Támadásifelület-csökkentési szabályok referenciája
Érintett szolgáltatás:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
Platformok:
- A Windows
Ez a cikk Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályokról (ASR-szabályokról) nyújt tájékoztatást:
- AZ ASR-szabályok támogatott operációsrendszer-verziói
- ASR-szabályok által támogatott konfigurációkezelő rendszerek
- ASR-szabályonkénti riasztás és értesítés részletei
- ASR-szabály –GUID mátrix
- ASR-szabálymódok
- Szabályonkénti leírások
Fontos
A cikkben található információk egy része olyan előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Támadásifelület-csökkentési szabályok típus szerint
A támadásifelület-csökkentési szabályok kétféle kategóriába sorolhatók:
Standard védelmi szabályok: A Microsoft által ajánlott minimális szabálykészlet mindig engedélyezve van, miközben kiértékeli a többi ASR-szabály hatását és konfigurációs igényeit. Ezek a szabályok általában minimálistól egyáltalán nem észrevehető hatással vannak a végfelhasználóra.
Egyéb szabályok: Olyan szabályok, amelyek bizonyos mértékig követik a dokumentált üzembehelyezési lépéseket [Plan > Test (audit) > Enable (block/warn modes)], a Támadásifelület-csökkentési szabályok üzembehelyezési útmutatójában leírtak szerint
A szabványos védelmi szabályok engedélyezésének legegyszerűbb módja a következő: Egyszerűsített szabványos védelmi lehetőség.
| ASR-szabály neve: | Standard védelmi szabály? | Egyéb szabály? |
|---|---|---|
| A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása | Igen | |
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | Igen | |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | Igen | |
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | Igen | |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | Igen | |
| A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek | Igen | |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | Igen | |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | Igen | |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | Igen | |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | Igen | |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása | Igen | |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül | Igen | |
| PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása | Igen | |
| Számítógép újraindításának letiltása csökkentett módban (előzetes verzió) | Igen | |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | Igen | |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió) | Igen | |
| Webshell-létrehozás letiltása kiszolgálókhoz | Igen | |
| Win32 API-hívások letiltása Office-makrókból | Igen | |
| Speciális védelem használata zsarolóprogramok ellen | Igen |
Microsoft Defender víruskereső kizárásai és ASR-szabályai
Microsoft Defender víruskereső kizárása bizonyos Végponthoz készült Microsoft Defender képességekre, például a támadásifelület-csökkentési szabályokra vonatkozik.
A következő ASR-szabályok NEM tartják tiszteletben Microsoft Defender víruskereső kivételeit:
Megjegyzés:
A szabályonkénti kizárások konfigurálásáról a Támadásifelület-csökkentési szabályok tesztelése című témakör ASR-szabályok szabályonkénti kizárásainak konfigurálása című szakaszában olvashat.
ASR-szabályok és a Végponthoz készült Defender biztonsági rések mutatói (IOC)
A következő ASR-szabályok nem tartják tiszteletben Végponthoz készült Microsoft Defender biztonsági rések mutatóit (IOC):
| ASR-szabály neve | Leírás |
|---|---|
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket. |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket. |
| Win32 API-hívások letiltása Office-makrókból | Nem tartja tiszteletben a tanúsítványok biztonsági sérülésére utaló jeleket. |
ASR-szabályok által támogatott operációs rendszerek
Az alábbi táblázat a jelenleg általánosan elérhető szabályok támogatott operációs rendszereit sorolja fel. A szabályok betűrendben vannak felsorolva ebben a táblázatban.
Megjegyzés:
Ha másként nem jelezzük, a minimális Windows 10 build a 1709-es verzió (RS3, 16299-es build) vagy újabb; a Windows Server minimális buildje 1809-es vagy újabb.
A támadásifelület-csökkentési szabályok Windows Server 2012 R2-ben és Windows Server 2016 érhetők el a modern egységes megoldáscsomag használatával előkészített eszközökhöz. További információ: Új funkciók az Windows Server 2012 R2 és 2016 előzetes verziójához készült modern egységes megoldásban.
