen Tillad, undertrykkes blokken i 24 timer. Efter 24 timer skal slutbrugeren tillade blokken igen. Advarselstilstanden for ASR-regler understøttes kun for RS5+-enheder (1809+). Hvis bypass er tildelt ASR-regler på enheder med ældre versioner, vil reglen være i blokeret tilstand.
Du kan også angive en regel i advarselstilstand via PowerShell ved at angive AttackSurfaceReductionRules_Actions som "Advar". Det kan f.eks. være:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Pr. regelbeskrivelser
Bloker misbrug af udnyttede sårbare bilister
Denne regel forhindrer et program i at skrive en sårbar signeret driver til disken. Sårbare signerede drivere i naturen kan udnyttes af lokale programmer - der har tilstrækkelige rettigheder - til at få adgang til kernen. Sårbare signerede drivere gør det muligt for angribere at deaktivere eller omgå sikkerhedsløsninger, hvilket i sidste ende fører til, at systemet kompromitteres.
Reglen Bloker misbrug af udnyttede sårbare signerede drivere blokerer ikke, at en driver, der allerede findes på systemet, indlæses.
Bemærk!
Du kan konfigurere denne regel ved hjælp af Intune OMA-URI. Se Intune OMA-URI for at konfigurere brugerdefinerede regler.
Du kan også konfigurere denne regel ved hjælp af PowerShell.
Hvis du vil have undersøgt en faktor, skal du bruge dette websted til at sende en driver til analyse.
Intune-navn: Block abuse of exploited vulnerable signed drivers
Navn på Konfigurationsstyring: Endnu ikke tilgængelig
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Avanceret jagthandlingstype:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Bloker Adobe Reader fra at oprette underordnede processer
Denne regel forhindrer angreb ved at blokere Adobe Reader i at oprette processer.
Malware kan downloade og starte nyttedata og bryde ud af Adobe Reader via social engineering eller udnyttelser. Ved at blokere underordnede processer fra at blive genereret af Adobe Reader forhindres malware, der forsøger at bruge Adobe Reader som angrebsvektor, i at sprede sig.
Intune-navn: Process creation from Adobe Reader (beta)
Navn på Konfigurationsstyring: Endnu ikke tilgængelig
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Avanceret jagthandlingstype:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer
Denne regel blokerer Office-apps fra at oprette underordnede processer. Office-apps omfatter Word, Excel, PowerPoint, OneNote og Access.
Oprettelse af skadelige underordnede processer er en almindelig malwarestrategi. Malware, der misbruger Office som en vektor, kører ofte VBA-makroer og udnytter kode til at downloade og forsøge at køre flere nyttedata. Nogle legitime line of business-programmer kan dog også generere underordnede processer til godartede formål; f.eks. gydning af en kommandoprompt eller brug af PowerShell til at konfigurere indstillinger i registreringsdatabasen.
Intune-navn: Office apps launching child processes
Navn på Konfigurationsstyring: Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Avanceret jagthandlingstype:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed
Denne regel hjælper med at forhindre tyveri af legitimationsoplysninger ved at låse LSASS (Local Security Authority Subsystem Service) nede.
LSASS godkender brugere, der logger på en Windows-computer. Microsoft Defender Credential Guard i Windows forhindrer normalt forsøg på at udtrække legitimationsoplysninger fra LSASS. Nogle organisationer kan ikke aktivere Credential Guard på alle deres computere på grund af kompatibilitetsproblemer med brugerdefinerede chipkortdrivere eller andre programmer, der indlæses i LSA (Local Security Authority). I disse tilfælde kan hackere bruge værktøjer som Mimikatz til at skrabe cleartext-adgangskoder og NTLM-hashen fra LSASS.
Som standard er tilstanden for denne regel angivet til blokeret. I de fleste tilfælde foretager mange processer kald til LSASS for adgangsrettigheder, der ikke er nødvendige. F.eks. når den første blok fra ASR-reglen resulterer i et efterfølgende kald for et mindre privilegium, som efterfølgende lykkes. Du kan finde oplysninger om de typer rettigheder, der typisk anmodes om i proceskald til LSASS, under: Processikkerhed og adgangsrettigheder.
Aktivering af denne regel giver ikke yderligere beskyttelse, hvis LSA-beskyttelse er aktiveret, da ASR-reglen og LSA-beskyttelse fungerer på samme måde. Men når LSA-beskyttelse ikke kan aktiveres, kan denne regel konfigureres til at give tilsvarende beskyttelse mod malware, der er målrettet lsass.exe
.
Bemærk!
I dette scenarie klassificeres ASR-reglen som "ikke tilgængelig" i indstillingerne for Defender for Endpoint på Microsoft Defender-portalen.
