Reference til regler for reduktion af angrebsoverflade

Gælder for:

• Microsoft Microsoft Defender XDR til Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Platforme:

• Windows

Denne artikel indeholder oplysninger om Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen (ASR-regler):

• ASR-regler, der understøttes af operativsystemversioner
• ASR-regler understøttede konfigurationsstyringssystemer
• Oplysninger om besked og meddelelse pr. ASR-regel
• ASR-regel til GUID-matrix
• ASR-regeltilstande
• Beskrivelser pr. regel

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Tip

Som en ledsager til denne artikel anbefaler vi, at du bruger Microsoft Defender for Endpoint automatiserede konfigurationsvejledning, når du er logget på Microsoft 365 Administration. Denne vejledning tilpasser din oplevelse baseret på dit miljø. Hvis du vil gennemse de bedste fremgangsmåder uden at logge på og aktivere automatiserede konfigurationsfunktioner, skal du gå til installationsvejledningen til Microsoft 365.

Regler for reduktion af angrebsoverfladen efter type

Regler for reduktion af angrebsoverfladen er kategoriseret som en af to typer:

• Standardbeskyttelsesregler: Er det mindste sæt regler, som Microsoft anbefaler, at du altid aktiverer, mens du evaluerer effekten og konfigurationsbehovene for de andre ASR-regler. Disse regler har typisk minimal til ingen mærkbar indvirkning på slutbrugeren.

• Andre regler: Regler, der kræver en måling af, hvordan du følger de dokumenterede udrulningstrin [Plan > Test (overvågning) > Aktivér (blok/advar-tilstande)], som beskrevet i installationsvejledningen til regler for reduktion af angrebsoverfladen

Hvis du vil have den nemmeste metode til at aktivere standardbeskyttelsesregler, skal du se: Forenklet standardbeskyttelsesindstilling.

Navn på ASR-regel:	Standardbeskyttelsesregel?	Anden regel?
Bloker misbrug af udnyttede sårbare bilister	Ja
Bloker Adobe Reader fra at oprette underordnede processer		Ja
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer		Ja
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)	Ja
Bloker eksekverbart indhold fra mailklient og webmail		Ja
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til		Ja
Bloker udførelse af potentielt slørede scripts		Ja
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold		Ja
Bloker Office-programmer fra at oprette eksekverbart indhold		Ja
Bloker Office-programmer fra at indsætte kode i andre processer		Ja
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer		Ja
Bloker vedholdenhed via WMI-hændelsesabonnement	Ja
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI		Ja
Bloker genstart af computer i fejlsikret tilstand (prøveversion)		Ja
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB		Ja
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)		Ja
Bloker oprettelse af Webshell for servere		Ja
Bloker Win32 API-kald fra Office-makroer		Ja
Brug avanceret beskyttelse mod ransomware		Ja

Microsoft Defender Antivirus-undtagelser og ASR-regler

Microsoft Defender Antivirus udelukkelser gælder for nogle Microsoft Defender for Endpoint egenskaber, såsom nogle af de angreb overflade reduktion regler.

Følgende ASR-regler hæd ikke Microsoft Defender Antivirus-undtagelser:

Navn på ASR-regler:
Bloker Adobe Reader fra at oprette underordnede processer
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)
Bloker Office-programmer fra at oprette eksekverbart indhold
Bloker Office-programmer fra at indsætte kode i andre processer
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer

Bemærk!

Du kan finde oplysninger om konfiguration af undtagelser pr. regel i afsnittet Konfigurer ASR-regler pr. regel i emnet Test regler for overfladereduktion af angreb.

ASR-regler og Defender for Endpoint Indicators of Compromise (IOC)

Følgende ASR-regler overholdes ikke Microsoft Defender for Endpoint Indikatorer for Kompromis (IOC):

Navn på ASR-regel	Beskrivelse
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)	Understøtter ikke indikatorer for kompromitteret fil eller certifikater.
Bloker Office-programmer fra at indsætte kode i andre processer	Understøtter ikke indikatorer for kompromitteret fil eller certifikater.
Bloker Win32 API-kald fra Office-makroer	Understøtter ikke indikatorer for kompromitteret certifikat.

