Oversigt over regler for reduktion af angrebsoverflade

  • Gælder for: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Tip

Som en ledsager til denne artikel kan du se vores konfigurationsvejledning til Sikkerhedsanalyse for at gennemgå bedste praksis og lære at styrke forsvar, forbedre overholdelse af angivne standarder og navigere i cybersikkerhedslandskabet med sikkerhed. Hvis du vil have en tilpasset oplevelse baseret på dit miljø, kan du få adgang til den automatiserede konfigurationsvejledning til Sikkerhedsanalyse i Microsoft 365 Administration.

Din organisations angrebsoverflade indeholder alle de steder, hvor en hacker kan få adgang. Du kan få flere oplysninger under Reduktion af angrebsoverfladen i Microsoft Defender for Endpoint.

ASR-regler (Attack surface reduction) i Microsoft Defender Antivirus mål risikable softwareadfærd på Windows-enheder, som hackere ofte udnytter via malware. Det kan f.eks. være:

  • Start eksekverbare filer og scripts, der forsøger at downloade eller køre filer.
  • Kørsel af slørede eller på anden måde upålidelige scripts.
  • Oprettelse af underordnede processer fra potentielt sårbare programmer (f.eks. Office-apps).
  • Indsprøjtning af kode i andre processer.

Selvom legitime apps også kan gøre disse ting, bruger hackere ofte malware, der fungerer på samme måde.

Se følgende serie artikler om planlægning, test, implementering og overvågning af ASR-regler:

Tip

Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:

ASR-regler

ASR-regler er grupperet i følgende kategorier:

De tilgængelige ASR-regler, deres tilsvarende GUID-værdier og deres kategorier er beskrevet i følgende tabel:

  • Links i regelnavnene fører dig til detaljerede regelbeskrivelser i artiklen Reference til ASR-regler .

  • Bortset fra sikkerhedspolitikker for slutpunkter i Microsoft Intune og Microsoft Configuration Manager identificerer alle andre ASR-regelkonfigurationsmetoder regler efter GUID-værdi.

    Eventuelle forskelle i ASR-regelnavne mellem Microsoft Intune og Microsoft Configuration Manager er beskrevet i tabellen.

    Tip

    Microsoft Configuration Manager blev tidligere kendt af andre navne:

    • Microsoft System Center Configuration Manager: version 1511 til 1906 (november 2015 til juli 2019)
    • Microsoft Endpoint Configuration Manager: version 1910 til 2211 (december 2019 til december 2022)
    • Microsoft Configuration Manager: version 2303 (april 2023) eller nyere

    Du kan få oplysninger om support og opdatering under Opdateringer og servicering af Konfigurationsstyring.

Regelnavn i Microsoft Intune Regelnavn i Microsoft Configuration Manager GUID Kategori
Standard beskyttelsesregler
Bloker misbrug af udnyttede sårbare signerede drivere (enhed) ikke tilgængelig 56a863a9-875e-4185-98a7-b882c64b5ce5 Misc
Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed Samme 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Tværgående flytning & tyveri af legitimationsoplysninger
Bloker vedholdenhed via WMI-hændelsesabonnement ikke tilgængelig e6db77e5-3df2-4cf1-b95a-636979351e5b Tværgående flytning & tyveri af legitimationsoplysninger
Andre ASR-regler
Bloker Adobe Reader fra at oprette underordnede processer ikke tilgængelig 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Produktivitetsapps
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Bloker Office-programmet fra oprettelse af underordnede processer d4f940ab-401b-4efc-aadc-ad5f3c50688a Produktivitetsapps
Bloker eksekverbart indhold fra mailklient og webmail Samme be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 E-mail
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til 01443614-cd74-433a-b99e-2ecdc07bfc25 Polymorfe trusler
Bloker udførelse af potentielt slørede scripts Samme 5beb7efe-fd9a-4556-801d-275e5ffc04cc Script
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Samme d3e037e1-3eb8-44c8-a917-57927947596d Script
Bloker Office-programmer fra at oprette eksekverbart indhold Samme 3b576869-a4ec-4529-8536-b80a7769e899 Produktivitetsapps
Bloker Office-programmer fra at indsætte kode i andre processer Samme 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Produktivitetsapps
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer ikke tilgængelig 26190899-1602-49e8-8b27-eb1d0a1ce869 Mail, produktivitetsapps
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI ikke tilgængelig d1e49aac-8f56-4280-b9ba-993a6d77406c Tværgående flytning & tyveri af legitimationsoplysninger
Bloker genstart af computeren i fejlsikret tilstand ikke tilgængelig 33ddedf1-c6e0-47cb-833e-de6133960387 Misc
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Samme b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Polymorfe trusler
Bloker brugen af kopierede eller repræsenterede systemværktøjer ikke tilgængelig c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Misc
Bloker oprettelse af Webshell for servere ikke tilgængelig a8f5898e-1dc8-49a9-9878-85004b8a61e6 Misc
Bloker Win32 API-kald fra Office-makroer Samme 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Produktivitetsapps
Brug avanceret beskyttelse mod ransomware Samme c1db55ab-c21a-4637-bb3f-a12568109d35 Polymorfe trusler

