הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
עצה
כמלווה למאמר זה, עיין במדריך ההגדרה של מנתח האבטחה שלנו כדי לסקור שיטות עבודה מומלצות וללמוד כיצד לחזק את ההגנה, לשפר את התאימות ולנווט בנוף אבטחת הסייבר בביטחון. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של מנתח האבטחה מרכז הניהול של Microsoft 365.
שטח התקיפה של הארגון שלך כולל את כל המקומות שבהם תוקף יכול לקבל גישה. לקבלת מידע נוסף, ראה צמצום שטח התקיפה Microsoft Defender עבור נקודת קצה.
כללים להקטנת משטח התקפה (ASR) ב- Microsoft Defender אנטי-וירוס יעד התנהגות תוכנה מסוכנות במכשירי Windows שתוקפים מנצלים בדרך כלל באמצעות תוכנות זדוניות. לדוגמה:
- מפעיל קבצי הפעלה וקובצי Script שניסיון להוריד או להפעיל קבצים.
- מפעיל קבצי Script מעורפלים או לא מהימנה באופן אחר.
- יצירת תהליכי צאצא מיישומים שעלולים להיות פגיעים (לדוגמה, יישומי Office).
- מזריק קוד לתהליכים אחרים.
למרות שאפליקציות לגיטימיות עשויות גם לבצע פעולות אלה, תוקפים משתמשים בדרך כלל בתוכנות זדוניות הפועלות באותו אופן.
עיין בסידרה הבאה של מאמרים כדי לתכנן, לבדוק, ליישם ולנטר כללי ASR:
עצה
אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
- Microsoft Defender עבור נקודת קצה ב- Mac
- הגדרות מדיניות אנטי-וירוס של macOS עבור אנטי-וירוס של Microsoft Defender עבור Intune
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
- בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
- קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
- קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS
כללי ASR
כללי ASR מקובצים לקטגוריות הבאות:
Standard הגנה מציעים יתרונות אבטחה משמעותיים, לכן Microsoft ממליצה להפוך אותם לזמין במצב חסימה ללא צורך בבדיקות נרחבות. בדרך כלל, לכללים אלה יש השפעה מינימלית או לא משמעותית על משתמשים, אך ישנם חריגים:
- חסימת התמדה באמצעות מנוי לאירוע WMI: אם אתה משתמש ב- Microsoft Configuration Manager לניהול מכשירים, אל תשתמש בשיטות פריסה זמינות אחרות (לדוגמה, מדיניות קבוצתית או PowerShell) כדי להפעיל כלל זה במצב חסימה או אזהרה במכשיר ללא בדיקות נרחבות במצב ביקורת. לקוח מנהל התצורה מסתמך במידה רבה על WMI.
- חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows: אם הפעלת הגנה של רשות אבטחה מקומית (LSA) ( מומלץ, יחד עם Credential Guard), כלל זה מיותר.
כללי ASR אחרים מספקים הגנה חשובה, אך דרושים בדיקות במצב ביקורת לפני הפעלתם במצב חסימה או אזהרה כמתואר במדריך הפריסה של כללי צמצום השטח של ההתקפה.
כללי ה- ASR הזמינים, ערכי ה- GUID התואמים שלהם והקטגוריות שלהם מתוארים בטבלה הבאה:
קישורים בשמות הכללים מספקים לך תיאורי כללים מפורטים במאמר חומר עזר בנושא כללי ASR .
פרט למדיניות האבטחה של נקודת הקצה ב- Microsoft Intune ו- Microsoft Configuration Manager, כל פעולות השירות האחרות של קביעת תצורה של כלל ASR מזהות כללים לפי ערך GUID.
כל הבדלי שמות הכללים של ASR Microsoft Intune הערכים Microsoft Configuration Manager- ASR מתוארים בטבלה.
