Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Tipp
A cikk kiegészítőjeként tekintse meg a Security Analyzer beállítási útmutatót az ajánlott eljárások áttekintéséhez és a védelem megerősítéséhez, a megfelelőség javításához és a kiberbiztonsági környezetben való magabiztos navigáláshoz. A környezeten alapuló testreszabott felhasználói élmény érdekében a Security Analyzer automatikus beállítási útmutatóját a Microsoft 365 Felügyeleti központ érheti el.
A szervezet támadási felülete tartalmazza az összes olyan helyet, ahol a támadó hozzáférhet. További információ: Támadási felület csökkentése Végponthoz készült Microsoft Defender.
A támadásifelület-csökkentési (ASR) szabályok a Microsoft Defender víruskeresőben kockázatos szoftverviselkedést céloznak meg olyan Windows-eszközökön, amelyeket a támadók gyakran kihasználnak kártevőkkel. Például:
- Fájlok letöltését vagy futtatását megkísérlő végrehajtható fájlok és szkriptek elindítása.
- Rejtjelezett vagy más módon nem megbízható szkriptek futtatása.
- Gyermekfolyamatok létrehozása potenciálisan sebezhető alkalmazásokból (például Office-alkalmazásokból).
- Kód beszúrása más folyamatokba.
Bár a törvényes alkalmazások is elvégezhetik ezeket a műveleteket, a támadók általában ugyanúgy viselkedő kártevőket használnak.
Az ASR-szabályok tervezéséhez, teszteléséhez, implementálásához és figyeléséhez tekintse meg az alábbi cikksorozatot:
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
- Végponthoz készült Microsoft Defender beállítása macOS rendszeren
- Végponthoz készült Microsoft Defender Macen
- MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
ASR-szabályok
Az ASR-szabályok a következő kategóriákba vannak csoportosítva:
A standard védelmi szabályok jelentős biztonsági előnyökkel járnak, ezért a Microsoft azt javasolja, hogy a teljes körű tesztelés nélkül engedélyezze őket Blokk módban. Ezek a szabályok általában minimális vagy nem észrevehető hatással vannak a felhasználókra, de vannak kivételek:
- Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül: Ha Microsoft Configuration Manager használ az eszközök kezelésére, ne használjon más elérhető üzembehelyezési módszereket (például Csoportházirend vagy PowerShellt) a szabály aktiválásához Blokkolás vagy Figyelmeztetés módban az eszközön, naplózási módban végzett átfogó tesztelés nélkül. A Konfigurációkezelő-ügyfél nagymértékben támaszkodik a WMI-ra.
- Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopás letiltása: Ha engedélyezte a Helyi biztonsági hatóság (LSA) védelmét ( ajánlott, a Credential Guarddal együtt), ez a szabály redundáns.
Az egyéb ASR-szabályok fontos védelmet nyújtanak, de naplózási módban való tesztelést igényelnek, mielőtt Letiltás vagy Figyelmeztetés módban aktiválja őket a támadásifelület-csökkentési szabályok üzembehelyezési útmutatójában leírtak szerint.
A rendelkezésre álló ASR-szabályokat, a hozzájuk tartozó GUID-értékeket és kategóriáikat az alábbi táblázat ismerteti:
A szabálynevek hivatkozásai az ASR-szabályok referenciacikkében található részletes szabályleírásokhoz vezetik.
A Microsoft Intune és Microsoft Configuration Manager végpontbiztonsági szabályzataitól eltérően minden más ASR-szabálykonfigurációs módszer GUID-érték alapján azonosítja a szabályokat.
Az ASR-szabályok Microsoft Intune és Microsoft Configuration Manager közötti különbségeit a táblázat ismerteti.
