התייחסות לכללי צמצום שטח תקיפה (ASR)

  • חל על: Microsoft Defender for Endpoint Plan 2

כללים להקטנת פני השטח של ההתקפה (ASR) ממקדים אופן פעולה של תוכנה מסוכנות במכשירי Windows שתוקפים מנצלים בדרך כלל באמצעות תוכנות זדוניות (לדוגמה, הפעלת קבצי Script שמורידות קבצים, הפעלת קבצי Script מעורפלים והזקת קוד לתהליכים אחרים). לקבלת מידע נוסף אודות כללי ASR, ראה מבט כולל על כללי צמצום פני השטח של התקיפה (ASR).

מאמר זה הוא חומר עזר טכני עבור כללי ASR שמספק את המידע הבא:

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

תמיכה במערכת ההפעלה עבור כללי ASR

כללי ASR הם Microsoft Defender אנטי-וירוס הזמינה בכל מהדורה של Windows הכוללת את תוכנת האנטי Microsoft Defender Antivirus של Microsoft Defender (לדוגמה, Windows 11 Home). באפשרותך לקבוע את התצורה של כללי ASR באופן מקומי באמצעות PowerShell או מדיניות קבוצתית.

הטבלה הבאה מתארת את התמיכה במערכת ההפעלה עבור כללי ASR ב- Microsoft Defender עבור נקודת קצה, המספקת ניהול מרכזי, דיווח והתראה באמצעות Microsoft Intune, Microsoft Configuration Manager, וכן Microsoft Defender הפורטל:

שם כלל Windows 11 ואילך Windows 10 Windows Server 2019 ואילך Windows Server 2016* Windows Server 2012 R2*
Standard כללי הגנה
חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים (מכשיר) Y 1709 ואילך Y Windows Server 1803 (SAC) ואילך Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows Y 1803 ואילך Y Y Y
חסימת התמדה באמצעות מנוי לאירוע WMI Y 1903 ואילך Windows Server 1903 (SAC) ואילך N N
כללי ASR אחרים
חסימת Adobe Reader ביצירת תהליכי צאצא Y 1809 ואילך Y Y Y
חסימת כל יישומי Office ביצירת תהליכי צאצא Y 1709 ואילך Y Y Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט Y 1709 ואילך Y Y Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה Y 1803 ואילך Y Y Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים Y 1709 ואילך Y Y Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד Y 1709 ואילך Y N N
חסימת יצירת תוכן בר הפעלה ביישומי Office Y 1709 ואילך Y Y Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים Y 1709 ואילך Y Y Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office Y 1709 ואילך Y Y Y
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI Y 1803 ואילך Y Y Y
חסימת אתחול מחדש של המחשב במצב בטוח Y 1709 ואילך Y Y Y
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB Y 1709 ואילך Y Y Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים Y 1709 ואילך Y Y Y
חסימת יצירת Webshell עבור שרתים לא רלוונטי לא רלוונטי שרתי Exchange בלבד שרתי Exchange בלבד N
חסימת שיחות API של Win32 מפקודות מאקרו של Office Y 1709 ואילך לא רלוונטי לא רלוונטי לא רלוונטי
השתמש בהגנה מתקדמת מפני תוכנות כופר Y 1803 ואילך Y Y Y

*כללי ASR נתמכים ב- Windows Server 2016 וב- Windows Server 2012 R2 דורשים צירוף באמצעות חבילת הפתרונות המאוחדת המודרנית. לקבלת מידע נוסף, ראה פונקציונליות חדשה Windows Server 2012 R2 ו- 2016 בפתרון המאוחד המודרני.

תמיכה בפעולת שירות של פריסה עבור כללי ASR

למרות ש- Defender for Endpoint תומך בכללי ASR, דרוש לך שירות נפרד כדי לפרוס את הכללים במכשירים. השיטות הנתמכות לפריסת כללי ASR מתוארות בטבלה הבאה.

שם כלל Intune מנהל התצורה ספק פתרונות ענן (CSP) של MDM רשימת מדיניות קבוצתית
Standard כללי הגנה
חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים (מכשיר) Y N Y Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows Y 1802 ואילך Y Y
חסימת התמדה באמצעות מנוי לאירוע WMI Y N Y Y
כללי ASR אחרים
חסימת Adobe Reader ביצירת תהליכי צאצא Y N Y Y
חסימת כל יישומי Office ביצירת תהליכי צאצא Y 1710 ואילך Y Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט Y 1710 ואילך Y Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה[1] Y 1802 ואילך Y Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים Y 1710 ואילך Y Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד Y 1710 ואילך Y Y
חסימת יצירת תוכן בר הפעלה ביישומי Office Y 1710 ואילך Y Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים Y 1710 ואילך Y Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office Y N Y Y
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI Y N Y Y
חסימת אתחול מחדש של המחשב במצב בטוח Y N Y Y
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB Y 1802 ואילך Y Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים Y N Y Y
חסימת יצירת Webshell עבור שרתים Y N Y Y
חסימת שיחות API של Win32 מפקודות מאקרו של Office Y 1710 ואילך Y Y
השתמש בהגנה מתקדמת מפני תוכנות כופר Y 1802 ואילך Y Y

עצה

באפשרותך גם להגדיר כללי ASR באופן מקומי במכשירים בודדים באמצעות מדיניות קבוצתית או PowerShell. כל כללי ASR נתמכים בשתי השיטות במכשירים מקומיים.

1 בשלב זה, ייתכן שכלל ASR זה לא יהיה זמין בתצורה Intune של מדיניות ASR עקב בעיה ידועה בקצה העורפי. עם זאת, הכלל זמין באמצעות שיטות התצורה הזמינות האחרות של מדיניות ASR או בשיטות קיימות של INTUNE ASR שנוצרו לפני הבעיה.

התראות והודעות מפעולות כלל ASR

הטבלה הבאה מתארת את ההתראות המקומיות והארגון שבאפשרותך ליצור כללי ASR פעילים.

  • ערך ההתראות של EDR מציין אם כלל ה- ASR במצב חסימה או אזהרה יוצר התראות זיהוי נקודת קצה ותגובה (EDR) ב- Defender for Endpoint.
  • הערך הודעות משתמש מציין אם כלל ה- ASR תומך בפריטים מוקפצים של הודעות משתמש במצב חסימה או אזהרה (אם הכלל תומך במצב אזהרה).
שם כלל התראות EDR משתמש
הודעות
Standard כללי הגנה
חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים (מכשיר) N Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows[¹] N N
חסימת התמדה באמצעות מנוי לאירוע WMI Y Y
כללי ASR אחרים
חסימת Adobe Reader מפני יצירת תהליכי צאצא[²] Y Y
חסימת כל יישומי Office ביצירת תהליכי צאצא N Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ומ- webmail[²] Y Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה N Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים Y Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד[²] Y Y
חסימת יצירת תוכן בר הפעלה ביישומי Office N Y
חסום את האפשרות של יישומי Office להחדיר קוד לתהליכים אחרים[¹] N Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office N Y
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI N Y
חסימת אתחול מחדש של המחשב במצב בטוח N N
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB Y Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים N Y
חסימת יצירת Webshell עבור שרתים N N
חסימת שיחות API של Win32 מפקודות מאקרו של Office Y N
השתמש בהגנה מתקדמת מפני תוכנות כופר Y Y

¹ כלל ASR זה אינו תומך במצב אזהרה .

² לכלל ASR זה במצב חסימה או אזהרה יש את הדרישות הנו נוספות הבאות ברמת ההגנה בענן ב- Microsoft Defender אנטי-וירוס:

  • התראות EDR נוצרות רק כאשר רמת ההגנה בענן במכשיר היא גבוהה פלוס אועמידות אפס.
  • פריטים מוקפצים של הודעות משתמש נוצרים רק כאשר רמת ההגנה בענן במכשיר היא גבוהה,גבוהה פלוס או עמידות אפס.

פרטי כלל ASR

Standard כללי הגנה

חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים (מכשיר)

אפליקציות מקומיות עם הרשאות מספיקות יכולות לנצל מנהלי התקנים חתומים פגיעים כדי לקבל גישה אל הליבה של מערכת ההפעלה. מנהלי התקנים חתומים פגיעים מאפשרים לתוקפים להפוך פתרונות אבטחה ללא זמינים או לעקוף אותם, ובסופו של דבר הם מובילים לסכנה במערכת.

כלל ASR זה מונע מיישומים לשמור מנהלי התקנים חתומים פגיעים במחשב. הוא אינו מונע טעינה של מנהלי התקנים קיימים שכבר נמצאים במחשב.

  • Microsoft Intune זה:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager אחר: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • סוג פעולת ציד מתקדמת:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • יחסי תלות: ללא

הערה

חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows

הערה

אם הפעלת הגנה של רשות אבטחה מקומית (LSA) (מומלץ, יחד עם Credential Guard):

  • כלל ASR זה אינו נדרש.
  • כלל ASR זה אינו מספק הגנה נוספת (כלל ASR והגנת LSA פועלים באופן דומה).
  • כלל ASR זה מסווג כ'לא ישים' בהגדרות הניהול של Defender for Endpoint בפורטל Microsoft Defender של נקודות הקצה.

כלל ASR זה מסייע במניעת גניבת אישורים על-ידי נעילת שירות מערכות המשנה של רשות האבטחה המקומית (LSASS). LSASS מאמת משתמשים הנכנסים במחשבי Windows. בדרך כלל, Credential Guard ב- Windows מונע ניסיונות לחלץ אישורים מ- LSASS.

תהליכים רבים לבצע שיחות מיותרות ל- LSASS עבור זכויות גישה שאינן נחוצות. פעילות זו יוצרת רעש משמעותי של כלל ASR, אך אינה חוסם פונקציונליות. לדוגמה, Google Chrome מעדכן גישה ל- LSASS ללא צורך, מכיוון שסיסמאות מאוחסנות ב- LSASS במכשיר. הפעלת כלל ASR זה במכשיר חוסמת את הגישה של עדכוני Chrome ל- LSASS, אך אינה חוסמת את העדכון של Chrome. אירועי כלל ASR אלה טובים משום שתהליך עדכון התוכנה של Chrome אינו אמור לגשת ל- LSASS.

לקבלת מידע אודות סוגי הזכויות המבוקשים בדרך כלל בקריאות עיבוד ל- LSASS, ראה עבד זכויות אבטחה וגישה.

ארגונים מסוימים אינם יכולים להפוך את Credential Guard לזמין עקב בעיות תאימות עם מנהלי התקנים מותאמים אישית של כרטיסים חכמים או תוכניות אחרות העומסות לתוך ה- LSA. במקרים אלה, תוקפים יכולים להשתמש בכלים כגון Mimikatz כדי לגרד סיסמאות טקסט רגיל ו- HASH של NTLM מ- LSASS.

אם אינך מצליח להפעיל הגנת LSA ו/או Credential Guard, באפשרותך לקבוע את התצורה של כלל זה כדי לספק הגנה שווה ערך מפני תוכנות זדוניות שממטרות.lsass.exe

  • Microsoft Intune זה:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager זה:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • סוג פעולת ציד מתקדמת:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

  • כלל ASR זה אינו תומך במצב אזהרה .
  • כלל ASR זה מפיק נפח גדול של אירועי ביקורת, אשר כמעט כולם בטוחים להתעלם מהם כאשר הכלל זמין במצב חסימה. באפשרותך לבחור לדלג על הערכת מצב הביקורת ולהמשיך לפריוסת מצב חסימה. Microsoft ממליצה להתחיל מערכה קטנה של מכשירים ולהרחיב בהדרגה כדי לכסות את השאר.
  • כלל ASR זה מעלים התראות ופריטים מוקפצים של הודעות משתמשים עבור תהליכים ידידותיים ופעולות חסימה כפולות.
  • כלל ASR זה חוסם גישה לזיכרון תהליך LSASS. הוא אינו חוסם את הפעלת התהליכים. כאשר כלל ASR זה חוסם תהליכים כגון svchost.exe, משמעות הדבר היא שהתהליך חסום בגישה לזיכרון תהליך LSASS. לעתים קרובות ניתן להתעלם בבטחה מחסימת תהליכים אלה לפי כלל ASR זה.
  • אפליקציות מסוימות מונה את כל התהליכים הפועלים וניסיון לפתוח אותן באמצעות הרשאות ממצה. כלל ASR זה תוחם את פעולות התהליך הפתוח של האפליקציה ויתעד את הפרטים ביומן האבטחה ב- Windows מציג האירועים. כלל זה יכול ליצור רעשים רבים. אם יש לך יישום שהספירה של LSASS פשוט כוללת פונקציונליות, אך אינה כוללת השפעה ממשית, אין צורך להוסיף אותה לרשימת אי-ההכללה. בפני עצמו, ערך יומן אירועים זה אינו מצביע בהכרח על איום זדוני.
  • כלל ASR זה כולל בעיות בסינכרון סיסמאות של Quest Dirsync. לקבלת מידע נוסף, ראה סינכרון סיסמאות של Dirsync אינו פועל כאשר Windows Defender מותקן, שגיאה: "VirtualAllocEx נכשל: 5" (4253914).
  • כלל זה כולל תמיכה מוגבלת בהכללה. לקבלת פרטים, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.

חסימת התמדה באמצעות מנוי לאירוע WMI

כלל ASR זה מונע מתוכנות זדוניות להשתמש ב- WMI כדי לקבל עקביות במכשירים.

איומים ללא קובץ משתמשים בטקטיקות שונות כדי להישאר מוסתרים, להימנע משימוש במערכת הקבצים ולהשיג שליטה תקופתית. איומים מסוימים יכולים לנצל לרעה את מאגר WMI ואת מודל האירוע כדי להישאר מוסתרים.

  • Microsoft Intune זה:Block persistence through WMI event subscription
  • Microsoft Configuration Manager אחר: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • סוג פעולת ציד מתקדמת:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • יחסי תלות: Microsoft Defender-וירוס, RPC

הערה

  • כלל זה אינו נתמך בעת פריסה באמצעות Microsoft Intune ל- Windows Server 2012 R2 או Windows Server 2016 באמצעות הפתרון המאוחד המודרני.
  • אם אתה משתמש Microsoft Configuration Manager, Microsoft ממליצה לבצע בדיקות מקיפות של כלל ASR זה במצב ביקורת לפני שתמשיך למצב חסימה. לקוח מנהל התצורה מסתמך במידה רבה על WMI.
  • כלל זה כולל תמיכה מוגבלת בהכללה. לקבלת פרטים, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.

כללי ASR אחרים

חסימת Adobe Reader ביצירת תהליכי צאצא

כלל ASR זה מונע תקיפות על-ידי חסימת Adobe Reader ביצירת תהליכים.

תוכנות זדוניות יכולות להוריד ולהוריד תוכן מנה ולנתק את Adobe Reader באמצעות הנדסה חברתית או ניצולים לרעה. על-ידי חסימת Adobe Reader מפני הפקת תהליכי צאצא, תוכנות זדוניות שינסה להשתמש ב- Adobe Reader בתור וקטור תקיפה מונעות התפשטות.

  • Microsoft Intune זה:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager אחר: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • סוג פעולת ציד מתקדמת:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

  • כלל זה כולל תמיכה מוגבלת בהכללה. לקבלת פרטים, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.
  • כלל ASR זה במצב חסימהאו אזהרה כולל דרישות נוספות ברמת ההגנה בענן ב- Microsoft Defender אנטי-וירוס:
    • התראות EDR נוצרות רק כאשר רמת ההגנה בענן במכשיר היא גבוהה פלוס אועמידות אפס.
    • פריטים מוקפצים של הודעות משתמש נוצרים רק כאשר רמת ההגנה בענן במכשיר היא גבוהה,גבוהה פלוס או עמידות אפס.

חסימת כל יישומי Office ביצירת תהליכי צאצא

כלל זה חוסם את יצירת תהליכי הצאצא של יישומי Office. יישומי Office כוללים Word, Excel, PowerPoint, OneNote ו- Access.

יצירת תהליכי ילד זדוני היא אסטרטגיה נפוצה של תוכנות זדוניות. תוכנות זדוניות שמנצלות לרעה את Office בתור וקטור מפעילות לעתים קרובות פקודות מאקרו של VBA ומנצלות קוד להורדה ולניסיון להפעיל תוכן תוכן נוסף. עם זאת, אפליקציות קו פעולה עסקי חוקיות מסוימות עשויות גם ליצור תהליכי צאצא למטרות חרות. לדוגמה, יצירת שורת פקודה או שימוש ב- PowerShell כדי לקבוע את תצורת הגדרות הרישום.

  • Microsoft Intune זה:Block all Office applications from creating child processes
  • Microsoft Configuration Manager זה:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • סוג פעולת ציד מתקדמת:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

כלל זה נאכף רק אם Office מותקן במיקומים %ProgramFiles% או %ProgramFiles(x86)% (כברירת מחדל, C:\Program Files ו- C:\Program Files (x86)).

חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט

כלל זה חוסם דואר אלקטרוני שנפתח באמצעות Microsoft Outlook, Outlook.com וספקי דואר אינטרנט פופולריים אחרים מ הפצת סוגי הקבצים הבאים:

  • קבצי הפעלה (לדוגמה, .exe, .dll או .scr).

  • קבצי Script (לדוגמה, .ps1, .vbs או .js).

  • ארכיון קבצים (לדוגמה, .zip).

  • Microsoft Intune זה:Block executable content from email client and webmail

  • Microsoft Configuration Manager זה:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • סוג פעולת ציד מתקדמת:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

  • כלל ASR זה במצב חסימהאו אזהרה כולל דרישות נוספות ברמת ההגנה בענן ב- Microsoft Defender אנטי-וירוס:
    • התראות EDR נוצרות רק כאשר רמת ההגנה בענן במכשיר היא גבוהה פלוס אועמידות אפס.
    • פריטים מוקפצים של הודעות משתמש נוצרים רק כאשר רמת ההגנה בענן במכשיר היא גבוהה,גבוהה פלוס או עמידות אפס.
  • לכלל ASR זה יש את התיאורים החלופיים הבאים:
    • Intune (פרופילי תצורה):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • מנהל התצורה אישית:Block executable content download from email and webmail clients
    • מדיניות קבוצתית אישית:Block executable content from email client and webmail

חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה

עצה

בשלב זה, ייתכן שכלל ASR זה לא יהיה זמין Intune תצורת מדיניות ASR עקב בעיה ידועה בקצה העורפי. עם זאת, הכלל זמין באמצעות שיטות התצורה הזמינות האחרות של מדיניות ASR או במדיניות ASR Intune פריטי מדיניות ASR שנוצרו לפני הבעיה.

כלל ASR זה חוסם הפעלה של קבצים (לדוגמה, .exe, .dll או .scr, מההפעלה). הפעלת קבצים לא מהימנה או קבצי הפעלה לא ידועים עשויה להיות מכוונת, מכיוון שבתחילה לא ניתן יהיה לנקות אם הקבצים זדוניים.

  • Microsoft Intune זה:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager זה:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • סוג פעולת ציד מתקדמת:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן

הערה

חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים

כלל ASR זה מזהה מאפיינים חשודים בתוך קובץ Script לא מעורפל.

סתירת קובץ Script היא שיטה נפוצה שבה גם מחברים של תוכנות זדוניות וגם אפליקציות לגיטימיות משתמשים כדי להסתיר קניין רוחני או להפחית זמני טעינה של קבצי Script. מחברים של תוכנות זדוניות משתמשים גם בתסכול כדי להקשות על קריאת קוד זדוני, אשר מקשה על בחינה קפדנית של בני אדם ותוכנות אבטחה.

  • Microsoft Intune זה:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager זה:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • סוג פעולת ציד מתקדמת:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • יחסי תלות: Microsoft Defender אנטי-וירוס, ממשק סריקה נגד תוכנות זדוניות (AMSI), הגנה על ענן

הערה

  • כדי להשתמש בכלל ASR זה, עליך להפעיל הגנה מבוססת ענן.
  • כלל ASR זה תומך בקבצי Script של PowerShell.

חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד

כלל ASR זה מונע הפעלה של תוכן שהורדת קבצי Script שעלולים להיות זדוניים. תוכנות זדוניות שנכתבו ב- JavaScript או ב- VBScript פועלות לעתים קרובות בתור מוריד כדי להביא ולהשקה של תוכנות זדוניות אחרות מהאינטרנט. למרות שאפליקציות קו פעולה עסקי לא נפוצות משתמשות לעתים בקבצי Script להורדה ולהפעלה של מתקינים.

  • Microsoft Intune זה:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager זה:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • סוג פעולת ציד מתקדמת:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • יחסי תלות: Microsoft Defender אנטי-וירוס, ממשק סריקה נגד תוכנות זדוניות (AMSI)

הערה

  • כלל זה אינו נתמך בעת פריסה באמצעות Microsoft Intune ל- Windows Server 2012 R2 או Windows Server 2016 באמצעות הפתרון המאוחד המודרני.

  • כלל ASR זה במצב חסימהאו אזהרה כולל דרישות נוספות ברמת ההגנה בענן ב- Microsoft Defender אנטי-וירוס:

    • התראות EDR נוצרות רק כאשר רמת ההגנה בענן במכשיר היא גבוהה פלוס אועמידות אפס.
    • פריטים מוקפצים של הודעות משתמש נוצרים רק כאשר רמת ההגנה בענן במכשיר היא גבוהה,גבוהה פלוס או עמידות אפס.

חסימת יצירת תוכן בר הפעלה ביישומי Office

כלל ASR זה מונע מאפליקציות Office (לדוגמה, Word, Excel ו- PowerPoint) לשמש בווקטור כדי לשמור רכיבים זדוניים בדיסק. רכיבים זדוניים אלה יכולים לשרוד אתחול מחדש של המחשב ולהתמיד במערכת. כלל זה מגן מפני טכניקת התמדה זו על-ידי:

  • חסימת גישה (פתיחה/הפעלה) בקוד שנכתב בדיסק.

  • חסימת ביצוע של קבצים לא מהימנה שנשמרו על-ידי פקודות מאקרו של Office המורשות לפעול בקובצי Office.

  • Microsoft Intune זה:Block Office applications from creating executable content

  • Microsoft Configuration Manager זה:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • סוג פעולת ציד מתקדמת:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • יחסי תלות: Microsoft Defender-וירוס, RPC

הערה

כלל זה כולל תמיכה מוגבלת בהכללה. לקבלת פרטים, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.

כלל ASR זה אינו מושפע ממיקום ההתקנה של Office.

חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים

כלל ASR זה חוסם ניסיונות הזרקת קוד מיאפליקציות Office לתהליכים אחרים. תוקפים עשויים לנסות להשתמש ביישומי Office כדי להעביר קוד זדוני לתהליכים אחרים באמצעות הזרקת קוד, כך שהקוד יכול לתנוע כתהליך נקי. אין מטרות עסקיות מוכרות לגיטימיות לשימוש בהזרקת קוד.

  • Microsoft Intune זה:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager זה:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • סוג פעולת ציד מתקדמת:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

  • כלל ASR זה אינו תומך במצב אזהרה .
  • כלל ASR זה חל על Word, Excel, OneNote ו- PowerPoint.
  • כלל ASR זה דורש הפעלה מחדש של יישומי Microsoft 365 (יישומי Office) כדי ששינויי התצורה ייכנסו לתוקף.
  • כלל זה כולל תמיכה מוגבלת בהכללה. לקבלת פרטים, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.
  • כלל ASR זה אינו תואם ליישומים הבאים:
  • כלל ASR זה נאכף רק אם Office מותקן %ProgramFiles% במיקומים או %ProgramFiles(x86)% (כברירת מחדל, C:\Program Files ו- C:\Program Files (x86)).

חסימת יצירת תהליכי צאצא ביישום התקשורת של Office

כלל ASR זה מונע מ- Outlook ליצור תהליכי צאצא, תוך מתן אפשרות לפונקציות חוקיות של Outlook. כלל ASR זה מגן מפני:

  • הנדסה חברתית מתקפות ומונע ניצול קוד מהתעללות פגיעויות ב- Outlook.

  • כללים וטפסים של Outlook מנצלים את השימוש בהם התוקפים יכולים להשתמש כאשר האישורים של משתמש נחשפים לסכנה.

  • Microsoft Intune זה:Block Office communication application from creating child processes

  • Microsoft Configuration Manager אחר: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • סוג פעולת ציד מתקדמת:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

כלל זה כולל תמיכה מוגבלת בהכללה. לקבלת פרטים, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.

כלל זה נאכף רק אם Office מותקן במיקומים %ProgramFiles% או %ProgramFiles(x86)% (כברירת מחדל, C:\Program Files ו- C:\Program Files (x86)).

חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI

חשוב

אם אתה משתמש Microsoft Configuration Manager, אל תשתמש בשיטות פריסה זמינות אחרות כדי להפוך כלל זה לזמין במכשירים מנוהלים. לקוח מנהל התצורה מסתמך במידה רבה על WMI.

כלל ASR זה חוסם תהליכים שנוצרו באמצעות PsExec ו - WMI מהפעלה . PsExec ו- WMI יכולים לבצע קוד מרחוק. תוכנות זדוניות יכולות להשתמש ב- PsExec וב- WMI לפקודה ולשליטה, או כדי להפיץ זיהומים ברשת.

  • Microsoft Intune זה:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager אחר: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • סוג פעולת ציד מתקדמת:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

כלל זה כולל תמיכה מוגבלת בהכללה. לקבלת פרטים, ראה אי-הכללות של קבצים ותיקיה עבור כללי ASR.

חסימת אתחול מחדש של המחשב במצב בטוח

כלל ASR זה מונע פקודות נפוצות של שימוש לרעה, כגון bcdedit והפעלה bootcfg מחדש של מחשבי Windows במצב בטוח. במצב בטוח, מוצרי אבטחה רבים אינם זמינים או פועלים עם פונקציונליות מוגבלת. מצב בטוח מאפשר לתוקפים להפעיל עוד יותר פקודות של טיפול שלא כדין, או לבצע ולהצפין את כל הקבצים במחשב.

מצב בטוח עדיין נגיש באופן ידני מתוך סביבת השחזור של Windows.

  • Microsoft Intune זה:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager אחר: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • סוג פעולת ציד מתקדמת:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

בשלב זה, ניהול פגיעויות של Microsoft Defender אינו מזהה כלל זה. הדוח כללים של צמצום פני השטח של ההתקפה (ASR) מציג כלל זה ככלל לא ישים.

חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB

כלל ASR זה מונע הפעלה של קבצי הפעלה לא מהימנה או לא מהימנה (לדוגמה, .exe, .dll או .scr) מכוננים נשלפים מסוג USB, כולל כרטיסי SD.

כלל ASR זה אינו חוסם את העתקת הקבצים מכונן ה- USB לדיסק. הוא חוסם את הפעלת הקבצים שהועתקו מהדיסק.

  • Microsoft Intune זה:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager זה:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • סוג פעולת ציד מתקדמת:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת שימוש בכלי מערכת שהועתקו או מתחזים

כלל ASR זה חוסם את ההפצה של קבצי הפעלה המזוהים כ עותקים (כפילות או מתחזים) של כלי המערכת של Windows. תוכניות זדוניות מסוימות עשויות לנסות להעתיק או להתחזות כלי מערכת של Windows כדי להימנע מזיהוי או להשגת הרשאות. מתן אפשרות לקבצים ניתנים להפעלה כזו עלול להוביל להתקפות אפשריות.

  • Microsoft Intune זה:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager אחר: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • סוג פעולת ציד מתקדמת:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

בשלב זה, ניהול פגיעויות של Microsoft Defender אינו מזהה כלל זה. הדוח כללים של צמצום פני השטח של ההתקפה (ASR) מציג כלל זה ככלל לא ישים.

חסימת יצירת Webshell עבור שרתים

כלל ASR זה חוסם יצירת Script של מעטפת אינטרנט בשרתי Windows שבהם פועל Microsoft Exchange. קובץ Script של מעטפת אינטרנט הוא קובץ Script מעוצב המאפשר לתוקף לשלוט בשרת שנחשף לסכנה. קובץ Script של מעטפת אינטרנט עשוי לכלול את הפונקציונליות הבאה:

  • קבל והפעל פקודות זדוניות.

  • הורד והפעל קבצים זדוניים.

  • לגנוב ולצנן אישורים ומידע רגיש.

  • זהה יעדים פוטנציאליים.

  • Microsoft Intune זה:Block Webshell creation for Servers

  • Microsoft Configuration Manager אחר: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • סוג פעולת ציד מתקדמת: n/a

  • יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

  • כלל זה אינו נתמך בעת פריסה באמצעות Microsoft Intune ל- Windows Server 2012 R2 או Windows Server 2016 באמצעות הפתרון המאוחד המודרני.
  • אם אתה מנהל כללי ASR ב- Microsoft Defender עבור נקודת קצה, אל תגדיר ASR זה בהגדרות מדיניות קבוצתית או בהגדרות מקומיות אחרות (השאר את הערך כ-Not Configured). כל ערך אחר (לדוגמה, Enabled או Disabled) יכול לגרום להתנגשויות ולמנוע את החלת הכלל כראוי.
  • בשלב זה, ניהול פגיעויות של Microsoft Defender אינו מזהה כלל זה. הדוח כללים של צמצום פני השטח של ההתקפה (ASR) מציג כלל זה ככלל לא ישים.

חסימת שיחות API של Win32 מפקודות מאקרו של Office

Office Visual Basic for Applications (VBA) מאפשר שיחות API של Win32. כלל ASR זה מונע מפקודות מאקרו של VBA לקרוא לממשקי API של Win32. תוכנות זדוניות יכולות להשתמש ביכולת זו לרעה, כגון קריאה לממשקי API של Win32 להפעיל קוד מעטפת זדוני מבלי לכתוב שום דבר ישירות לדיסק.

רוב הארגונים אינם דורשים קריאות API של Win32 מפקודות מאקרו של VBA, גם אם הם משתמשים בפקודות מאקרו בדרכים אחרות.

  • Microsoft Intune זה:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager זה:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • סוג פעולת ציד מתקדמת:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • יחסי תלות: Microsoft Defender אנטי-וירוס, ממשק סריקה נגד תוכנות זדוניות (AMSI)

השתמש בהגנה מתקדמת מפני תוכנות כופר

הערה

כלל ASR זה מספק שכבה נוספת של הגנה מפני תוכנות כופר. הוא משתמש גם בלקוח וגם בענן כדי לקבוע אם קובץ דומה לתוכנות כופר. כלל זה אינו חוסם קבצים בעלי אחת או יותר מהמאפיינים הבאים:

  • הקובץ נמצא לא מזיק בענן של Microsoft.
  • הקובץ הוא קובץ חתום חוקי.
  • הקובץ שכיח מספיק כדי שלא ייחשבו תוכנות כופר.

כלל זה לא רק חוסם קבצים בעלי מוניטין רע. במקום זאת, הכלל יתשגיאה בצד זהירות וגם חוסם קבצים שעדיין אין להם מוניטין חיובי. בדרך כלל, בלוקים בקבצים שיבינו, שאינם ידועים על-ידי כלל זה, בסופו של דבר פותרים את עצמם. המוניטין וערכים של יחסי האמון של הקובץ גדלים בהפרשים קבועים ככל שהשימוש שאינו בעייתי גדל.

אם חסימות של קבצים לא ידועים ושוררים אינם נפתרים בזמן, באפשרותך לקבוע תצורה של אי-הכללה של כלל לפי ASR עבור כלל זה או להשתמש בפעולה אפשר עבור מחוון של סכנה (IoC).

  • Microsoft Intune זה:Use advanced protection against ransomware
  • Microsoft Configuration Manager זה:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • סוג פעולת ציד מתקדמת:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן

תוכן קשור

  • Last updated on