Krav til ASR-regler

ASR-regler kræver Microsoft Defender Antivirus som den primære antivirusapp på Windows-enheder:

  • Microsoft Defender Antivirus skal være aktiveret og i aktiv tilstand. Specifikt kan Microsoft Defender Antivirus ikke være i nogen af følgende tilstande:

    • Passiv
    • Passiv tilstand med slutpunktsregistrering og svar (EDR) i bloktilstand
    • Begrænset periodisk scanning (LPS)
    • Ud

    Du kan finde flere oplysninger om tilstande i Microsoft Defender Antivirus under Sådan påvirker Microsoft Defender Antivirus Defender for Endpoint-funktionalitet.

  • Realtidsbeskyttelse i Microsoft Defender Antivirus skal være slået til.

  • Cloud-leveret beskyttelse (også kaldet Microsoft Advanced Protection Service eller MAPS) er afgørende for ASR-regelfunktionalitet. Cloudbeskyttelse forbedrer standardbeskyttelse i realtid og er en vigtig komponent til at forhindre brud på malware. Nogle ASR-regler har specifikt krav til cloudleveringsbeskyttelse for EDR-beskeder (Endpoint Detection and Response) i Defender for Endpoint og pop op-beskeder til brugere. Du kan finde flere oplysninger under Beskeder og meddelelser fra asr-regelhandlinger.

    Af samme grund skal dit miljø tillade forbindelser til cloudtjenesten Microsoft Defender Antivirus.

  • Microsoft Defender Antivirus-komponentversioner må ikke være mere end to versioner, der er ældre end den mest tilgængelige version i øjeblikket:

    • Platformopdateringsversion: Opdateret månedligt.
    • MEngine-version: Opdateret månedligt.
    • Sikkerhedsintelligens: Microsoft opdaterer løbende sikkerhedsintelligens (også kaldet definitioner og signaturer) for at håndtere de nyeste trusler og for at tilpasse registreringslogikken.

    Hvis Microsoft Defender antivirusversioner bevares, hjælper det med at reducere falske ASR-regler og forbedre Microsoft Defender antivirusregistreringsfunktioner. Du kan få flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, under understøttelse af Microsoft Defender Antivirus-platform.

  • Selvom ASR-regler ikke kræver Microsoft 365 E5, anbefaler Microsoft sikkerhedsfunktionerne i E5 eller tilsvarende abonnementer for at drage fordel af følgende avancerede administrationsfunktioner:

    • Overvågning, analyse og arbejdsprocesser i Defender for Endpoint.
    • Rapporterings- og konfigurationsegenskaber på Microsoft Defender XDR-portalen.

    Avancerede administrationsfunktioner er ikke tilgængelige med andre licenser (f.eks. Windows Professional eller Microsoft 365 E3). Du kan dog udvikle dine egne overvågnings- og rapporteringsværktøjer oven på de ASR-regelhændelser, der genereres i Windows Logbog på hver enhed (f.eks. Videresendelse af Windows-hændelse).

    Hvis du vil vide mere om Windows-licenser, skal du se Windows-licenser og få Referencevejledning til Microsoft Volume Licensing.

