Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Vihje
Tämän artikkelin kumppanina tutustu Security Analyzerin määritysoppaaseen , jossa tarkastellaan parhaita käytäntöjä ja opitaan vahvistamaan puolustusta, parantamaan vaatimustenmukaisuutta ja navigoimaan kyberturvallisuusympäristössä luottavaisin mielin. Ympäristöösi perustuvan mukautetun käyttökokemuksen saat suojausanalysaattorin automaattisen määritysoppaan avulla Microsoft 365 -hallintakeskus.
Organisaatiosi hyökkäyspinta sisältää kaikki paikat, joihin hyökkääjä voi päästä käsiksi. Lisätietoja on kohdassa Hyökkäyspinnan pienentäminen Microsoft Defender for Endpoint.
Attack surface reduction (ASR) -säännöt Microsoft Defender virustentorjuntaohjelmassa kohdistuvat riskialttiisiin ohjelmistoihin Windows-laitteissa, joita hyökkääjät yleisesti hyödyntävät haittaohjelmien kautta. Esimerkki:
- Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja.
- Suoritetaan epäluotettavia tai muuten epäluotettavia komentosarjoja.
- Aliprosessien luominen mahdollisesti haavoittuvista sovelluksista (esimerkiksi Office-sovelluksista).
- Koodin osittaminen muihin prosesseihin.
Vaikka lailliset sovellukset saattavat myös tehdä näitä asioita, hyökkääjät käyttävät yleensä haittaohjelmia, jotka toimivat samalla tavalla.
Katso seuraavat artikkelisarjat ASR-sääntöjen suunnitteluun, testaamiseen, toteuttamiseen ja valvontaan:
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä
ASR-säännöt
ASR-säännöt on ryhmitelty seuraaviin luokkiin:
Standard suojaussäännöt tarjoavat merkittäviä suojausetuja, joten Microsoft suosittelee, että otat ne käyttöön Block-tilassa ilman laajaa testausta. Yleensä näillä säännöillä on vain pieni tai ei lainkaan huomattavaa vaikutusta käyttäjiin, mutta poikkeuksia on:
- Estä pysyvyys WMI-tapahtumatilauksen kautta: Jos käytät Microsoft Configuration Manager laitteiden hallintaan, älä käytä muita käytettävissä olevia käyttöönottomenetelmiä (esimerkiksi ryhmäkäytäntö tai PowerShell) tämän säännön aktivoimiseksi laitteessa Estä- tai Varoita-tilassa ilman laajoja testausta valvontatilassa. Kokoonpanon hallinta asiakas luottaa vahvasti WMI:hen.
- Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä: Jos otit käyttöön LSA (Local Security Authority) -suojauksen (suositus ja tunnistetietosuoja), tämä sääntö on tarpeeton.
Muut ASR-säännöt tarjoavat tärkeän suojauksen, mutta ne on testattavaksi valvontatilassa ennen niiden aktivoimista Estä - tai Varoita-tilassahyökkäyspinnan vähentämissääntöjen käyttöönotto -oppaassa kuvatulla tavalla.
Käytettävissä olevat ASR-säännöt, niiden vastaavat GUID-arvot ja niiden luokat on kuvattu seuraavassa taulukossa:
Sääntöjen nimien linkit vievät yksityiskohtaisiin säännön kuvauksia ASR-sääntöjen viiteartikkeliin .
Microsoft Intune ja Microsoft Configuration Manager päätepisteiden suojauskäytäntöjen lisäksi kaikki muut ASR-säännön määritysmenetelmät tunnistavat säännöt GUID-arvon mukaan.
Kaikki ASR-säännön nimien erot Microsoft Intune ja Microsoft Configuration Manager välillä on kuvattu taulukossa.
Vihje
Microsoft Configuration Manager tunnettiin aiemmin muilla nimillä:
- Microsoft System Center Configuration Manager: versio 1511-1906 (marraskuu 2015 - heinäkuu 2019)
- Microsoft endpoint Configuration Manager: versio 1910-2211 (joulukuu 2019 - joulukuu 2022)
- Microsoft Configuration Manager: versio 2303 (huhtikuu 2023) tai uudempi
Lisätietoja tuesta ja päivittymisestä on kohdassa Päivitykset ja Kokoonpanon hallinta ylläpito.
| Säännön nimi Microsoft Intune | Säännön nimi Microsoft Configuration Manager | GUID | Luokka |
|---|---|---|---|
| Standard suojaussäännöt | |||
| Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen (Laite) | Ei käytettävissä | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Muut |
| Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä | Sama | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Sivuttaisen liikkeen & tunnistetietovarkaus |
| Estä pysyvyys WMI-tapahtumatilauksen kautta | Ei käytettävissä | e6db77e5-3df2-4cf1-b95a-636979351e5b | Sivuttaisen liikkeen & tunnistetietovarkaus |
| Muut ASR-säännöt | |||
| Estä Adobe Readeria luomasta aliprosesseja | Ei käytettävissä | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Tuottavuussovellukset |
| Estä aliprosessien luominen kaikilta Office-sovelluksilta | Estä Office-sovellusta luomasta aliprosesseja | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Tuottavuussovellukset |
| Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista | Sama | be9ba2d9-53ea-4cdc-84e5-9b1ee46550 | Sähköposti |
| Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa | Estä suoritettavien tiedostojen suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettuja luetteloehtoja | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Polymorfiset uhat |
| Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen | Sama | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Kirjoitus |
| Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä | Sama | d3e037e1-3eb8-44c8-a917-57927947596d | Kirjoitus |
| Estä Office-sovelluksia luomasta suoritettavaa sisältöä | Sama | 3b576869-a4ec-4529-8536-b80a7769e899 | Tuottavuussovellukset |
| Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin | Sama | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Tuottavuussovellukset |
| Estä Office-tietoliikennesovellusta luomasta aliprosesseja | Ei käytettävissä | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Sähköposti, tuottavuussovellukset |
| Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista | Ei käytettävissä | d1e49aac-8f56-4280-b9ba-993a6d77406c | Sivuttaisen liikkeen & tunnistetietovarkaus |
| Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa | Ei käytettävissä | 33ddedf1-c6e0-47cb-833e-de6133960387 | Muut |
| Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä | Sama | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Polymorfiset uhat |
| Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen | Ei käytettävissä | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Muut |
| Estä verkkosellien luominen palvelimia varten | Ei käytettävissä | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Muut |
| Estä Win32-ohjelmointirajapintakutsut Office-makroista | Sama | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | Tuottavuussovellukset |
| Lisäsuojauksen käyttö kiristysohjelmia vastaan | Sama | c1db55ab-c21a-4637-bb3f-a12568109d35 | Polymorfiset uhat |
ASR-sääntöjä koskevat vaatimukset
ASR-säännöt edellyttävät Microsoft Defender virustentorjuntaa ensisijaisena virustentorjuntasovelluksena Windows-laitteissa:
Microsoft Defender virustentorjunta on otettava käyttöön ja aktiivisessa tilassa. Tarkemmin sanottuna Microsoft Defender virustentorjunta ei voi olla missään seuraavista tiluksista:
- Passiivinen
- Passiivitila, jossa päätepisteen tunnistaminen ja vastaus (EDR) lohkotilassa
- Rajoitettu säännöllinen skannaus (LPS)
- Pois
Lisätietoja Microsoft Defender virustentorjunnan tiluksista on artikkelissa Microsoft Defender virustentorjunta vaikuttaa Defender for Endpoint -toimintoon.
Microsoft Defender virustentorjunnan on oltava käytössä reaaliaikaisessa suojauksessa.
Pilvipalveluun toimitettu suojaus (kutsutaan myös nimellä Microsoft Advanced Protection Service tai MAPS) on erittäin tärkeää ASR-sääntötoiminnon kannalta. Pilvisuojaus parantaa tavallista reaaliaikaista suojausta ja on tärkeä osa haittaohjelmien rikkomusten estämistä. Joillakin ASR-säännöillä on erityisesti pilvipalvelujen toimituksen suojausvaatimuksetpäätepisteen tunnistuksen ja vastauksen (EDR) hälytyksille Defender for Endpointissa ja käyttäjän ilmoitusten ponnahdusikkunoilla. Lisätietoja on ohjeaiheessa ILMOITUKSET JA ILMOITUKSET ASR-säännön toiminnoista.
Samasta syystä ympäristösi on sallittava yhteydet Microsoft Defender Virustentorjunta -pilvipalveluun.
Microsoft Defender virustentorjuntakomponentin versioiden on oltava enintään kaksi versiota vanhempia kuin tällä hetkellä saatavilla oleva uusin versio:
- Käyttöympäristön päivitysversio: päivitetty kuukausittain.
- MEngine-versio: Päivitetty kuukausittain.
- Suojaustiedot: Microsoft päivittää jatkuvasti suojaustietoja (eli määritelmiä ja allekirjoituksia) uusimpien uhkien käsittelemiseksi ja tunnistuslogiikan tarkentamiseksi.
Microsoft Defender virustentorjuntaversioiden pitäminen ajan tasalla auttaa vähentämään ASR-säännön epätosi-positiivisia arvoja ja parantaa Microsoft Defender virustentorjunnan tunnistusominaisuuksia. Lisätietoja nykyisistä versioista ja virustentorjuntaohjelman eri Microsoft Defender osien päivittämisestä on artikkelissa virustentorjuntaympäristön tuen Microsoft Defender.
Vaikka ASR-säännöt eivät edellytä Microsoft 365 E5, Microsoft suosittelee E5-suojausominaisuuksia tai vastaavia tilauksia, jotta se voi hyödyntää seuraavia kehittyneitä hallintaominaisuuksia:
- Valvonta, analysointi ja työnkulut Defender for Endpointissa.
- raportointi- ja määritystoiminnot Microsoft Defender XDR portaalissa.
Lisähallintaominaisuudet eivät ole käytettävissä muissa käyttöoikeuksissa (esimerkiksi Windows Professionalissa tai Microsoft 365 E3). Voit kuitenkin kehittää omia valvonta- ja raportointityökaluja WINDOWS Tapahtumienvalvonta kullekin laitteelle luotujen ASR-sääntötapahtumien päälle (esimerkiksi Windowsin tapahtumien edelleenlähetys).
Lisätietoja Windows-käyttöoikeuksista on kohdassa Windows-käyttöoikeudet ja microsoftin volyymikäyttöoikeuksien viiteopas.
ASR-sääntöjen tuetut käyttöjärjestelmät
ASR-säännöt ovat Microsoft Defender virustentorjuntatoiminto, joka löytyy mistä tahansa Windowsin versiosta, joka sisältää Microsoft Defender virustentorjuntaohjelman (esimerkiksi Windows 11 Home). Voit määrittää ASR-sääntöjä paikallisesti laitteissa Käyttämällä PowerShelliä tai ryhmäkäytäntö.
ASR-sääntöjen keskitetty hallinta, raportointi ja hälytykset Microsoft Defender for Endpoint ovat käytettävissä seuraavissa Windows-versioissa:
- Windows 10 tai uudempien versioiden Pro- ja Enterprise-versiot.
- Windows Server 2012 R2 tai uudempi versio.
- Azure Local (tunnettiin aiemmin nimellä Azure Stack HCI) versio 23H2 tai uudempi.
Lisätietoja käyttöjärjestelmän tuesta on kohdassa Käyttöjärjestelmän tuki ASR-säännöille.
ASR-sääntöjen tilat
ASR-sääntö voi olla jossakin seuraavista tiluksista seuraavassa taulukossa kuvatulla tavalla:
| Sääntötila | Koodi | Kuvaus |
|---|---|---|
|
Ei käytössä tai Poistettu käytöstä |
0 | ASR-sääntö on eksplisiittisesti poissa käytöstä. Tämä arvo voi aiheuttaa ristiriitoja, kun samalle laitteelle määritetään sama ASR-sääntö eri tiloissa eri käytännöillä. |
|
Lohko tai Aktivoitu |
1 | ASR-sääntö on käytössä Esto-tilassa . |
|
Valvonta tai Valvontatila |
2 | ASR-sääntö on käytössä ikään kuin Esto-tilassa , mutta ilman toimenpiteitä. ASR-sääntöjen tunnistuksia valvontatilassa voi käyttää seuraavissa sijainneissa:
|
| Ei määritetty | 5 | ASR-sääntöä ei ole otettu käyttöön eksplisiittisesti. Tämä arvo vastaa toiminnallisesti Poistettu käytöstä - tai Ei käytössä -arvoa, mutta sillä ei ole mahdollisia sääntöristiriitoja. |
|
Varoita tai Varoitus |
6 | ASR-sääntö on käytössä ikään kuin Esto-tilassa , mutta käyttäjät voivat valita Poista esto varoitusilmoituksen ponnahdusikkunassa ohittaakseen lohkon 24 tunnin ajan. 24 tunnin kuluttua käyttäjän on ohitettava lohko uudelleen. Varoitustilaa tuetaan Windows 10 versiossa 1809 (marraskuu 2018) tai uudemmassa. Windowsin tukemattomien versioiden Varoitus-tilassa olevat ASR-säännöt ovat käytännössä estotilassa (ohitus ei ole käytettävissä). Varoitustila ei ole käytettävissä Microsoft Configuration Manager. Varoitustilassa on seuraavat Microsoft Defender virustentorjuntaohjelman versiovaatimukset:
Seuraavat ASR-säännöt eivät tue Varoitus-tilaa : |
Microsoft suosittelee estotilaa vakiosuojaussäännöille ja ensimmäistä testausta valvontatilassa muille ASR-säännöille, ennen kuin ne aktivoidaan Block - tai Warn-tilassa .
Monet toimialakohtaiset sovellukset kirjoitetaan rajoitetuin tietoturvaan liittyen, ja ne saattavat toimia haittaohjelmia muistuttavilla tavoilla. Valvomalla TIETOJA ASR-säännöistä valvontatilassa ja lisäämällä pakollisten sovellusten poissulkemisia voit ottaa KÄYTTÖÖN ASR-sääntöjä heikentämättä tuottavuutta.
Ennen kuin otat ASR-säännöt käyttöön Block-tilassa , arvioi niiden vaikutukset valvontatilassa ja suojaussuosituksissa. Lisätietoja on kohdassa Testaa ASR-sääntöjä.
ASR-sääntöjen käyttöönotto- ja määritysmenetelmät
Microsoft Defender for Endpoint tukee ASR-sääntöjä, mutta ei sisällä sisäistä menetelmää ASR-sääntöasetusten käyttöönottoon laitteissa. Sen sijaan käytät erillistä käyttöönotto- tai hallintatyökalua ASR-sääntökäytäntöjen luomiseen ja jakamiseen laitteille. Kaikki käyttöönottomenetelmät eivät tue kaikkia ASR-sääntöjä. Katso sääntökohtaiset tiedot kohdasta Käyttöönottomenetelmän tuki ASR-säännöille.
Seuraavassa taulukossa on yhteenveto käytettävissä olevista menetelmistä. Katso yksityiskohtaiset määritysohjeet kohdasta Hyökkäyspinnan pienentämisen (ASR) sääntöjen ja poissulkemisten määrittäminen.
| Menetelmä | Kuvaus |
|---|---|
| Microsoft Intune päätepisteen suojauskäytännöt | Suositeltu menetelmä ASR-sääntökäytäntöjen määrittämiseen ja jakamiseen laitteille. Edellyttää Microsoft Intune -palvelupaketti 1 (sisältyy tilauksiin, kuten Microsoft 365 E3 tai saatavilla erillisenä lisäosana). |
| mukautettujen profiilien Microsoft Intune OMA-URI:lla | Vaihtoehtoinen tapa määrittää ASR-sääntöjä Intune Open Mobile Alliance – Uniform Resource (OMA-URI) -profiilien avulla. |
| Mikä tahansa MDM-ratkaisu, joka käyttää Käytäntöjen CSP:tä | Käytä Windowsin käytännön määrityspalveluntarjoajaa (CSP) minkä tahansa MDM-ratkaisun kanssa. |
| Microsoft Configuration Manager | Käyttää Microsoft Defender virustentorjuntakäytäntöä Assets and compliance -työtilassa. |
| Ryhmäkäytäntö | Käytä keskitettyä ryhmäkäytäntö ASR-sääntöjen määrittämiseen ja jakamiseen toimialueeseen liitettyihin laitteisiin. Voit myös määrittää ryhmäkäytäntö paikallisesti yksittäisissä laitteissa. |
| PowerShell | Määritä ASR-säännöt paikallisesti yksittäisissä laitteissa. PowerShell tukee kaikkia ASR-sääntöjä. |
ASR-sääntöjen tiedosto- ja kansiopoikkeukset
Tärkeää
Tiedostojen tai kansioiden pois jättäminen voi heikentää ASR-sääntöjen suojausta huomattavasti. Pois jätettyjen tiedostojen suorittaminen on sallittua, eikä tiedostosta tallenneta raportteja tai tapahtumia. Jos ASR-säännöt tunnistavat tiedostoja, joita ei pitäisi havaita, testaa sääntö valvontatilassa.
Voit jättää pois tietyt tiedostot ja kansiot ASR-sääntöjen arvioimisesta. Vaikka ASR-sääntö määrittäisi, että tiedosto tai kansio sisältää haitallista toimintaa, se ei estä pois jätettyjen tiedostojen suorittamista.
Voit seuraavien menetelmien avulla jättää tiedostoja ja kansioita pois ASR-säännöistä:
Microsoft Defender virustentorjuntaa koskevat poikkeukset: Kaikki ASR-säännöt eivät kunnioita näitä poissulkemisia. Lisätietoja virustentorjunnan Microsoft Defender poissulkemisista on artikkelissa Mukautettujen poikkeusten määrittäminen Microsoft Defender virustentorjuntaa varten.
Vihje
Kaikki ASR-säännöt noudattavat Microsoft Defender virustentorjuntaohjelman prosessin poissulkemisia.
Yleiset ASR-säännön poissulkemiset: Nämä poikkeukset koskevat kaikkia ASR-sääntöjä. Kaikki ASR-säännön määritysmenetelmät tukevat myös yleisten ASR-säännön poissulkemisten määrittämistä.
ASR-säännön poissulkemiset: Määritä erilaisia poissulkemisia valikoivasti erilaisille ASR-säännöille. Vain seuraavat ASR-säännön määritysmenetelmät tukevat myös ASR-säännön poissulkemisten määrittämistä:
- ryhmäkäytäntö (ja vastaavat rekisteriasetukset)
- päätepisteiden suojauskäytännöt Microsoft Intune.
Kompromissien ilmaisimet: Useimmissa ASR-säännöissä noudatetaan estettyjen tiedostojen ja estettyjen varmenteiden IOC-tiloja. Lisätietoja IOC-tietokoneista on artikkelissa Yleiskatsaus Microsoft Defender for Endpoint ilmaisimista.
Erityyppisten poissulkemisten täytäntöönpano ASR-säännöille esitetään yhteenveto seuraavassa taulukossa:
| Säännön nimi | Kunnioittaa MDAV-tiedostoa ja kansiopoikkeukset |
Kunnioittaa maailmanlaajuista ASR:a Poikkeukset |
Asr-säännön kunnia Poikkeukset |
IOC-kutsut: Tiedostot |
IOC-kutsut: Todistukset |
|---|---|---|---|---|---|
| Standard suojaussäännöt | |||||
| Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen (Laite) | Y | Y | Y | Y | Y |
| Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä | N | Y | Y | N | N |
| Estä pysyvyys WMI-tapahtumatilauksen kautta | N | Y | Y | N | N |
| Muut ASR-säännöt | |||||
| Estä Adobe Readeria luomasta aliprosesseja | N | Y | Y | Y | Y |
| Estä aliprosessien luominen kaikilta Office-sovelluksilta | Y | Y | Y | Y | Y |
| Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista | Y | Y | Y | Y | Y |
| Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa | Y | Y | Y | Y | Y |
| Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen | Y | Y | Y | Y | Y |
| Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä | Y | Y | Y | Y | Y |
| Estä Office-sovelluksia luomasta suoritettavaa sisältöä | N | Y | Y | Y | Y |
| Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin | N | Y | Y | N | N |
| Estä Office-tietoliikennesovellusta luomasta aliprosesseja | N | Y | Y | Y | Y |
| Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista | N | Y | Y | Y | Y |
| Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa | Y | Y | Y | Y | Y |
| Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä | Y | Y | Y | Y | Y |
| Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen | Y | Y | Y | Y | Y |
| Estä verkkosellien luominen palvelimia varten | Y | Y | Y | Y | Y |
| Estä Win32-ohjelmointirajapintakutsut Office-makroista | Y | Y | Y | Y | N |
| Lisäsuojauksen käyttö kiristysohjelmia vastaan | Y | Y | Y | Y | Y |
Kun lisäät poissulkemisia, pidä mielessä seuraavat asiat:
Poissulkemispolut voivat käyttää ympäristömuuttujia ja yleismerkkejä. Lisätietoja on kohdassa Yleismerkkien käyttäminen tiedostonimi- ja kansiopolkujen tai tunnisteiden poissulkemisluetteloissa.
Vihje
Älä käytä käyttäjäympäristömuuttujia yleismerkkinä kansioissa ja prosessin poissulkemisissa. Käytä yleismerkkinä vain seuraavia ympäristömuuttujia:
- Järjestelmän ympäristömuuttujat.
- Ympäristömuuttujat, jotka koskevat NT AUTHORITY\SYSTEM -tilinä suoritettavia prosesseja.
Luettelo järjestelmän ympäristömuuttujista on kohdassa Järjestelmän ympäristömuuttujat.
- Yleismerkkejä ei voi määrittää asemakirjainta.
- Jos haluat jättää polusta pois useita kansioita
\*\, käytä useita -esiintymiä ilmaisemaan useita sisäkkäisia kansioita. Esimerkiksic:\Folder\*\*\Test. - Microsoft Configuration Manager tukee yleismerkkejä (
*tai?). - Jos haluat jättää pois tiedoston, joka sisältää satunnaisia merkkejä (esimerkiksi automaattisesta tiedoston luomisesta), käytä symbolia
?. EsimerkiksiC:\Folder\fileversion?.docx.
Poissulkemisia sovelletaan vain, kun sovellus tai palvelu käynnistyy. Jos esimerkiksi lisäät poissulkemisen jo käynnissä olevalle päivityspalvelulle, päivityspalvelu käynnistää ASR-säännöntunnistukset, kunnes käynnistät palvelun uudelleen.
Käytäntöristiriidat ASR-säännöissä
Jos samalle laitteelle on määritetty kaksi erilaista ASR-sääntökäytäntöä, mahdollisia ristiriitoja voi esiintyä seuraavien elementtien perusteella:
- Määrittää, onko samat ASR-säännöt määritetty eri tiloissa.
- Onko ristiriitojen hallinta käytössä.
- Onko tulos virhe.
Ei-rajoittamattomat ASR-säännöt eivät aiheuta virheitä. Käytetään ensimmäistä sääntöä, ja sen jälkeiset yhteensovintamattomat säännöt yhdistetään käytäntöön.
Jos mobiililaitteiden hallintaratkaisu (MDM) ja ryhmäkäytäntö käyttää eri ASR-sääntöasetuksia samassa laitteessa, ryhmäkäytäntö asetukset ovat etusijalla.
Lisätietoja siitä, miten ASR-sääntöasetusten ristiriidat käsitellään Microsoft Intune käytettävissä olevissa käyttöönottotavoissa, on artikkelissa Intune hallitsemat laitteet.
ILMOITUKSET ja ilmoitukset ASR-säännöille
Kun ASR-sääntö Block - tai Warn-tilassa käynnistyy laitteessa, laitteessa näytetään ilmoitus. Voit mukauttaa ilmoitusten tietoja. Lisätietoja on artikkelissa Yhteystietojen mukauttaminen Windowsin suojaus.
Endpoint Detection and Response (EDR) -hälytykset Defender for Endpointissa luodaan, kun tuetut ASR-säännöt käynnistetään.
Lisätietoja ilmoitus- ja ilmoitustoiminnoista on kohdassa ASR-sääntötoimintojen ilmoitukset ja ilmoitukset.
Lisätietoja ASR-ilmoitusten toiminnasta Microsoft Defender portaalissa ja Windows Tapahtumienvalvonta laitteissa on artikkelissa Hyökkäyspinnan pienentämisen valvonta (ASR) -säännön toiminta.
VALVO ASR-säännön toimintaa
Katso täydelliset tiedot artikkelista Hyökkäyspinnan pienentämisen (ASR) säännön toiminnan valvonta.
Aiheeseen liittyvä sisältö
- Hyökkäyspinta-alan rajoittamisen (ASR) sääntöjen käyttöönotto-opas
- Hyökkäyspinnan vähentämissääntöjen (ASR) käyttöönoton suunnitteleminen
- Testaa hyökkäyspinnan vähentämissääntöjen (ASR) käyttöönottoa
- Ota käyttöön hyökkäyspinta-alan rajoittamisen (ASR) säännöt
- Hyökkäyspinnan vähentämissääntöjen käyttöönoton hallinta ja valvonta
- Hyökkäyspinnan pienentämisen (ASR) sääntöjen toiminnan valvonta
- Hyökkäyksen pinnan pienentämisen (ASR) sääntöjen raportti
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset