חומר עזר לכללי הפחתת פני השטח של ההתקפה
חל על:
- Microsoft Microsoft Defender XDR עבור תוכנית נקודת קצה 1
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
- האנטי-וירוס של Microsoft Defender
פלטפורמות:
- Windows
מאמר זה מספק מידע על Microsoft Defender עבור נקודת קצה ההפחתה של משטח התקיפה (כללי ASR):
- כללי ASR נתמכים בגירסאות מערכת ההפעלה
- כללי ASR מערכות ניהול תצורה נתמכות
- לכל התראת כלל ASR ופרטי הודעה
- מטריצת כלל ASR ל- GUID
- מצבי כלל ASR
- תיאורים לפי כלל
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
עצה
כמלווה למאמר זה, עיין במדריך ההגדרה Microsoft Defender עבור נקודת קצה כדי לסקור את שיטות העבודה המומלצות וללמוד על כלים חיוניים כגון הפחתת פני השטח של ההתקפה וההגנה מהדור הבא. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של Defender for Endpoint מרכז הניהול של Microsoft 365.
כללים להקטנת פני השטח של ההתקפה לפי סוג
כללים להפחתת פני השטח של ההתקפה מסווגים לאחד משני סוגים:
כללי הגנה סטנדרטיים: האם קבוצת הכללים המינימלית ש- Microsoft ממליצה לך להפוך לזמינים תמיד, בזמן שאתה מעריך את צרכי ההשפעה והתצורה של כללי ה- ASR האחרים. לכללים אלה יש בדרך כלל השפעה מינימלית עד לא משמעותית על משתמש הקצה.
כללים אחרים: כללים המחייבים מידה מסוימת של ביצוע שלבי הפריסה מתוכם [בדיקת > תוכנית (ביקורת) > הפוך לזמין (מצבי חסימה/אזהרה)], כפי שמפורט במדריך הפריסה של כללי צמצום שטח התקיפה
לקבלת השיטה הקלה ביותר להאפשר את כללי ההגנה הרגילים, ראה: אפשרות הגנה רגילה פשוטה יותר.
שם כלל ASR: | כלל הגנה סטנדרטי? | כלל אחר? |
---|---|---|
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים | כן | |
חסימת Adobe Reader ביצירת תהליכי צאצא | כן | |
חסימת כל יישומי Office ביצירת תהליכי צאצא | כן | |
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) | כן | |
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט | כן | |
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה | כן | |
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים | כן | |
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד | כן | |
חסימת יצירת תוכן בר הפעלה ביישומי Office | כן | |
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים | כן | |
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office | כן | |
חסימת התמדה באמצעות מנוי לאירוע WMI | כן | |
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI | כן | |
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה) | כן | |
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB | כן | |
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה) | כן | |
חסימת יצירת Webshell עבור שרתים | כן | |
חסימת שיחות API של Win32 מפקודות מאקרו של Office | כן | |
השתמש בהגנה מתקדמת מפני תוכנות כופר | כן |
Microsoft Defender של אנטי-וירוס וכללי ASR
Microsoft Defender של אנטי-וירוס חלים על כמה Microsoft Defender עבור נקודת קצה, כגון חלק מהכללים להפחתת פני השטח של ההתקפה.
כללי ASR הבאים אינם מכבדים את Microsoft Defender אנטי-וירוס:
הערה
לקבלת מידע אודות קביעת תצורה של אי-הכללים לפי כלל, עיין בסעיף 'קביעת תצורה של כללי ASR לכל כלל' שלא ייכללו בנושא כללי צמצום פני השטח של התקיפה של הבדיקה.
כללי ASR ומחווני נקודת קצה של Defender עבור פשרה (IOC)
כללי ASR הבאים אינם מכבדים את Microsoft Defender עבור נקודת קצה של סכנה (IOC):
שם כלל ASR | תיאור |
---|---|
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) | אינו מכבד מחוונים של סכנה עבור קבצים או אישורים. |
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים | אינו מכבד מחוונים של סכנה עבור קבצים או אישורים. |
חסימת שיחות API של Win32 מפקודות מאקרו של Office | אינו מכבד תעודות לסכנה. |
כללי ASR במערכות הפעלה נתמכות
הטבלה הבאה מפרטת את מערכות ההפעלה הנתמכות עבור כללים שמופצים כעת לזמינות כללית. הכללים מופיעים בסדר אלפביתי בטבלה זו.
