攻撃面の減少 (ASR) ルールの参照

  • 適用対象: Microsoft Defender for Endpoint Plan 2

攻撃面の縮小 (ASR) ルールは、マルウェアを通じて一般的に悪用される Windows デバイス上の危険なソフトウェア動作を対象としています (たとえば、ファイルをダウンロードするスクリプトの起動、難読化されたスクリプトの実行、他のプロセスへのコードの挿入など)。 ASR ルールの詳細については、「 攻撃面の縮小 (ASR) ルールの概要」を参照してください。

この記事は、次の情報を提供する ASR ルールのテクニカル リファレンスです。

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

ASR ルールのオペレーティング システムのサポート

ASR ルールは、Microsoft Defender ウイルス対策 (Windows 11 Home など) を含む任意のエディションの Windows で使用できるMicrosoft Defenderウイルス対策機能です。 ASR ルールは、PowerShell または グループ ポリシーを使用してローカルで構成できます。

次の表では、Microsoft Defender for Endpointの ASR ルールに対するオペレーティング システムのサポートについて説明します。これにより、Microsoft Intune、Microsoft Configuration Manager、およびMicrosoft Defender ポータル:

ルール名 Windows 11以降 Windows 10 Windows Server 2019 以降。 Windows Server 2016* Windows Server 2012 R2*
Standard保護規則
悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) Y 1709 以降 Y Windows Server 1803 (SAC) 以降 Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする Y 1803 以降 Y Y Y
WMI イベント サブスクリプションを介して永続性をブロックする Y 1903 以降 Windows Server 1903 (SAC) 以降 N N
その他の ASR 規則
Adobe Reader による子プロセスの作成をブロックする Y 1809 以降 Y Y Y
すべての Office アプリケーションによる子プロセスの作成をブロックする Y 1709 以降 Y Y Y
メール クライアントと Web メールで実行可能なコンテンツをブロックする Y 1709 以降 Y Y Y
普及率、経過期間、または信頼リストの条件を満たしていない場合に実行可能ファイルが実行されないようにする Y 1803 以降 Y Y Y
難読化された可能性のあるスクリプトの実行をブロックする Y 1709 以降 Y Y Y
JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする Y 1709 以降 Y N N
Office アプリケーションによる実行可能なコンテンツの作成をブロックする Y 1709 以降 Y Y Y
Office アプリケーションによる他のプロセスへのコード挿入をブロックする Y 1709 以降 Y Y Y
Office の通信アプリケーションによる子プロセスの作成をブロックする Y 1709 以降 Y Y Y
PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする Y 1803 以降 Y Y Y
セーフ モードでのコンピューターの再起動をブロックする Y 1709 以降 Y Y Y
USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする Y 1709 以降 Y Y Y
コピーまたは偽装されたシステム ツールの使用をブロックする Y 1709 以降 Y Y Y
サーバーの WebShell 作成をブロックする 該当なし 該当なし Exchange サーバーのみ Exchange サーバーのみ N
Office マクロからの Win32 API 呼び出しをブロックする Y 1709 以降 該当なし 該当なし 該当なし
ランサムウェアに対して高度な保護を使用する Y 1803 以降 Y Y Y

*Windows Server 2016 および Windows Server 2012 R2 でサポートされている ASR 規則には、最新の統合ソリューション パッケージを使用したオンボードが必要です。 詳細については、「最新の統合ソリューションの新しい Windows Server 2012 R2 および 2016 機能」を参照してください。

ASR ルールのデプロイ方法のサポート

Defender for Endpoint では ASR ルールがサポートされていますが、デバイスにルールを展開するには別のサービスが必要です。 ASR 規則をデプロイするためのサポートされる方法を次の表に示します。