עצה
Microsoft Configuration Manager נקרא בעבר על-ידי שמות אחרים:
- Microsoft System Center Configuration Manager: גירסה 1511 עד 1906 (נובמבר 2015 עד יולי 2019)
- Microsoft Endpoint Configuration Manager: גירסה 1910 עד 2211 (דצמבר 2019 עד דצמבר 2022)
- Microsoft Configuration Manager: גירסה 2303 (אפריל 2023) ואילך
לקבלת מידע אודות תמיכה ועדכון, ראה עדכונים שירות עבור מנהל התצורה.
| שם הכלל Microsoft Intune | שם הכלל Microsoft Configuration Manager | Guid | קטגוריה |
|---|---|---|---|
| Standard כללי הגנה | |||
| חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים (מכשיר) | לא רלוונטי | 56a863a9-875e-4185-98a7-b882c64b5ce5 | שונות |
| חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows | אותו | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | גניבת אישורים & רוחביות |
| חסימת התמדה באמצעות מנוי לאירוע WMI | לא רלוונטי | e6db77e5-3df2-4cf1-b95a-636979351e5b | גניבת אישורים & רוחביות |
| כללי ASR אחרים | |||
| חסימת Adobe Reader ביצירת תהליכי צאצא | לא רלוונטי | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | יישומי פרודוקטיביות |
| חסימת כל יישומי Office ביצירת תהליכי צאצא | חסימת יישום Office ביצירת תהליכי צאצא | d4f940ab-401b-4efc-aadc-ad5f3c50688a | יישומי פרודוקטיביות |
| חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט | אותו | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | דואר אלקטרוני |
| חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה | חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה | 01443614-cd74-433a-b99e-2ecdc07bfc25 | איומים פולימורפים |
| חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים | אותו | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Script |
| חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד | אותו | d3e037e1-3eb8-44c8-a917-57927947596d | Script |
| חסימת יצירת תוכן בר הפעלה ביישומי Office | אותו | 3b576869-a4ec-4529-8536-b80a7769e899 | יישומי פרודוקטיביות |
| חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים | אותו | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | יישומי פרודוקטיביות |
| חסימת יצירת תהליכי צאצא ביישום התקשורת של Office | לא רלוונטי | 26190899-1602-49e8-8b27-eb1d0a1ce869 | דואר אלקטרוני, אפליקציות פרודוקטיביות |
| חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI | לא רלוונטי | d1e49aac-8f56-4280-b9ba-993a6d77406c | גניבת אישורים & רוחביות |
| חסימת אתחול מחדש של המחשב במצב בטוח | לא רלוונטי | 33ddedf1-c6e0-47cb-833e-de6133960387 | שונות |
| חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB | אותו | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | איומים פולימורפים |
| חסימת שימוש בכלי מערכת שהועתקו או מתחזים | לא רלוונטי | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | שונות |
| חסימת יצירת Webshell עבור שרתים | לא רלוונטי | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | שונות |
| חסימת שיחות API של Win32 מפקודות מאקרו של Office | אותו | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | יישומי פרודוקטיביות |
| השתמש בהגנה מתקדמת מפני תוכנות כופר | אותו | c1db55ab-c21a-4637-bb3f-a12568109d35 | איומים פולימורפים |
דרישות עבור כללי ASR
כללי ASR דורשים Microsoft Defender אנטי-וירוס כיישום האנטי-וירוס הראשי במכשירי Windows:
Microsoft Defender האנטי-וירוס חייב להיות זמין ובמצב פעיל. באופן ספציפי, Microsoft Defender האנטי-וירוס אינו יכול להיכלל אף אחד מהמצבים הבאים:
- פסיבי
- מצב פאסיבי עם זיהוי נקודת קצה ותגובה (EDR) במצב חסימה
- סריקה תקופתית מוגבלת (LPS)
- לא פעיל
לקבלת מידע נוסף על מצבים באנטי-Microsoft Defender, ראה כיצד האנטי Microsoft Defender אנטי-וירוס משפיע על הפונקציונליות של Defender for Endpoint.
הגנה בזמן אמת ב- Microsoft Defender האנטי-וירוס חייבת להיות מופעלת.
הגנה מבוססת ענן (המכונה גם שירות הגנה מתקדמת של Microsoft או MAPS) היא קריטית לפונקציונליות של כלל ASR. הגנה על הענן משפרת הגנה רגילה בזמן אמת והיא מהותית רכיב קריטי במניעת הפרות של תוכנות זדוניות. כללי ASR מסוימים כוללים באופן ספציפי דרישות הגנה מפני מסירת ענן עבור התראות מוקפצות של זיהוי נקודות קצה ותגובה (EDR) ב- Defender for Endpoint והודעות משתמש. לקבלת פרטים, ראה התראות והודעות מפעולות כלל ASR.
