Reference til regler for reduktion af angrebsoverflade

Gælder for:

Platforme:

  • Windows

Denne artikel indeholder oplysninger om regler for reduktion af angreb:

Understøttede operativsystemer

I følgende tabel vises de understøttede operativsystemer til regler, der i øjeblikket er offentligt tilgængelige. Reglerne vises alfabetisk i denne tabel.

Bemærk

Medmindre andet er angivet, er det mindste Windows 10-build version 1709 (RS3, build 16299) eller nyere. Det mindste Windows Server-build er version 1809 eller nyere.

Regler for reduktion af angrebsoverfladen i Windows Server 2012 R2 og Windows Server 2016 er tilgængelige for enheder, der er onboardet ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny funktionalitet i den moderne samlede løsning til Windows Server 2012 R2 og 2016 Preview.

Regelnavn Windows 11
Og
Windows 10
Windows Server
2022
Og
Windows Server
2019
Windows Server Windows Server
2016 [1, 2]
Windows Server
2012 R2 [1, 2]
Bloker misbrug af udnyttede sårbare bilister Y Y Y
version 1803 (halvårlig Enterprise Channel) eller nyere
Y Y
Bloker Adobe Reader fra at oprette underordnede processer Y
version 1809 eller nyere [3]
Y Y Y Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Y Y Y Y Y
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) Y
version 1803 eller nyere [3]
Y Y Y Y
Bloker eksekverbart indhold fra mailklient og webmail Y Y Y Y Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til Y
version 1803 eller nyere [3]
Y Y Y Y
Bloker udførelse af potentielt slørede scripts Y Y Y Y Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Y Y Y N N
Bloker Office-programmer fra at oprette eksekverbart indhold Y Y Y Y Y
Bloker Office-programmer fra at indsætte kode i andre processer Y Y Y Y Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer Y Y Y Y Y
Bloker vedholdenhed via WMI-hændelsesabonnement (Windows Management Instrumentation)
*Fil- og mappeudeladelser understøttes ikke.
Y
version 1903 (build 18362) eller nyere [3]
Y Y
version 1903 (build 18362) eller nyere
N N
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI Y
version 1803 eller nyere [3]
Y Y Y Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Y Y Y Y Y
Bloker Win32 API-kald fra Office-makroer Y Y Y N N
Brug avanceret beskyttelse mod ransomware Y
version 1803 eller nyere [3]
Y Y Y Y

(1) Refererer til den moderne samlede løsning til Windows Server 2012 og 2016. Du kan finde flere oplysninger under Onboarder Windows-servere til Defender for Endpoint-tjenesten.

(2) For Windows Server 2016 og Windows Server 2012 R2 er den mindste påkrævede version af Microsoft Endpoint Configuration Manager version 2111.

(3) Version og buildnummer gælder kun for Windows 10.

Understøttede systemer til administration af konfiguration

Links til oplysninger om systemversioner til konfigurationsstyring, der refereres til i denne tabel, er angivet under denne tabel.

Regelnavn Intune Microsoft Endpoint Manager Microsoft Endpoint Configuration Manager Gruppepolitik[1] PowerShell[1]
Bloker misbrug af udnyttede sårbare bilister Y Y MEM OMA-URI Y Y
Bloker Adobe Reader fra at oprette underordnede processer Y Y Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Y Y

CB 1710
Y Y
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) Y Y

CB 1802
Y Y
Bloker eksekverbart indhold fra mailklient og webmail Y Y

CB 1710
Y Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til Y Y

CB 1802
Y Y
Bloker udførelse af potentielt slørede scripts Y Y

CB 1710
Y Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Y Y

CB 1710
Y Y
Bloker Office-programmer fra at oprette eksekverbart indhold Y Y

CB 1710
Y Y
Bloker Office-programmer fra at indsætte kode i andre processer Y Y

CB 1710
Y Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer Y Y

CB 1710
Y Y
Bloker vedholdenhed via WMI-hændelsesabonnement Y Y
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI Y Y Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Y Y

CB 1802
Y Y
Bloker Win32 API-kald fra Office-makroer Y Y

CB 1710
Y Y
Brug avanceret beskyttelse mod ransomware Y Y

CB 1802
Y Y

(1) Du kan konfigurere regler for reduktion af angrebsoverflader pr. regel ved hjælp af en hvilken som helst regels GUID.