Asr-reglen bloker legitimationsoplysninger, der stjæles fra det lokale windows-sikkerhedsmyndighedsystem, understøtter ikke WARN-tilstand.
I nogle apps optæller koden alle kørende processer og forsøger at åbne dem med udtømmende tilladelser. Denne regel afviser appens handling for procesåbning og logfører oplysningerne i loggen over sikkerhedshændelser. Denne regel kan generere en masse støj. Hvis du har en app, der blot optæller LSASS, men ikke har nogen reel indvirkning på funktionaliteten, er det ikke nødvendigt at føje den til listen over undtagelser. I sig selv angiver denne post i hændelsesloggen ikke nødvendigvis en ondsindet trussel.
Intune-navn: Flag credential stealing from the Windows local security authority subsystem
Navn på Konfigurationsstyring: Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Avanceret jagthandlingstype:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker eksekverbart indhold fra mailklient og webmail
Denne regel blokerer mail, der er åbnet i Microsoft Outlook-programmet, eller Outlook.com og andre populære webmailudbydere fra at overføre følgende filtyper:
- Eksekverbare filer (f.eks. .exe, .dll eller .scr)
- Scriptfiler (f.eks. en PowerShell-.ps1, Visual Basic .vbs- eller JavaScript-.js-fil)
Intune-navn: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Navn på Microsoft Configuration Manager: Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Avanceret jagthandlingstype:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Afhængigheder: Microsoft Defender Antivirus
Bemærk!
Reglen Bloker eksekverbart indhold fra mailklienten og webmailen har følgende alternative beskrivelser, afhængigt af hvilket program du bruger:
- Intune (konfigurationsprofiler): Udførelse af eksekverbart indhold (exe, dll, ps, js, vbs osv.) blev droppet fra mail (webmail/mail-klient) (ingen undtagelser).
- Konfigurationsstyring: Bloker download af eksekverbart indhold fra mail- og webmailklienter.
- Gruppepolitik: Bloker eksekverbart indhold fra mailklienten og webmailen.
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til
Denne regel blokerer eksekverbare filer, f.eks. .exe, .dll eller .scr, fra start. Det kan derfor være risikabelt at starte upålidelige eller ukendte eksekverbare filer, da det muligvis ikke indledningsvist er tydeligt, om filerne er skadelige.
Vigtigt!
Du skal aktivere skybaseret beskyttelse for at bruge denne regel.
Reglen Bloker kørsel af eksekverbare filer, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til, med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
ejes af Microsoft og ikke er angivet af administratorer. Denne regel bruger skybaseret beskyttelse til at opdatere listen, der er tillid til, regelmæssigt.
Du kan angive individuelle filer eller mapper (ved hjælp af mappestier eller fuldt kvalificerede ressourcenavne), men du kan ikke angive, hvilke regler eller undtagelser der gælder for.
Intune-navn: Executables that don't meet a prevalence, age, or trusted list criteria
Navn på Konfigurationsstyring: Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Avanceret jagthandlingstype:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Afhængigheder: Microsoft Defender Antivirus, Cloud Protection
Bloker udførelse af potentielt slørede scripts
Denne regel registrerer mistænkelige egenskaber i et sløret script.
Vigtigt!
PowerShell-scripts understøttes nu for reglen "Bloker udførelse af potentielt slørede scripts".
Script tilsløring er en almindelig teknik, som både malware forfattere og legitime applikationer bruger til at skjule intellektuel ejendom eller reducere script indlæsningstider. Malware forfattere bruger også tilsløring til at gøre ondsindet kode sværere at læse, som hæmmer tæt kontrol af mennesker og sikkerhedssoftware.
Intune-navn: Obfuscated js/vbs/ps/macro code
Navn på Konfigurationsstyring: Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Avanceret jagthandlingstype:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Afhængigheder: Microsoft Defender Antivirus, AMSI (AntiMalware Scan Interface)
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold
Denne regel forhindrer scripts i at starte potentielt skadeligt downloadet indhold. Malware, der er skrevet i JavaScript eller VBScript, fungerer ofte som en downloader for at hente og starte anden malware fra internettet.
Selvom det ikke er almindeligt, bruger line of business-programmer nogle gange scripts til at downloade og starte installationsprogrammer.
Intune-navn: js/vbs executing payload downloaded from Internet (no exceptions)
Navn på Konfigurationsstyring: Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Avanceret jagthandlingstype:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Afhængigheder: Microsoft Defender Antivirus, AMSI
Bloker Office-programmer fra at oprette eksekverbart indhold
Denne regel forhindrer Office-apps, herunder Word, Excel og PowerPoint, i at oprette potentielt skadeligt eksekverbart indhold ved at blokere for, at skadelig kode skrives til disken.