UNDERSTØTTEDE ASR-regler for operativsystemer

I følgende tabel vises de understøttede operativsystemer til regler, der i øjeblikket er offentligt tilgængelige. Reglerne vises alfabetisk i denne tabel.

Bemærk!

Medmindre andet er angivet, er det mindste Windows 10 build version 1709 (RS3, build 16299) eller nyere. Det mindste Windows Server-build er version 1809 eller nyere.

Regler for reduktion af angrebsoverfladen i Windows Server 2012 R2 og Windows Server 2016 er tilgængelige for enheder, der er onboardet ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny Windows Server 2012 R2- og 2016-funktionalitet i den moderne samlede løsning.

Regelnavn	Windows 11 Og Windows 10	Windows Server 2022 Og Windows Server 2019	Windows Server	Windows Server 2016 [1, 2]	Windows Server 2012 R2 [1, 2]
Bloker misbrug af udnyttede sårbare bilister	Y	Y	Y version 1803 (halvårlig Enterprise Channel) eller nyere	Y	Y
Bloker Adobe Reader fra at oprette underordnede processer	Y version 1809 eller nyere [3]	Y	Y	Y	Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer	Y	Y	Y	Y	Y
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)	Y version 1803 eller nyere [3]	Y	Y	Y	Y
Bloker eksekverbart indhold fra mailklient og webmail	Y	Y	Y	Y	Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til	Y version 1803 eller nyere [3]	Y	Y	Y	Y
Bloker udførelse af potentielt slørede scripts	Y	Y	Y	Y	Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold	Y	Y	Y	N	N
Bloker Office-programmer fra at oprette eksekverbart indhold	Y	Y	Y	Y	Y
Bloker Office-programmer fra at indsætte kode i andre processer	Y	Y	Y	Y	Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer	Y	Y	Y	Y	Y
Bloker vedholdenhed via WMI-hændelsesabonnement (Windows Management Instrumentation)	Y version 1903 (build 18362) eller nyere [3]	Y	Y version 1903 (build 18362) eller nyere	N	N
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI	Y version 1803 eller nyere [3]	Y	Y	Y	Y
Bloker genstart af computer i fejlsikret tilstand (prøveversion)	Y	Y	Y	Y	Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB	Y	Y	Y	Y	Y
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)	Y	Y	Y	Y	Y
Bloker oprettelse af Webshell for servere	N	Y Kun Exchange-rolle	Y Kun Exchange-rolle	Y Kun Exchange-rolle	N
Bloker Win32 API-kald fra Office-makroer	Y	N	N	N	N
Brug avanceret beskyttelse mod ransomware	Y version 1803 eller nyere [3]	Y	Y	Y	Y

(1) Refererer til den moderne samlede løsning til Windows Server 2012 og 2016. Du kan finde flere oplysninger under Onboarder Windows-servere til Defender for Endpoint-tjenesten.

(2) For Windows Server 2016 og Windows Server 2012 R2 er den mindste påkrævede version af Microsoft Endpoint Configuration Manager version 2111.

(3) Version og buildnummer gælder kun for Windows 10.

ASR-regler understøttede konfigurationsstyringssystemer

Links til oplysninger om systemversioner til konfigurationsstyring, der refereres til i denne tabel, er angivet under denne tabel.

Regelnavn	Microsoft Intune	Microsoft Endpoint Configuration Manager	Gruppepolitik[1]	PowerShell[1]
Bloker misbrug af udnyttede sårbare bilister	Y		Y	Y
Bloker Adobe Reader fra at oprette underordnede processer	Y		Y	Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer	Y	Y CB 1710	Y	Y
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)	Y	Y CB 1802	Y	Y
Bloker eksekverbart indhold fra mailklient og webmail	Y	Y CB 1710	Y	Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til	Y	Y CB 1802	Y	Y
Bloker udførelse af potentielt slørede scripts	Y	Y CB 1710	Y	Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold	Y	Y CB 1710	Y	Y
Bloker Office-programmer fra at oprette eksekverbart indhold	Y	Y CB 1710	Y	Y
Bloker Office-programmer fra at indsætte kode i andre processer	Y	Y CB 1710	Y	Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer	Y	Y CB 1710	Y	Y
Bloker vedholdenhed via WMI-hændelsesabonnement	Y		Y	Y
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI	Y		Y	Y
Bloker genstart af computer i fejlsikret tilstand (prøveversion)	Y		Y	Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB	Y	Y CB 1802	Y	Y
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)	Y		Y	Y
Bloker oprettelse af Webshell for servere	Y		Y	Y
Bloker Win32 API-kald fra Office-makroer	Y	Y CB 1710	Y	Y
Brug avanceret beskyttelse mod ransomware	Y	Y CB 1802	Y	Y

(1) Du kan konfigurere regler for reduktion af angrebsoverflader pr. regel ved hjælp af en hvilken som helst regels GUID.

• Configuration Manager CB 1710
• Configuration Manager CB 1802
• Microsoft Configuration Manager CB 1710
• System Center Configuration Manager (SCCM) CB 1710
  SCCM er nu Microsoft Configuration Manager.

Oplysninger om besked og meddelelse pr. ASR-regel

Toastbeskeder genereres for alle regler i bloktilstand. Regler i en anden tilstand genererer ikke toastbeskeder.

For regler med "Regeltilstand" angivet:

• ASR-regler med <ASR-regel, kombinationer af regeltilstand> bruges til at vise beskeder (toastbeskeder) på Microsoft Defender for Endpoint kun for enheder på cloudblokeringsniveau Høj. Enheder, der ikke har et højt skyblokeringsniveau, genererer ikke beskeder for asr-regel<- og regeltilstandskombinationer>
• EDR-beskeder genereres for ASR-regler i de angivne tilstande for enheder på cloudblokeringsniveau Høj+

Regelnavn:	Regeltilstand:	Genererer beskeder i EDR? (Ja | Nej)	Genererer toastbeskeder? (Ja | Nej)
		Kun for enheder på cloudblokeringsniveau Høj+	Kun i bloktilstand og kun for enheder på cloudblokeringsniveau Høj
Bloker misbrug af udnyttede sårbare bilister		N	Y
Bloker Adobe Reader fra at oprette underordnede processer	Bloker	Y	Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer		N	Y
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)		N	Y
Bloker eksekverbart indhold fra mailklient og webmail		Y	Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til		N	Y
Bloker udførelse af potentielt slørede scripts	Overvåg | Blok	Y | Y	N | Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold	Bloker	Y	Y
Bloker Office-programmer fra at oprette eksekverbart indhold		N	Y
Bloker Office-programmer fra at indsætte kode i andre processer		N	Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer		N	Y
Bloker vedholdenhed via WMI-hændelsesabonnement	Overvåg | Blok	Y | Y	N | Y
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI		N	Y
Bloker genstart af computer i fejlsikret tilstand (prøveversion)		N	N
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB	Overvåg | Blok	Y | Y	N | Y
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)		N	N
Bloker oprettelse af Webshell for servere		N	N
Bloker Win32 API-kald fra Office-makroer		N	Y
Brug avanceret beskyttelse mod ransomware	Overvåg | Blok	Y | Y	N | Y

ASR-regel til GUID-matrix

Regelnavn	Regel-GUID
Bloker misbrug af udnyttede sårbare bilister	56a863a9-875e-4185-98a7-b882c64b5ce5
Bloker Adobe Reader fra at oprette underordnede processer	7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer	d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloker eksekverbart indhold fra mailklient og webmail	be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til	01443614-cd74-433a-b99e-2ecdc07bfc25
Bloker udførelse af potentielt slørede scripts	5beb7efe-fd9a-4556-801d-275e5ffc04cc
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold	d3e037e1-3eb8-44c8-a917-57927947596d
Bloker Office-programmer fra at oprette eksekverbart indhold	3b576869-a4ec-4529-8536-b80a7769e899
Bloker Office-programmer fra at indsætte kode i andre processer	75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer	26190899-1602-49e8-8b27-eb1d0a1ce869
Bloker vedholdenhed via WMI-hændelsesabonnement * Fil- og mappeudeladelser understøttes ikke.	e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI	d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloker genstart af computer i fejlsikret tilstand (prøveversion)	33ddedf1-c6e0-47cb-833e-de6133960387
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB	b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)	c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Bloker oprettelse af Webshell for servere	a8f5898e-1dc8-49a9-9878-85004b8a61e6
Bloker Win32 API-kald fra Office-makroer	92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Brug avanceret beskyttelse mod ransomware	c1db55ab-c21a-4637-bb3f-a12568109d35

ASR-regeltilstande

• Ikke konfigureret eller deaktiveret: Den tilstand, hvor ASR-reglen ikke er aktiveret eller deaktiveret. Koden for denne tilstand = 0.
• Blok: Den tilstand, som ASR-reglen er aktiveret i. Koden for denne tilstand er 1.
• Overvågning: Den tilstand, som ASR-reglen evalueres i for den effekt, den ville have på organisationen eller miljøet, hvis den er aktiveret (indstillet til at blokere eller advare). Koden for denne tilstand er 2.
• Advare Den tilstand, hvor ASR-reglen er aktiveret og præsenterer en meddelelse til slutbrugeren, men tillader slutbrugeren at omgå blokken. Koden for denne tilstand er 6.

Advarselstilstand er en type blokeringstilstand, der giver brugerne besked om potentielt risikable handlinger. Brugerne kan vælge at tilsidesætte advarselsmeddelelsen om blokering og tillade den underliggende handling. Brugerne kan vælge OK for at gennemtvinge blokken eller vælge bypassindstillingen – Fjern blokering – via den toastbesked om slutbrugerens pop op-meddelelse, der genereres på tidspunktet for blokken. Når blokeringen af advarslen er fjernet, tillades handlingen, indtil næste gang advarselsmeddelelsen vises, hvorefter slutbrugeren skal udføre handlingen igen.

Når der klikkes på knappen Tillad, undertrykkes blokken i 24 timer. Efter 24 timer skal slutbrugeren tillade blokken igen. Advarselstilstanden for ASR-regler understøttes kun for RS5+-enheder (1809+). Hvis bypass er tildelt ASR-regler på enheder med ældre versioner, vil reglen være i blokeret tilstand.

Du kan også angive en regel i advarselstilstand via PowerShell ved at angive AttackSurfaceReductionRules_Actions som "Advar". Det kan f.eks. være:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Pr. regelbeskrivelser

Bloker misbrug af udnyttede sårbare bilister

Denne regel forhindrer et program i at skrive en sårbar signeret driver til disken. Sårbare signerede drivere i naturen kan udnyttes af lokale programmer - der har tilstrækkelige rettigheder - til at få adgang til kernen. Sårbare signerede drivere gør det muligt for angribere at deaktivere eller omgå sikkerhedsløsninger, hvilket i sidste ende fører til, at systemet kompromitteres.

Reglen Bloker misbrug af udnyttede sårbare signerede drivere blokerer ikke, at en driver, der allerede findes på systemet, indlæses.

Bemærk!

Du kan konfigurere denne regel ved hjælp af Intune OMA-URI. Se Intune OMA-URI for at få oplysninger om konfiguration af brugerdefinerede regler.

Du kan også konfigurere denne regel ved hjælp af PowerShell.

Hvis du vil have undersøgt en faktor, skal du bruge dette websted til at sende en driver til analyse.

Intune navn:Block abuse of exploited vulnerable signed drivers

Configuration Manager navn: Endnu ikke tilgængeligt

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Avanceret jagthandlingstype:

• AsrVulnerableSignedDriverAudited
• AsrVulnerableSignedDriverBlocked

Bloker Adobe Reader fra at oprette underordnede processer

Denne regel forhindrer angreb ved at blokere Adobe Reader i at oprette processer.

Malware kan downloade og starte nyttedata og bryde ud af Adobe Reader via social engineering eller udnyttelser. Ved at blokere underordnede processer fra at blive genereret af Adobe Reader forhindres malware, der forsøger at bruge Adobe Reader som angrebsvektor, i at sprede sig.

Intune navn:Process creation from Adobe Reader (beta)

Configuration Manager navn: Endnu ikke tilgængeligt

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Avanceret jagthandlingstype:

• AsrAdobeReaderChildProcessAudited
• AsrAdobeReaderChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker alle Office-programmer, så de ikke kan oprette underordnede processer

Denne regel blokerer Office-apps fra at oprette underordnede processer. Office-apps omfatter Word, Excel, PowerPoint, OneNote og Access.

