Konfigurer ASR-regler og -undtagelser (Attack Surface Reduction)

  • Gælder for: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

ASR-regler (Attack surface reduction) er målrettet risikable softwarefunktioner på Windows-enheder, som hackere ofte udnytter via malware (f.eks. lancering af scripts, der downloader filer, kørsel af slørede scripts og indsætning af kode i andre processer). I denne artikel beskrives det, hvordan du aktiverer og konfigurerer ASR-regler.

Du opnår det bedste resultat ved at bruge administrationsløsninger på virksomhedsniveau, f.eks. Microsoft Intune eller Microsoft Configuration Manager til at administrere ASR-regler. ASR-regelindstillinger fra Intune eller Konfigurationsstyring overskrive eventuelle modstridende indstillinger fra gruppepolitik eller PowerShell ved start.

Forudsætninger

Du kan få flere oplysninger under Krav til ASR-regler.

Konfigurer ASR-regler i Microsoft Intune

Microsoft Intune er det anbefalede værktøj til konfiguration og distribution af politikker for ASR-regler til enheder. Kræver Microsoft Intune Plan 1 (inkluderet i abonnementer som Microsoft 365 E3 eller tilgængelig som et separat tilføjelsesprogram).

I Intune er sikkerhedspolitikker for slutpunkter den anbefalede metode til installation af ASR-regler, selvom andre metoder også er tilgængelige i Intune som beskrevet i følgende underafsnit.

Konfigurer ASR-regler og -udeladelser i Intune ved hjælp af sikkerhedspolitikker for slutpunkter

Hvis du vil konfigurere ASR-regler ved hjælp af en Microsoft Intune overfladereduktionspolitik for sikkerhedsangreb for slutpunkter, skal du se Opret en sikkerhedspolitik for slutpunkter (åbner under en ny fane i dokumentationen til Intune). Når du opretter politikken, skal du bruge disse indstillinger:

Vigtigt!

Microsoft Defender for Endpoint administration understøtter kun enhedsobjekter. Målretning mod brugere understøttes ikke. Tildel politikken til Microsoft Entra enhedsgrupper, ikke brugergrupper.

  • Politiktype: Reduktion af angrebsoverflade
  • Platform: Windows
  • Profil: Regler for reduktion af angrebsoverflade
  • Konfigurationsindstillinger:

    • Reduktion af angrebsoverflade: Du kan typisk aktivere standardbeskyttelsesreglerne i blok- eller advarselstilstand uden test. Du bør teste andre ASR-regler i overvågningstilstand , før du skifter til blok- eller advarselstilstand . Du kan få flere oplysninger i installationsvejledningen til ASR-regler.

      Når du har angivet regeltilstanden til Overvågning, Bloker eller Advar, vises der kun et ASR pr. regeludeladelse , hvor du kan angive undtagelser, der kun gælder for den pågældende regel.

    • Kun undtagelser til reduktion af angrebsoverfladen: Brug dette afsnit til at angive undtagelser, der gælder for alle ASR-regler.

      Hvis du vil angive udeladelser pr. ASR-regel eller globale ASR-regeludeladelser, skal du bruge en af følgende metoder:

      • Vælg Tilføj. I det felt, der vises, skal du angive stien eller stien og filnavnet, der skal udelades. Det kan f.eks. være:

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path

      • Vælg Importér for at importere en CSV-fil, der indeholder navnene på de filer og mapper, der skal udelades. CSV-filen har følgende format:

        AttackSurfaceReductionOnlyExclusions
"C:\folder"
"%ProgramFiles%\folder\file.exe"
"C:\path"
...

        Tip

        Dobbelte anførselstegn omkring værdierne er valgfrie og ignoreres (bruges ikke i værdierne), hvis du medtager dem. Brug ikke enkelte anførselstegn omkring værdierne.

      Du kan få flere oplysninger om udeladelser i Filer og mappeudeladelser for ASR-regler.

    • Aktivér kontrolleret mappeadgang, beskyttede mapper med kontrolleret mappeadgang og adgang til styrede mapper tilladt programmer: Du kan få flere oplysninger under Beskyt vigtige mapper med kontrolleret mappeadgang.

Konfigurer ASR-regler i Intune ved hjælp af brugerdefinerede profiler med OMA-URIs og CSP'er

Selvom politikker for slutpunktssikkerhed anbefales, kan du også konfigurere ASR-regler i Intune ved hjælp af brugerdefinerede profiler, der indeholder OMA-URI-profiler (Open Mobile Alliance – Uniform Resource) ved hjælp af en CSP (Windows Policy Configuration Service Provider).

Du kan få generelle oplysninger om OMA-URIs i Intune under Installér OMA-URIs til at målrette en CSP via Intune og en sammenligning med det lokale miljø.

  1. I Microsoft Intune Administration på https://intune.microsoft.comskal du vælge Enheder>Administrer enheder>Konfiguration. Du kan også gå direkte til Enheder | Konfigurationsside , skal du bruge https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. På fanen Politikker i Enheder | På siden Konfiguration skal du vælge Opret>ny politik.

    Skærmbillede af fanen Politikker på siden Enheder – konfiguration i Microsoft Intune Administration med Opret valgt.

  3. Konfigurer følgende indstillinger i pop op-vinduet Opret en profil , der åbnes:

    • Platform: Vælg Windows 10 og nyere.
    • Profiltype: Vælg skabeloner.
      • I afsnittet Skabelonnavn , der vises, skal du vælge Brugerdefineret.

    Vælg Opret.

    Skærmbillede af attributterne for regelprofilen på Microsoft Intune Administrationsportal.

  4. Guiden Brugerdefineret skabelon åbnes. Konfigurer følgende indstillinger under fanen Grundlæggende :

    • Navn: Angiv et entydigt navn til skabelonen.
    • Beskrivelse: Angiv en valgfri beskrivelse.

    Når du er færdig under fanen Grundlæggende , skal du vælge Næste.

  5. Vælg Tilføj under fanen Konfigurationsindstillinger.

    Skærmbillede, der viser konfigurationsindstillingerne på Microsoft Intune Administrationsportal.

    Konfigurer følgende indstillinger i pop op-vinduet Tilføj række , der åbnes:

    • Navn: Angiv et entydigt navn til reglen.

    • Beskrivelse: Angiv en valgfri, kort beskrivelse.

    • OMA-URI: Angiv enhedsværdien fra CSP'en AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • Datatype: Vælg Streng.

      • Værdi: Brug følgende syntaks:

        <RuleGuid1>=<ModeForRuleGuid1>
<RuleGuid2>=<ModeForRuleGuid2>
...
<RuleGuidN>=<ModeForRuleGuidN>
        • GUID-værdier for ASR-regler er tilgængelige i ASR-regler.
        • Følgende regeltilstande er tilgængelige:
          • 0:Ud
          • 1:Blok
          • 2:Revision
          • 5: Ikke konfigureret
          • 6:Advare

        Det kan f.eks. være:

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
3b576869-a4ec-4529-8536-b80a7769e899=1
d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
d3e037e1-3eb8-44c8-a917-57927947596d=1
5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

      Skærmbillede af pop op-vinduet Tilføj række under fanen Konfigurationsindstillinger i OMA URI-konfigurationen i Microsoft Intune Administration.

      Når du er færdig med pop op-vinduet Tilføj række , skal du vælge Gem.

      Tip

      På dette tidspunkt kan du også føje globale undtagelser for ASR-regler til den brugerdefinerede profil i stedet for at oprette en separat profil kun for undtagelser. Du kan finde instruktioner i næste underafsnit Konfigurer globale ASR-regeludeladelser i Intune ved hjælp af brugerdefinerede profiler med OMA-URIs og CSP'er.

    Vælg Næste under fanen Konfigurationsindstillinger.

  6. Konfigurer følgende indstillinger under fanen Tildelinger :

    • Afsnittet Inkluderede grupper: Vælg en af følgende indstillinger:
      • Tilføj grupper: Vælg en eller flere grupper, der skal medtages.
      • Tilføj alle brugere
      • Tilføj alle enheder
    • Afsnittet Udeladte grupper: Vælg Tilføj grupper for at angive grupper, der skal udelades.

    Når du er færdig under fanen Tildelinger , skal du vælge Næste.

    Skærmbillede af fanen Tildelinger i OMA URI-konfigurationen i Microsoft Intune Administration.