Tipp
Microsoft Configuration Manager korábban más nevek ismerték:
- Microsoft System Center Configuration Manager: 1511–1906-os verzió (2015. november– 2019. július)
- Microsoft Endpoint Configuration Manager: 1910–2211-es verzió (2019. december– 2022. december)
- Microsoft Configuration Manager: 2303-es (2023. április) vagy újabb verzió
Támogatási és frissítési információkért lásd: Konfigurációkezelő Frissítések és karbantartása.
| Szabály neve a Microsoft Intune | Szabály neve a Microsoft Configuration Manager | GUID | Kategória |
|---|---|---|---|
| Standard védelmi szabályok | |||
| Kihasznált sebezhető aláírt illesztőprogramokkal (eszköz) való visszaélés letiltása | n/a | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Vegyes |
| Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása | Ugyanaz | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Oldalirányú mozgás & hitelesítő adatok ellopása |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül | n/a | e6db77e5-3df2-4cf1-b95a-636979351e5b | Oldalirányú mozgás & hitelesítő adatok ellopása |
| Egyéb ASR-szabályok | |||
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | n/a | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Hatékonyságnövelő alkalmazások |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | Gyermekfolyamatok létrehozásának letiltása az Office-alkalmazásokban | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Hatékonyságnövelő alkalmazások |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | Ugyanaz | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | |
| A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek | A végrehajtható fájlok futásának letiltása, ha nem felelnek meg az előfordulási gyakoriságra, az életkorra vagy a megbízható listára vonatkozó feltételeknek | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Polimorf fenyegetések |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | Ugyanaz | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Script |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | Ugyanaz | d3e037e1-3eb8-44c8-a917-57927947596d | Script |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | Ugyanaz | 3b576869-a4ec-4529-8536-b80a7769e899 | Hatékonyságnövelő alkalmazások |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | Ugyanaz | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Hatékonyságnövelő alkalmazások |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása | n/a | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, Hatékonyságnövelő alkalmazások |
| PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása | n/a | d1e49aac-8f56-4280-b9ba-993a6d77406c | Oldalirányú mozgás & hitelesítő adatok ellopása |
| A gép csökkentett módban történő újraindításának letiltása | n/a | 33ddedf1-c6e0-47cb-833e-de6133960387 | Vegyes |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | Ugyanaz | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Polimorf fenyegetések |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása | n/a | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Vegyes |
| Webshell-létrehozás letiltása kiszolgálókhoz | n/a | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Vegyes |
| Win32 API-hívások letiltása Office-makrókból | Ugyanaz | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | Hatékonyságnövelő alkalmazások |
| Speciális védelem használata zsarolóprogramok ellen | Ugyanaz | c1db55ab-c21a-4637-bb3f-a12568109d35 | Polimorf fenyegetések |
Az ASR-szabályok követelményei
Az ASR-szabályokhoz Microsoft Defender víruskeresőre van szükség elsődleges víruskereső alkalmazásként Windows-eszközökön:
Microsoft Defender víruskeresőt engedélyezni kell, és aktív módban kell lennie. Pontosabban, Microsoft Defender víruskereső nem lehet az alábbi módok egyikében sem:
- Passzív
- Passzív mód végpontészlelés és -válasz (EDR) blokkmódban
- Korlátozott rendszeres vizsgálat (LPS)
- Ki
A Microsoft Defender víruskereső üzemmódjaival kapcsolatos további információkért lásd: How Microsoft Defender Antivirus affects Defender for Endpoint functionality (A Microsoft Defender víruskereső hatása a Végponthoz készült Defender működésére).
A valós idejű védelemnek be kell kapcsolnia Microsoft Defender víruskeresőben.
A felhőben biztosított védelem (más néven Microsoft Advanced Protection Service vagy MAPS) kritikus fontosságú az ASR-szabályok működéséhez. A felhővédelem javítja a standard valós idejű védelmet, és kritikus fontosságú összetevője a kártevőkkel szembeni biztonsági incidensek megelőzésének. Egyes ASR-szabályok kifejezetten felhőkézbesítési védelmi követelményekkel rendelkeznek a Végponthoz készült Defender végpontészlelési és válaszalapú riasztásaihoz és a felhasználói értesítések előugró ablakaihoz. Részletekért lásd: ASR-szabályműveletek riasztásai és értesítései.
Ugyanezen okból a környezetnek engedélyeznie kell a Microsoft Defender Víruskereső felhőszolgáltatáshoz való csatlakozást.
Microsoft Defender víruskereső összetevő verzióinak nem lehet több, mint két, a jelenleg elérhető verziónál régebbi verzió:
- Platformfrissítés verziója: Havonta frissítve.
- MEngine-verzió: Havonta frissítve.
- Biztonsági intelligencia: A Microsoft folyamatosan frissíti a biztonsági intelligenciát (más néven definíciókat és aláírásokat) a legújabb fenyegetések kezelése és az észlelési logika finomítása érdekében.
Az Microsoft Defender víruskereső verzióinak naprakészen tartása segít csökkenteni az ASR-szabályok téves riasztásait, és javítja Microsoft Defender víruskereső észlelési képességeit. Az aktuális verziókkal és a különböző Microsoft Defender víruskereső összetevők frissítésével kapcsolatos további információkért lásd: Microsoft Defender Víruskereső platform támogatása.
Bár az ASR-szabályok nem igényelnek Microsoft 365 E5, a Microsoft az E5 vagy azzal egyenértékű előfizetések biztonsági képességeit javasolja a következő fejlett felügyeleti képességek kihasználásához:
- Monitorozás, elemzés és munkafolyamatok a Végponthoz készült Defenderben.
- Jelentéskészítési és konfigurációs képességek a Microsoft Defender XDR portálon.
A speciális felügyeleti képességek nem érhetők el más licencekkel (például Windows Professional vagy Microsoft 365 E3). Azonban saját monitorozási és jelentéskészítési eszközöket fejleszthet a Windows eseménymegtekintő-ben létrehozott ASR-szabályeseményeken felül az egyes eszközökön (például a Windows eseménytovábbításán).
A Windows-licencelésről további információt a Windows-licencelésről és a Microsoft mennyiségi licencelési referencia-útmutatójában talál.
Támogatott operációs rendszerek ASR-szabályokhoz
Az ASR-szabályok a Windows bármely olyan kiadásában megtalálható Microsoft Defender víruskereső szolgáltatás, amely tartalmazza Microsoft Defender víruskeresőt (például Windows 11 Otthoni verzió). Az ASR-szabályokat helyileg konfigurálhatja az eszközökön a PowerShell vagy a Csoportházirend használatával.
A központi felügyelet, a jelentéskészítés és a riasztások az ASR-szabályokhoz Végponthoz készült Microsoft Defender a Windows következő kiadásaiban és verzióiban érhetők el:
- A Windows 10 vagy újabb Pro és Enterprise kiadásai.
- R2 vagy újabb Windows Server 2012.
- Azure Local (korábbi nevén Azure Stack HCI) 23H2-es vagy újabb verziója.
További információ az operációs rendszer támogatásáról: Operációs rendszer támogatása ASR-szabályokhoz.
ASR-szabályok üzemmódjai
Az ASR-szabályok a következő módok egyikében lehetnek, az alábbi táblázatban leírtak szerint:
| Szabálymód | Kód | Leírás |
|---|---|---|
|
Ki vagy Letiltva |
0 | Az ASR-szabály explicit módon le van tiltva. Ez az érték ütközéseket okozhat, ha ugyanazt az eszközt különböző szabályzatok különböző módokon ugyanahhoz az ASR-szabályhoz rendelik. |
|
Letiltás vagy Aktivált |
1 | Az ASR-szabály Blokk módban van engedélyezve. |
|
Naplózás vagy Naplózási mód |
2 | Az ASR-szabály úgy van engedélyezve, mintha Blokk módban, de művelet végrehajtása nélkül. Az ASR-szabályok naplózási módban való észlelése a következő helyeken érhető el:
|
| Nincs konfigurálva | 5 | Az ASR-szabály nincs explicit módon engedélyezve. Ez az érték funkcionálisan egyenértékű a Letiltva vagy a Ki értékekkel, de nincs lehetőség szabályütközésekre. |
|
Figyelmeztetés vagy Figyelmeztetés |
6 | Az ASR-szabály úgy van engedélyezve, mintha Letiltás módban volna, de a felhasználók a figyelmeztetési előugró ablakban a Tiltás feloldása lehetőséget választva 24 órán keresztül megkerülhetik a blokkot. 24 óra elteltével a felhasználónak újra meg kell kerülnie a blokkot. A Figyelmeztetés mód Windows 10 1809-es (2018. novemberi) vagy újabb verzióiban támogatott. A Figyelmeztetés módban a Windows nem támogatott verzióira vonatkozó ASR-szabályok hatékonyan letiltott módban vannak (a megkerülés nem érhető el). A figyelmeztetési mód nem érhető el Microsoft Configuration Manager. A Figyelmeztetés mód a következő Microsoft Defender víruskereső verziókövetelményei:
A következő ASR-szabályok nem támogatják a Figyelmeztetés módot: |
A Microsoft a letiltási módot javasolja a standard védelmi szabályokhoz, és a naplózási módban való kezdeti tesztelést más ASR-szabályokhoz, mielőtt letiltás vagy figyelmeztetés módban aktiválja őket.
Számos üzletági alkalmazás írása korlátozott biztonsági aggályokkal jár, és a kártevőkhez hasonló módon működhetnek. Az ASR-szabályokból származó adatok naplózási módban való figyelésével és a szükséges alkalmazások kizárásainak hozzáadásával anélkül helyezhet üzembe ASR-szabályokat, hogy csökkentené a hatékonyságot.
Mielőtt letiltott módban engedélyezené az ASR-szabályokat, mérje fel a hatásukat naplózási módban és biztonsági javaslatokban. További információ: ASR-szabályok tesztelése.
Üzembehelyezési és konfigurációs módszerek ASR-szabályokhoz
Végponthoz készült Microsoft Defender támogatja az ASR-szabályokat, de nem tartalmaz beépített módszert az ASR-szabálybeállítások eszközökre való telepítéséhez. Ehelyett egy külön központi telepítési vagy felügyeleti eszközzel hozhat létre és terjeszthet ASR-szabályszabályzatokat az eszközökre. Nem minden üzembehelyezési módszer támogatja az összes ASR-szabályt. A szabályonkénti részletekért lásd: Az ASR-szabályok üzembehelyezési módszerének támogatása.
Az alábbi táblázat összefoglalja az elérhető metódusokat. Részletes konfigurációs utasításokért lásd: Támadásifelület-csökkentési (ASR) szabályok és kizárások konfigurálása.
| Módszer | Leírás |
|---|---|
| végpontbiztonsági szabályzatok Microsoft Intune | Az ASR-szabályszabályzatok eszközökre való konfigurálásához és terjesztéséhez ajánlott módszer. Microsoft Intune 1-es csomag igényel (az előfizetésekben, például Microsoft 365 E3 vagy különálló bővítményként érhető el). |
| egyéni profilok Microsoft Intune OMA-URI-kkal | Alternatív módszer az ASR-szabályok konfigurálására Intune Open Mobile Alliance – Uniform Resource (OMA-URI) profilok használatával. |
| Bármely, a policy CSP-t használó MDM-megoldás | Használja a Windows Házirend konfigurációs szolgáltatóját (CSP) bármely MDM-megoldással. |
| Microsoft Configuration Manager | A Microsoft Defender víruskereső szabályzatot használja az Eszközök és megfelelőség munkaterületen. |
| Csoportházirend | A Központi Csoportházirend használatával konfigurálhatja és terjesztheti az ASR-szabályokat a tartományhoz csatlakoztatott eszközökre. Vagy helyileg is konfigurálhat Csoportházirend az egyes eszközökön. |
| PowerShell- | Az ASR-szabályokat helyileg konfigurálhatja az egyes eszközökön. A PowerShell minden ASR-szabályt támogat. |
Fájl- és mappakizárások ASR-szabályokhoz
Fontos
A fájlok vagy mappák kizárása jelentősen csökkentheti az ASR-szabályok védelmét. A kizárt fájlok futtathatók, és a rendszer nem rögzít jelentéseket vagy eseményeket a fájlról. Ha az ASR-szabályok olyan fájlokat észlelnek, amelyeket nem szabad észlelni, a naplózási módban tesztelje a szabályt.
Kizárhat bizonyos fájlokat és mappákat az ASR-szabályok általi kiértékelésből. Még ha egy ASR-szabály is megállapítja, hogy a fájl vagy mappa kártékony viselkedést tartalmaz, nem blokkolja a kizárt fájlok futtatását.
A következő módszerekkel zárhat ki fájlokat és mappákat az ASR-szabályokból:
Microsoft Defender víruskereső kizárásai: Nem minden ASR-szabály tartja tiszteletben ezeket a kizárásokat. További információ a víruskereső kizárásairól Microsoft Defender: Egyéni kizárások konfigurálása Microsoft Defender víruskeresőhöz.
Tipp
Minden ASR-szabály figyelembe veszi a Microsoft Defender víruskereső folyamatkivételeit.
Globális ASR-szabályok kizárásai: Ezek a kizárások az összes ASR-szabályra érvényesek. Minden ASR-szabálykonfigurációs módszer támogatja a globális ASR-szabályok kizárásának konfigurálását is.
ASR-szabályonkénti kizárások: Különböző kizárások szelektív hozzárendelése különböző ASR-szabályokhoz. Csak az alábbi ASR-szabálykonfigurációs módszerek támogatják az ASR-szabályonkénti kizárások konfigurálását:
- Csoportházirend (és a megfelelő beállításjegyzék-beállítások)
- Végpontbiztonsági szabályzatok Microsoft Intune.
Biztonsági rések (IOC-k) mutatói: A legtöbb ASR-szabály figyelembe veszi a letiltott fájlok és a letiltott tanúsítványok IOK-jait. Az IoC-kkel kapcsolatos további információkért lásd: Az Végponthoz készült Microsoft Defender mutatóinak áttekintése.
Az ASR-szabályok különböző típusú kizárásainak kényszerítése az alábbi táblázatban foglalható össze:
| Szabály neve | MDAV-fájl és mappakizárások |
A globális ASR elismerése Kizárások |
Az ASR-szabály szerinti megtisztelő szabályok Kizárások |
IoC-k elismerése a következőhöz: Fájlokat |
IoC-k elismerése a következőhöz: Tanúsítványok |
|---|---|---|---|---|---|
| Standard védelmi szabályok | |||||
| Kihasznált sebezhető aláírt illesztőprogramokkal (eszköz) való visszaélés letiltása | I | I | I | I | I |
| Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása | N | I | I | N | N |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül | N | I | I | N | N |
| Egyéb ASR-szabályok | |||||
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | N | I | I | I | I |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | I | I | I | I | I |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | I | I | I | I | I |
| A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek | I | I | I | I | I |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | I | I | I | I | I |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | I | I | I | I | I |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | N | I | I | I | I |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | N | I | I | N | N |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása | N | I | I | I | I |
| PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása | N | I | I | I | I |
| A gép csökkentett módban történő újraindításának letiltása | I | I | I | I | I |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | I | I | I | I | I |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása | I | I | I | I | I |
| Webshell-létrehozás letiltása kiszolgálókhoz | I | I | I | I | I |
| Win32 API-hívások letiltása Office-makrókból | I | I | I | I | N |
| Speciális védelem használata zsarolóprogramok ellen | I | I | I | I | I |
Kizárások hozzáadásakor tartsa szem előtt az alábbi szempontokat:
A kizárási útvonalak környezeti változókat és helyettesítő karaktereket használhatnak. További információ: Helyettesítő karakterek használata a fájlnévben és a mappa elérési útjában vagy a bővítménykizárási listákban.
Tipp
Ne használjon felhasználói környezeti változókat helyettesítő karakterként a mappa- és folyamatkizárásokban. Csak a következő típusú környezeti változókat használja helyettesítő karakterként:
- Rendszerkörnyezeti változók.
- Környezeti változók, amelyek az NT AUTHORITY\SYSTEM fiókként futó folyamatokra vonatkoznak.
A rendszerkörnyezet változóinak listáját lásd: Rendszerkörnyezeti változók.
- A helyettesítő karakterek nem definiálhatnak meghajtóbetűjelet.
- Ha több mappát szeretne kizárni egy elérési útból, több példány
\*\használatával jelöljön több egymásba ágyazott mappát. Használja például ac:\Folder\*\*\Testcímet. - Microsoft Configuration Manager támogatja a helyettesítő karaktereket (
*vagy?). - Ha véletlenszerű karaktereket tartalmazó fájlt szeretne kizárni (például automatizált fájllétrehozásból), használjon
?szimbólumot. Használja például aC:\Folder\fileversion?.docxcímet.
A kizárások csak az alkalmazás vagy szolgáltatás indításakor érvényesek. Ha például hozzáad egy kizárást egy már futó frissítési szolgáltatáshoz, a frissítési szolgáltatás mindaddig aktiválja az ASR-szabályok észlelését, amíg újra nem indítja a szolgáltatást.
Szabályzatütközések az ASR-szabályokban
Ha ugyanahhoz az eszközhöz két különböző ASR-szabályszabályzat van hozzárendelve, lehetséges ütközések fordulhatnak elő a következő elemek alapján:
- Azt határozza meg, hogy ugyanazok az ASR-szabályok különböző módokon legyenek-e hozzárendelve.
- Hogy az ütközéskezelés működik-e.
- Azt jelzi, hogy az eredmény hiba-e.
A nem szomszédos ASR-szabályok nem eredményeznek hibákat. Az első szabály lesz alkalmazva, a későbbi nem megfelelő szabályok pedig egyesülnek a szabályzattal.
Ha egy mobileszköz-kezelési (MDM-) megoldás és Csoportházirend eltérő ASR-szabálybeállításokat alkalmaz ugyanarra az eszközre, a Csoportházirend beállításai elsőbbséget élveznek.
Az ASR-szabálybeállítási ütközések Microsoft Intune elérhető üzembehelyezési módszereivel kapcsolatos további információkért lásd: Az Intune által felügyelt eszközök.
ASR-szabályokkal kapcsolatos értesítések és riasztások
Ha egy eszköz letiltási vagy figyelmeztetési módban aktivál egy ASR-szabályt, egy értesítés jelenik meg az eszközön. Az értesítésekben szereplő információkat testreszabhatja. További információt a Kapcsolattartási adatok testreszabása a Windows biztonság-ben című témakörben talál.
A Végponthoz készült Defenderben a végpontészlelés és -válasz (EDR) riasztásai a támogatott ASR-szabályok aktiválásakor jönnek létre.
Az értesítési és riasztási funkciókkal kapcsolatos részletes információkért lásd: AsR-szabályműveletek riasztásai és értesítései.
Az ASR riasztási tevékenységének megtekintéséhez a Microsoft Defender portálon és a Windows eseménymegtekintő rendszerű eszközökön lásd: Támadásifelület-csökkentési (ASR) szabálytevékenység figyelése.
ASR-szabálytevékenység figyelése
További információ: Támadásifelület-csökkentési (ASR) szabálytevékenység figyelése.
Kapcsolódó tartalom
- Támadásifelület-csökkentési (ASR) szabályok üzembe helyezési útmutatója
- A támadásifelület-csökkentési (ASR) szabályok üzembe helyezésének megtervezése
- A támadásifelület-csökkentési (ASR) szabályok üzembe helyezésének tesztelése
- Támadásifelület-csökkentési (ASR) szabályok engedélyezése
- A támadásifelület-csökkentési (ASR) szabályok üzembe helyezésének kezelése és monitorozása
- Támadásifelület-csökkentési (ASR) szabálytevékenység figyelése
- Támadásifelület-csökkentési (ASR) szabályok jelentése
- A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai