Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Érintett szolgáltatás:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
Platformok:
- A Windows
Ez a cikk Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályokról (ASR-szabályokról) nyújt tájékoztatást:
- AZ ASR-szabályok támogatott operációsrendszer-verziói
- ASR-szabályok által támogatott konfigurációkezelő rendszerek
- ASR-szabályonkénti riasztás és értesítés részletei
- ASR-szabály –GUID mátrix
- ASR-szabálymódok
- Szabályonkénti leírások
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Tipp
A cikk kísérőjeként tekintse meg Végponthoz készült Microsoft Defender beállítási útmutatónkat az ajánlott eljárások áttekintéséhez és az olyan alapvető eszközök megismeréséhez, mint a támadási felület csökkentése és a következő generációs védelem. A környezeten alapuló testreszabott élmény érdekében a Végponthoz készült Defender automatikus beállítási útmutatóját a Microsoft 365 Felügyeleti központ érheti el.
Támadásifelület-csökkentési szabályok típus szerint
A támadásifelület-csökkentési szabályok kétféle kategóriába sorolhatók:
Standard védelmi szabályok: A Microsoft által ajánlott minimális szabálykészlet mindig engedélyezve van a többi ASR-szabály hatásának és konfigurációs igényeinek kiértékelése közben. Ezek a szabályok általában minimálistól egyáltalán nem észrevehető hatással vannak a végfelhasználóra.
Egyéb szabályok: A dokumentált üzembehelyezési lépések követését igénylő szabályok [Plan > Test (audit) > Enable (block/warn modes)], a Támadásifelület-csökkentési szabályok üzembehelyezési útmutatójában leírtak szerint.
A szabványos védelmi szabályok engedélyezésének legegyszerűbb módja: Egyszerűsített szabványos védelmi lehetőség.
| ASR-szabály neve: | Standard védelmi szabály? | Egyéb szabály? |
|---|---|---|
| A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása | Igen | |
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | Igen | |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | Igen | |
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | Igen | |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | Igen | |
| A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek | Igen | |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | Igen | |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | Igen | |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | Igen | |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | Igen | |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása | Igen | |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül | Igen | |
| PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása | Igen | |
| A gép csökkentett módban történő újraindításának letiltása | Igen | |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | Igen | |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása | Igen | |
| Webshell-létrehozás letiltása kiszolgálókhoz | Igen | |
| Win32 API-hívások letiltása Office-makrókból | Igen | |
| Speciális védelem használata zsarolóprogramok ellen | Igen |
Microsoft Defender víruskereső kizárásai és ASR-szabályai
Microsoft Defender víruskereső kizárása bizonyos Végponthoz készült Microsoft Defender képességekre, például a támadásifelület-csökkentési szabályokra vonatkozik.
A következő ASR-szabályok NEM tartják tiszteletben Microsoft Defender víruskereső kivételeit:
Megjegyzés:
A szabályonkénti kizárások konfigurálásáról a támadásifelület-csökkentési szabályok tesztelése című cikk ASR-szabályok szabályonkénti kizárásainak konfigurálása című szakaszában olvashat.
ASR-szabályok és a Végponthoz készült Defender biztonsági rések mutatói (IOC)
A következő ASR-szabályok nem tartják tiszteletben Végponthoz készült Microsoft Defender biztonsági rések mutatóit (IOC):
| ASR-szabály neve | Leírás |
|---|---|
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket. |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket. |
| Win32 API-hívások letiltása Office-makrókból | Nem tartja tiszteletben a tanúsítványok biztonsági sérülésére utaló jeleket. |
ASR-szabályok által támogatott operációs rendszerek
Az alábbi táblázat a jelenleg általánosan elérhető szabályok támogatott operációs rendszereit sorolja fel. A szabályok betűrendben vannak felsorolva ebben a táblázatban.
Megjegyzés:
Ha másként nem jelezzük, a minimális Windows 10 build a 1709-es verzió (RS3, 16299-es build) vagy újabb; a minimális Windows Server build az 1809-es vagy újabb verzió. A támadásifelület-csökkentési szabályok Windows Server 2012 R2-ben és Windows Server 2016 érhetők el a modern egységes megoldáscsomag használatával előkészített eszközökhöz. További információ: Új Windows Server 2012 R2 és 2016 funkciók a modern egységes megoldásban.