הערה
אלא אם צוין אחרת, גירסת ה- Build המינימלית של Windows10 היא גירסה 1709 (RS3, גירסת Build מס' 16299) ואילך; גירסת ה- Build המינימלית של Windows Server היא גירסה 1809 ואילך. כללי הפחתת פני השטח של ההתקפה ב- Windows Server 2012 R2 וב- Windows Server 2016 זמינים עבור מכשירים הקלוטו באמצעות חבילת הפתרונות המאוחדת המודרנית. לקבלת מידע נוסף, ראה פונקציונליות חדשה של Windows Server 2012 R2 ו- 2016 בפתרון המאוחד המודרני.
(1) מתייחס לפתרון המאוחד המודרני עבור Windows Server 2012 ו- Windows Server 2016. לקבלת מידע נוסף, ראה צירוף שרתי Windows לשירות נקודות הקצה של Defender for.
(2) עבור Windows Server 2016 ו- Windows Server 2012 R2, הגירסה המינימלית הנדרשת של Microsoft Endpoint Configuration Manager היא גירסה 2111.
(3) מספר גירסה וגירסת Build חל רק על Windows10.
כללי ASR מערכות ניהול תצורה נתמכות
קישורים למידע אודות גירסאות מערכת ניהול תצורה המוזכרות בטבלה זו מפורטים מתחת לטבלה זו.
(1) באפשרותך לקבוע את התצורה של כללי הפחתת פני השטח של ההתקפה על בסיס כל כלל על-ידי שימוש ב- GUID של כל כלל.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM עכשיו Microsoft Configuration Manager.
לכל התראת כלל ASR ופרטי הודעה
הודעות מוקפצות נוצרות עבור כל הכללים במצב חסימה. כללים בכל מצב אחר אינם יוצרים הודעות מוקפצות.
עבור כללים עם "מצב הכלל" שצוין:
- כללי ASR עם
\ASR Rule, Rule State\
שילובים משמשים כדי להציג התראות (הודעות מוקפצות) Microsoft Defender עבור נקודת קצה רק עבור מכשירים ברמת הבלוק בענן 'גבוה'. - מכשירים שאינם ברמה העליונה של חסימת ענן אינם יוצרים התראות עבור שילובים
ASR Rule, Rule State
כלשהם - התראות EDR נוצרות עבור כללי ASR במצבים שצוינו, עבור מכשירים ברמת הבלוק בענן "High+"
- הודעות מוקפצות מתרחשות במצב חסימה בלבד ולמכשירים ברמת הבלוק בענן 'גבוה'
מטריצת כלל ASR ל- GUID
שם כלל | GUID של כלל |
---|---|
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
חסימת Adobe Reader ביצירת תהליכי צאצא | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
חסימת כל יישומי Office ביצירת תהליכי צאצא | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד | d3e037e1-3eb8-44c8-a917-57927947596d |
חסימת יצירת תוכן בר הפעלה ביישומי Office | 3b576869-a4ec-4529-8536-b80a7769e899 |
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
חסימת התמדה באמצעות מנוי לאירוע WMI * פריטים שאינם נכללים בקובץ ובתיקיה אינם נתמכים. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
חסימת יצירת Webshell עבור שרתים | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
חסימת שיחות API של Win32 מפקודות מאקרו של Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
השתמש בהגנה מתקדמת מפני תוכנות כופר | c1db55ab-c21a-4637-bb3f-a12568109d35 |
מצבי כלל ASR
- לא נקבעה תצורה או הפוך ללא זמין: המצב שבו כלל ה- ASR אינו זמין או אינו זמין. הקוד עבור מצב זה = 0.
- בלוק: המצב שבו כלל ה- ASR זמין. הקוד עבור מצב זה הוא 1.
- ביקורת: המצב שבו כלל ה- ASR מוערך עבור האפקט שיהיה לו על הארגון או הסביבה אם הוא זמין (מוגדר לחסום או להזהיר). הקוד עבור מצב זה הוא 2.
- להזהיר המצב שבו כלל ה- ASR זמין ומציג הודעה למשתמש הקצה, אך מאפשר למשתמש הקצה לעקוף את הבלוק. הקוד עבור מצב זה הוא 6.