Pr. regeladvarsel og meddelelsesoplysninger

Toastbeskeder genereres for alle regler i bloktilstand. Regler i en anden tilstand genererer ikke toastbeskeder

For regler med "Regeltilstand" angivet:

  • ASR-regler med <ASR Rule, Rule State> kombinationer bruges til at vise beskeder (toastbeskeder) på Microsoft Defender for Endpoint kun for enheder på blokniveau med høj sky. Enheder, der ikke har et højt skyblokeringsniveau, genererer ikke beskeder for nogen <ASR-regel, regeltilstand> kombinationer
  • EDR-beskeder genereres for ASR-regler i de angivne tilstande, men kun for enheder på højt skyblokeringsniveau.
Regelnavn: Regeltilstand: Genererer beskeder i EDR?
(Ja | Nej)
Genererer toastbeskeder?
(Ja | Nej)
Kun for enheder med blokniveau i høj sky Kun i bloktilstand
Bloker misbrug af udnyttede sårbare bilister N Y
Bloker Adobe Reader fra at oprette underordnede processer Bloker Y
Kræver enhed på blokniveau med høj sky
Y
Kræver enhed på blokniveau med høj sky
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer N Y
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) N Y
Bloker eksekverbart indhold fra mailklient og webmail Y
Kræver enhed på blokniveau med høj sky
Y
Kræver enhed på blokniveau med høj sky
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til N Y
Bloker udførelse af potentielt slørede scripts Overvågningsblok |  Y | Y
Kræver enhed på blokniveau med høj sky
N | Y
Kræver enhed på blokniveau med høj sky
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Bloker Y
Kræver enhed på blokniveau med høj sky
Y
Kræver enhed på blokniveau med høj sky
Bloker Office-programmer fra at oprette eksekverbart indhold N Y
Bloker Office-programmer fra at indsætte kode i andre processer N Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer N Y
Bloker vedholdenhed via WMI-hændelsesabonnement Overvågningsblok |  Y | Y
Kræver enhed på blokniveau med høj sky
N | Y
Kræver enhed på blokniveau med høj sky
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI N Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Overvågningsblok |  Y | Y
Kræver enhed på blokniveau med høj sky
N | Y
Kræver enhed på blokniveau med høj sky
Bloker Win32 API-kald fra Office-makroer N Y
Brug avanceret beskyttelse mod ransomware Overvågningsblok |  Y | Y
Kræver enhed på blokniveau med høj sky
N | Y
Kræver enhed på blokniveau med høj sky

ASR-regel til GUID-matrix

Regelnavn Regel-GUID
Bloker misbrug af udnyttede sårbare bilister 56a863a9-875e-4185-98a7-b882c64b5ce5
Bloker Adobe Reader fra at oprette underordnede processer 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloker eksekverbart indhold fra mailklient og webmail be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til 01443614-cd74-433a-b99e-2ecdc07bfc25
Bloker udførelse af potentielt slørede scripts 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold d3e037e1-3eb8-44c8-a917-57927947596d
Bloker Office-programmer fra at oprette eksekverbart indhold 3b576869-a4ec-4529-8536-b80a7769e899
Bloker Office-programmer fra at indsætte kode i andre processer 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloker vedholdenhed via WMI-hændelsesabonnement
* Fil- og mappeudeladelser understøttes ikke.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloker Win32 API-kald fra Office-makroer 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Brug avanceret beskyttelse mod ransomware c1db55ab-c21a-4637-bb3f-a12568109d35

