Megosztás a következőn keresztül:


Támadásifelület-csökkentési szabályok referenciája

Érintett szolgáltatás:

Platformok:

  • A Windows

Ez a cikk Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályokról (ASR-szabályokról) nyújt tájékoztatást:

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Tipp

A cikk kísérőjeként tekintse meg Végponthoz készült Microsoft Defender beállítási útmutatónkat az ajánlott eljárások áttekintéséhez és az olyan alapvető eszközök megismeréséhez, mint a támadási felület csökkentése és a következő generációs védelem. A környezeten alapuló testreszabott élmény érdekében a Végponthoz készült Defender automatikus beállítási útmutatóját a Microsoft 365 Felügyeleti központ érheti el.

Támadásifelület-csökkentési szabályok típus szerint

A támadásifelület-csökkentési szabályok kétféle kategóriába sorolhatók:

  • Standard védelmi szabályok: A Microsoft által ajánlott minimális szabálykészlet mindig engedélyezve van a többi ASR-szabály hatásának és konfigurációs igényeinek kiértékelése közben. Ezek a szabályok általában minimálistól egyáltalán nem észrevehető hatással vannak a végfelhasználóra.

  • Egyéb szabályok: Olyan szabályok, amelyek bizonyos mértékig követik a dokumentált üzembehelyezési lépéseket [Plan > Test (audit) > Enable (block/warn modes)], a Támadásifelület-csökkentési szabályok üzembehelyezési útmutatójában leírtak szerint

A szabványos védelmi szabályok engedélyezésének legegyszerűbb módja a következő: Egyszerűsített szabványos védelmi lehetőség.

ASR-szabály neve: Standard védelmi szabály? Egyéb szabály?
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása Igen
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben Igen
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása Igen
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása Igen
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából Igen
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek Igen
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása Igen
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában Igen
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása Igen
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba Igen
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása Igen
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül Igen
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása Igen
Számítógép újraindításának letiltása csökkentett módban (előzetes verzió) Igen
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása Igen
Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió) Igen
Webshell-létrehozás letiltása kiszolgálókhoz Igen
Win32 API-hívások letiltása Office-makrókból Igen
Speciális védelem használata zsarolóprogramok ellen Igen

Microsoft Defender víruskereső kizárásai és ASR-szabályai

Microsoft Defender víruskereső kizárása bizonyos Végponthoz készült Microsoft Defender képességekre, például a támadásifelület-csökkentési szabályokra vonatkozik.

A következő ASR-szabályok NEM tartják tiszteletben Microsoft Defender víruskereső kivételeit:

ASR-szabályok neve:
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása

Megjegyzés:

A szabályonkénti kizárások konfigurálásáról a Támadásifelület-csökkentési szabályok tesztelése című témakör ASR-szabályok szabályonkénti kizárásainak konfigurálása című szakaszában olvashat.

ASR-szabályok és a Végponthoz készült Defender biztonsági rések mutatói (IOC)

A következő ASR-szabályok nem tartják tiszteletben Végponthoz készült Microsoft Defender biztonsági rések mutatóit (IOC):

ASR-szabály neve Leírás
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket.
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba Nem tartja tiszteletben a fájlok vagy tanúsítványok biztonsági sérülésére utaló jeleket.
Win32 API-hívások letiltása Office-makrókból Nem tartja tiszteletben a tanúsítványok biztonsági sérülésére utaló jeleket.

ASR-szabályok által támogatott operációs rendszerek

Az alábbi táblázat a jelenleg általánosan elérhető szabályok támogatott operációs rendszereit sorolja fel. A szabályok betűrendben vannak felsorolva ebben a táblázatban.

Megjegyzés:

Ha másként nem jelezzük, a minimális Windows 10 build a 1709-es verzió (RS3, 16299-es build) vagy újabb; a Windows Server minimális buildje 1809-es vagy újabb.

A támadásifelület-csökkentési szabályok Windows Server 2012 R2-ben és Windows Server 2016 érhetők el a modern egységes megoldáscsomag használatával előkészített eszközökhöz. További információ: Új Windows Server 2012 R2 és 2016 funkciók a modern egységes megoldásban.

Szabály neve Windows 11
és
Windows 10
Windows Server
2022
és
Windows Server
2019
Windows Server Windows Server
2016 [1, 2]
Windows Server
2012 R2 [1, 2]
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása I I I
1803-es verzió (féléves nagyvállalati csatorna) vagy újabb
I I
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben I
1809-es vagy újabb verzió [3]
I I I I
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása I I I I I
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása I
1803-es vagy újabb verzió [3]
I I I I
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából I I I I I
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek I
1803-es vagy újabb verzió [3]
I I I I
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása I I I I I
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában I I I N N
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása I I I I I
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba I I I I I
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása I I I I I
Adatmegőrzés letiltása a Windows Management Instrumentation (WMI) esemény-előfizetésen keresztül I
1903-es (18362-es build) vagy újabb verzió [3]
I I
1903-es (18362-es build) vagy újabb verzió
N N
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása I
1803-es vagy újabb verzió [3]
I I I I
Számítógép újraindításának letiltása csökkentett módban (előzetes verzió) I I I I I
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása I I I I I
Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió) I I I I I
Webshell-létrehozás letiltása kiszolgálókhoz N I
Csak Exchange-szerepkör
I
Csak Exchange-szerepkör
I
Csak Exchange-szerepkör
I
Csak Exchange-szerepkör
Win32 API-hívások letiltása Office-makrókból I N N N N
Speciális védelem használata zsarolóprogramok ellen I
1803-es vagy újabb verzió [3]
I I I I

(1) A Windows Server 2012 és 2016 modern egységes megoldására vonatkozik. További információ: Windows-kiszolgálók előkészítése a Végponthoz készült Defender szolgáltatásba.

(2) Windows Server 2016 és Windows Server 2012 R2 esetén a Microsoft Endpoint Configuration Manager minimálisan szükséges verziója a 2111-es verzió.

(3) A verzió és a buildszám csak a Windows 10 vonatkozik.

ASR-szabályok által támogatott konfigurációkezelő rendszerek

Az ebben a táblázatban hivatkozott konfigurációkezelési rendszerverziókkal kapcsolatos információkra mutató hivatkozások a táblázat alatt találhatók.

Szabály neve Microsoft Intune Microsoft Endpoint Configuration Manager Csoportházirend[1] PowerShell[1]
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása I I I
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben I I I
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása I I

CB 1710
I I
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása I I

CB 1802
I I
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából I I

CB 1710
I I
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek I I

CB 1802
I I
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása I I

CB 1710
I I
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában I I

CB 1710
I I
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása I I

CB 1710
I I
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba I I

CB 1710
I I
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása I I

CB 1710
I I
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül I I I
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása I I I
Számítógép újraindításának letiltása csökkentett módban (előzetes verzió) I I I
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása I I

CB 1802
I I
Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió) I I I
Webshell-létrehozás letiltása kiszolgálókhoz I I I
Win32 API-hívások letiltása Office-makrókból I I

CB 1710
I I
Speciális védelem használata zsarolóprogramok ellen I I

CB 1802
I I

(1) A támadásifelület-csökkentési szabályokat szabályonként konfigurálhatja bármely szabály GUID azonosítójának használatával.

ASR-szabályonkénti riasztás és értesítés részletei

A bejelentési értesítések a Blokkolás módban lévő összes szabályhoz létre lesznek hozva. A más módban lévő szabályok nem hoznak létre bejelentési értesítéseket.

A megadott "Szabályállapot" értékkel rendelkező szabályok esetén:

  • Az ASR-szabályok asr-szabályával<, a szabályállapot-kombinációkkal> riasztásokat (bejelentési értesítéseket) jeleníthet meg Végponthoz készült Microsoft Defender csak a magas felhőblokkszinten lévő eszközök esetében. A magas felhőblokkszinten nem lévő eszközök nem hoznak létre riasztásokat az <ASR-szabályok, szabályállapot-kombinációk> esetén
  • Az EDR-riasztások a megadott állapotokban lévő ASR-szabályokhoz jönnek létre, a felhőbeli blokkok szintjén lévő eszközök esetében High+
Szabály neve: Szabály állapota: Riasztásokat hoz létre az EDR-ben?
(Igen | Nem)
Bejelentési értesítéseket hoz létre?
(Igen | Nem)
Csak a felhőblokkok szintjén magas szintű eszközök esetén Csak Blokk módban és csak felhőalapú blokkszinten lévő eszközök esetén magas
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása N I
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben Letiltás I I
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása N I
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása N I
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából I I
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek N I
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása Naplózás | Blokk Y | Y N | Y
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában Letiltás I I
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása N I
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba N I
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása N I
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül Naplózás | Blokk Y | Y N | Y
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása N I
Számítógép újraindításának letiltása csökkentett módban (előzetes verzió) N N
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása Naplózás | Blokk Y | Y N | Y
Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió) N N
Webshell-létrehozás letiltása kiszolgálókhoz N N
Win32 API-hívások letiltása Office-makrókból N I
Speciális védelem használata zsarolóprogramok ellen Naplózás | Blokk Y | Y N | Y

ASR-szabály –GUID mátrix

Szabály neve Szabály GUID azonosítója
A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása 56a863a9-875e-4185-98a7-b882c64b5ce5
Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása d4f940ab-401b-4efc-aadc-ad5f3c50688a
A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek 01443614-cd74-433a-b99e-2ecdc07bfc25
A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása 5beb7efe-fd9a-4556-801d-275e5ffc04cc
A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában d3e037e1-3eb8-44c8-a917-57927947596d
Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása 3b576869-a4ec-4529-8536-b80a7769e899
Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása 26190899-1602-49e8-8b27-eb1d0a1ce869
Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
* A fájl- és mappakizárások nem támogatottak.
e6db77e5-3df2-4cf1-b95a-636979351e5b
PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása d1e49aac-8f56-4280-b9ba-993a6d77406c
Számítógép újraindításának letiltása csökkentett módban (előzetes verzió) 33ddedf1-c6e0-47cb-833e-de6133960387
USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Webshell-létrehozás letiltása kiszolgálókhoz a8f5898e-1dc8-49a9-9878-85004b8a61e6
Win32 API-hívások letiltása Office-makrókból 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Speciális védelem használata zsarolóprogramok ellen c1db55ab-c21a-4637-bb3f-a12568109d35

ASR-szabálymódok

  • Nincs konfigurálva vagy Letiltva: Az az állapot, amelyben az ASR-szabály nincs engedélyezve vagy le van tiltva. Az állapot kódja = 0.
  • Blokk: Az az állapot, amelyben az ASR-szabály engedélyezve van. Ennek az állapotnak a kódja 1.
  • Naplózás: Az az állapot, amelyben a rendszer kiértékeli az ASR-szabályt, hogy milyen hatással lenne a szervezetre vagy a környezetre, ha engedélyezve van (letiltás vagy figyelmeztetés). Ennek az állapotnak a kódja 2.
  • Figyelmeztet Az az állapot, amelyben az ASR-szabály engedélyezve van, és értesítést jelenít meg a végfelhasználónak, de engedélyezi a végfelhasználó számára a blokk megkerülését. Ennek az állapotnak a kódja 6.

A Figyelmeztetés mód egy blokkmódú típus, amely figyelmezteti a felhasználókat a potenciálisan kockázatos műveletekre. A felhasználók dönthetnek úgy, hogy kihagyják a letiltás figyelmeztető üzenetét, és engedélyezik a mögöttes műveletet. A felhasználók az OK gombot választva kényszeríthetik ki a blokkot, vagy a letiltáskor létrehozott, végfelhasználói előugró bejelentési értesítésen keresztül választhatják ki a megkerülési lehetőséget – Feloldás – lehetőséget. A figyelmeztetés blokkolásának feloldása után a művelet a figyelmeztető üzenet következő előfordulásáig engedélyezett, ekkor a végfelhasználónak újra kell majd elvégeznie a műveletet.

Amikor az engedélyezés gombra kattint, a blokk 24 órán keresztül el lesz tiltva. 24 óra elteltével a végfelhasználónak újra engedélyeznie kell a blokkot. Az ASR-szabályok figyelmeztetési módja csak RS5+ (1809+) eszközökön támogatott. Ha a megkerülés asr-szabályokhoz van rendelve a régebbi verziójú eszközökön, a szabály letiltott módban lesz.

Riasztási módban is beállíthat egy szabályt a PowerShell-lel, ha a AttackSurfaceReductionRules_Actions "Figyelmeztetés" értékként adja meg. Például:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Szabályonkénti leírások

A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása

Ez a szabály megakadályozza, hogy egy alkalmazás sebezhető aláírt illesztőprogramot írjon a lemezre. A vadon élő, sebezhető aláírt illesztőprogramokat a helyi alkalmazások – amelyek megfelelő jogosultságokkal rendelkeznek – kihasználhatják a kernelhez való hozzáféréshez. A sebezhető aláírt illesztőprogramok lehetővé teszik a támadók számára a biztonsági megoldások letiltását vagy megkerülését, ami végül a rendszer sérüléséhez vezet.

A kihasznált sebezhető aláírt illesztőprogramokkal való visszaélés megakadályozása szabály nem akadályozza meg a rendszeren már meglévő illesztőprogramok betöltését.

Megjegyzés:

Ezt a szabályt Intune OMA-URI használatával konfigurálhatja. Az egyéni szabályok konfigurálásához lásd: Intune OMA-URI.

Ezt a szabályt a PowerShell használatával is konfigurálhatja.

Ha meg szeretne vizsgálni egy illesztőprogramot, ezen a webhelyen elküldhet egy illesztőprogramot elemzésre.

Intune neve:Block abuse of exploited vulnerable signed drivers

Configuration Manager neve: Még nem érhető el

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Speciális veszélyforrás-keresési művelet típusa:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben

Ez a szabály megakadályozza a támadásokat azáltal, hogy blokkolja az Adobe Readert a folyamatok létrehozásában.

A kártevők hasznos adatokat tölthetnek le és indíthatnak el, és közösségi tervezéssel vagy biztonsági résekkel törhetnek ki az Adobe Readerből. Az Adobe Reader által generált gyermekfolyamatok blokkolásával az Adobe Readert támadási vektorként használó kártevők nem terjednek.

Intune neve:Process creation from Adobe Reader (beta)

Configuration Manager neve: Még nem érhető el

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Speciális veszélyforrás-keresési művelet típusa:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása

Ez a szabály megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat hozzanak létre. Az Office-alkalmazások közé tartozik a Word, az Excel, a PowerPoint, a OneNote és az Access.

A rosszindulatú gyermekfolyamatok létrehozása gyakori kártevőkezelési stratégia. Az Office-t vektorként visszaélő kártevők gyakran futtatnak VBA-makrókat, és kihasználják a kódot a további hasznos adatok letöltéséhez és futtatásához. Egyes megbízható üzletági alkalmazások azonban jóindulatú célokból gyermekfolyamatokat is létrehozhatnak; például parancssort hoz létre, vagy a PowerShell használatával konfigurálja a beállításjegyzék beállításait.

Intune neve:Office apps launching child processes

Configuration Manager neve:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása

Megjegyzés:

Ha az LSA-védelem engedélyezve van, és a Credential Guard engedélyezve van, ez a támadásifelület-csökkentési szabály nem szükséges.

Ez a szabály a helyi biztonsági hatóság alrendszerszolgáltatásának (LSASS) zárolásával segít megelőzni a hitelesítő adatok ellopását.

Az LSASS hitelesíti a Windows rendszerű számítógépen bejelentkező felhasználókat. Microsoft Defender Credential Guard a Windowsban általában megakadályozza a hitelesítő adatok LSASS-ből való kinyerésére tett kísérleteket. Egyes szervezetek nem tudják engedélyezni a Credential Guardot az összes számítógépükön, mert kompatibilitási problémák léptek fel az egyéni intelligenskártya-illesztőprogramokkal vagy más, a Helyi biztonsági hatóságba (LSA) betöltött programokkal. Ezekben az esetekben a támadók a Mimikatzhoz hasonló eszközökkel kérnek le egyértelmű szöveges jelszavakat és NTLM-kivonatokat az LSASS-ből.

Alapértelmezés szerint ennek a szabálynak az állapota blokkra van állítva. A legtöbb esetben számos folyamat hívja meg az LSASS-t a nem szükséges hozzáférési jogokért. Például amikor az ASR-szabály kezdeti blokkja egy későbbi, kisebb jogosultságra vonatkozó hívást eredményez, amely később sikeres lesz. Az LSASS-hez intézett folyamathívások során általában kért jogtípusokkal kapcsolatos információkért lásd: Folyamatbiztonsági és hozzáférési jogok.

A szabály engedélyezése nem nyújt további védelmet, ha az LSA-védelem engedélyezve van, mivel az ASR-szabály és az LSA-védelem hasonló módon működik. Ha azonban az LSA-védelem nem engedélyezhető, ez a szabály konfigurálható úgy, hogy egyenértékű védelmet nyújtson a célként szolgáló lsass.exekártevők ellen.

Megjegyzés:

Ebben a forgatókönyvben az ASR-szabály "nem alkalmazható" besorolású a Végponthoz készült Defender beállításai között a Microsoft Defender portálon.

A Hitelesítő adatok windowsos helyi biztonsági hatóság alrendszeréből való ellopása – ASR-szabály nem támogatja a WARN módot.

Egyes alkalmazásokban a kód felsorolja az összes futó folyamatot, és megkísérli őket teljes körű engedélyekkel megnyitni. Ez a szabály letiltja az alkalmazás folyamatmegnyitási műveletét, és naplózza a részleteket a biztonsági eseménynaplóba. Ez a szabály nagy zajt okozhat. Ha olyan alkalmazással rendelkezik, amely egyszerűen felsorolja az LSASS-t, de nincs tényleges hatása a funkciókra, nem kell hozzáadnia a kizárási listához. Ez az eseménynapló-bejegyzés önmagában nem feltétlenül jelent kártékony fenyegetést.

Intune neve:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager neve:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Speciális veszélyforrás-keresési művelet típusa:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Függőségek: Microsoft Defender víruskereső

Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából

Ez a szabály megakadályozza, hogy a Microsoft Outlook alkalmazásban megnyitott e-mailek, illetve Outlook.com és más népszerű webposta-szolgáltatók propagálják a következő fájltípusokat:

  • Végrehajtható fájlok (például .exe, .dll vagy .scr)
  • Szkriptfájlok (például PowerShell-.ps1, Visual Basic .vbs vagy JavaScript .js fájl)

Intune neve:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager neve:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Speciális veszélyforrás-keresési művelet típusa:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Függőségek: Microsoft Defender víruskereső

Megjegyzés:

A Végrehajtható tartalom letiltása levelezőügyfélről és webpostáról szabály a következő alternatív leírásokat tartalmazza attól függően, hogy melyik alkalmazást használja:

  • Intune (konfigurációs profilok): Az e-mailből elvetett végrehajtható tartalmak (exe, dll, ps, js, vbs stb.) végrehajtása (nincs kivétel).
  • Configuration Manager: Végrehajtható tartalom letöltésének letiltása e-mail- és webposta-ügyfelekről.
  • Csoportházirend: E-mail ügyfélprogram és webposta végrehajtható tartalmainak letiltása.

A végrehajtható fájlok futásának letiltása, kivéve, ha megfelelnek egy elterjedtségi, kor- vagy megbízható listafeltételnek

Ez a szabály letiltja a végrehajtható fájlokat( például .exe, .dll vagy .scr) az indítástól. Így a nem megbízható vagy ismeretlen végrehajtható fájlok indítása kockázatos lehet, mivel előfordulhat, hogy kezdetben nem egyértelmű, ha a fájlok rosszindulatúak.

Fontos

A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .

A Végrehajtható fájlok futtatásának letiltása szabály, kivéve, ha megfelelnek egy elterjedt, korú vagy megbízható listára vonatkozó feltételnek a GUID azonosítóval 01443614-cd74-433a-b99e-2ecdc07bfc25 , a Microsoft tulajdonában van, és nem a rendszergazdák írják elő. Ez a szabály a felhőben biztosított védelmet használja a megbízható listájának rendszeres frissítéséhez.

Megadhatja az egyes fájlokat vagy mappákat (mappaútvonalak vagy teljes erőforrásnevek használatával), de nem adhatja meg, hogy mely szabályokra vagy kizárásokra vonatkozzanak.

Intune neve:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager neve:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Speciális veszélyforrás-keresési művelet típusa:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Függőségek: Microsoft Defender Víruskereső, Cloud Protection

A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása

Ez a szabály gyanús tulajdonságokat észlel egy rejtjelezett szkriptben.

Fontos

A PowerShell-szkriptek mostantól támogatottak a "Vélhetően rejtjelezett szkriptek végrehajtásának blokkolása" szabály esetében.

A parancsfájlok elfedése gyakori technika, amelyet a kártevő-szerzők és a jogos alkalmazások is használnak a szellemi tulajdon elrejtésére vagy a szkript betöltési idejének csökkentésére. A kártevő-szerzők a rejtjelek használatával is megnehezítik a rosszindulatú kódok olvasását, ami akadályozza az emberek és a biztonsági szoftverek alapos vizsgálatát.

Intune neve:Obfuscated js/vbs/ps/macro code

Configuration Manager neve:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Speciális veszélyforrás-keresési művelet típusa:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Függőségek: Microsoft Defender víruskereső, kártevőirtó vizsgálati felület (AMSI)

A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában

Ez a szabály megakadályozza, hogy a szkriptek rosszindulatúan letöltött tartalmakat indítsanak el. A JavaScriptben vagy VBScriptben írt kártevők gyakran letöltőként működnek, és más kártevőket is lekérnek és elindítanak az internetről.

Bár nem gyakori, az üzletági alkalmazások néha szkriptekkel töltik le és indítják el a telepítőket.

Intune neve:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager neve:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Speciális veszélyforrás-keresési művelet típusa:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Függőségek: Microsoft Defender víruskereső, AMSI

Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása

Ez a szabály megakadályozza, hogy az Office-alkalmazások, köztük a Word, az Excel és a PowerPoint potenciálisan rosszindulatú végrehajtható tartalmakat hozzanak létre, mivel megakadályozzák a rosszindulatú kódok lemezre írását.

Az Office-t vektorként visszaélő kártevők megpróbálhatnak kitörni az Office-ból, és a kártékony összetevőket lemezre menthetik. Ezek a rosszindulatú összetevők túlélik a számítógép újraindítását, és megmaradnak a rendszeren. Ezért ez a szabály védelmet nyújt egy közös adatmegőrzési technikával szemben. Ez a szabály az Office-fájlokban futtatható Office-makrók által esetleg mentett nem megbízható fájlok végrehajtását is letiltja.

Intune neve:Office apps/macros creating executable content

Configuration Manager neve:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Speciális veszélyforrás-keresési művelet típusa:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Függőségek: Microsoft Defender víruskereső, RPC

Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba

Ez a szabály letiltja az Office-alkalmazásokból más folyamatokba történő kódinjektálási kísérleteket.

Megjegyzés:

A Block applications from injeking code into other processes ASR rule nem támogatja a WARN módot.

Fontos

Ehhez a szabályhoz újra kell indítani Microsoft 365-alkalmazások (Office-alkalmazások) a konfigurációs módosítások érvénybe léptetéséhez.

Előfordulhat, hogy a támadók az Office-alkalmazásokkal próbálják áttelepíteni a kártékony kódot más folyamatokba kódinjektálás útján, hogy a kód tiszta folyamatként álcázható legyen.

A kódinjektálásnak nincsenek ismert törvényes üzleti céljai.

Ez a szabály a Word, az Excel, a OneNote és a PowerPoint alkalmazásra vonatkozik.

Intune neve:Office apps injecting code into other processes (no exceptions)

Configuration Manager neve:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Függőségek: Microsoft Defender víruskereső

Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása

Ez a szabály megakadályozza, hogy az Outlook gyermekfolyamatokat hozzon létre, miközben továbbra is engedélyezi a megbízható Outlook-függvényeket.

Ez a szabály védelmet nyújt a szociális mérnöki támadások ellen, és megakadályozza, hogy a kód kihasználása az Outlook biztonsági réseit kihasználja. Emellett védelmet nyújt az Outlook-szabályokkal és -űrlapokkal szemben, amelyeket a támadók a felhasználó hitelesítő adatainak feltörésekor használhatnak.

Megjegyzés:

Ez a szabály letiltja a DLP-házirendtippeket és az elemleírásokat az Outlookban. Ez a szabály csak az Outlookra és Outlook.com vonatkozik.

Intune neve:Process creation from Office communication products (beta)

Configuration Manager neve: Nem érhető el

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül

Ez a szabály megakadályozza, hogy a kártevők visszaéljenek a WMI-vel az eszközön való megőrzés érdekében.

Fontos

A fájl- és mappakizárások nem vonatkoznak erre a támadásifelület-csökkentési szabályra.

A fájl nélküli fenyegetések különböző taktikákat alkalmaznak, hogy rejtve maradjanak, hogy ne legyenek láthatók a fájlrendszerben, és rendszeres végrehajtás-vezérlést szerezzenek. Egyes fenyegetések visszaélhetnek a WMI-adattárral és az eseménymodellel, hogy rejtve maradjanak.

Megjegyzés:

Ha CcmExec.exe (SCCM Agent) észlelhető az eszközön, az ASR-szabály "nem alkalmazható" besorolást kapott a Végponthoz készült Defender beállításai között a Microsoft Defender portálon.

Intune neve:Persistence through WMI event subscription

Configuration Manager neve: Nem érhető el

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Speciális veszélyforrás-keresési művelet típusa:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Függőségek: Microsoft Defender víruskereső, RPC

PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása

Ez a szabály letiltja a PsExec és a WMI használatával létrehozott folyamatokat. A PsExec és a WMI is képes távolról végrehajtani a kódot. Fennáll annak a kockázata, hogy a kártevők visszaélnek a PsExec és a WMI funkcióival parancs- és ellenőrzési célokból, vagy egy fertőzést terjesztenek a szervezet hálózatán.

Figyelmeztetés

Csak akkor használja ezt a szabályt, ha az eszközöket Intune vagy más MDM-megoldással kezeli. Ez a szabály nem kompatibilis a Microsoft Endpoint Configuration Manager-on keresztüli felügyelettel, mivel ez a szabály letiltja a CONFIGURATION MANAGER-ügyfél által a megfelelő működéshez használt WMI-parancsokat.

Intune neve:Process creation from PSExec and WMI commands

Configuration Manager neve: Nem alkalmazható

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Speciális veszélyforrás-keresési művelet típusa:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Függőségek: Microsoft Defender víruskereső

Számítógép újraindításának letiltása csökkentett módban (előzetes verzió)

Ez a szabály megakadályozza a gépek csökkentett módban történő újraindítására vonatkozó parancsok végrehajtását.

A csökkentett mód egy diagnosztikai mód, amely csak a Windows futtatásához szükséges alapvető fájlokat és illesztőprogramokat tölti be. Csökkentett módban azonban számos biztonsági termék le van tiltva, vagy korlátozott kapacitással működik, ami lehetővé teszi a támadók számára az illetéktelen módosítási parancsok további elindítását, vagy egyszerűen csak végrehajtják és titkosítják a gépen lévő összes fájlt. Ez a szabály blokkolja az ilyen támadásokat, mert megakadályozza, hogy a folyamatok csökkentett módban újraindítják a gépeket.

Megjegyzés:

Ez a képesség jelenleg előzetes verzióban érhető el. A hatékonyságot javító további frissítések fejlesztés alatt állnak.

Intune neve:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager neve: Még nem érhető el

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Speciális veszélyforrás-keresési művelet típusa:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Függőségek: Microsoft Defender víruskereső

USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása

Ezzel a szabállyal a rendszergazdák megakadályozhatják az aláíratlan vagy nem megbízható végrehajtható fájlok futtatását USB cserélhető meghajtókról, beleértve az SD-kártyákat is. A letiltott fájltípusok végrehajtható fájlokat (például .exe, .dll vagy .scr) tartalmaznak

Fontos

Az USB-meghajtóról a lemezmeghajtóra másolt fájlokat ez a szabály blokkolja, ha és amikor a lemezmeghajtón végre szeretné hajtani.

Intune neve:Untrusted and unsigned processes that run from USB

Configuration Manager neve:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Speciális veszélyforrás-keresési művelet típusa:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Függőségek: Microsoft Defender víruskereső

Másolt vagy megszemélyesített rendszereszközök használatának letiltása (előzetes verzió)

Ez a szabály letiltja a Windows rendszereszközök példányaként azonosított végrehajtható fájlok használatát. Ezek a fájlok az eredeti rendszereszközök duplikált vagy megszemélyesítői.

Egyes rosszindulatú programok megpróbálhatnak windowsos rendszereszközöket másolni vagy megszemélyesíteni az észlelés elkerülése vagy a jogosultságok megszerzése érdekében. Az ilyen végrehajtható fájlok engedélyezése potenciális támadásokhoz vezethet. Ez a szabály megakadályozza a windowsos gépeken futó rendszereszközök ilyen duplikált példányainak és impostorainak propagálását és végrehajtását.

Megjegyzés:

Ez a képesség jelenleg előzetes verzióban érhető el. A hatékonyságot javító további frissítések fejlesztés alatt állnak.

Intune neve:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager neve: Még nem érhető el

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Speciális veszélyforrás-keresési művelet típusa:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Függőségek: Microsoft Defender víruskereső

Webshell-létrehozás letiltása kiszolgálókhoz

Ez a szabály letiltja a webes rendszerhéjszkript létrehozását a Microsoft Server exchange-szerepkörében.

A webfelületi szkript egy kifejezetten kialakított szkript, amely lehetővé teszi a támadó számára a feltört kiszolgáló vezérlését. A webes rendszerhéj tartalmazhat olyan funkciókat, mint a rosszindulatú parancsok fogadása és végrehajtása, rosszindulatú fájlok letöltése és végrehajtása, hitelesítő adatok és bizalmas adatok ellopása és kiszivárgása, a potenciális célok azonosítása stb.

Intune neve:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Függőségek: Microsoft Defender víruskereső

Win32 API-hívások letiltása Office-makrókból

Ez a szabály megakadályozza, hogy a VBA-makrók Win32 API-kat hívjanak meg.

Az Office VBA lehetővé teszi a Win32 API-hívások használatát. A kártevők visszaélhetnek ezzel a képességgel, például meghívhatják a Win32 API-kat, hogy kártékony rendszerhéjkódot indítsanak anélkül , hogy bármit közvetlenül a lemezre írnak. A legtöbb szervezet nem támaszkodik arra, hogy meghívja a Win32 API-kat a mindennapi működésük során, még akkor sem, ha más módon használnak makrókat.

Intune neve:Win32 imports from Office macro code

Configuration Manager neve:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Speciális veszélyforrás-keresési művelet típusa:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Függőségek: Microsoft Defender víruskereső, AMSI

Speciális védelem használata zsarolóprogramok ellen

Ez a szabály egy további védelmi réteget biztosít a zsarolóprogramok ellen. Ügyfél- és felhőalapú heurisztika használatával határozza meg, hogy egy fájl hasonlít-e a zsarolóprogramra. Ez a szabály nem tiltja le azokat a fájlokat, amelyek az alábbi jellemzők közül legalább egykel rendelkeznek:

  • A fájl már sértetlennek bizonyult a Microsoft-felhőben.
  • A fájl egy érvényes aláírt fájl.
  • A fájl elég elterjedt ahhoz, hogy ne tekinthető zsarolóprogramnak.

A szabály általában az óvatosság oldalán fordul elő, hogy megakadályozza a zsarolóprogramokat.

Megjegyzés:

A szabály használatához engedélyeznie kell a felhőben biztosított védelmet .

Intune neve:Advanced ransomware protection

Configuration Manager neve:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Speciális veszélyforrás-keresési művelet típusa:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Függőségek: Microsoft Defender Víruskereső, Cloud Protection

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.