  7. Vælg Næste under fanen Anvendelighedsregler.

    Du kan bruge egenskaberne for operativsystemversionen og operativsystemversionen til at definere de typer enheder, der skal eller ikke skal have profilen.

    Anvendelighedsreglerne på portalen Microsoft Intune Administration.

  8. Gennemse indstillingerne under fanen Gennemse + opret . Du kan bruge Forrige eller vælge en fane for at gå tilbage og foretage ændringer.

    Når du er klar til at oprette profilen, skal du vælge Opret under fanen Gennemse + opret .

    Skærmbillede, der viser fanen Gennemse og opret på Microsoft Intune Administrationsportal.

Du vender straks tilbage til fanen Politikker i Enheder | Konfigurationsside . Du skal muligvis vælge Opdater for at se politikken.

ASR-regler er aktive inden for få minutter.

Konfigurer globale ASR-regeludeladelser i Intune ved hjælp af brugerdefinerede profiler med OMA-URIs og CSP'er

Trinnene til at konfigurere globale udeladelser af ASR-regler i Intune ved hjælp af en brugerdefineret profil svarer meget til ASR-regeltrinnene i det forrige afsnit. Den eneste forskel er i trin 5 (fanen Konfigurationsindstillinger ), hvor du angiver oplysninger om undtagelser for ASR-regler:

Vælg Tilføj under fanen Konfigurationsindstillinger. Konfigurer følgende indstillinger i pop op-vinduet Tilføj række , der åbnes:

  • Navn: Angiv et entydigt navn til reglen.
    • Beskrivelse: Angiv en valgfri, kort beskrivelse.
    • OMA-URI: Angiv enhedsværdien fra CSP'en AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

      • Datatype: Vælg Streng.

      • Værdi: Brug følgende syntaks:

        <PathOrPathAndFilename1>
<PathOrPathAndFilename1>
...
<PathOrPathAndFilenameN>

        Det kan f.eks. være:

        C:\folder
%ProgramFiles%\folder\file.exe
C:\path

Når du er færdig med pop op-vinduet Tilføj række , skal du vælge Gem.

Vælg Næste under fanen Konfigurationsindstillinger.

Resten af trinnene er de samme som at konfigurere ASR-regler.

Konfigurer ASR-regler i en HVILKEN som helst MDM-løsning ved hjælp af Politik-CSP

CSP 'en (Policy Configuration Service Provider) gør det muligt for virksomhedsorganisationer at konfigurere politikker på Windows-enheder ved hjælp af en hvilken som helst MDM-løsning (Mobile Device Management), ikke kun Microsoft Intune. Du kan få flere oplysninger under Politik-CSP.

Du kan konfigurere ASR-regler ved hjælp af CSP'en AttackSurfaceReductionRules med følgende indstillinger:

OMA-URI-sti: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Værdi: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • GUID-værdier for ASR-regler er tilgængelige i ASR-regler
  • Følgende regeltilstande er tilgængelige:
    • 0:Ud
    • 1:Blok
    • 2:Revision
    • 5: Ikke konfigureret
    • 6:Advare

Det kan f.eks. være:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Bemærk!

Sørg for at angive OMA-URI-værdier uden mellemrum.

Konfigurer globale ASR-regeludeladelser i en HVILKEN som helst MDM-løsning ved hjælp af Politik-CSP

Du kan bruge politik-CSP'en til at konfigurere den globale ASR-regelsti og udeladelse af stier og filnavne ved hjælp af CSP'en AttackSurfaceReductionOnlyExclusions med følgende indstillinger:

OMA-URI-sti: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Værdi: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Det kan f.eks. C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Konfigurer ASR-regler og globale udeladelser af ASR-regler i Microsoft Configuration Manager

Du kan finde instruktioner i oplysningerne om reduktion af angrebsoverfladen i Opret og udrul en Exploit Guard-politik.

Advarsel

Der er et kendt problem med anvendelsen af reduktion af angrebsoverfladen på serverversioner af operativsystemet, som er markeret som kompatibel uden nogen faktisk håndhævelse. Der er i øjeblikket ingen defineret udgivelsesdato for, hvornår dette vil blive løst.

Vigtigt!

Hvis du bruger "Deaktiver administratorfletning" angivet til true på enheder, og du bruger en af følgende værktøjer/metoder, gælder tilføjelse af ASR-regler pr. regeludeladelse eller lokale undtagelser for ASR-regler ikke:

  • Fanen Windows-politikker for Defender for Endpoint Security Settings Management (Deaktiver lokal Administration fletning) på siden Endpoint Security Policies på portalen Microsoft Defender påhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
  • Microsoft Intune (deaktiver lokal Administration fletning)
  • Defender CSP (DisableLocalAdminMerge)
  • Gruppepolitik (konfigurer funktionsmåden for lokal administratorfletning for lister)

Hvis du vil ændre denne funktionsmåde, skal du ændre "Deaktiver administratorfletning" til false.

Konfigurer ASR-regler og -udeladelser i gruppepolitik

Advarsel

Hvis du administrerer dine computere og enheder med Intune, Microsoft Configuration Manager eller anden administrationssoftware på virksomhedsniveau, overskriver administrationssoftwaren eventuelle modstridende gruppepolitikindstillinger ved start.

  1. Åbn GPMC (Gruppepolitik Management Console) på din Gruppepolitik-administrationscomputer i Centraliseret Gruppepolitik.

  2. I GPMC-konsoltræet skal du udvide Gruppepolitik Objekter i området og domænet, der indeholder det GPO, du vil redigere.

  3. Højreklik på gruppepolitikobjektet, og vælg derefter Rediger.

  4. I Gruppepolitik Management Editor skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard > Attack overflade Reduction.

  5. I detaljeruden i Reduktion af angrebsoverflade er de tilgængelige indstillinger:

    Hvis du vil åbne og konfigurere en ASR-regelindstilling, skal du bruge en af følgende metoder:

    • Dobbeltklik på indstillingen.
    • Højreklik på indstillingen, og vælg derefter Rediger
    • Vælg indstillingen, og vælg derefter Handlingsredigering>.

Tip

Du kan også konfigurere Gruppepolitik lokalt på individuelle enheder ved hjælp af Editor til lokale Gruppepolitik (gpedit.msc). Gå til den samme sti: Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack overflade Reduction.

De tilgængelige indstillinger er beskrevet i følgende underafsnit.

Vigtigt!

Anførselstegn, foranstillede mellemrum, efterstillede mellemrum og ekstra tegn understøttes ikke i nogen af de ASR-regelrelaterede værdier i gruppepolitik.

Gruppepolitik stier før Windows 10 version 2004 (maj 2020) bruger muligvis Windows Defender Antivirus i stedet for Microsoft Defender Antivirus. Begge navne refererer til den samme politikplacering.

Konfigurer ASR-regler i gruppepolitik

  1. Åbn indstillingen Konfigurer regler for reduktion af angrebsoverfladen i detaljeruden i Reduktion af angrebsoverflade.

  2. Konfigurer følgende indstillinger i det vindue, der åbnes:

    1. Vælg Aktiveret.
    2. Angiv tilstanden for hver ASR-regel: Vælg Vis....

  3. Konfigurer følgende indstillinger i dialogboksen Angiv tilstanden for hver ASR-regel , der åbnes:

    Skærmbillede af Konfigurer regler for reduktion af angrebsoverflade i Gruppepolitik.

    Du kan få flere oplysninger under ASR-regeltilstande.

    Gentag dette trin så mange gange, det er nødvendigt. Når du er færdig, skal du vælge OK.

Konfigurer globale ASR-regeludeladelser i gruppepolitik

Stierne eller filnavnene med de stier, du angiver, bruges som udeladelser for alle ASR-regler.

  1. I detaljeruden i Reduktion af angrebsoverflade skal du åbne indstillingen Udelad filer og stier fra regler for reduktion af angrebsoverfladen .

  2. Konfigurer følgende indstillinger i det vindue, der åbnes:

    1. Vælg Aktiveret.
    2. Undtagelser fra ASR-regler: Vælg Vis....

  3. I dialogboksen Undtagelser fra ASR-regler , der åbnes, skal du konfigurere følgende indstillinger:

    • Værdinavn: Angiv den sti eller sti og det filnavn, der skal udelades fra alle ASR-regler.
    • Værdi: Angiv 0.

    Følgende typer værdinavne understøttes:

    • Hvis du vil udelade alle filer i en mappe, skal du angive den fulde mappesti. Det kunne f.eks. være C:\Data\Test.
    • Hvis du vil udelade en bestemt fil i en bestemt mappe (anbefales), skal du angive stien og filnavnet. Det kunne f.eks. være C:\Data\Test\test.exe.

    Gentag dette trin så mange gange, det er nødvendigt. Når du er færdig, skal du vælge OK.

Konfigurer udeladelser pr. ASR-regel i gruppepolitik

Stierne eller filnavnene med de stier, du angiver, bruges som udeladelser for bestemte ASR-regler.

Bemærk!

Hvis indstillingen Anvend en liste over undtagelser på specifikke ASR-regler (Attack Surface Reduction) ikke er tilgængelig i dit GPMC, skal du bruge version 24H2 eller nyere af filerne med administrative skabeloner i centrallageret.

  1. I detaljeruden i Reduktion af angrebsoverflade skal du åbne indstillingen Anvend en liste over undtagelser for specifikke regler for reduktion af angrebsoverfladen (ASR ).

  2. Konfigurer følgende indstillinger i det vindue, der åbnes:

    1. Vælg Aktiveret.
    2. Udeladelser for hver ASR-regel: Vælg Vis....

  3. Konfigurer følgende indstillinger i dialogboksen Udeladelser for hver ASR-regel , der åbnes:

    • Værdinavn: Angiv GUID-værdien for ASR-reglen.
    • Værdi: Angiv en eller flere undtagelser for ASR-reglen. Brug syntaksen Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Det kunne f.eks. være C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

    Gentag dette trin så mange gange, det er nødvendigt. Når du er færdig, skal du vælge OK.

Konfigurer ASR-regler i PowerShell

Advarsel

Hvis du administrerer dine computere og enheder med Intune, Konfigurationsstyring eller en anden administrationsplatform på virksomhedsniveau, overskriver administrationssoftwaren eventuelle modstridende PowerShell-indstillinger ved start.

På destinationsenheden skal du bruge følgende PowerShell-kommandosyntaks i en PowerShell-session med administratorrettigheder (et PowerShell-vindue, du åbnede ved at vælge Kør som administrator):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

  • Set-MpPreferenceoverskriver alle eksisterende regler og deres tilsvarende tilstande med de værdier, du angiver. Kør følgende kommando for at se listen over eksisterende værdier:

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

    Hvis du vil tilføje nye regler og de tilsvarende tilstande, uden at det påvirker eksisterende værdier, skal du bruge cmdlet'en Add-MpPreference . Hvis du vil fjerne de angivne regler og de tilsvarende tilstande, uden at det påvirker andre eksisterende værdier, skal du bruge cmdlet'en Remove-MpPreference . Kommandosyntaksen er identisk for de tre cmdlet'er.

  • GUID-værdier for ASR-regler er tilgængelige i ASR-regler.

  • Gyldige værdier for parameteren AttackSurfaceReductionRules_Actions er:

    • 0 Eller Disabled
    • 1 eller Enabled (bloktilstand )
    • 2eller AuditModeAudit
    • 5 Eller NotConfigured
    • 6 Eller Warn

I følgende eksempel konfigureres de angivne ASR-regler på enheden:

  • De første to regler er aktiveret i bloktilstand .
  • Den tredje regel er deaktiveret.
  • Den sidste regel er aktiveret i overvågningstilstand .
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Konfigurer globale ASR-regeludeladelser i PowerShell

På destinationsenheden skal du bruge følgende PowerShell-kommandosyntaks i en PowerShell-session med administratorrettigheder:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

  • Set-MpPreferenceoverskriver alle eksisterende udeladelser af ASR-regler med de værdier, du angiver. Kør følgende kommando for at se listen over eksisterende værdier:

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions

    Hvis du vil tilføje nye undtagelser, uden at det påvirker eksisterende værdier, skal du bruge cmdlet'en Add-MpPreference . Hvis du vil fjerne de angivne undtagelser, uden at det påvirker andre værdier, skal du bruge cmdlet'en Remove-MpPreference . Kommandosyntaksen er identisk for de tre cmdlet'er.

    I følgende eksempel konfigureres den angivne sti og sti med filnavn som udeladelser for alle ASR-regler på enheden:

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"

Relateret indhold

  • Last updated on