(1) A Windows Server 2012 és 2016 modern egységes megoldására vonatkozik. További információ: Windows-kiszolgálók előkészítése a Végponthoz készült Defender szolgáltatásba.
(2) Windows Server 2016 és Windows Server 2012 R2 esetén a Microsoft Endpoint Configuration Manager minimálisan szükséges verziója a 2111-es verzió.
(3) A verzió és a buildszám csak a Windows 10 vonatkozik.
ASR-szabályok által támogatott konfigurációkezelő rendszerek
Az ebben a táblázatban hivatkozott konfigurációkezelési rendszerverziókkal kapcsolatos információkra mutató hivatkozások a táblázat alatt találhatók.
(1) A támadásifelület-csökkentési szabályokat szabályonként konfigurálhatja bármely szabály GUID azonosítójának használatával.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
- System Center Configuration Manager (SCCM) CB 1710
SCCM most már Microsoft Configuration Manager.
ASR-szabályonkénti riasztás és értesítés részletei
A bejelentési értesítések a Blokkolás módban lévő összes szabályhoz létre lesznek hozva. A más módban lévő szabályok nem hoznak létre bejelentési értesítéseket.
A megadott "Szabályállapot" értékkel rendelkező szabályok esetén:
- Az ASR-szabályok asr-szabályával<, a szabályállapot-kombinációkkal> riasztásokat (bejelentési értesítéseket) jeleníthet meg Végponthoz készült Microsoft Defender csak a magas felhőblokkszinten lévő eszközök esetében. A magas felhőblokkszinten nem lévő eszközök nem hoznak létre riasztásokat az <ASR-szabályok, szabályállapot-kombinációk> esetén
- Az EDR-riasztások a megadott állapotokban lévő ASR-szabályokhoz jönnek létre, a felhőbeli blokkok szintjén lévő eszközök esetében High+
ASR-szabály –GUID mátrix
| Szabály neve | Szabály GUID azonosítója |
|---|---|
| A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | d3e037e1-3eb8-44c8-a917-57927947596d |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül * A fájl- és mappakizárások nem támogatottak. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Számítógép újraindításának letiltása csökkentett módban (előzetes verzió) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Webshell-létrehozás letiltása kiszolgálókhoz | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Win32 API-hívások letiltása Office-makrókból | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Speciális védelem használata zsarolóprogramok ellen | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-szabálymódok
- Nincs konfigurálva vagy Letiltva: Az az állapot, amelyben az ASR-szabály nincs engedélyezve vagy le van tiltva. Az állapot kódja = 0.
- Blokk: Az az állapot, amelyben az ASR-szabály engedélyezve van. Ennek az állapotnak a kódja 1.
- Naplózás: Az az állapot, amelyben a rendszer kiértékeli az ASR-szabályt, hogy milyen hatással lenne a szervezetre vagy a környezetre, ha engedélyezve van (letiltás vagy figyelmeztetés). Ennek az állapotnak a kódja 2.
- Figyelmeztet Az az állapot, amelyben az ASR-szabály engedélyezve van, és értesítést jelenít meg a végfelhasználónak, de engedélyezi a végfelhasználó számára a blokk megkerülését. Ennek az állapotnak a kódja 6.
A Figyelmeztetés mód egy blokkmódú típus, amely figyelmezteti a felhasználókat a potenciálisan kockázatos műveletekre. A felhasználók dönthetnek úgy, hogy kihagyják a letiltás figyelmeztető üzenetét, és engedélyezik a mögöttes műveletet. A felhasználók az OK gombot választva kényszeríthetik ki a blokkot, vagy a letiltáskor létrehozott, végfelhasználói előugró bejelentési értesítésen keresztül választhatják ki a megkerülési lehetőséget – Feloldás – lehetőséget. A figyelmeztetés blokkolásának feloldása után a művelet a figyelmeztető üzenet következő előfordulásáig engedélyezett, ekkor a végfelhasználónak újra kell majd elvégeznie a műveletet.
Amikor az engedélyezés gombra kattint, a blokk 24 órán keresztül el lesz tiltva. 24 óra elteltével a végfelhasználónak újra engedélyeznie kell a blokkot. Az ASR-szabályok figyelmeztetési módja csak RS5+ (1809+) eszközökön támogatott. Ha a megkerülés asr-szabályokhoz van rendelve a régebbi verziójú eszközökön, a szabály letiltott módban lesz.
Riasztási módban is beállíthat egy szabályt a PowerShell-lel, ha a AttackSurfaceReductionRules_Actions "Figyelmeztetés" értékként adja meg. Például:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Szabályonkénti leírások
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása
Ez a szabály megakadályozza, hogy egy alkalmazás sebezhető aláírt illesztőprogramot írjon a lemezre. A vadon élő, sebezhető aláírt illesztőprogramokat a helyi alkalmazások – amelyek megfelelő jogosultságokkal rendelkeznek – kihasználhatják a kernelhez való hozzáféréshez. A sebezhető aláírt illesztőprogramok lehetővé teszik a támadók számára a biztonsági megoldások letiltását vagy megkerülését, ami végül a rendszer sérüléséhez vezet.
A kihasznált sebezhető aláírt illesztőprogramokkal való visszaélés megakadályozása szabály nem akadályozza meg a rendszeren már meglévő illesztőprogramok betöltését.
Megjegyzés:
Ezt a szabályt Intune OMA-URI használatával konfigurálhatja. Az egyéni szabályok konfigurálásához lásd: Intune OMA-URI.
Ezt a szabályt a PowerShell használatával is konfigurálhatja.
Ha meg szeretne vizsgálni egy illesztőprogramot, ezen a webhelyen elküldhet egy illesztőprogramot elemzésre.
Intune neve:Block abuse of exploited vulnerable signed drivers
Configuration Manager neve: Még nem érhető el
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Speciális veszélyforrás-keresési művelet típusa:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben
Ez a szabály megakadályozza a támadásokat azáltal, hogy blokkolja az Adobe Readert a folyamatok létrehozásában.
A kártevők hasznos adatokat tölthetnek le és indíthatnak el, és közösségi tervezéssel vagy biztonsági résekkel törhetnek ki az Adobe Readerből. Az Adobe Reader által generált gyermekfolyamatok blokkolásával az Adobe Readert támadási vektorként használó kártevők nem terjednek.
Intune neve:Process creation from Adobe Reader (beta)
Configuration Manager neve: Még nem érhető el
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Speciális veszélyforrás-keresési művelet típusa:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat hozzanak létre. Az Office-alkalmazások közé tartozik a Word, az Excel, a PowerPoint, a OneNote és az Access.
A rosszindulatú gyermekfolyamatok létrehozása gyakori kártevőkezelési stratégia. Az Office-t vektorként visszaélő kártevők gyakran futtatnak VBA-makrókat, és kihasználják a kódot a további hasznos adatok letöltéséhez és futtatásához. Egyes megbízható üzletági alkalmazások azonban jóindulatú célokból gyermekfolyamatokat is létrehozhatnak; például parancssort hoz létre, vagy a PowerShell használatával konfigurálja a beállításjegyzék beállításait.
Intune neve:Office apps launching child processes
Configuration Manager neve:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása
Ez a szabály a helyi biztonsági hatóság alrendszerszolgáltatásának (LSASS) zárolásával segít megelőzni a hitelesítő adatok ellopását.
Az LSASS hitelesíti a Windows rendszerű számítógépen bejelentkező felhasználókat. Microsoft Defender Credential Guard a Windowsban általában megakadályozza a hitelesítő adatok LSASS-ből való kinyerésére tett kísérleteket. Egyes szervezetek nem tudják engedélyezni a Credential Guardot az összes számítógépükön, mert kompatibilitási problémák léptek fel az egyéni intelligenskártya-illesztőprogramokkal vagy más, a Helyi biztonsági hatóságba (LSA) betöltött programokkal. Ezekben az esetekben a támadók a Mimikatzhoz hasonló eszközökkel kérnek le egyértelmű szöveges jelszavakat és NTLM-kivonatokat az LSASS-ből.