Malware, der misbruger Office som en vektor, kan forsøge at bryde ud af Office og gemme skadelige komponenter på disken. Disse skadelige komponenter vil overleve en genstart af computeren og forblive på systemet. Derfor forsvarer denne regel sig mod en fælles vedholdenhedsteknik. Denne regel blokerer også kørsel af filer, der ikke er tillid til, og som kan være blevet gemt af Office-makroer, som har tilladelse til at køre i Office-filer.
Intune-navn: Office apps/macros creating executable content
Navn på Konfigurationsstyring: Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Avanceret jagthandlingstype:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Afhængigheder: Microsoft Defender Antivirus, RPC
Bloker Office-programmer fra at indsætte kode i andre processer
Denne regel blokerer kodeinjektionsforsøg fra Office-apps i andre processer.
Bemærk!
Asr-reglen Bloker programmer fra indsprøjtning af kode i andre processer understøtter ikke WARN-tilstand.
Vigtigt!
Denne regel kræver, at Microsoft 365 Apps (Office-programmer) genstartes, for at konfigurationsændringerne kan træde i kraft.
Angribere kan forsøge at bruge Office-apps til at overføre skadelig kode til andre processer via kodeinjektion, så koden kan maskerade som en ren proces.
Der er ingen kendte legitime forretningsmæssige formål med at bruge kodeinjektion.
Denne regel gælder for Word, Excel, OneNote og PowerPoint.
Intune-navn: Office apps injecting code into other processes (no exceptions)
Navn på Konfigurationsstyring: Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Avanceret jagthandlingstype:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer
Denne regel forhindrer Outlook i at oprette underordnede processer, samtidig med at legitime Outlook-funktioner tillades.
Denne regel beskytter mod social engineering-angreb og forhindrer, at kode misbruges i Outlook. Den beskytter også mod outlook-regler og formularudnyttelser , som hackere kan bruge, når en brugers legitimationsoplysninger kompromitteres.
Bemærk!
Denne regel blokerer tip til DLP-politik og værktøjstip i Outlook. Denne regel gælder kun for Outlook og Outlook.com.
Intune-navn: Process creation from Office communication products (beta)
Navn på Konfigurationsstyring: Ikke tilgængelig
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Avanceret jagthandlingstype:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker vedholdenhed via WMI-hændelsesabonnement
Denne regel forhindrer malware i at misbruge WMI for at opnå vedholdenhed på en enhed.
Vigtigt!
Fil- og mappeudeladelser gælder ikke for denne regel for reduktion af angrebsoverfladen.
Filløse trusler anvender forskellige taktikker for at forblive skjult, for at undgå at blive set i filsystemet og for at få periodisk kontrol over udførelsen. Nogle trusler kan misbruge WMI-lageret og hændelsesmodellen for at forblive skjult.
Bemærk!
Hvis CcmExec.exe
(SCCM Agent) registreres på enheden, klassificeres ASR-reglen som "ikke relevant" i indstillingerne for Defender for Endpoint på Microsoft Defender-portalen.
Intune-navn: Persistence through WMI event subscription
Navn på Konfigurationsstyring: Ikke tilgængelig
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Avanceret jagthandlingstype:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Afhængigheder: Microsoft Defender Antivirus, RPC
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI
Denne regel blokerer processer, der er oprettet via PsExec og WMI , fra at køre. Både PsExec og WMI kan udføre kode eksternt. Der er risiko for, at malware misbruger funktionaliteten i PsExec og WMI med henblik på kommando- og kontrolformål eller for at sprede en infektion gennem en organisations netværk.
Advarsel
Brug kun denne regel, hvis du administrerer dine enheder med Intune eller en anden MDM-løsning. Denne regel er ikke kompatibel med administration via Microsoft Endpoint Configuration Manager , fordi denne regel blokerer WMI-kommandoer, som Configuration Manager-klienten bruger til at fungere korrekt.
Intune-navn: Process creation from PSExec and WMI commands
Konfigurationsstyringsnavn: Ikke relevant
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Avanceret jagthandlingstype:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker genstart af computer i fejlsikret tilstand (prøveversion)
Denne regel forhindrer udførelse af kommandoer til genstart af computere i fejlsikret tilstand.
Fejlsikret tilstand er en diagnosticeringstilstand, der kun indlæser de vigtige filer og drivere, der er nødvendige, for at Windows kan køre. Men i fejlsikret tilstand er mange sikkerhedsprodukter enten deaktiveret eller opererer i en begrænset kapacitet, hvilket gør det muligt for hackere at starte manipulationskommandoer yderligere eller blot udføre og kryptere alle filer på computeren. Denne regel blokerer sådanne angreb ved at forhindre processer i at genstarte maskiner i fejlsikret tilstand.
Bemærk!
Denne funktion er i øjeblikket en prøveversion. Yderligere opgraderinger for at forbedre effektiviteten er under udvikling.
Intune-navn: [PREVIEW] Block rebooting machine in Safe Mode
Navn på Konfigurationsstyring: Endnu ikke tilgængelig
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Afhængigheder: Microsoft Defender Antivirus
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB
Med denne regel kan administratorer forhindre usignerede eller upålidelige eksekverbare filer i at køre fra flytbare USB-drev, herunder SD-kort. Blokerede filtyper omfatter eksekverbare filer (f.eks. .exe, .dll eller .scr)
Vigtigt!
Filer, der kopieres fra USB til diskdrevet, blokeres af denne regel, hvis og når den er ved at blive udført på diskdrevet.
Intune-navn: Untrusted and unsigned processes that run from USB
Navn på Konfigurationsstyring: Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Avanceret jagthandlingstype:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Afhængigheder: Microsoft Defender Antivirus
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)
Denne regel blokerer brugen af eksekverbare filer, der identificeres som kopier af Windows-systemværktøjer. Disse filer er enten dubletter eller bedragere af de oprindelige systemværktøjer.
Nogle skadelige programmer kan forsøge at kopiere eller repræsentere Windows-systemværktøjer for at undgå registrering eller opnå rettigheder. Det kan føre til potentielle angreb, hvis sådanne eksekverbare filer tillades. Denne regel forhindrer overførsel og udførelse af sådanne dubletter og bedragere af systemværktøjerne på Windows-maskiner.
Bemærk!
Denne funktion er i øjeblikket en prøveversion. Yderligere opgraderinger for at forbedre effektiviteten er under udvikling.
Intune-navn: [PREVIEW] Block use of copied or impersonated system tools
Navn på Konfigurationsstyring: Endnu ikke tilgængelig
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Afhængigheder: Microsoft Defender Antivirus
Bloker oprettelse af Webshell for servere
Denne regel blokerer oprettelse af webshell-scripts på Microsoft Server, Exchange-rolle.
Et web shell-script er et specifikt udformet script, der gør det muligt for en hacker at styre den kompromitterede server. En webshell kan omfatte funktioner som modtagelse og udførelse af ondsindede kommandoer, download og udførelse af skadelige filer, tyveri og eksfiltrering af legitimationsoplysninger og følsomme oplysninger, identificering af potentielle mål osv.
Intune-navn: Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Afhængigheder: Microsoft Defender Antivirus
Bloker Win32 API-kald fra Office-makroer
Denne regel forhindrer VBA-makroer i at kalde Win32-API'er.
Office VBA aktiverer Win32 API-kald. Malware kan misbruge denne funktion, f.eks . kalde Win32-API'er for at starte skadelig shellcode uden at skrive noget direkte til disken. De fleste organisationer er ikke afhængige af muligheden for at kalde Win32-API'er i deres daglige funktion, selvom de bruger makroer på andre måder.
Intune-navn: Win32 imports from Office macro code
Navn på Konfigurationsstyring: Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Avanceret jagthandlingstype:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Afhængigheder: Microsoft Defender Antivirus, AMSI
Brug avanceret beskyttelse mod ransomware
Denne regel giver et ekstra lag af beskyttelse mod ransomware. Den bruger både klient- og cloud-heuristik til at afgøre, om en fil ligner ransomware. Denne regel blokerer ikke filer, der har et eller flere af følgende egenskaber:
- Det er allerede konstateret, at filen ikke erharmful i Microsoft-cloudmiljøet.
- Filen er en gyldig signeret fil.
- Filen er udbredt nok til ikke at blive betragtet som ransomware.
Reglen har tendens til at fejle på den side af forsigtighed for at forhindre ransomware.
Bemærk!
Du skal aktivere skybaseret beskyttelse for at bruge denne regel.
Intune-navn: Advanced ransomware protection
Navn på Konfigurationsstyring: Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Avanceret jagthandlingstype:
AsrRansomwareAudited
AsrRansomwareBlocked
Afhængigheder: Microsoft Defender Antivirus, Cloud Protection
Se også
- Oversigt over installation af regler for reduktion af angrebsoverflade
- Planlæg installation af regler for reduktion af angrebsoverflade
- Test regler for reduktion af angrebsoverflade
- Aktivér regler for reduktion af angrebsoverflade
- Operationalize regler for reduktion af angrebsoverfladen
- Rapport over regler for reduktion af angrebsoverflade
- Reference til regler for reduktion af angrebsoverflade
- Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om