ルール名 Intune Configuration Manager MDM CSP 一元化されたグループ ポリシー
Standard保護規則
悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) Y N Y Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする Y 1802 以降 Y Y
WMI イベント サブスクリプションを介して永続性をブロックする Y N Y Y
その他の ASR 規則
Adobe Reader による子プロセスの作成をブロックする Y N Y Y
すべての Office アプリケーションによる子プロセスの作成をブロックする Y 1710 以降 Y Y
メール クライアントと Web メールで実行可能なコンテンツをブロックする Y 1710 以降 Y Y
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする[1] Y 1802 以降 Y Y
難読化された可能性のあるスクリプトの実行をブロックする Y 1710 以降 Y Y
JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする Y 1710 以降 Y Y
Office アプリケーションによる実行可能なコンテンツの作成をブロックする Y 1710 以降 Y Y
Office アプリケーションによる他のプロセスへのコード挿入をブロックする Y 1710 以降 Y Y
Office の通信アプリケーションによる子プロセスの作成をブロックする Y N Y Y
PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする Y N Y Y
セーフ モードでのコンピューターの再起動をブロックする Y N Y Y
USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする Y 1802 以降 Y Y
コピーまたは偽装されたシステム ツールの使用をブロックする Y N Y Y
サーバーの WebShell 作成をブロックする Y N Y Y
Office マクロからの Win32 API 呼び出しをブロックする Y 1710 以降 Y Y
ランサムウェアに対して高度な保護を使用する Y 1802 以降 Y Y

ヒント

グループ ポリシーまたは PowerShell を使用して、個々のデバイスで ASR ルールをローカルに構成することもできます。 すべての ASR 規則は、ローカル デバイス上の両方の方法でサポートされています。

1 現在、この ASR ルールは、既知のバックエンドの問題により、Intune ASR ポリシー構成で使用できない場合があります。 ただし、ルールは、他の利用可能な ASR ポリシー構成方法、または問題の前に作成された既存のIntune ASR ポリシーで使用できます。

ASR ルール アクションからのアラートと通知

次の表では、アクティブな ASR ルールで生成できるorganizationとローカル アラートについて説明します。

  • EDR アラート値は、ブロック モードまたは警告モードの ASR ルールが Defender for Endpoint でエンドポイント検出と応答 (EDR) アラートを生成するかどうかを示します。
  • [ユーザー通知] の値は、ASR ルールがブロックモードまたは警告モード (ルールが警告モードをサポートしている場合) のユーザー通知ポップアップをサポートするかどうかを示します。
ルール名 EDR アラート User
通知
Standard保護規則
悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス) N Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする[¹] N N
WMI イベント サブスクリプションを介して永続性をブロックする Y Y
その他の ASR 規則
Adobe Reader による子プロセスの作成をブロックする [²] Y Y
すべての Office アプリケーションによる子プロセスの作成をブロックする N Y
電子メール クライアントと Webmail から実行可能なコンテンツをブロックする[²] Y Y
普及率、経過期間、または信頼リストの条件を満たしていない場合に実行可能ファイルが実行されないようにする N Y
難読化された可能性のあるスクリプトの実行をブロックする Y Y
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする[²] Y Y
Office アプリケーションによる実行可能なコンテンツの作成をブロックする N Y
Office アプリケーションがコードを他のプロセスに挿入できないようにする[¹] N Y
Office の通信アプリケーションによる子プロセスの作成をブロックする N Y
PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする N Y
セーフ モードでのコンピューターの再起動をブロックする N N
USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする Y Y
コピーまたは偽装されたシステム ツールの使用をブロックする N Y
サーバーの WebShell 作成をブロックする N N
Office マクロからの Win32 API 呼び出しをブロックする Y N
ランサムウェアに対して高度な保護を使用する Y Y

¹ この ASR ルールでは、 警告 モードはサポートされていません。

²ブロックモードまたは警告モードのこの ASR ルールには、Microsoft Defenderウイルス対策のクラウド保護レベルに次の追加要件があります。

  • EDR アラートは、デバイス上のクラウド保護レベルが 高プラス または ゼロ許容値である場合にのみ生成されます。
  • ユーザー通知ポップアップは、デバイスのクラウド保護レベルが高、高プラス、ゼロトレランスの場合にのみ生成されます。

ASR ルールの詳細

Standard保護規則

悪用された脆弱な署名されたドライバーの悪用をブロックする (デバイス)

十分な特権を持つローカル アプリは、脆弱な署名されたドライバーを悪用してオペレーティング システム カーネルにアクセスできます。 脆弱な署名されたドライバーを使用すると、攻撃者はセキュリティ ソリューションを無効または回避し、最終的にシステムの侵害につながります。

この ASR ルールを使用すると、アプリが脆弱な署名済みドライバーをコンピューターに保存できなくなります。 コンピューターに既に存在するドライバーの読み込みを妨げるわけではありません。