ASR-regeltilstande

  • Ikke konfigureret eller deaktiveret: Den tilstand, hvor ASR-reglen ikke er blevet aktiveret eller er blevet deaktiveret. Koden for denne tilstand = 0.
  • Blok: Den tilstand, som ASR-reglen er aktiveret i. Koden for denne tilstand er 1.
  • Overvågning: Den tilstand, som ASR-reglen evalueres i for den effekt, den ville have på organisationen eller miljøet, hvis den er aktiveret (indstillet til at blokere eller advare). Koden for denne tilstand er 2.
  • Advare Den tilstand, hvor ASR-reglen er aktiveret og præsenterer en meddelelse til slutbrugeren, men tillader slutbrugeren at omgå blokken. Koden for denne tilstand er 6.

Advarselstilstand er en type blokeringstilstand, der giver brugerne besked om potentielt risikable handlinger. Brugerne kan vælge at tilsidesætte advarselsmeddelelsen om blokering og tillade den underliggende handling. Brugerne kan vælge OK for at gennemtvinge blokken eller vælge bypassindstillingen – Fjern blokering – via den toastbesked om slutbrugerens pop op-meddelelse, der genereres på tidspunktet for blokken. Når blokeringen af advarslen er fjernet, tillades handlingen, indtil næste gang advarselsmeddelelsen vises, hvorefter slutbrugeren skal udføre handlingen igen.

Når der klikkes på knappen Tillad, undertrykkes blokken i 24 timer. Efter 24 timer skal slutbrugeren tillade blokken igen. Advarselstilstanden for ASR-regler understøttes kun for RS5+-enheder (1809+). Hvis bypass er tildelt ASR-regler på enheder med ældre versioner, vil reglen være i blokeret tilstand.

Du kan også angive en regel i advarselstilstand via PowerShell ved at angive AttackSurfaceReductionRules_Actions som "Advar". Eksempel:

-command "& {&'Add-MpPreference' -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn"} 

Pr. regelbeskrivelser

Bloker misbrug af udnyttede sårbare bilister

Denne regel forhindrer et program i at skrive en sårbar signeret driver til disken. Sårbare signerede drivere i naturen kan udnyttes af lokale programmer - , der har tilstrækkelige rettigheder - til at få adgang til kernen. Sårbare signerede drivere gør det muligt for angribere at deaktivere eller omgå sikkerhedsløsninger, hvilket i sidste ende fører til, at systemet kompromitteres.

Reglen Bloker misbrug af udnyttede sårbare signerede drivere blokerer ikke, at en driver, der allerede findes på systemet, indlæses.

Bemærk

Du kan konfigurere denne regel ved hjælp af MEM OMA-URI. Se MEM OMA-URI for at konfigurere brugerdefinerede regler.

Du kan også konfigurere denne regel ved hjælp af PowerShell.

Hvis du vil have undersøgt en faktor, skal du bruge dette websted til at sende en driver til analyse.

Intune navn:Block abuse of exploited vulnerable signed drivers

Configuration Manager navn: Endnu ikke tilgængeligt

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Avanceret jagthandlingstype:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Bloker Adobe Reader fra at oprette underordnede processer

Denne regel forhindrer angreb ved at blokere Adobe Reader i at oprette processer.

Malware kan downloade og starte nyttedata og bryde ud af Adobe Reader via social engineering eller udnyttelser. Ved at blokere underordnede processer fra at blive genereret af Adobe Reader forhindres malware, der forsøger at bruge Adobe Reader som angrebsvektor, i at sprede sig.

Intune navn:Process creation from Adobe Reader (beta)

Configuration Manager navn: Endnu ikke tilgængeligt

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Avanceret jagthandlingstype:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker alle Office-programmer, så de ikke kan oprette underordnede processer

Denne regel blokerer Office-apps fra at oprette underordnede processer. Office-apps omfatter Word, Excel, PowerPoint, OneNote og Access.

Oprettelse af skadelige underordnede processer er en almindelig malwarestrategi. Malware, der misbruger Office som en vektor, kører ofte VBA-makroer og udnytter kode til at downloade og forsøge at køre flere nyttedata. Nogle legitime line of business-programmer kan dog også generere underordnede processer til godartede formål; f.eks. gydning af en kommandoprompt eller brug af PowerShell til at konfigurere indstillinger i registreringsdatabasen.

Intune navn:Office apps launching child processes

Configuration Manager navn:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Avanceret jagthandlingstype:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed

Denne regel hjælper med at forhindre tyveri af legitimationsoplysninger ved at låse LSASS (Local Security Authority Subsystem Service) nede.

LSASS godkender brugere, der logger på en Windows-computer. Microsoft Defender Credential Guard i Windows forhindrer normalt forsøg på at udtrække legitimationsoplysninger fra LSASS. Nogle organisationer kan ikke aktivere Credential Guard på alle deres computere på grund af kompatibilitetsproblemer med brugerdefinerede chipkortdrivere eller andre programmer, der indlæses i LSA (Local Security Authority). I disse tilfælde kan hackere bruge værktøjer som Mimikatz til at skrabe cleartext-adgangskoder og NTLM-hashen fra LSASS.

Bemærk

I nogle apps optæller koden alle kørende processer og forsøger at åbne dem med udtømmende tilladelser. Denne regel afviser appens handling for procesåbning og logfører oplysningerne i loggen over sikkerhedshændelser. Denne regel kan generere en masse støj. Hvis du har en app, der blot optæller LSASS, men ikke har nogen reel indvirkning på funktionaliteten, er det ikke nødvendigt at føje den til listen over undtagelser. I sig selv angiver denne post i hændelsesloggen ikke nødvendigvis en ondsindet trussel.

Vigtigt

Standardtilstanden for ASR-reglen (Attack Surface Reduction) "Block credential stealing from the Local security authority subsystem (lsass.exe)" ændres fra Ikke konfigureret til Konfigureret , og standardtilstanden er angivet til Bloker. Alle andre ASR-regler forbliver i standardtilstanden: Ikke konfigureret. Der er allerede indbygget yderligere filtreringslogik i reglen for at reducere slutbrugermeddelelser. Kunder kan konfigurere reglen til tilstanden Overvågning, Advar eller Deaktiveret , hvilket tilsidesætter standardtilstanden. Funktionaliteten af denne regel er den samme, uanset om reglen er konfigureret i standardtilstanden, eller hvis du aktiverer Bloker-tilstand manuelt.

Intune navn:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager navn:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Avanceret jagthandlingstype:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker eksekverbart indhold fra mailklient og webmail

Denne regel blokerer følgende filtyper fra at starte fra mail, der er åbnet i Microsoft Outlook-programmet, eller Outlook.com og andre populære webmailudbydere:

  • Eksekverbare filer (f.eks. .exe, .dll eller .scr)
  • Scriptfiler (f.eks. en PowerShell-.ps1, Visual Basic .vbs- eller JavaScript-.js-fil)

Intune navn:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Navn på Microsoft Endpoint Manager:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Avanceret jagthandlingstype:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Afhængigheder: Microsoft Defender Antivirus

Bemærk

Reglen Bloker eksekverbart indhold fra mailklienten og webmailen har følgende alternative beskrivelser, afhængigt af hvilket program du bruger:

  • Intune (konfigurationsprofiler): Udførelse af eksekverbart indhold (exe, dll, ps, js, vbs osv.) blev droppet fra mail (webmail/mail-klient) (ingen undtagelser).
  • Endpoint Manager: Bloker download af eksekverbart indhold fra mail- og webmailklienter.
  • Gruppepolitik: Bloker eksekverbart indhold fra mailklient og webmail.

Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til

Denne regel blokerer eksekverbare filer, f.eks. .exe, .dll eller .scr, fra start. Det kan derfor være risikabelt at starte upålidelige eller ukendte eksekverbare filer, da det muligvis ikke indledningsvist er tydeligt, om filerne er skadelige.

Vigtigt

Du skal aktivere skybaseret beskyttelse for at bruge denne regel.

Reglen Bloker kørsel af eksekverbare filer, medmindre de opfylder et prævalens-, alders- eller listekriterium med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 , der er tillid til, ejes af Microsoft og er ikke angivet af administratorer. Denne regel bruger skybaseret beskyttelse til at opdatere listen, der er tillid til, regelmæssigt.

Du kan angive individuelle filer eller mapper (ved hjælp af mappestier eller fuldt kvalificerede ressourcenavne), men du kan ikke angive, hvilke regler eller undtagelser der gælder for.

Intune navn:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager navn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Avanceret jagthandlingstype:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Afhængigheder: Microsoft Defender Antivirus, Cloud Protection

Bloker udførelse af potentielt slørede scripts

Denne regel registrerer mistænkelige egenskaber i et sløret script.

Vigtigt

PowerShell-scripts er midlertidigt udelukket fra reglen "Bloker udførelse af potentielt slørede scripts" på grund af de store problemer med den fælles FP, der tidligere er opstået.

Script tilsløring er en almindelig teknik, som både malware forfattere og legitime applikationer bruger til at skjule intellektuel ejendom eller reducere script indlæsningstider. Malware forfattere bruger også tilsløring til at gøre ondsindet kode sværere at læse, som hæmmer tæt kontrol af mennesker og sikkerhedssoftware.

Vigtigt

På grund af det høje antal falske positiver registrerer denne regel i øjeblikket ikke PowerShell-scripts. dette er en midlertidig løsning. Reglen opdateres og begynder snart at omlægge PowerShell-scripts.

Intune navn:Obfuscated js/vbs/ps/macro code

Configuration Manager navn:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Avanceret jagthandlingstype:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Afhængigheder: Microsoft Defender Antivirus, AMSI (AntiMalware Scan Interface)

Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold

Denne regel forhindrer scripts i at starte potentielt skadeligt downloadet indhold. Malware, der er skrevet i JavaScript eller VBScript, fungerer ofte som en downloader for at hente og starte anden malware fra internettet.

Selvom det ikke er almindeligt, bruger line of business-programmer nogle gange scripts til at downloade og starte installationsprogrammer.

Intune navn:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager navn:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Avanceret jagthandlingstype:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Afhængigheder: Microsoft Defender Antivirus, AMSI

Bloker Office-programmer fra at oprette eksekverbart indhold

Denne regel forhindrer Office-apps, herunder Word, Excel og PowerPoint, i at oprette potentielt skadeligt eksekverbart indhold ved at blokere for, at skadelig kode skrives til disken.

Malware, der misbruger Office som en vektor, kan forsøge at bryde ud af Office og gemme skadelige komponenter på disken. Disse skadelige komponenter vil overleve en genstart af computeren og forblive på systemet. Derfor forsvarer denne regel sig mod en fælles vedholdenhedsteknik.

Intune navn:Office apps/macros creating executable content

SCCM-navn: Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Avanceret jagthandlingstype:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Afhængigheder: Microsoft Defender Antivirus, RPC

Bloker Office-programmer fra at indsætte kode i andre processer

Denne regel blokerer kodeinjektionsforsøg fra Office-apps i andre processer.

Angribere kan forsøge at bruge Office-apps til at overføre skadelig kode til andre processer via kodeinjektion, så koden kan maskerade som en ren proces.

Der er ingen kendte legitime forretningsmæssige formål med at bruge kodeinjektion.

Denne regel gælder for Word, Excel og PowerPoint.

Intune navn:Office apps injecting code into other processes (no exceptions)

Configuration Manager navn:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Avanceret jagthandlingstype:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer

Denne regel forhindrer Outlook i at oprette underordnede processer, samtidig med at legitime Outlook-funktioner tillades.

Denne regel beskytter mod social engineering-angreb og forhindrer, at kode misbruges i Outlook. Den beskytter også mod outlook-regler og formularudnyttelser , som hackere kan bruge, når en brugers legitimationsoplysninger kompromitteres.

Bemærk

Denne regel blokerer tip til DLP-politik og værktøjstip i Outlook. Denne regel gælder kun for Outlook og Outlook.com.

Intune navn:Process creation from Office communication products (beta)

Configuration Manager navn: Ikke tilgængeligt

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Avanceret jagthandlingstype:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker vedholdenhed via WMI-hændelsesabonnement

Denne regel forhindrer malware i at misbruge WMI for at opnå vedholdenhed på en enhed.

Vigtigt

Fil- og mappeudeladelser gælder ikke for denne regel for reduktion af angrebsoverfladen.

Filløse trusler anvender forskellige taktikker for at forblive skjult, for at undgå at blive set i filsystemet og for at få periodisk kontrol over udførelsen. Nogle trusler kan misbruge WMI-lageret og hændelsesmodellen for at forblive skjult.

Intune navn: Ikke tilgængeligt

Configuration Manager navn: Ikke tilgængeligt

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Avanceret jagthandlingstype:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Afhængigheder: Microsoft Defender Antivirus, RPC

Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI

Denne regel blokerer processer, der er oprettet via PsExec og WMI , fra at køre. Både PsExec og WMI kan udføre kode eksternt. Der er risiko for, at malware misbruger funktionaliteten i PsExec og WMI til kommando- og kontrolformål eller for at sprede en infektion gennem en organisations netværk.

Advarsel!

Brug kun denne regel, hvis du administrerer dine enheder med Intune eller en anden MDM-løsning. Denne regel er ikke kompatibel med administration via Microsoft Endpoint Configuration Manager fordi denne regel blokerer WMI-kommandoer, som Configuration Manager klient bruger til at fungere korrekt.

Intune navn:Process creation from PSExec and WMI commands

Configuration Manager navn: Ikke relevant

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Avanceret jagthandlingstype:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB

Med denne regel kan administratorer forhindre usignerede eller upålidelige eksekverbare filer i at køre fra flytbare USB-drev, herunder SD-kort. Blokerede filtyper omfatter eksekverbare filer (f.eks. .exe, .dll eller .scr)

Vigtigt

Filer, der kopieres fra USB til diskdrevet, blokeres af denne regel, hvis og når den er ved at blive udført på diskdrevet.

Intune navn:Untrusted and unsigned processes that run from USB

Configuration Manager navn:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Avanceret jagthandlingstype:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Afhængigheder: Microsoft Defender Antivirus

Bloker Win32 API-kald fra Office-makroer

Denne regel forhindrer VBA-makroer i at kalde Win32-API'er.

Office VBA aktiverer Win32 API-kald. Malware kan misbruge denne funktion, f.eks . kalde Win32-API'er for at starte skadelig shellcode uden at skrive noget direkte til disken. De fleste organisationer er ikke afhængige af muligheden for at kalde Win32-API'er i deres daglige funktion, selvom de bruger makroer på andre måder.

Understøttede operativsystemer:

Intune navn:Win32 imports from Office macro code

Configuration Manager navn:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Avanceret jagthandlingstype:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Afhængigheder: Microsoft Defender Antivirus, AMSI

Brug avanceret beskyttelse mod ransomware

Denne regel giver et ekstra lag af beskyttelse mod ransomware. Den bruger både klient- og cloud-heuristik til at afgøre, om en fil ligner ransomware. Denne regel blokerer ikke filer, der har et eller flere af følgende egenskaber:

  • Det er allerede konstateret, at filen ikke erharmful i Microsoft-cloudmiljøet.
  • Filen er en gyldig signeret fil.
  • Filen er udbredt nok til ikke at blive betragtet som ransomware.

Reglen har tendens til at fejle på den side af forsigtighed for at forhindre ransomware.

Bemærk

Du skal aktivere skybaseret beskyttelse for at bruge denne regel.

Intune navn:Advanced ransomware protection

Configuration Manager navn:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Avanceret jagthandlingstype:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Afhængigheder: Microsoft Defender Antivirus, Cloud Protection