מאותה סיבה, הסביבה שלך חייבת לאפשר חיבורים לשירות הענן של Microsoft Defender אנטי-וירוס.
Microsoft Defender של רכיבי אנטי-וירוס חייבים להיות לא יותר משתי גירסאות ישנות יותר מהגירסה הזמינה העדכנית ביותר:
- גירסת עדכון פלטפורמה: עודכנה מדי חודש.
- גירסת MEngine: עודכנה מדי חודש.
- בינת אבטחה: Microsoft מעדכנים ללא ה מחדש את בינת האבטחה (המכונה גם הגדרות וחתימות) כדי לטפל באיומים העדכניים ביותר ולמקד את לוגיקת הזיהוי.
שמירה Microsoft Defender אנטי-וירוס מסייעת בהפחתת תוצאות חיוביות מוטעות של כלל ASR ומשפרת את יכולות Microsoft Defender אנטי-וירוס. לקבלת מידע נוסף אודות הגירסאות הנוכחיות וכיצד לעדכן את רכיבי האנטי Microsoft Defender אנטי-וירוס השונים, ראה תמיכה Microsoft Defender אנטי-וירוס.
למרות שכללי ASR אינם דורשים Microsoft 365 E5, Microsoft ממליצה על יכולות האבטחה של E5 או מנויים מקבילים כדי לנצל את יכולות הניהול המתקדמות הבאות:
- ניטור, ניתוח וזרימות עבודה ב- Defender for Endpoint.
- יכולות דיווח ותצורה בפורטל Microsoft Defender XDR.
יכולות ניהול מתקדמות אינן זמינות עם רשיונות אחרים (לדוגמה, Windows Professional או Microsoft 365 E3). עם זאת, באפשרותך לפתח כלי ניטור ודיווח משלך על גבי אירועי כלל ASR הנוצרים ב- Windows מציג האירועים בכל מכשיר (לדוגמה, 'העברת אירועים של Windows').
לקבלת מידע נוסף על רישוי Windows, ראה רישוי Windows וקבל את המדריך לרישוי רב משתמשים של Microsoft.
מערכות הפעלה נתמכות עבור כללי ASR
כללי ASR הם תכונת אנטי Microsoft Defender אנטי-וירוס שנמצאת בכל מהדורה של Windows הכוללת את Microsoft Defender אנטי-וירוס של Windows 11 Home). באפשרותך לקבוע את התצורה של כללי ASR באופן מקומי במכשירים באמצעות PowerShell או מדיניות קבוצתית.
ניהול מרוכז, דיווח והתראה עבור כללי ASR ב- Microsoft Defender עבור נקודת קצה זמינות בגירסאות ובגרסאות הבאות של Windows:
- מהדורותPro ו- Enterprise של Windows 10 ואילך.
- Windows Server 2012 R2 ואילך.
- Azure מקומית (שנקראה בעבר Azure Stack HCI) גירסה 23H2 ואילך.
לקבלת מידע נוסף על תמיכה במערכות הפעלה, ראה תמיכה במערכת ההפעלה עבור כללי ASR.
מצבים עבור כללי ASR
כלל ASR יכול להיכלל באחד מהמצבים הבאים, כמתואר בטבלה הבאה:
| מצב כלל | קוד | תיאור |
|---|---|---|
|
כבוי או לא זמין |
0 | כלל ASR אינו זמין באופן מפורש. ערך זה עלול לגרום להתנגשויות כאשר אותו התקן מוקצה לאותו כלל ASR במצבים שונים על-ידי פריטי מדיניות שונים. |
|
חסום או מופעל |
1 | כלל ASR זמין במצב חסימה. |
|
ביקורת או מצב ביקורת |
2 | כלל ASR זמין במצב חסימה , אך מבלי לבצע פעולה. זיהויים עבור כללי ASR במצב ביקורת זמינים במיקומים הבאים:
|
| לא נקבעה תצורה | 5 | כלל ASR אינו זמין באופן מפורש. ערך זה שווה ערך מבחינה פונקציונלית ללא זמין אוכבוי, אך ללא הפוטנציאל להתנגשויות כללים. |
|
אזהרה או אזהרה |
6 | כלל ASR זמין במצב חסימה, אך משתמשים יכולים לבחור באפשרות בטל חסימה בחלון המוקפץ של הודעת האזהרה כדי לעקוף את הבלוק במשך 24 שעות. לאחר 24 שעות, המשתמש צריך לעקוף שוב את הבלוק. מצב אזהרה נתמך בגירסה Windows 10 1809 (נובמבר 2018) ואילך. כללי ASR במצב אזהרה בגירסאות לא נתמכות של Windows נמצאים ביעילות במצב חסימה (עקיפה אינה זמינה). מצב אזהרה אינו זמין ב- Microsoft Configuration Manager. מצב אזהרה כולל את הדרישות Microsoft Defender אנטי-וירוס הבאות:
כללי ASR הבאים אינם תומכים במצב אזהרה : |
Microsoft ממליצה על מצב חסימה עבור כללי ההגנה הרגילים, ובדיקה ראשונית במצב ביקורת עבור כללי ASR אחרים לפני הפעלתם במצב חסימה או אזהרה.
אפליקציות קו פעולה עסקי רבות נכתבות עם חששות בנושא אבטחה מוגבלת, והן עשויות לפעול בדרכים שנ דומות לתוכנות זדוניות. על-ידי ניטור נתונים מכללי ASR במצב ביקורת והוספת אי-הכללות עבור יישומים נדרשים, באפשרותך לפרוס כללי ASR מבלי להפחית את הפרודוקטיביות.
לפני הפעלת כללי ASR במצב חסימה , הערכת ההשפעות שלהם במצב ביקורת והמלצות אבטחה. לקבלת מידע נוסף, ראה בדיקת כללי ASR.
שיטות פריסה ותצורה עבור כללי ASR
Microsoft Defender עבור נקודת קצה תומכת בכללי ASR אך אינה כוללת שיטה מוכללת לפריסת הגדרות כלל ASR למכשירים. במקום זאת, עליך להשתמש בכלי פריסה או ניהול נפרד כדי ליצור ולהפיץ פריטי מדיניות של כללי ASR למכשירים. לא כל שיטות הפריסה תומכות בכל כלל ASR. לקבלת פרטים לפי כלל, ראה תמיכה בפעולת שירות פריסה עבור כללי ASR.
הטבלה הבאה מסכמת את השיטות הזמינות. לקבלת הוראות תצורה מפורטות, ראה קביעת תצורה של כללי הפחתת שטח תקיפה (ASR) ופריטים שאינם נכללים.
| השיטה | תיאור |
|---|---|
| Microsoft Intune מדיניות אבטחה של נקודת קצה | השיטה המומלצת לקביעת תצורה והפצה של פריטי מדיניות של כלל ASR למכשירים. דורש Microsoft Intune Plan 1 (כלול במנויים כגון Microsoft 365 E3 או זמין כהרחבה עצמאית). |
| Microsoft Intune מותאמים אישית עם OMA-URIs | שיטה חלופית לקביעת התצורה של כללי ASR ב- Intune Open Mobile Alliance – פרופילי משאבים אחידים (OMA-URI). |
| כל פתרון MDM המשתמש ב- CSP של המדיניות | השתמש בספק שירותי התצורה (CSP) של מדיניות Windows עם כל פתרון MDM. |
| Microsoft Configuration Manager | שימוש במדיניות Microsoft Defender אנטי-וירוס של משאבים בסביבת העבודה של נכסים ותאימות. |
| מדיניות קבוצתית | השתמש במקשים מדיניות קבוצתית כדי לקבוע את התצורה של כללי ASR ולהפיץ אותם למכשירים המצורפים לתחום. לחלופין, באפשרותך להגדיר מדיניות קבוצתית באופן מקומי במכשירים בודדים. |
| PowerShell | קבע את התצורה של כללי ASR באופן מקומי במכשירים בודדים. PowerShell תומך בכל כללי ה- ASR. |
פריטים שאינם נכללים בקובץ ובתיקיה עבור כללי ASR
חשוב
אי-הכללת קבצים או תיקיות עלולה לפגוע באופן חמור בהגנה על כללים של ASR. ניתן להפעיל קבצים לא כלולים, ולא נרשמים דוחות או אירועים אודות הקובץ. אם כללי ASR מזהים קבצים שלא אמורים להיות מזוהים, השתמש במצב ביקורת כדי לבדוק את הכלל.
באפשרותך לא לכלול בהערכהשל כללי ASR קבצים ותיקיות ספציפיים. גם אם כלל ASR קובע שהקובץ או התיקיה מכילים אופן פעולה זדוני, הוא אינו חוסם את הפעלת הקבצים שלא נכללו.
באפשרותך להשתמש בשיטות הבאות כדי לא לכלול קבצים ותיקיות בכללי ASR:
Microsoft Defender אנטי-וירוס: לא כל כללי ה- ASR מכבדים אי-הכללות אלה. לקבלת מידע נוסף אודות פריטים Microsoft Defender אנטי-וירוס, ראה קביעת תצורה של אי-הכללות מותאמות אישית עבור Microsoft Defender אנטי-וירוס.
עצה
כל כללי ASR מכבדים אי-הכללות בתהליך ב- Microsoft Defender אנטי-וירוס.
אי-הכללות של כלל ASR כללי: אי-הכללות אלה חלות על כל כללי ה- ASR. כל שיטות קביעת התצורה של כלל ASR תומכות גם בקביעת תצורה של אי-הכללות הכלליות של כלל ASR.
פריטים שאינם נכללים בכלל לפי ASR: הקצה אי-הכללות שונות באופן סלקטיבי לכללי ASR שונים. רק שיטות קביעת התצורה הבאות של כלל ASR תומכות גם בקביעת תצורה של אי-הכללות של כללים לפי ASR:
- מדיניות קבוצתית (ואת הגדרות הרישום התואמות)
- מדיניות אבטחה של נקודת קצה ב- Microsoft Intune.
מחווני פשרה (IoCs): רוב כללי ה- ASR מכבדים IoCs עבור קבצים חסומים ואישורים חסומים. לקבלת מידע נוסף אודות IoCs, ראה מבט כולל על מחוונים Microsoft Defender עבור נקודת קצה.
אכיפת סוגים שונים של אי-הכללות עבור כללי ASR מסוכמת בטבלה הבאה:
| שם כלל | Honors MDAV file and פריטים שאינם נכללים בתיקיה |
התחשבות ב- ASR גלובלי פריטים שאינם נכללים |
כבוד לכל כלל ASR פריטים שאינם נכללים |
התחשבות ב- IoCs עבור קבצים |
התחשבות ב- IoCs עבור אישורים |
|---|---|---|---|---|---|
| Standard כללי הגנה | |||||
| חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים (מכשיר) | Y | Y | Y | Y | Y |
| חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows | N | Y | Y | N | N |
| חסימת התמדה באמצעות מנוי לאירוע WMI | N | Y | Y | N | N |
| כללי ASR אחרים | |||||
| חסימת Adobe Reader ביצירת תהליכי צאצא | N | Y | Y | Y | Y |
| חסימת כל יישומי Office ביצירת תהליכי צאצא | Y | Y | Y | Y | Y |
| חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט | Y | Y | Y | Y | Y |
| חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה | Y | Y | Y | Y | Y |
| חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים | Y | Y | Y | Y | Y |
| חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד | Y | Y | Y | Y | Y |
| חסימת יצירת תוכן בר הפעלה ביישומי Office | N | Y | Y | Y | Y |
| חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים | N | Y | Y | N | N |
| חסימת יצירת תהליכי צאצא ביישום התקשורת של Office | N | Y | Y | Y | Y |
| חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI | N | Y | Y | Y | Y |
| חסימת אתחול מחדש של המחשב במצב בטוח | Y | Y | Y | Y | Y |
| חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB | Y | Y | Y | Y | Y |
| חסימת שימוש בכלי מערכת שהועתקו או מתחזים | Y | Y | Y | Y | Y |
| חסימת יצירת Webshell עבור שרתים | Y | Y | Y | Y | Y |
| חסימת שיחות API של Win32 מפקודות מאקרו של Office | Y | Y | Y | Y | N |
| השתמש בהגנה מתקדמת מפני תוכנות כופר | Y | Y | Y | Y | Y |
כאשר אתה מוסיף פריטים שאינם נכללים, זכור נקודות אלה:
נתיבי אי-הכללה יכולים להשתמש במתני סביבה ובתווים כלליים. לקבלת מידע נוסף, ראה שימוש בתווים כלליים בשם הקובץ ובנתיב התיקיה או ברשימות אי-ההכללה של הסיומת.
עצה
אל תשתמש במשתנה סביבה של משתמש כתווים כלליים בתיקיה ובפריטים שאינם נכללים בתהליך. השתמש רק בסוגים הבאים של משתני סביבה כתווים כלליים:
- משתני סביבה של המערכת.
- משתני סביבה החלים על תהליכים הפועלים כחשבון NT AUTHORITY\SYSTEM.
לקבלת רשימה של משתני סביבה של המערכת, ראה משתני סביבה של מערכת.
- לתווים כלליים אין אפשרות להגדיר אות כונן.
- כדי לא לכלול יותר מתיקיה אחת בנתיב, השתמש במופעים מרובים של כדי
\*\לציין תיקיות מקוננות מרובות. לדוגמה:c:\Folder\*\*\Test - Microsoft Configuration Manager תומך בתווים כלליים ( או
*?). - כדי לא לכלול קובץ המכיל תווים אקראיים (לדוגמה, בהפקת קובץ אוטומטית), השתמש בסמל
?. לדוגמה:C:\Folder\fileversion?.docx
אי-הכללות חלות רק כאשר היישום או השירות מופעל. לדוגמה, אם תוסיף אי הכללה עבור שירות עדכון שכבר פועל, שירות העדכון ימשיך להפעיל זיהויי כללים של ASR עד שתפעיל מחדש את השירות.
התנגשויות מדיניות בכללי ASR
אם לאותו מכשיר מוקצה שני פריטי מדיניות שונים של כללי ASR, התנגשויות פוטנציאליות עשויות להתרחש בהתבסס על הרכיבים הבאים:
- אם אותם כללי ASR מוקצים במצבים שונים.
- האם ניהול התנגשויות תם.
- אם התוצאה היא שגיאה.
כללי ASR שאינם נוסחאות אינם התוצאה של שגיאות. הכלל הראשון מוחל, וכללים הבאים שאינם ממזגים לתוך המדיניות.
אם פתרון לניהול מכשירים ניידים (MDM)מדיניות קבוצתית הגדרות כללי ASR שונות על אותו מכשיר, הגדרות מדיניות קבוצתית מקבלות עדיפות.
לקבלת מידע אודות האופן שבו התנגשויות הגדרת כלל ASR מטופלות עבור שיטות הפריסה הזמינות ב- Microsoft Intune, ראה מכשירים המנוהלות על-ידי Intune.
הודעות והתראות עבור כללי ASR
כאשר כלל ASR במצב חסימהאו אזהרה מופעל במכשיר, מוצגת הודעה במכשיר. באפשרותך להתאים אישית את המידע בהודעות. לקבלת מידע נוסף, ראה התאמה אישית של פרטי קשר ב- אבטחת Windows.
התראות זיהוי נקודת קצה ותגובה (EDR) ב- Defender for Endpoint נוצרות כאשר כללי ASR נתמכים מופעלים.
לקבלת פרטים ספציפיים אודות פונקציונליות של הודעות והתראות, ראה התראות והודעות מפעולות כלל ASR.
כדי להציג פעילות התראת ASR בפורטל Microsoft Defender ובמכשירים ב- Windows מציג האירועים, ראה ניטור פעילות הכללים של צמצום שטח התקיפה (ASR).
ניטור פעילות כלל ASR
לקבלת מידע מלא, ראה ניטור פעילות כללים של צמצום שטח תקיפה (ASR).
תוכן קשור
- מדריך הפריסה של כללי צמצום שטח תקיפה (ASR)
- תכנון פריסת כללי הפחתת פני השטח של התקיפה (ASR)
- בדיקת פריסת כללי הפחתת פני השטח של ההתקפה (ASR)
- אפשר כללים של צמצום שטח תקיפה (ASR)
- ניהול וניטור של פריסת כללי צמצום שטח התקיפה (ASR)
- ניטור פעילות כללים של צמצום שטח תקיפה (ASR)
- הדוח כללים של צמצום פני השטח של ההתקפה (ASR)
- פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים