Konfigurieren von Regeln und Ausschlüssen für die Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)

Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) zielen auf riskantes Softwareverhalten auf Windows-Geräten ab, das Angreifer häufig durch Schadsoftware ausnutzen (z. B. Das Starten von Skripts, die Dateien herunterladen, das Ausführen von verschleierten Skripts und das Einfügen von Code in andere Prozesse). In diesem Artikel wird beschrieben, wie Sie ASR-Regeln aktivieren und konfigurieren.

Um optimale Ergebnisse zu erzielen, verwenden Sie Verwaltungslösungen auf Unternehmensebene wie Microsoft Intune oder Microsoft Configuration Manager, um ASR-Regeln zu verwalten. ASR-Regeleinstellungen aus Intune oder Konfigurations-Manager überschreiben alle in Konflikt stehenden Einstellungen aus der Gruppenrichtlinie oder PowerShell beim Start.

Voraussetzungen

Weitere Informationen finden Sie unter Anforderungen für ASR-Regeln.

Konfigurieren von ASR-Regeln in Microsoft Intune

Microsoft Intune ist das empfohlene Tool zum Konfigurieren und Verteilen von ASR-Regelrichtlinien an Geräte. Erfordert Microsoft Intune Plan 1 (in Abonnements wie Microsoft 365 E3 enthalten oder als eigenständiges Add-On verfügbar).

In Intune sind Endpunktsicherheitsrichtlinien die empfohlene Methode zum Bereitstellen von ASR-Regeln, obwohl auch andere Methoden in Intune verfügbar sind, wie in den folgenden Unterabschnitten beschrieben.

Konfigurieren von ASR-Regeln und -Ausschlüssen in Intune mithilfe von Endpunktsicherheitsrichtlinien

Informationen zum Konfigurieren von ASR-Regeln mithilfe einer Microsoft Intune Richtlinie zur Verringerung der Angriffsfläche von Endpunktsicherheit finden Sie unter Erstellen einer Endpunktsicherheitsrichtlinie (wird in der Intune Dokumentation auf einer neuen Registerkarte geöffnet). Verwenden Sie beim Erstellen der Richtlinie die folgenden Einstellungen:

Wichtig

Microsoft Defender for Endpoint-Verwaltung unterstützt nur Geräteobjekte. Die Zielgruppenadressierung von Benutzern wird nicht unterstützt. Weisen Sie die Richtlinie Microsoft Entra Gerätegruppen zu, nicht zu Benutzergruppen.

• Richtlinientyp: Verringerung der Angriffsfläche
• Plattform: Windows
• Profil: Regeln zur Verringerung der Angriffsfläche
• Konfigurationseinstellungen:

  • Verringerung der Angriffsfläche: In der Regel können Sie die Standardschutzregeln im Block- oder Warnmodus ohne Tests aktivieren. Sie sollten andere ASR-Regeln im Überwachungsmodus testen, bevor Sie sie in den Block- oder Warnmodus wechseln. Weitere Informationen finden Sie im Bereitstellungshandbuch für ASR-Regeln.

    Nachdem Sie den Regelmodus auf Überwachen, Blockieren oder Warnen festgelegt haben, wird ein Abschnitt nur pro Regelausschlüsse angezeigt, in dem Sie Ausschlüsse angeben können, die nur für diese Regel gelten.

  • Nur Ausschlüsse zur Verringerung der Angriffsfläche: Verwenden Sie diesen Abschnitt, um Ausschlüsse anzugeben, die für alle ASR-Regeln gelten.

    Verwenden Sie eine der folgenden Methoden, um Ausschlüsse pro ASR-Regel oder globale ASR-Regelausschlüsse anzugeben:

    • Klicken Sie auf Hinzufügen. Geben Sie in das angezeigte Feld den Pfad oder Pfad und dateinamen ein, der ausgeschlossen werden soll. Zum Beispiel:

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • Wählen Sie Importieren aus, um eine CSV-Datei zu importieren, die die Namen der auszuschließenden Dateien und Ordner enthält. Die CSV-Datei verwendet das folgende Format:

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      Tipp

      Doppelte Anführungszeichen um die Werte sind optional und werden ignoriert (werden in den Werten nicht verwendet), wenn Sie sie einschließen. Verwenden Sie keine einfachen Anführungszeichen um die Werte.

    Weitere Informationen zu Ausschlüssen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

  • Aktivieren des kontrollierten Ordnerzugriffs, geschützte Ordner mit kontrolliertem Ordnerzugriff und zulässige Anwendungen für den kontrollierten Ordnerzugriff: Weitere Informationen finden Sie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff.

Konfigurieren von ASR-Regeln in Intune mithilfe benutzerdefinierter Profile mit OMA-URIs und CSPs

Obwohl Endpunktsicherheitsrichtlinien empfohlen werden, können Sie ASR-Regeln auch in Intune mithilfe benutzerdefinierter Profile konfigurieren, die OMA-URI-Profile (Open Mobile Alliance – Uniform Resource) enthalten, indem Sie einen Windows Policy Configuration Service Provider (CSP) verwenden.

Allgemeine Informationen zu OMA-URIs in Intune finden Sie unter Deploy OMA-URIs to target a CSP through Intune (Bereitstellen von OMA-URIs für einen CSP über Intune) und einen Vergleich mit der lokalen Umgebung.For general information about OMA-URIs in Intune, see deploy OMA-URIs to target a CSP through Intune, and a comparison to on-premises.

1. Wählen Sie im Microsoft Intune Admin Center unter https://intune.microsoft.comGeräte>Geräte verwalten Konfiguration> aus. Oder, um direkt zu den Geräten zu wechseln | Verwenden Sie https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configurationauf der Konfigurationsseite .

2. Auf der Registerkarte Richtlinien der Geräte | Wählen Sie auf der Seite Konfigurationdie Option Neue Richtlinieerstellen> aus.

   

3. Konfigurieren Sie im flyout Profil erstellen , das geöffnet wird, die folgenden Einstellungen:

   • Plattform: Wählen Sie Windows 10 und höher aus.
   • Profiltyp: Wählen Sie Vorlagen aus.
     • Wählen Sie im daraufhin angezeigten Abschnitt Vorlagennamedie Option Benutzerdefiniert aus.

   Wählen Sie Erstellen aus.

   

4. Der Assistent für benutzerdefinierte Vorlagen wird geöffnet. Konfigurieren Sie auf der Registerkarte Grundlagen die folgenden Einstellungen:

   • Name: Geben Sie einen eindeutigen Namen für die Vorlage ein.
   • Beschreibung: Geben Sie eine optionale Beschreibung ein.

   Wenn Sie auf der Registerkarte Grundlagen fertig sind, wählen Sie Weiter aus.

5. Wählen Sie auf der Registerkarte Konfigurationseinstellungendie Option Hinzufügen aus.

   

   Konfigurieren Sie im daraufhin geöffneten Flyout Zeile hinzufügen die folgenden Einstellungen:

   • Name: Geben Sie einen eindeutigen Namen für die Regel ein.

   • Beschreibung: Geben Sie eine optionale, kurze Beschreibung ein.

   • OMA-URI: Geben Sie den Device-Wert aus dem AttackSurfaceReductionRules-CSP ein: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • Datentyp: Wählen Sie Zeichenfolge aus.

     • Wert: Verwenden Sie die folgende Syntax:

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • GUID-Werte für ASR-Regeln sind unter ASR-Regeln verfügbar.
       • Die folgenden Regelmodi sind verfügbar:
         • 0:Aus
         • 1:Block
         • 2:Audit
         • 5: Nicht konfiguriert
         • 6:Warnen

       Zum Beispiel:

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     Wenn Sie mit dem Flyout Zeile hinzufügen fertig sind, wählen Sie Speichern aus.

     Tipp

     An diesem Punkt können Sie dem benutzerdefinierten Profil auch globale ASR-Regelausschlüsse hinzufügen, anstatt ein separates Profil nur für Ausschlüsse zu erstellen. Anweisungen finden Sie im nächsten Unterabschnitt Konfigurieren von globalen ASR-Regelausschlüssen in Intune mithilfe benutzerdefinierter Profile mit OMA-URIs und CSPs.

   Klicken Sie auf der Registerkarte Konfigurationseinstellungen auf Weiter.

6. Konfigurieren Sie auf der Registerkarte Zuweisungen die folgenden Einstellungen:

   • Abschnitt "Eingeschlossene Gruppen": Wählen Sie eine der folgenden Optionen aus:
     • Gruppen hinzufügen: Wählen Sie eine oder mehrere Gruppen aus, die eingeschlossen werden sollen.
     • Alle Benutzer hinzufügen
     • Alle Geräte hinzufügen
   • Abschnitt "Ausgeschlossene Gruppen": Wählen Sie Gruppen hinzufügen aus, um alle auszuschließenden Gruppen anzugeben.

   Wenn Sie auf der Registerkarte Zuweisungen fertig sind, wählen Sie Weiter aus.

   

7. Wählen Sie auf der Registerkarte Anwendbarkeitsregelndie Option Weiter aus.

   Sie können die Eigenschaften Betriebssystemedition und Betriebssystemversion verwenden, um die Gerätetypen zu definieren, die das Profil erhalten sollen oder nicht.

   

8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen. Sie können Zurück verwenden oder eine Registerkarte auswählen, um zurückzugehen und Änderungen vorzunehmen.

   Wenn Sie zum Erstellen des Profils bereit sind, wählen Sie auf der Registerkarte Überprüfen + erstellen die Option Erstellen aus.

   

Sie kehren sofort zur Registerkarte Richtlinien der Geräte | Konfigurationsseite . Möglicherweise müssen Sie Aktualisieren auswählen, um die Richtlinie anzuzeigen.

ASR-Regeln sind innerhalb weniger Minuten aktiv.

Konfigurieren von globalen ASR-Regelausschlüssen in Intune mithilfe von benutzerdefinierten Profilen mit OMA-URIs und CSPs

Die Schritte zum Konfigurieren von globalen ASR-Regelausschlüssen in Intune mithilfe eines benutzerdefinierten Profils ähneln den AsR-Regelschritten im vorherigen Abschnitt sehr. Der einzige Unterschied besteht in Schritt 5 (Registerkarte Konfigurationseinstellungen ), in dem Sie die Informationen für ASR-Regelausnahmen eingeben:

Wählen Sie auf der Registerkarte Konfigurationseinstellungendie Option Hinzufügen aus. Konfigurieren Sie im daraufhin geöffneten Flyout Zeile hinzufügen die folgenden Einstellungen:

• Name: Geben Sie einen eindeutigen Namen für die Regel ein.
  • Beschreibung: Geben Sie eine optionale, kurze Beschreibung ein.
  • OMA-URI: Geben Sie den Device-Wert aus dem AttackSurfaceReductionOnlyExclusions-CSP ein: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • Datentyp: Wählen Sie Zeichenfolge aus.

    • Wert: Verwenden Sie die folgende Syntax:

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      Zum Beispiel:

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

Wenn Sie mit dem Flyout Zeile hinzufügen fertig sind, wählen Sie Speichern aus.

Klicken Sie auf der Registerkarte Konfigurationseinstellungen auf Weiter.

Die restlichen Schritte sind identisch mit dem Konfigurieren von ASR-Regeln.

Konfigurieren von ASR-Regeln in einer beliebigen MDM-Lösung mithilfe des Richtlinien-CSP

Der Richtlinienkonfigurationsdienstanbieter (Policy Configuration Service Provider, CSP) ermöglicht Es Unternehmensorganisationen, Richtlinien auf Windows-Geräten mithilfe einer beliebigen MDM-Lösung (Mobile Device Management) zu konfigurieren, nicht nur Microsoft Intune. Weitere Informationen finden Sie unter Richtlinien-CSP.