Megjegyzés:
- Az R2 és Windows Server 2016 Windows Server 2012 lásd: Windows Server 2016 és Windows Server 2012 R2 előkészítése.
- Ha Configuration Manager használ, a Microsoft Endpoint Configuration Manager minimálisan szükséges verziója a 2111-es verzió.
- Windows-ügyféleszközök esetén a "1809-es vagy újabb verzió" és az "1903-es verzió (18362-es build)" csak Windows 10 érvényes.
ASR-szabályok által támogatott konfigurációkezelő rendszerek
Az ebben a táblázatban hivatkozott konfigurációkezelési rendszerverziókkal kapcsolatos információkra mutató hivatkozások a táblázat alatt találhatók.
(1) A támadásifelület-csökkentési szabályokat szabályonként konfigurálhatja bármely szabály GUID azonosítójának használatával.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM most már Microsoft Configuration Manager.
ASR-szabályonkénti riasztás és értesítés részletei
A bejelentési értesítések a Blokkolás módban lévő összes szabályhoz létre lesznek hozva. A más módban lévő szabályok nem hoznak létre bejelentési értesítéseket.
A megadott "Szabályállapot" értékkel rendelkező szabályok esetén:
- Az ASR-szabályok kombinációkkal
\ASR Rule, Rule State\jelennek meg riasztások (bejelentési értesítések) Végponthoz készült Microsoft Defender csak a felhőblokk szintjénHighbeállított eszközök esetében. - A felhőblokk szintjén
Highnem beállított eszközök nem hoznak létre riasztásokat aASR Rule, Rule Statekombinációkhoz. - Az EDR-riasztások a megadott állapotokban lévő ASR-szabályokhoz jönnek létre a felhőblokk szintjén
High+beállított eszközök esetében. - A bejelentési értesítések csak blokk módban és a felhőblokk szintjén
Highbeállított eszközök esetében fordulnak elő.
ASR-szabály –GUID mátrix
| Szabály neve | Szabály GUID azonosítója |
|---|---|
| A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | d3e037e1-3eb8-44c8-a917-57927947596d |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül * A fájl- és mappakizárások nem támogatottak. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| A gép csökkentett módban történő újraindításának letiltása | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Webshell-létrehozás letiltása kiszolgálókhoz | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Win32 API-hívások letiltása Office-makrókból | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Speciális védelem használata zsarolóprogramok ellen | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-szabálymódok
Nincs konfigurálva vagy Letiltva: Az az állapot, amelyben az ASR-szabály nincs engedélyezve vagy le van tiltva. Az állapot kódja = 0.
Blokk: Az az állapot, amelyben az ASR-szabály engedélyezve van. Ennek az állapotnak a kódja 1.
Naplózás: Az az állapot, amelyben a rendszer kiértékeli az ASR-szabályt, hogy milyen hatással lenne a szervezetre vagy a környezetre, ha engedélyezve van (letiltás vagy figyelmeztetés). Ennek az állapotnak a kódja 2.
Figyelmeztetés: Az az állapot, amelyben az ASR-szabály engedélyezve van, és értesítést jelenít meg a végfelhasználónak, de engedélyezi a végfelhasználó számára a blokk megkerülését. Ennek az állapotnak a kódja 6.
A Figyelmeztetés mód egy blokkmódú típus, amely figyelmezteti a felhasználókat a potenciálisan kockázatos műveletekre. A felhasználók dönthetnek úgy, hogy kihagyják a letiltás figyelmeztető üzenetét, és engedélyezik a mögöttes műveletet. A felhasználók az OK gombot választva kényszeríthetik ki a blokkot, vagy a letiltáskor létrehozott, végfelhasználói előugró bejelentési értesítésen keresztül választhatják ki a megkerülési lehetőséget – Feloldás – lehetőséget. A figyelmeztetés blokkolásának feloldása után a művelet a figyelmeztető üzenet következő előfordulásáig engedélyezett, ekkor a végfelhasználónak újra kell majd elvégeznie a műveletet.
Amikor az engedélyezés gombra kattint, a blokk 24 órán keresztül el lesz tiltva. 24 óra elteltével a végfelhasználónak újra engedélyeznie kell a blokkot. Az ASR-szabályok figyelmeztetési módja csak RS5+ (1809+) eszközökön támogatott. Ha a megkerülés asr-szabályokhoz van rendelve a régebbi verziójú eszközökön, a szabály letiltott módban van.
Riasztási módban is beállíthat szabályt a PowerShell-lel, ha a
AttackSurfaceReductionRules_Actions"Figyelmeztetés" értéket adja meg. Például:Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Szabályonkénti leírások
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása
Megjegyzés:
A környezet sebezhető illesztőprogramokkal szembeni védelme érdekében először ezeket kell implementálnia: Windows 10 vagy újabb, Windows Server 2016 vagy újabb verzió esetén a Microsoft App Control for Business használatával alapértelmezés szerint tiltsa le az összes illesztőprogramot, és csak azokat az illesztőprogramokat engedélyezze, amelyeket szükségesnek tart, és amelyekről nem tud, hogy sebezhetőek. A Windows 8.1 vagy régebbi, Windows Server 2012 R2 vagy régebbi verziók esetén a Microsoft AppLocker használatával alapértelmezés szerint minden illesztőprogramot blokkolnia kell, és csak azokat az illesztőprogramokat engedélyezze, amelyeket szükségesnek tart, és amelyekről nem tud, hogy sebezhetők. Windows 11 vagy újabb, valamint Windows Server core 1809-es vagy újabb, illetve Windows Server 2019-es vagy újabb verzió esetén engedélyeznie kell a Microsoft Windows sebezhető illesztőprogram-tiltólistát is, majd egy másik védelmi rétegként engedélyeznie kell ezt a támadásifelület-csökkentési szabályt.
Ez a szabály megakadályozza, hogy egy alkalmazás sebezhető aláírt illesztőprogramot írjon a lemezre. A vadon élő, sebezhető aláírt illesztőprogramokat a helyi alkalmazások – amelyek megfelelő jogosultságokkal rendelkeznek – kihasználhatják a kernelhez való hozzáféréshez. A sebezhető aláírt illesztőprogramok lehetővé teszik a támadók számára a biztonsági megoldások letiltását vagy megkerülését, ami végül a rendszer sérüléséhez vezet.
A kihasznált sebezhető aláírt illesztőprogramokkal való visszaélés megakadályozása szabály nem akadályozza meg a rendszeren már meglévő illesztőprogramok betöltését.
Megjegyzés:
Ezt a szabályt Intune OMA-URI használatával konfigurálhatja. Az egyéni szabályok konfigurálásához lásd: Intune OMA-URI. Ezt a szabályt a PowerShell használatával is konfigurálhatja. Ha meg szeretne vizsgálni egy illesztőprogramot, ezen a webhelyen elküldhet egy illesztőprogramot elemzésre.
Intune neve:Block abuse of exploited vulnerable signed drivers
Configuration Manager neve: Még nem érhető el
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Speciális veszélyforrás-keresési művelet típusa:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben
Ez a szabály megakadályozza a támadásokat azáltal, hogy blokkolja az Adobe Readert a folyamatok létrehozásában.
A kártevők hasznos adatokat tölthetnek le és indíthatnak el, és közösségi tervezéssel vagy biztonsági résekkel törhetnek ki az Adobe Readerből. Az Adobe Reader által generált gyermekfolyamatok blokkolásával az Adobe Readert támadási vektorként használó kártevők nem terjednek.
Intune neve:Process creation from Adobe Reader (beta)
Configuration Manager neve: Még nem érhető el
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Speciális veszélyforrás-keresési művelet típusa:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat hozzanak létre. Az Office-alkalmazások közé tartozik a Word, az Excel, a PowerPoint, a OneNote és az Access.
A rosszindulatú gyermekfolyamatok létrehozása gyakori kártevőkezelési stratégia. Az Office-t vektorként visszaélő kártevők gyakran futtatnak VBA-makrókat, és kihasználják a kódot a további hasznos adatok letöltéséhez és futtatásához. Egyes megbízható üzletági alkalmazások azonban jóindulatú célokból gyermekfolyamatokat is létrehozhatnak; például parancssort hoz létre, vagy a PowerShell használatával konfigurálja a beállításjegyzék beállításait.
Intune neve:Office apps launching child processes
Configuration Manager neve:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása
Megjegyzés:
Ha az LSA-védelem engedélyezve van, ez a támadásifelület-csökkentési szabály nem szükséges. A biztonságosabb testtartás érdekében javasoljuk a Credential Guard LSA-védelemmel való engedélyezését is.
Ha az LSA-védelem engedélyezve van, az ASR-szabály nem alkalmazhatóként van besorolva a Végponthoz készült Defender felügyeleti beállításai között a Microsoft Defender portálon.
Ez a szabály a helyi biztonsági hatóság alrendszerszolgáltatásának (LSASS) zárolásával segít megelőzni a hitelesítő adatok ellopását.
Az LSASS hitelesíti a Windows rendszerű számítógépen bejelentkező felhasználókat. Microsoft Defender Credential Guard a Windowsban általában megakadályozza a hitelesítő adatok LSASS-ből való kinyerésére tett kísérleteket. Egyes szervezetek nem tudják engedélyezni a Credential Guardot az összes számítógépükön, mert kompatibilitási problémák léptek fel az egyéni intelligenskártya-illesztőprogramokkal vagy más, a Helyi biztonsági hatóságba (LSA) betöltött programokkal. Ezekben az esetekben a támadók a Mimikatzhoz hasonló eszközökkel kérnek le egyértelmű szöveges jelszavakat és NTLM-kivonatokat az LSASS-ből.
Alapértelmezés szerint ennek a szabálynak az állapota blokkra van állítva. A legtöbb esetben számos folyamat hívja meg az LSASS-t a nem szükséges hozzáférési jogokért. Például ha az ASR-szabály kezdeti blokkja egy későbbi, kisebb jogosultságra vonatkozó hívást eredményez, amely ezután sikeres lesz. Az LSASS-hez intézett folyamathívások során általában kért jogtípusokkal kapcsolatos információkért lásd: Folyamatbiztonsági és hozzáférési jogok.
A szabály engedélyezése nem nyújt további védelmet, ha az LSA-védelem engedélyezve van, mivel az ASR-szabály és az LSA-védelem hasonló módon működik. Ha azonban az LSA-védelem nem engedélyezhető, ez a szabály konfigurálható úgy, hogy egyenértékű védelmet nyújtson a célként szolgáló lsass.exekártevők ellen.
Tipp
- Az ASR naplózási eseményei nem hoznak létre bejelentési értesítéseket. Mivel azonban az LSASS ASR-szabály nagy mennyiségű naplózási eseményt hoz létre, amelyek szinte mindegyike figyelmen kívül hagyható, ha a szabály blokk módban van engedélyezve, kihagyhatja a naplózási mód kiértékelését, és folytathatja a blokk mód üzembe helyezését, kezdve egy kis eszközkészlettel, és fokozatosan bővül a többire.
- A szabály úgy lett kialakítva, hogy letiltsa a blokkjelentéseket/bejelentéseket a barátságos folyamatokhoz. Úgy is tervezték, hogy elvetje a duplikált blokkok jelentéseit. Ezért a szabály kiválóan alkalmas blokk módban való engedélyezésre, függetlenül attól, hogy a bejelentési értesítések engedélyezve vannak-e vagy le vannak tiltva.
- Az ASR figyelmeztetési módban úgy lett kialakítva, hogy a felhasználók számára egy tiltó bejelentési értesítést jelenítsen meg, amely tartalmazza a "Tiltás feloldása" gombot. Az LSASS ASR-blokkok "nyugodtan figyelmen kívül hagyható" jellege és nagy mennyisége miatt a WARN mód nem ajánlott ehhez a szabályhoz (függetlenül attól, hogy a bejelentési értesítések engedélyezve vannak-e vagy le vannak tiltva).
- Ez a szabály úgy lett kialakítva, hogy megakadályozza, hogy a folyamatok hozzáférjenek LSASS.EXE folyamatmemóriához. Ez nem akadályozza meg őket a futtatásban. Ha olyan folyamatokat lát, mint a svchost.exe, az csak az LSASS-folyamatmemória elérését blokkolja. Így a svchost.exe és más folyamatok nyugodtan figyelmen kívül hagyhatók. Az egyetlen kivétel az alábbi ismert problémák egyike.
Megjegyzés:
Ebben a forgatókönyvben az ASR-szabály "nem alkalmazható" besorolású a Végponthoz készült Defender beállításai között a Microsoft Defender portálon.
A Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopása – ASR-szabály nem támogatja a figyelmeztetési módot.
Egyes alkalmazásokban a kód felsorolja az összes futó folyamatot, és megkísérli őket teljes körű engedélyekkel megnyitni. Ez a szabály letiltja az alkalmazás folyamatmegnyitási műveletét, és naplózza a részleteket a biztonsági eseménynaplóba. Ez a szabály számos zajt okozhat. Ha olyan alkalmazása van, amely egyszerűen számba vegye az LSASS-t, de nincs tényleges hatása a funkciókra, akkor nem kell hozzáadnia a kizárási listához. Ez az eseménynapló-bejegyzés önmagában nem feltétlenül jelent kártékony fenyegetést.
Intune neve:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager neve:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Speciális veszélyforrás-keresési művelet típusa:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Függőségek: Microsoft Defender víruskereső
Ismert problémák: Ezek az alkalmazások és a "Hitelesítő adatok windowsos helyi biztonsági hatóság alrendszeréből való ellopásának letiltása" szabály nem kompatibilisek:
| Alkalmazás neve | További információ |
|---|---|
| Quest Dirsync Password Sync | A Dirsync jelszó-szinkronizálás nem működik a Windows Defender telepítésekor, hiba: "A VirtualAllocEx nem sikerült: 5" (4253914) |
Technikai támogatásért forduljon a szoftver gyártójához.
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából
Ez a szabály megakadályozza, hogy a Microsoft Outlook alkalmazásban megnyitott e-mailek, illetve Outlook.com és más népszerű webposta-szolgáltatók propagálják a következő fájltípusokat:
Végrehajtható fájlok (például .exe, .dll vagy .scr)
Szkriptfájlok (például PowerShell.ps1, Visual Basic .vbs vagy JavaScript .js fájl)
Archívum fájlok (például .zip és mások)
Intune neve:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager neve:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Speciális veszélyforrás-keresési művelet típusa:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Függőségek: Microsoft Defender víruskereső
Megjegyzés:
A Végrehajtható tartalom letiltása levelezőügyfélről és webpostáról szabály a következő alternatív leírásokat tartalmazza attól függően, hogy melyik alkalmazást használja:
- Intune (konfigurációs profilok): Az e-mailből elvetett végrehajtható tartalmak (exe, dll, ps, js, vbs stb.) végrehajtása (nincs kivétel).
- Configuration Manager: Végrehajtható tartalom letöltésének letiltása e-mail- és webposta-ügyfelekről.
- Csoportházirend: E-mail ügyfélprogram és webposta végrehajtható tartalmainak letiltása.
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek
Ez a szabály letiltja a végrehajtható fájlokat( például .exe, .dll vagy .scr) az indítástól. Így a nem megbízható vagy ismeretlen végrehajtható fájlok indítása kockázatos lehet, mivel előfordulhat, hogy kezdetben nem egyértelmű, ha a fájlok rosszindulatúak.
Fontos
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .
A Végrehajtható fájlok futtatásának letiltása szabály, hacsak nem felelnek meg egy elterjedtségi, kor- vagy megbízható listára vonatkozó feltételnek a GUID azonosítóval 01443614-cd74-433a-b99e-2ecdc07bfc25 , a Microsoft tulajdonában van, és nem a rendszergazdák írják elő. Ez a szabály a felhőben biztosított védelmet használja a megbízható listájának rendszeres frissítéséhez.
Megadhatja az egyes fájlokat vagy mappákat (mappaútvonalak vagy teljes erőforrásnevek használatával), de nem adhatja meg, hogy mely szabályokra vagy kizárásokra vonatkozzanak.
Intune neve:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager neve:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Speciális veszélyforrás-keresési művelet típusa:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Függőségek: Microsoft Defender Víruskereső, Cloud Protection
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása
Ez a szabály gyanús tulajdonságokat észlel egy rejtjelezett szkriptben.
Megjegyzés:
A PowerShell-szkriptek mostantól támogatottak a "Vélhetően rejtjelezett szkriptek végrehajtásának blokkolása" szabály esetében.
Fontos
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet.
A parancsfájlok elfedése gyakori technika, amelyet a kártevő-szerzők és a jogos alkalmazások is használnak a szellemi tulajdon elrejtésére vagy a szkript betöltési idejének csökkentésére. A kártevő-szerzők a rejtjelek használatával is megnehezítik a rosszindulatú kódok olvasását, ami akadályozza az emberek és a biztonsági szoftverek alapos vizsgálatát.
Intune neve:Obfuscated js/vbs/ps/macro code
Configuration Manager neve:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Speciális veszélyforrás-keresési művelet típusa:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Függőségek: Microsoft Defender víruskereső, kártevőirtó vizsgálati felület (AMSI), Felhővédelem
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában
Ez a szabály megakadályozza, hogy a szkriptek rosszindulatúan letöltött tartalmakat indítsanak el. A JavaScriptben vagy VBScriptben írt kártevők gyakran letöltőként működnek, és más kártevőket is lekérnek és elindítanak az internetről. Bár nem gyakori, az üzletági alkalmazások néha szkriptekkel töltik le és indítják el a telepítőket.
Intune neve:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager neve:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Speciális veszélyforrás-keresési művelet típusa:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Függőségek: Microsoft Defender víruskereső, AMSI
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Office-alkalmazások, köztük a Word, az Excel és a PowerPoint potenciálisan rosszindulatú végrehajtható tartalmakat hozzanak létre, mivel megakadályozzák a rosszindulatú kódok lemezre írását. Az Office-t vektorként visszaélő kártevők megpróbálhatnak kitörni az Office-ból, és a kártékony összetevőket lemezre menthetik. Ezek a rosszindulatú összetevők túlélik a számítógép újraindítását, és megmaradnak a rendszeren. Ezért ez a szabály védelmet nyújt egy közös adatmegőrzési technikával szemben. Ez a szabály az Office-fájlokban futtatható Office-makrók által esetleg mentett nem megbízható fájlok végrehajtását is letiltja.
Intune neve:Office apps/macros creating executable content
Configuration Manager neve:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Speciális veszélyforrás-keresési művelet típusa:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Függőségek: Microsoft Defender víruskereső, RPC
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba
Ez a szabály letiltja az Office-alkalmazásokból más folyamatokba történő kódinjektálási kísérleteket.
Megjegyzés:
A Block applications from injeking code into other processes ASR szabály nem támogatja a WARN módot.
Fontos
Ehhez a szabályhoz újra kell indítani Microsoft 365-alkalmazások (Office-alkalmazások) a konfigurációs módosítások érvénybe léptetéséhez.
Előfordulhat, hogy a támadók az Office-alkalmazásokkal próbálják áttelepíteni a kártékony kódot más folyamatokba kódinjektálás útján, hogy a kód tiszta folyamatként álcázható legyen. A kódinjektálásnak nincsenek ismert törvényes üzleti céljai.
Ez a szabály a Word, az Excel, a OneNote és a PowerPoint alkalmazásra vonatkozik.
Intune neve:Office apps injecting code into other processes (no exceptions)
Configuration Manager neve:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Függőségek: Microsoft Defender víruskereső
Ismert problémák: Ezek az alkalmazások és a "Kód más folyamatokba való beszúrásának letiltása az Office-alkalmazásokban" szabály nem kompatibilisek:
| Alkalmazás neve | További információ |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | 2024. szeptember (platform: 4.18.24090.11 | Motor 1.1.24090.11). |
| Heimdal biztonsági | n/a |
Technikai támogatásért forduljon a szoftver gyártójához.
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Outlook gyermekfolyamatokat hozzon létre, miközben továbbra is engedélyezi a megbízható Outlook-függvényeket. Ez a szabály védelmet nyújt a szociális mérnöki támadások ellen, és megakadályozza, hogy a kód kihasználása az Outlook biztonsági réseit kihasználja. Emellett védelmet nyújt az Outlook-szabályokkal és -űrlapokkal szemben, amelyeket a támadók a felhasználó hitelesítő adatainak feltörésekor használhatnak.
Megjegyzés:
Ez a szabály letiltja a DLP-házirendtippeket és az elemleírásokat az Outlookban. Ez a szabály csak az Outlookra és Outlook.com vonatkozik.
Intune neve:Process creation from Office communication products (beta)
Configuration Manager neve: Nem érhető el
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
Ez a szabály megakadályozza, hogy a kártevők visszaéljenek a WMI-vel az eszközön való megőrzés érdekében.
A fájl nélküli fenyegetések különböző taktikákat alkalmaznak, hogy rejtve maradjanak, hogy ne legyenek láthatók a fájlrendszerben, és rendszeres végrehajtás-vezérlést szerezzenek. Egyes fenyegetések visszaélhetnek a WMI-adattárral és az eseménymodellel, hogy rejtve maradjanak.
Megjegyzés:
Ha CcmExec.exe(SCCM Agent) Configuration Manager (CM, korábbi nevén MEMCM vagy SCCM) használja, javasoljuk, hogy legalább 60 napig futtassa naplózási módban. Ha készen áll arra, hogy blokk módra váltson, győződjön meg arról, hogy a megfelelő ASR-szabályokat helyezi üzembe, figyelembe véve a szükséges szabálykizárásokat.
Intune neve:Persistence through WMI event subscription
Configuration Manager neve: Nem érhető el
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Speciális veszélyforrás-keresési művelet típusa:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Függőségek: Microsoft Defender víruskereső, RPC
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása
Ez a szabály letiltja a PsExec és a WMI használatával létrehozott folyamatokat. A PsExec és a WMI is képes távolról végrehajtani a kódot. Fennáll annak a kockázata, hogy a kártevők visszaélnek a PsExec és a WMI funkcióival parancs- és ellenőrzési célokból, vagy egy fertőzést terjesztenek a szervezet hálózatán.
Figyelmeztetés
Csak akkor használja ezt a szabályt, ha az eszközöket Intune vagy más MDM-megoldással kezeli. Ez a szabály nem kompatibilis a Microsoft Endpoint Configuration Manager-on keresztüli felügyelettel, mivel ez a szabály letiltja a CONFIGURATION MANAGER-ügyfél által a megfelelő működéshez használt WMI-parancsokat.
Intune neve:Process creation from PSExec and WMI commands
Configuration Manager neve: Nem alkalmazható
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Speciális veszélyforrás-keresési művelet típusa:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
A gép csökkentett módban történő újraindításának letiltása
Ez a szabály megakadályozza a gépek csökkentett módban történő újraindítására vonatkozó parancsok végrehajtását. A csökkentett mód egy diagnosztikai mód, amely csak a Windows futtatásához szükséges alapvető fájlokat és illesztőprogramokat tölti be. Csökkentett módban azonban számos biztonsági termék le van tiltva, vagy korlátozott kapacitással működik, ami lehetővé teszi a támadók számára, hogy további illetéktelen módosítási parancsokat indítsanak el, vagy végrehajtsa és titkosítsa a gépen található összes fájlt. Ez a szabály blokkolja az ilyen támadásokat, mert megakadályozza, hogy a folyamatok csökkentett módban újraindítják a gépeket.
Intune neve: Block rebooting machine in Safe Mode
Configuration Manager neve: Még nem érhető el
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Speciális veszélyforrás-keresési művelet típusa:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Függőségek: Microsoft Defender víruskereső
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása
Ezzel a szabállyal a rendszergazdák megakadályozhatják az aláíratlan vagy nem megbízható végrehajtható fájlok futtatását USB cserélhető meghajtókról, beleértve az SD-kártyákat is. A letiltott fájltípusok végrehajtható fájlokat (például .exe, .dll vagy .scr) tartalmaznak
Fontos
Ez a szabály blokkolja az USB-meghajtóról a lemezmeghajtóra másolt fájlokat, ha és amikor a lemezmeghajtón végre szeretné hajtani.
Intune neve:Untrusted and unsigned processes that run from USB
Configuration Manager neve:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Speciális veszélyforrás-keresési művelet típusa:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Függőségek: Microsoft Defender víruskereső
Másolt vagy megszemélyesített rendszereszközök használatának letiltása
Ez a szabály letiltja a Windows rendszereszközök példányaként azonosított végrehajtható fájlok használatát. Ezek a fájlok az eredeti rendszereszközök duplikált vagy megszemélyesítői. Előfordulhat, hogy egyes rosszindulatú programok megpróbálják másolni vagy megszemélyesíteni a Windows rendszer eszközeit az észlelés elkerülése vagy a jogosultságok megszerzése érdekében. Az ilyen végrehajtható fájlok engedélyezése potenciális támadásokhoz vezethet. Ez a szabály megakadályozza a windowsos gépeken futó rendszereszközök ilyen duplikált példányainak és impostorainak propagálását és végrehajtását.
Intune neve:Block use of copied or impersonated system tools
Configuration Manager neve: Még nem érhető el
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Speciális veszélyforrás-keresési művelet típusa:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Függőségek: Microsoft Defender víruskereső
Webshell-létrehozás letiltása kiszolgálókhoz
Ez a szabály letiltja a webes rendszerhéjszkript létrehozását a Microsoft Server exchange-szerepkörében. A webfelületi szkriptek olyan, kialakított szkriptek, amelyek lehetővé teszik a támadók számára a feltört kiszolgáló vezérlését.
A webes rendszerhéjak tartalmazhatnak olyan funkciókat, mint a rosszindulatú parancsok fogadása és végrehajtása, rosszindulatú fájlok letöltése és végrehajtása, hitelesítő adatok és bizalmas információk ellopása és kiszivárgása, valamint a lehetséges célok azonosítása.
Intune neve:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Függőségek: Microsoft Defender víruskereső
Megjegyzés:
Ha Végponthoz készült Microsoft Defender biztonsági beállítások kezelésével kezeli az ASR-szabályokat, a Kiszolgálók webshell-létrehozásának blokkolása beállítást a Csoportházirend vagy más helyi beállítások szerint kell konfigurálniNot Configured. Ha ez a szabály bármilyen más értékre van állítva (például Enabled vagy Disabled), ütközéseket okozhat, és megakadályozhatja a szabályzat megfelelő alkalmazását a biztonsági beállítások kezelésével.
Win32 API-hívások letiltása Office-makrókból
Ez a szabály megakadályozza, hogy a VBA-makrók Win32 API-kat hívjanak meg. Az Office VBA lehetővé teszi a Win32 API-hívások használatát. A kártevők visszaélhetnek ezzel a képességgel, például meghívhatják a Win32 API-kat, hogy kártékony rendszerhéjkódot indítsanak anélkül , hogy bármit közvetlenül a lemezre írnak. A legtöbb szervezet nem támaszkodik arra, hogy meghívja a Win32 API-kat a mindennapi működésük során, még akkor sem, ha más módon használnak makrókat.
Intune neve:Win32 imports from Office macro code
Configuration Manager neve:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Függőségek: Microsoft Defender víruskereső, AMSI
Speciális védelem használata zsarolóprogramok ellen
Ez a szabály egy további védelmi réteget biztosít a zsarolóprogramok ellen. Ügyfél- és felhőalapú heurisztika használatával határozza meg, hogy egy fájl hasonlít-e a zsarolóprogramra. Ez a szabály nem tiltja le azokat a fájlokat, amelyek az alábbi jellemzők közül legalább egykel rendelkeznek:
- A fájl nem sértetlen a Microsoft-felhőben.
- A fájl egy érvényes aláírt fájl.
- A fájl elég elterjedt ahhoz, hogy ne tekinthető zsarolóprogramnak.
A szabály általában az óvatosság oldalán fordul elő, hogy megakadályozza a zsarolóprogramokat.
Megjegyzés:
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .
Intune neve:Advanced ransomware protection
Configuration Manager neve:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Speciális veszélyforrás-keresési művelet típusa:
AsrRansomwareAuditedAsrRansomwareBlocked
Függőségek: Microsoft Defender Víruskereső, Cloud Protection
Lásd még
Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése
Támadásifelület-csökkentési szabályok üzembe helyezésének megtervezése
A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.