Understøttede operativsystemer til ASR-regler

ASR-regler er en Microsoft Defender Antivirus-funktion, der findes på alle udgaver af Windows, der indeholder Microsoft Defender Antivirus (f.eks. Windows 11 Home). Du kan konfigurere ASR-regler lokalt på enheder ved hjælp af PowerShell eller Gruppepolitik.

Centraliseret administration, rapportering og beskeder om ASR-regler i Microsoft Defender for Endpoint er tilgængelige i følgende versioner af Windows:

  • Pro- og Enterprise-udgaver af Windows 10 eller nyere.
  • Windows Server 2012 R2 eller nyere.
  • Azure Local (tidligere kendt som Azure Stack HCI) version 23H2 eller nyere.

Du kan få flere oplysninger om support til operativsystemet under Understøttelse af operativsystemet for ASR-regler.

Tilstande for ASR-regler

En ASR-regel kan være i en af følgende tilstande som beskrevet i følgende tabel:

Regeltilstand Kode Beskrivelse
Fra eller
Deaktiveret		 0 ASR-reglen er udtrykkeligt deaktiveret.

Denne værdi kan medføre konflikter, når den samme enhed tildeles den samme ASR-regel i forskellige tilstande af forskellige politikker.
Blok eller
Aktiveret		 1 ASR-reglen er aktiveret i bloktilstand .
Overvåg eller
Overvågningstilstand		 2 ASR-reglen er aktiveret, som om den er i bloktilstand , men uden at udføre handlinger.

Registreringer af ASR-regler i overvågningstilstand er tilgængelige på følgende placeringer:
Ikke konfigureret 5 ASR-reglen er ikke udtrykkeligt aktiveret.

Denne værdi svarer funktionelt til Deaktiveret eller Fra, men uden mulighed for regelkonflikter.
Advar eller
Advarsel		 6 ASR-reglen er aktiveret, som om den er i bloktilstand , men brugerne kan vælge Fjern blokering i pop op-vinduet med advarselsmeddelelsen for at tilsidesætte blokken i 24 timer. Efter 24 timer skal brugeren tilsidesætte blokken igen.

Advarselstilstand understøttes i Windows 10 version 1809 (november 2018) eller nyere. ASR-regler i Warn-tilstand på ikke-understøttede versioner af Windows er effektivt i bloktilstand (bypass er ikke tilgængelig).

Advarselstilstand er ikke tilgængelig i Microsoft Configuration Manager.

Advarselstilstand har følgende krav til Microsoft Defender Antivirus-version:
  • Platformversion: 4.18.2008.9 (august 2020) eller nyere.
  • Motorudgivelse: 1.1.17400.5 (august 2020) eller nyere.

Følgende ASR-regler understøtter ikke Advarselstilstand :

Microsoft anbefaler bloktilstand for standardbeskyttelsesregler og indledende test i overvågningstilstand for andre ASR-regler, før du aktiverer dem i tilstanden Bloker eller Advar .

Mange line-of-business applikationer er skrevet med begrænset sikkerhed bekymringer, og de kan handle på måder, der synes ligner malware. Ved at overvåge data fra ASR-regler i overvågningstilstand og tilføje udeladelser for påkrævede apps kan du udrulle ASR-regler uden at reducere produktiviteten.

Før du aktiverer ASR-regler i bloktilstand , skal du vurdere deres virkninger i overvågningstilstand og sikkerhedsanbefalinger. Du kan finde flere oplysninger under Test ASR-regler.

Udrulnings- og konfigurationsmetoder til ASR-regler

Microsoft Defender for Endpoint understøtter ASR-regler, men indeholder ikke en indbygget metode til installation af ASR-regelindstillinger på enheder. Du kan i stedet bruge et separat udrulnings- eller administrationsværktøj til at oprette og distribuere POLITIKKER for ASR-regler på enheder. Det er ikke alle installationsmetoder, der understøtter alle ASR-regler. Du kan finde flere oplysninger om regler i Understøttelse af installationsmetode for ASR-regler.