Sie können ASR-Regeln mithilfe des AttackSurfaceReductionRules-CSP mit den folgenden Einstellungen konfigurieren:

OMA-URI-Pfad: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Wert: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• GUID-Werte für ASR-Regeln sind unter ASR-Regeln verfügbar.
• Die folgenden Regelmodi sind verfügbar:
  • 0:Aus
  • 1:Block
  • 2:Audit
  • 5: Nicht konfiguriert
  • 6:Warnen

Beispiel:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Hinweis

Achten Sie darauf, OMA-URI-Werte ohne Leerzeichen einzugeben.

Konfigurieren von globalen ASR-Regelausschlüssen in einer beliebigen MDM-Lösung mithilfe des Richtlinien-CSP

Sie können den Richtlinien-CSP verwenden, um globalen ASR-Regelpfad sowie Pfad- und Dateinamenausschlüsse zu konfigurieren, indem Sie den AttackSurfaceReductionOnlyExclusions-CSP mit den folgenden Einstellungen verwenden:

OMA-URI-Pfad: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Wert: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Beispiel: C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Konfigurieren von ASR-Regeln und globalen ASR-Regelausschlüssen in Microsoft Configuration Manager

Anweisungen finden Sie in den Informationen zur Verringerung der Angriffsfläche unter Erstellen und Bereitstellen einer Exploit Guard-Richtlinie.

Warnung

Es gibt ein bekanntes Problem mit der Anwendbarkeit der Verringerung der Angriffsfläche auf Serverbetriebssystemversionen, die ohne tatsächliche Erzwingung als konform gekennzeichnet ist. Derzeit gibt es kein definiertes Veröffentlichungsdatum dafür, wann dies behoben wird.

Wichtig

Wenn Sie "Administratorzusammenführung deaktivieren" true auf Geräten verwenden und eine der folgenden Tools/Methoden verwenden, gilt das Hinzufügen von ASR-Regeln pro Regelausschlüssen oder lokalen ASR-Regelausschlüssen nicht:

• Defender für Endpunkt-Sicherheitseinstellungenverwaltung (Lokales Admin Zusammenführen deaktivieren) Registerkarte "Windows-Richtlinien" auf der Seite "Endpunktsicherheitsrichtlinien" im Microsoft Defender-Portal unterhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (Local Admin Merge deaktivieren)
• Defender CSP (DisableLocalAdminMerge)
• Gruppenrichtlinie (Konfigurieren des Zusammenführungsverhaltens eines lokalen Administrators für Listen)

Um dieses Verhalten zu ändern, müssen Sie "Administratorzusammenführung deaktivieren" in falseändern.

Konfigurieren von ASR-Regeln und -Ausschlüssen in Gruppenrichtlinien

Warnung

Wenn Sie Ihre Computer und Geräte mit Intune, Microsoft Configuration Manager oder anderer Verwaltungssoftware auf Unternehmensebene verwalten, überschreibt die Verwaltungssoftware alle in Konflikt stehenden Gruppenrichtlinieneinstellungen beim Start.

1. Öffnen Sie in Zentralisierter Gruppenrichtlinie die Gruppenrichtlinie Management Console (GPMC) auf Ihrem Gruppenrichtlinie Verwaltungscomputer.

2. Erweitern Sie in der GPMC-Konsolenstruktur Gruppenrichtlinie Objekte in der Gesamtstruktur und Domäne, die das Gruppenrichtlinienobjekt enthält, das Sie bearbeiten möchten.

3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus.

4. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard > Attack Surface Reduction.

5. Im Detailbereich der Verringerung der Angriffsfläche sind die folgenden Einstellungen verfügbar:

   • Konfigurieren von Regeln zur Verringerung der Angriffsfläche
   • Ausschließen von Dateien und Pfaden von Regeln zur Verringerung der Angriffsfläche
   • Anwenden einer Liste von Ausschlüssen auf bestimmte Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)

   Verwenden Sie eine der folgenden Methoden, um eine ASR-Regeleinstellung zu öffnen und zu konfigurieren:

   • Doppelklicken Sie auf die Einstellung.
   • Klicken Sie mit der rechten Maustaste auf die Einstellung, und wählen Sie dann Bearbeiten aus.
   • Wählen Sie die Einstellung und dann Aktion>Bearbeiten aus.

Tipp

Sie können Gruppenrichtlinie auch lokal auf einzelnen Geräten konfigurieren, indem Sie den Editor für lokale Gruppenrichtlinie (gpedit.msc) verwenden. Navigieren Sie zum gleichen Pfad: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.

Die verfügbaren Einstellungen werden in den folgenden Unterabschnitten beschrieben.

Wichtig

Anführungszeichen, führende Leerzeichen, nachfolgende Leerzeichen und zusätzliche Zeichen werden in keinem der regelbezogenen ASR-Werte in der Gruppenrichtlinie unterstützt.

Gruppenrichtlinie Pfade vor Windows 10 Version 2004 (Mai 2020) verwenden möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus. Beide Namen verweisen auf denselben Richtlinienspeicherort.

Konfigurieren von ASR-Regeln in Gruppenrichtlinien

1. Öffnen Sie im Detailbereich der Verringerung der Angriffsfläche die Einstellung Regeln zur Verringerung der Angriffsfläche konfigurieren .

2. Konfigurieren Sie im daraufhin geöffneten Einstellungsfenster die folgenden Optionen:

   1. Wählen Sie Aktiviert aus.
   2. Festlegen des Status für jede ASR-Regel: Wählen Sie Anzeigen... aus.

3. Konfigurieren Sie im daraufhin geöffneten Dialogfeld Status für jede ASR-Regel festlegen die folgenden Einstellungen:

   • Wertname: Geben Sie den GUID-Wert der ASR-Regel ein.
   • Wert: Geben Sie einen der folgenden Regelmoduswerte ein:
     • 0:Aus
     • 1:Block
     • 2:Audit
     • 5: Nicht konfiguriert
     • 6:Warnen

   

   Weitere Informationen finden Sie unter ASR-Regelmodi.

   Wiederholen Sie diesen Schritt so oft wie nötig. Wenn Sie fertig sind, wählen Sie OK aus.

Konfigurieren von globalen ASR-Regelausschlüssen in Gruppenrichtlinien

Die Pfade oder Dateinamen mit den von Ihnen angegebenen Pfaden werden als Ausschlüsse für alle ASR-Regeln verwendet.

1. Öffnen Sie im Detailbereich der Verringerung der Angriffsfläche die Einstellung Dateien und Pfade von Der Verringerung der Angriffsfläche ausschließen .

2. Konfigurieren Sie im daraufhin geöffneten Einstellungsfenster die folgenden Optionen:

   1. Wählen Sie Aktiviert aus.
   2. Ausschlüsse aus ASR-Regeln: Wählen Sie Anzeigen... aus.

3. Konfigurieren Sie im daraufhin geöffneten Dialogfeld Ausschlüsse aus ASR-Regeln die folgenden Einstellungen:

   • Wertname: Geben Sie den Pfad oder Pfad und dateinamen ein, der von allen ASR-Regeln ausgeschlossen werden soll.
   • Wert: Geben Sie ein 0.

   Die folgenden Typen von Wertnamen werden unterstützt:

   • Um alle Dateien in einem Ordner auszuschließen, geben Sie den vollständigen Ordnerpfad ein. Beispiel: C:\Data\Test.
   • Um eine bestimmte Datei in einem bestimmten Ordner auszuschließen (empfohlen), geben Sie den Pfad und dateinamen ein. Beispiel: C:\Data\Test\test.exe.

   Wiederholen Sie diesen Schritt so oft wie nötig. Wenn Sie fertig sind, wählen Sie OK aus.

Konfigurieren von Ausschlüssen pro ASR-Regel in Gruppenrichtlinien

Die Pfade oder Dateinamen mit den von Ihnen angegebenen Pfaden werden als Ausschlüsse für bestimmte ASR-Regeln verwendet.

Hinweis

Wenn die Einstellung Apply a list of exclusions to specific Attack Surface Reduction (ASR)-Regeln nicht in Ihrer GPMC verfügbar ist, benötigen Sie Version 24H2 oder höher der administrativen Vorlagendateien in Ihrem zentralen Speicher.

1. Öffnen Sie im Detailbereich der Verringerung der Angriffsfläche die Einstellung Apply a list of exclusions to specific attack surface reduction (ASR)-Regeln .

2. Konfigurieren Sie im daraufhin geöffneten Einstellungsfenster die folgenden Optionen:

   1. Wählen Sie Aktiviert aus.
   2. Ausschlüsse für jede ASR-Regel: Wählen Sie Anzeigen... aus.

3. Konfigurieren Sie im daraufhin geöffneten Dialogfeld Ausschlüsse für jede ASR-Regel die folgenden Einstellungen:

   • Wertname: Geben Sie den GUID-Wert der ASR-Regel ein.
   • Wert: Geben Sie einen oder mehrere Ausschlüsse für die ASR-Regel ein. Verwenden Sie die Syntax Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Beispiel: C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

   Wiederholen Sie diesen Schritt so oft wie nötig. Wenn Sie fertig sind, wählen Sie OK aus.

Konfigurieren von ASR-Regeln in PowerShell

Warnung

Wenn Sie Ihre Computer und Geräte mit Intune, Konfigurations-Manager oder einer anderen Verwaltungsplattform auf Unternehmensebene verwalten, überschreibt die Verwaltungssoftware alle in Konflikt stehenden PowerShell-Einstellungen beim Start.

Verwenden Sie auf dem Zielgerät die folgende PowerShell-Befehlssyntax in einer PowerShell-Sitzung mit erhöhten Rechten (ein PowerShell-Fenster, das Sie durch Auswahl von Als Administrator ausführen geöffnet haben):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Set-MpPreferenceüberschreibt alle vorhandenen Regeln und die zugehörigen Modi mit den von Ihnen angegebenen Werten. Führen Sie den folgenden Befehl aus, um die Liste der vorhandenen Werte anzuzeigen:

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  Verwenden Sie das Cmdlet Add-MpPreference , um neue Regeln und die zugehörigen Modi hinzuzufügen, ohne dass sich dies auf vorhandene Werte auswirkt. Verwenden Sie das Cmdlet Remove-MpPreference , um die angegebenen Regeln und die zugehörigen Modi ohne Auswirkungen auf andere vorhandene Werte zu entfernen. Die Befehlssyntax ist für die drei Cmdlets identisch.

• GUID-Werte für ASR-Regeln sind unter ASR-Regeln verfügbar.

• Gültige Werte für den parameter AttackSurfaceReductionRules_Actions sind:

  • 0 oder Disabled
  • 1 oder Enabled (Blockmodus )
  • 2oder oder AuditModeAudit
  • 5 oder NotConfigured
  • 6 oder Warn

Im folgenden Beispiel werden die angegebenen ASR-Regeln auf dem Gerät konfiguriert:

• Die ersten beiden Regeln sind im Blockierungsmodus aktiviert.
• Die dritte Regel ist deaktiviert.
• Die letzte Regel ist im Überwachungsmodus aktiviert.

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Konfigurieren von globalen ASR-Regelausschlüssen in PowerShell

Verwenden Sie auf dem Zielgerät die folgende PowerShell-Befehlssyntax in einer PowerShell-Sitzung mit erhöhten Rechten:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Set-MpPreferenceüberschreibt alle vorhandenen ASR-Regelausschlüsse mit den von Ihnen angegebenen Werten. Führen Sie den folgenden Befehl aus, um die Liste der vorhandenen Werte anzuzeigen:

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  Verwenden Sie das Cmdlet Add-MpPreference , um neue Ausnahmen ohne Auswirkungen auf vorhandene Werte hinzuzufügen. Um die angegebenen Ausnahmen ohne Auswirkungen auf andere Werte zu entfernen, verwenden Sie das Cmdlet Remove-MpPreference . Die Befehlssyntax ist für die drei Cmdlets identisch.

  Im folgenden Beispiel werden der angegebene Pfad und pfad mit dem Dateinamen als Ausschlüsse für alle ASR-Regeln auf dem Gerät konfiguriert:

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

Verwandte Inhalte

• Referenz zu den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
• Auswerten der Verringerung der Angriffsfläche
• Häufig gestellte Fragen zur Verringerung der Angriffsfläche