Hyökkäyspinnan vähentämisen (ASR) sääntöjen ja poissulkemisten määrittäminen

Hyökkäyspinnan vähentämisen (ASR) säännöt kohdistuvat riskialttiisiin ohjelmistokäyttäytymisiin Windows-laitteissa, joita hyökkääjät yleisesti hyödyntävät haittaohjelmien kautta (esimerkiksi käynnistämällä komentosarjoja, jotka lataavat tiedostoja, suorittamalla hämärtyviä komentosarjoja ja injektoimalla koodia muihin prosesseihin). Tässä artikkelissa kuvataan ASR-sääntöjen ottaminen käyttöön ja määrittäminen.

Saat parhaat tulokset käyttämällä yritystason hallintaratkaisuja, kuten Microsoft Intune tai Microsoft Configuration Manager, ASR-sääntöjen hallintaan. ASR-sääntöasetukset Intune tai Kokoonpanon hallinta korvaa ristiriitaiset asetukset ryhmäkäytännöstä tai Käynnistyksen PowerShellistä.

Ennakkovaatimukset

Lisätietoja on artikkelissa ASR-sääntöjä koskevat vaatimukset.

ASR-sääntöjen määrittäminen Microsoft Intune

Microsoft Intune on suositeltu työkalu ASR-sääntökäytäntöjen määrittämiseen ja jakamiseen laitteille. Edellyttää Microsoft Intune -palvelupaketti 1 (sisältyy tilauksiin, kuten Microsoft 365 E3 tai saatavilla erillisenä lisäosana).

Intune päätepisteiden suojauskäytännöt ovat suositeltu menetelmä ASR-sääntöjen käyttöönottoon, vaikka myös muut menetelmät ovat käytettävissä Intune seuraavissa alikohdissa kuvatulla tavalla.

ASR-sääntöjen ja poissulkemisten määrittäminen Intune päätepisteen suojauskäytäntöjen avulla

Jos haluat määrittää ASR-sääntöjä Microsoft Intune Päätepisteen tietoturvahyökkäyksen pinnan pienentämiskäytännön avulla, katso Päätepisteen suojauskäytännön luominen (avautuu uudessa välilehdessä Intune dokumentaatiossa). Kun luot käytäntöä, käytä seuraavia asetuksia:

Tärkeää

Microsoft Defender for Endpoint hallinta tukee vain laiteobjekteja. Käyttäjille kohdistamista ei tueta. Määritä käytäntö Microsoft Entra laiteryhmille, ei käyttäjäryhmille.

• Käytäntötyyppi: Hyökkäyspinnan pienentäminen
• Käyttöympäristö: Windows
• Profiili: Hyökkäyspinnan pienentämissäännöt
• Määritysasetukset:

  • Hyökkäyspinnan pienentäminen: Yleensä voit ottaa vakiosuojaussäännöt käyttöön Block - tai Warn-tilassa ilman testausta. Testaa muita ASR-sääntöjä valvontatilassa , ennen kuin vaihdat ne Estä - tai Varoita-tilaan . Lisätietoja on ASR-sääntöjen käyttöönotto-oppaassa.

    Kun olet määrittänyt sääntötilaksi Valvonta, Estä tai Varoita, näet ASR-asetuksen vain sääntöpoikkeuksia kohti -osiossa, jossa voit määrittää poikkeukset, jotka koskevat vain tätä sääntöä.

  • Hyökkäyspinnan pienentäminen vain poissulkemiset: Tämän osan avulla voit määrittää poissulkemiset, jotka koskevat kaikkia ASR-sääntöjä.

    Jos haluat määrittää ASR-säännön poikkeukset tai yleiset ASR-säännön poissulkemiset, käytä jompaakumpaa seuraavista menetelmistä:

    • Valitse Lisää. Kirjoita näyttöön avautuvaan ruutuun polku tai polku ja tiedostonimi, jotka haluat jättää pois. Esimerkki:

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • Valitse Tuo , jos haluat tuoda CSV-tiedoston, joka sisältää pois jätettävien tiedostojen ja kansioiden nimet. CSV-tiedosto käyttää seuraavaa muotoa:

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      Vihje

      Arvojen ympärillä olevat lainausmerkit ovat valinnaisia, ja ne ohitetaan (niitä ei käytetä arvoissa), jos sisällytät ne. Älä käytä yksittäisiä lainausmerkkejä arvojen ympärillä.

    Lisätietoja poissulkemisista on ohjeaiheessa ASR-sääntöjen poikkeukset tiedostoista ja kansioista.

  • Salli hallittujen kansioiden käyttö, hallittujen kansioiden käytön suojatut kansiot ja hallittujen kansioiden käyttöoikeudet: Lisätietoja on artikkelissa Tärkeiden kansioiden suojaaminen valvotulla kansion käyttöoikeudella.

ASR-sääntöjen määrittäminen Intune mukautettujen profiilien ja OMA-URIs ja CSP:n avulla

Vaikka päätepisteiden suojauskäytäntöjä suositellaan, voit myös määrittää ASR-säännöt Intune käyttämällä mukautettuja profiileja, jotka sisältävät Open Mobile Alliance – Uniform Resource (OMA-URI) -profiileja Windows Policyn määrityspalveluntarjoajan (CSP) avulla.

Yleisiä tietoja Intune OMA-URIs on kohdassa OMA-URIs käyttöönotto CSP:lle kohdistamiseksi Intune kautta sekä vertailu paikalliseen.

1. Valitse Microsoft Intune hallintakeskuksessa osoitteessa https://intune.microsoft.comLaitteet Laitteiden>hallinta Laitteiden>määritys. Voit myös siirtyä suoraan Laitteisiin | Käytä määrityssivuahttps://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. Laitteet -välilehden Käytännöt-välilehdessä | Määrityssivu, valitse Luo>uusi käytäntö.

   

3. Määritä avautuvassa Luo profiili -pikaikkunassa seuraavat asetukset:

   • Käyttöympäristö: Valitse Windows 10 ja uudemmat.
   • Profiilityyppi: Valitse mallit.
     • Valitse avautuvasta Mallin nimi - osiosta Mukautettu.

   Valitse Luo.

   

4. Ohjattu mukautetun mallin luominen avautuu. Määritä Perustiedot-välilehdessä seuraavat asetukset:

   • Nimi: Anna mallille yksilöllinen nimi.
   • Kuvaus: Kirjoita valinnainen kuvaus.

   Kun olet valmis Perustiedot-välilehdessä , valitse Seuraava.

5. Valitse Määritysasetukset-välilehdessäLisää.

   

   Määritä avautuvassa Lisää rivi -pikaikkunassa seuraavat asetukset:

   • Nimi: Anna säännölle yksilöllinen nimi.

   • Kuvaus: Kirjoita valinnainen lyhyt kuvaus.

   • OMA-URI: Anna Laitteen arvo AttackSurfaceReductionRules CSP:stä: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • Tietotyyppi: Valitse merkkijono.

     • Arvo: Käytä seuraavaa syntaksia:

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • ASR-sääntöjen GUID-arvot ovat käytettävissä ASR-säännöissä.
       • Seuraavat sääntötilat ovat käytettävissä:
         • 0:Pois
         • 1:Estää
         • 2:Tarkastuksen
         • 5: Ei määritetty
         • 6:Varoittaa

       Esimerkki:

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     Kun olet valmis Lisää rivi -pikaikkunassa, valitse Tallenna.

     Vihje

     Tässä vaiheessa voit myös lisätä yleisiä ASR-säännön poissulkemisia mukautettuun profiiliin sen sijaan, että loisit erillisen profiilin vain poissulkemisia varten. Katso ohjeet seuraavasta alaosasta Yleisten ASR-säännön poissulkemisten määrittäminen Intune mukautettujen profiilien käyttäminen OMA-URIs ja CSP:iden kanssa.

