攻撃面の減少ルールの参照

この記事では、Microsoft Defender for Endpoint 攻撃面の減少ルール (ASR ルール) について説明します:

• ASR ルールでサポートされているオペレーティング システムのバージョン
• ASR ルールでサポートされている構成管理システム
• ASR ルールごとのアラートと通知の詳細
• GUID マトリックスへの ASR ルール
• ASR ルール モード
• ルールごとの説明

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

ヒント

この記事のコンパニオンとして、「Microsoft Defender for Endpoint セットアップ ガイド」を参照してベスト プラクティスを確認し、攻撃面の減少や次世代保護などの重要なツールについて学習します。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの「セキュリティ アナライザー自動セットアップ ガイド」にアクセスできます。

前提条件

サポートされるオペレーティング システム

• Windows

種類別の攻撃面の減少ルール

攻撃面の減少ルールは、次の 2 種類のいずれかとして分類されます:

• Standard 保護ルール: 他の ASR ルールの効果と構成のニーズを評価しながら、Microsoft が常に有効にすることをお勧めするルールの最小セットです。 通常、これらのルールはエンド ユーザーに対して最小限からまったく顕著な影響を与えなくなります。

• その他のルール:「攻撃面の減少ルールのデプロイガイド」に記載されているように、文書化されたデプロイ手順 [> テストの計画 (監査) > 有効化 (ブロック/警告モード)] に従う何らかの手段が必要なルール。

Standard 保護ルールを有効にする最も簡単な方法については「簡素化された Standard 保護オプション」を参照してください。

ASR ルール名	標準 保護 ルール?	その他 ルール?
悪用された脆弱性のある署名済みドライバーの乱用を禁止する	はい
Adobe Reader による子プロセスの作成をブロックする¹		はい
すべての Office アプリケーションによる子プロセスの作成をブロックする		はい
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)¹ ²	はい
メール クライアントと Web メールで実行可能なコンテンツをブロックする		はい
有病率、年齢、または信頼できるリストの条件を満たさない場合の実行可能ファイルの実行		はい
難読化された可能性のあるスクリプトの実行をブロックする		はい
JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする		はい
Office アプリケーションが実行可能コンテンツを作成できないようにする¹		はい
Office アプリケーションが他のプロセスにコードを挿入できないようにする¹ ²		はい
Office 通信アプリケーションによる子プロセスの作成をブロックする¹		はい
WMI イベント サブスクリプションを介して永続性をブロックする	はい
PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする¹		はい
セーフ モードでのコンピューターの再起動をブロックする		はい
USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする		はい
コピーまたは偽装されたシステム ツールの使用をブロックする		はい
サーバーの WebShell 作成をブロックする		はい
Office マクロからの Win32 API 呼び出しをブロックする⁴		はい
ランサムウェアに対して高度な保護を使用する		はい

¹ この ASR ルールでは、Microsoft Defender ウイルス対策除外は適用されません。 ルールごとの ASR 除外の構成の詳細については、「ルールの除外ごとの攻撃面の減少を構成する」を参照してください。

² この ASR ルールは、ファイルまたは証明書の Microsoft Defender for Endpoint 侵害インジケーター (IOC) を受け入れません。

² 現時点では、この ASR ルールは、既知のバックエンドの問題により、Intune 攻撃面の減少ポリシー構成では使用できない場合があります。 ただし、ルールは引き続き存在し、他のメソッドで使用可能です。 たとえば、Microsoft Defender for Endpoint セキュリティ設定の管理、構成サービス プロバイダー (CSP)、Add-MpPreference、または問題の前に作成されたルールの既存の Intune ASR ポリシー構成などです。

⁴ この ASR ルールでは、証明書の Microsoft Defender for Endpoint 侵害インジケーター (IOC) は適用されません。

ASR ルールでサポートされているオペレーティング システム

次の表は、現在一般提供にリリースされているルールに対してサポートされているオペレーティング システムの一覧です。 ルールは、この表のアルファベット順に一覧表示されます。

注:

特に指定がない限り、最小 Windows 10 ビルドはバージョン 1709 (RS3、ビルド 16299) 以降です。最小 Windows Server ビルドはバージョン 1809 以降です。 Windows Server 2012 R2 および Windows Server 2016 の攻撃面の減少ルールは、最新の統合ソリューション パッケージを使用してオンボードされたデバイスで使用可能です。 詳細については、「最新の統合ソリューションの新しい Windows Server 2012 R2 および 2016 機能」を参照してください。

ルール名	Windows 10 と Windows 11	Windows Server バージョン 1803、2019 以降	Windows Server 2012 R2 および Windows Server 2016
悪用された脆弱な署名付きドライバーの悪用をブロックする	Y	Y Windows 10 バージョン 1803 (半期エンタープライズ チャネル) 以降	Y
Adobe Reader による子プロセスの作成をブロックする	Y Windows 10 バージョン 1809 以降	Y	Y
すべての Office アプリケーションによる子プロセスの作成をブロックする	Y	Y	Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用 (lsass.exe) をブロックする	Y Windows 10、バージョン 1803 以降	Y	Y
メール クライアントと Web メールからの実行可能なコンテンツをブロックする	Y	Y	Y
有病率、年齢、または信頼できるリストの条件を満たさない場合の実行可能ファイルの実行をブロックする*	Y Windows 10、バージョン 1803 以降	Y	Y
難読化される可能性のあるスクリプトの実行をブロックする	Y	Y	Y
JavaScript または VBScript によるダウンロードした実行可能コンテンツの起動をブロックする	Y	Y	N
Office アプリケーションによる実行可能なコンテンツの作成をブロックする	Y	Y	Y
Office アプリケーションによる他のプロセスへのコード挿入をブロックする	Y	Y	Y
Office の通信アプリケーションによる子プロセスの作成をブロックする	Y	Y	Y
Windows Management Instrumentation (WMI) イベント サブスクリプションを使用して永続化をブロックする	Y Windows 10 バージョン 1903 (ビルド 18362) 以降	Y Windows 10 バージョン 1903 (ビルド 18362) 以降	N
PSExec コマンドと WMI コマンドから発生するプロセス作成をブロックする	Y Windows 10、バージョン 1803 以降	Y	Y
セーフ モードでのコンピューターの再起動をブロックする	Y	Y	Y
USB から実行される信頼されていない、署名されていないプロセスをブロックする	Y	Y	Y
コピーまたは偽装されたシステム ツールの使用をブロックする	Y	Y	Y
サーバーの WebShell 作成をブロックする	N	Y Exchange ロールのみ	Windows Server 2016 Exchange ロールの Y のみ Windows Server 2012 R2 の N
Office マクロからの Win32 API 呼び出しをブロックする	Y	N	N
ランサムウェアに対する高度な保護を使用する	Y Windows 10、バージョン 1803 以降	Y	Y

^* 現時点では、この ASR ルールは、既知のバックエンドの問題により、Intune 攻撃面の減少ポリシー構成では使用できない場合があります。 ただし、ルールは引き続き存在し、他のメソッドで使用可能です。 たとえば、Microsoft Defender for Endpointセキュリティ設定の管理、構成サービス プロバイダー (CSP)、Add-MpPreference、または問題の前に作成されたルール内の既存の Intune ASR ポリシー構成など)。

注:

• Windows Server 2012 R2 と Windows Server 2016 については、「Windows Server 2016 のオンボードと Windows Server 2012 R2」を参照してください。
• Configuration Manager を使用している場合、Microsoft Endpoint Configuration Manager の最小必須バージョンはバージョン 2111 です。

ASR ルールでサポートされている構成管理システム

この表で参照されている構成管理システムのバージョンに関する情報へのリンクを次の表に示します。

ルール名	Microsoft Intune	Microsoft Endpoint Configuration Manager	グループ ポリシー[1]	PowerShell[1]
悪用された脆弱な署名付きドライバーの悪用をブロックする	Y		Y	Y
Adobe Reader による子プロセスの作成をブロックする	Y		Y	Y
すべての Office アプリケーションによる子プロセスの作成をブロックする	Y	Y Current Branch (CB) 1710	Y	Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用 (lsass.exe) をブロックする	Y	Y CB 1802	Y	Y
メール クライアントと Web メールからの実行可能なコンテンツをブロックする	Y	Y CB 1710	Y
有病率、年齢、または信頼できるリストの条件を満たさない場合の実行可能ファイルの実行をブロックする*	Y	Y CB 1802	Y	Y
難読化される可能性のあるスクリプトの実行をブロックする	Y	Y CB 1710	Y	Y
JavaScript または VBScript によるダウンロードした実行可能コンテンツの起動をブロックする	Y	Y CB 1710	Y	Y
Office アプリケーションによる実行可能なコンテンツの作成をブロックする	Y	Y CB 1710	Y	Y
Office アプリケーションによる他のプロセスへのコード挿入をブロックする	Y	Y CB 1710	Y	Y
Office の通信アプリケーションによる子プロセスの作成をブロックする	Y	Y CB 1710	Y	Y
WMI イベント サブスクリプションを使用して永続化をブロックする	Y		Y	Y
PSExec コマンドと WMI コマンドから発生するプロセス作成をブロックする	Y		Y	Y
セーフ モードでのコンピューターの再起動をブロックする	Y		Y	Y
USB から実行される信頼されていない、署名されていないプロセスをブロックする	Y	Y CB 1802	Y	Y
コピーまたは偽装されたシステム ツールの使用をブロックする	Y		Y	Y
サーバーの WebShell 作成をブロックする	Y		Y	Y
Office マクロからの Win32 API 呼び出しをブロックする	Y	Y CB 1710	Y	Y
ランサムウェアに対する高度な保護を使用する	Y	Y CB 1802	Y	Y

(1) 任意のルールの GUID を使用して、ルールごとに攻撃面の減少ルールを構成できます。

^* 現時点では、この ASR ルールは、既知のバックエンドの問題により、Intune 攻撃面の減少ポリシー構成では使用できない場合があります。 ただし、ルールは引き続き存在し、他のメソッドで使用可能です。 たとえば、Microsoft Defender for Endpointセキュリティ設定の管理、構成サービス プロバイダー (CSP)、Add-MpPreference、または問題の前に作成されたルール内の既存の Intune ASR ポリシー構成など)。

• Configuration Manager CB 1710
• Configuration Manager CB 1802
• Microsoft Configuration Manager CB 1710
• System Center Configuration Manager (SCCM) CB 1710
  SCCM は Microsoft Configuration Managerになりました。

ASR ルールごとのアラートと通知の詳細

トースト通知は、ブロック モードのすべてのルールに対して生成されます。 他のモードのルールでは、トースト通知は生成されません。

"ルール状態" が指定されたルールの場合:

• \ASR Rule, Rule State\ の組み合わせのある ASR ルールは、クラウド ブロック レベル High で設定されたデバイスに対してのみ Microsoft Defender for Endpoint でアラート (トースト通知) を表示するために使用されます。
• クラウド ブロック レベル High で設定されていないデバイス は、ASR Rule, Rule State の組み合わせに関するアラートは生成されません。
• エンドポイント検出と応答 (EDR) アラートは、クラウド ブロック レベル High+ で設定されたデバイスに対して、指定した状態の ASR ルールに対して生成されます。
• トースト通知は、ブロック モードでのみ発生し、クラウド ブロック レベル High で設定されたデバイスに対して行われます。

ルール名	ルール状態	EDR アラート	トースト通知
悪用された脆弱な署名付きドライバーの悪用をブロックする		N	Y
Adobe Reader による子プロセスの作成をブロックする	ブロック	Y	Y
すべての Office アプリケーションによる子プロセスの作成をブロックする		N	Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用 (lsass.exe) をブロックする		N	N
メール クライアントと Web メールからの実行可能なコンテンツをブロックする	監査またはブロック	Y (ブロック モード) N (監査モード)	Y (ブロック モード)
有病率、年齢、または信頼できるリストの条件を満たさない場合の実行可能ファイルの実行をブロックする*		N	Y
難読化される可能性のあるスクリプトの実行をブロックする		Y	Y (ブロック モード)
JavaScript または VBScript によるダウンロードした実行可能コンテンツの起動をブロックする	ブロック	Y	Y
Office アプリケーションによる実行可能なコンテンツの作成をブロックする		N	Y
Office アプリケーションによる他のプロセスへのコード挿入をブロックする		N	Y
Office の通信アプリケーションによる子プロセスの作成をブロックする		N	Y
WMI イベント サブスクリプションを使用して永続化をブロックする		Y	Y (ブロック モード)
PSExec コマンドと WMI コマンドから発生するプロセス作成をブロックする		N	Y
セーフ モードでのコンピューターの再起動をブロックする		N	N
USB から実行される信頼されていない、署名されていないプロセスをブロックする		Y	Y (ブロック モード)
コピーまたは偽装されたシステム ツールの使用をブロックする		N	Y (ブロック モード)
サーバーの WebShell 作成をブロックする		N	N
Office マクロからの Win32 API 呼び出しをブロックする		N	Y
ランサムウェアに対する高度な保護を使用する		Y	Y (ブロック モード)

^* 現時点では、この ASR ルールは、既知のバックエンドの問題により、Intune 攻撃面の減少ポリシー構成では使用できない場合があります。 ただし、ルールは引き続き存在し、他のメソッドで使用可能です。 たとえば、Microsoft Defender for Endpointセキュリティ設定の管理、構成サービス プロバイダー (CSP)、Add-MpPreference、または問題の前に作成されたルール内の既存の Intune ASR ポリシー構成など)。

GUID マトリックスへの ASR ルール

[ルール名]	ルール GUID
悪用された脆弱性のある署名済みドライバーの乱用を禁止する	56a863a9-875e-4185-98a7-b882c64b5ce5
Adobe Reader による子プロセスの作成をブロックする	7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
すべての Office アプリケーションによる子プロセスの作成をブロックする	d4f940ab-401b-4efc-aadc-ad5f3c50688a
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
メール クライアントと Web メールで実行可能なコンテンツをブロックする	be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
有病率、年齢、または信頼できるリストの条件を満たさない場合の実行可能ファイルの実行をブロックする*	01443614-cd74-433a-b99e-2ecdc07bfc25
難読化された可能性のあるスクリプトの実行をブロックする	5beb7efe-fd9a-4556-801d-275e5ffc04cc
JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする	d3e037e1-3eb8-44c8-a917-57927947596d
Office アプリケーションによる実行可能なコンテンツの作成をブロックする	3b576869-a4ec-4529-8536-b80a7769e899
Office アプリケーションによる他のプロセスへのコード挿入をブロックする	75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Office の通信アプリケーションによる子プロセスの作成をブロックする	26190899-1602-49e8-8b27-eb1d0a1ce869
WMI イベント サブスクリプションを介して永続性をブロックする * ファイルとフォルダーの除外はサポートされていません。	e6db77e5-3df2-4cf1-b95a-636979351e5b
PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする	d1e49aac-8f56-4280-b9ba-993a6d77406c
セーフ モードでのコンピューターの再起動をブロックする	33ddedf1-c6e0-47cb-833e-de6133960387
USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする	b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
コピーまたは偽装されたシステム ツールの使用をブロックする	c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
サーバーの WebShell 作成をブロックする	a8f5898e-1dc8-49a9-9878-85004b8a61e6
Office マクロからの Win32 API 呼び出しをブロックする	92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
ランサムウェアに対して高度な保護を使用する	c1db55ab-c21a-4637-bb3f-a12568109d35

^* 現時点では、この ASR ルールは、既知のバックエンドの問題により、Intune 攻撃面の減少ポリシー構成では使用できない場合があります。 ただし、ルールは引き続き存在し、他のメソッドで使用可能です。 たとえば、Microsoft Defender for Endpointセキュリティ設定の管理、構成サービス プロバイダー (CSP)、Add-MpPreference、または問題の前に作成されたルール内の既存の Intune ASR ポリシー構成など)。

ASR ルール モード

ルール モード	コード	説明
[未構成] または [無効]	0	ASR ルールが有効になっていないか、無効になっています。
Block	1	ASR ルールはブロック モードで有効になっています。
監査	2	ASR ルールは、ブロックモードまたは警告モードで有効になっている場合、環境への影響について評価されます。
警告	6	ASR ルールが有効になっており、ユーザーに通知が表示されますが、ユーザーはブロックをバイパスできます。

警告は、警告ポップアップを介してリスクの高いアクションをユーザーに警告するブロックの一種です。 ユーザーは [OK] を選択してブロックを適用するか、[ブロック解除] 選択して次の 24 時間のブロックをバイパスできます。 24 時間後、ユーザーはブロックをもう一度許可する必要があります。

ASR ルールの警告モードは、Windows 10 バージョン 1809 以降のみでサポートされます。 警告モード ルールが割り当てられている以前のバージョンの Windows 10 は、実質的にブロック モードになります。

PowerShell では、値が Warn の AttackSurfaceReductionRules_Actions パラメーターを指定することで、警告モードで ASR ルールを作成できます。 例:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

ルールごとの説明

悪用された脆弱性のある署名済みドライバーの乱用を禁止する

注:

脆弱なドライバーから環境を保護するには、まず次のメソッドを実装する必要があります:

• Microsoft ビジネス向けアプリ コントロールを使用している Windows 10 以降、Windows Server 2016 以降の場合は、既定ですべてのドライバーをブロックし、必要と見なされ、脆弱であるとはわかっていないドライバーのみを許可する必要があります。
• Microsoft AppLocker を使用している Windows 8.1 以前、Windows Server 2012 R2 以降の場合は、既定ですべてのドライバーをブロックし、必要と見なされ、脆弱であるとは認識されていないドライバーのみを許可する必要があります。
• Windows 11 以降、およびコア 1809 以降、または Windows Server 2019 以降の場合は、Microsoft Windows の脆弱なドライバー ブロック リストも有効にする必要があります。 次に、別の防御レイヤーとして、この攻撃面の減少ルールを有効にする必要があります。

このルールにより、アプリケーションが脆弱な署名されたドライバーがディスクに書き込まれるのを防ぎます。 実環境において、十分な権限のあるローカル アプリケーションは、脆弱性のある署名付きドライバーを悪用し、カーネルへのアクセス権を取得することが可能です。 脆弱な署名されたドライバーを使用すると、攻撃者はセキュリティ ソリューションを無効または回避し、最終的にシステムの侵害につながります。

"悪用された脆弱な署名されたドライバーの悪用をブロックする" ルールは、システム上に既に存在するドライバーが読み込まれるのをブロックしません。

注:

このルールは、Intune OMA-URI を使用して構成できます。 カスタム ルールの構成については、「Intune OMA-URI」を参照してください。 このルールは PowerShell を使用して構成することもできます。 ドライバーを調べるには、この Web サイトを使用して分析用のドライバーを送信します。

Intune 名: Block abuse of exploited vulnerable signed drivers

Configuration Manager 名: まだ使用できません

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

高度な追求アクションの種類:

• AsrVulnerableSignedDriverAudited
• AsrVulnerableSignedDriverBlocked

Adobe Reader による子プロセスの作成をブロックする

このルールは、Adobe Reader によるプロセスの作成をブロックすることで、攻撃を防ぎます。

マルウェアは、ペイロードをダウンロードして起動し、ソーシャル エンジニアリングや悪用を通じて Adobe Reader から抜け出すことができます。 Adobe Reader が子プロセスを生成するのをブロックすることで、攻撃ベクトルとして Adobe Reader を使用しようとするマルウェアが拡散するのを防ぎます。

Intune 名: Process creation from Adobe Reader (beta)

Configuration Manager 名: まだ使用できません

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

高度な追求アクションの種類:

• AsrAdobeReaderChildProcessAudited
• AsrAdobeReaderChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

すべての Office アプリケーションによる子プロセスの作成をブロックする

このルールは、Office アプリによる子プロセスの作成をブロックします。 Office アプリには、Word、Excel、PowerPoint、OneNote、Access が含まれます。

悪意のある子プロセスの作成は、一般的なマルウェアの戦略です。 ベクターとして Office を悪用するマルウェアは、多くの場合、VBA マクロを実行し、コードを悪用して、より多くのペイロードをダウンロードして実行しようとします。 ただし、一部の正当な基幹業務アプリケーションでは、問題のない目的で子プロセスが生成される場合もあります。 たとえば、コマンド プロンプトを生成したり、PowerShell を使用してレジストリ設定を構成したりします。

Intune 名: Office apps launching child processes

Configuration Manager 名: Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

高度な追求アクションの種類:

• AsrOfficeChildProcessAudited
• AsrOfficeChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする

注:

LSA 保護を有効にしている場合、この攻撃面の減少ルールは必要ありません。 セキュリティを強化するために、LSA 保護を使用して Credential Guard を有効にすることもお勧めします。

LSA 保護が有効になっている場合、ASR ルールは、Microsoft Defender ポータルの Defender for Endpoint 管理設定では適用できないと分類されます。

このルールは、ローカル セキュリティ機関サブシステム サービス (LSASS) をロックダウンすることで、資格情報の盗難を防ぐのに役立ちます。

LSASS は、Windows コンピューターにサインインするユーザーを認証します。 Windows の Credential Guard では、通常、LSASS から資格情報を抽出しようとするのを防ぎます。 一部の組織では、ローカル セキュリティ機関 (LSA) に読み込まれるカスタム スマートカード ドライバーやその他のプログラムとの互換性の問題のため、すべてのコンピューターで Credential Guard を有効にできません。 このような場合、攻撃者は Mimikatz などのツールを使用して、LSASS からクリア テキスト パスワードと NTLM ハッシュをスクレイピングできます。

既定では、このルールの状態は未構成 (無効) に設定されています。 ほとんどの場合、多くのプロセスは、必要のないアクセス権のために LSASS を呼び出します。 たとえば、ASR ルールの最初のブロックで後続の呼び出しが行われると、継承する特権が少なくなります。 LSASS へのプロセス呼び出しで通常要求される権限の種類については、「プロセス セキュリティとアクセス権」を参照してください。

ASR ルールと LSA 保護が同様に機能するため、LSA 保護が有効になっている場合、このルールを有効にしても追加の保護は提供されません。 ただし、LSA 保護を有効にできない場合は、このルールを構成して、lsass.exe を対象とするマルウェアに対して同等の保護を提供できます。

ヒント

• ASR 監査イベントによりトースト通知は生成されません。 LSASS ASR ルールでは大量の監査イベントが生成されます。そのほとんどすべてが、ルールがブロック モードで有効になっている場合は無視しても安全です。 監査モードの評価をスキップし、ブロック モードのデプロイに進むことができます。 少数のデバイス セットから始めて、残りの部分をカバーするように徐々に拡張することをお勧めします。
• ルールは、わかりやすいプロセスのブロック レポート/トーストを抑制するように設計されています。 また、重複するブロックのレポートを削除するように設計されています。 そのため、ルールは、トースト通知が有効か無効かに関係なく、ブロック モードで有効にするのに適しています。
• 警告モードの ASR は、[ブロック解除] ボタンを含むブロック トースト通知をユーザーに表示するように設計されています。 LSASS ASR ブロックとその大きなボリュームの "無視しても安全" な性質のため、(トースト通知が有効か無効かに関係なく) このルールでは警告モードは推奨されません。
• このルールは、プロセスが LSASS.EXE プロセス メモリにアクセスするのをブロックするように設計されています。 それらの実行をブロックしません。 svchost.exe などのプロセスがブロックされている場合、LSASS プロセス メモリへのアクセスのみがブロックされます。 したがって、svchost.exe やその他のプロセスは無視しても問題ありません。 1 つの例外は、次の既知の問題にあります。

注:

このシナリオでは、ASR ルールは、Microsoft Defender ポータルの Defender for Endpoint 設定で "適用不可" として分類されます。

"Windows ローカル セキュリティ機関サブシステム ASR からの資格情報の盗み取りをブロックする" ルールは、警告モードをサポートしていません。

一部のアプリでは、実行中のすべてのプロセスが列挙され、完全なアクセス許可で開こうとします。 このルールは、アプリのプロセスオープン アクションを拒否し、詳細をセキュリティ イベント ログに記録します。 このルールでは、多数のノイズが発生する可能性があります。 LSASS を列挙するだけで、機能に実際の効果がないアプリがある場合は、除外リストに追加する必要はありません。 それ自体は、このイベント ログ エントリは必ずしも悪意のある脅威を示すわけではありません。 Intune 名: Flag credential stealing from the Windows local security authority subsystem

Configuration Manager 名: Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

高度な追求アクションの種類:

• AsrLsassCredentialTheftAudited
• AsrLsassCredentialTheftBlocked

依存関係: Microsoft Defender ウイルス対策

既知の問題: これらのアプリケーションと "Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする" ルールは互換性がありません:

アプリケーション名	詳細については、次を参照してください
Quest Dirsync パスワード同期	Windows Defender がインストールされている場合、Dirsync パスワード同期が機能しません。エラー: "VirtualAllocEx failed: 5" (4253914)

テクニカル サポートについては、ソフトウェア発行元にお問い合わせください。

メール クライアントと Web メールで実行可能なコンテンツをブロックする

このルールは、Microsoft Outlook アプリケーション内で開かれた電子メール、または Outlook.com およびその他の一般的な Web メール プロバイダーが次のファイルの種類を伝達することをブロックします:

• 実行可能ファイル (.exe、.dll、.scr など)

• スクリプト ファイル (PowerShell.ps1、Visual Basic .vbs、JavaScript .js ファイルなど)

• アーカイブファイル (.zip など)

Intune 名: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager 名: Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

高度な追求アクションの種類:

• AsrExecutableEmailContentAudited
• AsrExecutableEmailContentBlocked

依存関係: Microsoft Defender ウイルス対策

注:

"電子メール クライアントと Web メールから実行可能なコンテンツをブロックする" ルールには、使用するアプリケーションに応じて、次の代替の説明があります:

• Intune (構成プロファイル): 電子メール (webmail/mail クライアント) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行 (例外なし)。
• Configuration Manager: 電子メールおよび Web メール クライアントからの実行可能なコンテンツのダウンロードをブロックします。
• グループ ポリシー: 電子メール クライアントと Web メールから実行可能なコンテンツをブロックします。

普及率、経過期間、または信頼リストの条件を満たしていない場合に実行可能ファイルが実行されないようにする

ヒント

^* 現時点では、この ASR ルールは、既知のバックエンドの問題により、Intune 攻撃面の減少ポリシー構成では使用できない場合があります。 ただし、ルールは引き続き存在し、他のメソッドで使用可能です。 たとえば、Microsoft Defender for Endpointセキュリティ設定の管理、構成サービス プロバイダー (CSP)、Add-MpPreference、または問題の前に作成されたルール内の既存の Intune ASR ポリシー構成など)。

このルールは、.exe、.dll、.scr などの実行可能ファイルの起動をブロックします。 したがって、信頼されていない実行可能ファイルまたは不明な実行可能ファイルを起動すると、ファイルが悪意のある場合は最初は明確にならない可能性があるため、危険な場合があります。

重要

このルールを使用するには、クラウド提供の保護を有効にする必要があります。 このルールでは、クラウドによって提供される保護を使用して、信頼されたリストを定期的に更新します。 フォルダー パスまたは完全修飾リソース名を使用して、個々のファイルまたはフォルダーを指定できます。 また、ASROnlyPerRuleExclusions 設定もサポートしています。

Intune 名: Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager 名: Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

高度な追求アクションの種類:

• AsrUntrustedExecutableAudited
• AsrUntrustedExecutableBlocked

依存関係: Microsoft Defenderウイルス対策、クラウド保護

難読化された可能性のあるスクリプトの実行をブロックする

このルールは、難読化されたスクリプト内の疑わしいプロパティを検出します。

注:

PowerShell スクリプトは、"難読化される可能性のあるスクリプトの実行をブロックする" ルールでサポートされるようになりました。

重要

このルールを使用するには、クラウド提供の保護を有効にする必要があります。

スクリプトの難読化は、マルウェアの作成者と正当なアプリケーションの両方が知的財産を非表示にしたり、スクリプトの読み込み時間を短縮したりするために使用する一般的な手法です。 マルウェアの作成者はまた、難読化を使用して悪意のあるコードの読み取りを困難にし、人間とセキュリティ ソフトウェアによる詳細な調査を妨げます。

Intune 名: Obfuscated js/vbs/ps/macro code

Configuration Manager 名: Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

高度な追求アクションの種類:

• AsrObfuscatedScriptAudited
• AsrObfuscatedScriptBlocked

依存関係: Microsoft Defender ウイルス対策、マルウェア対策スキャン インターフェイス (AMSI)、クラウド保護

JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする

このルールは、スクリプトが悪意のあるダウンロードされたコンテンツを起動できないようにします。 JavaScript または VBScript で記述されたマルウェアは、多くの場合、インターネットから他のマルウェアをフェッチして起動するためのダウンローダーとして機能します。 一般的ではありませんが、基幹業務アプリケーションではスクリプトを使用してインストーラーをダウンロードして起動することがあります。

Intune 名: js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager 名: Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

高度な追求アクションの種類:

• AsrScriptExecutableDownloadAudited
• AsrScriptExecutableDownloadBlocked

依存関係: Microsoft Defender ウイルス対策、AMSI

Office アプリケーションによる実行可能なコンテンツの作成をブロックする

このルールにより、Word、Excel、PowerPoint などの Office アプリが、ディスク上に悪意のあるコードを保持するためのベクトルとして使用されなくなります。 Office をベクトルとして悪用するマルウェアは、コンピューターの再起動後も存続し、システム上に保持される悪意のあるコンポーネントをディスクに保存しようとする可能性があります。 このルールは、ディスクに書き込まれたコードへのアクセス (オープン/実行) をブロックすることで、この永続化手法から保護します。 このルールでは、Office ファイルでの実行が許可されている Office マクロによって保存された可能性がある信頼されていないファイルの実行もブロックされます。

Intune 名: Office apps/macros creating executable content

Configuration Manager 名: Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

高度な追求アクションの種類:

• AsrExecutableOfficeContentAudited
• AsrExecutableOfficeContentBlocked

依存関係: Microsoft Defender ウイルス対策、RPC

Office アプリケーションによる他のプロセスへのコード挿入をブロックする

このルールは、Office アプリから他のプロセスへのコード挿入の試行をブロックします。

注:

アプリケーションが他のプロセスにコードを挿入できないようにブロックする ASR ルールは、警告モードをサポートしていません。

重要

このルールでは、構成の変更を有効にするために、Microsoft 365 Apps (Office アプリケーション) を再起動する必要があります。

攻撃者は Office アプリを使用して、コード インジェクションを通じて悪意のあるコードを他のプロセスに移行しようとする可能性があるため、コードはクリーン プロセスとして偽装できます。 コード インジェクションを使用するための既知の正当なビジネス目的はありません。

このルールは Word、Excel、OneNote、PowerPoint に適用されます。

Intune 名: Office apps injecting code into other processes (no exceptions)

Configuration Manager 名: Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

高度な追求アクションの種類:

• AsrOfficeProcessInjectionAudited
• AsrOfficeProcessInjectionBlocked

依存関係: Microsoft Defender ウイルス対策

既知の問題: これらのアプリケーションと "Office アプリケーションが他のプロセスにコードを挿入できないようにブロックする" ルールは互換性がありません:

アプリケーション名	詳細については、次を参照してください
Avecto (BeyondTrust) Privilege Guard	2024 年 9 月 (プラットフォーム: 4.18.24090.11 | Engine 1.1.24090.11)。
Heimdal のセキュリティ	該当なし

テクニカル サポートについては、ソフトウェア発行元にお問い合わせください。

Office の通信アプリケーションによる子プロセスの作成をブロックする

このルールにより、Outlook で子プロセスが作成されるのを防ぎ、正当な Outlook 機能を引き続き許可します。 このルールは、ソーシャル エンジニアリング攻撃から保護し、Outlook の脆弱性を悪用するコードの悪用を防ぎます。 また、ユーザーの資格情報が侵害されたときに攻撃者が使用できる Outlook のルールやフォームの悪用からも保護されます。

Intune 名: Process creation from Office communication products (beta)

Configuration Manager 名: 使用できません

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

高度な追求アクションの種類:

• AsrOfficeCommAppChildProcessAudited
• AsrOfficeCommAppChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

WMI イベント サブスクリプションを介して永続性をブロックする

この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。

ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイル システムに見つからないようにして、定期的に実行制御を獲得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。

注:

CcmExec.exe (SCCM エージェント) で Configuration Manager (以前は MEMCM または SCCM) を使用している場合は、少なくとも 60 日間監査モードで実行することをお勧めします。 ブロック モードに切り替える準備ができたら、必要なルールの除外を考慮して、適切な ASR ルールをデプロイしてください。

Intune 名: Persistence through WMI event subscription

Configuration Manager 名: 使用できません

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

高度な追求アクションの種類:

• AsrPersistenceThroughWmiAudited
• AsrPersistenceThroughWmiBlocked

依存関係: Microsoft Defender ウイルス対策、RPC

PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする

このルールは、PsExec と WMI を介して作成されたプロセスの実行をブロックします。 PsExec と WMI の両方で、コードをリモートで実行できます。 コマンドと制御の目的で PsExec と WMI の機能を悪用したり、組織のネットワーク全体に感染を広めたりするマルウェアのリスクがあります。

警告

このルールは、Intune または別の MDM ソリューションを使用してデバイスを管理している場合にのみ使用します。 このルールは、Configuration Manager クライアントが正しく機能するために使用する WMI コマンドをブロックするため、Microsoft Endpoint Configuration Manager による管理と互換性がありません。

Intune 名: Process creation from PSExec and WMI commands

Configuration Manager 名: 適用されません

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

高度な追求アクションの種類:

• AsrPsexecWmiChildProcessAudited
• AsrPsexecWmiChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

セーフ モードでのコンピューターの再起動をブロックする

このルールにより、セーフ モードでマシンを再起動するための特定のコマンドの実行が禁止されます。 セーフ モードでは、多くのセキュリティ製品が無効になっているか、制限された容量で動作します。 この効果により、攻撃者は改ざんコマンドをさらに起動したり、コンピューター上のすべてのファイルを実行して暗号化したりできます。 このルールは、bcdedit や bootcfg などの一般的に悪用されるコマンドがセーフ モードでマシンを再起動できないようにすることで、セーフ モードの悪用をブロックします。 セーフ モードは引き続き Windows RE から手動でアクセスできます。

Intune 名: Block rebooting machine in Safe Mode

Configuration Manager 名: まだ使用できません

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

高度な追求アクションの種類:

• AsrSafeModeRebootedAudited
• AsrSafeModeRebootBlocked
• AsrSafeModeRebootWarnBypassed

依存関係: Microsoft Defender ウイルス対策

注:

現時点では、脅威と脆弱性の管理ではこのルールは認識されないため、攻撃面の減少ルール レポートには "適用されません" と表示されます。

USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする

このルールを使用すると、管理者は、署名されていない実行可能ファイルまたは信頼されていない実行可能ファイルが、SD カードを含む USB リムーバブル ドライブから実行されるのを防ぐことができます。 ブロックされたファイルの種類には、実行可能ファイル (.exe、.dll、.scr など) が含まれます

重要

このルールは、USB からディスク ドライブへコピーされたファイルが、ディスク ドライブ上で実行されようとする際に、その実行をブロックします。

Intune 名: Untrusted and unsigned processes that run from USB

Configuration Manager 名: Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

高度な追求アクションの種類:

• AsrUntrustedUsbProcessAudited
• AsrUntrustedUsbProcessBlocked

依存関係: Microsoft Defender ウイルス対策

コピーまたは偽装されたシステム ツールの使用をブロックする

このルールは、Windows システム ツールのコピーとして識別される実行可能ファイルの使用をブロックします。 これらのファイルは、元のシステム ツールの複製または偽装のいずれかです。 悪意のあるプログラムの中には、検出を回避したり特権を得たりするために、Windows システム ツールのコピーや偽装を試みる場合があります。 このような実行可能ファイルを許可すると、潜在的な攻撃につながる可能性があります。 このルールは、Windows マシン上のシステム ツールのこのような重複や詐欺の伝達と実行を防ぎます。

Intune 名: Block use of copied or impersonated system tools

Configuration Manager 名: まだ使用できません

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

高度な追求アクションの種類:

• AsrAbusedSystemToolAudited

• AsrAbusedSystemToolBlocked

• AsrAbusedSystemToolWarnBypassed

依存関係: Microsoft Defender ウイルス対策

注:

現時点では、脅威と脆弱性の管理ではこのルールは認識されないため、攻撃面の減少ルール レポートには "適用されません" と表示されます。

サーバーの WebShell 作成をブロックする

このルールは、Microsoft Server、Exchange ロールでの Web シェル スクリプトの作成をブロックします。 Web シェル スクリプトは、攻撃者が侵害されたサーバーを制御できるようにする、細工されたスクリプトです。

Web シェルには、悪意のあるコマンドの受信と実行、悪意のあるファイルのダウンロードと実行、資格情報と機密情報の盗み取りと流出、潜在的なターゲットの特定などの機能が含まれる場合があります。

Intune 名: Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

依存関係: Microsoft Defender ウイルス対策

注:

Microsoft Defender for Endpoint セキュリティ設定を使用して ASR ルールを管理する場合は、グループ ポリシーまたはその他のローカル設定で [サーバーの WebShell 作成をブロックする] 設定を Not Configured として構成する必要があります。 このルールが他の値 (Enabled や Disabledなど) に設定されている場合、競合が発生し、セキュリティ設定管理によってポリシーが正しく適用されない可能性があります。

現時点では、脅威と脆弱性の管理ではこのルールは認識されないため、攻撃面の減少ルール レポートには "適用されません" と表示されます。

Office マクロからの Win32 API 呼び出しをブロックする

このルールでは、VBA マクロが Win32 API を呼び出せないようにします。 Office VBA では、Win32 API 呼び出しが有効になります。 マルウェアは、ディスクに直接何も書き込まずに Win32 API を呼び出して悪意のあるシェルコードを起動するなど、この機能を悪用する可能性があります。 ほとんどの組織は、他の方法でマクロを使用する場合でも、日常的に機能する Win32 API を呼び出す機能に依存していません。

Intune 名: Win32 imports from Office macro code

Configuration Manager 名: Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

高度な追求アクションの種類:

• AsrOfficeMacroWin32ApiCallsAudited
• AsrOfficeMacroWin32ApiCallsBlocked

依存関係: Microsoft Defender ウイルス対策、AMSI

ランサムウェアに対して高度な保護を使用する

このルールは、ランサムウェアに対する保護の追加レイヤーを提供します。 クライアントとクラウドのヒューリスティックの両方を使用して、ファイルがランサムウェアに似ているかどうかを判断します。 このルールでは、次の特性の 1 つ以上のファイルはブロックされません:

• ファイルが Microsoft クラウドで害を及ぼさないことが判明しました。
• ファイルは有効な署名済みファイルです。
• ファイルはランサムウェアと見なされないほど一般的です。

このルールは、ランサムウェアを防ぐための注意の側で誤る傾向があります。

注:

このルールを使用するには、クラウド提供の保護を有効にする必要があります。

Intune 名: Advanced ransomware protection

Configuration Manager 名: Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

高度な追求アクションの種類:

• AsrRansomwareAudited
• AsrRansomwareBlocked

依存関係: Microsoft Defenderウイルス対策、クラウド保護

関連項目

• 攻撃面の減少ルールのデプロイの概要

• 攻撃面の減少 (ASR) ルールのデプロイを計画する

• 攻撃面の減少 (ASR) ルールをテストする

• 攻撃面の減少ルールを有効にする

• 攻撃面の減少 (ASR) ルールの運用化

• 攻撃面の減少ルールのレポート

• 攻撃面の減少 (ASR) ルールの参照

• Microsoft Defender for Endpoint と Microsoft Defender ウイルス対策の除外

• 攻撃面の減少 (ASR) ルールのトラブルシューティング