מצב אזהרה הוא סוג מצב חסימה שהתראות למשתמשים אודות פעולות שעלולות להיות מסיכונים. המשתמשים יכולים לבחור לעקוף את הודעת האזהרה של הבלוק ולאפשר את הפעולה המשמשת כסמל. המשתמשים יכולים לבחור אישור כדי לאכוף את הבלוק, או לבחור באפשרות העקיפה - בטל חסימה - באמצעות ההודעה המוקפצת של משתמש הקצה שנוצרת בזמן החסימה. לאחר ביטול החסימה של האזהרה, הפעולה מותרת עד הפעם הבאה שבה הודעת האזהרה מתרחשת, ולאחר מכן משתמש הקצה יצטרכו לבצע מחדש את הפעולה.
בעת לחיצה על לחצן 'אפשר', הבלוק מודחק למשך 24 שעות. לאחר 24 שעות, משתמש הקצה יצטרכו לאפשר את החסימה שוב. מצב אזהרה עבור כללי ASR נתמך רק עבור מכשירי RS5+ (1809+). אם עקיפה מוקצית לכללי ASR במכשירים בעלי גירסאות ישנות יותר, הכלל נמצא במצב חסום.
באפשרותך גם להגדיר כלל במצב אזהרה דרך PowerShell על-ידי ציון AttackSurfaceReductionRules_Actions
"אזהרה". לדוגמה:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
תיאורי לפי כלל
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים
כלל זה מונע מיישום לכתוב מנהל התקן חתום פגיע לדיסק. יישומים מקומיים יכולים לנצל את מנהלי ההתקנים החתומיים הלא-פראיים והפגיעות - שיש להם הרשאות מספיקות - כדי לקבל גישה אל הליבה. מנהלי התקנים חתומים פגיעים מאפשרים לתוקפים להפוך פתרונות אבטחה ללא זמינים או לעקוף אותם, ובסופו של דבר הם מובילים לסכנה במערכת.
הכלל חסום שימוש לרעה במנהלי התקנים פגיעים החתימים אינו חוסם את הטעון של מנהל התקן שכבר קיים במערכת.
הערה
באפשרותך להגדיר כלל זה באמצעות Intune OMA-URI. ראה Intune OMA-URI לקביעת תצורה של כללים מותאמים אישית. באפשרותך גם לקבוע את התצורה של כלל זה באמצעות PowerShell. כדי לבדוק מנהל התקן, השתמש באתר אינטרנט זה כדי לשלוח מנהל התקן לצורך ניתוח.
Intune אישית:Block abuse of exploited vulnerable signed drivers
Configuration Manager זה: עדיין לא זמין
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
סוג פעולת ציד מתקדמת:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
חסימת Adobe Reader ביצירת תהליכי צאצא
כלל זה מונע תקיפות על-ידי חסימת Adobe Reader ביצירת תהליכים.
תוכנות זדוניות יכולות להוריד ולהוריד תוכן מנה ולנתק את Adobe Reader באמצעות הנדסה חברתית או ניצולים לרעה. על-ידי חסימת תהליכי צאצא שנוצרים על-ידי Adobe Reader, תוכנות זדוניות שניסיון להשתמש ב- Adobe Reader בתור וקטור תקיפה מונעות את התפשטותן.
Intune זה:Process creation from Adobe Reader (beta)
Configuration Manager זה: עדיין לא זמין
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
סוג פעולת ציד מתקדמת:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת כל יישומי Office ביצירת תהליכי צאצא
כלל זה חוסם את יצירת תהליכי הצאצא של יישומי Office. יישומי Office כוללים Word, Excel, PowerPoint, OneNote ו- Access.
יצירת תהליכי ילד זדוני היא אסטרטגיה נפוצה של תוכנות זדוניות. תוכנות זדוניות שמנצלות לרעה את Office בתור וקטור מפעילות לעתים קרובות פקודות מאקרו של VBA ומנצלות קוד להורדה ולניסיון להפעיל תוכן תוכן נוסף. עם זאת, יישומים חוקיים מסוימים של קו פעולה עסקי עשויים גם הם ליצור תהליכי צאצא למטרות יעילות; כגון יצירת שורת פקודה או שימוש ב- PowerShell כדי לקבוע את תצורת הגדרות הרישום.
Intune זה:Office apps launching child processes
Configuration Manager זה:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
סוג פעולת ציד מתקדמת:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows
הערה
אם הגנת LSA מופעלת ו- Credential Guard מופעל, כלל הפחתת פני השטח של ההתקפה אינו נדרש.
כלל זה מסייע במניעת גניבת אישורים על-ידי נעילת שירות מערכות המשנה של רשות האבטחה המקומית (LSASS).
