Megosztás a következőn keresztül:


Támadásifelület-csökkentési szabályok referenciája

Érintett szolgáltatás:

Platformok:

  • A Windows

Ez a cikk Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályokról (ASR-szabályokról) nyújt tájékoztatást:

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Tipp

A cikk kísérőjeként tekintse meg Végponthoz készült Microsoft Defender beállítási útmutatónkat az ajánlott eljárások áttekintéséhez és az olyan alapvető eszközök megismeréséhez, mint a támadási felület csökkentése és a következő generációs védelem. A környezeten alapuló testreszabott élmény érdekében a Végponthoz készült Defender automatikus beállítási útmutatóját a Microsoft 365 Felügyeleti központ érheti el.

Támadásifelület-csökkentési szabályok típus szerint

A támadásifelület-csökkentési szabályok kétféle kategóriába sorolhatók:

  • Standard védelmi szabályok: A Microsoft által ajánlott minimális szabálykészlet mindig engedélyezve van a többi ASR-szabály hatásának és konfigurációs igényeinek kiértékelése közben. Ezek a szabályok általában minimálistól egyáltalán nem észrevehető hatással vannak a végfelhasználóra.

  • Egyéb szabályok: A dokumentált üzembehelyezési lépések követését igénylő szabályok [Plan > Test (audit) > Enable (block/warn modes)], a Támadásifelület-csökkentési szabályok üzembehelyezési útmutatójában leírtak szerint.

A szabványos védelmi szabályok engedélyezésének legegyszerűbb módja: Egyszerűsített szabványos védelmi lehetőség.

ASR-szabály neve: Standard védelmi szabály? Egyéb szabály?
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása Igen
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben Igen
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása Igen
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása Igen
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából Igen
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek Igen
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása Igen
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában Igen
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása Igen
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba Igen
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása Igen
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül Igen
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása Igen
A gép csökkentett módban történő újraindításának letiltása Igen
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása Igen
Másolt vagy megszemélyesített rendszereszközök használatának letiltása Igen
Webshell-létrehozás letiltása kiszolgálókhoz Igen
Win32 API-hívások letiltása Office-makrókból Igen
Speciális védelem használata zsarolóprogramok ellen Igen

Microsoft Defender víruskereső kizárásai és ASR-szabályai

Microsoft Defender víruskereső kizárása bizonyos Végponthoz készült Microsoft Defender képességekre, például a támadásifelület-csökkentési szabályokra vonatkozik.

A következő ASR-szabályok NEM tartják tiszteletben Microsoft Defender víruskereső kivételeit:

ASR-szabályok neve:
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása

Megjegyzés:

A szabályonkénti kizárások konfigurálásáról a támadásifelület-csökkentési szabályok tesztelése című cikk ASR-szabályok szabályonkénti kizárásainak konfigurálása című szakaszában olvashat.

ASR-szabályok és a Végponthoz készült Defender biztonsági rések mutatói (IOC)

A következő ASR-szabályok nem tartják tiszteletben Végponthoz készült Microsoft Defender biztonsági rések mutatóit (IOC):

ASR-szabály neve Leírás
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket.
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket.
Win32 API-hívások letiltása Office-makrókból Nem tartja tiszteletben a tanúsítványok biztonsági sérülésére utaló jeleket.

ASR-szabályok által támogatott operációs rendszerek

Az alábbi táblázat a jelenleg általánosan elérhető szabályok támogatott operációs rendszereit sorolja fel. A szabályok betűrendben vannak felsorolva ebben a táblázatban.

Megjegyzés:

Ha másként nem jelezzük, a minimális Windows 10 build a 1709-es verzió (RS3, 16299-es build) vagy újabb; a minimális Windows Server build az 1809-es vagy újabb verzió. A támadásifelület-csökkentési szabályok Windows Server 2012 R2-ben és Windows Server 2016 érhetők el a modern egységes megoldáscsomag használatával előkészített eszközökhöz. További információ: Új Windows Server 2012 R2 és 2016 funkciók a modern egységes megoldásban.

