קביעת תצורה של כללים ופריטים שאינם נכללים בהפחתת פני השטח של ההתקפה (ASR)

  • חל על: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

כללים להקטנת פני השטח של ההתקפה (ASR) ממקדים אופן פעולה של תוכנה מסוכנות במכשירי Windows שתוקפים מנצלים בדרך כלל באמצעות תוכנות זדוניות (לדוגמה, הפעלת קבצי Script שמורידות קבצים, הפעלת קבצי Script מעורפלים והזקת קוד לתהליכים אחרים). מאמר זה מתאר כיצד להפוך כללי ASR לזמינים ולקבוע את תצורתם.

לקבלת התוצאות הטובות ביותר, השתמש בפתרונות ניהול ברמת הארגון, Microsoft Intune או Microsoft Configuration Manager ניהול כללי ASR. הגדרות כלל ASR מ- Intune או מנהל התצורה מתנגשות ממדיניות קבוצתית או מ- PowerShell בעת ההפעלה.

דרישות מוקדמות

לקבלת מידע נוסף, ראה דרישות עבור כללי ASR.

קביעת תצורה של כללי ASR ב- Microsoft Intune

Microsoft Intune הוא הכלי המומלץ להגדרה והפצה של פריטי מדיניות של כלל ASR למכשירים. דורש Microsoft Intune Plan 1 (כלול במנויים כגון Microsoft 365 E3 או זמין כהרחבה עצמאית).

ב Intune, מדיניות אבטחה של נקודת קצה היא השיטה המומלצת לפריסת כללי ASR, על אף ששיטות אחרות זמינות גם ב- Intune כמתואר בסעיףי המשנה הבאים.

קביעת תצורה של כללי ASR ופריטים שאינם נכללים Intune מדיניות אבטחה של נקודת קצה

כדי לקבוע את התצורה של כללי ASR באמצעות מדיניות צמצום שטח של Microsoft Intune Security Attack של נקודת קצה, ראה יצירת מדיניות אבטחה של נקודת קצה (נפתחת בכרטיסיה חדשה בתיעוד Intune). בעת יצירת המדיניות, השתמש בהגדרות הבאות:

חשוב

Microsoft Defender עבור נקודת קצה תומך באובייקטי מכשיר בלבד. משתמשי פילוח אינם נתמכים. הקצה את המדיניות לקבוצות Microsoft Entra, ולא לקבוצות משתמשים.

  • סוג מדיניות: הפחתת פני השטח של ההתקפה
  • פלטפורמה: Windows
  • פרופיל: כללים להקטנת משטח של התקפה
  • הגדרות תצורה:

    • הפחתת פני השטח של ההתקפה: בדרך כלל ניתן להפעיל את כללי ההגנה הסטנדרטית במצב חסימהאו אזהרה ללא בדיקה. עליך לבדוק כללי ASR אחרים במצב ביקורת לפני העברתם למצב חסימה אואזהרה . לקבלת מידע נוסף, עיין במדריך הפריסה של כללי ASR.

      לאחר שתגדיר את מצב הכלל כ'ביקורת', 'חסום' או 'אזהרה', יופיעמקטע ASR בלבד לכל הכללים שלא ייכללו בו ניתן לציין אי-הכללות החלות על כלל זה בלבד.

    • אי הכללות בהפחתת פני השטח של ההתקפה בלבד: השתמש בסעיף זה כדי לציין אי-הכללות החלות על כל כללי ה- ASR.

      כדי לציין אי-הכללות לכל כלל ASR או אי-הכללות כלליות של כלל ASR, השתמש באחת מהשיטות הבאות:

      • בחר הוסף. בתיבה שמופיעה, הזן את הנתיב או הנתיב ושם הקובץ שלא ייכללו. לדוגמה:

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path

      • בחר ייבוא כדי לייבא קובץ CSV המכיל את שמות הקבצים והתיקיות שלא ייכללו. קובץ ה- CSV משתמש בתבנית הבאה:

        AttackSurfaceReductionOnlyExclusions
"C:\folder"
"%ProgramFiles%\folder\file.exe"
"C:\path"
...

        עצה

        מרכאות כפולות סביב הערכים הן אופציונליות, והמערכת מתעלמת מהן (אינן משמשות בערכים) אם תכלול אותן. אל תשתמש בגרשיים סביב הערכים.

      לקבלת מידע נוסף אודות אי-הכללות, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.

    • אפשר גישה מבוקרת לתיקיות, גישה מבוקרת לתיקיות תיקיות מוגנות וגישה מבוקרת ליישומים מותרים לתיקיות: לקבלת מידע נוסף, ראה הגנה על תיקיות חשובות באמצעות גישה מבוקרת לתיקיות.

קביעת תצורה של כללי ASR Intune באמצעות פרופילים מותאמים אישית עם OMA-URIs ו- CSPs

על אף שמדיניות האבטחה של נקודת הקצה מומלצת, באפשרותך גם לקבוע את התצורה של כללי ASR ב- Intune באמצעות פרופילים מותאמים אישית המכילים פרופילי Open Mobile Alliance – משאבים אחידים (OMA-URI) באמצעות ספק שירות תצורת מדיניות Windows (CSP).

לקבלת מידע כללי אודות OMA-URIs ב- Intune, ראה פריסת OMA-URIs כדי לייעד CSP באמצעות Intune, והשוואה לסביבה מקומית.

  1. במרכז הניהול של Microsoft Intune, בחר מכשירים https://intune.microsoft.comנהל מכשירים>קביעת תצורה>. לחלופין, כדי לעבור ישירות אל המכשירים | דף התצורה, השתמש ב- https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. בכרטיסיה 'פריטי מדיניות ' של ' מכשירים' | בדף התצורה, בחר צור>מדיניות חדשה.

    צילום מסך של הכרטיסיה 'פריטי מדיניות' של הדף 'מכשירים - תצורה' במרכז Microsoft Intune הניהול, כאשר האפשרות 'צור' נבחרה.

  3. בתפריט הנשלף צור פרופיל שנפתח, קבע את תצורת ההגדרות הבאות:

    • פלטפורמה:בחר Windows 10 ואילך.
    • סוג פרופיל: בחר תבניות.
      • במקטע שם תבנית שמופיע , בחר מותאם אישית.

    בחר צור.

    צילום מסך של תכונות פרופיל הכלל בפורטל Microsoft Intune הניהול.

  4. אשף התבנית המותאמת אישית נפתח. בכרטיסיה יסודות , קבע את תצורת ההגדרות הבאות:

    • שם: הזן שם ייחודי עבור התבנית.
    • תיאור: הזן תיאור אופציונלי.

    לאחר שתסיים בכרטיסיה יסודות , בחר הבא.

  5. בכרטיסיה הגדרות תצורה , בחר הוסף.

    צילום מסך המציג את הגדרות התצורה בפורטל Microsoft Intune הניהול.

    בתפריט הנשלף הוסף שורה שנפתח, קבע את תצורת ההגדרות הבאות:

    • שם: הזן שם ייחודי עבור הכלל.

    • תיאור: הזן תיאור קצר אופציונלי.

    • OMA-URI: הזן את ערך המכשיר מ- CSP של AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • סוג נתונים: בחר מחרוזת.

      • ערך: השתמש בתחביר הבא:

        <RuleGuid1>=<ModeForRuleGuid1>
<RuleGuid2>=<ModeForRuleGuid2>
...
<RuleGuidN>=<ModeForRuleGuidN>
        • ערכי GUID עבור כללי ASR זמינים בכללי ASR.
        • מצבי הכללים הבאים זמינים:
          • 0: כבוי
          • 1:לחסום
          • 2:ביקורת
          • 5: לא נקבעה תצורה
          • 6:להזהיר

        לדוגמה:

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
3b576869-a4ec-4529-8536-b80a7769e899=1
d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
d3e037e1-3eb8-44c8-a917-57927947596d=1
5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

      צילום מסך של התפריט הנשלף 'הוסף שורה' של הכרטיסיה 'הגדרות תצורה' של תצורת URI של OMA Microsoft Intune הניהול.

      לאחר שתסיים בתפריט הנשלף הוסף שורה , בחר שמור.

      עצה

      בשלב זה, באפשרותך גם להוסיף אי-הכללות כלליות של כלל ASR לפרופיל המותאם אישית במקום ליצור פרופיל נפרד רק עבור פריטים שאינם נכללים. לקבלת הוראות, עיין בסעיף המשנה הבא קביעת תצורה של אי-הכללות כלליות של כלל ASR ב- Intune באמצעות פרופילים מותאמים אישית עם OMA-URIs ו- CSPs.

    בחזרה בכרטיסיה הגדרות תצורה , בחר הבא.

  6. בכרטיסיה מטלות , קבע את תצורת ההגדרות הבאות:

    • המקטע קבוצות כלולות: בחר אחת מהאפשרויות הבאות:
      • הוספת קבוצות: בחר אחת או יותר מהקבוצות שברצונך לכלול.
      • הוספת כל המשתמשים
      • הוסף את כל המכשירים
    • מקטע קבוצות לא נכללו : בחר הוסף קבוצות כדי לציין קבוצות שלא ייכללו.

    לאחר שתסיים בכרטיסיה מטלות , בחר הבא.

    צילום מסך של הכרטיסיה 'מטלות' של תצורת OMA URI Microsoft Intune הניהול.

  7. בכרטיסיה כללי ישימות , בחר הבא.

    באפשרותך להשתמש במאפיינים של מהדורתמערכת ההפעלה וגירסת מערכת ההפעלה כדי להגדיר את סוגי המכשירים שאמורים או לא אמורים לקבל את הפרופיל.

    כללי הישימות בפורטל Microsoft Intune הניהול.

  8. בכרטיסיה סקירה + יצירה , סקור את ההגדרות. באפשרותך להשתמש ב'הקודם ' או לבחור כרטיסיה כדי לחזור אחורה ולבצע שינויים.

    כאשר תהיה מוכן ליצור את הפרופיל, בחר צור בכרטיסיהסקירה + יצירה.

    צילום מסך המציג את הכרטיסיה 'סקירה ויצירה' בפורטל Microsoft Intune הניהול.

אתה חוזר מיד אל הכרטיסיה 'פריטי מדיניות ' של המכשירים | דף התצורה. ייתכן שיהיה עליך לבחור רענן כדי לראות את המדיניות.

כללי ASR פעילים בתוך דקות.

קביעת תצורה של אי-הכללות כלליות של כללי ASR ב- Intune באמצעות פרופילים מותאמים אישית עם OMA-URIs ו- CSPs

השלבים כדי לקבוע תצורה של אי-הכללות כלליות של כלל ASR ב- Intune באמצעות פרופיל מותאם אישית דומים מאוד לשלבי כלל ה- ASR בסעיף הקודם. ההבדל היחיד הוא בשלב 5 (הכרטיסיה הגדרות תצורה) שבו אתה מזין את המידע עבור חריגות כלל ASR:

בכרטיסיה הגדרות תצורה , בחר הוסף. בתפריט הנשלף הוסף שורה שנפתח, קבע את תצורת ההגדרות הבאות:

  • שם: הזן שם ייחודי עבור הכלל.
    • תיאור: הזן תיאור קצר אופציונלי.
    • OMA-URI: הזן את ערך המכשיר מ- CSP של AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

      • סוג נתונים: בחר מחרוזת.

      • ערך: השתמש בתחביר הבא:

        <PathOrPathAndFilename1>
<PathOrPathAndFilename1>
...
<PathOrPathAndFilenameN>

        לדוגמה:

        C:\folder
%ProgramFiles%\folder\file.exe
C:\path

לאחר שתסיים בתפריט הנשלף הוסף שורה , בחר שמור.

בחזרה בכרטיסיה הגדרות תצורה , בחר הבא.

שאר השלבים זהים לקביעת התצורה של כללי ASR.

קביעת תצורה של כללי ASR בכל פתרון MDM באמצעות ספק ה- CSP של המדיניות

ספק שירות תצורת המדיניות (CSP) מאפשר לארגונים ארגוניים לקבוע את תצורת המדיניות במכשירי Windows באמצעות כל פתרון לניהול מכשירים ניידים (MDM), ולא רק Microsoft Intune. לקבלת מידע נוסף, ראה CSP של מדיניות.

באפשרותך לקבוע את התצורה של כללי ASR באמצעות ה- CSP AttackSurfaceReductionRules עם ההגדרות הבאות:

נתיב OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
ערך:<RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • ערכי GUID עבור כללי ASR זמינים בכללי ASR
  • מצבי הכללים הבאים זמינים:
    • 0: כבוי
    • 1:לחסום
    • 2:ביקורת
    • 5: לא נקבעה תצורה
    • 6:להזהיר

לדוגמה:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

הערה

הקפד להזין ערכי OMA-URI ללא רווחים.

קביעת תצורה של אי-הכללות כלליות של כלל ASR בכל פתרון MDM באמצעות ספק ה- CSP של המדיניות

באפשרותך להשתמש ב- CSP של מדיניות כדי לקבוע תצורה של חריגות כלליות של נתיב ונתיב ושם קובץ של ASR באמצעות ה- CSP של ה- CSP של AttackSurfaceReductionOnlyExclusions עם ההגדרות הבאות:

נתיב OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
ערך:<PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

לדוגמה C:\folder|%ProgramFiles%\folder\file.exe|C:\path

קביעת תצורה של כללי ASR ופריטים שאינם נכללים בכלל ASR כללי Microsoft Configuration Manager

לקבלת הוראות, עיין במידע על צמצום השטח של ההתקפה במאמר יצירה ופריסה של מדיניות Exploit Guard.

אזהרה

קיימת בעיה ידועה עם הישימות של הפחתת פני השטח של ההתקפה בגירסאות מערכת ההפעלה של השרת, אשר מסומנת כתואם ללא אכיפה בפועל. בשלב זה, אין תאריך הפצה מוגדר לתאריך התיקון.

חשוב

אם אתה משתמש בהגדרה ' true הפוך מיזוג מנהל מערכת ללא זמין' במכשירים, ואתה משתמש בכלים/שיטות הבאים, הוספת כללי ASR לכל כלל או אי-הכללות של כלל ASR מקומי אינן חלות:

  • הכרטיסיה 'ניהול הגדרות אבטחה של נקודות קצה מרכז הניהול Defender for Endpoint ' (הפיכת מדיניות Windows למיזוג מקומי ללא זמינה) בדף מדיניות האבטחה של נקודת Microsoft Defender בפורטל שלhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
  • Microsoft Intune (הפיכת מיזוג מרכז הניהול מקומי ללא זמין)
  • ספק ה- CSP של Defender (DisableLocalAdminMerge)
  • מדיניות קבוצתית (קביעת תצורה של אופן פעולה של מיזוג מנהל מערכת מקומי עבור רשימות)

כדי לשנות אופן פעולה זה, עליך לשנות את האפשרות 'הפוך מיזוג ניהול ללא זמין' ל- false.

קביעת תצורה של כללי ASR ופריטים שאינם נכללים במדיניות קבוצתית

אזהרה

אם אתה מנהל את המחשבים וההתקנים שלך באמצעות Intune, Microsoft Configuration Manager או תוכנות ניהול אחרות ברמת הארגון, תוכנת הניהול מחליפה את כל הגדרות המדיניות הקבוצתית המתנגשות בעת ההפעלה.

  1. במסך מדיניות קבוצתית, פתח את מדיניות קבוצתית Management Console (GPMC) במחשב מדיניות קבוצתית הניהול.

  2. בעץ מסוף GPMC, הרחב מדיניות קבוצתית אובייקטים ביער ובתחום המכילים את ה- GPO שברצונך לערוך.

  3. לחץ באמצעות לחצן העכבר הימני על GPO ולאחר מכן בחר ערוך.

  4. בעורך ניהול מדיניות קבוצתית,>> עבור אל תצורת מחשב תבניות מנהליותרכיבי Windows>Microsoft Defender אנטי-וירוס>Microsoft Defender הפחתת משטח של תקיפה Exploit Guard>.

  5. בחלונית הפרטים של Attack משטח Reduction, ההגדרות הזמינות הן:

    כדי לפתוח ולהגדיר הגדרת כלל ASR, השתמש בכל אחת מהשיטות הבאות:

    • לחץ פעמיים על ההגדרה.
    • לחץ באמצעות לחצן העכבר הימני על ההגדרה ולאחר מכן בחר ערוך
    • בחר את ההגדרה ולאחר מכן בחר עריכת>פעולה.

עצה

באפשרותך גם להגדיר מדיניות קבוצתית באופן מקומי במכשירים בודדים באמצעות עורך מדיניות קבוצתית המקומי (gpedit.msc). נווט אל אותו נתיב: תבניות>> מנהליות של תצורת מחשב רכיביWindows>Microsoft Defender אנטי>Microsoft Defender הפחתת משטח התקפה של Exploit Guard>.

ההגדרות הזמינות מתוארות בסעיףי המשנה הבאים.

חשוב

מרכאות, רווחים מובילים, רווחים נגררים ותווים מיותרים אינם נתמכים בעירכי כלל ASR במדיניות קבוצתית.

מדיניות קבוצתית לפני Windows 10 2004 (מאי 2020) עשויים להשתמש ב- Windows אנטי-וירוס של Defender במקום ב- Microsoft אנטי-וירוס של Defender. שני השמות מתייחסים לאותו מיקום מדיניות.

קביעת תצורה של כללי ASR במדיניות קבוצתית

  1. בחלונית הפרטים של Attack משטח Reduction, פתח את ההגדרה Configure Attack משטח Reduction rules .

  2. בחלון ההגדרה שנפתח, קבע את תצורת האפשרויות הבאות:

    1. בחר זמין.
    2. הגדר את המצב עבור כל כלל ASR: בחר הצג....

  3. בתיבת הדו-שיח הגדר את המצב עבור כל כלל ASR שנפתח, קבע את תצורת ההגדרות הבאות:

    צילום מסך של 'קביעת תצורה של כללים של הפחתת משטח של התקפה' מדיניות קבוצתית.

    לקבלת מידע נוסף, ראה מצבי כלל ASR.

    חזור על שלב זה פעמים רבות ככל הצורך. לאחר שתסיים, בחר אישור.

קביעת תצורה של אי-הכללות כלליות של כלל ASR במדיניות קבוצתית

הנתיבים או שמות הקבצים עם הנתיבים שציינת משמשים פריטים שאינם נכללים עבור כל כללי ה- ASR.

  1. בחלונית הפרטים של Attack משטח Reduction, פתח את ההגדרה Exclude files and paths from Attack surface reduction rules .

  2. בחלון ההגדרה שנפתח, קבע את תצורת האפשרויות הבאות:

    1. בחר זמין.
    2. פריטים שאינם נכללים בכללי ASR: בחר הצג....

  3. בתיבת הדו-שיח פריטים שאינם נכללים בכללי ASR שנפתחת, קבע את תצורת ההגדרות הבאות:

    • שם ערך: הזן את הנתיב או הנתיב ושם הקובץ שלא ייכללו בכל כללי ה- ASR.
    • ערך: הזן 0.

    סוגי שמות הערכים הבאים נתמכים:

    • כדי לא לכלול את כל הקבצים בתיקיה, הזן את נתיב התיקיה המלא. לדוגמה: C:\Data\Test
    • כדי לא לכלול קובץ ספציפי בתיקיה ספציפית (מומלץ), הזן את הנתיב ואת שם הקובץ. לדוגמה: C:\Data\Test\test.exe

    חזור על שלב זה פעמים רבות ככל הצורך. לאחר שתסיים, בחר אישור.

קביעת תצורה של אי-הכללות של כללים לפי ASR במדיניות קבוצתית

הנתיבים או שמות הקבצים עם הנתיבים שציינת משמשים פריטים שאינם נכללים בכללי ASR ספציפיים.

הערה

אם ההגדרה החל רשימת אי-הכללות על כללים ספציפיים של צמצום שטח תקיפה (ASR) אינה זמינה ב- GPMC, אתה זקוק לגירסה 24H2 ואילך של קבצי תבניות הניהול בחנות המרכזית שלך.

  1. בחלונית הפרטים של Attack משטח Reduction, פתח את ההגדרה החל רשימת אי-הכללות על כללים ספציפיים של צמצום פני השטח של ההתקפה (ASR ).

  2. בחלון ההגדרה שנפתח, קבע את תצורת האפשרויות הבאות:

    1. בחר זמין.
    2. פריטים שאינם נכללים עבור כל כלל ASR: בחר הצג....

  3. בתיבת הדו-שיח אי-הכללות עבור כל כלל ASR שנפתחת, קבע את תצורת ההגדרות הבאות:

    • שם ערך: הזן את ערך ה- GUID של כלל ה- ASR.
    • ערך: הזן אי-הכללה אחת או יותר עבור כלל ה- ASR. השתמש בתחביר Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. לדוגמה: C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe

    חזור על שלב זה פעמים רבות ככל הצורך. לאחר שתסיים, בחר אישור.

קביעת תצורה של כללי ASR ב- PowerShell

אזהרה

אם אתה מנהל את המחשבים והמכשירים שלך באמצעות Intune, מנהל התצורה או פלטפורמת ניהול אחרת ברמת הארגון, תוכנת הניהול מחליפה את כל ההגדרות המתנגשות של PowerShell בעת ההפעלה.

במכשיר היעד, השתמש בתחביר הפקודה הבא של PowerShell בהפעלת PowerShell עם הרשאות מלאות (חלון PowerShell שפתחת על-ידי בחירה באפשרות הפעל כמנהל מערכת):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

  • Set-MpPreferenceמחליף את הכללים הקיימים ואת המצבים התואמים שלהם בערכים שציינת. כדי לראות את רשימת הערכים הקיימים, הפעל את הפקודה הבאה:

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

    כדי להוסיף כללים חדשים ואת המצבים התואמים שלהם מבלי להשפיע על ערכים קיימים, השתמש ב- cmdlet Add-MpPreference . כדי להסיר את הכללים שצוינו ואת המצבים התואמים שלהם מבלי להשפיע על ערכים קיימים אחרים, השתמש ב- cmdlet Remove-MpPreference . תחביר הפקודה זהה עבור שלושת רכיבי ה- cmdlet.

  • ערכי GUID עבור כללי ASR זמינים בכללי ASR.

  • ערכים חוקיים עבור הפרמטר AttackSurfaceReductionRules_Actions הם:

    • 0 או Disabled
    • 1 או Enabled (מצב חסימה)
    • 2או או AuditModeAudit
    • 5 או NotConfigured
    • 6 או Warn

הדוגמה הבאה קובעת את תצורת כללי ה- ASR שצוינו במכשיר:

  • שני הכללים הראשונים זמינים במצב חסימה.
  • הכלל השלישי אינו זמין.
  • הכלל האחרון זמין במצב ביקורת .
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

קביעת תצורה של אי-הכללות כלליות של כלל ASR ב- PowerShell

במכשיר היעד, השתמש בתחביר הפקודה הבא של PowerShell בהפעלת PowerShell עם הרשאות מלאות:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

  • Set-MpPreferenceמחליף את כל הכללים הקיימים של ASR שלא ייכללו בערכים שציינת. כדי לראות את רשימת הערכים הקיימים, הפעל את הפקודה הבאה:

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions

    כדי להוסיף חריגים חדשים מבלי להשפיע על ערכים קיימים, השתמש ב- cmdlet Add-MpPreference . כדי להסיר את החריגים שצוינו מבלי להשפיע על ערכים אחרים, השתמש ב- cmdlet Remove-MpPreference . תחביר הפקודה זהה עבור שלושת רכיבי ה- cmdlet.

    הדוגמה הבאה קובעת את התצורה של הנתיב והנתיב שצוינו עם שם הקובץ כפריטים שאינם נכללים עבור כל כללי ה- ASR במכשיר:

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"

תוכן קשור

  • Last updated on