Hyökkäyspinta-alan rajoittamisen (ASR) sääntöjen viittaus

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 2

Hyökkäyspinnan vähentämisen (ASR) säännöt kohdistuvat riskialttiisiin ohjelmistokäyttäytymisiin Windows-laitteissa, joita hyökkääjät yleisesti hyödyntävät haittaohjelmien kautta (esimerkiksi käynnistämällä komentosarjoja, jotka lataavat tiedostoja, suorittamalla hämärtyviä komentosarjoja ja injektoimalla koodia muihin prosesseihin). Lisätietoja ASR-säännöistä on kohdassa Hyökkäyspinnan vähentämisen (ASR) sääntöjen yleiskatsaus.

Tämä artikkeli on ASR-sääntöjen tekninen viite, joka sisältää seuraavat tiedot:

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Käyttöjärjestelmän tuki ASR-säännöille

ASR-säännöt ovat Microsoft Defender virustentorjuntatoiminto, joka on käytettävissä missä tahansa Windowsin versiossa, joka sisältää Microsoft Defender virustentorjuntaohjelman (esimerkiksi Windows 11 Home). Voit määrittää ASR-sääntöjä paikallisesti PowerShellin tai ryhmäkäytäntö avulla.

Seuraavassa taulukossa kuvataan Microsoft Defender for Endpoint ASR-sääntöjen käyttöjärjestelmätuki, joka tarjoaa keskitetyn hallinnan, raportoinnin ja hälytykset Microsoft Intune, Microsoft Configuration Manager ja Microsoft Defender portaali:

Säännön nimi Windows 11 tai uudempi Windows 10 Windows Server 2019 tai uudempi versio Windows Server 2016* Windows Server 2012 R2*
Standard suojaussäännöt
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen (Laite) Y 1709 tai uudempi Y Windows Server 1803 (SAC) tai uudempi versio Y
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä Y 1803 tai uudempi Y Y Y
Estä pysyvyys WMI-tapahtumatilauksen kautta Y 1903 tai uudempi Windows Server 1903 (SAC) tai uudempi versio N N
Muut ASR-säännöt
Estä Adobe Readeria luomasta aliprosesseja Y 1809 tai uudempi Y Y Y
Estä aliprosessien luominen kaikilta Office-sovelluksilta Y 1709 tai uudempi Y Y Y
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista Y 1709 tai uudempi Y Y Y
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa Y 1803 tai uudempi Y Y Y
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Y 1709 tai uudempi Y Y Y
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä Y 1709 tai uudempi Y N N
Estä Office-sovelluksia luomasta suoritettavaa sisältöä Y 1709 tai uudempi Y Y Y
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin Y 1709 tai uudempi Y Y Y
Estä Office-tietoliikennesovellusta luomasta aliprosesseja Y 1709 tai uudempi Y Y Y
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista Y 1803 tai uudempi Y Y Y
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa Y 1709 tai uudempi Y Y Y
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Y 1709 tai uudempi Y Y Y
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen Y 1709 tai uudempi Y Y Y
Estä verkkosellien luominen palvelimia varten Ei käytettävissä Ei käytettävissä Vain Exchange-palvelimet Vain Exchange-palvelimet N
Estä Win32-ohjelmointirajapintakutsut Office-makroista Y 1709 tai uudempi Ei käytettävissä Ei käytettävissä Ei käytettävissä
Lisäsuojauksen käyttö kiristysohjelmia vastaan Y 1803 tai uudempi Y Y Y

*Tuetut ASR-säännöt Windows Server 2016 ja Windows Server 2012 R2 edellyttävät perehdytystä nykyaikaisen yhdistetyn ratkaisupaketin avulla. Lisätietoja on artikkelissa Uuden Windows Server 2012 R2 ja 2016 toiminnot modernissa yhdistetyssä ratkaisussa.

ASR-sääntöjen käyttöönottomenetelmän tuki

Vaikka Defender for Endpoint tukee ASR-sääntöjä, sääntöjen käyttöönotto laitteissa edellyttää erillistä palvelua. Tuetut menetelmät ASR-sääntöjen käyttöönottamiseksi on kuvattu seuraavassa taulukossa.

Säännön nimi Intune Kokoonpanon hallinta MDM CSP Keskitetty ryhmäkäytäntö
Standard suojaussäännöt
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen (Laite) Y N Y Y
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä Y 1802 tai uudempi Y Y
Estä pysyvyys WMI-tapahtumatilauksen kautta Y N Y Y
Muut ASR-säännöt
Estä Adobe Readeria luomasta aliprosesseja Y N Y Y
Estä aliprosessien luominen kaikilta Office-sovelluksilta Y 1710 tai uudempi Y Y
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista Y 1710 tai uudempi Y Y
Estä suoritettavien tiedostojen suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa[1] Y 1802 tai uudempi Y Y
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Y 1710 tai uudempi Y Y
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä Y 1710 tai uudempi Y Y
Estä Office-sovelluksia luomasta suoritettavaa sisältöä Y 1710 tai uudempi Y Y
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin Y 1710 tai uudempi Y Y
Estä Office-tietoliikennesovellusta luomasta aliprosesseja Y N Y Y
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista Y N Y Y
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa Y N Y Y
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Y 1802 tai uudempi Y Y
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen Y N Y Y
Estä verkkosellien luominen palvelimia varten Y N Y Y
Estä Win32-ohjelmointirajapintakutsut Office-makroista Y 1710 tai uudempi Y Y
Lisäsuojauksen käyttö kiristysohjelmia vastaan Y 1802 tai uudempi Y Y

Vihje

Voit myös määrittää ASR-sääntöjä paikallisesti yksittäisissä laitteissa käyttämällä ryhmäkäytäntö tai PowerShelliä. Molemmat menetelmät tukevat kaikkia ASR-sääntöjä paikallisissa laitteissa.

1 Tällä hetkellä tämä ASR-sääntö ei ehkä ole käytettävissä asr Intune käytännön määrityksessä tunnetun taustaongelman vuoksi. Sääntö on kuitenkin käytettävissä muiden käytettävissä olevien ASR-käytännön määritysmenetelmien tai aiemmin luotujen asr-käytäntöjen Intune, jotka on luotu ennen ongelmaa.

ILMOITUKSET ASR-sääntötoiminnoista

Seuraavassa taulukossa kuvataan organisaation ja paikalliset hälytykset, joita aktiiviset ASR-säännöt voivat luoda.

  • EDR-ilmoitusten arvo ilmaisee, luoko Block- tai Warn-tilanASR-sääntö Endpoint Detection and Response (EDR) -hälytyksiä Defender for Endpointiin.
  • Käyttäjän ilmoitusten arvo ilmaisee, tukeeko ASR-sääntö käyttäjän ilmoitusten ponnahdusikkuntoja Estä- vai Varoita-tilassa (jos sääntö tukee Varoitus-tilaa).
Säännön nimi EDR-hälytykset Käyttäjä
Ilmoitukset
Standard suojaussäännöt
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen (Laite) N Y
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä[1] N N
Estä pysyvyys WMI-tapahtumatilauksen kautta Y Y
Muut ASR-säännöt
Estä Adobe Readeria luomasta aliprosesseja[²] Y Y
Estä aliprosessien luominen kaikilta Office-sovelluksilta N Y
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista[²] Y Y
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa N Y
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Y Y
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä[²] Y Y
Estä Office-sovelluksia luomasta suoritettavaa sisältöä N Y
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin[¹] N Y
Estä Office-tietoliikennesovellusta luomasta aliprosesseja N Y
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista N Y
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa N N
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Y Y
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen N Y
Estä verkkosellien luominen palvelimia varten N N
Estä Win32-ohjelmointirajapintakutsut Office-makroista Y N
Lisäsuojauksen käyttö kiristysohjelmia vastaan Y Y

¹ Tämä ASR-sääntö ei tue Warn-tilaa .

² Tällä Block- tai Warn-tilan ASR-säännöllä on seuraavat lisävaatimukset Microsoft Defender virustentorjuntaohjelman pilvisuojaustasolla:

  • EDR-hälytykset luodaan vain, kun laitteen pilvisuojataso on suuri plus- tai nollatoleranssi.
  • Käyttäjän ilmoitusten ponnahdusikkunat luodaan vain, kun laitteen pilvisuojaustaso on Suuri, Suuri plus- tai Nollatoleranssi.

ASR-säännön tiedot

Standard suojaussäännöt

Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen (Laite)

Paikalliset sovellukset, joilla on riittävät oikeudet , voivat hyödyntää haavoittuvassa asemassa olevia allekirjoitettuja ohjaimia päästäkseen käyttöjärjestelmän ytimeen. Haavoittuvassa asemassa olevat allekirjoitetut ohjaimet mahdollistavat sen, että hyökkääjät voivat poistaa suojausratkaisuja käytöstä tai kiertää niitä, mikä johtaa lopulta järjestelmän vaarantumiseen.

Tämä ASR-sääntö estää sovelluksia tallentamasta haavoittuvassa asemassa olevia allekirjoitettuja ohjaimia tietokoneeseen. Se ei estä aiemmin luotujen ohjainten lataamista tietokoneeseen.

  • Microsoft Intune nimi:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager nimi: n/a
  • GUID-tunnus: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Riippuvuudet: ei mitään

Huomautus

Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä

Huomautus

Jos otit käyttöön LSA (Local Security Authority) -suojauksen (suositus ja tunnistetietosuoja):

  • Tätä ASR-sääntöä ei tarvita.
  • Tämä ASR-sääntö ei tarjoa ylimääräistä suojausta (ASR-sääntö ja LSA-suojaus toimivat samalla tavalla).
  • Tämä ASR-sääntö on luokiteltu ei-soveltuvaksi Defender for Endpoint -hallinta-asetuksissa Microsoft Defender portaalissa.

Tämä ASR-sääntö auttaa estämään tunnistetietojen varastamisen lukitsemalla paikallisen suojausviranomaisen alijärjestelmäpalvelun (LSASS). LSASS todentaa käyttäjät, jotka kirjautuvat sisään Windows-tietokoneisiin. Yleensä Windowsin tunnistetietojen suojaus estää yritykset noutaa tunnistetiedot LSASS:stä.

Monet prosessit tekevät LSASS:lle tarpeettomia kutsuja käyttöoikeuksista, joita ei tarvita. Tämä toiminto aiheuttaa huomattavaa ASR-säännön kohinaa, mutta ei estä toimintoja. Esimerkiksi Google Chrome päivittää LSASS:n tarpeettomasti, koska salasanat tallennetaan laitteen LSASS-palveluun. Tämän ASR-säännön aktivoiminen laitteessa estää Chrome-päivityksiä käyttämästä LSASS:ia, mutta ei estä Chromea päivittämästä. Nämä ASR-sääntötapahtumat ovat hyviä, koska Chrome-ohjelmistopäivitysprosessin ei pitäisi käyttää LSASS:ia.

Lisätietoja LSASS-prosessikutsuissa yleensä pyydetyistä oikeustyypeistä on kohdassa Prosessisuojaus ja käyttöoikeusoikeudet.

Jotkin organisaatiot eivät voi ottaa tunnistetietojen suojausta käyttöön mukautettujen älykorttiohjainten tai muiden LSA:han latautuvien ohjelmien yhteensopivuusongelmien vuoksi. Näissä tapauksissa hyökkääjät voivat käyttää Mimikatzin kaltaisia työkaluja tyhjentääkseen tekstisalasanoja ja NTLM-hajautuksia LSASS:stä.

Jos et pysty ottamaan LSA-suojausta ja/tai tunnistetietojen suojausta käyttöön, voit määrittää tämän säännön tarjoamaan vastaavan suojan haittaohjelmia vastaan, jotka kohdistuvat kohteeseen lsass.exe.

  • Microsoft Intune nimi:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager nimi:Block credential stealing from the Windows local security authority subsystem
  • GUID-tunnus: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

  • Tämä ASR-sääntö ei tue varoitustilaa .
  • Tämä ASR-sääntö tuottaa suuren määrän valvontatapahtumia, joista lähes kaikki on turvallisia jättää huomiotta, kun sääntö on käytössä Lohko-tilassa . Voit ohittaa valvontatilan arvioinnin ja jatkaa tilan käyttöönoton estämiseen. Microsoft suosittelee aloittamaan pienestä laitejoukosta ja laajentamaan vähitellen kattamaan loput.
  • Tämä ASR-sääntö estää ilmoitukset ja käyttäjän ilmoitusten ponnahdusikkunat ystävällismielisissä prosesseissa ja monistaa estotoiminnot.
  • Tämä ASR-sääntö estää LSASS-prosessimuistin käytön. Se ei estä prosessien suorittamista. Kun tämä ASR-sääntö estää esimerkiksi -prosessit svchost.exe, se tarkoittaa, että prosessi on estetty käyttämästä LSASS-prosessimuistia. Voit usein turvallisesti ohittaa näiden prosessien estämisen tällä ASR-säännöllä.
  • Jotkin sovellukset luetteloivat kaikki käynnissä olevat prosessit ja yrittävät avata ne tyhjentävällä käyttöoikeudella. Tämä ASR-sääntö estää sovelluksen avoimet prosessitoiminnot ja tallentaa tiedot Windows Tapahtumienvalvonta suojauslokiin. Tämä sääntö voi tuottaa lukuisia melua. Jos sinulla on sovellus, joka vain luetteloi LSASS:n, mutta jolla ei ole todellista vaikutusta toimintoihin, sitä ei tarvitse lisätä poissulkemisluetteloon. Tämä tapahtumalokin merkintä ei välttämättä tarkoita pahantahtoista uhkaa.
  • Tällä ASR-säännöllä on ongelmia Quest Dirsync -salasanasynkronoinnin kanssa. Lisätietoja on kohdassa Dirsync-salasanasynkronointi ei toimi, kun Windows Defender asennetaan. Virhe: VirtualAllocEx epäonnistui: 5 (4253914).
  • Tällä säännöllä on rajoitettu poissulkemistuki. Lisätietoja on artikkelissa ASR-sääntöjen tiedosto- ja kansiopoikkeukset.

Estä pysyvyys WMI-tapahtumatilauksen kautta

Tämä ASR-sääntö estää haittaohjelmia käyttämästä WMI:tä väärin saadakseen pysyvyyden laitteissa.

Tiedostottomat uhat käyttävät erilaisia taktiikoita pysyäkseen piilossa, välttääkseen näkymisen tiedostojärjestelmässä ja saadakseen säännöllistä hallintaa. Jotkin uhat voivat käyttää väärin WMI-säilöä ja tapahtumamallia pysyäkseen piilossa.

  • Microsoft Intune nimi:Block persistence through WMI event subscription
  • Microsoft Configuration Manager nimi: n/a
  • GUID-tunnus: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta, RPC

Huomautus

  • Tätä sääntöä ei tueta, kun se otetaan käyttöön Microsoft Intune kautta Windows Server 2012 R2:een tai Windows Server 2016:een käyttäen modernia yhdistettyä ratkaisua.
  • Jos käytät Microsoft Configuration Manager, Microsoft suosittelee tämän ASR-säännön laajaa testausta valvontatilassa, ennen kuin siirryt Esto-tilaan. Kokoonpanon hallinta asiakas luottaa vahvasti WMI:hen.
  • Tällä säännöllä on rajoitettu poissulkemistuki. Lisätietoja on artikkelissa ASR-sääntöjen tiedosto- ja kansiopoikkeukset.

Muut ASR-säännöt

Estä Adobe Readeria luomasta aliprosesseja

Tämä ASR-sääntö estää hyökkäyksiä estämällä Adobe Readeria luomasta prosesseja.

Haittaohjelmat voivat ladata ja käynnistää hyötykuormat ja irtaudu Adobe Readerista sosiaalisen suunnittelun tai hyväksikäyttöjen kautta. Estämällä Adobe Readeria luomasta aliprosesseja haittaohjelmistoa, joka yrittää käyttää Adobe Readeria hyökkäysvektorina, estetään leviämästä.

  • Microsoft Intune nimi:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager nimi: n/a
  • GUID-tunnus: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

Estä aliprosessien luominen kaikilta Office-sovelluksilta

Tämä sääntö estää Office-sovelluksia luomasta aliprosesseja. Office-sovellukset sisältävät Word, Excelin, PowerPointin, OneNoten ja Accessin.

Haitallisten aliprosessien luominen on yleinen haittaohjelmastrategia. Haittaohjelma, joka väärinkäyttää Officea vektorina, suorittaa usein VBA-makroja ja hyödyntää koodia ladatakseen ja yrittääkseen suorittaa enemmän hyötykuormaa. Jotkin lailliset toimialasovellukset saattavat kuitenkin luoda aliprosesseja hyväntahtoisiin tarkoituksiin. Voit esimerkiksi luoda komentokehotteen tai määrittää rekisteriasetukset PowerShellin avulla.

  • Microsoft Intune nimi:Block all Office applications from creating child processes
  • Microsoft Configuration Manager nimi:Block Office application from creating child processes
  • GUID-tunnus: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

Tämä sääntö pakotetaan käyttöön vain, jos Office on asennettu sijainteihin tai %ProgramFiles(x86)% sijainteihin %ProgramFiles% (oletusarvoisesti C:\Program Files ja C:\Program Files (x86)).

Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista

Tämä sääntö estää Microsoft Outlookissa, Outlook.com ja muissa suosituissa verkkosähköpostipalveluissa avattuja sähköpostiviestejä levittämästä seuraavia tiedostotyyppejä:

  • Suoritettavat tiedostot (esimerkiksi .exe, .dll tai .scr).

  • Komentosarjatiedostot (esimerkiksi .ps1, .vbs tai .js).

  • Arkisto tiedostoja (esimerkiksi .zip).

  • Microsoft Intune nimi:Block executable content from email client and webmail

  • Microsoft Configuration Manager nimi:Block executable content from email client and webmail

  • GUID-tunnus: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Kehittynyt metsästystoiminnon tyyppi:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

  • Block- taiWarn-tilassa olevalla ASR-säännöllä on lisävaatimuksia Microsoft Defender virustentorjunnan pilvisuojaustasolla:
    • EDR-hälytykset luodaan vain, kun laitteen pilvisuojataso on suuri plus- tai nollatoleranssi.
    • Käyttäjän ilmoitusten ponnahdusikkunat luodaan vain, kun laitteen pilvisuojaustaso on Suuri, Suuri plus- tai Nollatoleranssi.
  • Tällä ASR-säännöllä on seuraavat vaihtoehtoiset kuvaukset:
    • Intune (kokoonpanoprofiilit):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Kokoonpanon hallinta:Block executable content download from email and webmail clients
    • ryhmäkäytäntö:Block executable content from email client and webmail

Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa

Vihje

Tällä hetkellä tämä ASR-sääntö ei ehkä ole käytettävissä asr Intune käytännön määrityksessä tunnetun taustaongelman vuoksi. Sääntö on kuitenkin käytettävissä muiden käytettävissä olevien ASR-käytännön määritysmenetelmien tai aiemmin luotujen ASR Intune käytäntöjen kautta.

Tämä ASR-sääntö estää suoritettavan tiedoston käynnistymisen (esimerkiksi .exe, .dll tai .scr). Epäluotettavien tai tuntemattomien suoritettavan tiedoston käynnistäminen voi olla riskialtista, koska aluksi ei ole selvää, ovatko tiedostot haitallisia.

  • Microsoft Intune nimi:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager nimi:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID-tunnus: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta, pilvisuojaus

Huomautus

Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen

Tämä ASR-sääntö havaitsee epäilyttäviä ominaisuuksia hämärtyneessä komentosarjassa.

Komentosarjojen obfuscation on yleinen tekniikka, jota sekä haittaohjelmien tekijät että lailliset sovellukset käyttävät immateriaalioikeuksien piilottamiseen tai komentosarjojen latausaikojen lyhentämiseen. Haittaohjelmien tekijät käyttävät myös hämäystä vaikeuttaakseen haitallisen koodin lukemista, mikä haittaa ihmisten ja tietoturvaohjelmistojen tiivistä valvontaa.

  • Microsoft Intune nimi:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager nimi:Block execution of potentially obfuscated scripts
  • GUID-tunnus: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta, haittaohjelmien torjuntaliittymä (AMSI), pilvisuojaus

Huomautus

Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä

Tämä ASR-sääntö estää komentosarjoja käynnistämästä mahdollisesti haitallista ladattua sisältöä. JavaScriptillä tai VBScriptillä kirjoitettu haittaohjelma toimii usein lataajana muiden haittaohjelmien hakemiseksi ja käynnistämiseksi Internetistä. Vaikka se ei ole yleistä, toimialakohtaisissa sovelluksissa käytetään joskus komentosarjoja asennussovellusten lataamiseen ja käynnistämiseen.

  • Microsoft Intune nimi:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager nimi:Block JavaScript or VBScript from launching downloaded executable content
  • GUID-tunnus: d3e037e1-3eb8-44c8-a917-57927947596d
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta, haittaohjelmien torjunnan tarkistusliittymä (AMSI)

Huomautus

  • Tätä sääntöä ei tueta, kun se otetaan käyttöön Microsoft Intune kautta Windows Server 2012 R2:een tai Windows Server 2016:een käyttäen modernia yhdistettyä ratkaisua.

  • Block- taiWarn-tilassa olevalla ASR-säännöllä on lisävaatimuksia Microsoft Defender virustentorjunnan pilvisuojaustasolla:

    • EDR-hälytykset luodaan vain, kun laitteen pilvisuojataso on suuri plus- tai nollatoleranssi.
    • Käyttäjän ilmoitusten ponnahdusikkunat luodaan vain, kun laitteen pilvisuojaustaso on Suuri, Suuri plus- tai Nollatoleranssi.

Estä Office-sovelluksia luomasta suoritettavaa sisältöä

Tämä ASR-sääntö estää Office-sovellusten (esimerkiksi Word, Excelin ja PowerPointin) käytön vektorina haitallisten komponenttien tallentamiseksi levylle. Nämä haitalliset komponentit voivat selvitä tietokoneen uudelleenkäynnistyksestä ja jatkua järjestelmässä. Tämä sääntö puolustaa tätä pysyvyystekniikkaa vastaan seuraavasti:

  • Levylle kirjoitetun koodin käytön estäminen (avaaminen/suorittaminen).

  • Estää Office-makrojen tallentamien ei-luotettavia tiedostoja, jotka voidaan suorittaa Office-tiedostoissa.

  • Microsoft Intune nimi:Block Office applications from creating executable content

  • Microsoft Configuration Manager nimi:Block Office applications from creating executable content

  • GUID-tunnus: 3b576869-a4ec-4529-8536-b80a7769e899

  • Kehittynyt metsästystoiminnon tyyppi:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Riippuvuudet: Microsoft Defender virustentorjunta, RPC

Huomautus

Tällä säännöllä on rajoitettu poissulkemistuki. Lisätietoja on artikkelissa ASR-sääntöjen tiedosto- ja kansiopoikkeukset.

Officen asennussijainti ei vaikuta tähän ASR-sääntöön.

Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin

Tämä ASR-sääntö estää koodien lisäämisyritykset Office-sovelluksista muihin prosesseihin. Hyökkääjät saattavat yrittää siirtää haitallista koodia muihin prosesseihin Office-sovellusten avulla koodin lisäämisen avulla, jotta koodi voidaan naamioida puhtaaksi prosessiksi. Koodin lisäämiseen ei ole olemassa tunnettuja laillisia liiketoimintatarkoituksia.

  • Microsoft Intune nimi:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager nimi:Block Office applications from injecting code into other processes
  • GUID-tunnus: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

  • Tämä ASR-sääntö ei tue varoitustilaa .
  • Tämä ASR-sääntö koskee Word, Exceliä, OneNotea ja PowerPointia.
  • Tämä ASR-sääntö edellyttää, että Microsoft 365 -sovellukset (Office-sovellukset) käynnistetään uudelleen, jotta määritysmuutokset tulevat voimaan.
  • Tällä säännöllä on rajoitettu poissulkemistuki. Lisätietoja on artikkelissa ASR-sääntöjen tiedosto- ja kansiopoikkeukset.
  • Tämä ASR-sääntö ei ole yhteensopiva seuraavien sovellusten kanssa:
  • Tämä ASR-sääntö pakotetaan käyttöön vain, jos Office on asennettu -sijaintiin tai %ProgramFiles(x86)% -sijainteihin %ProgramFiles% (oletusarvoisesti C:\Program Files ja C:\Program Files (x86)).

Estä Office-tietoliikennesovellusta luomasta aliprosesseja

Tämä ASR-sääntö estää Outlookia luomasta aliprosesseja ja samalla sallimasta kelvollisia Outlook-funktioita. Tämä ASR-sääntö suojaa tältä:

  • Sosiaalisen suunnittelun hyökkäykset ja estävät koodia hyödyntämästä Outlookin haavoittuvuuksia väärin.

  • Outlookin säännöt ja lomakkeet hyödyntävät niitä , joita hyökkääjät voivat käyttää, kun käyttäjän tunnistetiedot ovat vaarantuneet.

  • Microsoft Intune nimi:Block Office communication application from creating child processes

  • Microsoft Configuration Manager nimi: n/a

  • GUID-tunnus: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Kehittynyt metsästystoiminnon tyyppi:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

Tällä säännöllä on rajoitettu poissulkemistuki. Lisätietoja on artikkelissa ASR-sääntöjen tiedosto- ja kansiopoikkeukset.

Tämä sääntö pakotetaan käyttöön vain, jos Office on asennettu sijainteihin tai %ProgramFiles(x86)% sijainteihin %ProgramFiles% (oletusarvoisesti C:\Program Files ja C:\Program Files (x86)).

Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista

Tärkeää

Jos käytät Microsoft Configuration Manager, älä käytä muita käytettävissä olevia käyttöönottotapoja tämän säännön käyttöön ottamiseksi hallituissa laitteissa. Kokoonpanon hallinta asiakas luottaa vahvasti WMI:hen.

Tämä ASR-sääntö estää PsExecin ja WMI :n kautta luotujen prosessien suorittamisen. PsExec ja WMI voivat suorittaa koodia etäyhteyden kautta. Haittaohjelmat voivat käyttää PsExeciä ja WMI:tä komentoihin ja hallintaan tai verkkotartuntojen levittämiseen.

  • Microsoft Intune nimi:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager nimi: n/a
  • GUID-tunnus: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

Tällä säännöllä on rajoitettu poissulkemistuki. Lisätietoja on artikkelissa ASR-sääntöjen tiedosto- ja kansiopoikkeukset.

Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa

Tämä ASR-sääntö estää usein väärinkäytetyt komennot, kuten bcdedit Windows-tietokoneet, ja bootcfg käynnistää ne uudelleen vikasietotilassa. Vikasietotilassa monet suojaustuotteet on poistettu käytöstä tai niitä suoritetaan rajoitetuin toimin. Vikasietotilan avulla hyökkääjät voivat edelleen käynnistää peukalointikomentoja tai suorittaa ja salata kaikkia tietokoneen tiedostoja.

Vikasietotilaa voi edelleen käyttää manuaalisesti Windowsin palautusympäristöstä.

  • Microsoft Intune nimi:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager nimi: n/a
  • GUID-tunnus: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

Tällä hetkellä Microsoft Defenderin haavoittuvuuksien hallinta ei tunnista tätä sääntöä. Hyökkäyspinnan vähentämisen (ASR) sääntöjen raportissa tämä sääntö näkyy Ei käytettävissä.

Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä

Tämä ASR-sääntö estää allekirjoittamattomia tai ei-luotettuja suoritettavia tiedostoja (esimerkiksi .exe, .dll tai .scr) suorittamasta USB-siirrettäviltä asemista, mukaan lukien SD-kortit.

Tämä ASR-sääntö ei estä tiedostojen kopioimista USB-asemasta levylle. Se estää kopioitujen tiedostojen suorittamisen levyltä.

  • Microsoft Intune nimi:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager nimi:Block untrusted and unsigned processes that run from USB
  • GUID-tunnus: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta

Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen

Tämä ASR-sääntö estää Windows-järjestelmätyökalujen kopioiksi (kaksoiskappaleiksi tai imposteiksi) tunnistettujen suoritettavan tiedoston levittämisen ja käytön. Jotkin haittaohjelmat saattavat yrittää kopioida tai tekeytyä Windows-järjestelmätyökaluksi välttääkseen tunnistamisen tai oikeuksien hankkimisen. Tällaisten suoritettavien tiedostojen salliminen voi johtaa mahdollisiin hyökkäyksiin.

  • Microsoft Intune nimi:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager nimi: n/a
  • GUID-tunnus: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

Tällä hetkellä Microsoft Defenderin haavoittuvuuksien hallinta ei tunnista tätä sääntöä. Hyökkäyspinnan vähentämisen (ASR) sääntöjen raportissa tämä sääntö näkyy Ei käytettävissä.

Estä verkkosellien luominen palvelimia varten

Tämä ASR-sääntö estää verkkoliittymän komentosarjojen luomisen Microsoft Exchange -palvelimilla. Verkkoliittymän komentosarja on muotoiltu komentosarja, jonka avulla hyökkääjä voi hallita vaarantunutta palvelinta. VERKKO-käyttöliittymän komentosarja voi sisältää seuraavat toiminnot:

  • Vastaanota ja suorita haitallisia komentoja.

  • Lataa ja suorita haitallisia tiedostoja.

  • Varasta ja suodata tunnistetiedot ja luottamukselliset tiedot.

  • Tunnista mahdolliset tavoitteet.

  • Microsoft Intune nimi:Block Webshell creation for Servers

  • Microsoft Configuration Manager nimi: n/a

  • GUID-tunnus: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Kehittynyt metsästystoimintatyyppi: ei

  • Riippuvuudet: Microsoft Defender virustentorjunta

Huomautus

  • Tätä sääntöä ei tueta, kun se otetaan käyttöön Microsoft Intune kautta Windows Server 2012 R2:een tai Windows Server 2016:een käyttäen modernia yhdistettyä ratkaisua.
  • Jos hallitset ASR-sääntöjä Microsoft Defender for Endpoint, älä määritä tätä ASR-asetusta ryhmäkäytäntö tai muissa paikallisissa asetuksissa (jätä arvoksi Not Configured). Mikä tahansa muu arvo (esimerkiksi Enabled tai Disabled) voi aiheuttaa ristiriitoja ja estää säännön oikean käyttämisen.
  • Tällä hetkellä Microsoft Defenderin haavoittuvuuksien hallinta ei tunnista tätä sääntöä. Hyökkäyspinnan vähentämisen (ASR) sääntöjen raportissa tämä sääntö näkyy Ei käytettävissä.

Estä Win32-ohjelmointirajapintakutsut Office-makroista

Office Visual Basic for Applications (VBA) ottaa käyttöön Win32-ohjelmointirajapintakutsut. Tämä ASR-sääntö estää VBA-makroja kutsumasta Win32-ohjelmointirajapintoja. Haittaohjelma voi käyttää tätä ominaisuutta väärin, kuten kutsua Win32-ohjelmointirajapintoja käynnistääkseen haitallisen shellcoden kirjoittamatta mitään suoraan levylle.

Useimmat organisaatiot eivät vaadi Win32-ohjelmointirajapintakutsuja VBA-makroista, vaikka ne käyttäisivät makroja muilla tavoin.

  • Microsoft Intune nimi:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager nimi:Block Win32 API calls from Office macros
  • GUID-tunnus: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta, haittaohjelmien torjunnan tarkistusliittymä (AMSI)

Lisäsuojauksen käyttö kiristysohjelmia vastaan

Huomautus

Tämä ASR-sääntö tarjoaa ylimääräisen suojakerroksen kiristyshaittaohjelmia vastaan. Se käyttää sekä asiakas- että pilvi heuristiikkoja määrittääkseen, muistuttaako tiedosto kiristyshaittaohjelmia. Tämä sääntö ei estä tiedostoja, joilla on vähintään yksi seuraavista ominaisuuksista:

  • Tiedosto ei ole vahingoittunut Microsoftin pilvipalvelussa.
  • Tiedosto on kelvollinen allekirjoitettu tiedosto.
  • Tiedosto on tarpeeksi yleinen, ettei sitä pidetä kiristyshaittaohjelmana.

Tämä sääntö ei estä vain tiedostoja, joilla on huono maine. Sen sijaan sääntö erehtyy varovaisuuden puolella ja estää myös tiedostot , joilla ei ole vielä positiivista mainetta. Yleensä hyvänlaatuisia, tuntemattomia tiedostoja koskevat lohkot ratkeavat lopulta itse. Tiedoston maine ja luottamusarvot lisääntyvät asteittain ei-ongelmallisen käytön kasvaessa.

Jos hyvänlaatuisten, tuntemattomien tiedostojen lohkoja ei ratkaista ajoissa, voit määrittää asr-säännön poissulkemisen tälle säännölle tai käyttää Salli-toimintoa kompromissin ilmaisimessa (IoC).

  • Microsoft Intune nimi:Use advanced protection against ransomware
  • Microsoft Configuration Manager nimi:Use advanced protection against ransomware
  • GUID-tunnus: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Kehittynyt metsästystoiminnon tyyppi:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Riippuvuudet: Microsoft Defender virustentorjunta, pilvisuojaus

Aiheeseen liittyvä sisältö

  • Last updated on