LSASS מאמת משתמשים הנכנסים במחשב Windows. Microsoft Defender Credential Guard ב- Windows מונע בדרך כלל ניסיונות לחלץ אישורים מ- LSASS. ארגונים מסוימים אינם יכולים להפוך את Credential Guard לזמין בכל המחשבים שלהם עקב בעיות תאימות עם מנהלי התקנים מותאמים אישית של כרטיסים חכמים או תוכניות אחרות העומסות לתוך רשות האבטחה המקומית (LSA). במקרים אלה, תוקפים יכולים להשתמש בכלים כגון Mimikatz כדי לגרד סיסמאות טקסט רגיל ו- HASH של NTLM מ- LSASS.
כברירת מחדל, המצב של כלל זה מוגדר לחסימה. ברוב המקרים, תהליכים רבים לבצע קריאות אל LSASS עבור זכויות גישה שאינם דרושים. לדוגמה, לדוגמה, כאשר הבלוק ההתחלתי מכלל ה- ASR התוצאה היא קריאה בהמשך עבור הרשאה פחותה יותר, שלאחר מכן מצליחה. לקבלת מידע אודות סוגי הזכויות המבוקשים בדרך כלל בקריאות עיבוד ל- LSASS, ראה: עבד זכויות אבטחה וגישה.
הפיכת כלל זה לזמין אינה מספקת הגנה נוספת אם הגנת LSA מופעלת מאחר שכלל ה- ASR והגנת LSA פועלים באופן דומה. עם זאת, כאשר לא ניתן להפעיל הגנת LSA, ניתן להגדיר כלל זה כדי לספק הגנה שוות ערך מפני תוכנות זדוניות המשמשות כיעד lsass.exe
.
הערה
בתרחיש זה, כלל ה- ASR מסווג כ"לא ישים" בהגדרות של Defender for Endpoint בפורטל Microsoft Defender. כלל ה- ASR של חסימת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows אינו תומך במצב WARN. באפליקציות מסוימות, הקוד מונה את כל התהליכים הפועלים וינסה לפתוח אותם עם הרשאות ממצה. כלל זה מכחיש את פעולת פתיחת התהליך של היישום ורושם את הפרטים ביומן אירועי האבטחה. כלל זה יכול ליצור הרבה רעש. אם יש לך אפליקציה המונה את LSASS, אך אין לה השפעה אמיתית על הפונקציונליות, אין צורך להוסיף אותה לרשימת אי-ההכללה. בפני עצמו, ערך יומן אירועים זה אינו מצביע בהכרח על איום זדוני.
Intune זה:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager זה:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
סוג פעולת ציד מתקדמת:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
בעיות ידועות: אפליקציות אלה ו"חסימת גניבת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows" אינן תואמות:
שם יישום | לקבלת מידע |
---|---|
בקשה לסינכרון סיסמאות Dirsync | סינכרון סיסמאות של Dirsync אינו פועל כאשר Windows Defender מותקן, שגיאה: "VirtualAllocEx נכשל: 5" (4253914) |
לקבלת תמיכה טכנית, פנה לספק התוכנה.
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט
כלל זה חוסם דואר אלקטרוני שנפתח ביישום Microsoft Outlook, Outlook.com דואר אלקטרוני וספקי דואר אינטרנט פופולריים אחרים מפני הפצת סוגי הקבצים הבאים:
- קבצי הפעלה (כגון קבצי .exe, .dll או .scr)
- קבצי Script (כגון קובץ Script של PowerShell.ps1.vbs של Visual Basic או JavaScript .js אחר)
Intune זה:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager זה:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
סוג פעולת ציד מתקדמת:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
הערה
הכלל חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט כולל את התיאורים החלופיים הבאים, בהתאם ליישום שבו אתה משתמש:
- Intune (פרופילי תצורה): ביצוע תוכן הפעלה (exe, dll, ps, js, vbs וכדומה) שוחרר מהדואר האלקטרוני (לקוח webmail/mail) (ללא חריגים).
- Configuration Manager: חסימת הורדת תוכן בר הפעלה מהלקוחות של דואר אלקטרוני ודואר אינטרנט.
- מדיניות קבוצתית: חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט.
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה
כלל זה חוסם הפעלה של קבצים, כגון .exe, .dll או .scr, מההפעלה. לכן, הפעלת קבצי הפעלה לא מהימנה או לא ידועה עלולה להיות מכוונת, מכיוון שייתכן שלא יהיה ברור תחילה אם הקבצים זדוניים.
חשוב
עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה.
הכלל חסום את ההפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריוני שכיחות, גיל או רשימה מהימנה באמצעות GUID בבעלות Microsoft 01443614-cd74-433a-b99e-2ecdc07bfc25
ולא מצוין על-ידי מנהלי מערכת. כלל זה משתמש בהגנה מבוססת ענן כדי לעדכן את הרשימה המהימנה שלו באופן קבוע.
באפשרותך לציין קבצים או תיקיות בודדים (באמצעות נתיבי תיקיות או שמות משאבים המלאים) אך לא ניתן לציין על אילו כללים או פריטים שאינם נכללים.
Intune זה:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager זה:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
סוג פעולת ציד מתקדמת:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים
כלל זה מזהה מאפיינים חשודים בתוך קובץ Script מעורפל.
הערה
קבצי Script של PowerShell נתמכים כעת עבור הכלל "חסימת הפעלה של קבצי Script שעלולים להיות מקוושנים".
חשוב
עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה.
סתירת קובץ Script היא שיטה נפוצה שבה גם מחברים של תוכנות זדוניות וגם אפליקציות לגיטימיות משתמשים כדי להסתיר קניין רוחני או להפחית זמני טעינה של קבצי Script. מחברים של תוכנות זדוניות משתמשים גם בתסכול כדי להקשות על קריאת קוד זדוני, אשר מקשה על בחינה קפדנית של בני אדם ותוכנות אבטחה.
Intune זה:Obfuscated js/vbs/ps/macro code
Configuration Manager זה:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
סוג פעולת ציד מתקדמת:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
יחסי תלות: Microsoft Defender אנטי-וירוס, ממשק סריקה נגד תוכנות זדוניות (AMSI)
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד
כלל זה מונע הפעלה של תוכן שהורדת קובץ Script שעשוי להיות זדוני. תוכנות זדוניות שנכתבו ב- JavaScript או ב- VBScript פועלות לעתים קרובות כמו מוריד כדי להביא תוכנות זדוניות אחרות מהאינטרנט ולהוריד תוכנות זדוניות אחרות. למרות שאפליקציות קו פעולה עסקי לא נפוצות משתמשות לעתים בקבצי Script להורדה ולהפעלה של מתקינים.
Intune זה:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager זה:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
סוג פעולת ציד מתקדמת:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
יחסי תלות: Microsoft Defender-וירוס, AMSI
חסימת יצירת תוכן בר הפעלה ביישומי Office
כלל זה מונע מיאפליקציות Office, כולל Word, Excel ו- PowerPoint, ליצור תוכן בר הפעלה שעלול להיות זדוני, על-ידי חסימת כתב של קוד זדוני לדיסק. תוכנות זדוניות שמנצלות לרעה את Office בתור וקטור עשויות לנסות לצאת מ- Office ולשמור רכיבים זדוניים בדיסק. רכיבים זדוניים אלה ישרדו אתחול מחדש של המחשב ויתמידו במערכת. לכן, כלל זה מגן מפני טכניקת התמדה נפוצה. כלל זה חוסם גם הפעלה של קבצים לא מהימנה שייתכן שנשמרו על-ידי פקודות מאקרו של Office המורשות לפעול בקובצי Office.
Intune זה:Office apps/macros creating executable content
Configuration Manager זה:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
סוג פעולת ציד מתקדמת:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
יחסי תלות: Microsoft Defender-וירוס, RPC
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים
כלל זה חוסם ניסיונות הזרקת קוד מיאפליקציות Office לתהליכים אחרים.
הערה
כלל ASR של חסימת אפליקציות מפני הזרקת קוד לתהליכים אחרים אינו תומך במצב אזהרה.
חשוב
כלל זה דורש הפעלה מחדש יישומי Microsoft 365 (יישומי Office) כדי ששינויי התצורה ייכנסו לתוקף.
תוקפים עשויים לנסות להשתמש ביישומי Office כדי להעביר קוד זדוני לתהליכים אחרים באמצעות הזרקת קוד, כך שהקוד יכול לתנוע כתהליך נקי. אין מטרות עסקיות מוכרות לגיטימיות לשימוש בהזרקת קוד.
כלל זה חל על Word, Excel, OneNote ו- PowerPoint.