Alapértelmezés szerint ennek a szabálynak az állapota blokkra van állítva. A legtöbb esetben számos folyamat hívja meg az LSASS-t a nem szükséges hozzáférési jogokért. Például amikor az ASR-szabály kezdeti blokkja egy későbbi, kisebb jogosultságra vonatkozó hívást eredményez, amely később sikeres lesz. Az LSASS-hez intézett folyamathívások során általában kért jogtípusokkal kapcsolatos információkért lásd: Folyamatbiztonsági és hozzáférési jogok.
A szabály engedélyezése nem nyújt további védelmet, ha az LSA-védelem engedélyezve van, mivel az ASR-szabály és az LSA-védelem hasonló módon működik. Ha azonban az LSA-védelem nem engedélyezhető, ez a szabály konfigurálható úgy, hogy egyenértékű védelmet nyújtson a célként szolgáló lsass.exekártevők ellen.
Megjegyzés:
Ebben a forgatókönyvben az ASR-szabály "nem alkalmazható" besorolású a Végponthoz készült Defender beállításai között a Microsoft Defender portálon.
A Hitelesítő adatok windowsos helyi biztonsági hatóság alrendszeréből való ellopása – ASR-szabály nem támogatja a WARN módot.
Egyes alkalmazásokban a kód felsorolja az összes futó folyamatot, és megkísérli őket teljes körű engedélyekkel megnyitni. Ez a szabály letiltja az alkalmazás folyamatmegnyitási műveletét, és naplózza a részleteket a biztonsági eseménynaplóba. Ez a szabály nagy zajt okozhat. Ha olyan alkalmazással rendelkezik, amely egyszerűen felsorolja az LSASS-t, de nincs tényleges hatása a funkciókra, nem kell hozzáadnia a kizárási listához. Ez az eseménynapló-bejegyzés önmagában nem feltétlenül jelent kártékony fenyegetést.
Intune neve:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager neve:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Speciális veszélyforrás-keresési művelet típusa:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Függőségek: Microsoft Defender víruskereső
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából
Ez a szabály megakadályozza, hogy a Microsoft Outlook alkalmazásban megnyitott e-mailek, illetve Outlook.com és más népszerű webposta-szolgáltatók propagálják a következő fájltípusokat:
- Végrehajtható fájlok (például .exe, .dll vagy .scr)
- Szkriptfájlok (például PowerShell-.ps1, Visual Basic .vbs vagy JavaScript .js fájl)
Intune neve:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager neve:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Speciális veszélyforrás-keresési művelet típusa:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Függőségek: Microsoft Defender víruskereső
Megjegyzés:
A Végrehajtható tartalom letiltása levelezőügyfélről és webpostáról szabály a következő alternatív leírásokat tartalmazza attól függően, hogy melyik alkalmazást használja:
- Intune (konfigurációs profilok): Az e-mailből elvetett végrehajtható tartalmak (exe, dll, ps, js, vbs stb.) végrehajtása (nincs kivétel).
- Configuration Manager: Végrehajtható tartalom letöltésének letiltása e-mail- és webposta-ügyfelekről.
- Csoportházirend: E-mail ügyfélprogram és webposta végrehajtható tartalmainak letiltása.
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek
Ez a szabály letiltja a végrehajtható fájlokat( például .exe, .dll vagy .scr) az indítástól. Így a nem megbízható vagy ismeretlen végrehajtható fájlok indítása kockázatos lehet, mivel előfordulhat, hogy kezdetben nem egyértelmű, ha a fájlok rosszindulatúak.
Fontos
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .
A Végrehajtható fájlok futtatásának letiltása szabály, kivéve, ha megfelelnek egy elterjedt, korú vagy megbízható listára vonatkozó feltételnek a GUID azonosítóval 01443614-cd74-433a-b99e-2ecdc07bfc25 , a Microsoft tulajdonában van, és nem a rendszergazdák írják elő. Ez a szabály a felhőben biztosított védelmet használja a megbízható listájának rendszeres frissítéséhez.
