חומר עזר לכללי הפחתת פני השטח של ההתקפה

מאמר זה מספק מידע על Microsoft Defender עבור נקודת קצה ההפחתה של משטח התקיפה (כללי ASR):

• כללי ASR נתמכים בגירסאות מערכת ההפעלה
• כללי ASR מערכות ניהול תצורה נתמכות
• לכל התראת כלל ASR ופרטי הודעה
• מטריצת כלל ASR ל- GUID
• מצבי כלל ASR
• תיאורים לפי כלל

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

עצה

כמלווה למאמר זה, עיין במדריך ההגדרה Microsoft Defender עבור נקודת קצה כדי לסקור את שיטות העבודה המומלצות וללמוד על כלים חיוניים כגון הפחתת פני השטח של ההתקפה וההגנה מהדור הבא. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של Defender for Endpoint מרכז הניהול של Microsoft 365.

דרישות מוקדמות

מערכות הפעלה נתמכות

• Windows

כללים להקטנת פני השטח של ההתקפה לפי סוג

כללים להפחתת פני השטח של ההתקפה מסווגים לאחד משני סוגים:

• Standard כללי הגנה: האם קבוצת הכללים המינימלית ש- Microsoft ממליצה לך להפוך לזמינים תמיד, בזמן שאתה מעריך את ההשפעה ואת צרכי התצורה של כללי ה- ASR האחרים. כללים אלה כוללים בדרך כלל השפעה מינימלית-ללא משמעותית על משתמש הקצה.

• כללים אחרים: כללים המחייבים מידה מסוימת של ביצוע שלבי הפריסה מתוכם [בדיקת > תוכנית (ביקורת) > הפוך לזמין (מצבי חסימה/אזהרה)], כפי שמפורט במדריך הפריסה של כללי צמצום השטח של ההתקפה.

לקבלת השיטה הקלה ביותר להאפשר את כללי ההגנה הרגילים, ראה אפשרות הגנה רגילה פשוטה יותר.

שם כלל ASR	Standard הגנה כלל?	אחרים כלל?
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים	כן
חסימת Adobe Reader ביצירת תהליכי צאצא¹		כן
חסימת כל יישומי Office ביצירת תהליכי צאצא		כן
חסימת גניבת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)¹ ²	כן
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט		כן
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריוני שכיחות, גיל או רשימה מהימנה³		כן
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים		כן
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד		כן
חסימת יצירת תוכן בר הפעלה על-ידי יישומי Office¹		כן
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים¹ ²		כן
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office¹		כן
חסימת התמדה באמצעות מנוי לאירוע WMI	כן
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI¹		כן
חסימת אתחול מחדש של המחשב במצב בטוח		כן
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB		כן
חסימת שימוש בכלי מערכת שהועתקו או מתחזים		כן
חסימת יצירת Webshell עבור שרתים		כן
חסימת שיחות API של Win32 מפקודות מאקרו של Office		כן
השתמש בהגנה מתקדמת מפני תוכנות כופר		כן

¹ כלל ASR זה אינו מכבד את הפריטים Microsoft Defender אנטי-וירוס. לקבלת מידע אודות קביעת התצורה של פריטים שאינם נכללים ב- ASR לפי כלל, ראה קביעת תצורה של אי-הכללות של צמצום פני השטח של ההתקפה לכל כלל.

² כלל ASR זה אינו מכבד מחווני Microsoft Defender עבור נקודת קצה לסכנה (IOC) עבור קבצים או אישורים.

³ נכון לעכשיו, ייתכן שכלל ASR זה לא יהיה זמין בתצורה של מדיניות ההפחתה של Surface של התקיפה Intune עקב בעיה ידועה בקצה העורפי. עם זאת, הכלל עדיין קיים והוא זמין באמצעות שיטות אחרות. לדוגמה, Microsoft Defender עבור נקודת קצה הגדרות אבטחה, ספק שירותי תצורה (CSP), Add-MpPreference או תצורת מדיניות ASR קיימת של Intune בכללים שנוצרו לפני הבעיה.

כלל ASR זה אינו מכבד מחווני Microsoft Defender עבור נקודת קצה פשרה (IOC) עבור אישורים.

כללי ASR במערכות הפעלה נתמכות

הטבלה הבאה מפרטת את מערכות ההפעלה הנתמכות עבור כללים שמופצים כעת לזמינות כללית. הכללים מופיעים בסדר אלפביתי בטבלה זו.

הערה

אלא אם צוין אחרת, גירסת ה- build Windows 10 המינימלית היא גירסה 1709 (RS3, גירסת Build מס' 16299) ואילך; גירסת ה- Build המינימלית של Windows Server היא גירסה 1809 ואילך. כללים להקטנת פני השטח ב- Windows Server 2012 R2 ו- Windows Server 2016 זמינים עבור מכשירים הקלוטו באמצעות חבילת הפתרונות המאוחדת המודרנית. לקבלת מידע נוסף, ראה פונקציונליות חדשה Windows Server 2012 R2 ו- 2016 בפתרון המאוחד המודרני.

שם כלל	Windows 10 ו- 11	Windows Server גירסה 1803, 2019 ואילך	Windows Server 2016 ו- 2012 R2
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים	Y	Y Windows 10 1803 (ערוץ ארגוני חצי-שנתי) ואילך	Y
חסימת Adobe Reader ביצירת תהליכי צאצא	Y Windows 10 גירסה 1809 ואילך	Y	Y
חסימת כל יישומי Office ביצירת תהליכי צאצא	Y	Y	Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)	Y Windows 10 גירסה 1803 ואילך	Y	Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט	Y	Y	Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה*	Y Windows 10 גירסה 1803 ואילך	Y	Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים	Y	Y	Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד	Y	Y	N
חסימת יצירת תוכן בר הפעלה ביישומי Office	Y	Y	Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים	Y	Y	Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office	Y	Y	Y
חסימת התמדה באמצעות מנוי לאירוע Windows Management Instrumentation (WMI)	Y Windows 10 1903 (גירסת Build מס' 18362) ואילך	Y Windows 10 1903 (גירסת Build מס' 18362) ואילך	N
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI	Y Windows 10 גירסה 1803 ואילך	Y	Y
חסימת אתחול מחדש של המחשב במצב בטוח	Y	Y	Y
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB	Y	Y	Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים	Y	Y	Y
חסימת יצירת Webshell עבור שרתים	N	Y תפקיד Exchange בלבד	Y on Windows Server 2016 Exchange role only N ב- Windows Server 2012 R2
חסימת שיחות API של Win32 מפקודות מאקרו של Office	Y	N	N
השתמש בהגנה מתקדמת מפני תוכנות כופר	Y Windows 10 גירסה 1803 ואילך	Y	Y

^*בשלב זה, ייתכן שכלל ASR זה לא יהיה זמין Intune תצורת מדיניות Attack Surface Reduction עקב בעיה עורפית ידועה. עם זאת, הכלל עדיין קיים והוא זמין באמצעות שיטות אחרות. לדוגמה, Microsoft Defender עבור נקודת קצה הגדרות אבטחה, ספק שירותי תצורה (CSP), Add-MpPreference או תצורת מדיניות ASR קיימת של Intune בכללים שנוצרו לפני הבעיה).

הערה

• לקבלת Windows Server 2012 R2 ו- Windows Server 2016, ראה צירוף Windows Server 2016 ו- Windows Server 2012 R2.
• אם אתה משתמש ב- Configuration Manager, הגירסה המינימלית הנדרשת של Microsoft Configuration Manager היא גירסה 2111 (דצמבר 2021).

כללי ASR מערכות ניהול תצורה נתמכות

קישורים למידע אודות גירסאות מערכת ניהול תצורה המוזכרות בטבלה זו מפורטים מתחת לטבלה זו.

שם כלל	Microsoft Intune	Microsoft Configuration Manager	מדיניות קבוצתית[1]	PowerShell[1]
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים	Y		Y	Y
חסימת Adobe Reader ביצירת תהליכי צאצא	Y		Y	Y
חסימת כל יישומי Office ביצירת תהליכי צאצא	Y	Y Current Branch (CB) 1710	Y	Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)	Y	Y CB 1802	Y	Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט	Y	Y CB 1710	Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה*	Y	Y CB 1802	Y	Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים	Y	Y CB 1710	Y	Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד	Y	Y CB 1710	Y	Y
חסימת יצירת תוכן בר הפעלה ביישומי Office	Y	Y CB 1710	Y	Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים	Y	Y CB 1710	Y	Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office	Y	Y CB 1710	Y	Y
חסימת התמדה באמצעות מנוי לאירוע WMI	Y		Y	Y
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI	Y		Y	Y
חסימת אתחול מחדש של המחשב במצב בטוח	Y		Y	Y
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB	Y	Y CB 1802	Y	Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים	Y		Y	Y
חסימת יצירת Webshell עבור שרתים	Y		Y	Y
חסימת שיחות API של Win32 מפקודות מאקרו של Office	Y	Y CB 1710	Y	Y
השתמש בהגנה מתקדמת מפני תוכנות כופר	Y	Y CB 1802	Y	Y

(1) באפשרותך לקבוע את התצורה של כללי הפחתת פני השטח של ההתקפה על בסיס כל כלל על-ידי שימוש ב- GUID של כל כלל.

^*בשלב זה, ייתכן שכלל ASR זה לא יהיה זמין Intune תצורת מדיניות Attack Surface Reduction עקב בעיה עורפית ידועה. עם זאת, הכלל עדיין קיים והוא זמין באמצעות שיטות אחרות. לדוגמה, Microsoft Defender עבור נקודת קצה הגדרות אבטחה, ספק שירותי תצורה (CSP), Add-MpPreference או תצורת מדיניות ASR קיימת של Intune בכללים שנוצרו לפני הבעיה).

• Configuration Manager CB 1710
• Configuration Manager CB 1802
• Microsoft Configuration Manager CB 1710
• System Center Configuration Manager (SCCM) CB 1710
  SCCM עכשיו Microsoft Configuration Manager.

לכל התראת כלל ASR ופרטי הודעה

הודעות מוקפצות נוצרות עבור כל הכללים במצב חסימה. כללים בכל מצב אחר אינם יוצרים הודעות מוקפצות.

עבור כללים עם "מצב הכלל" שצוין:

• כללי ASR עם \ASR Rule, Rule State\ שילובים משמשים כדי להציג התראות (הודעות מוקפצות) Microsoft Defender עבור נקודת קצה רק עבור מכשירים מוגדרים ברמת חסימת הענן High.
• מכשירים שאינם מוגדרים ברמת חסימת הענן High אינם יוצרים התראות עבור שילובים ASR Rule, Rule State כלשהם.
• התראות זיהוי נקודת קצה ותגובה (EDR) נוצרות עבור כללי ASR במצבים שצוינו, עבור מכשירים המוגדרים ברמת חסימת הענן High+.
• הודעות מוקפצות מתרחשות במצב חסימה בלבד, ולמכשירים מוגדרים ברמת חסימת הענן High.

שם כלל	מצב כלל	התראות EDR	הודעות מוקפצות
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים		N	Y
חסימת Adobe Reader ביצירת תהליכי צאצא	חסום	Y	Y
חסימת כל יישומי Office ביצירת תהליכי צאצא		N	Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)		N	N
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט	ביקורת או חסימה	Y (במצב חסימה) N (במצב ביקורת)	Y (במצב חסימה)
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה*		N	Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים		Y	Y (במצב חסימה)
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד	חסום	Y	Y
חסימת יצירת תוכן בר הפעלה ביישומי Office		N	Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים		N	Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office		N	Y
חסימת התמדה באמצעות מנוי לאירוע WMI		Y	Y (במצב חסימה)
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI		N	Y
חסימת אתחול מחדש של המחשב במצב בטוח		N	N
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB		Y	Y (במצב חסימה)
חסימת שימוש בכלי מערכת שהועתקו או מתחזים		N	Y (במצב חסימה)
חסימת יצירת Webshell עבור שרתים		N	N
חסימת שיחות API של Win32 מפקודות מאקרו של Office		N	Y
השתמש בהגנה מתקדמת מפני תוכנות כופר		Y	Y (במצב חסימה)

^*בשלב זה, ייתכן שכלל ASR זה לא יהיה זמין Intune תצורת מדיניות Attack Surface Reduction עקב בעיה עורפית ידועה. עם זאת, הכלל עדיין קיים והוא זמין באמצעות שיטות אחרות. לדוגמה, Microsoft Defender עבור נקודת קצה הגדרות אבטחה, ספק שירותי תצורה (CSP), Add-MpPreference או תצורת מדיניות ASR קיימת של Intune בכללים שנוצרו לפני הבעיה).

מטריצת כלל ASR ל- GUID

שם כלל	GUID של כלל
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים	56a863a9-875e-4185-98a7-b882c64b5ce5
חסימת Adobe Reader ביצירת תהליכי צאצא	7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
חסימת כל יישומי Office ביצירת תהליכי צאצא	d4f940ab-401b-4efc-aadc-ad5f3c50688a
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט	be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה*	01443614-cd74-433a-b99e-2ecdc07bfc25
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים	5beb7efe-fd9a-4556-801d-275e5ffc04cc
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד	d3e037e1-3eb8-44c8-a917-57927947596d
חסימת יצירת תוכן בר הפעלה ביישומי Office	3b576869-a4ec-4529-8536-b80a7769e899
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים	75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office	26190899-1602-49e8-8b27-eb1d0a1ce869
חסימת התמדה באמצעות מנוי לאירוע WMI * פריטים שאינם נכללים בקובץ ובתיקיה אינם נתמכים.	e6db77e5-3df2-4cf1-b95a-636979351e5b
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI	d1e49aac-8f56-4280-b9ba-993a6d77406c
חסימת אתחול מחדש של המחשב במצב בטוח	33ddedf1-c6e0-47cb-833e-de6133960387
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB	b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
חסימת שימוש בכלי מערכת שהועתקו או מתחזים	c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
חסימת יצירת Webshell עבור שרתים	a8f5898e-1dc8-49a9-9878-85004b8a61e6
חסימת שיחות API של Win32 מפקודות מאקרו של Office	92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
השתמש בהגנה מתקדמת מפני תוכנות כופר	c1db55ab-c21a-4637-bb3f-a12568109d35

^*בשלב זה, ייתכן שכלל ASR זה לא יהיה זמין Intune תצורת מדיניות Attack Surface Reduction עקב בעיה עורפית ידועה. עם זאת, הכלל עדיין קיים והוא זמין באמצעות שיטות אחרות. לדוגמה, Microsoft Defender עבור נקודת קצה הגדרות אבטחה, ספק שירותי תצורה (CSP), Add-MpPreference או תצורת מדיניות ASR קיימת של Intune בכללים שנוצרו לפני הבעיה).

מצבי כלל ASR

מצב כלל	קוד	תיאור
לא נקבעה תצורה או לא זמינה	0	כלל ASR אינו זמין או אינו זמין.
חסום	1	כלל ASR זמין במצב חסימה.
ביקורת	2	כלל ASR מוערך עבור ההשפעה על הסביבה אם היא זמינה במצב חסימה או אזהרה.
להזהיר	6	כלל ASR זמין ומציג הודעה למשתמש, אך המשתמש יכול לעקוף את הבלוק.

אזהרה היא סוג של חסימה שהתראות למשתמשים על פעולות שעלולות להיות מסיכונים באמצעות אזהרה מוקפצת. המשתמשים יכולים לבחור אישור כדי לאכוף את הבלוק, או לבחור בטל חסימה כדי לעקוף את הבלוק למשך 24 השעות הבאות. לאחר 24 שעות, המשתמש צריך לאפשר את החסימה שוב.

מצב אזהרה עבור כללי ASR נתמך רק בגירסה Windows 10 1809 ואילך. גירסאות קודמות Windows 10 עם כלל מצב אזהרה שהוקצה נמצאות ביעילות במצב חסימה.

ב- PowerShell, באפשרותך ליצור כלל ASR במצב אזהרה על-ידי ציון AttackSurfaceReductionRules_Actions הפרמטר עם הערך Warn. לדוגמה:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

תיאורי לפי כלל

חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים

הערה

כדי להגן על הסביבה שלך מפני מנהלי התקנים פגיעים, עליך ליישם תחילה שיטות אלה:

• עבור Windows 10 ואילך, Windows Server 2016 ואילך באמצעות בקרת היישומים של Microsoft לעסקים, עליך לחסום את כל מנהלי ההתקנים כברירת מחדל ולאפשר רק למנהלי התקנים הנחוצים עבורך ולא ידוע שהם פגיעים.
• עבור Windows 8.1 או גירסה קודמת, Windows Server 2012 R2 או גירסה קודמת, באמצעות Microsoft AppLocker, עליך לחסום את כל מנהלי ההתקנים כברירת מחדל ולאפשר רק מנהלי התקנים שאתה חושב שהם הכרחיים ולא ידוע שהם פגיעים.
• עבור Windows 11 ואילך, ו- Windows Server ליבה 1809 ואילך, או גירסה Windows Server 2019 ואילך, עליך גם להפוך את רשימת חסימות מנהלי ההתקנים הפגיעים של Microsoft Windows לזמינה. אז, כשכבה נוספת של הגנה, אתה צריך לאפשר כלל זה הפחתת פני השטח ההתקפה.

כלל זה מונע מיישום לכתוב מנהל התקן חתום פגיע לדיסק. יישומים מקומיים באופן כללי עם הרשאות מספיקות יכולים לנצל מנהלי התקנים חתומים פגיעים כדי לקבל גישה אל הליבה. מנהלי התקנים חתומים פגיעים מאפשרים לתוקפים להפוך פתרונות אבטחה ללא זמינים או לעקוף אותם, ובסופו של דבר הם מובילים לסכנה במערכת.

הכלל חסום שימוש לרעה במנהלי התקנים פגיעים החתימים אינו חוסם את הטעון של מנהל התקן שכבר קיים במערכת.

הערה

באפשרותך להגדיר כלל זה באמצעות Intune OMA-URI. ראה Intune OMA-URI לקביעת תצורה של כללים מותאמים אישית. באפשרותך גם לקבוע את התצורה של כלל זה באמצעות PowerShell. כדי לבדוק מנהל התקן, השתמש באתר אינטרנט זה כדי לשלוח מנהל התקן לצורך ניתוח.

Intune אישית:Block abuse of exploited vulnerable signed drivers

Configuration Manager זה: עדיין לא זמין

Guid: 56a863a9-875e-4185-98a7-b882c64b5ce5

סוג פעולת ציד מתקדמת:

• AsrVulnerableSignedDriverAudited
• AsrVulnerableSignedDriverBlocked

חסימת Adobe Reader ביצירת תהליכי צאצא

כלל זה מונע תקיפות על-ידי חסימת Adobe Reader ביצירת תהליכים.

תוכנות זדוניות יכולות להוריד ולהוריד תוכן מנה ולנתק את Adobe Reader באמצעות הנדסה חברתית או ניצולים לרעה. על-ידי חסימת Adobe Reader מפני יצירת תהליכי צאצא, תוכנות זדוניות שניסיון להשתמש ב- Adobe Reader בתור וקטור תקיפה מונעות את התפשטותן.

Intune זה:Process creation from Adobe Reader (beta)

Configuration Manager זה: עדיין לא זמין

Guid: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

סוג פעולת ציד מתקדמת:

• AsrAdobeReaderChildProcessAudited
• AsrAdobeReaderChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת כל יישומי Office ביצירת תהליכי צאצא

כלל זה חוסם את יצירת תהליכי הצאצא של יישומי Office. יישומי Office כוללים Word, Excel, PowerPoint, OneNote ו- Access.

יצירת תהליכי ילד זדוני היא אסטרטגיה נפוצה של תוכנות זדוניות. תוכנות זדוניות שמנצלות לרעה את Office בתור וקטור מפעילות לעתים קרובות פקודות מאקרו של VBA ומנצלות קוד להורדה ולניסיון להפעיל תוכן תוכן נוסף. עם זאת, יישומים חוקיים מסוימים של קו פעולה עסקי עשויים גם הם ליצור תהליכי צאצא למטרות יעילות. לדוגמה, יצירת שורת פקודה או שימוש ב- PowerShell כדי לקבוע את תצורת הגדרות הרישום.

Intune זה:Office apps launching child processes

Configuration Manager זה:Block Office application from creating child processes

Guid: d4f940ab-401b-4efc-aadc-ad5f3c50688a

סוג פעולת ציד מתקדמת:

• AsrOfficeChildProcessAudited
• AsrOfficeChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows

הערה

אם הגנת LSA מופעלת , כלל הפחתת פני השטח של ההתקפה אינו נדרש. לתנומה מאובטחת יותר, מומלץ גם להפעיל את Credential Guard באמצעות הגנת LSA.

אם הגנת LSA מופעלת, כלל ה- ASR מסווג כלא ישים בהגדרות הניהול של Defender for Endpoint בפורטל Microsoft Defender.

כלל זה מסייע במניעת גניבת אישורים על-ידי נעילת שירות מערכות המשנה של רשות האבטחה המקומית (LSASS).

LSASS מאמת משתמשים הנכנסים במחשב Windows. Credential Guard ב- Windows מונע בדרך כלל ניסיונות לחלץ אישורים מ- LSASS. ארגונים מסוימים אינם יכולים להפוך את Credential Guard לזמין בכל המחשבים שלהם עקב בעיות תאימות עם מנהלי התקנים מותאמים אישית של כרטיסים חכמים או תוכניות אחרות העומסות לתוך רשות האבטחה המקומית (LSA). במקרים אלה, תוקפים יכולים להשתמש בכלים כגון Mimikatz כדי לגרד סיסמאות טקסט רגיל ו- HASH של NTLM מ- LSASS.

כברירת מחדל, המצב של כלל זה מוגדר כלא מוגדר (לא זמין). ברוב המקרים, תהליכים רבים לבצע קריאות ל- LSASS עבור זכויות גישה שאינן דרושות. לדוגמה, כאשר החסימה ההתחלתית מכלל ה- ASR גורמת לקריאה בהמשך עבור הרשאה פחותה יותר שמצליחה. לקבלת מידע אודות סוגי הזכויות המבוקשים בדרך כלל בקריאות עיבוד ל- LSASS, ראה עבד זכויות אבטחה וגישה.

הפיכת כלל זה לזמין אינה מספקת הגנה נוספת אם הגנת LSA מופעלת מאחר שכלל ה- ASR והגנת LSA פועלים באופן דומה. עם זאת, אם אינך מצליח להפוך את הגנת LSA לזמינה, באפשרותך לקבוע את התצורה של כלל זה כדי לספק הגנה שווה ערך מפני תוכנות זדוניות שממטרות.lsass.exe

עצה

• אירועי ביקורת ASR אינם יוצרים הודעות מוקפצות. כלל ה- ASR של LSASS מפיק נפח גדול של אירועי ביקורת, כמעט כולם בטוחים להתעלם מהם כאשר הכלל זמין במצב חסימה. באפשרותך לבחור לדלג על הערכת מצב הביקורת ולהמשיך לפריוסת מצב חסימה. אנו ממליצים להתחיל מערכה קטנה של מכשירים ולהרחיב בהדרגה כדי לכסות את השאר.
• הכלל נועד להעלים דוחות/הודעות מוקפצות של בלוקים עבור תהליכים ידידותיים. הוא גם מיועד לשחרר דוחות עבור בלוקים כפולים. לפי כך, הכלל מותאם היטב לזמין במצב חסימה, ללא קשר לשאלה אם הודעות מוקפצות מופעלות או לא זמינות.
• ASR במצב אזהרה נועד להציג למשתמשים הודעה מוצמדת של חסימה הכוללת לחצן "בטל חסימה". בשל אופי ה"בטוח להתעלם" של בלוקי LSASS ASR ועוצמת הקול העליונה שלהם, מצב WARN אינו מומלץ עבור כלל זה (ללא קשר לשאלה אם הודעות מוקפצות מופעלות או לא זמינות).
• כלל זה נועד לחסום את הגישה של התהליכים לזיכרון LSASS.EXE תהליך. זה לא חוסם את הפעלתם. אם אתה רואה תהליכים svchost.exe נחסמים, הדבר חוסם את הגישה לזיכרון תהליך LSASS בלבד. לכן, svchost.exe ותהליכים אחרים ניתן להתעלם בבטחה. החריג היחיד הוא בבעיות הידועות הבאות.

הערה

בתרחיש זה, כלל ה- ASR מסווג כ"לא ישים" בהגדרות של Defender for Endpoint בפורטל Microsoft Defender.

כלל ה- ASR של חסימת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows אינו תומך במצב אזהרה.

באפליקציות מסוימות, הקוד מונה את כל התהליכים הפועלים וינסה לפתוח אותם עם הרשאות ממצה. כלל זה מכחיש את פעולת פתיחת התהליך של היישום ורושם את הפרטים ביומן אירועי האבטחה. כלל זה יכול ליצור רעשים רבים. אם יש לך יישום שהספירה של LSASS פשוט כוללת פונקציונליות, אך אינה כוללת השפעה ממשית, אין צורך להוסיף אותה לרשימת אי-ההכללה. בפני עצמו, ערך יומן אירועים זה אינו מצביע בהכרח על איום זדוני. Intune זה:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager זה:Block credential stealing from the Windows local security authority subsystem

Guid: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

סוג פעולת ציד מתקדמת:

• AsrLsassCredentialTheftAudited
• AsrLsassCredentialTheftBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

בעיות ידועות: אפליקציות אלה ו"חסימת גניבת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows" אינן תואמות:

שם יישום	לקבלת מידע
בקשה לסינכרון סיסמאות Dirsync	סינכרון סיסמאות של Dirsync אינו פועל כאשר Windows Defender מותקן, שגיאה: "VirtualAllocEx נכשל: 5" (4253914)

לקבלת תמיכה טכנית, פנה אל מפרסם התוכנה.

חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט

כלל זה חוסם דואר אלקטרוני שנפתח ביישום Microsoft Outlook, Outlook.com דואר אלקטרוני וספקי דואר אינטרנט פופולריים אחרים מפני הפצת סוגי הקבצים הבאים:

• קבצי הפעלה (כגון קבצי .exe, .dll או .scr)

• קבצי Script (כגון קובץ PowerShell.ps1, .vbs של Visual Basic או JavaScript .js קובץ)

• ארכיון קבצים (כגון .zip אחרים)

Intune זה:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager זה:Block executable content from email client and webmail

Guid: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

סוג פעולת ציד מתקדמת:

• AsrExecutableEmailContentAudited
• AsrExecutableEmailContentBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

הכלל חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט כולל את התיאורים החלופיים הבאים, בהתאם ליישום שבו אתה משתמש:

• Intune (פרופילי תצורה): ביצוע תוכן הפעלה (exe, dll, ps, js, vbs וכדומה) שוחרר מהדואר האלקטרוני (לקוח webmail/mail) (ללא חריגים).
• Configuration Manager: חסימת הורדת תוכן בר הפעלה מהלקוחות של דואר אלקטרוני ודואר אינטרנט.
• מדיניות קבוצתית: חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט.

חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה

עצה

^*בשלב זה, ייתכן שכלל ASR זה לא יהיה זמין Intune תצורת מדיניות Attack Surface Reduction עקב בעיה עורפית ידועה. עם זאת, הכלל עדיין קיים והוא זמין באמצעות שיטות אחרות. לדוגמה, Microsoft Defender עבור נקודת קצה הגדרות אבטחה, ספק שירותי תצורה (CSP), Add-MpPreference או תצורת מדיניות ASR קיימת של Intune בכללים שנוצרו לפני הבעיה).

כלל זה חוסם הפעלה של קבצים, כגון .exe, .dll או .scr, מההפעלה. לכן, הפעלת קבצי הפעלה לא מהימנה או לא ידועה עלולה להיות מכוונת, מכיוון שייתכן שלא יהיה ברור תחילה אם הקבצים זדוניים.

חשוב

עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה. כלל זה משתמש בהגנה מבוססת ענן כדי לעדכן את הרשימה המהימנה שלו באופן קבוע. באפשרותך לציין קבצים או תיקיות בודדים באמצעות נתיבי תיקיות או שמות משאבים המלאים. הוא תומך גם בהגדרה ASROnlyPerRuleExclusions .

Intune זה:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager זה:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

Guid: 01443614-cd74-433a-b99e-2ecdc07bfc25

סוג פעולת ציד מתקדמת:

• AsrUntrustedExecutableAudited
• AsrUntrustedExecutableBlocked

יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן

חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים

כלל זה מזהה מאפיינים חשודים בתוך קובץ Script מעורפל.

הערה

קבצי Script של PowerShell נתמכים כעת עבור הכלל "חסימת הפעלה של קבצי Script שעלולים להיות מקוושנים".

חשוב

עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה.

סתירת קובץ Script היא שיטה נפוצה שבה גם מחברים של תוכנות זדוניות וגם אפליקציות לגיטימיות משתמשים כדי להסתיר קניין רוחני או להפחית זמני טעינה של קבצי Script. מחברים של תוכנות זדוניות משתמשים גם בתסכול כדי להקשות על קריאת קוד זדוני, אשר מקשה על בחינה קפדנית של בני אדם ותוכנות אבטחה.

Intune זה:Obfuscated js/vbs/ps/macro code

Configuration Manager זה:Block execution of potentially obfuscated scripts

Guid: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

סוג פעולת ציד מתקדמת:

• AsrObfuscatedScriptAudited
• AsrObfuscatedScriptBlocked

יחסי תלות: Microsoft Defender אנטי-וירוס, ממשק סריקה נגד תוכנות זדוניות (AMSI), הגנה על ענן

חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד

כלל זה מונע הפעלה של תוכן שהורדת קובץ Script שעשוי להיות זדוני. תוכנות זדוניות שנכתבו ב- JavaScript או ב- VBScript פועלות לעתים קרובות כמו מוריד כדי להביא תוכנות זדוניות אחרות מהאינטרנט ולהוריד תוכנות זדוניות אחרות. למרות שאפליקציות קו פעולה עסקי לא נפוצות משתמשות לעתים בקבצי Script להורדה ולהפעלה של מתקינים.

Intune זה:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager זה:Block JavaScript or VBScript from launching downloaded executable content

Guid: d3e037e1-3eb8-44c8-a917-57927947596d

סוג פעולת ציד מתקדמת:

• AsrScriptExecutableDownloadAudited
• AsrScriptExecutableDownloadBlocked

יחסי תלות: Microsoft Defender-וירוס, AMSI

חסימת יצירת תוכן בר הפעלה ביישומי Office

כלל זה מונע מיישומים של Office, Word, Excel ו- PowerPoint, לשמש בווקטור כדי לשמור קוד זדוני בדיסק. תוכנות זדוניות שמנצלות לרעה את Office בתור וקטור עשויות לנסות לשמור רכיבים זדוניים בדיסק שישרדו אתחול מחדש של המחשב ויתמידו במערכת. כלל זה מגן מפני טכניקת התמדה זו על-ידי חסימת הגישה (פתיחה/ביצוע) בקוד שנכתב בדיסק. כלל זה חוסם גם הפעלה של קבצים לא מהימנה שייתכן שנשמרו על-ידי פקודות מאקרו של Office המורשות לפעול בקובצי Office.

Intune זה:Office apps/macros creating executable content

Configuration Manager זה:Block Office applications from creating executable content

Guid: 3b576869-a4ec-4529-8536-b80a7769e899

סוג פעולת ציד מתקדמת:

• AsrExecutableOfficeContentAudited
• AsrExecutableOfficeContentBlocked

יחסי תלות: Microsoft Defender-וירוס, RPC

חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים

כלל זה חוסם ניסיונות הזרקת קוד מיאפליקציות Office לתהליכים אחרים.

הערה

כלל ASR של חסימת אפליקציות מפני הזרקת קוד לתהליכים אחרים אינו תומך במצב אזהרה.

חשוב

כלל זה דורש הפעלה מחדש יישומי Microsoft 365 (יישומי Office) כדי ששינויי התצורה ייכנסו לתוקף.

תוקפים עשויים לנסות להשתמש ביישומי Office כדי להעביר קוד זדוני לתהליכים אחרים באמצעות הזרקת קוד, כך שהקוד יכול לתנוע כתהליך נקי. אין מטרות עסקיות מוכרות לגיטימיות לשימוש בהזרקת קוד.

כלל זה חל על Word, Excel, OneNote ו- PowerPoint.

Intune זה:Office apps injecting code into other processes (no exceptions)

Configuration Manager זה:Block Office applications from injecting code into other processes

Guid: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

סוג פעולת ציד מתקדמת:

• AsrOfficeProcessInjectionAudited
• AsrOfficeProcessInjectionBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

בעיות ידועות: אפליקציות אלה ו"חסום את הכלל של יישומי Office מפני הזרקת קוד לתהליכים אחרים" אינן תואמות:

שם יישום	לקבלת מידע
Avecto (BeyondTrust) Privilege Guard	ספטמבר-2024 (פלטפורמה: 4.18.24090.11 |מנוע 1.1.24090.11).
אבטחת Heimdal	לא רלוונטי

לקבלת תמיכה טכנית, פנה אל מפרסם התוכנה.

חסימת יצירת תהליכי צאצא ביישום התקשורת של Office

כלל זה מונע מ- Outlook ליצור תהליכי צאצא, תוך מתן אפשרות לפונקציות חוקיות של Outlook. כלל זה מגן מפני תקיפות של הנדסה חברתית ומונע ניצול לרעה של קוד מפני פגיעויות ב- Outlook. היא גם מגנה מפני כללים וטפסים המנצלים את השימוש בהם התוקפים יכולים להשתמש כאשר אישורי משתמש נחשפים לסכנה.

Intune זה:Process creation from Office communication products (beta)

Configuration Manager אחר: לא זמין

Guid: 26190899-1602-49e8-8b27-eb1d0a1ce869

סוג פעולת ציד מתקדמת:

• AsrOfficeCommAppChildProcessAudited
• AsrOfficeCommAppChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת התמדה באמצעות מנוי לאירוע WMI

כלל זה מונע מתוכנות זדוניות להשתמש ב- WMI כדי להשיג עקביות במכשיר.

איומים ללא קובץ משתמשים בטקטיקות שונות כדי להישאר מוסתרים, להימנע משימוש במערכת הקבצים ולהשיג שליטה תקופתית בביצוע. איומים מסוימים יכולים לנצל לרעה את מאגר WMI ואת מודל האירוע כדי להישאר מוסתרים.

הערה

אם אתה משתמש ב- Configuration Manager (CM, שנקרא בעבר MEMCM או SCCM) CcmExec.exe עם (סוכן SCCM), מומלץ להפעיל אותו במצב ביקורת למשך 60 יום לפחות. לאחר שאתה מוכן לעבור למצב חסימה, הקפד לפרוס את כללי ה- ASR המתאימים, תוך התחשבות בפריטים שאינם נכללים בכללים הנחוצים.

Intune זה:Persistence through WMI event subscription

Configuration Manager אחר: לא זמין

Guid: e6db77e5-3df2-4cf1-b95a-636979351e5b

סוג פעולת ציד מתקדמת:

• AsrPersistenceThroughWmiAudited
• AsrPersistenceThroughWmiBlocked

יחסי תלות: Microsoft Defender-וירוס, RPC

חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI

כלל זה חוסם את הפעלת התהליכים שנוצרו באמצעות PsExecו- WMI . הן PsExec והן WMI יכולים לבצע קוד מרחוק. קיים סיכון לפונקציונליות פוגעת בתוכנות זדוניות של PsExec ו- WMI למטרות פקודה ושליטה, או להפיץ הידבקות ברשת הארגון.

אזהרה

השתמש בכלל זה רק אם אתה מנהל את המכשירים שלך באמצעות Intune או פתרון MDM אחר. כלל זה אינו תואם לניהול באמצעות Microsoft Configuration Manager מכיוון שכלל זה חוסם פקודות WMI שבהן משתמש לקוח Configuration Manager כדי לפעול כראוי.

Intune זה:Process creation from PSExec and WMI commands

Configuration Manager אחר: לא ישים

Guid: d1e49aac-8f56-4280-b9ba-993a6d77406c

סוג פעולת ציד מתקדמת:

• AsrPsexecWmiChildProcessAudited
• AsrPsexecWmiChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת אתחול מחדש של המחשב במצב בטוח

כלל זה מונע הפעלה של פקודות מסוימות להפעלה מחדש של מחשבים במצב בטוח. במצב בטוח, מוצרי אבטחה רבים אינם זמינים או פועלים בקיבולת מוגבלת. אפקט זה מאפשר לתוקפים להפעיל עוד יותר פקודות של טיפול שלא כדין, או לבצע ולהצפין את כל הקבצים במחשב. כלל זה חוסם שימוש לרעה במצב בטוח על-ידי מניעת שימוש לרעה בפקודות כגון והפעלה bcdeditbootcfg מחדש של מחשבים במצב בטוח. מצב בטוח עדיין נגיש באופן ידני מתוך סביבת השחזור של Windows.

Intune אישית:Block rebooting machine in Safe Mode

Configuration Manager זה: עדיין לא זמין

Guid: 33ddedf1-c6e0-47cb-833e-de6133960387

סוג פעולת ציד מתקדמת:

• AsrSafeModeRebootedAudited
• AsrSafeModeRebootBlocked
• AsrSafeModeRebootWarnBypassed

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB

באמצעות כלל זה, מנהלי מערכת יכולים למנוע מקבצים הפעלה לא מהימנה או לא מהימנה לפעול מתוך כוננים נשלפים מסוג USB, כולל כרטיסי SD. סוגי קבצים חסומים כוללים קבצי הפעלה (כגון .exe, .dll או .scr)

חשוב

כלל זה חוסם קבצים שהועתקו מה- USB לכונן הדיסקים אם ומתי הוא עומד להתבצע בכונן הדיסקים.

Intune זה:Untrusted and unsigned processes that run from USB

Configuration Manager זה:Block untrusted and unsigned processes that run from USB

Guid: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

סוג פעולת ציד מתקדמת:

• AsrUntrustedUsbProcessAudited
• AsrUntrustedUsbProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת שימוש בכלי מערכת שהועתקו או מתחזים

כלל זה חוסם את השימוש בקבצים ניתנים להפעלה המזוהים כ עותקים של כלי המערכת של Windows. קבצים אלה הם כפילויות או מתחזים של כלי המערכת המקוריים. תוכניות זדוניות מסוימות עשויות לנסות להעתיק או להתחזות כלי מערכת של Windows כדי להימנע מזיהוי או להשגת הרשאות. מתן אפשרות לקבצים ניתנים להפעלה כזו עלול להוביל להתקפות אפשריות. כלל זה מונע הפצה וביצוע של כפילויות ופריטים מתחזים אלה של כלי המערכת במחשבי Windows.

Intune אישית:Block use of copied or impersonated system tools

Configuration Manager זה: עדיין לא זמין

Guid: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

סוג פעולת ציד מתקדמת:

• AsrAbusedSystemToolAudited

• AsrAbusedSystemToolBlocked

• AsrAbusedSystemToolWarnBypassed

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת יצירת Webshell עבור שרתים

כלל זה חוסם יצירת קובץ Script של מעטפת אינטרנט ב- Microsoft Server, תפקיד Exchange. קובץ Script של מעטפת אינטרנט הוא קובץ Script מעוצב המאפשר לתוקף לשלוט בשרת שנחשף לסכנה.

מעטפת אינטרנט עשויה לכלול פונקציונליות כגון קבלה וביצוע של פקודות זדוניות, הורדה וביצוע של קבצים זדוניים, גניבת אישורים ומידע רגיש וגניבתם, וזיהוי יעדים פוטנציאליים.

Intune זה:Block Webshell creation for Servers

Guid: a8f5898e-1dc8-49a9-9878-85004b8a61e6

יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

בעת ניהול כללי ASR באמצעות Microsoft Defender עבור נקודת קצה הגדרות האבטחה שלך, Not Configured עליך לקבוע את התצורה של ההגדרה חסום יצירת דפי אינטרנט עבור שרתים מדיניות קבוצתית או הגדרות מקומיות אחרות. אם כלל זה מוגדר לערך אחר (EnabledDisabledכגון או ), הוא עלול לגרום להתנגשויות ולמנוע את החלת המדיניות כראוי באמצעות ניהול הגדרות אבטחה.

חסימת שיחות API של Win32 מפקודות מאקרו של Office

כלל זה מונע מפקודות מאקרו של VBA לקרוא לממשקי API של Win32. Office VBA מאפשר שיחות API של Win32. תוכנות זדוניות יכולות להשתמש ביכולת זו לרעה, כגון קריאה לממשקי API של Win32 להפעיל קוד מעטפת זדוני מבלי לכתוב שום דבר ישירות לדיסק. רוב הארגונים אינם מסתסים על היכולת להתקשר לממשקי API של Win32 בתדירות היום-יומית שלהם, גם אם הם משתמשים בפקודות מאקרו בדרכים אחרות.

Intune זה:Win32 imports from Office macro code

Configuration Manager זה:Block Win32 API calls from Office macros

Guid: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

סוג פעולת ציד מתקדמת:

• AsrOfficeMacroWin32ApiCallsAudited
• AsrOfficeMacroWin32ApiCallsBlocked

יחסי תלות: Microsoft Defender-וירוס, AMSI

השתמש בהגנה מתקדמת מפני תוכנות כופר

כלל זה מספק שכבה נוספת של הגנה מפני תוכנות כופר. הוא משתמש גם בלקוח וגם בענן כדי לקבוע אם קובץ דומה לתוכנות כופר. כלל זה אינו חוסם קבצים בעלי אחת או יותר מהמאפיינים הבאים:

• הקובץ נמצא לא מזיק בענן של Microsoft.
• הקובץ הוא קובץ חתום חוקי.
• הקובץ שכיח מספיק כדי שלא ייחשבו תוכנות כופר.

הכלל נוטה לשגיאה בצד של זהירות כדי למנוע תוכנות כופר.

הערה

עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה.

Intune זה:Advanced ransomware protection

Configuration Manager זה:Use advanced protection against ransomware

Guid: c1db55ab-c21a-4637-bb3f-a12568109d35

סוג פעולת ציד מתקדמת:

• AsrRansomwareAudited
• AsrRansomwareBlocked

יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן

למידע נוסף

• מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה

• תכנון פריסה של כללי הפחתת פני השטח של ההתקפה

• כללים להקטנת פני השטח של ההתקפה בבדיקה

• אפשר כללי צמצום פני השטח של ההתקפה

• תפעול כללי צמצום פני השטח של ההתקפה

• דוח כללי צמצום פני השטח של ההתקפה

• חומר עזר לכללי הפחתת פני השטח של ההתקפה

• פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים

• פתרון בעיות בכללי צמצום פני השטח של ההתקפה