攻撃面の縮小 (ASR) ルールと除外を構成する

  • 適用対象: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

攻撃面の縮小 (ASR) ルール は、マルウェアを通じて一般的に悪用される Windows デバイス上の危険なソフトウェア動作を対象としています (たとえば、ファイルをダウンロードするスクリプトの起動、難読化されたスクリプトの実行、他のプロセスへのコードの挿入など)。 この記事では、ASR 規則を有効にして構成する方法について説明します。

最適な結果を得るには、Microsoft IntuneやMicrosoft Configuration Managerなどのエンタープライズ レベルの管理ソリューションを使用して ASR ルールを管理します。 Intuneまたは Configuration Manager からの ASR ルール設定は、起動時にグループ ポリシーまたは PowerShell から競合するすべての設定を上書きします。

前提条件

詳細については、「 ASR 規則の要件」を参照してください。

Microsoft Intuneで ASR 規則を構成する

Microsoft Intuneは、ASR ルール ポリシーを構成してデバイスに配布するための推奨ツールです。 Microsoft Intune プラン 1が必要です (Microsoft 365 E3などのサブスクリプションに含まれるか、スタンドアロン アドオンとして使用できます)。

Intuneでは、エンドポイント セキュリティ ポリシーは ASR 規則を展開するための推奨される方法ですが、他の方法も次のサブセクションで説明するようにIntuneで使用できます。

エンドポイント セキュリティ ポリシーを使用してIntuneで ASR ルールと除外を構成する

Microsoft Intune Endpoint Security Attack surface reduction ポリシーを使用して ASR ルールを構成するには、「エンドポイント セキュリティ ポリシーを作成する (Intune ドキュメントの新しいタブで開く)」を参照してください。 ポリシーを作成するときは、次の設定を使用します。

重要

Microsoft Defender for Endpoint管理では、デバイス オブジェクトのみがサポートされます。 ユーザーのターゲット設定はサポートされていません。 ユーザー グループではなく、Microsoft Entra デバイス グループにポリシーを割り当てます。

  • ポリシーの種類: 攻撃面の縮小
  • プラットフォーム: Windows
  • プロファイル: 攻撃面の縮小ルール
  • 構成設定:

    • 攻撃面の縮小: 通常、テストなしでブロックモードまたは警告モードで標準保護ルールを有効にすることができます。 監査 モードで 他の ASR ルールをテストしてから、[ ブロック ] または [ 警告 ] モードに切り替える必要があります。 詳細については、 ASR ルールのデプロイ ガイドを参照してください。

      ルール モードを [監査]、[ ブロック]、または [警告] に設定すると、[ ルールの除外] セクションごとに ASR のみが 表示され、そのルールにのみ適用される除外を指定できます。

    • 攻撃面の縮小のみ除外: このセクションを使用して、すべての ASR 規則に適用される除外を指定します。

      ASR 規則ごとの除外またはグローバル ASR ルールの除外を指定するには、次のいずれかの方法を使用します。

      • [追加] を選択します。 表示されるボックスに、除外するパスまたはパスとファイル名を入力します。 例:

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path

      • [ インポート] を選択して、除外するファイルとフォルダーの名前を含む CSV ファイルをインポートします。 CSV ファイルでは、次の形式が使用されます。

        AttackSurfaceReductionOnlyExclusions
"C:\folder"
"%ProgramFiles%\folder\file.exe"
"C:\path"
...

        ヒント

        値を囲む二重引用符は省略可能であり、含める場合は無視されます (値には使用されません)。 値の周囲に単一引用符を使用しないでください。

      除外の詳細については、「 ASR 規則のファイルとフォルダーの除外」を参照してください。

    • フォルダー アクセスの制御フォルダー アクセス保護フォルダーの制御、および フォルダー アクセス許可アプリケーションの制御を有効にする: 詳細については、「 フォルダー アクセスを制御して重要なフォルダーを保護する」を参照してください。

OMA-URIs と CSP でカスタム プロファイルを使用して、Intuneで ASR ルールを構成する

エンドポイント セキュリティ ポリシーをお勧めしますが、Windows ポリシー構成サービス プロバイダー (CSP) を使用して、Open Mobile Alliance – Uniform Resource (OMA-URI) プロファイルを含むカスタム プロファイルを使用して、Intuneで ASR ルールを構成することもできます。

Intuneでの OMA-URIs に関する一般的な情報については、「Intuneを介して CSP をターゲットに OMA-URIs をデプロイする」と「オンプレミスとの比較」を参照してください。

  1. https://intune.microsoft.comのMicrosoft Intune管理センターで、[デバイス>管理デバイス>Configuration] を選択します。 または、デバイスに直接移動するには |[構成] ページで、 https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configurationを使用します。

  2. [デバイス] の [ ポリシー ] タブ |[構成 ] ページで、[ 作成>新しいポリシー] を選択します。

    [作成] が選択されたMicrosoft Intune管理センターの [デバイス - 構成] ページの [ポリシー] タブのスクリーンショット。

  3. いた [プロファイルの作成 ] ポップアップで、次の設定を構成します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [テンプレート] を選択します。
      • 表示される [ テンプレート名 ] セクションで、[ カスタム] を選択します。

    [作成] を選択します。

    Microsoft Intune管理センター ポータルのルール プロファイル属性のスクリーンショット。

  4. カスタム テンプレート ウィザードが開きます。 [ 基本 ] タブで、次の設定を構成します。

    • [名前]: テンプレートの一意の名前を入力します。
    • 説明: 省略可能な説明を入力します。

    [ 基本 ] タブが完了したら、[ 次へ] を選択します。

  5. [ 構成設定 ] タブで、[ 追加] を選択します。

    Microsoft Intune管理センター ポータルの構成設定を示すスクリーンショット。

    開いた [行の追加] ポップアップで、次の設定を構成します。

    • [名前]: ルールの一意の名前を入力します。

    • 説明: 省略可能な簡単な説明を入力します。

    • OMA-URI: AttackSurfaceReductionRules CSP のデバイス値を入力します。./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • データ型: [文字列] を選択します。

      • : 次の構文を使用します。

        <RuleGuid1>=<ModeForRuleGuid1>
<RuleGuid2>=<ModeForRuleGuid2>
...
<RuleGuidN>=<ModeForRuleGuidN>
        • ASR 規則の GUID 値は、 ASR 規則で使用できます。
        • 次の ルール モード を使用できます。
          • 0:オフ
          • 1:ブロック
          • 2:監査
          • 5: 未構成
          • 6:警告

        例:

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
3b576869-a4ec-4529-8536-b80a7769e899=1
d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
d3e037e1-3eb8-44c8-a917-57927947596d=1
5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

      Microsoft Intune 管理センターの OMA URI 構成の [構成設定] タブの [行の追加] ポップアップのスクリーンショット。

      [ 行の追加] ポップアップが完了したら、[保存] を選択 します

      ヒント

      この時点で、除外のためだけに別のプロファイルを作成するのではなく、カスタム プロファイルにグローバル ASR ルールの除外を追加することもできます。 手順については、次のサブセクション「OMA-URIs と CSP でカスタム プロファイルを使用してIntuneでグローバル ASR ルールの除外を構成する」を参照してください。

    [ 構成設定 ] タブに戻り、[ 次へ] を選択します。

  6. [ 割り当て ] タブで、次の設定を構成します。

    • [含まれるグループ ] セクション: 次のいずれかのオプションを選択します。
      • [グループの追加]: 含めるグループを 1 つ以上選択します。
      • すべてのユーザーを追加する
      • すべてのデバイスを追加する
    • [除外されたグループ ] セクション: [ グループの追加] を選択して、除外するグループを指定します。

    [ 割り当て ] タブが完了したら、[ 次へ] を選択します。

    Microsoft Intune管理センターの OMA URI 構成の [割り当て] タブのスクリーンショット。

  7. [ 適用性ルール ] タブで、[ 次へ] を選択します。

    OS エディションOS バージョンのプロパティを使用して、プロファイルを取得する必要がある、または取得しないデバイスの種類を定義できます。

    Microsoft Intune管理センター ポータルの適用規則。

  8. [ 確認と作成 ] タブで、設定を確認します。 [ 前へ] を使用するか、タブを選択して戻って変更を加えることができます。

    プロファイルを作成する準備ができたら、[確認と作成] タブで [作成] を選択します。

    Microsoft Intune管理センター ポータルの [確認と作成] タブを示すスクリーンショット。

[デバイス] の [ ポリシー ] タブにすぐに戻ります 。 |[構成] ページ。 ポリシーを表示するには、[ 更新 ] を選択する必要がある場合があります。

ASR ルールは数分以内にアクティブになります。

OMA-URIs と CSP でカスタム プロファイルを使用してIntuneでグローバル ASR ルールの除外を構成する

カスタム プロファイルを使用してIntuneでグローバル ASR ルールの除外を構成する手順は、前のセクションの ASR 規則の手順とよく似ています。 唯一の違いは、ASR ルール例外の情報を入力する手順 5 ( [構成設定 ] タブ) にあります。

[ 構成設定 ] タブで、[ 追加] を選択します。 開いた [行の追加] ポップアップで、次の設定を構成します。

  • [名前]: ルールの一意の名前を入力します。
    • 説明: 省略可能な簡単な説明を入力します。
    • OMA-URI: AttackSurfaceReductionOnlyExclusions CSP のデバイス値を入力します。./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

      • データ型: [文字列] を選択します。

      • : 次の構文を使用します。

        <PathOrPathAndFilename1>
<PathOrPathAndFilename1>
...
<PathOrPathAndFilenameN>

        例:

        C:\folder
%ProgramFiles%\folder\file.exe
C:\path

[ 行の追加] ポップアップが完了したら、[保存] を選択 します

[ 構成設定 ] タブに戻り、[ 次へ] を選択します。

残りの手順は、ASR 規則の構成と同じです。

ポリシー CSP を使用して任意の MDM ソリューションで ASR ルールを構成する

ポリシー構成サービス プロバイダー (CSP) を使用すると、エンタープライズ組織は、Microsoft Intuneだけでなく、任意のモバイル デバイス管理 (MDM) ソリューションを使用して Windows デバイスにポリシーを構成できます。 詳細については、「 ポリシー CSP」を参照してください。

次の設定を使用して 、AttackSurfaceReductionRules CSP を使用して ASR ルールを構成できます。

OMA-URI パス: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • ASR ルールの GUID 値は、ASR ルールで使用できます
  • 次の ルール モード を使用できます。
    • 0:オフ
    • 1:ブロック
    • 2:監査
    • 5: 未構成
    • 6:警告

例:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

注:

スペースを含まない OMA-URI 値を必ず入力してください。

ポリシー CSP を使用して任意の MDM ソリューションでグローバル ASR ルールの除外を構成する

ポリシー CSP を使用すると、次の設定で AttackSurfaceReductionOnlyExclusions CSP を使用して、グローバル ASR ルールのパスとパスとファイル名の除外を構成できます。

OMA-URI パス: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

たとえば、C:\folder|%ProgramFiles%\folder\file.exe|C:\path のように指定します。

Microsoft Configuration Managerで ASR ルールとグローバル ASR ルールの除外を構成する

手順については、「 Exploit Guard ポリシーの作成と展開」の攻撃面の縮小に関する情報を参照してください。

警告

実際の適用なしで準拠としてマークされているサーバー OS バージョンでの攻撃面の削減の適用可能性に関する既知の問題があります。 現時点では、これが修正されるリリース日は定義されていません。

重要

[管理者の差し込み印刷を無効にする] をデバイスで true に設定し、次のいずれかのツール/方法を使用している場合、規則ごとの除外またはローカルの ASR ルールの除外に ASR ルールを追加しても適用されません。

  • Microsoft Defender ポータルの [エンドポイント セキュリティ ポリシー] ページの [Defender for Endpoint Security Settings Management (ローカル 管理 マージを無効にする)] [Windows ポリシー] タブhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
  • Microsoft Intune (ローカル 管理マージを無効にする)
  • Defender CSP (DisableLocalAdminMerge)
  • グループ ポリシー (リストのローカル管理者のマージ動作を構成する)

この動作を変更するには、"管理者のマージを無効にする" を falseに変更する必要があります。

グループ ポリシーで ASR ルールと除外を構成する

警告

Intune、Microsoft Configuration Manager、またはその他のエンタープライズ レベルの管理ソフトウェアを使用してコンピューターとデバイスを管理する場合、起動時に競合するグループ ポリシー設定が管理ソフトウェアによって上書きされます。

  1. 一元化されたグループ ポリシーで、グループ ポリシー管理コンピューターでグループ ポリシー管理コンソール (GPMC) を開きます。

  2. GPMC コンソール ツリーで、編集する GPO を含むフォレストとドメインの [オブジェクト] グループ ポリシー展開します。

  3. GPO を右クリックし、[編集] を選択 します

  4. グループ ポリシー管理エディターで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Microsoft DefenderExploit Guard > Attack Surface Reduction に移動します。

  5. [攻撃面の縮小] の詳細ウィンドウで、使用可能な設定は次のとおりです。

    ASR ルール設定を開いて構成するには、次のいずれかの方法を使用します。

    • 設定をダブルクリックします。
    • 設定を右クリックし、[編集] を選択します
    • 設定を選択し、[ アクション>編集] を選択します。

ヒント

ローカル グループ ポリシー エディター (gpedit.msc) を使用して、個々のデバイスでローカルにグループ ポリシーを構成することもできます。 同じパス (コンピューターの構成>管理用テンプレート>Windows コンポーネント>ウイルス対策Microsoft Defenderウイルス対策>Microsoft DefenderExploit Guard>Attack Surface Reduction) に移動します。

使用可能な設定については、次のサブセクションで説明します。

重要

グループ ポリシーの ASR ルール関連の値では、引用符、先頭のスペース、末尾のスペース、および余分な文字はサポートされていません。

バージョン 2004 (2020 年 5 月) より前の Windows 10グループ ポリシーパスでは、Microsoft Defender ウイルス対策ではなく Windows Defender ウイルス対策が使用される場合があります。 どちらの名前も同じポリシーの場所を参照します。

グループ ポリシーで ASR ルールを構成する

  1. [攻撃面の縮小] の詳細ウィンドウで、[攻撃面の縮小ルールの構成] 設定を開きます。

  2. 開いた設定ウィンドウで、次のオプションを構成します。

    1. [有効] を選択します。
    2. 各 ASR ルールの状態を設定する: [表示]を選択します。...

  3. [開く 各 ASR ルールの状態を設定 する] ダイアログで、次の設定を構成します。

    グループ ポリシーでの攻撃表面の縮小ルールの構成のスクリーンショット。

    詳細については、「 ASR ルール モード」を参照してください。

    必要な回数だけこの手順を繰り返します。 完了したら、[ OK] を選択します

グループ ポリシーでグローバル ASR ルールの除外を構成する

指定したパスを含むパスまたはファイル名は、すべての ASR 規則の除外として使用されます。

  1. [攻撃面の縮小] の詳細ウィンドウで、[攻撃面の縮小ルールからファイルとパスを除外する] 設定を開きます。

  2. 開いた設定ウィンドウで、次のオプションを構成します。

    1. [有効] を選択します。
    2. ASR ルールからの除外: [表示]を選択します。...

  3. いた [ASR 規則からの除外] ダイアログで、次の設定を構成します。

    • 値名: すべての ASR 規則から除外するパスまたはパスとファイル名を入力します。
    • : 「 0」と入力します。

    次の種類の値名がサポートされています。

    • フォルダー内のすべてのファイルを除外するには、完全なフォルダー パスを入力します。 たとえば、「 C:\Data\Test 」のように入力します。
    • 特定のフォルダー内の特定のファイルを除外する (推奨) には、パスとファイル名を入力します。 たとえば、「 C:\Data\Test\test.exe 」のように入力します。

    必要な回数だけこの手順を繰り返します。 完了したら、[ OK] を選択します

グループ ポリシーで ASR 規則ごとの除外を構成する

指定したパスを含むパスまたはファイル名は、特定の ASR 規則の除外として使用されます。

注:

[特定の攻撃面の縮小 (ASR) 規則に除外の一覧を適用する] 設定が GPMC で使用できない場合は、中央ストア管理用テンプレート ファイルのバージョン 24H2 以降が必要です。

  1. [攻撃面の縮小] の詳細ウィンドウで、[特定の攻撃面の縮小 (ASR) ルールに除外の一覧を適用する] 設定を開きます。

  2. 開いた設定ウィンドウで、次のオプションを構成します。

    1. [有効] を選択します。
    2. 各 ASR ルールの除外: [表示....] を選択します。

  3. く各 ASR 規則の [除外] ダイアログで、次の設定を構成します。

    • 値名: ASR 規則の GUID 値を入力します
    • : ASR 規則の除外を 1 つ以上入力します。 構文 Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameNを使用します。 たとえば、「 C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe 」のように入力します。

    必要な回数だけこの手順を繰り返します。 完了したら、[ OK] を選択します

PowerShell で ASR 規則を構成する

警告

Intune、Configuration Manager、またはその他のエンタープライズ レベルの管理プラットフォームを使用してコンピューターとデバイスを管理する場合、起動時に競合する PowerShell 設定が管理ソフトウェアによって上書きされます。

ターゲット デバイスで、管理者特権の PowerShell セッション ([ 管理者として実行] を選択して開いた PowerShell ウィンドウ) で、次の PowerShell コマンド構文を使用します。

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

  • Set-MpPreference は、既存のルールとそれに対応するモードを、指定した値で上書きします。 既存の値の一覧を表示するには、次のコマンドを実行します。

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

    既存の値に影響を与えずに新しいルールとそれに対応するモードを追加するには、 Add-MpPreference コマンドレットを使用します。 指定したルールとそれに対応するモードを他の既存の値に影響を与えずに削除するには、 Remove-MpPreference コマンドレットを使用します。 コマンド構文は、3 つのコマンドレットで同じです。

  • ASR 規則の GUID 値は、 ASR 規則で使用できます。

  • AttackSurfaceReductionRules_Actions パラメーターの有効な値は次のとおりです。

    • 0 または Disabled
    • 1 または Enabled (ブロック モード)
    • 2 または AuditMode または Audit
    • 5 または NotConfigured
    • 6 または Warn

次の例では、デバイスで指定された ASR 規則を構成します。

  • 最初の 2 つのルールは ブロック モードで有効になっています。
  • 3 つ目のルールは無効になっています。
  • 最後のルールは 監査 モードで有効になります。
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

PowerShell でグローバル ASR ルールの除外を構成する

ターゲット デバイスで、管理者特権の PowerShell セッションで次の PowerShell コマンド構文を使用します。

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

  • Set-MpPreferenceは、既存の ASR ルールの除外を指定した値で上書きします。 既存の値の一覧を表示するには、次のコマンドを実行します。

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions

    既存の値に影響を与えずに新しい例外を追加するには、 Add-MpPreference コマンドレットを 使用します。 他の値に影響を与えずに指定した例外を削除するには、 Remove-MpPreference コマンドレットを 使用します。 コマンド構文は、3 つのコマンドレットで同じです。

    次の例では、指定したパスとパスを、デバイス上のすべての ASR 規則の除外として filename で構成します。

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"

関連コンテンツ

  • Last updated on