Intune זה:Office apps injecting code into other processes (no exceptions)
Configuration Manager זה:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
סוג פעולת ציד מתקדמת:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
בעיות ידועות: אפליקציות אלה ו"חסום את הכלל של יישומי Office מפני הזרקת קוד לתהליכים אחרים" אינן תואמות:
שם יישום | לקבלת מידע |
---|---|
Avecto (BeyondTrust) Privilege Guard | ספטמבר-2024 (פלטפורמה: 4.18.24090.11 | מנוע 1.1.24090.11). |
אבטחת Heimdal | לא רלוונטי |
לקבלת תמיכה טכנית, פנה לספק התוכנה.
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office
כלל זה מונע מ- Outlook ליצור תהליכי צאצא, תוך מתן אפשרות לפונקציות חוקיות של Outlook. כלל זה מגן מפני תקיפות של הנדסה חברתית ומונע ניצול לרעה של קוד מפני פגיעויות ב- Outlook. היא גם מגנה מפני כללים וטפסים המנצלים את השימוש בהם התוקפים יכולים להשתמש כאשר אישורי משתמש נחשפים לסכנה.
הערה
כלל זה חוסם עצות מדיניות של DLP ותיאורי כלים ב- Outlook. כלל זה חל על Outlook ועל Outlook.com בלבד.
Intune זה:Process creation from Office communication products (beta)
Configuration Manager אחר: לא זמין
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
סוג פעולת ציד מתקדמת:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת התמדה באמצעות מנוי לאירוע WMI
כלל זה מונע מתוכנות זדוניות להשתמש ב- WMI כדי להשיג עקביות במכשיר.
חשוב
אי-הכללות בקובץ ובתיקיה אינן חלות על כלל הפחתת פני השטח של ההתקפה.
איומים ללא קובץ משתמשים בטקטיקות שונות כדי להישאר מוסתרים, להימנע משימוש במערכת הקבצים ולהשיג שליטה תקופתית בביצוע. איומים מסוימים יכולים לנצל לרעה את מאגר WMI ואת מודל האירוע כדי להישאר מוסתרים.
הערה
אם CcmExec.exe
(SCCM סוכן) מזוהה במכשיר, כלל ה- ASR מסווג כ"לא ישים" בהגדרות של Defender for Endpoint בפורטל Microsoft Defender.
Intune זה:Persistence through WMI event subscription
Configuration Manager אחר: לא זמין
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
סוג פעולת ציד מתקדמת:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
יחסי תלות: Microsoft Defender-וירוס, RPC
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI
כלל זה חוסם את הפעלת התהליכים שנוצרו באמצעות PsExecו- WMI . הן PsExec והן WMI יכולים לבצע קוד מרחוק. קיים סיכון לפונקציונליות פוגעת בתוכנות זדוניות של PsExec ו- WMI למטרות פקודה ושליטה, או להפיץ הידבקות ברשת הארגון.
אזהרה
השתמש בכלל זה רק אם אתה מנהל את המכשירים שלך באמצעות Intune או פתרון MDM אחר. כלל זה אינו תואם לניהול באמצעות Microsoft Endpoint Configuration Manager מכיוון שכלל זה חוסם פקודות WMI שבהן משתמש לקוח Configuration Manager כדי לפעול כראוי.
Intune זה:Process creation from PSExec and WMI commands
Configuration Manager אחר: לא ישים
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
סוג פעולת ציד מתקדמת:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה)
כלל זה מונע הפעלה של פקודות להפעלה מחדש של מחשבים במצב בטוח. מצב בטוח הוא מצב אבחון שטען רק את הקבצים ומנהלי ההתקנים החיוניים הדרושים להפעלת Windows. עם זאת, במצב בטוח, מוצרי אבטחה רבים אינם זמינים או פועלים בקיבולת מוגבלת, מה שמאפשר לתוקפים להפעיל עוד יותר פקודות שלא כדין, או פשוט לבצע ולהצפין את כל הקבצים במחשב. כלל זה חוסם התקפות כאלה על-ידי מניעת הפעלה מחדש של תהליכים של מחשבים במצב בטוח.
הערה
יכולת זו נמצאת כעת בתצוגה מקדימה. שדרוגים נוספים לשיפור היעילות נמצאים בפיתוח.
Intune אישית:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager זה: עדיין לא זמין
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
סוג פעולת ציד מתקדמת:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB
באמצעות כלל זה, מנהלי מערכת יכולים למנוע מקבצים הפעלה לא מהימנה או לא מהימנה לפעול מתוך כוננים נשלפים מסוג USB, כולל כרטיסי SD. סוגי קבצים חסומים כוללים קבצי הפעלה (כגון .exe, .dll או .scr)
חשוב
קבצים שהועתקו מה- USB לכונן הדיסקים ייחסמו על-ידי כלל זה אם ומתי הוא עומד להתבצע בכונן הדיסקים.
Intune זה:Untrusted and unsigned processes that run from USB
Configuration Manager זה:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
סוג פעולת ציד מתקדמת:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה)
כלל זה חוסם את השימוש בקבצים ניתנים להפעלה המזוהים כ עותקים של כלי המערכת של Windows. קבצים אלה הם כפילויות או מתחזים של כלי המערכת המקוריים. תוכניות זדוניות מסוימות עשויות לנסות להעתיק או להתחזות כלי מערכת של Windows כדי להימנע מזיהוי או להשגת הרשאות. מתן אפשרות לקבצים ניתנים להפעלה כזו עלול להוביל להתקפות אפשריות. כלל זה מונע הפצה וביצוע של כפילויות ופריטים מתחזים אלה של כלי המערכת במחשבי Windows.
הערה
יכולת זו נמצאת כעת בתצוגה מקדימה. שדרוגים נוספים לשיפור היעילות נמצאים בפיתוח.
Intune אישית:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager זה: עדיין לא זמין
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
סוג פעולת ציד מתקדמת:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת יצירת Webshell עבור שרתים
כלל זה חוסם יצירת קובץ Script של מעטפת אינטרנט ב- Microsoft Server, תפקיד Exchange. קובץ Script של מעטפת אינטרנט הוא קובץ Script בעל מבנה ספציפי המאפשר לתוקף לשלוט בשרת שנחשף לסכנה. מעטפת אינטרנט עשויה לכלול פונקציונליות כגון קבלה וביצוע של פקודות זדוניות, הורדה וביצוע של קבצים זדוניים, גניבת אישורים ומידע רגיש וגניבתם, זיהוי יעדים פוטנציאליים וכו'.
Intune זה:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
יחסי תלות: אנטי Microsoft Defender וירוסים
חסימת שיחות API של Win32 מפקודות מאקרו של Office
כלל זה מונע מפקודות מאקרו של VBA לקרוא לממשקי API של Win32. Office VBA מאפשר שיחות API של Win32. תוכנות זדוניות יכולות להשתמש ביכולת זו לרעה, כגון קריאה לממשקי API של Win32 להפעיל קוד מעטפת זדוני מבלי לכתוב שום דבר ישירות לדיסק. רוב הארגונים אינם מסתסים על היכולת להתקשר לממשקי API של Win32 בתדירות היום-יומית שלהם, גם אם הם משתמשים בפקודות מאקרו בדרכים אחרות.
Intune זה:Win32 imports from Office macro code
Configuration Manager זה:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
סוג פעולת ציד מתקדמת:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
יחסי תלות: Microsoft Defender-וירוס, AMSI
השתמש בהגנה מתקדמת מפני תוכנות כופר
כלל זה מספק שכבה נוספת של הגנה מפני תוכנות כופר. הוא משתמש גם בלקוח וגם בענן כדי לקבוע אם קובץ דומה לתוכנות כופר. כלל זה אינו חוסם קבצים בעלי אחת או יותר מהמאפיינים הבאים:
- הקובץ נמצא כבר במצב לא מזיק בענן של Microsoft.
- הקובץ הוא קובץ חתום חוקי.
- הקובץ שכיח מספיק כדי שלא ייחשבו תוכנות כופר.
הכלל נוטה לשגיאה בצד של זהירות כדי למנוע תוכנות כופר.
הערה
עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה.
Intune זה:Advanced ransomware protection
Configuration Manager זה:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
סוג פעולת ציד מתקדמת:
AsrRansomwareAudited
AsrRansomwareBlocked
יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן
למידע נוסף
- מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
- תכנון פריסה של כללי הפחתת פני השטח של ההתקפה
- כללים להקטנת פני השטח של ההתקפה בבדיקה
- אפשר כללי צמצום פני השטח של ההתקפה
- תפעול כללי צמצום פני השטח של ההתקפה
- דוח כללי צמצום פני השטח של ההתקפה
- חומר עזר לכללי הפחתת פני השטח של ההתקפה
- פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.