Szabály neve Windows 10 és 11 Windows Server 1803-es, 2019-es és újabb verzió Windows Server 2016 és 2012 R2
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása I I
1803-es verzió (féléves nagyvállalati csatorna) vagy újabb
I
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben I
1809-es vagy újabb verzió
I I
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása I I I
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása I
1803-es vagy újabb verzió
I I
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából I I I
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek I
1803-es vagy újabb verzió
I I
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása I I I
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában I I N
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása I I I
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba I I I
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása I I I
Adatmegőrzés letiltása a Windows Management Instrumentation (WMI) esemény-előfizetésen keresztül I
1903-es (18362-es build) vagy újabb verzió
I
1903-es (18362-es build) vagy újabb verzió
N
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása I
1803-es vagy újabb verzió
I I
A gép csökkentett módban történő újraindításának letiltása I I I
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása I I I
Másolt vagy megszemélyesített rendszereszközök használatának letiltása I I I
Webshell-létrehozás letiltása kiszolgálókhoz N I
Csak Exchange-szerepkör
Y a Windows Server 2016
Csak Exchange-szerepkör
N az Windows Server 2012 R2-n
Win32 API-hívások letiltása Office-makrókból I N N
Speciális védelem használata zsarolóprogramok ellen I
1803-es vagy újabb verzió
I I

Megjegyzés:

  • Az R2 és Windows Server 2016 Windows Server 2012 lásd: Windows Server 2016 és Windows Server 2012 R2 előkészítése.
  • Ha Configuration Manager használ, a Microsoft Endpoint Configuration Manager minimálisan szükséges verziója a 2111-es verzió.
  • Windows-ügyféleszközök esetén a "1809-es vagy újabb verzió" és az "1903-es verzió (18362-es build)" csak Windows 10 érvényes.

ASR-szabályok által támogatott konfigurációkezelő rendszerek

Az ebben a táblázatban hivatkozott konfigurációkezelési rendszerverziókkal kapcsolatos információkra mutató hivatkozások a táblázat alatt találhatók.

Szabály neve Microsoft Intune Microsoft Endpoint Configuration Manager Csoportházirend[1] PowerShell[1]
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása I I I
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben I I I
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása I I

CB 1710
I I
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása I I

CB 1802
I I
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából I I

CB 1710
I
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek I I

CB 1802
I I
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása I I

CB 1710
I I
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában I I

CB 1710
I I
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása I I

CB 1710
I I
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba I I

CB 1710
I I
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása I I

CB 1710
I I
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül I I I
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása I I I
A gép csökkentett módban történő újraindításának letiltása I I I
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása I I

CB 1802
I I
Másolt vagy megszemélyesített rendszereszközök használatának letiltása I I I
Webshell-létrehozás letiltása kiszolgálókhoz I I I
Win32 API-hívások letiltása Office-makrókból I I

CB 1710
I I
Speciális védelem használata zsarolóprogramok ellen I I

CB 1802
I I

(1) A támadásifelület-csökkentési szabályokat szabályonként konfigurálhatja bármely szabály GUID azonosítójának használatával.

ASR-szabályonkénti riasztás és értesítés részletei

A bejelentési értesítések a Blokkolás módban lévő összes szabályhoz létre lesznek hozva. A más módban lévő szabályok nem hoznak létre bejelentési értesítéseket.

A megadott "Szabályállapot" értékkel rendelkező szabályok esetén:

  • Az ASR-szabályok kombinációkkal \ASR Rule, Rule State\ jelennek meg riasztások (bejelentési értesítések) Végponthoz készült Microsoft Defender csak a felhőblokk szintjén Highbeállított eszközök esetében.
  • A felhőblokk szintjén High nem beállított eszközök nem hoznak létre riasztásokat a ASR Rule, Rule State kombinációkhoz.
  • Az EDR-riasztások a megadott állapotokban lévő ASR-szabályokhoz jönnek létre a felhőblokk szintjén High+beállított eszközök esetében.
  • A bejelentési értesítések csak blokk módban és a felhőblokk szintjén Highbeállított eszközök esetében fordulnak elő.
Szabály neve Szabály állapota EDR-riasztások Bejelentési értesítések
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása N I
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben Letiltás I I
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása N I
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása N N
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából I I
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek N I
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása Naplózás vagy letiltás Y (blokk módban)
N (naplózási módban)
Y (blokk módban)
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában Letiltás I I
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása N I
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba N I
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása N I
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül Naplózás vagy letiltás Y (blokk módban)
N (naplózási módban)
Y (blokk módban)
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása N I
A gép csökkentett módban történő újraindításának letiltása N N
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása Naplózás vagy letiltás Y (blokk módban)
N (naplózási módban)
Y (blokk módban)
Másolt vagy megszemélyesített rendszereszközök használatának letiltása N N
Webshell-létrehozás letiltása kiszolgálókhoz N N
Win32 API-hívások letiltása Office-makrókból N I
Speciális védelem használata zsarolóprogramok ellen Naplózás vagy letiltás Y (blokk módban)
N (naplózási módban)
Y (blokk módban)

ASR-szabály –GUID mátrix

Szabály neve Szabály GUID azonosítója
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása 56a863a9-875e-4185-98a7-b882c64b5ce5
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása d4f940ab-401b-4efc-aadc-ad5f3c50688a
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek 01443614-cd74-433a-b99e-2ecdc07bfc25
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása 5beb7efe-fd9a-4556-801d-275e5ffc04cc
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában d3e037e1-3eb8-44c8-a917-57927947596d
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása 3b576869-a4ec-4529-8536-b80a7769e899
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása 26190899-1602-49e8-8b27-eb1d0a1ce869
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
* A fájl- és mappakizárások nem támogatottak.
e6db77e5-3df2-4cf1-b95a-636979351e5b
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása d1e49aac-8f56-4280-b9ba-993a6d77406c
A gép csökkentett módban történő újraindításának letiltása 33ddedf1-c6e0-47cb-833e-de6133960387
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Másolt vagy megszemélyesített rendszereszközök használatának letiltása c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Webshell-létrehozás letiltása kiszolgálókhoz a8f5898e-1dc8-49a9-9878-85004b8a61e6
Win32 API-hívások letiltása Office-makrókból 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Speciális védelem használata zsarolóprogramok ellen c1db55ab-c21a-4637-bb3f-a12568109d35

ASR-szabálymódok

  • Nincs konfigurálva vagy Letiltva: Az az állapot, amelyben az ASR-szabály nincs engedélyezve vagy le van tiltva. Az állapot kódja = 0.

  • Blokk: Az az állapot, amelyben az ASR-szabály engedélyezve van. Ennek az állapotnak a kódja 1.

  • Naplózás: Az az állapot, amelyben a rendszer kiértékeli az ASR-szabályt, hogy milyen hatással lenne a szervezetre vagy a környezetre, ha engedélyezve van (letiltás vagy figyelmeztetés). Ennek az állapotnak a kódja 2.

  • Figyelmeztetés: Az az állapot, amelyben az ASR-szabály engedélyezve van, és értesítést jelenít meg a végfelhasználónak, de engedélyezi a végfelhasználó számára a blokk megkerülését. Ennek az állapotnak a kódja 6.

    A Figyelmeztetés mód egy blokkmódú típus, amely figyelmezteti a felhasználókat a potenciálisan kockázatos műveletekre. A felhasználók dönthetnek úgy, hogy kihagyják a letiltás figyelmeztető üzenetét, és engedélyezik a mögöttes műveletet. A felhasználók az OK gombot választva kényszeríthetik ki a blokkot, vagy a letiltáskor létrehozott, végfelhasználói előugró bejelentési értesítésen keresztül választhatják ki a megkerülési lehetőséget – Feloldás – lehetőséget. A figyelmeztetés blokkolásának feloldása után a művelet a figyelmeztető üzenet következő előfordulásáig engedélyezett, ekkor a végfelhasználónak újra kell majd elvégeznie a műveletet.

    Amikor az engedélyezés gombra kattint, a blokk 24 órán keresztül el lesz tiltva. 24 óra elteltével a végfelhasználónak újra engedélyeznie kell a blokkot. Az ASR-szabályok figyelmeztetési módja csak RS5+ (1809+) eszközökön támogatott. Ha a megkerülés asr-szabályokhoz van rendelve a régebbi verziójú eszközökön, a szabály letiltott módban van.

    Riasztási módban is beállíthat szabályt a PowerShell-lel, ha a AttackSurfaceReductionRules_Actions "Figyelmeztetés" értéket adja meg. Például:

    Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
    

Szabályonkénti leírások

A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása

Megjegyzés:

A környezet sebezhető illesztőprogramokkal szembeni védelme érdekében először ezeket kell implementálnia: Windows 10 vagy újabb, Windows Server 2016 vagy újabb verzió esetén a Microsoft App Control for Business használatával alapértelmezés szerint tiltsa le az összes illesztőprogramot, és csak azokat az illesztőprogramokat engedélyezze, amelyeket szükségesnek tart, és amelyekről nem tud, hogy sebezhetőek. A Windows 8.1 vagy régebbi, Windows Server 2012 R2 vagy régebbi verziók esetén a Microsoft AppLocker használatával alapértelmezés szerint minden illesztőprogramot blokkolnia kell, és csak azokat az illesztőprogramokat engedélyezze, amelyeket szükségesnek tart, és amelyekről nem tud, hogy sebezhetők. Windows 11 vagy újabb, valamint Windows Server core 1809-es vagy újabb, illetve Windows Server 2019-es vagy újabb verzió esetén engedélyeznie kell a Microsoft Windows sebezhető illesztőprogram-tiltólistát is, majd egy másik védelmi rétegként engedélyeznie kell ezt a támadásifelület-csökkentési szabályt.

Ez a szabály megakadályozza, hogy egy alkalmazás sebezhető aláírt illesztőprogramot írjon a lemezre. A vadon élő, sebezhető aláírt illesztőprogramokat a helyi alkalmazások – amelyek megfelelő jogosultságokkal rendelkeznek – kihasználhatják a kernelhez való hozzáféréshez. A sebezhető aláírt illesztőprogramok lehetővé teszik a támadók számára a biztonsági megoldások letiltását vagy megkerülését, ami végül a rendszer sérüléséhez vezet.

A kihasznált sebezhető aláírt illesztőprogramokkal való visszaélés megakadályozása szabály nem akadályozza meg a rendszeren már meglévő illesztőprogramok betöltését.

Megjegyzés:

Ezt a szabályt Intune OMA-URI használatával konfigurálhatja. Az egyéni szabályok konfigurálásához lásd: Intune OMA-URI. Ezt a szabályt a PowerShell használatával is konfigurálhatja. Ha meg szeretne vizsgálni egy illesztőprogramot, ezen a webhelyen elküldhet egy illesztőprogramot elemzésre.

Intune neve:Block abuse of exploited vulnerable signed drivers

Configuration Manager neve: Még nem érhető el

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Speciális veszélyforrás-keresési művelet típusa:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben

Ez a szabály megakadályozza a támadásokat azáltal, hogy blokkolja az Adobe Readert a folyamatok létrehozásában.

A kártevők hasznos adatokat tölthetnek le és indíthatnak el, és közösségi tervezéssel vagy biztonsági résekkel törhetnek ki az Adobe Readerből. Az Adobe Reader által generált gyermekfolyamatok blokkolásával az Adobe Readert támadási vektorként használó kártevők nem terjednek.

Intune neve:Process creation from Adobe Reader (beta)

Configuration Manager neve: Még nem érhető el

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Speciális veszélyforrás-keresési művelet típusa:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása

Ez a szabály megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat hozzanak létre. Az Office-alkalmazások közé tartozik a Word, az Excel, a PowerPoint, a OneNote és az Access.

A rosszindulatú gyermekfolyamatok létrehozása gyakori kártevőkezelési stratégia. Az Office-t vektorként visszaélő kártevők gyakran futtatnak VBA-makrókat, és kihasználják a kódot a további hasznos adatok letöltéséhez és futtatásához. Egyes megbízható üzletági alkalmazások azonban jóindulatú célokból gyermekfolyamatokat is létrehozhatnak; például parancssort hoz létre, vagy a PowerShell használatával konfigurálja a beállításjegyzék beállításait.

Intune neve:Office apps launching child processes

Configuration Manager neve:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása

Megjegyzés:

Ha az LSA-védelem engedélyezve van, ez a támadásifelület-csökkentési szabály nem szükséges. A biztonságosabb testtartás érdekében javasoljuk a Credential Guard LSA-védelemmel való engedélyezését is.

Ha az LSA-védelem engedélyezve van, az ASR-szabály nem alkalmazhatóként van besorolva a Végponthoz készült Defender felügyeleti beállításai között a Microsoft Defender portálon.

Ez a szabály a helyi biztonsági hatóság alrendszerszolgáltatásának (LSASS) zárolásával segít megelőzni a hitelesítő adatok ellopását.

Az LSASS hitelesíti a Windows rendszerű számítógépen bejelentkező felhasználókat. Microsoft Defender Credential Guard a Windowsban általában megakadályozza a hitelesítő adatok LSASS-ből való kinyerésére tett kísérleteket. Egyes szervezetek nem tudják engedélyezni a Credential Guardot az összes számítógépükön, mert kompatibilitási problémák léptek fel az egyéni intelligenskártya-illesztőprogramokkal vagy más, a Helyi biztonsági hatóságba (LSA) betöltött programokkal. Ezekben az esetekben a támadók a Mimikatzhoz hasonló eszközökkel kérnek le egyértelmű szöveges jelszavakat és NTLM-kivonatokat az LSASS-ből.

Alapértelmezés szerint ennek a szabálynak az állapota blokkra van állítva. A legtöbb esetben számos folyamat hívja meg az LSASS-t a nem szükséges hozzáférési jogokért. Például ha az ASR-szabály kezdeti blokkja egy későbbi, kisebb jogosultságra vonatkozó hívást eredményez, amely ezután sikeres lesz. Az LSASS-hez intézett folyamathívások során általában kért jogtípusokkal kapcsolatos információkért lásd: Folyamatbiztonsági és hozzáférési jogok.

A szabály engedélyezése nem nyújt további védelmet, ha az LSA-védelem engedélyezve van, mivel az ASR-szabály és az LSA-védelem hasonló módon működik. Ha azonban az LSA-védelem nem engedélyezhető, ez a szabály konfigurálható úgy, hogy egyenértékű védelmet nyújtson a célként szolgáló lsass.exekártevők ellen.