I følgende tabel opsummeres de tilgængelige metoder. Du kan finde detaljerede konfigurationsanvisninger under Konfigurer ASR-regler og -udeladelser (Attack Surface Reduction).

Metode Beskrivelse
Microsoft Intune sikkerhedspolitikker for slutpunkter Den anbefalede metode til konfiguration og distribution af POLITIKKER for ASR-regler til enheder. Kræver Microsoft Intune Plan 1 (inkluderet i abonnementer som Microsoft 365 E3 eller tilgængelig som et separat tilføjelsesprogram).
Microsoft Intune brugerdefinerede profiler med OMA-URI'er En alternativ metode til konfiguration af ASR-regler i Intune ved hjælp af OMA-URI-profiler (Open Mobile Alliance – Uniform Resource).
Alle MDM-løsninger, der bruger politik-CSP'en Brug CSP 'en (Configuration Service Provider) for Windows-politik sammen med en hvilken som helst MDM-løsning.
Microsoft Configuration Manager Bruger politikken Microsoft Defender Antivirus i arbejdsområdet Aktiver og overholdelse af angivne standarder.
Gruppepolitik Brug Centraliserede Gruppepolitik til at konfigurere og distribuere ASR-regler på domænetilsluttede enheder. Eller du kan konfigurere Gruppepolitik lokalt på individuelle enheder.
PowerShell Konfigurer ASR-regler lokalt på individuelle enheder. PowerShell understøtter alle ASR-regler.

Fil- og mappeudeladelser for ASR-regler

Vigtigt!

Hvis du udelader filer eller mapper, kan det reducere beskyttelsen af ASR-regler alvorligt. Udeladte filer må køre, og der registreres ingen rapporter eller hændelser om filen. Hvis ASR-regler registrerer filer, der ikke skal registreres, skal du bruge overvågningstilstand til at teste reglen.

Du kan udelade bestemte filer og mapper fra at blive evalueret efter ASR-regler. Selvom en ASR-regel bestemmer, at filen eller mappen indeholder skadelig funktionsmåde, blokerer den ikke de udeladte filer i at køre.

Du kan bruge følgende metoder til at udelade filer og mapper fra ASR-regler:

  • Microsoft Defender Antivirus-udelukkelser: Ikke alle ASR-regler bruger disse undtagelser. Du kan få flere oplysninger om Microsoft Defender Antivirus-udeladelser under Konfigurer brugerdefinerede udeladelser for Microsoft Defender Antivirus.

    Tip

    Alle ASR-regler hædr procesudeladelser i Microsoft Defender Antivirus.

  • Globale undtagelser for ASR-regler: Disse undtagelser gælder for alle ASR-regler. Alle konfigurationsmetoder til ASR-regler understøtter også konfiguration af globale ASR-regeludeladelser.

  • Undtagelser pr. ASR-regel: Tildel forskellige undtagelser selektivt til forskellige ASR-regler. Kun følgende konfigurationsmetoder til ASR-regler understøtter også konfiguration af undtagelser pr. ASR-regel:

  • Indikatorer for kompromis (IoCs): De fleste ASR-regler bruger IOCs til blokerede filer og blokerede certifikater. Du kan få flere oplysninger om IoCs under Oversigt over indikatorer i Microsoft Defender for Endpoint.

Håndhævelsen af forskellige typer undtagelser for ASR-regler opsummeres i følgende tabel:

Regelnavn Hæv MDAV-fil og
mappeudeladelser		 Honors global ASR
Udelukkelser		 Honors per-ASR-regel
Udelukkelser		 Honors IoCs for
Filer		 Honors IoCs for
Certifikater
Standard beskyttelsesregler
Bloker misbrug af udnyttede sårbare signerede drivere (enhed) Y Y Y Y Y
Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed N Y Y N N
Bloker vedholdenhed via WMI-hændelsesabonnement N Y Y N N
Andre ASR-regler
Bloker Adobe Reader fra at oprette underordnede processer N Y Y Y Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Y Y Y Y Y
Bloker eksekverbart indhold fra mailklient og webmail Y Y Y Y Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til Y Y Y Y Y
Bloker udførelse af potentielt slørede scripts Y Y Y Y Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Y Y Y Y Y
Bloker Office-programmer fra at oprette eksekverbart indhold N Y Y Y Y
Bloker Office-programmer fra at indsætte kode i andre processer N Y Y N N
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer N Y Y Y Y
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI N Y Y Y Y
Bloker genstart af computeren i fejlsikret tilstand Y Y Y Y Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Y Y Y Y Y
Bloker brugen af kopierede eller repræsenterede systemværktøjer Y Y Y Y Y
Bloker oprettelse af Webshell for servere Y Y Y Y Y
Bloker Win32 API-kald fra Office-makroer Y Y Y Y N
Brug avanceret beskyttelse mod ransomware Y Y Y Y Y

Når du tilføjer udeladelser, skal du være opmærksom på følgende:

  • Udeladelsesstier kan bruge miljøvariabler og jokertegn. Du kan få flere oplysninger under Brug jokertegn i filnavnet og mappestien eller på listerne over udeladelse af filtypenavne.

    Tip

    Brug ikke brugermiljøvariabler som jokertegn i mappe- og procesudeladelser. Brug kun følgende typer miljøvariabler som jokertegn:

    • Systemmiljøvariabler.
    • Miljøvariabler, der gælder for processer, der kører som NT AUTHORITY\SYSTEM-kontoen.

    Du kan se en liste over systemmiljøvariabler under Systemmiljøvariabler.

    • Jokertegn kan ikke definere et drevbogstav.
    • Hvis du vil udelade mere end én mappe i en sti, skal du bruge flere forekomster af \*\ til at angive flere indlejrede mapper. Det kunne f.eks. være c:\Folder\*\*\Test.
    • Microsoft Configuration Manager understøtter jokertegn (* eller ?).
    • Hvis du vil udelade en fil, der indeholder tilfældige tegn (f.eks. fra automatisk oprettelse af filer), skal du bruge ? symbolet. Det kunne f.eks. være C:\Folder\fileversion?.docx.

  • Udeladelser gælder kun, når programmet eller tjenesten starter. Hvis du f.eks. tilføjer en udeladelse for en opdateringstjeneste, der allerede kører, udløser opdateringstjenesten fortsat registreringer af ASR-regler, indtil du genstarter tjenesten.

Politikkonflikter i ASR-regler

Hvis den samme enhed er tildelt to forskellige politikker for ASR-regler, kan der opstå potentielle konflikter baseret på følgende elementer:

  • Angiver, om de samme ASR-regler tildeles i forskellige tilstande.
  • Angiver, om konfliktstyring er på plads.
  • Angiver, om resultatet er en fejl.

Asr-regler, der ikke er konflikerende, resulterer ikke i fejl. Den første regel anvendes, og efterfølgende ikke-konflikerende regler flettes med politikken.

Hvis en MDM-løsning (Mobile Device Management) og Gruppepolitik anvende forskellige ASR-regelindstillinger på den samme enhed, har indstillingerne for Gruppepolitik forrang.

Du kan få oplysninger om, hvordan konflikter i asr-regelindstillinger håndteres for de tilgængelige installationsmetoder i Microsoft Intune, under Enheder, der administreres af Intune.

Meddelelser og beskeder om ASR-regler

Når en ASR-regel i tilstanden Bloker eller Advar udløses på en enhed, vises der en meddelelse på enheden. Du kan tilpasse oplysningerne i meddelelserne. Du kan få flere oplysninger under Tilpas kontaktoplysninger i Windows Sikkerhed.

EDR-beskeder (Endpoint Detection and Response) i Defender for Endpoint genereres, når understøttede ASR-regler udløses.

Du kan finde specifikke oplysninger om meddelelses- og beskedfunktionalitet under Beskeder og meddelelser fra ASR-regelhandlinger.

Hvis du vil have vist ASR-beskedaktivitet på Microsoft Defender-portalen og på enheder i Windows Logbog, skal du se Overvåg regelaktivitet for reduktion af angrebsoverflader (ASR).

Overvåg ASR-regelaktivitet

Du kan få komplette oplysninger under Overvåg asr-regelaktivitet (Attack Surface Reduction).

Relateret indhold

  • Last updated on