חומר עזר לכללי הפחתת פני השטח של ההתקפה

  • מאמר

חל על:

פלטפורמות:

  • Windows

מאמר זה מספק מידע על Microsoft Defender עבור נקודת קצה ההפחתה של משטח התקיפה (כללי ASR):

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

כללים להקטנת פני השטח של ההתקפה לפי סוג

כללים להפחתת פני השטח של ההתקפה מסווגים לאחד משני סוגים:

  • כללי הגנה סטנדרטיים: האם קבוצת הכללים המינימלית ש- Microsoft ממליצה לך להפוך לזמינים תמיד, בזמן שאתה מבצע הערכה של צרכי ההשפעה והתצורה של כללי ה- ASR האחרים. לכללים אלה יש בדרך כלל השפעה מינימלית עד לא משמעותית על משתמש הקצה.

  • כללים אחרים: כללים המחייבים מידה מסוימת של ביצוע שלבי הפריסה מתוכם [בדיקת > תוכנית (ביקורת) > הפוך לזמין (מצבי חסימה/אזהרה)], כפי שמפורט במדריך הפריסה של כללי צמצום שטח התקיפה

לקבלת השיטה הקלה ביותר להאפשר את כללי ההגנה הרגילים, ראה: אפשרות הגנה רגילה פשוטה יותר.

שם כלל ASR: כלל הגנה סטנדרטי? כלל אחר?
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים כן
חסימת Adobe Reader ביצירת תהליכי צאצא כן
חסימת כל יישומי Office ביצירת תהליכי צאצא כן
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) כן
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט כן
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה כן
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים כן
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד כן
חסימת יצירת תוכן בר הפעלה ביישומי Office כן
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים כן
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office כן
חסימת התמדה באמצעות מנוי לאירוע WMI כן
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI כן
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה) כן
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB כן
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה) כן
חסימת יצירת Webshell עבור שרתים כן
חסימת שיחות API של Win32 מפקודות מאקרו של Office כן
השתמש בהגנה מתקדמת מפני תוכנות כופר כן

Microsoft Defender של אנטי-וירוס וכללי ASR

Microsoft Defender של אנטי-וירוס חלים על כמה Microsoft Defender עבור נקודת קצה, כגון חלק מהכללים להפחתת פני השטח של ההתקפה.

כללי ASR הבאים אינם מכבדים את Microsoft Defender אנטי-וירוס:

שם כללי ASR:
חסימת Adobe Reader ביצירת תהליכי צאצא
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)
חסימת יצירת תוכן בר הפעלה ביישומי Office
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office

הערה

לקבלת מידע אודות קביעת תצורה של אי-הכללים לפי כלל, עיין בסעיף 'קביעת תצורה של כללי ASR לכל כלל' שלא ייכללו בנושא כללי צמצום פני השטח של התקיפה של הבדיקה.

כללי ASR ומחווני נקודת קצה של Defender עבור פשרה (IOC)

כללי ASR הבאים אינם מכבדים את Microsoft Defender עבור נקודת קצה של סכנה (IOC):

שם כלל ASR תיאור
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) אינו מכבד מחוונים של סכנה עבור קבצים או אישורים.
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים אינו מכבד מחוונים של סכנה עבור קבצים או אישורים.
חסימת שיחות API של Win32 מפקודות מאקרו של Office אינו מכבד תעודות לסכנה.

כללי ASR במערכות הפעלה נתמכות

הטבלה הבאה מפרטת את מערכות ההפעלה הנתמכות עבור כללים שמופצים כעת לזמינות כללית. הכללים מופיעים בסדר אלפביתי בטבלה זו.

הערה

אלא אם צוין אחרת, גירסת ה- Build Windows 10 המינימלית היא גירסה 1709 (RS3, גירסת Build מס' 16299) ואילך; גירסת ה- Build המינימלית של Windows Server היא גירסה 1809 ואילך.

כללי הפחתת פני השטח של ההתקפה ב- Windows Server 2012 R2 וב- Windows Server 2016 זמינים עבור מכשירים הקלוטו באמצעות חבילת הפתרונות המאוחדת המודרנית. לקבלת מידע נוסף, ראה פונקציונליות חדשה של Windows Server 2012 R2 ו- 2016 בפתרון המאוחד המודרני.

שם כלל Windows 11
ו-
Windows 10		 שרת Windows
2022
ו-
שרת Windows
2019		 שרת Windows שרת Windows
2016 [1, 2]		 שרת Windows
2012 R2 [1, 2]
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים Y Y Y
גירסה 1803 (ערוץ ארגוני חצי-שנתי) ואילך		 Y Y
חסימת Adobe Reader ביצירת תהליכי צאצא Y
גירסה 1809 ואילך [3]		 Y Y Y Y
חסימת כל יישומי Office ביצירת תהליכי צאצא Y Y Y Y Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) Y
גירסה 1803 ואילך [3]		 Y Y Y Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט Y Y Y Y Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה Y
גירסה 1803 ואילך [3]		 Y Y Y Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים Y Y Y Y Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד Y Y Y N N
חסימת יצירת תוכן בר הפעלה ביישומי Office Y Y Y Y Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים Y Y Y Y Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office Y Y Y Y Y
חסימת התמדה באמצעות מנוי לאירוע Windows Management Instrumentation (WMI) Y
גירסה 1903 (גירסת Build מס' 18362) ואילך [3]		 Y Y
גירסה 1903 (גירסת Build מס' 18362) ואילך		 N N
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI Y
גירסה 1803 ואילך [3]		 Y Y Y Y
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה) Y Y Y Y Y
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB Y Y Y Y Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה) Y Y Y Y Y
חסימת יצירת Webshell עבור שרתים N Y
תפקיד Exchange בלבד		 Y
תפקיד Exchange בלבד		 Y
תפקיד Exchange בלבד		 N
חסימת שיחות API של Win32 מפקודות מאקרו של Office Y N N N N
השתמש בהגנה מתקדמת מפני תוכנות כופר Y
גירסה 1803 ואילך [3]		 Y Y Y Y

(1) מתייחס לפתרון המאוחד המודרני עבור Windows Server 2012 ו- Windows Server 2016. לקבלת מידע נוסף, ראה צירוף שרתי Windows לשירות נקודות הקצה של Defender for.

(2) עבור Windows Server 2016 ו- Windows Server 2012 R2, הגירסה המינימלית הנדרשת של Microsoft Endpoint Configuration Manager היא גירסה 2111.

(3) מספר גירסה וגירסת Build חל רק על Windows 10.

כללי ASR מערכות ניהול תצורה נתמכות

קישורים למידע אודות גירסאות מערכת ניהול תצורה המוזכרות בטבלה זו מפורטים מתחת לטבלה זו.

שם כלל Microsoft Intune Microsoft Endpoint Configuration Manager מדיניות קבוצתית[1] PowerShell[1]
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים Y Y Y
חסימת Adobe Reader ביצירת תהליכי צאצא Y Y Y
חסימת כל יישומי Office ביצירת תהליכי צאצא Y Y

CB 1710		 Y Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) Y Y

CB 1802		 Y Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט Y Y

CB 1710		 Y Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה Y Y

CB 1802		 Y Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים Y Y

CB 1710		 Y Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד Y Y

CB 1710		 Y Y
חסימת יצירת תוכן בר הפעלה ביישומי Office Y Y

CB 1710		 Y Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים Y Y

CB 1710		 Y Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office Y Y

CB 1710		 Y Y
חסימת התמדה באמצעות מנוי לאירוע WMI Y Y Y
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI Y Y Y
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה) Y Y Y
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB Y Y

CB 1802		 Y Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה) Y Y Y
חסימת יצירת Webshell עבור שרתים Y Y Y
חסימת שיחות API של Win32 מפקודות מאקרו של Office Y Y

CB 1710		 Y Y
השתמש בהגנה מתקדמת מפני תוכנות כופר Y Y

CB 1802		 Y Y

(1) באפשרותך לקבוע את התצורה של כללי הפחתת פני השטח של ההתקפה על בסיס כל כלל על-ידי שימוש ב- GUID של כל כלל.

לכל התראת כלל ASR ופרטי הודעה

הודעות מוקפצות נוצרות עבור כל הכללים במצב חסימה. כללים בכל מצב אחר אינם יוצרים הודעות מוקפצות.

עבור כללים עם "מצב הכלל" שצוין:

  • כללי ASR <עם כלל ASR,> צירופי מצב כלל משמשים כדי להציג התראות (הודעות מוקפצות) Microsoft Defender עבור נקודת קצה רק עבור מכשירים ברמת חסימת ענן גבוהה. מכשירים שאינם ברמת חסימת ענן גבוהה לא יפיקו <התראות עבור כלל ASR, שילובים של מצב> כללים
  • התראות EDR נוצרות עבור כללי ASR במצבים שצוינו, עבור מכשירים ברמת בלוק ענן גבוהה+
שם כלל: מצב כלל: יוצר התראות ב- EDR?
(כן | לא, לא.		 יוצר הודעות מוקפצות?
(כן | לא, לא.
רק עבור מכשירים ברמת חסימת ענן גבוהה+ במצב חסימה בלבד ורקעבור מכשירים ברמת חסימת ענן גבוהה
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים N Y
חסימת Adobe Reader ביצירת תהליכי צאצא חסום Y Y
חסימת כל יישומי Office ביצירת תהליכי צאצא N Y
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) N Y
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט Y Y
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה N Y
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים ביקורת | לחסום Y | Y N | Y
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד חסום Y Y
חסימת יצירת תוכן בר הפעלה ביישומי Office N Y
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים N Y
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office N Y
חסימת התמדה באמצעות מנוי לאירוע WMI ביקורת | לחסום Y | Y N | Y
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI N Y
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה) N N
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB ביקורת | לחסום Y | Y N | Y
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה) N N
חסימת יצירת Webshell עבור שרתים N N
חסימת שיחות API של Win32 מפקודות מאקרו של Office N Y
השתמש בהגנה מתקדמת מפני תוכנות כופר ביקורת | לחסום Y | Y N | Y

מטריצת כלל ASR ל- GUID

שם כלל GUID של כלל
חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים 56a863a9-875e-4185-98a7-b882c64b5ce5
חסימת Adobe Reader ביצירת תהליכי צאצא 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
חסימת כל יישומי Office ביצירת תהליכי צאצא d4f940ab-401b-4efc-aadc-ad5f3c50688a
חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה 01443614-cd74-433a-b99e-2ecdc07bfc25
חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים 5beb7efe-fd9a-4556-801d-275e5ffc04cc
חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד d3e037e1-3eb8-44c8-a917-57927947596d
חסימת יצירת תוכן בר הפעלה ביישומי Office 3b576869-a4ec-4529-8536-b80a7769e899
חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
חסימת יצירת תהליכי צאצא ביישום התקשורת של Office 26190899-1602-49e8-8b27-eb1d0a1ce869
חסימת התמדה באמצעות מנוי לאירוע WMI
* פריטים שאינם נכללים בקובץ ובתיקיה אינם נתמכים.		 e6db77e5-3df2-4cf1-b95a-636979351e5b
חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה) 33ddedf1-c6e0-47cb-833e-de6133960387
חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
חסימת יצירת Webshell עבור שרתים a8f5898e-1dc8-49a9-9878-85004b8a61e6
חסימת שיחות API של Win32 מפקודות מאקרו של Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
השתמש בהגנה מתקדמת מפני תוכנות כופר c1db55ab-c21a-4637-bb3f-a12568109d35

מצבי כלל ASR

  • לא נקבעה תצורה או הפוך ללא זמין: המצב שבו כלל ה- ASR אינו זמין או אינו זמין. הקוד עבור מצב זה = 0.
  • בלוק: המצב שבו כלל ה- ASR זמין. הקוד עבור מצב זה הוא 1.
  • ביקורת: המצב שבו כלל ה- ASR מוערך עבור האפקט שיהיה לו על הארגון או הסביבה אם הוא זמין (מוגדר לחסום או להזהיר). הקוד עבור מצב זה הוא 2.
  • להזהיר המצב שבו כלל ה- ASR זמין ומציג הודעה למשתמש הקצה, אך מאפשר למשתמש הקצה לעקוף את הבלוק. הקוד עבור מצב זה הוא 6.

מצב אזהרה הוא סוג מצב חסימה שהתראות למשתמשים אודות פעולות שעלולות להיות מסיכונים. המשתמשים יכולים לבחור לעקוף את הודעת האזהרה של הבלוק ולאפשר את הפעולה המשמשת כסמל. המשתמשים יכולים לבחור אישור כדי לאכוף את הבלוק, או לבחור באפשרות העקיפה - בטל חסימה - באמצעות ההודעה המוקפצת של משתמש הקצה שנוצרת בזמן החסימה. לאחר ביטול החסימה של האזהרה, הפעולה מותרת עד הפעם הבאה שבה הודעת האזהרה מתרחשת, ולאחר מכן משתמש הקצה יצטרכו לבצע מחדש את הפעולה.

בעת לחיצה על לחצן 'אפשר', הבלוק מודחק למשך 24 שעות. לאחר 24 שעות, משתמש הקצה יצטרכו לאפשר את החסימה שוב. מצב אזהרה עבור כללי ASR נתמך רק עבור מכשירי RS5+ (1809+). אם עקיפה מוקצית לכללי ASR במכשירים בעלי גירסאות ישנות יותר, הכלל יהיה במצב חסום.

באפשרותך גם להגדיר כלל במצב אזהרה דרך PowerShell על-ידי ציון AttackSurfaceReductionRules_Actions כ"אזהרה". לדוגמה:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

תיאורי לפי כלל

חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים

כלל זה מונע מיישום לכתוב מנהל התקן חתום פגיע לדיסק. יישומים מקומיים יכולים לנצל את מנהלי ההתקנים החתומיים הלא-פראיים והפגיעות - שיש להם הרשאות מספיקות - כדי לקבל גישה אל הליבה. מנהלי התקנים חתומים פגיעים מאפשרים לתוקפים להפוך פתרונות אבטחה ללא זמינים או לעקוף אותם, ובסופו של דבר הם מובילים לסכנה במערכת.

הכלל חסום שימוש לרעה במנהלי התקנים פגיעים החתימים אינו חוסם את הטעון של מנהל התקן שכבר קיים במערכת.

הערה

באפשרותך להגדיר כלל זה באמצעות Intune OMA-URI. ראה Intune OMA-URI לקביעת תצורה של כללים מותאמים אישית.

באפשרותך גם לקבוע את התצורה של כלל זה באמצעות PowerShell.

כדי לבדוק מנהל התקן, השתמש באתר אינטרנט זה כדי לשלוח מנהל התקן לצורך ניתוח.

Intune אישית:Block abuse of exploited vulnerable signed drivers

Configuration Manager זה: עדיין לא זמין

Guid: 56a863a9-875e-4185-98a7-b882c64b5ce5

סוג פעולת ציד מתקדמת:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

חסימת Adobe Reader ביצירת תהליכי צאצא

כלל זה מונע תקיפות על-ידי חסימת Adobe Reader ביצירת תהליכים.

תוכנות זדוניות יכולות להוריד ולהוריד תוכן מנה ולנתק את Adobe Reader באמצעות הנדסה חברתית או ניצולים לרעה. על-ידי חסימת תהליכי צאצא שנוצרים על-ידי Adobe Reader, תוכנות זדוניות שניסיון להשתמש ב- Adobe Reader בתור וקטור תקיפה מונעות את התפשטותן.

Intune זה:Process creation from Adobe Reader (beta)

Configuration Manager זה: עדיין לא זמין

Guid: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

סוג פעולת ציד מתקדמת:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת כל יישומי Office ביצירת תהליכי צאצא

כלל זה חוסם את יצירת תהליכי הצאצא של יישומי Office. יישומי Office כוללים Word, Excel, PowerPoint, OneNote ו- Access.

יצירת תהליכי ילד זדוני היא אסטרטגיה נפוצה של תוכנות זדוניות. תוכנות זדוניות שמנצלות לרעה את Office בתור וקטור מפעילות לעתים קרובות פקודות מאקרו של VBA ומנצלות קוד להורדה ולניסיון להפעיל תוכן תוכן נוסף. עם זאת, יישומים חוקיים מסוימים של קו פעולה עסקי עשויים גם הם ליצור תהליכי צאצא למטרות יעילות; כגון יצירת שורת פקודה או שימוש ב- PowerShell כדי לקבוע את תצורת הגדרות הרישום.

Intune זה:Office apps launching child processes

Configuration Manager זה:Block Office application from creating child processes

Guid: d4f940ab-401b-4efc-aadc-ad5f3c50688a

סוג פעולת ציד מתקדמת:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows

כלל זה מסייע במניעת גניבת אישורים על-ידי נעילת שירות מערכות המשנה של רשות האבטחה המקומית (LSASS).

LSASS מאמת משתמשים הנכנסים במחשב Windows. Microsoft Defender Credential Guard ב- Windows מונע בדרך כלל ניסיונות לחלץ אישורים מ- LSASS. ארגונים מסוימים אינם יכולים להפוך את Credential Guard לזמין בכל המחשבים שלהם עקב בעיות תאימות עם מנהלי התקנים מותאמים אישית של כרטיסים חכמים או תוכניות אחרות העומסות לתוך רשות האבטחה המקומית (LSA). במקרים אלה, תוקפים יכולים להשתמש בכלים כגון Mimikatz כדי לגרד סיסמאות טקסט רגיל ו- HASH של NTLM מ- LSASS.

כברירת מחדל, המצב של כלל זה מוגדר לחסימה. ברוב המקרים, תהליכים רבים לבצע קריאות אל LSASS עבור זכויות גישה שאינם דרושים. לדוגמה, לדוגמה, כאשר הבלוק ההתחלתי מכלל ה- ASR התוצאה היא קריאה בהמשך עבור הרשאה פחותה יותר, שלאחר מכן מצליחה. לקבלת מידע אודות סוגי הזכויות המבוקשים בדרך כלל בקריאות עיבוד ל- LSASS, ראה: עבד זכויות אבטחה וגישה.

הפיכת כלל זה לזמין אינה מספקת הגנה נוספת אם הגנת LSA מופעלת מאחר שכלל ה- ASR והגנת LSA פועלים באופן דומה. עם זאת, כאשר לא ניתן להפעיל הגנת LSA, ניתן להגדיר כלל זה כדי לספק הגנה שוות ערך מפני תוכנות זדוניות המשמשות כיעד lsass.exe.

הערה

בתרחיש זה, כלל ה- ASR מסווג כ"לא ישים" בהגדרות של Defender for Endpoint בפורטל Microsoft Defender.

כלל ה- ASR של חסימת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows אינו תומך במצב WARN.

באפליקציות מסוימות, הקוד מונה את כל התהליכים הפועלים וינסה לפתוח אותם עם הרשאות ממצה. כלל זה מכחיש את פעולת פתיחת התהליך של היישום ורושם את הפרטים ביומן אירועי האבטחה. כלל זה יכול ליצור הרבה רעש. אם יש לך אפליקציה המונה את LSASS, אך אין לה השפעה אמיתית על הפונקציונליות, אין צורך להוסיף אותה לרשימת אי-ההכללה. בפני עצמו, ערך יומן אירועים זה אינו מצביע בהכרח על איום זדוני.

Intune זה:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager זה:Block credential stealing from the Windows local security authority subsystem

Guid: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

סוג פעולת ציד מתקדמת:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט

כלל זה חוסם דואר אלקטרוני שנפתח ביישום Microsoft Outlook, Outlook.com דואר אלקטרוני וספקי דואר אינטרנט פופולריים אחרים מפני הפצת סוגי הקבצים הבאים:

  • קבצי הפעלה (כגון קבצי .exe, .dll או .scr)
  • קבצי Script (כגון קובץ Script של PowerShell.ps1.vbs של Visual Basic או JavaScript .js אחר)

Intune זה:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager זה:Block executable content from email client and webmail

Guid: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

סוג פעולת ציד מתקדמת:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

הערה

הכלל חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט כולל את התיאורים החלופיים הבאים, בהתאם ליישום שבו אתה משתמש:

  • Intune (פרופילי תצורה): ביצוע תוכן הפעלה (exe, dll, ps, js, vbs וכדומה) שוחרר מהדואר האלקטרוני (לקוח webmail/mail) (ללא חריגים).
  • Configuration Manager: חסימת הורדת תוכן בר הפעלה מהלקוחות של דואר אלקטרוני ודואר אינטרנט.
  • מדיניות קבוצתית: חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט.

חסימת הפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריונים של שכיחות, גיל או רשימה מהימנה

כלל זה חוסם הפעלה של קבצים, כגון .exe, .dll או .scr, מההפעלה. לכן, הפעלת קבצי הפעלה לא מהימנה או לא ידועה עלולה להיות מכוונת, מכיוון שייתכן שלא יהיה ברור תחילה אם הקבצים זדוניים.

חשוב

עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה.

הכלל חסום את ההפעלה של קבצי הפעלה אלא אם הם עומדים בקריטריוני שכיחות, גיל או רשימה מהימנה באמצעות GUID בבעלות Microsoft 01443614-cd74-433a-b99e-2ecdc07bfc25 ולא מצוין על-ידי מנהלי מערכת. כלל זה משתמש בהגנה מבוססת ענן כדי לעדכן את הרשימה המהימנה שלו באופן קבוע.

באפשרותך לציין קבצים או תיקיות בודדים (באמצעות נתיבי תיקיות או שמות משאבים המלאים) אך לא ניתן לציין על אילו כללים או פריטים שאינם נכללים.

Intune זה:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager זה:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

Guid: 01443614-cd74-433a-b99e-2ecdc07bfc25

סוג פעולת ציד מתקדמת:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן

חסימת ביצוע של קבצי Script שעלולים להיות לא מעורפלים

כלל זה מזהה מאפיינים חשודים בתוך קובץ Script מעורפל.

חשוב

קבצי Script של PowerShell נתמכים כעת עבור הכלל "חסימת הפעלה של קבצי Script שעלולים להיות מקוושנים".

סתירת קובץ Script היא שיטה נפוצה שבה גם מחברים של תוכנות זדוניות וגם אפליקציות לגיטימיות משתמשים כדי להסתיר קניין רוחני או להפחית זמני טעינה של קבצי Script. מחברים של תוכנות זדוניות משתמשים גם בתסכול כדי להקשות על קריאת קוד זדוני, אשר מקשה על בחינה קפדנית של בני אדם ותוכנות אבטחה.

Intune זה:Obfuscated js/vbs/ps/macro code

Configuration Manager זה:Block execution of potentially obfuscated scripts

Guid: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

סוג פעולת ציד מתקדמת:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

יחסי תלות: Microsoft Defender אנטי-וירוס, ממשק סריקה נגד תוכנות זדוניות (AMSI)

חסימת JavaScript או VBScript מהפעלת תוכן הפעלה שהורד

כלל זה מונע הפעלה של תוכן שהורדת קובץ Script שעשוי להיות זדוני. תוכנות זדוניות שנכתבו ב- JavaScript או ב- VBScript פועלות לעתים קרובות כמו מוריד כדי להביא תוכנות זדוניות אחרות מהאינטרנט ולהוריד תוכנות זדוניות אחרות.

למרות שאפליקציות קו פעולה עסקי לא נפוצות משתמשות לעתים בקבצי Script להורדה ולהפעלה של מתקינים.

Intune זה:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager זה:Block JavaScript or VBScript from launching downloaded executable content

Guid: d3e037e1-3eb8-44c8-a917-57927947596d

סוג פעולת ציד מתקדמת:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

יחסי תלות: Microsoft Defender-וירוס, AMSI

חסימת יצירת תוכן בר הפעלה ביישומי Office

כלל זה מונע מיאפליקציות Office, כולל Word, Excel ו- PowerPoint, ליצור תוכן בר הפעלה שעלול להיות זדוני, על-ידי חסימת כתב של קוד זדוני לדיסק.

תוכנות זדוניות שמנצלות לרעה את Office בתור וקטור עשויות לנסות לצאת מ- Office ולשמור רכיבים זדוניים בדיסק. רכיבים זדוניים אלה ישרדו אתחול מחדש של המחשב ויתמידו במערכת. לכן, כלל זה מגן מפני טכניקת התמדה נפוצה. כלל זה חוסם גם הפעלה של קבצים לא מהימנה שייתכן שנשמרו על-ידי פקודות מאקרו של Office המורשות לפעול בקובצי Office.

Intune זה:Office apps/macros creating executable content

Configuration Manager זה:Block Office applications from creating executable content

Guid: 3b576869-a4ec-4529-8536-b80a7769e899

סוג פעולת ציד מתקדמת:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

יחסי תלות: Microsoft Defender-וירוס, RPC

חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים

כלל זה חוסם ניסיונות הזרקת קוד מיאפליקציות Office לתהליכים אחרים.

הערה

כלל ASR של חסימת אפליקציות מפני הזרקת קוד לתהליכים אחרים אינו תומך במצב אזהרה.

חשוב

כלל זה דורש הפעלה מחדש יישומי Microsoft 365 (יישומי Office) כדי ששינויי התצורה ייכנסו לתוקף.

תוקפים עשויים לנסות להשתמש ביישומי Office כדי להעביר קוד זדוני לתהליכים אחרים באמצעות הזרקת קוד, כך שהקוד יכול לתנוע כתהליך נקי.

אין מטרות עסקיות מוכרות לגיטימיות לשימוש בהזרקת קוד.

כלל זה חל על Word, Excel, OneNote ו- PowerPoint.

Intune זה:Office apps injecting code into other processes (no exceptions)

Configuration Manager זה:Block Office applications from injecting code into other processes

Guid: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

סוג פעולת ציד מתקדמת:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת יצירת תהליכי צאצא ביישום התקשורת של Office

כלל זה מונע מ- Outlook ליצור תהליכי צאצא, תוך מתן אפשרות לפונקציות חוקיות של Outlook.

כלל זה מגן מפני תקיפות של הנדסה חברתית ומונע ניצול לרעה של קוד מפני פגיעויות ב- Outlook. היא גם מגנה מפני כללים וטפסים המנצלים את השימוש בהם התוקפים יכולים להשתמש כאשר אישורי משתמש נחשפים לסכנה.

הערה

כלל זה חוסם עצות מדיניות של DLP ותיאורי כלים ב- Outlook. כלל זה חל על Outlook ועל Outlook.com בלבד.

Intune זה:Process creation from Office communication products (beta)

Configuration Manager אחר: לא זמין

Guid: 26190899-1602-49e8-8b27-eb1d0a1ce869

סוג פעולת ציד מתקדמת:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת התמדה באמצעות מנוי לאירוע WMI

כלל זה מונע מתוכנות זדוניות להשתמש ב- WMI כדי להשיג עקביות במכשיר.

חשוב

אי-הכללות בקובץ ובתיקיה אינן חלות על כלל הפחתת פני השטח של ההתקפה.

איומים ללא קובץ משתמשים בטקטיקות שונות כדי להישאר מוסתרים, להימנע משימוש במערכת הקבצים ולהשיג שליטה תקופתית בביצוע. איומים מסוימים יכולים לנצל לרעה את מאגר WMI ואת מודל האירוע כדי להישאר מוסתרים.

הערה

אם CcmExec.exe (SCCM סוכן) מזוהה במכשיר, כלל ה- ASR מסווג כ"לא ישים" בהגדרות של Defender for Endpoint בפורטל Microsoft Defender.

Intune זה:Persistence through WMI event subscription

Configuration Manager אחר: לא זמין

Guid: e6db77e5-3df2-4cf1-b95a-636979351e5b

סוג פעולת ציד מתקדמת:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

יחסי תלות: Microsoft Defender-וירוס, RPC

חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI

כלל זה חוסם את הפעלת התהליכים שנוצרו באמצעות PsExecו- WMI . הן PsExec והן WMI יכולים לבצע קוד מרחוק. קיים סיכון לפונקציונליות פוגעת בתוכנות זדוניות של PsExec ו- WMI למטרות פקודה ושליטה, או להפיץ הידבקות ברשת הארגון.

אזהרה

השתמש בכלל זה רק אם אתה מנהל את המכשירים שלך באמצעות Intune או פתרון MDM אחר. כלל זה אינו תואם לניהול באמצעות Microsoft Endpoint Configuration Manager מכיוון שכלל זה חוסם פקודות WMI שבהן משתמש לקוח Configuration Manager כדי לפעול כראוי.

Intune זה:Process creation from PSExec and WMI commands

Configuration Manager אחר: לא ישים

Guid: d1e49aac-8f56-4280-b9ba-993a6d77406c

סוג פעולת ציד מתקדמת:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת אתחול מחדש של מחשב במצב בטוח (תצוגה מקדימה)

כלל זה מונע הפעלה של פקודות להפעלה מחדש של מחשבים במצב בטוח.

מצב בטוח הוא מצב אבחון שטען רק את הקבצים ומנהלי ההתקנים החיוניים הדרושים להפעלת Windows. עם זאת, במצב בטוח, מוצרי אבטחה רבים אינם זמינים או פועלים בקיבולת מוגבלת, מה שמאפשר לתוקפים להפעיל עוד יותר פקודות שלא כדין, או פשוט לבצע ולהצפין את כל הקבצים במחשב. כלל זה חוסם התקפות כאלה על-ידי מניעת הפעלה מחדש של תהליכים של מחשבים במצב בטוח.

הערה

יכולת זו נמצאת כעת בתצוגה מקדימה. שדרוגים נוספים לשיפור היעילות נמצאים בפיתוח.

Intune אישית:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager זה: עדיין לא זמין

Guid: 33ddedf1-c6e0-47cb-833e-de6133960387

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB

באמצעות כלל זה, מנהלי מערכת יכולים למנוע מקבצים הפעלה לא מהימנה או לא מהימנה לפעול מתוך כוננים נשלפים מסוג USB, כולל כרטיסי SD. סוגי קבצים חסומים כוללים קבצי הפעלה (כגון .exe, .dll או .scr)

חשוב

קבצים שהועתקו מה- USB לכונן הדיסקים ייחסמו על-ידי כלל זה אם ומתי הוא עומד להתבצע בכונן הדיסקים.

Intune זה:Untrusted and unsigned processes that run from USB

Configuration Manager זה:Block untrusted and unsigned processes that run from USB

Guid: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

סוג פעולת ציד מתקדמת:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת שימוש בכלי מערכת שהועתקו או מתחזים (תצוגה מקדימה)

כלל זה חוסם את השימוש בקבצים ניתנים להפעלה המזוהים כ עותקים של כלי המערכת של Windows. קבצים אלה הם כפילויות או מתחזים של כלי המערכת המקוריים.

תוכניות זדוניות מסוימות עשויות לנסות להעתיק או להתחזות כלי מערכת של Windows כדי להימנע מזיהוי או להשגת הרשאות. מתן אפשרות לקבצים ניתנים להפעלה כזו עלול להוביל להתקפות אפשריות. כלל זה מונע הפצה וביצוע של כפילויות ופריטים מתחזים אלה של כלי המערכת במחשבי Windows.

הערה

יכולת זו נמצאת כעת בתצוגה מקדימה. שדרוגים נוספים לשיפור היעילות נמצאים בפיתוח.

Intune אישית:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager זה: עדיין לא זמין

Guid: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת יצירת Webshell עבור שרתים

כלל זה חוסם יצירת קובץ Script של מעטפת אינטרנט ב- Microsoft Server, תפקיד Exchange.

קובץ Script של מעטפת אינטרנט הוא קובץ Script בעל מבנה ספציפי המאפשר לתוקף לשלוט בשרת שנחשף לסכנה. מעטפת אינטרנט עשויה לכלול פונקציונליות כגון קבלה וביצוע של פקודות זדוניות, הורדה וביצוע של קבצים זדוניים, גניבת אישורים ומידע רגיש וגניבתם, זיהוי יעדים פוטנציאליים וכו'.

Intune זה:Block Webshell creation for Servers

Guid: a8f5898e-1dc8-49a9-9878-85004b8a61e6

יחסי תלות: אנטי Microsoft Defender וירוסים

חסימת שיחות API של Win32 מפקודות מאקרו של Office

כלל זה מונע מפקודות מאקרו של VBA לקרוא לממשקי API של Win32.

Office VBA מאפשר שיחות API של Win32. תוכנות זדוניות יכולות להשתמש ביכולת זו לרעה, כגון קריאה לממשקי API של Win32 להפעיל קוד מעטפת זדוני מבלי לכתוב שום דבר ישירות לדיסק. רוב הארגונים אינם מסתסים על היכולת להתקשר לממשקי API של Win32 בתדירות היום-יומית שלהם, גם אם הם משתמשים בפקודות מאקרו בדרכים אחרות.

Intune זה:Win32 imports from Office macro code

Configuration Manager זה:Block Win32 API calls from Office macros

Guid: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

סוג פעולת ציד מתקדמת:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

יחסי תלות: Microsoft Defender-וירוס, AMSI

השתמש בהגנה מתקדמת מפני תוכנות כופר

כלל זה מספק שכבה נוספת של הגנה מפני תוכנות כופר. הוא משתמש גם בלקוח וגם בענן כדי לקבוע אם קובץ דומה לתוכנות כופר. כלל זה אינו חוסם קבצים בעלי אחת או יותר מהמאפיינים הבאים:

  • הקובץ נמצא כבר במצב לא מזיק בענן של Microsoft.
  • הקובץ הוא קובץ חתום חוקי.
  • הקובץ שכיח מספיק כדי שלא ייחשבו תוכנות כופר.

הכלל נוטה לשגיאה בצד של זהירות כדי למנוע תוכנות כופר.

הערה

עליך להפוך הגנה מבוססת ענן לזמינה כדי להשתמש בכלל זה.

Intune זה:Advanced ransomware protection

Configuration Manager זה:Use advanced protection against ransomware

Guid: c1db55ab-c21a-4637-bb3f-a12568109d35

סוג פעולת ציד מתקדמת:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

יחסי תלות: Microsoft Defender אנטי-וירוס, הגנה בענן

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.