Tipp

  1. Az ASR naplózási eseményei nem hoznak létre bejelentési értesítéseket. Mivel azonban az LSASS ASR-szabály nagy mennyiségű naplózási eseményt hoz létre, amelyek szinte mindegyike figyelmen kívül hagyható, ha a szabály blokk módban van engedélyezve, kihagyhatja a naplózási mód kiértékelését, és folytathatja a blokk mód üzembe helyezését, kezdve egy kis eszközkészlettel, és fokozatosan bővül a többire.
  2. A szabály úgy lett kialakítva, hogy letiltsa a blokkjelentéseket/bejelentéseket a barátságos folyamatokhoz. Úgy is tervezték, hogy elvetje a duplikált blokkok jelentéseit. Ezért a szabály kiválóan alkalmas blokk módban való engedélyezésre, függetlenül attól, hogy a bejelentési értesítések engedélyezve vannak-e vagy le vannak tiltva.
  3. Az ASR figyelmeztetési módban úgy lett kialakítva, hogy a felhasználók számára egy tiltó bejelentési értesítést jelenítsen meg, amely tartalmazza a "Tiltás feloldása" gombot. Az LSASS ASR-blokkok "nyugodtan figyelmen kívül hagyható" jellege és nagy mennyisége miatt a WARN mód nem ajánlott ehhez a szabályhoz (függetlenül attól, hogy a bejelentési értesítések engedélyezve vannak-e vagy le vannak tiltva).
  4. Ez a szabály úgy lett kialakítva, hogy megakadályozza, hogy a folyamatok hozzáférjenek LSASS.EXE folyamatmemóriához. Ez nem akadályozza meg őket a futtatásban. Ha olyan folyamatokat lát, mint a svchost.exe, az csak az LSASS-folyamatmemória elérését blokkolja. Így a svchost.exe és más folyamatok nyugodtan figyelmen kívül hagyhatók. Az egyetlen kivétel az alábbi ismert problémák egyike.

Megjegyzés:

Ebben a forgatókönyvben az ASR-szabály "nem alkalmazható" besorolású a Végponthoz készült Defender beállításai között a Microsoft Defender portálon.

A Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopása – ASR-szabály nem támogatja a figyelmeztetési módot.

Egyes alkalmazásokban a kód felsorolja az összes futó folyamatot, és megkísérli őket teljes körű engedélyekkel megnyitni. Ez a szabály letiltja az alkalmazás folyamatmegnyitási műveletét, és naplózza a részleteket a biztonsági eseménynaplóba. Ez a szabály számos zajt okozhat. Ha olyan alkalmazása van, amely egyszerűen számba vegye az LSASS-t, de nincs tényleges hatása a funkciókra, akkor nem kell hozzáadnia a kizárási listához. Ez az eseménynapló-bejegyzés önmagában nem feltétlenül jelent kártékony fenyegetést. Intune neve:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager neve:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Speciális veszélyforrás-keresési művelet típusa:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Függőségek: Microsoft Defender víruskereső

Ismert problémák: Ezek az alkalmazások és a "Hitelesítő adatok windowsos helyi biztonsági hatóság alrendszeréből való ellopásának letiltása" szabály nem kompatibilisek:

Alkalmazás neve További információ
Quest Dirsync Password Sync A Dirsync jelszó-szinkronizálás nem működik a Windows Defender telepítésekor, hiba: "A VirtualAllocEx nem sikerült: 5" (4253914)

Technikai támogatásért forduljon a szoftver gyártójához.

Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából

Ez a szabály megakadályozza, hogy a Microsoft Outlook alkalmazásban megnyitott e-mailek, illetve Outlook.com és más népszerű webposta-szolgáltatók propagálják a következő fájltípusokat:

  • Végrehajtható fájlok (például .exe, .dll vagy .scr)

  • Szkriptfájlok (például PowerShell.ps1, Visual Basic .vbs vagy JavaScript .js fájl)

  • Archívum fájlok (például .zip és mások)

Intune neve:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager neve:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Speciális veszélyforrás-keresési művelet típusa:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Függőségek: Microsoft Defender víruskereső

Megjegyzés:

A Végrehajtható tartalom letiltása levelezőügyfélről és webpostáról szabály a következő alternatív leírásokat tartalmazza attól függően, hogy melyik alkalmazást használja:

  • Intune (konfigurációs profilok): Az e-mailből elvetett végrehajtható tartalmak (exe, dll, ps, js, vbs stb.) végrehajtása (nincs kivétel).
  • Configuration Manager: Végrehajtható tartalom letöltésének letiltása e-mail- és webposta-ügyfelekről.
  • Csoportházirend: E-mail ügyfélprogram és webposta végrehajtható tartalmainak letiltása.

A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek

Ez a szabály letiltja a végrehajtható fájlokat( például .exe, .dll vagy .scr) az indítástól. Így a nem megbízható vagy ismeretlen végrehajtható fájlok indítása kockázatos lehet, mivel előfordulhat, hogy kezdetben nem egyértelmű, ha a fájlok rosszindulatúak.

Fontos

A szabály használatához engedélyeznie kell a felhőben biztosított védelmet . A Végrehajtható fájlok futtatásának letiltása szabály, hacsak nem felelnek meg egy elterjedtségi, kor- vagy megbízható listára vonatkozó feltételnek a GUID azonosítóval 01443614-cd74-433a-b99e-2ecdc07bfc25 , a Microsoft tulajdonában van, és nem a rendszergazdák írják elő. Ez a szabály a felhőben biztosított védelmet használja a megbízható listájának rendszeres frissítéséhez. Megadhatja az egyes fájlokat vagy mappákat (mappaútvonalak vagy teljes erőforrásnevek használatával), de nem adhatja meg, hogy mely szabályokra vagy kizárásokra vonatkozzanak.

Intune neve:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager neve:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Speciális veszélyforrás-keresési művelet típusa:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Függőségek: Microsoft Defender Víruskereső, Cloud Protection

A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása

Ez a szabály gyanús tulajdonságokat észlel egy rejtjelezett szkriptben.

Megjegyzés:

A PowerShell-szkriptek mostantól támogatottak a "Vélhetően rejtjelezett szkriptek végrehajtásának blokkolása" szabály esetében.

Fontos

A szabály használatához engedélyeznie kell a felhőben biztosított védelmet.

A parancsfájlok elfedése gyakori technika, amelyet a kártevő-szerzők és a jogos alkalmazások is használnak a szellemi tulajdon elrejtésére vagy a szkript betöltési idejének csökkentésére. A kártevő-szerzők a rejtjelek használatával is megnehezítik a rosszindulatú kódok olvasását, ami akadályozza az emberek és a biztonsági szoftverek alapos vizsgálatát.

Intune neve:Obfuscated js/vbs/ps/macro code

Configuration Manager neve:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Speciális veszélyforrás-keresési művelet típusa:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Függőségek: Microsoft Defender víruskereső, kártevőirtó vizsgálati felület (AMSI), Felhővédelem

A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában

Ez a szabály megakadályozza, hogy a szkriptek rosszindulatúan letöltött tartalmakat indítsanak el. A JavaScriptben vagy VBScriptben írt kártevők gyakran letöltőként működnek, és más kártevőket is lekérnek és elindítanak az internetről. Bár nem gyakori, az üzletági alkalmazások néha szkriptekkel töltik le és indítják el a telepítőket.

Intune neve:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager neve:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Speciális veszélyforrás-keresési művelet típusa:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Függőségek: Microsoft Defender víruskereső, AMSI

Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása

Ez a szabály megakadályozza, hogy az Office-alkalmazások, köztük a Word, az Excel és a PowerPoint potenciálisan rosszindulatú végrehajtható tartalmakat hozzanak létre, mivel megakadályozzák a rosszindulatú kódok lemezre írását. Az Office-t vektorként visszaélő kártevők megpróbálhatnak kitörni az Office-ból, és a kártékony összetevőket lemezre menthetik. Ezek a rosszindulatú összetevők túlélik a számítógép újraindítását, és megmaradnak a rendszeren. Ezért ez a szabály védelmet nyújt egy közös adatmegőrzési technikával szemben. Ez a szabály az Office-fájlokban futtatható Office-makrók által esetleg mentett nem megbízható fájlok végrehajtását is letiltja.

Intune neve:Office apps/macros creating executable content

Configuration Manager neve:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Speciális veszélyforrás-keresési művelet típusa:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Függőségek: Microsoft Defender víruskereső, RPC

Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba

Ez a szabály letiltja az Office-alkalmazásokból más folyamatokba történő kódinjektálási kísérleteket.

Megjegyzés:

A Block applications from injeking code into other processes ASR szabály nem támogatja a WARN módot.

Fontos

Ehhez a szabályhoz újra kell indítani Microsoft 365-alkalmazások (Office-alkalmazások) a konfigurációs módosítások érvénybe léptetéséhez.

Előfordulhat, hogy a támadók az Office-alkalmazásokkal próbálják áttelepíteni a kártékony kódot más folyamatokba kódinjektálás útján, hogy a kód tiszta folyamatként álcázható legyen. A kódinjektálásnak nincsenek ismert törvényes üzleti céljai.

Ez a szabály a Word, az Excel, a OneNote és a PowerPoint alkalmazásra vonatkozik.

Intune neve:Office apps injecting code into other processes (no exceptions)

Configuration Manager neve:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Függőségek: Microsoft Defender víruskereső

Ismert problémák: Ezek az alkalmazások és a "Kód más folyamatokba való beszúrásának letiltása az Office-alkalmazásokban" szabály nem kompatibilisek:

Alkalmazás neve További információ
Avecto (BeyondTrust) Privilege Guard 2024. szeptember (platform: 4.18.24090.11 | Motor 1.1.24090.11).
Heimdal biztonsági n/a

Technikai támogatásért forduljon a szoftver gyártójához.

Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása

Ez a szabály megakadályozza, hogy az Outlook gyermekfolyamatokat hozzon létre, miközben továbbra is engedélyezi a megbízható Outlook-függvényeket. Ez a szabály védelmet nyújt a szociális mérnöki támadások ellen, és megakadályozza, hogy a kód kihasználása az Outlook biztonsági réseit kihasználja. Emellett védelmet nyújt az Outlook-szabályokkal és -űrlapokkal szemben, amelyeket a támadók a felhasználó hitelesítő adatainak feltörésekor használhatnak.

Megjegyzés:

Ez a szabály letiltja a DLP-házirendtippeket és az elemleírásokat az Outlookban. Ez a szabály csak az Outlookra és Outlook.com vonatkozik.

Intune neve:Process creation from Office communication products (beta)

Configuration Manager neve: Nem érhető el

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül

Ez a szabály megakadályozza, hogy a kártevők visszaéljenek a WMI-vel az eszközön való megőrzés érdekében.

A fájl nélküli fenyegetések különböző taktikákat alkalmaznak, hogy rejtve maradjanak, hogy ne legyenek láthatók a fájlrendszerben, és rendszeres végrehajtás-vezérlést szerezzenek. Egyes fenyegetések visszaélhetnek a WMI-adattárral és az eseménymodellel, hogy rejtve maradjanak.

Megjegyzés:

Ha CcmExec.exe(SCCM Agent) Configuration Manager (CM, korábbi nevén MEMCM vagy SCCM) használja, javasoljuk, hogy legalább 60 napig futtassa naplózási módban. Ha készen áll arra, hogy blokk módra váltson, győződjön meg arról, hogy a megfelelő ASR-szabályokat helyezi üzembe, figyelembe véve a szükséges szabálykizárásokat.

Intune neve:Persistence through WMI event subscription

Configuration Manager neve: Nem érhető el

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Speciális veszélyforrás-keresési művelet típusa:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Függőségek: Microsoft Defender víruskereső, RPC

PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása

Ez a szabály letiltja a PsExec és a WMI használatával létrehozott folyamatokat. A PsExec és a WMI is képes távolról végrehajtani a kódot. Fennáll annak a kockázata, hogy a kártevők visszaélnek a PsExec és a WMI funkcióival parancs- és ellenőrzési célokból, vagy egy fertőzést terjesztenek a szervezet hálózatán.

Figyelmeztetés

Csak akkor használja ezt a szabályt, ha az eszközöket Intune vagy más MDM-megoldással kezeli. Ez a szabály nem kompatibilis a Microsoft Endpoint Configuration Manager-on keresztüli felügyelettel, mivel ez a szabály letiltja a CONFIGURATION MANAGER-ügyfél által a megfelelő működéshez használt WMI-parancsokat.

Intune neve:Process creation from PSExec and WMI commands

Configuration Manager neve: Nem alkalmazható

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Speciális veszélyforrás-keresési művelet típusa:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

A gép csökkentett módban történő újraindításának letiltása

Ez a szabály megakadályozza a gépek csökkentett módban történő újraindítására vonatkozó parancsok végrehajtását. A csökkentett mód egy diagnosztikai mód, amely csak a Windows futtatásához szükséges alapvető fájlokat és illesztőprogramokat tölti be. Csökkentett módban azonban számos biztonsági termék le van tiltva, vagy korlátozott kapacitással működik, ami lehetővé teszi a támadók számára, hogy további illetéktelen módosítási parancsokat indítsanak el, vagy végrehajtsa és titkosítsa a gépen található összes fájlt. Ez a szabály blokkolja az ilyen támadásokat, mert megakadályozza, hogy a folyamatok csökkentett módban újraindítják a gépeket.

Intune neve: Block rebooting machine in Safe Mode

Configuration Manager neve: Még nem érhető el

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Speciális veszélyforrás-keresési művelet típusa:

  • AsrSafeModeRebootedAudited
  • AsrSafeModeRebootBlocked
  • AsrSafeModeRebootWarnBypassed

Függőségek: Microsoft Defender víruskereső

USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása

Ezzel a szabállyal a rendszergazdák megakadályozhatják az aláíratlan vagy nem megbízható végrehajtható fájlok futtatását USB cserélhető meghajtókról, beleértve az SD-kártyákat is. A letiltott fájltípusok végrehajtható fájlokat (például .exe, .dll vagy .scr) tartalmaznak

Fontos

Ez a szabály blokkolja az USB-meghajtóról a lemezmeghajtóra másolt fájlokat, ha és amikor a lemezmeghajtón végre szeretné hajtani.

Intune neve:Untrusted and unsigned processes that run from USB

Configuration Manager neve:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Speciális veszélyforrás-keresési művelet típusa:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Függőségek: Microsoft Defender víruskereső

Másolt vagy megszemélyesített rendszereszközök használatának letiltása

Ez a szabály letiltja a Windows rendszereszközök példányaként azonosított végrehajtható fájlok használatát. Ezek a fájlok az eredeti rendszereszközök duplikált vagy megszemélyesítői. Előfordulhat, hogy egyes rosszindulatú programok megpróbálják másolni vagy megszemélyesíteni a Windows rendszer eszközeit az észlelés elkerülése vagy a jogosultságok megszerzése érdekében. Az ilyen végrehajtható fájlok engedélyezése potenciális támadásokhoz vezethet. Ez a szabály megakadályozza a windowsos gépeken futó rendszereszközök ilyen duplikált példányainak és impostorainak propagálását és végrehajtását.

Intune neve:Block use of copied or impersonated system tools

Configuration Manager neve: Még nem érhető el

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Speciális veszélyforrás-keresési művelet típusa:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Függőségek: Microsoft Defender víruskereső

Webshell-létrehozás letiltása kiszolgálókhoz

Ez a szabály letiltja a webes rendszerhéjszkript létrehozását a Microsoft Server exchange-szerepkörében. A webfelületi szkriptek olyan, kialakított szkriptek, amelyek lehetővé teszik a támadók számára a feltört kiszolgáló vezérlését.

A webes rendszerhéjak tartalmazhatnak olyan funkciókat, mint a rosszindulatú parancsok fogadása és végrehajtása, rosszindulatú fájlok letöltése és végrehajtása, hitelesítő adatok és bizalmas információk ellopása és kiszivárgása, valamint a lehetséges célok azonosítása.

Intune neve:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Függőségek: Microsoft Defender víruskereső

Megjegyzés:

Ha Végponthoz készült Microsoft Defender biztonsági beállítások kezelésével kezeli az ASR-szabályokat, a Kiszolgálók webshell-létrehozásának blokkolása beállítást a Csoportházirend vagy más helyi beállítások szerint kell konfigurálniNot Configured. Ha ez a szabály bármilyen más értékre van állítva (például Enabled vagy Disabled), ütközéseket okozhat, és megakadályozhatja a szabályzat megfelelő alkalmazását a biztonsági beállítások kezelésével.

Win32 API-hívások letiltása Office-makrókból

Ez a szabály megakadályozza, hogy a VBA-makrók Win32 API-kat hívjanak meg. Az Office VBA lehetővé teszi a Win32 API-hívások használatát. A kártevők visszaélhetnek ezzel a képességgel, például meghívhatják a Win32 API-kat, hogy kártékony rendszerhéjkódot indítsanak anélkül , hogy bármit közvetlenül a lemezre írnak. A legtöbb szervezet nem támaszkodik arra, hogy meghívja a Win32 API-kat a mindennapi működésük során, még akkor sem, ha más módon használnak makrókat.

Intune neve:Win32 imports from Office macro code

Configuration Manager neve:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Függőségek: Microsoft Defender víruskereső, AMSI

Speciális védelem használata zsarolóprogramok ellen

Ez a szabály egy további védelmi réteget biztosít a zsarolóprogramok ellen. Ügyfél- és felhőalapú heurisztika használatával határozza meg, hogy egy fájl hasonlít-e a zsarolóprogramra. Ez a szabály nem tiltja le azokat a fájlokat, amelyek az alábbi jellemzők közül legalább egykel rendelkeznek:

  • A fájl nem sértetlen a Microsoft-felhőben.
  • A fájl egy érvényes aláírt fájl.
  • A fájl elég elterjedt ahhoz, hogy ne tekinthető zsarolóprogramnak.

A szabály általában az óvatosság oldalán fordul elő, hogy megakadályozza a zsarolóprogramokat.

Megjegyzés:

A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .

Intune neve:Advanced ransomware protection

Configuration Manager neve:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Speciális veszélyforrás-keresési művelet típusa:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Függőségek: Microsoft Defender Víruskereső, Cloud Protection

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.