Megadhatja az egyes fájlokat vagy mappákat (mappaútvonalak vagy teljes erőforrásnevek használatával), de nem adhatja meg, hogy mely szabályokra vagy kizárásokra vonatkozzanak.
Intune neve:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager neve:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Speciális veszélyforrás-keresési művelet típusa:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Függőségek: Microsoft Defender Víruskereső, Cloud Protection
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása
Ez a szabály gyanús tulajdonságokat észlel egy rejtjelezett szkriptben.
Fontos
A PowerShell-szkriptek mostantól támogatottak a "Vélhetően rejtjelezett szkriptek végrehajtásának blokkolása" szabály esetében.
A parancsfájlok elfedése gyakori technika, amelyet a kártevő-szerzők és a jogos alkalmazások is használnak a szellemi tulajdon elrejtésére vagy a szkript betöltési idejének csökkentésére. A kártevő-szerzők a rejtjelek használatával is megnehezítik a rosszindulatú kódok olvasását, ami akadályozza az emberek és a biztonsági szoftverek alapos vizsgálatát.
Intune neve:Obfuscated js/vbs/ps/macro code
Configuration Manager neve:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Speciális veszélyforrás-keresési művelet típusa:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Függőségek: Microsoft Defender víruskereső, kártevőirtó vizsgálati felület (AMSI)
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában
Ez a szabály megakadályozza, hogy a szkriptek rosszindulatúan letöltött tartalmakat indítsanak el. A JavaScriptben vagy VBScriptben írt kártevők gyakran letöltőként működnek, és más kártevőket is lekérnek és elindítanak az internetről.
Bár nem gyakori, az üzletági alkalmazások néha szkriptekkel töltik le és indítják el a telepítőket.
Intune neve:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager neve:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Speciális veszélyforrás-keresési művelet típusa:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Függőségek: Microsoft Defender víruskereső, AMSI
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Office-alkalmazások, köztük a Word, az Excel és a PowerPoint potenciálisan rosszindulatú végrehajtható tartalmakat hozzanak létre, mivel megakadályozzák a rosszindulatú kódok lemezre írását.
Az Office-t vektorként visszaélő kártevők megpróbálhatnak kitörni az Office-ból, és a kártékony összetevőket lemezre menthetik. Ezek a rosszindulatú összetevők túlélik a számítógép újraindítását, és megmaradnak a rendszeren. Ezért ez a szabály védelmet nyújt egy közös adatmegőrzési technikával szemben. Ez a szabály az Office-fájlokban futtatható Office-makrók által esetleg mentett nem megbízható fájlok végrehajtását is letiltja.
Intune neve:Office apps/macros creating executable content
Configuration Manager neve:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Speciális veszélyforrás-keresési művelet típusa:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Függőségek: Microsoft Defender víruskereső, RPC
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba
Ez a szabály letiltja az Office-alkalmazásokból más folyamatokba történő kódinjektálási kísérleteket.
Megjegyzés:
A Block applications from injeking code into other processes ASR rule nem támogatja a WARN módot.
Fontos
Ehhez a szabályhoz újra kell indítani Microsoft 365-alkalmazások (Office-alkalmazások) a konfigurációs módosítások érvénybe léptetéséhez.
Előfordulhat, hogy a támadók az Office-alkalmazásokkal próbálják áttelepíteni a kártékony kódot más folyamatokba kódinjektálás útján, hogy a kód tiszta folyamatként álcázható legyen.
A kódinjektálásnak nincsenek ismert törvényes üzleti céljai.
Ez a szabály a Word, az Excel, a OneNote és a PowerPoint alkalmazásra vonatkozik.
Intune neve:Office apps injecting code into other processes (no exceptions)
Configuration Manager neve:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Függőségek: Microsoft Defender víruskereső
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Outlook gyermekfolyamatokat hozzon létre, miközben továbbra is engedélyezi a megbízható Outlook-függvényeket.
Ez a szabály védelmet nyújt a szociális mérnöki támadások ellen, és megakadályozza, hogy a kód kihasználása az Outlook biztonsági réseit kihasználja. Emellett védelmet nyújt az Outlook-szabályokkal és -űrlapokkal szemben, amelyeket a támadók a felhasználó hitelesítő adatainak feltörésekor használhatnak.
Megjegyzés:
Ez a szabály letiltja a DLP-házirendtippeket és az elemleírásokat az Outlookban. Ez a szabály csak az Outlookra és Outlook.com vonatkozik.
Intune neve:Process creation from Office communication products (beta)
Configuration Manager neve: Nem érhető el
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
Ez a szabály megakadályozza, hogy a kártevők visszaéljenek a WMI-vel az eszközön való megőrzés érdekében.
Fontos
A fájl- és mappakizárások nem vonatkoznak erre a támadásifelület-csökkentési szabályra.
A fájl nélküli fenyegetések különböző taktikákat alkalmaznak, hogy rejtve maradjanak, hogy ne legyenek láthatók a fájlrendszerben, és rendszeres végrehajtás-vezérlést szerezzenek. Egyes fenyegetések visszaélhetnek a WMI-adattárral és az eseménymodellel, hogy rejtve maradjanak.
Megjegyzés:
Ha CcmExec.exe (SCCM Agent) észlelhető az eszközön, az ASR-szabály "nem alkalmazható" besorolást kapott a Végponthoz készült Defender beállításai között a Microsoft Defender portálon.
Intune neve:Persistence through WMI event subscription
Configuration Manager neve: Nem érhető el
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Speciális veszélyforrás-keresési művelet típusa:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Függőségek: Microsoft Defender víruskereső, RPC
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása
Ez a szabály letiltja a PsExec és a WMI használatával létrehozott folyamatokat. A PsExec és a WMI is képes távolról végrehajtani a kódot. Fennáll annak a kockázata, hogy a kártevők visszaélnek a PsExec és a WMI funkcióival parancs- és ellenőrzési célokból, vagy egy fertőzést terjesztenek a szervezet hálózatán.
Figyelmeztetés
Csak akkor használja ezt a szabályt, ha az eszközöket Intune vagy más MDM-megoldással kezeli. Ez a szabály nem kompatibilis a Microsoft Endpoint Configuration Manager-on keresztüli felügyelettel, mivel ez a szabály letiltja a CONFIGURATION MANAGER-ügyfél által a megfelelő működéshez használt WMI-parancsokat.
Intune neve:Process creation from PSExec and WMI commands
Configuration Manager neve: Nem alkalmazható
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Speciális veszélyforrás-keresési művelet típusa:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Számítógép újraindításának letiltása csökkentett módban (előzetes verzió)
Ez a szabály megakadályozza a gépek csökkentett módban történő újraindítására vonatkozó parancsok végrehajtását.
A csökkentett mód egy diagnosztikai mód, amely csak a Windows futtatásához szükséges alapvető fájlokat és illesztőprogramokat tölti be. Csökkentett módban azonban számos biztonsági termék le van tiltva, vagy korlátozott kapacitással működik, ami lehetővé teszi a támadók számára az illetéktelen módosítási parancsok további elindítását, vagy egyszerűen csak végrehajtják és titkosítják a gépen lévő összes fájlt. Ez a szabály blokkolja az ilyen támadásokat, mert megakadályozza, hogy a folyamatok csökkentett módban újraindítják a gépeket.
Megjegyzés:
Ez a képesség jelenleg előzetes verzióban érhető el. A hatékonyságot javító további frissítések fejlesztés alatt állnak.
Intune neve:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager neve: Még nem érhető el
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Függőségek: Microsoft Defender víruskereső
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása
Ezzel a szabállyal a rendszergazdák megakadályozhatják az aláíratlan vagy nem megbízható végrehajtható fájlok futtatását USB cserélhető meghajtókról, beleértve az SD-kártyákat is. A letiltott fájltípusok végrehajtható fájlokat (például .exe, .dll vagy .scr) tartalmaznak
Fontos
Az USB-meghajtóról a lemezmeghajtóra másolt fájlokat ez a szabály blokkolja, ha és amikor a lemezmeghajtón végre szeretné hajtani.
Intune neve:Untrusted and unsigned processes that run from USB
Configuration Manager neve:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Speciális veszélyforrás-keresési művelet típusa:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Függőségek: Microsoft Defender víruskereső
Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió)
Ez a szabály letiltja a Windows rendszereszközök példányaként azonosított végrehajtható fájlok használatát. Ezek a fájlok az eredeti rendszereszközök duplikált vagy megszemélyesítői.
Egyes rosszindulatú programok megpróbálhatnak windowsos rendszereszközöket másolni vagy megszemélyesíteni az észlelés elkerülése vagy a jogosultságok megszerzése érdekében. Az ilyen végrehajtható fájlok engedélyezése potenciális támadásokhoz vezethet. Ez a szabály megakadályozza a windowsos gépeken futó rendszereszközök ilyen duplikált példányainak és impostorainak propagálását és végrehajtását.
Megjegyzés:
Ez a képesség jelenleg előzetes verzióban érhető el. A hatékonyságot javító további frissítések fejlesztés alatt állnak.
Intune neve:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager neve: Még nem érhető el
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Függőségek: Microsoft Defender víruskereső
Webshell-létrehozás letiltása kiszolgálókhoz
Ez a szabály letiltja a webes rendszerhéjszkript létrehozását a Microsoft Server exchange-szerepkörében.
A webfelületi szkript egy kifejezetten kialakított szkript, amely lehetővé teszi a támadó számára a feltört kiszolgáló vezérlését. A webes rendszerhéj tartalmazhat olyan funkciókat, mint a rosszindulatú parancsok fogadása és végrehajtása, rosszindulatú fájlok letöltése és végrehajtása, hitelesítő adatok és bizalmas adatok ellopása és kiszivárgása, a potenciális célok azonosítása stb.
Intune neve:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Függőségek: Microsoft Defender víruskereső
Win32 API-hívások letiltása Office-makrókból
Ez a szabály megakadályozza, hogy a VBA-makrók Win32 API-kat hívjanak meg.
Az Office VBA lehetővé teszi a Win32 API-hívások használatát. A kártevők visszaélhetnek ezzel a képességgel, például meghívhatják a Win32 API-kat, hogy kártékony rendszerhéjkódot indítsanak anélkül , hogy bármit közvetlenül a lemezre írnak. A legtöbb szervezet nem támaszkodik arra, hogy meghívja a Win32 API-kat a mindennapi működésük során, még akkor sem, ha más módon használnak makrókat.
Intune neve:Win32 imports from Office macro code
Configuration Manager neve:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Függőségek: Microsoft Defender víruskereső, AMSI
Speciális védelem használata zsarolóprogramok ellen
Ez a szabály egy további védelmi réteget biztosít a zsarolóprogramok ellen. Ügyfél- és felhőalapú heurisztika használatával határozza meg, hogy egy fájl hasonlít-e a zsarolóprogramra. Ez a szabály nem tiltja le azokat a fájlokat, amelyek az alábbi jellemzők közül legalább egykel rendelkeznek:
- A fájl már sértetlennek bizonyult a Microsoft-felhőben.
- A fájl egy érvényes aláírt fájl.
- A fájl elég elterjedt ahhoz, hogy ne tekinthető zsarolóprogramnak.
A szabály általában az óvatosság oldalán fordul elő, hogy megakadályozza a zsarolóprogramokat.
Megjegyzés:
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .
Intune neve:Advanced ransomware protection
Configuration Manager neve:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Speciális veszélyforrás-keresési művelet típusa:
AsrRansomwareAuditedAsrRansomwareBlocked
Függőségek: Microsoft Defender Víruskereső, Cloud Protection
Lásd még
- Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése
- Támadásifelület-csökkentési szabályok üzembe helyezésének megtervezése
- Támadásifelület-csökkentési szabályok tesztelése
- Támadásifelület-csökkentési szabályok engedélyezése
- Támadásifelület-csökkentési szabályok üzembe helyezése
- Támadásifelület-csökkentési szabályok jelentése
- Támadásifelület-csökkentési szabályok referenciája
- A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: