Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályokról (ASR-szabályokról) nyújt tájékoztatást:
- AZ ASR-szabályok támogatott operációsrendszer-verziói
- ASR-szabályok által támogatott konfigurációkezelő rendszerek
- ASR-szabályonkénti riasztás és értesítés részletei
- ASR-szabály –GUID mátrix
- ASR-szabálymódok
- Szabályonkénti leírások
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Tipp
A cikk kísérőjeként tekintse meg Végponthoz készült Microsoft Defender beállítási útmutatónkat az ajánlott eljárások áttekintéséhez és az olyan alapvető eszközök megismeréséhez, mint a támadási felület csökkentése és a következő generációs védelem. A környezeten alapuló testreszabott élmény érdekében a Végponthoz készült Defender automatikus beállítási útmutatóját a Microsoft 365 Felügyeleti központ érheti el.
Előfeltételek
Támogatott operációs rendszerek
- A Windows
Támadásifelület-csökkentési szabályok típus szerint
A támadásifelület-csökkentési szabályok kétféle kategóriába sorolhatók:
Standard védelmi szabályok: A Microsoft által ajánlott minimális szabálykészlet mindig engedélyezve van a többi ASR-szabály hatásának és konfigurációs igényeinek kiértékelése közben. Ezek a szabályok általában minimálistól egyáltalán nem észrevehető hatással vannak a végfelhasználóra.
Egyéb szabályok: A dokumentált üzembehelyezési lépések követését igénylő szabályok [Plan > Test (audit) > Enable (block/warn modes)], a Támadásifelület-csökkentési szabályok üzembehelyezési útmutatójában leírtak szerint.
A szabványos védelmi szabályok engedélyezésének legegyszerűbb módja: Egyszerűsített szabványos védelmi lehetőség.
| ASR-szabály neve | Standard Védelem Szabály? |
Egyéb Szabály? |
|---|---|---|
| A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása | Igen | |
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben¹ | Igen | |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | Igen | |
| Hitelesítő adatok windowsos helyi biztonsági hatóság alrendszeréből (lsass.exe)¹ ² | Igen | |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | Igen | |
| A végrehajtható fájlok futásának letiltása, ha nem felelnek meg az elterjedtségi, kor- vagy megbízható listafeltételnek | Igen | |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | Igen | |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | Igen | |
| Az Office-alkalmazások végrehajtható tartalmak létrehozásának letiltása¹ | Igen | |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba¹ ² | Igen | |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása¹ | Igen | |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül | Igen | |
| A PSExec- és WMI-parancsokból származó folyamatlétrehozások letiltása¹ | Igen | |
| A gép csökkentett módban történő újraindításának letiltása | Igen | |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | Igen | |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása | Igen | |
| Webshell-létrehozás letiltása kiszolgálókhoz | Igen | |
| Win32 API-hívások letiltása Office-makrókból⁴ | Igen | |
| Speciális védelem használata zsarolóprogramok ellen | Igen |
¹ Ez az ASR-szabály nem veszi figyelembe Microsoft Defender víruskereső kizárásait. További információ az ASR szabályonkénti kizárásainak konfigurálásáról: Támadásifelület-csökkentés szabályonkénti csökkentése.
² Ez az ASR-szabály nem tartja tiszteletben Végponthoz készült Microsoft Defender fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket (IOC).
³ Előfordulhat, hogy ez az ASR-szabály egy ismert háttérbeli probléma miatt jelenleg nem érhető el a Intune Támadásifelület-csökkentés szabályzatkonfigurációjában. A szabály azonban továbbra is létezik, és más módszerekkel is elérhető. Például Végponthoz készült Microsoft Defender biztonsági beállítások kezelése, konfigurációszolgáltató (CSP), Add-MpPreference vagy meglévő Intune ASR-szabályzatkonfiguráció a probléma előtt létrehozott szabályokban.
⁴ Ez az ASR-szabály nem tartja tiszteletben Végponthoz készült Microsoft Defender tanúsítványok biztonsági réseinek mutatóit (IOC).
ASR-szabályok által támogatott operációs rendszerek
Az alábbi táblázat a jelenleg általánosan elérhető szabályok támogatott operációs rendszereit sorolja fel. A szabályok betűrendben vannak felsorolva ebben a táblázatban.
Megjegyzés:
Ha másként nem jelezzük, a minimális Windows 10 build a 1709-es verzió (RS3, 16299-es build) vagy újabb; a minimális Windows Server build az 1809-es vagy újabb verzió. A támadásifelület-csökkentési szabályok Windows Server 2012 R2-ben és Windows Server 2016 érhetők el a modern egységes megoldáscsomag használatával előkészített eszközökhöz. További információ: Új Windows Server 2012 R2 és 2016 funkciók a modern egységes megoldásban.
*Előfordulhat, hogy ez az ASR-szabály egy ismert háttérbeli probléma miatt jelenleg nem érhető el a Intune Támadásifelület-csökkentés szabályzatkonfigurációjában. A szabály azonban továbbra is létezik, és más módszerekkel is elérhető. Például Végponthoz készült Microsoft Defender biztonsági beállítások kezelése, konfigurációs szolgáltató (CSP), Add-MpPreference vagy meglévő Intune ASR-szabályzatkonfiguráció a probléma előtt létrehozott szabályokban).
Megjegyzés:
- Az R2 és Windows Server 2016 Windows Server 2012 lásd: Windows Server 2016 és Windows Server 2012 R2 előkészítése.
- Ha Konfigurációkezelő használ, a Microsoft Configuration Manager minimálisan szükséges verziója a 2111-es verzió (2021. december).
ASR-szabályok által támogatott konfigurációkezelő rendszerek
Az ebben a táblázatban hivatkozott konfigurációkezelési rendszerverziókkal kapcsolatos információkra mutató hivatkozások a táblázat alatt találhatók.
(1) A támadásifelület-csökkentési szabályokat szabályonként konfigurálhatja bármely szabály GUID azonosítójának használatával.
*Előfordulhat, hogy ez az ASR-szabály egy ismert háttérbeli probléma miatt jelenleg nem érhető el a Intune Támadásifelület-csökkentés szabályzatkonfigurációjában. A szabály azonban továbbra is létezik, és más módszerekkel is elérhető. Például Végponthoz készült Microsoft Defender biztonsági beállítások kezelése, konfigurációs szolgáltató (CSP), Add-MpPreference vagy meglévő Intune ASR-szabályzatkonfiguráció a probléma előtt létrehozott szabályokban).
- Konfigurációkezelő CB 1710
- Konfigurációkezelő CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM most már Microsoft Configuration Manager.
ASR-szabályonkénti riasztás és értesítés részletei
A bejelentési értesítések a Blokkolás módban lévő összes szabályhoz létre lesznek hozva. A más módban lévő szabályok nem hoznak létre bejelentési értesítéseket.
A megadott "Szabályállapot" értékkel rendelkező szabályok esetén:
- Az ASR-szabályok kombinációkkal
\ASR Rule, Rule State\jelennek meg riasztások (bejelentési értesítések) Végponthoz készült Microsoft Defender csak a felhőblokk szintjénHighbeállított eszközök esetében. - A felhőblokk szintjén
Highnem beállított eszközök nem hoznak létre riasztásokat aASR Rule, Rule Statekombinációkhoz. - A végpontészlelés és -válasz (EDR) riasztások a megadott állapotokban lévő ASR-szabályokhoz jönnek létre a felhőblokk szintjén
High+beállított eszközök esetében. - A bejelentési értesítések csak blokk módban és a felhőblokk szintjén
Highbeállított eszközök esetében fordulnak elő.
*Előfordulhat, hogy ez az ASR-szabály egy ismert háttérbeli probléma miatt jelenleg nem érhető el a Intune Támadásifelület-csökkentés szabályzatkonfigurációjában. A szabály azonban továbbra is létezik, és más módszerekkel is elérhető. Például Végponthoz készült Microsoft Defender biztonsági beállítások kezelése, konfigurációs szolgáltató (CSP), Add-MpPreference vagy meglévő Intune ASR-szabályzatkonfiguráció a probléma előtt létrehozott szabályokban).
ASR-szabály –GUID mátrix
| Szabály neve | Szabály GUID azonosítója |
|---|---|
| A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában | d3e037e1-3eb8-44c8-a917-57927947596d |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül * A fájl- és mappakizárások nem támogatottak. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| A gép csökkentett módban történő újraindításának letiltása | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Másolt vagy megszemélyesített rendszereszközök használatának letiltása | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Webshell-létrehozás letiltása kiszolgálókhoz | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Win32 API-hívások letiltása Office-makrókból | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Speciális védelem használata zsarolóprogramok ellen | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*Előfordulhat, hogy ez az ASR-szabály egy ismert háttérbeli probléma miatt jelenleg nem érhető el a Intune Támadásifelület-csökkentés szabályzatkonfigurációjában. A szabály azonban továbbra is létezik, és más módszerekkel is elérhető. Például Végponthoz készült Microsoft Defender biztonsági beállítások kezelése, konfigurációs szolgáltató (CSP), Add-MpPreference vagy meglévő Intune ASR-szabályzatkonfiguráció a probléma előtt létrehozott szabályokban).
ASR-szabálymódok
| Szabálymód | Kód | Leírás |
|---|---|---|
| Nincs konfigurálva vagy letiltva | 0 | Az ASR-szabály nincs engedélyezve vagy le van tiltva. |
| Letiltás | 1 | Az ASR-szabály blokk módban van engedélyezve. |
| Naplózás | 2 | Az ASR-szabály akkor lesz kiértékelve, hogy milyen hatással van a környezetre, ha letiltás vagy figyelmeztetés módban engedélyezve van. |
| Figyelmeztet | 6 | Az ASR-szabály engedélyezve van, és értesítést küld a felhasználónak, de a felhasználó megkerülheti a blokkot. |
A Figyelmeztetés egy olyan blokktípus, amely figyelmeztetési előugró ablakban figyelmezteti a felhasználókat a potenciálisan kockázatos műveletekre. A felhasználók az OK gombot választva kényszeríthetik a blokkot, vagy a Blokkolás feloldása lehetőséget választva megkerülhetik a blokkot a következő 24 órára. 24 óra elteltével a felhasználónak újra engedélyeznie kell a blokkot.
Az ASR-szabályok figyelmeztetési módja csak Windows 10 1809-es vagy újabb verzióban támogatott. A Windows 10 korábbi verziói, amelyekhez figyelmeztetési módú szabály van hozzárendelve, hatékonyan letiltott módban vannak.
A PowerShellben létrehozhat egy ASR-szabályt figyelmeztetési módban a AttackSurfaceReductionRules_Actions paraméter értékének Warnmegadásával. Például:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Szabályonkénti leírások
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása
Megjegyzés:
A környezet sebezhető illesztőprogramokkal szembeni védelme érdekében először az alábbi módszereket kell implementálnia:
- Windows 10 vagy újabb verzió esetén a Microsoft App Control for Business Windows Server 2016 vagy újabb verziójában alapértelmezés szerint tiltsa le az összes illesztőprogramot, és csak azokat az illesztőprogramokat engedélyezze, amelyeket szükségesnek tart, és amelyekről ismert, hogy nem sebezhetők.
- A Windows 8.1 vagy régebbi, Windows Server 2012 R2 vagy régebbi verziók esetén a Microsoft AppLocker használatával alapértelmezés szerint minden illesztőprogramot blokkolnia kell, és csak azokat az illesztőprogramokat engedélyezze, amelyeket szükségesnek tart, és amelyekről nem tud, hogy sebezhetők.
- Windows 11 vagy újabb, valamint Windows Server core 1809 vagy újabb, illetve Windows Server 2019-Windows Server esetén engedélyeznie kell a Microsoft Windows sebezhető illesztőprogram-blokkolási listáját is. Ezután egy másik védelmi rétegként engedélyeznie kell ezt a támadásifelület-csökkentési szabályt.
Ez a szabály megakadályozza, hogy egy alkalmazás sebezhető aláírt illesztőprogramot írjon a lemezre. A vadon élő, megfelelő jogosultságokkal rendelkező helyi alkalmazások kihasználhatják a sebezhető aláírt illesztőprogramokat a kernelhez való hozzáféréshez. A sebezhető aláírt illesztőprogramok lehetővé teszik a támadók számára a biztonsági megoldások letiltását vagy megkerülését, ami végül a rendszer sérüléséhez vezet.
A kihasznált sebezhető aláírt illesztőprogramokkal való visszaélés megakadályozása szabály nem akadályozza meg a rendszeren már meglévő illesztőprogramok betöltését.
Megjegyzés:
Ezt a szabályt Intune OMA-URI használatával konfigurálhatja. Az egyéni szabályok konfigurálásához lásd: Intune OMA-URI. Ezt a szabályt a PowerShell használatával is konfigurálhatja. Ha meg szeretne vizsgálni egy illesztőprogramot, ezen a webhelyen elküldhet egy illesztőprogramot elemzésre.
Intune neve:Block abuse of exploited vulnerable signed drivers
Konfigurációkezelő neve: Még nem érhető el
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Speciális veszélyforrás-keresési művelet típusa:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben
Ez a szabály megakadályozza a támadásokat azáltal, hogy blokkolja az Adobe Readert a folyamatok létrehozásában.
A kártevők hasznos adatokat tölthetnek le és indíthatnak el, és közösségi tervezéssel vagy biztonsági résekkel törhetnek ki az Adobe Readerből. Azáltal, hogy blokkolja az Adobe Readert a gyermekfolyamatok létrehozásában, az Adobe Readert támadási vektorként használó kártevők nem terjeszthetők.
Intune neve:Process creation from Adobe Reader (beta)
Konfigurációkezelő neve: Még nem érhető el
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Speciális veszélyforrás-keresési művelet típusa:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat hozzanak létre. Az Office-alkalmazások közé tartozik a Word, az Excel, a PowerPoint, a OneNote és az Access.
A rosszindulatú gyermekfolyamatok létrehozása gyakori kártevőkezelési stratégia. Az Office-t vektorként visszaélő kártevők gyakran futtatnak VBA-makrókat, és kihasználják a kódot a további hasznos adatok letöltéséhez és futtatásához. Egyes megbízható üzletági alkalmazások azonban jóindulatú célokból gyermekfolyamatokat is létrehozhatnak. Például parancssort hoz létre, vagy a PowerShell használatával konfigurálja a beállításjegyzék beállításait.
Intune neve:Office apps launching child processes
Konfigurációkezelő neve:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása
Megjegyzés:
Ha az LSA-védelem engedélyezve van, ez a támadásifelület-csökkentési szabály nem szükséges. A biztonságosabb testtartás érdekében javasoljuk a Credential Guard LSA-védelemmel való engedélyezését is.
Ha az LSA-védelem engedélyezve van, az ASR-szabály nem alkalmazhatóként van besorolva a Végponthoz készült Defender felügyeleti beállításai között a Microsoft Defender portálon.
Ez a szabály a helyi biztonsági hatóság alrendszerszolgáltatásának (LSASS) zárolásával segít megelőzni a hitelesítő adatok ellopását.
Az LSASS hitelesíti a Windows rendszerű számítógépen bejelentkező felhasználókat. A Credential Guard a Windowsban általában megakadályozza a hitelesítő adatok LSASS-ből való kinyerését. Egyes szervezetek nem tudják engedélyezni a Credential Guardot az összes számítógépükön, mert kompatibilitási problémák léptek fel az egyéni intelligenskártya-illesztőprogramokkal vagy más, a Helyi biztonsági hatóságba (LSA) betöltött programokkal. Ezekben az esetekben a támadók a Mimikatzhoz hasonló eszközökkel kérnek le egyértelmű szöveges jelszavakat és NTLM-kivonatokat az LSASS-ből.
Alapértelmezés szerint a szabály állapota nincs konfigurálva (letiltva). A legtöbb esetben számos folyamat hívja meg az LSASS-t a nem szükséges hozzáférési jogokért. Ha például az ASR-szabály kezdeti blokkja egy későbbi hívást eredményez egy kisebb, sikeres jogosultságért. Az LSASS-hez intézett folyamathívások során általában kért jogtípusokkal kapcsolatos információkért lásd: Folyamatbiztonsági és hozzáférési jogok.
A szabály engedélyezése nem nyújt további védelmet, ha engedélyezve van az LSA-védelem, mivel az ASR-szabály és az LSA-védelem hasonló módon működik. Ha azonban nem tudja engedélyezni az LSA-védelmet, konfigurálhatja ezt a szabályt úgy, hogy az egyenértékű védelmet nyújtson a célként szolgáló lsass.exekártevők ellen.
Tipp
- Az ASR naplózási eseményei nem hoznak létre bejelentési értesítéseket. Az LSASS ASR-szabály nagy mennyiségű naplózási eseményt hoz létre, amelyek szinte mindegyike figyelmen kívül hagyható, ha a szabály blokk módban van engedélyezve. Dönthet úgy, hogy kihagyja a naplózási mód kiértékelését, és folytatja a mód üzembe helyezésének blokkolását. Javasoljuk, hogy kezdjen egy kis eszközkészlettel, és fokozatosan bővítse a többit.
- A szabály úgy lett kialakítva, hogy letiltsa a blokkjelentéseket/bejelentéseket a barátságos folyamatokhoz. Úgy is tervezték, hogy elvetje a duplikált blokkok jelentéseit. Ezért a szabály kiválóan alkalmas blokk módban való engedélyezésre, függetlenül attól, hogy a bejelentési értesítések engedélyezve vannak-e vagy le vannak tiltva.
- Az ASR figyelmeztetési módban úgy lett kialakítva, hogy a felhasználók számára egy tiltó bejelentési értesítést jelenítsen meg, amely tartalmazza a "Tiltás feloldása" gombot. Az LSASS ASR-blokkok "nyugodtan figyelmen kívül hagyható" jellege és nagy mennyisége miatt a WARN mód nem ajánlott ehhez a szabályhoz (függetlenül attól, hogy a bejelentési értesítések engedélyezve vannak-e vagy le vannak tiltva).
- Ez a szabály úgy lett kialakítva, hogy megakadályozza, hogy a folyamatok hozzáférjenek LSASS.EXE folyamatmemóriához. Ez nem akadályozza meg őket a futtatásban. Ha olyan folyamatokat lát, mint a svchost.exe, az csak az LSASS-folyamatmemória elérését blokkolja. Így a svchost.exe és más folyamatok nyugodtan figyelmen kívül hagyhatók. Az egyik kivétel a következő ismert problémák egyike.
Megjegyzés:
Ebben a forgatókönyvben az ASR-szabály "nem alkalmazható" besorolású a Végponthoz készült Defender beállításai között a Microsoft Defender portálon.
A Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopása – ASR-szabály nem támogatja a figyelmeztetési módot.
Egyes alkalmazásokban a kód felsorolja az összes futó folyamatot, és megkísérli őket teljes körű engedélyekkel megnyitni. Ez a szabály letiltja az alkalmazás folyamatmegnyitási műveletét, és naplózza a részleteket a biztonsági eseménynaplóba. Ez a szabály számos zajt okozhat. Ha olyan alkalmazása van, amely egyszerűen számba vegye az LSASS-t, de nincs tényleges hatása a működésre, akkor nem kell hozzáadnia a kizárási listához. Ez az eseménynapló-bejegyzés önmagában nem feltétlenül jelent kártékony fenyegetést.
Intune neve:Flag credential stealing from the Windows local security authority subsystem
Konfigurációkezelő neve:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Speciális veszélyforrás-keresési művelet típusa:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Függőségek: Microsoft Defender víruskereső
Ismert problémák: Ezek az alkalmazások és a "Hitelesítő adatok windowsos helyi biztonsági hatóság alrendszeréből való ellopásának letiltása" szabály nem kompatibilisek:
| Alkalmazás neve | További információ |
|---|---|
| Quest Dirsync Password Sync | A Dirsync jelszó-szinkronizálás nem működik a Windows Defender telepítésekor, hiba: "A VirtualAllocEx nem sikerült: 5" (4253914) |
Technikai támogatásért forduljon a szoftver kiadóhoz.
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából
Ez a szabály megakadályozza, hogy a Microsoft Outlook alkalmazásban megnyitott e-mailek, illetve Outlook.com és más népszerű webposta-szolgáltatók propagálják a következő fájltípusokat:
Végrehajtható fájlok (például .exe, .dll vagy .scr)
Szkriptfájlok (például PowerShell.ps1, Visual Basic .vbs vagy JavaScript .js fájl)
Archívum fájlok (például .zip és mások)
Intune neve:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager neve:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Speciális veszélyforrás-keresési művelet típusa:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Függőségek: Microsoft Defender víruskereső
Megjegyzés:
A Végrehajtható tartalom letiltása levelezőügyfélről és webpostáról szabály a következő alternatív leírásokat tartalmazza attól függően, hogy melyik alkalmazást használja:
- Intune (konfigurációs profilok): Az e-mailből elvetett végrehajtható tartalmak (exe, dll, ps, js, vbs stb.) végrehajtása (nincs kivétel).
- Konfigurációkezelő: Végrehajtható tartalom letöltésének letiltása e-mail- és webposta-ügyfelekről.
- Csoportházirend: E-mail ügyfélprogram és webposta végrehajtható tartalmainak letiltása.
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek
Tipp
*Előfordulhat, hogy ez az ASR-szabály egy ismert háttérbeli probléma miatt jelenleg nem érhető el a Intune Támadásifelület-csökkentés szabályzatkonfigurációjában. A szabály azonban továbbra is létezik, és más módszerekkel is elérhető. Például Végponthoz készült Microsoft Defender biztonsági beállítások kezelése, konfigurációs szolgáltató (CSP), Add-MpPreference vagy meglévő Intune ASR-szabályzatkonfiguráció a probléma előtt létrehozott szabályokban).
Ez a szabály letiltja a végrehajtható fájlokat( például .exe, .dll vagy .scr) az indítástól. Így a nem megbízható vagy ismeretlen végrehajtható fájlok indítása kockázatos lehet, mivel előfordulhat, hogy kezdetben nem egyértelmű, ha a fájlok rosszindulatúak.
Fontos
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet . Ez a szabály a felhőben biztosított védelmet használja a megbízható listájának rendszeres frissítéséhez. Az egyes fájlokat vagy mappákat mappaútvonalak vagy teljes erőforrásnevek használatával adhatja meg. Az ASROnlyPerRuleExclusions beállítást is támogatja.
Intune neve:Executables that don't meet a prevalence, age, or trusted list criteria
Konfigurációkezelő neve:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Speciális veszélyforrás-keresési művelet típusa:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Függőségek: Microsoft Defender Víruskereső, Cloud Protection
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása
Ez a szabály gyanús tulajdonságokat észlel egy rejtjelezett szkriptben.
Megjegyzés:
A PowerShell-szkriptek mostantól támogatottak a "Vélhetően rejtjelezett szkriptek végrehajtásának blokkolása" szabály esetében.
Fontos
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet.
A parancsfájlok elfedése gyakori technika, amelyet a kártevő-szerzők és a jogos alkalmazások is használnak a szellemi tulajdon elrejtésére vagy a szkript betöltési idejének csökkentésére. A kártevő-szerzők a rejtjelek használatával is megnehezítik a rosszindulatú kódok olvasását, ami akadályozza az emberek és a biztonsági szoftverek alapos vizsgálatát.
Intune neve:Obfuscated js/vbs/ps/macro code
Konfigurációkezelő neve:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Speciális veszélyforrás-keresési művelet típusa:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Függőségek: Microsoft Defender víruskereső, kártevőirtó vizsgálati felület (AMSI), Felhővédelem
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában
Ez a szabály megakadályozza, hogy a szkriptek rosszindulatúan letöltött tartalmakat indítsanak el. A JavaScriptben vagy VBScriptben írt kártevők gyakran letöltőként működnek, és más kártevőket is lekérnek és elindítanak az internetről. Bár nem gyakori, az üzletági alkalmazások néha szkriptekkel töltik le és indítják el a telepítőket.
Intune neve:js/vbs executing payload downloaded from Internet (no exceptions)
Konfigurációkezelő neve:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Speciális veszélyforrás-keresési művelet típusa:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Függőségek: Microsoft Defender víruskereső, AMSI
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Office-alkalmazások, például a Word, az Excel és a PowerPoint kártékony kódokat őrizhessenek meg a lemezen. Az Office-t vektorként visszaélő kártevők megpróbálhatják menteni a kártékony összetevőket a lemezre, amelyek túlélnék a számítógép újraindítását, és megmaradnának a rendszeren. Ez a szabály a lemezre írt kódhoz való hozzáférés (megnyitás/végrehajtás) letiltásával védi ezt az adatmegőrzési technikát. Ez a szabály az Office-fájlokban futtatható Office-makrók által esetleg mentett nem megbízható fájlok végrehajtását is letiltja.
Intune neve:Office apps/macros creating executable content
Konfigurációkezelő neve:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Speciális veszélyforrás-keresési művelet típusa:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Függőségek: Microsoft Defender víruskereső, RPC
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba
Ez a szabály letiltja az Office-alkalmazásokból más folyamatokba történő kódinjektálási kísérleteket.
Megjegyzés:
A Block applications from injeking code into other processes ASR szabály nem támogatja a WARN módot.
Fontos
Ehhez a szabályhoz újra kell indítani Microsoft 365-alkalmazások (Office-alkalmazások) a konfigurációs módosítások érvénybe léptetéséhez.
Előfordulhat, hogy a támadók az Office-alkalmazásokkal próbálják áttelepíteni a kártékony kódot más folyamatokba kódinjektálás útján, hogy a kód tiszta folyamatként álcázható legyen. A kódinjektálásnak nincsenek ismert törvényes üzleti céljai.
Ez a szabály a Word, az Excel, a OneNote és a PowerPoint alkalmazásra vonatkozik.
Intune neve:Office apps injecting code into other processes (no exceptions)
Konfigurációkezelő neve:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Függőségek: Microsoft Defender víruskereső
Ismert problémák: Ezek az alkalmazások és a "Kód más folyamatokba való beszúrásának letiltása az Office-alkalmazásokban" szabály nem kompatibilisek:
| Alkalmazás neve | További információ |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | 2024. szeptember (platform: 4.18.24090.11 |Motor 1.1.24090.11). |
| Heimdal biztonsági | n/a |
Technikai támogatásért forduljon a szoftver kiadóhoz.
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása
Ez a szabály megakadályozza, hogy az Outlook gyermekfolyamatokat hozzon létre, miközben továbbra is engedélyezi a megbízható Outlook-függvényeket. Ez a szabály védelmet nyújt a szociális mérnöki támadások ellen, és megakadályozza, hogy a kód kihasználása az Outlook biztonsági réseit kihasználja. Emellett védelmet nyújt az Outlook-szabályokkal és -űrlapokkal szemben, amelyeket a támadók a felhasználó hitelesítő adatainak feltörésekor használhatnak.
Intune neve:Process creation from Office communication products (beta)
Konfigurációkezelő neve: Nem érhető el
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
Ez a szabály megakadályozza, hogy a kártevők visszaéljenek a WMI-vel az eszközön való megőrzés érdekében.
A fájl nélküli fenyegetések különböző taktikákat alkalmaznak, hogy rejtve maradjanak, hogy ne legyenek láthatók a fájlrendszerben, és rendszeres végrehajtás-vezérlést szerezzenek. Egyes fenyegetések visszaélhetnek a WMI-adattárral és az eseménymodellel, hogy rejtve maradjanak.
Megjegyzés:
Ha Konfigurációkezelő (CM, korábbi nevén MEMCM vagy SCCM) használja az (SCCM Agent) használatával CcmExec.exe , javasoljuk, hogy legalább 60 napig futtassa naplózási módban.
Ha készen áll arra, hogy blokk módra váltson, győződjön meg arról, hogy a megfelelő ASR-szabályokat helyezi üzembe, figyelembe véve a szükséges szabálykizárásokat.
Intune neve:Persistence through WMI event subscription
Konfigurációkezelő neve: Nem érhető el
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Speciális veszélyforrás-keresési művelet típusa:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Függőségek: Microsoft Defender víruskereső, RPC
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása
Ez a szabály letiltja a PsExec és a WMI használatával létrehozott folyamatokat. A PsExec és a WMI is képes távolról végrehajtani a kódot. Fennáll annak a kockázata, hogy a kártevők visszaélnek a PsExec és a WMI funkcióival parancs- és ellenőrzési célokból, vagy egy fertőzést terjesztenek a szervezet hálózatán.
Figyelmeztetés
Csak akkor használja ezt a szabályt, ha az eszközöket Intune vagy más MDM-megoldással kezeli. Ez a szabály nem kompatibilis a Microsoft Configuration Manager keresztüli felügyelettel, mert ez a szabály letiltja a WMI-parancsokat, amelyet az Konfigurációkezelő-ügyfél a megfelelő működéshez használ.
Intune neve:Process creation from PSExec and WMI commands
Konfigurációkezelő neve: Nem alkalmazható
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Speciális veszélyforrás-keresési művelet típusa:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Függőségek: Microsoft Defender víruskereső
A gép csökkentett módban történő újraindításának letiltása
Ez a szabály megakadályozza bizonyos parancsok végrehajtását a gépek csökkentett módban való újraindításához. Csökkentett módban számos biztonsági termék le van tiltva, vagy korlátozott kapacitásban működik. Ez a hatás lehetővé teszi a támadók számára, hogy további illetéktelen módosítási parancsokat indítsanak el, vagy végrehajtsa és titkosítsa a gépen található összes fájlt. Ez a szabály megakadályozza a csökkentett móddal való visszaélést, mivel megakadályozza, hogy a gyakran visszaélő parancsok , például bcdedit a gépek bootcfg csökkentett módban indítsanak újra. A csökkentett mód továbbra is elérhető manuálisan a Windows helyreállítási környezetből.
Intune neve:Block rebooting machine in Safe Mode
Konfigurációkezelő neve: Még nem érhető el
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Speciális veszélyforrás-keresési művelet típusa:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Függőségek: Microsoft Defender víruskereső
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása
Ezzel a szabállyal a rendszergazdák megakadályozhatják az aláíratlan vagy nem megbízható végrehajtható fájlok futtatását USB cserélhető meghajtókról, beleértve az SD-kártyákat is. A letiltott fájltípusok végrehajtható fájlokat (például .exe, .dll vagy .scr) tartalmaznak
Fontos
Ez a szabály letiltja az USB-meghajtóról a lemezmeghajtóra másolt fájlokat, ha és amikor a lemezmeghajtón végre szeretné hajtani.
Intune neve:Untrusted and unsigned processes that run from USB
Konfigurációkezelő neve:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Speciális veszélyforrás-keresési művelet típusa:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Függőségek: Microsoft Defender víruskereső
Másolt vagy megszemélyesített rendszereszközök használatának letiltása
Ez a szabály letiltja a Windows rendszereszközök példányaként azonosított végrehajtható fájlok használatát. Ezek a fájlok az eredeti rendszereszközök duplikált vagy megszemélyesítői. Előfordulhat, hogy egyes rosszindulatú programok megpróbálják másolni vagy megszemélyesíteni a Windows rendszer eszközeit az észlelés elkerülése vagy a jogosultságok megszerzése érdekében. Az ilyen végrehajtható fájlok engedélyezése potenciális támadásokhoz vezethet. Ez a szabály megakadályozza a windowsos gépeken futó rendszereszközök ilyen duplikált példányainak és impostorainak propagálását és végrehajtását.
Intune neve:Block use of copied or impersonated system tools
Konfigurációkezelő neve: Még nem érhető el
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Speciális veszélyforrás-keresési művelet típusa:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Függőségek: Microsoft Defender víruskereső
Webshell-létrehozás letiltása kiszolgálókhoz
Ez a szabály letiltja a webes rendszerhéjszkript létrehozását a Microsoft Server exchange-szerepkörében. A webfelületi szkriptek olyan, kialakított szkriptek, amelyek lehetővé teszik a támadók számára a feltört kiszolgáló vezérlését.
A webes rendszerhéjak tartalmazhatnak olyan funkciókat, mint a rosszindulatú parancsok fogadása és végrehajtása, rosszindulatú fájlok letöltése és végrehajtása, hitelesítő adatok és bizalmas információk ellopása és kiszivárgása, valamint a lehetséges célok azonosítása.
Intune neve:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Függőségek: Microsoft Defender víruskereső
Megjegyzés:
Ha Végponthoz készült Microsoft Defender biztonsági beállítások kezelésével kezeli az ASR-szabályokat, konfigurálnia kell a Webshell-létrehozás letiltása kiszolgálókhoz beállítást Not Configured a Csoportházirend vagy más helyi beállítások szerint. Ha ez a szabály bármilyen más értékre van állítva (például Enabled vagy Disabled), ütközéseket okozhat, és megakadályozhatja a szabályzat megfelelő alkalmazását a biztonsági beállítások kezelésével.
Win32 API-hívások letiltása Office-makrókból
Ez a szabály megakadályozza, hogy a VBA-makrók Win32 API-kat hívjanak meg. Az Office VBA lehetővé teszi a Win32 API-hívások használatát. A kártevők visszaélhetnek ezzel a képességgel, például meghívhatják a Win32 API-kat, hogy kártékony rendszerhéjkódot indítsanak anélkül , hogy bármit közvetlenül a lemezre írnak. A legtöbb szervezet nem támaszkodik arra, hogy meghívja a Win32 API-kat a mindennapi működésük során, még akkor sem, ha más módon használnak makrókat.
Intune neve:Win32 imports from Office macro code
Konfigurációkezelő neve:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Speciális veszélyforrás-keresési művelet típusa:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Függőségek: Microsoft Defender víruskereső, AMSI
Speciális védelem használata zsarolóprogramok ellen
Ez a szabály egy további védelmi réteget biztosít a zsarolóprogramok ellen. Ügyfél- és felhőalapú heurisztika használatával határozza meg, hogy egy fájl hasonlít-e a zsarolóprogramra. Ez a szabály nem tiltja le azokat a fájlokat, amelyek az alábbi jellemzők közül legalább egykel rendelkeznek:
- A fájl nem sértetlen a Microsoft-felhőben.
- A fájl egy érvényes aláírt fájl.
- A fájl elég elterjedt ahhoz, hogy ne tekinthető zsarolóprogramnak.
A szabály általában az óvatosság oldalán fordul elő, hogy megakadályozza a zsarolóprogramokat.
Megjegyzés:
A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .
Intune neve:Advanced ransomware protection
Konfigurációkezelő neve:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Speciális veszélyforrás-keresési művelet típusa:
AsrRansomwareAuditedAsrRansomwareBlocked
Függőségek: Microsoft Defender Víruskereső, Cloud Protection