   Valitse Määritysasetukset-välilehdessäSeuraava.

6. Määritä Määritykset-välilehdessä seuraavat asetukset:

   • Sisällytetyt ryhmät - osa: Valitse jokin seuraavista vaihtoehdoista:
     • Lisää ryhmiä: Valitse yksi tai useampi sisällytettävä ryhmä.
     • Lisää kaikki käyttäjät
     • Lisää kaikki laitteet
   • Pois jätetyt ryhmät - osa: Valitse Lisää ryhmiä , jos haluat määrittää ryhmiä, jotka jätetään pois.

   Kun olet valmis , valitse Määritykset-välilehdessäSeuraava.

   

7. Valitse Soveltuvuussäännöt-välilehdessäSeuraava.

   Voit käyttää käyttöjärjestelmän versio - ja käyttöjärjestelmäversion ominaisuuksia määrittääksesi laitetyypit, joiden pitäisi tai ei pitäisi saada profiilia.

   

8. Tarkista asetukset Tarkista + luo -välilehdessä. Voit käyttää Edellinen-toimintoa tai valita välilehden, jos haluat palata takaisin tekemään muutoksia.

   Kun olet valmis luomaan profiilin, valitse LuoTarkista + luo -välilehdessä.

   

Palaat heti Laitteet - | Käytännöt-välilehteen. Määrityssivu. Saatat joutua valitsemaan Päivitä , jotta saat käytännön näkyviin.

ASR-säännöt ovat aktiivisia muutamassa minuutissa.

Yleisten ASR-säännön poissulkemisten määrittäminen Intune mukautettujen profiilien ja OMA-URIs ja CSP:iden avulla

Vaiheet yleisten ASR-säännön poissulkemisten määrittämiseksi Intune käyttämällä mukautettua profiilia muistuttavat hyvin paljon edellisen osan ASR-säännön vaiheita. Ainoa ero on Vaiheessa 5 ( Määritysasetukset-välilehti ), jossa annat TIEDOT ASR-säännön poikkeuksille:

Valitse Määritysasetukset-välilehdessäLisää. Määritä avautuvassa Lisää rivi -pikaikkunassa seuraavat asetukset:

• Nimi: Anna säännölle yksilöllinen nimi.
  • Kuvaus: Kirjoita valinnainen lyhyt kuvaus.
  • OMA-URI: Anna Laitteen arvo AttackSurfaceReductionOnlyExclusions CSP:stä: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • Tietotyyppi: Valitse merkkijono.

    • Arvo: Käytä seuraavaa syntaksia:

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      Esimerkki:

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

Kun olet valmis Lisää rivi -pikaikkunassa, valitse Tallenna.

Valitse Määritysasetukset-välilehdessäSeuraava.

Muut vaiheet ovat samoja kuin ASR-sääntöjen määrittäminen.

ASR-sääntöjen määrittäminen missä tahansa MDM-ratkaisussa Käytäntöjen CSP:n avulla

Käytännön määrityspalveluntarjoajan (CSP) avulla yritysorganisaatiot voivat määrittää Käytäntöjä Windows-laitteissa millä tahansa mobiililaitteiden hallintaratkaisulla (MDM), ei vain Microsoft Intune. Lisätietoja on artikkelissa Käytännön CSP.

Voit määrittää ASR-sääntöjä AttackSurfaceReductionRules CSP:n avulla seuraavilla asetuksilla:

OMA-URI-polku: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Arvo: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• ASR-sääntöjen GUID-arvot ovat käytettävissä ASR-säännöissä
• Seuraavat sääntötilat ovat käytettävissä:
  • 0:Pois
  • 1:Estää
  • 2:Tarkastuksen
  • 5: Ei määritetty
  • 6:Varoittaa

Esimerkki:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Huomautus

Muista antaa OMA-URI-arvot ilman välilyöntejä.

Yleisten ASR-säännön poissulkemisten määrittäminen missä tahansa MDM-ratkaisussa Käytäntöjen CSP:n avulla

Käytäntöjen CSP:n avulla voit määrittää yleiset ASR-sääntöpolut sekä polun ja tiedostonimen poikkeukset käyttämällä AttackSurfaceReductionOnlyExclusions CSP:tä seuraavilla asetuksilla:

OMA-URI-polku: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Arvo: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Esimerkiksi, C:\folder|%ProgramFiles%\folder\file.exe|C:\path

ASR-sääntöjen ja yleisten ASR-säännön poissulkemisten määrittäminen Microsoft Configuration Manager

Katso ohjeet hyökkäyspinnan vähentämistiedoista kohdassa Hyökkäyssuojan luominen ja käyttöönotto.

Varoitus

Hyökkäyspinnan vähentämisen soveltuvuudessa palvelimen käyttöjärjestelmäversioihin on tunnettu ongelma, joka on merkitty yhteensopivaksi ilman varsinaista täytäntöönpanoa. Tällä hetkellä ei ole määritettyä julkaisupäivää sille, milloin tämä korjataan.

Tärkeää

Jos käytät "Poista järjestelmänvalvojan yhdistäminen käytöstä" -asetusta true laitteissa ja käytät mitä tahansa seuraavista työkaluista/menetelmistä, ASR-sääntöjen poistojen tai paikallisten ASR-sääntöjen poissulkemisten lisääminen ei koske seuraavia:

• Defender for Endpoint Security Settings Management (Disable Local Hallinta Merge) Windows-käytännöt -välilehti Microsoft Defender portaalin Päätepisteiden suojauskäytännöt -sivulla osoitteessahttps://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (Poista paikallisen Hallinta yhdistäminen käytöstä)
• Defender CSP (DisableLocalAdminMerge)
• ryhmäkäytäntö (määritä luetteloiden paikallisen järjestelmänvalvojan yhdistämistoiminnot)

Jos haluat muokata tätä toimintoa, sinun on muutettava Poista järjestelmänvalvojan yhdistäminen käytöstä -arvoksi false.

ASR-sääntöjen ja poissulkemisten määrittäminen ryhmäkäytännössä

Varoitus

Jos hallitset tietokoneita ja laitteita Intune, Microsoft Configuration Manager tai muun yritystason hallintaohjelmiston avulla, hallintaohjelmisto korvaa kaikki käynnistyksen yhteydessä mahdolliset ristiriitaiset ryhmäkäytäntöasetukset.

1. Avaa Keskitetty ryhmäkäytäntö -kohdassa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö Management Console (GPMC).

2. Laajenna GPMC-konsolipuussa ryhmäkäytäntö Objektit toimialuepuuryhmässä ja toimialueessa, joka sisältää muokattavan ryhmäkäytäntöobjektin.

3. Napsauta GPO:ta hiiren kakkospainikkeella ja valitse sitten Muokkaa.

4. Siirry ryhmäkäytäntö hallintaeditorissa kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Microsoft Defender Hyödynnä Guard > attack pinta Reduction.

5. Attack pinta Reduction -ikkunan tietoruudussa käytettävissä olevat asetukset ovat seuraavat:

   • Hyökkäyspinnan pienentämissääntöjen määrittäminen
   • Jätä pois tiedostoja ja polkuja Hyökkäysalueen pienentämissäännöistä
   • Poikkeusten luettelon käyttäminen tiettyihin hyökkäyspinnan vähentämisen sääntöihin (ASR)

   Voit avata ja määrittää ASR-sääntöasetuksen jollakin seuraavista menetelmistä:

   • Kaksoisnapsauta asetusta.
   • Napsauta asetusta hiiren kakkospainikkeella ja valitse sitten Muokkaa
   • Valitse asetus ja valitse sitten Muokkaa toimintoa>.

Vihje

Voit myös määrittää ryhmäkäytäntö paikallisesti yksittäisissä laitteissa käyttämällä Local ryhmäkäytäntö Editoria (gpedit.msc). Siirry samaan polkuun: Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Microsoft Defender Exploit Guard>Attack pinta Reduction.

Käytettävissä olevat asetukset on kuvattu seuraavissa alikohdissa.

Tärkeää

Lainausmerkkejä, alussa olevia välilyöntejä, lopussa olevia välilyöntejä ja ylimääräisiä merkkejä ei tueta missään asr-sääntöön liittyvissä arvoissa ryhmäkäytännössä.

ryhmäkäytäntö polut ennen Windows 10 versiota 2004 (toukokuu 2020) saattavat käyttää Windows Defenderin virustentorjunta Microsoft Defenderin virustentorjunta sijaan. Molemmat nimet viittaavat samaan käytännön sijaintiin.

ASR-sääntöjen määrittäminen ryhmäkäytännössä

1. Avaa Attack pinta Reduction -kohteen tietoruudussa Määritä hyökkäyspinnan vähentämissäännöt -asetus.

2. Määritä avautuvassa asetusikkunassa seuraavat asetukset:

   1. Valitse Käytössä.
   2. Määritä kunkin ASR-säännön tila: Valitse Näytä....

3. Määritä kunkin avautuvan ASR-säännön valintaikkunan Määritä tila -kohdassa seuraavat asetukset:

   • Arvon nimi: Anna ASR-säännön GUID-arvo.
   • Arvo: Anna jokin seuraavista sääntötilan arvoista:
     • 0:Pois
     • 1:Estää
     • 2:Tarkastuksen
     • 5: Ei määritetty
     • 6:Varoittaa

   

   Lisätietoja on ohjeaiheessa ASR-sääntötilat.

   Toista tämä vaihe niin monta kertaa kuin on tarpeen. Kun olet valmis, valitse OK.

Määritä yleiset ASR-säännön poissulkemiset ryhmäkäytännössä

Määrittämiäsi polkuja tai tiedostonimiä käytetään kaikkien ASR-sääntöjen poissulkemisina.

1. Avaa Attack pinta Reduction -kohteen tiedot-ruudussa Sulje tiedostot ja polut pois hyökkäyspinnan pienentämissäännöistä -asetus.

2. Määritä avautuvassa asetusikkunassa seuraavat asetukset:

   1. Valitse Käytössä.
   2. ASR-säännöistä pois jäljet: Valitse Näytä....

3. Määritä avautuvassa Asr-sääntöjen poikkeukset -valintaikkunassa seuraavat asetukset:

   • Arvon nimi: Kirjoita polku tai polku ja tiedostonimi, jos haluat jättää sen pois kaikista ASR-säännöistä.
   • Arvo: Anna 0.

   Seuraavia arvonimien tyyppejä tuetaan:

   • Jos haluat sulkea pois kaikki kansion tiedostot, kirjoita koko kansiopolku. Esimerkiksi C:\Data\Test.
   • Jos haluat jättää tietyn tiedoston pois tietystä kansiosta (suositus), kirjoita polku ja tiedostonimi. Esimerkiksi C:\Data\Test\test.exe.

   Toista tämä vaihe niin monta kertaa kuin on tarpeen. Kun olet valmis, valitse OK.

Määritä asr-sääntöjen poissulkemiset ryhmäkäytännössä

Määrittämiäsi polkuja tai tiedostonimiä käytetään tiettyjen ASR-sääntöjen poissulkemisina.

Huomautus

Jos Käytä poikkeusten luetteloa tiettyyn hyökkäyspinnan pienentämiseen (ASR) -sääntöasetus ei ole käytettävissä GPMC:ssä, tarvitset KeskisäilönHallintamallit-tiedostojen version 24H2 tai uudemman.

1. Avaa Attack pinta Reduction -kohdan tietoruudussa Käytä poikkeusten luetteloa tietyille hyökkäyspinnan vähentämissäännöille (ASR) -asetus.

2. Määritä avautuvassa asetusikkunassa seuraavat asetukset:

   1. Valitse Käytössä.
   2. Poissulkemiset kullekin ASR-säännölle: Valitse Näytä....

3. Määritä seuraavat asetukset kunkin avautuvan ASR-säännön poissulkemisten valintaikkunassa:

   • Arvon nimi: Anna ASR-säännön GUID-arvo.
   • Arvo: Anna yksi tai useampi poikkeus ASR-säännölle. Käytä syntaksia Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Esimerkiksi C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

   Toista tämä vaihe niin monta kertaa kuin on tarpeen. Kun olet valmis, valitse OK.

ASR-sääntöjen määrittäminen PowerShellissä

Varoitus

Jos hallitset tietokoneita ja laitteita Intune, Kokoonpanon hallinta tai jollakin toisella yritystason hallintaympäristöllä, hallintaohjelmisto korvaa kaikki käynnistettäessä mahdolliset ristiriitaiset PowerShell-asetukset.

Käytä kohdelaitteessa seuraavaa PowerShell-komentosyntaksia laajennetussa PowerShell-istunnossa (PowerShell-ikkuna, jonka avasit valitsemalla Suorita järjestelmänvalvojana):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Set-MpPreferencekorvaa kaikki olemassa olevat säännöt ja niitä vastaavat tilat määrittämilläsi arvoilla. Jos haluat tarkastella olemassa olevien arvojen luetteloa, suorita seuraava komento:

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  Jos haluat lisätä uusia sääntöjä ja niitä vastaavia tiloja vaikuttamatta olemassa oleviin arvoihin, käytä Add-MpPreference cmdlet-komentoa . Jos haluat poistaa määritetyt säännöt ja niitä vastaavat tilat vaikuttamatta muihin olemassa oleviin arvoihin, käytä Remove-MpPreference cmdlet-komentoa . Komennon syntaksi on identtinen kolmea cmdlet-komentoa varten.

• ASR-sääntöjen GUID-arvot ovat käytettävissä ASR-säännöissä.

• AttackSurfaceReductionRules_Actions-parametrin kelvolliset arvot ovat:

  • 0 Tai Disabled
  • 1 tai Enabled (estotila )
  • 2tai AuditModeAudit
  • 5 Tai NotConfigured
  • 6 Tai Warn

Seuraavassa esimerkissä määritetään määritetyt ASR-säännöt laitteessa:

• Kaksi ensimmäistä sääntöä ovat käytössä Lohko-tilassa .
• Kolmas sääntö on poistettu käytöstä.
• Viimeinen sääntö on käytössä valvontatilassa .

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Yleisten ASR-säännön poissulkemisten määrittäminen PowerShellissä

Käytä kohdelaitteessa seuraavaa PowerShell-komentosyntaksia laajennetussa PowerShell-istunnossa:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Set-MpPreferencekorvaa kaikki olemassa olevat ASR-säännön poissulkemiset määrittämilläsi arvoilla. Jos haluat tarkastella olemassa olevien arvojen luetteloa, suorita seuraava komento:

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  Jos haluat lisätä uusia poikkeuksia vaikuttamatta olemassa oleviin arvoihin, käytä Add-MpPreference cmdlet-komentoa . Jos haluat poistaa määritetyt poikkeukset vaikuttamatta mihinkään muihin arvoihin, käytä Remove-MpPreference cmdlet-komentoa . Komennon syntaksi on identtinen kolmea cmdlet-komentoa varten.

  Seuraavassa esimerkissä määritetty polku ja polku, jonka tiedostonimi jätetään pois laitteessa, jätetään pois kaikilta ASR-säännöillä:

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

Aiheeseen liittyvä sisältö

• Hyökkäyspinta-alan rajoittamisen (ASR) sääntöjen viittaus
• Arvioi hyökkäyspinnan pienentäminen
• Hyökkäyspinta-alan rajoittamisen usein kysytyt kysymykset