  • Microsoft Intune名:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager名: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • 高度なハンティング アクションの種類:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • 依存関係: なし

注:

Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする

注:

ローカル セキュリティ機関 (LSA) 保護を有効にした場合 (Credential Guard と共に推奨)。

  • この ASR ルールは必要ありません。
  • この ASR 規則では、追加の保護は提供されません (ASR 規則と LSA 保護も同様に機能します)。
  • この ASR ルールは、Microsoft Defender ポータルの Defender for Endpoint 管理設定では適用されないと分類されます。

この ASR 規則は、ローカル セキュリティ機関サブシステム サービス (LSASS) をロックダウンすることで、資格情報の盗難を防ぐのに役立ちます。 LSASS は、Windows コンピューターでサインインするユーザーを認証します。 通常、Windows の Credential Guard では、LSASS から資格情報を抽出しようとするのを防ぎます。

多くのプロセスでは、不要なアクセス権に対して LSASS への不要な呼び出しが行われます。 このアクティビティにより、かなりの ASR ルール ノイズが生成されますが、機能はブロックされません。 たとえば、パスワードはデバイス上の LSASS に格納されているため、Google Chrome の更新プログラムは LSASS に不必要にアクセスします。 デバイスでこの ASR ルールをアクティブ化すると、Chrome の更新プログラムが LSASS にアクセスできなくなりますが、Chrome の更新はブロックされません。 これらの ASR ルール イベントは、Chrome ソフトウェアの更新プロセスが LSASS にアクセスしないようにするため、適切です。

LSASS へのプロセス呼び出しで通常要求される権限の種類については、「プロセス セキュリティとアクセス権」を参照してください。

カスタム スマートカード ドライバーや LSA に読み込まれるその他のプログラムとの互換性の問題により、Credential Guard を有効にできない組織もあります。 このような場合、攻撃者は Mimikatz などのツールを使用して、LSASS からクリア テキスト パスワードと NTLM ハッシュをスクレイピングできます。

LSA 保護や Credential Guard を有効にできない場合は、この規則を構成して、 lsass.exeを対象とするマルウェアに対して同等の保護を提供できます。

  • Microsoft Intune名:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager名:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • 高度なハンティング アクションの種類:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • 依存関係: Microsoft Defender ウイルス対策

注:

  • この ASR ルールでは、 警告 モードはサポートされていません。
  • この ASR ルールによって大量の監査イベントが生成され、そのほとんどすべてが ブロック モードでルールが有効になっている場合は無視しても安全です。 監査モードの評価をスキップし、ブロック モードのデプロイに進むことができます。 Microsoft では、少数のデバイスセットから始めて、残りの部分をカバーするように徐々に拡張することをお勧めします。
  • この ASR ルールは、わかりやすいプロセスと重複するブロック アクションのアラートとユーザー通知ポップアップを抑制します。
  • この ASR 規則は 、LSASS プロセス メモリへのアクセスをブロックします。 プロセスの 実行はブロックされません。 この ASR ルールが svchost.exeなどのプロセスをブロックする場合は、プロセスが LSASS プロセス メモリへのアクセスをブロックされていることを意味します。 多くの場合、この ASR 規則によってこれらのプロセスのブロックを無視しても問題ありません。
  • 一部のアプリでは、実行中のすべてのプロセスを列挙し、完全なアクセス許可で開こうとします。 この ASR ルールは、アプリの開いているプロセス アクションを拒否し、詳細を Windows イベント ビューアーのセキュリティ ログに記録します。 このルールでは、多数のノイズが発生する可能性があります。 LSASS を列挙するだけで、機能に実際の効果がないアプリがある場合は、除外リストに追加する必要はありません。 それ自体は、このイベント ログ エントリは必ずしも悪意のある脅威を示すわけではありません。
  • この ASR ルールには、Quest Dirsync パスワード同期に関する問題があります。詳細については、「 Windows Defender のインストール時に Dirsync パスワード同期が機能しない」、エラー"VirtualAllocEx failed: 5" (4253914) に関するページを参照してください。
  • この規則では、除外のサポートが制限されています。 詳細については、「 ASR ルールのファイルとフォルダーの除外」を参照してください。

WMI イベント サブスクリプションを介して永続性をブロックする

この ASR ルールは、マルウェアが WMI を悪用してデバイスに対する永続化を取得することを防ぎます。

ファイルレスの脅威は、さまざまな戦術を使用して非表示のまま、ファイル システムに表示されないようにし、定期的な制御を取得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。

  • Microsoft Intune名:Block persistence through WMI event subscription
  • Microsoft Configuration Manager名: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • 高度なハンティング アクションの種類:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • 依存関係: Microsoft Defenderウイルス対策、RPC

注:

  • このルールは、Microsoft Intuneを使用して R2 をWindows Server 2012したり、最新の統合ソリューションを使用してWindows Server 2016してデプロイする場合はサポートされません。
  • Microsoft Configuration Managerを使用する場合は、ブロック モードに進む前に、監査モードでこの ASR ルールを広範にテストすることをお勧めします。 Configuration Manager クライアントは WMI に大きく依存しています。
  • この規則では、除外のサポートが制限されています。 詳細については、「 ASR ルールのファイルとフォルダーの除外」を参照してください。

その他の ASR 規則

Adobe Reader による子プロセスの作成をブロックする

この ASR ルールは、Adobe Reader によるプロセスの作成をブロックすることで攻撃を防ぎます。

マルウェアは、ペイロードをダウンロードして起動し、ソーシャル エンジニアリングや悪用を通じて Adobe Reader から抜け出すことができます。 Adobe Reader が子プロセスを生成できないようにすることで、攻撃ベクトルとして Adobe Reader を使用しようとするマルウェアが拡散するのを防ぎます。

  • Microsoft Intune名:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager名: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • 高度なハンティング アクションの種類:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • 依存関係: Microsoft Defender ウイルス対策

注:

すべての Office アプリケーションによる子プロセスの作成をブロックする

このルールは、Office アプリによる子プロセスの作成をブロックします。 Office アプリには、Word、Excel、PowerPoint、OneNote、Access が含まれます。

悪意のある子プロセスの作成は、一般的なマルウェアの戦略です。 ベクターとして Office を悪用するマルウェアは、多くの場合、VBA マクロを実行し、コードを悪用して、より多くのペイロードをダウンロードして実行しようとします。 ただし、一部の正当な基幹業務アプリでは、問題のない目的で子プロセスが生成される場合もあります。 たとえば、コマンド プロンプトを生成したり、PowerShell を使用してレジストリ設定を構成したりします。

  • Microsoft Intune名:Block all Office applications from creating child processes
  • Microsoft Configuration Manager名:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • 高度なハンティング アクションの種類:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • 依存関係: Microsoft Defender ウイルス対策

注:

この規則は、Office が %ProgramFiles% または %ProgramFiles(x86)% の場所にインストールされている場合にのみ適用されます (既定では、 C:\Program FilesC:\Program Files (x86))。

メール クライアントと Web メールで実行可能なコンテンツをブロックする

この規則は、Microsoft Outlook、Outlook.com、およびその他の一般的な Web メール プロバイダーで開かれた電子メールが、次のファイルの種類を伝達することをブロックします。

  • 実行可能ファイル (たとえば、.exe、.dll、.scr)。

  • スクリプト ファイル (.ps1、.vbs、.js など)。

  • アーカイブ ファイル (たとえば、.zip)。

  • Microsoft Intune名:Block executable content from email client and webmail

  • Microsoft Configuration Manager名:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • 高度なハンティング アクションの種類:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • 依存関係: Microsoft Defender ウイルス対策

注:

  • ブロックモードまたは警告モードのこの ASR ルールには、Microsoft Defender ウイルス対策のクラウド保護レベルに追加の要件があります
    • EDR アラートは、デバイス上のクラウド保護レベルが 高プラス または ゼロ許容値である場合にのみ生成されます。
    • ユーザー通知ポップアップは、デバイスのクラウド保護レベルが高、高プラス、ゼロトレランスの場合にのみ生成されます。
  • この ASR 規則には、次の代替の説明があります。
    • Intune (構成プロファイル):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Configuration Manager:Block executable content download from email and webmail clients
    • グループ ポリシー:Block executable content from email client and webmail

普及率、経過期間、または信頼リストの条件を満たしていない場合に実行可能ファイルが実行されないようにする

ヒント

現時点では、この ASR ルールは、既知のバックエンドの問題のために、Intune ASR ポリシー構成で使用できない場合があります。 ただし、ルールは、他の利用可能な ASR ポリシー構成方法、または問題の前に作成された既存のIntune ASR ポリシーで使用できます。

この ASR ルールは、実行可能ファイル (.exe、.dll、.scr など) の起動をブロックします。 信頼されていない実行可能ファイルまたは不明な実行可能ファイルを起動すると、ファイルが悪意のある場合は最初は明確ではないため、危険な場合があります。

  • Microsoft Intune名:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager名:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • 高度なハンティング アクションの種類:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • 依存関係: Microsoft Defenderウイルス対策、Cloud Protection

注:

難読化された可能性のあるスクリプトの実行をブロックする

この ASR ルールは、難読化されたスクリプト内の疑わしいプロパティを検出します。

スクリプトの難読化は、マルウェアの作成者と正当なアプリケーションの両方が知的財産を非表示にしたり、スクリプトの読み込み時間を短縮したりするために使用する一般的な手法です。 マルウェアの作成者はまた、難読化を使用して悪意のあるコードの読み取りを困難にし、人間とセキュリティ ソフトウェアによる詳細な調査を妨げます。

  • Microsoft Intune名:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager名:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • 高度なハンティング アクションの種類:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • 依存関係: Microsoft Defenderウイルス対策、マルウェア対策スキャン インターフェイス (AMSI)、Cloud Protection

注:

JavaScript または VB スクリプトによる、ダウンロードされた実行可能なコンテンツの起動をブロックする

この ASR ルールを使用すると、悪意のあるダウンロードコンテンツがスクリプトによって起動されるのを防ぐことができます。 JavaScript または VBScript で記述されたマルウェアは、多くの場合、インターネットから他のマルウェアをフェッチして起動するためのダウンローダーとして機能します。 一般的ではありませんが、基幹業務アプリではスクリプトを使用してインストーラーをダウンロードして起動することがあります。

  • Microsoft Intune名:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager名:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • 高度なハンティング アクションの種類:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • 依存関係: Microsoft Defender ウイルス対策、マルウェア対策スキャン インターフェイス (AMSI)

注:

  • このルールは、Microsoft Intuneを使用して R2 をWindows Server 2012したり、最新の統合ソリューションを使用してWindows Server 2016してデプロイする場合はサポートされません。

  • ブロックモードまたは警告モードのこの ASR ルールには、Microsoft Defender ウイルス対策のクラウド保護レベルに追加の要件があります

    • EDR アラートは、デバイス上のクラウド保護レベルが 高プラス または ゼロ許容値である場合にのみ生成されます。
    • ユーザー通知ポップアップは、デバイスのクラウド保護レベルが高、高プラス、ゼロトレランスの場合にのみ生成されます。

Office アプリケーションによる実行可能なコンテンツの作成をブロックする

この ASR ルールにより、Office アプリ (Word、Excel、PowerPointなど) がベクターとして使用されなくなり、悪意のあるコンポーネントがディスクに保存されます。 これらの悪意のあるコンポーネントは、コンピューターの再起動後も存続し、システムに保持される可能性があります。 このルールは、次の方法でこの永続化手法から保護します。

  • ディスクに書き込まれたコードへのアクセス (オープン/実行) をブロックする。

  • Office ファイルでの実行が許可されている Office マクロによって保存された信頼されていないファイルの実行をブロックする。

  • Microsoft Intune名:Block Office applications from creating executable content

  • Microsoft Configuration Manager名:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • 高度なハンティング アクションの種類:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • 依存関係: Microsoft Defenderウイルス対策、RPC

注:

この規則では、除外のサポートが制限されています。 詳細については、「 ASR ルールのファイルとフォルダーの除外」を参照してください。

この ASR 規則は、Office のインストール場所の影響を受けません。

Office アプリケーションによる他のプロセスへのコード挿入をブロックする

この ASR ルールは、Office アプリから他のプロセスへのコード挿入の試行をブロックします。 攻撃者は Office アプリを使用して、コード インジェクションを通じて悪意のあるコードを他のプロセスに移行しようとする可能性があるため、コードはクリーン プロセスとして偽装できます。 コード インジェクションを使用するための既知の正当なビジネス目的はありません。

  • Microsoft Intune名:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager名:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • 高度なハンティング アクションの種類:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • 依存関係: Microsoft Defender ウイルス対策

注:

  • この ASR ルールでは、 警告 モードはサポートされていません。
  • この ASR 規則は、Word、Excel、OneNote、およびPowerPointに適用されます。
  • この ASR 規則では、構成の変更を有効にするために、Microsoft 365 Apps (Office アプリケーション) を再起動する必要があります。
  • この規則では、除外のサポートが制限されています。 詳細については、「 ASR ルールのファイルとフォルダーの除外」を参照してください。
  • この ASR ルールは、次のアプリと互換性がありません。
  • この ASR 規則は、Office が %ProgramFiles% または %ProgramFiles(x86)% の場所にインストールされている場合にのみ適用されます (既定では、 C:\Program FilesC:\Program Files (x86))。

Office の通信アプリケーションによる子プロセスの作成をブロックする

この ASR ルールは、Outlook が子プロセスを作成するのを防ぎ、正当な Outlook 機能を引き続き許可します。 この ASR 規則では、次の保護が行われます。

  • ソーシャル エンジニアリング攻撃を行い、コードの悪用によって Outlook の脆弱性が悪用されるのを防ぎます。

  • Outlook のルールとフォームは、 ユーザーの資格情報が侵害されたときに攻撃者が使用できる悪用です。

  • Microsoft Intune名:Block Office communication application from creating child processes

  • Microsoft Configuration Manager名: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • 高度なハンティング アクションの種類:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • 依存関係: Microsoft Defender ウイルス対策

注:

この規則では、除外のサポートが制限されています。 詳細については、「 ASR ルールのファイルとフォルダーの除外」を参照してください。

この規則は、Office が %ProgramFiles% または %ProgramFiles(x86)% の場所にインストールされている場合にのみ適用されます (既定では、 C:\Program FilesC:\Program Files (x86))。

PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックする

重要

Microsoft Configuration Managerを使用する場合は、他の使用可能な展開方法を使用して、マネージド デバイスでこの規則を有効にしないでください。 Configuration Manager クライアントは WMI に大きく依存しています。

この ASR ルールは 、PsExecWMI を介して作成されたプロセスの実行をブロックします。 PsExec と WMI は、コードをリモートで実行できます。 マルウェアは、コマンドと制御に PsExec と WMI を使用したり、ネットワーク感染を広めたりすることができます。

  • Microsoft Intune名:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager名: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • 高度なハンティング アクションの種類:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • 依存関係: Microsoft Defender ウイルス対策

注:

この規則では、除外のサポートが制限されています。 詳細については、「 ASR ルールのファイルとフォルダーの除外」を参照してください。

セーフ モードでのコンピューターの再起動をブロックする

この ASR ルールは、 bcdeditbootcfg などの一般的に悪用されるコマンドがセーフ モードで Windows コンピューターを再起動することを防ぎます。 セーフ モードでは、多くのセキュリティ製品が無効になっているか、機能が制限された状態で実行されます。 セーフ モードを使用すると、攻撃者は改ざんコマンドをさらに起動したり、コンピューター上のすべてのファイルを実行して暗号化したりできます。

セーフ モードは引き続き Windows 回復環境から手動でアクセスできます。

  • Microsoft Intune名:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager名: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • 高度なハンティング アクションの種類:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • 依存関係: Microsoft Defender ウイルス対策

注:

現在、Microsoft Defender 脆弱性の管理はこの規則を認識しません。 攻撃面縮小 (ASR) ルール レポートには、このルールが [適用なし] と表示されます。

USB から実行される信頼されていないプロセスまたは署名されていないプロセスをブロックする

この ASR 規則は、署名されていない実行可能ファイルまたは信頼されていない実行可能ファイル (.exe、.dll、.scr など) が SD カードを含む USB リムーバブル ドライブから実行されないようにします。

この ASR 規則では、ファイルが USB ドライブからディスクにコピーされるのをブロックしません。 コピーしたファイルがディスクから実行されないようにブロックされます。

  • Microsoft Intune名:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager名:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • 高度なハンティング アクションの種類:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • 依存関係: Microsoft Defender ウイルス対策

コピーまたは偽装されたシステム ツールの使用をブロックする

この ASR ルールは、Windows システム ツールのコピー (複製または偽装) として識別される実行可能ファイルの伝達と使用をブロックします。 悪意のあるプログラムの中には、検出を回避したり特権を得たりするために、Windows システム ツールのコピーや偽装を試みる場合があります。 このような実行可能ファイルを許可すると、潜在的な攻撃につながる可能性があります。

  • Microsoft Intune名:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager名: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • 高度なハンティング アクションの種類:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • 依存関係: Microsoft Defender ウイルス対策

注:

現在、Microsoft Defender 脆弱性の管理はこの規則を認識しません。 攻撃面縮小 (ASR) ルール レポートには、このルールが [適用なし] と表示されます。

サーバーの WebShell 作成をブロックする

この ASR ルールは、Microsoft Exchange を実行している Windows サーバーでの Web シェル スクリプトの作成をブロックします。 Web シェル スクリプトは、攻撃者が侵害されたサーバーを制御できるようにする、細工されたスクリプトです。 Web シェル スクリプトには、次の機能が含まれる場合があります。

  • 悪意のあるコマンドを受信して実行します。

  • 悪意のあるファイルをダウンロードして実行します。

  • 資格情報と機密情報を盗んで流出させる。

  • 潜在的なターゲットを特定します。

  • Microsoft Intune名:Block Webshell creation for Servers

  • Microsoft Configuration Manager名: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • 高度なハンティング アクションの種類: n/a

  • 依存関係: Microsoft Defender ウイルス対策

注:

  • このルールは、Microsoft Intuneを使用して R2 をWindows Server 2012したり、最新の統合ソリューションを使用してWindows Server 2016してデプロイする場合はサポートされません。
  • Microsoft Defender for Endpointで ASR ルールを管理する場合は、グループ ポリシーまたはその他のローカル設定でこの ASR を構成しないでください (値はNot Configuredのままにします)。 その他の値 ( EnabledDisabledなど) は競合を引き起こし、規則が正しく適用されない可能性があります。
  • 現在、Microsoft Defender 脆弱性の管理はこの規則を認識しません。 攻撃面縮小 (ASR) ルール レポートには、このルールが [適用なし] と表示されます。

Office マクロからの Win32 API 呼び出しをブロックする

Office Visual Basic for Applications (VBA) では、Win32 API 呼び出しが有効になります。 この ASR ルールは、VBA マクロが Win32 API を呼び出すのを防ぎます。 マルウェアは、ディスクに直接何も書き込まずに Win32 API を呼び出して悪意のあるシェルコードを起動するなど、この機能を悪用する可能性があります。

ほとんどの組織では、他の方法でマクロを使用する場合でも、VBA マクロからの Win32 API 呼び出しは必要ありません。

  • Microsoft Intune名:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager名:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • 高度なハンティング アクションの種類:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • 依存関係: Microsoft Defender ウイルス対策、マルウェア対策スキャン インターフェイス (AMSI)

ランサムウェアに対して高度な保護を使用する

注:

この ASR ルールは、ランサムウェアに対する保護の追加レイヤーを提供します。 クライアントとクラウドのヒューリスティックの両方を使用して、ファイルがランサムウェアに似ているかどうかを判断します。 このルールでは、次の特性の 1 つ以上のファイルはブロックされません:

  • ファイルが Microsoft クラウドで害を及ぼさないことが判明しました。
  • ファイルは有効な署名済みファイルです。
  • ファイルはランサムウェアと見なされないほど一般的です。

このルールは、評判の悪いファイルをブロックするだけではありません。 代わりに、ルールは注意の側で誤り、 また、まだ肯定的な評判を持っていないファイルもブロックします。 通常、このルールによって無害で不明なファイルのブロックが最終的に解決されます。 ファイルの評判と信頼の値は、問題のない使用量が増えるにつれて段階的に増加します。

問題のない不明なファイルのブロックがタイムリーに解決されない場合は、このルールに対して ASR ごとのルールの除外 を構成するか、 侵害のインジケーター (IoC) に対して [許可] アクションを使用できます。

  • Microsoft Intune名:Use advanced protection against ransomware
  • Microsoft Configuration Manager名:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • 高度なハンティング アクションの種類:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • 依存関係: Microsoft Defenderウイルス対策、Cloud Protection

関連コンテンツ

  • Last updated on