Oprettelse af skadelige underordnede processer er en almindelig malwarestrategi. Malware, der misbruger Office som en vektor, kører ofte VBA-makroer og udnytter kode til at downloade og forsøge at køre flere nyttedata. Nogle legitime line of business-programmer kan dog også generere underordnede processer til godartede formål; f.eks. gydning af en kommandoprompt eller brug af PowerShell til at konfigurere indstillinger i registreringsdatabasen.

Intune navn:Office apps launching child processes

Configuration Manager navn:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Avanceret jagthandlingstype:

• AsrOfficeChildProcessAudited
• AsrOfficeChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed

Denne regel hjælper med at forhindre tyveri af legitimationsoplysninger ved at låse LSASS (Local Security Authority Subsystem Service) nede.

LSASS godkender brugere, der logger på en Windows-computer. Microsoft Defender Credential Guard i Windows forhindrer normalt forsøg på at udtrække legitimationsoplysninger fra LSASS. Nogle organisationer kan ikke aktivere Credential Guard på alle deres computere på grund af kompatibilitetsproblemer med brugerdefinerede chipkortdrivere eller andre programmer, der indlæses i LSA (Local Security Authority). I disse tilfælde kan hackere bruge værktøjer som Mimikatz til at skrabe cleartext-adgangskoder og NTLM-hashen fra LSASS.

Som standard er tilstanden for denne regel angivet til blokeret. I de fleste tilfælde foretager mange processer kald til LSASS for adgangsrettigheder, der ikke er nødvendige. F.eks. når den første blok fra ASR-reglen resulterer i et efterfølgende kald for et mindre privilegium, som efterfølgende lykkes. Du kan finde oplysninger om de typer rettigheder, der typisk anmodes om i proceskald til LSASS, under: Processikkerhed og adgangsrettigheder.

Aktivering af denne regel giver ikke yderligere beskyttelse, hvis LSA-beskyttelse er aktiveret, da ASR-reglen og LSA-beskyttelse fungerer på samme måde. Men når LSA-beskyttelse ikke kan aktiveres, kan denne regel konfigureres til at give tilsvarende beskyttelse mod malware, der er målrettet lsass.exe.

Bemærk!

I dette scenarie klassificeres ASR-reglen som "ikke tilgængelig" i indstillingerne for Defender for Endpoint på Microsoft Defender-portalen.

Asr-reglen bloker legitimationsoplysninger, der stjæles fra det lokale windows-sikkerhedsmyndighedsystem, understøtter ikke WARN-tilstand.

I nogle apps optæller koden alle kørende processer og forsøger at åbne dem med udtømmende tilladelser. Denne regel afviser appens handling for procesåbning og logfører oplysningerne i loggen over sikkerhedshændelser. Denne regel kan generere en masse støj. Hvis du har en app, der blot optæller LSASS, men ikke har nogen reel indvirkning på funktionaliteten, er det ikke nødvendigt at føje den til listen over undtagelser. I sig selv angiver denne post i hændelsesloggen ikke nødvendigvis en ondsindet trussel.

Intune navn:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager navn:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Avanceret jagthandlingstype:

• AsrLsassCredentialTheftAudited
• AsrLsassCredentialTheftBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker eksekverbart indhold fra mailklient og webmail

Denne regel blokerer mail, der er åbnet i Microsoft Outlook-programmet, eller Outlook.com og andre populære webmailudbydere fra at overføre følgende filtyper:

• Eksekverbare filer (f.eks. .exe, .dll eller .scr)
• Scriptfiler (f.eks. en PowerShell-.ps1, Visual Basic .vbs- eller JavaScript-.js-fil)

Intune navn:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager navn:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Avanceret jagthandlingstype:

• AsrExecutableEmailContentAudited
• AsrExecutableEmailContentBlocked

Afhængigheder: Microsoft Defender Antivirus

Bemærk!

Reglen Bloker eksekverbart indhold fra mailklienten og webmailen har følgende alternative beskrivelser, afhængigt af hvilket program du bruger:

• Intune (konfigurationsprofiler): Udførelse af eksekverbart indhold (exe, dll, ps, js, vbs osv.) blev droppet fra mail (webmail/mail-klient) (ingen undtagelser).
• Configuration Manager: Bloker download af eksekverbart indhold fra mail- og webmailklienter.
• Gruppepolitik: Bloker eksekverbart indhold fra mailklient og webmail.

Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til

Denne regel blokerer eksekverbare filer, f.eks. .exe, .dll eller .scr, fra start. Det kan derfor være risikabelt at starte upålidelige eller ukendte eksekverbare filer, da det muligvis ikke indledningsvist er tydeligt, om filerne er skadelige.

Vigtigt!

Du skal aktivere skybaseret beskyttelse for at bruge denne regel.

Reglen Bloker kørsel af eksekverbare filer, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til, med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ejes af Microsoft og ikke er angivet af administratorer. Denne regel bruger skybaseret beskyttelse til at opdatere listen, der er tillid til, regelmæssigt.

Du kan angive individuelle filer eller mapper (ved hjælp af mappestier eller fuldt kvalificerede ressourcenavne), men du kan ikke angive, hvilke regler eller undtagelser der gælder for.

Intune navn:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager navn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Avanceret jagthandlingstype:

• AsrUntrustedExecutableAudited
• AsrUntrustedExecutableBlocked

Afhængigheder: Microsoft Defender Antivirus, Cloud Protection

Bloker udførelse af potentielt slørede scripts

Denne regel registrerer mistænkelige egenskaber i et sløret script.

Vigtigt!

PowerShell-scripts understøttes nu for reglen "Bloker udførelse af potentielt slørede scripts".

Script tilsløring er en almindelig teknik, som både malware forfattere og legitime applikationer bruger til at skjule intellektuel ejendom eller reducere script indlæsningstider. Malware forfattere bruger også tilsløring til at gøre ondsindet kode sværere at læse, som hæmmer tæt kontrol af mennesker og sikkerhedssoftware.

Intune navn:Obfuscated js/vbs/ps/macro code

Configuration Manager navn:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Avanceret jagthandlingstype:

• AsrObfuscatedScriptAudited
• AsrObfuscatedScriptBlocked

Afhængigheder: Microsoft Defender Antivirus, AMSI (AntiMalware Scan Interface)

Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold

Denne regel forhindrer scripts i at starte potentielt skadeligt downloadet indhold. Malware, der er skrevet i JavaScript eller VBScript, fungerer ofte som en downloader for at hente og starte anden malware fra internettet.

Selvom det ikke er almindeligt, bruger line of business-programmer nogle gange scripts til at downloade og starte installationsprogrammer.

Intune navn:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager navn:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Avanceret jagthandlingstype:

• AsrScriptExecutableDownloadAudited
• AsrScriptExecutableDownloadBlocked

Afhængigheder: Microsoft Defender Antivirus, AMSI

Bloker Office-programmer fra at oprette eksekverbart indhold

Denne regel forhindrer Office-apps, herunder Word, Excel og PowerPoint, i at oprette potentielt skadeligt eksekverbart indhold ved at blokere for, at skadelig kode skrives til disken.

Malware, der misbruger Office som en vektor, kan forsøge at bryde ud af Office og gemme skadelige komponenter på disken. Disse skadelige komponenter vil overleve en genstart af computeren og forblive på systemet. Derfor forsvarer denne regel sig mod en fælles vedholdenhedsteknik. Denne regel blokerer også kørsel af filer, der ikke er tillid til, og som kan være blevet gemt af Office-makroer, som har tilladelse til at køre i Office-filer.

Intune navn:Office apps/macros creating executable content

Configuration Manager navn:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Avanceret jagthandlingstype:

• AsrExecutableOfficeContentAudited
• AsrExecutableOfficeContentBlocked

Afhængigheder: Microsoft Defender Antivirus, RPC

Bloker Office-programmer fra at indsætte kode i andre processer

Denne regel blokerer kodeinjektionsforsøg fra Office-apps i andre processer.

Bemærk!

Asr-reglen Bloker programmer fra indsprøjtning af kode i andre processer understøtter ikke WARN-tilstand.

Vigtigt!

Denne regel kræver, at Microsoft 365 Apps (Office-programmer) genstartes, for at konfigurationsændringerne kan træde i kraft.

Angribere kan forsøge at bruge Office-apps til at overføre skadelig kode til andre processer via kodeinjektion, så koden kan maskerade som en ren proces.

Der er ingen kendte legitime forretningsmæssige formål med at bruge kodeinjektion.

Denne regel gælder for Word, Excel, OneNote og PowerPoint.

Intune navn:Office apps injecting code into other processes (no exceptions)

Configuration Manager navn:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Avanceret jagthandlingstype:

• AsrOfficeProcessInjectionAudited
• AsrOfficeProcessInjectionBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer

Denne regel forhindrer Outlook i at oprette underordnede processer, samtidig med at legitime Outlook-funktioner tillades.

Denne regel beskytter mod social engineering-angreb og forhindrer, at kode misbruges i Outlook. Den beskytter også mod outlook-regler og formularudnyttelser , som hackere kan bruge, når en brugers legitimationsoplysninger kompromitteres.

Bemærk!

Denne regel blokerer tip til DLP-politik og værktøjstip i Outlook. Denne regel gælder kun for Outlook og Outlook.com.

Intune navn:Process creation from Office communication products (beta)

Configuration Manager navn: Ikke tilgængeligt

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Avanceret jagthandlingstype:

• AsrOfficeCommAppChildProcessAudited
• AsrOfficeCommAppChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker vedholdenhed via WMI-hændelsesabonnement

Denne regel forhindrer malware i at misbruge WMI for at opnå vedholdenhed på en enhed.

Vigtigt!

Fil- og mappeudeladelser gælder ikke for denne regel for reduktion af angrebsoverfladen.

Filløse trusler anvender forskellige taktikker for at forblive skjult, for at undgå at blive set i filsystemet og for at få periodisk kontrol over udførelsen. Nogle trusler kan misbruge WMI-lageret og hændelsesmodellen for at forblive skjult.

Bemærk!

Hvis CcmExec.exe (SCCM Agent) registreres på enheden, klassificeres ASR-reglen som "ikke tilgængelig" i indstillingerne for Defender for Endpoint på Microsoft Defender portalen.

Intune navn:Persistence through WMI event subscription

Configuration Manager navn: Ikke tilgængeligt

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Avanceret jagthandlingstype:

• AsrPersistenceThroughWmiAudited
• AsrPersistenceThroughWmiBlocked

Afhængigheder: Microsoft Defender Antivirus, RPC

Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI

Denne regel blokerer processer, der er oprettet via PsExec og WMI , fra at køre. Både PsExec og WMI kan udføre kode eksternt. Der er risiko for, at malware misbruger funktionaliteten i PsExec og WMI med henblik på kommando- og kontrolformål eller for at sprede en infektion gennem en organisations netværk.

Advarsel

Brug kun denne regel, hvis du administrerer dine enheder med Intune eller en anden MDM-løsning. Denne regel er ikke kompatibel med administration via Microsoft Endpoint Configuration Manager fordi denne regel blokerer WMI-kommandoer, som Configuration Manager klient bruger til at fungere korrekt.

Intune navn:Process creation from PSExec and WMI commands

Configuration Manager navn: Ikke relevant

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Avanceret jagthandlingstype:

• AsrPsexecWmiChildProcessAudited
• AsrPsexecWmiChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker genstart af computer i fejlsikret tilstand (prøveversion)

Denne regel forhindrer udførelse af kommandoer til genstart af computere i fejlsikret tilstand.

Fejlsikret tilstand er en diagnosticeringstilstand, der kun indlæser de vigtige filer og drivere, der er nødvendige, for at Windows kan køre. Men i fejlsikret tilstand er mange sikkerhedsprodukter enten deaktiveret eller opererer i en begrænset kapacitet, hvilket gør det muligt for hackere at starte manipulationskommandoer yderligere eller blot udføre og kryptere alle filer på computeren. Denne regel blokerer sådanne angreb ved at forhindre processer i at genstarte maskiner i fejlsikret tilstand.

Bemærk!

Denne funktion er i øjeblikket en prøveversion. Yderligere opgraderinger for at forbedre effektiviteten er under udvikling.

Intune navn:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager navn: Endnu ikke tilgængeligt

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Afhængigheder: Microsoft Defender Antivirus

Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB

Med denne regel kan administratorer forhindre usignerede eller upålidelige eksekverbare filer i at køre fra flytbare USB-drev, herunder SD-kort. Blokerede filtyper omfatter eksekverbare filer (f.eks. .exe, .dll eller .scr)

Vigtigt!

Filer, der kopieres fra USB til diskdrevet, blokeres af denne regel, hvis og når den er ved at blive udført på diskdrevet.

Intune navn:Untrusted and unsigned processes that run from USB

Configuration Manager navn:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Avanceret jagthandlingstype:

• AsrUntrustedUsbProcessAudited
• AsrUntrustedUsbProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker brugen af kopierede eller repræsenterede systemværktøjer (prøveversion)

Denne regel blokerer brugen af eksekverbare filer, der identificeres som kopier af Windows-systemværktøjer. Disse filer er enten dubletter eller bedragere af de oprindelige systemværktøjer.

Nogle skadelige programmer kan forsøge at kopiere eller repræsentere Windows-systemværktøjer for at undgå registrering eller opnå rettigheder. Det kan føre til potentielle angreb, hvis sådanne eksekverbare filer tillades. Denne regel forhindrer overførsel og udførelse af sådanne dubletter og bedragere af systemværktøjerne på Windows-maskiner.

Bemærk!

Denne funktion er i øjeblikket en prøveversion. Yderligere opgraderinger for at forbedre effektiviteten er under udvikling.

Intune navn:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager navn: Endnu ikke tilgængeligt

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Afhængigheder: Microsoft Defender Antivirus

Bloker oprettelse af Webshell for servere

Denne regel blokerer oprettelse af webshell-scripts på Microsoft Server, Exchange-rolle.

Et web shell-script er et specifikt udformet script, der gør det muligt for en hacker at styre den kompromitterede server. En webshell kan omfatte funktioner som modtagelse og udførelse af ondsindede kommandoer, download og udførelse af skadelige filer, tyveri og eksfiltrering af legitimationsoplysninger og følsomme oplysninger, identificering af potentielle mål osv.

Intune navn:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Afhængigheder: Microsoft Defender Antivirus

Bloker Win32 API-kald fra Office-makroer

Denne regel forhindrer VBA-makroer i at kalde Win32-API'er.

Office VBA aktiverer Win32 API-kald. Malware kan misbruge denne funktion, f.eks . kalde Win32-API'er for at starte skadelig shellcode uden at skrive noget direkte til disken. De fleste organisationer er ikke afhængige af muligheden for at kalde Win32-API'er i deres daglige funktion, selvom de bruger makroer på andre måder.

Intune navn:Win32 imports from Office macro code

Configuration Manager navn:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Avanceret jagthandlingstype:

• AsrOfficeMacroWin32ApiCallsAudited
• AsrOfficeMacroWin32ApiCallsBlocked

Afhængigheder: Microsoft Defender Antivirus, AMSI

Brug avanceret beskyttelse mod ransomware

Denne regel giver et ekstra lag af beskyttelse mod ransomware. Den bruger både klient- og cloud-heuristik til at afgøre, om en fil ligner ransomware. Denne regel blokerer ikke filer, der har et eller flere af følgende egenskaber:

• Det er allerede konstateret, at filen ikke erharmful i Microsoft-cloudmiljøet.
• Filen er en gyldig signeret fil.
• Filen er udbredt nok til ikke at blive betragtet som ransomware.

Reglen har tendens til at fejle på den side af forsigtighed for at forhindre ransomware.

Bemærk!

Du skal aktivere skybaseret beskyttelse for at bruge denne regel.

Intune navn:Advanced ransomware protection

Configuration Manager navn:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Avanceret jagthandlingstype:

• AsrRansomwareAudited
• AsrRansomwareBlocked

Afhængigheder: Microsoft Defender Antivirus, Cloud Protection

Se også

• Oversigt over installation af regler for reduktion af angrebsoverflade
• Planlæg installation af regler for reduktion af angrebsoverflade
• Test regler for reduktion af angrebsoverflade
• Aktivér regler for reduktion af angrebsoverflade
• Operationalize regler for reduktion af angrebsoverfladen
• Rapport over regler for reduktion af angrebsoverflade
• Reference til regler for reduktion af angrebsoverflade
• Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.