Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen
Van toepassing op:
- Microsoft Microsoft Defender XDR voor eindpuntabonnement 1
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Platforms:
- Windows
Dit artikel bevat informatie over Microsoft Defender voor Eindpunt regels voor het verminderen van kwetsbaarheid voor aanvallen (ASR-regels):
- Ondersteunde versies van besturingssystemen met ASR-regels
- Ondersteunde configuratiebeheersystemen voor ASR-regels
- Waarschuwings- en meldingsdetails per ASR-regel
- ASR-regel naar GUID-matrix
- ASR-regelmodi
- Beschrijvingen per regel
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Tip
Als aanvulling op dit artikel raadpleegt u onze handleiding voor het instellen van Microsoft Defender voor Eindpunt om best practices te bekijken en meer te weten te komen over essentiële hulpprogramma's, zoals kwetsbaarheid voor aanvallen verminderen en beveiliging van de volgende generatie. Voor een aangepaste ervaring op basis van uw omgeving hebt u toegang tot de handleiding voor geautomatiseerde installatie van Defender voor Eindpunt in de Microsoft 365-beheercentrum.
Regels voor het verminderen van kwetsbaarheid voor aanvallen per type
Regels voor het verminderen van kwetsbaarheid voor aanvallen worden gecategoriseerd als een van de volgende twee typen:
Standaardbeveiligingsregels: zijn de minimale set regels die Microsoft u aanbeveelt altijd in te schakelen, terwijl u het effect en de configuratiebehoeften van de andere ASR-regels evalueert. Deze regels hebben doorgaans minimale tot geen merkbare gevolgen voor de eindgebruiker.
Andere regels: Regels waarvoor een zekere mate van het volgen van de gedocumenteerde implementatiestappen [Plan > Test (audit) > Enable (block/warn modes)] is vereist, zoals beschreven in de implementatiehandleiding voor regels voor het verminderen van kwetsbaarheid voor aanvallen
Zie vereenvoudigde standaardbeveiligingsoptie voor de eenvoudigste methode om de standaardbeveiligingsregels in te schakelen.
| NAAM VAN ASR-regel: | Standaardbeveiligingsregel? | Andere regel? |
|---|---|---|
| Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren | Ja | |
| Voorkomen dat Adobe Reader onderliggende processen kan maken | Ja | |
| Voorkomen dat alle Office-toepassingen onderliggende processen kunnen maken | Ja | |
| Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren | Ja | |
| Uitvoerbare inhoud van e-mailclient en webmail blokkeren | Ja | |
| Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor de prevalentie, leeftijd of vertrouwde lijst | Ja | |
| Uitvoering van mogelijk verborgen scripts blokkeren | Ja | |
| JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud | Ja | |
| Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud | Ja | |
| Voorkomen dat Office-toepassingen code in andere processen injecteren | Ja | |
| Office-communicatietoepassing blokkeren voor het maken van onderliggende processen | Ja | |
| Persistentie blokkeren via WMI-gebeurtenisabonnement | Ja | |
| Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten | Ja | |
| Het opnieuw opstarten van de computer in de veilige modus blokkeren (preview) | Ja | |
| Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Ja | |
| Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren (preview) | Ja | |
| Het maken van webshells voor servers blokkeren | Ja | |
| Win32 API-aanroepen blokkeren vanuit Office-macro's | Ja | |
| Geavanceerde beveiliging tegen ransomware gebruiken | Ja |
Microsoft Defender Antivirus-uitsluitingen en ASR-regels
Microsoft Defender Antivirus-uitsluitingen zijn van toepassing op sommige Microsoft Defender voor Eindpunt mogelijkheden, zoals sommige regels voor het verminderen van kwetsbaarheid voor aanvallen.
De volgende ASR-regels komen niet in Microsoft Defender Antivirus-uitsluitingen:
Opmerking
Zie de sectie ASR-uitsluitingen per regel configureren in het onderwerp Regels voor het verminderen van kwetsbaarheid voor aanvallen testen voor informatie over het configureren van uitsluitingen per regel.
ASR-regels en Defender for Endpoint Indicators of Compromise (IOC)
De volgende ASR-regels komen niet na Microsoft Defender voor Eindpunt Indicators of Compromise (IOC):
| NAAM VAN ASR-regel | Beschrijving |
|---|---|
| Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren | Houdt geen rekening met indicatoren van inbreuk voor bestanden of certificaten. |
| Voorkomen dat Office-toepassingen code in andere processen injecteren | Houdt geen rekening met indicatoren van inbreuk voor bestanden of certificaten. |
| Win32 API-aanroepen blokkeren vanuit Office-macro's | Houdt geen rekening met indicatoren van inbreuk voor certificaten. |
Ondersteunde besturingssystemen met ASR-regels
De volgende tabel bevat de ondersteunde besturingssystemen voor regels die momenteel algemeen beschikbaar zijn. De regels worden in alfabetische volgorde weergegeven in deze tabel.
Opmerking
Tenzij anders vermeld, is de minimale Windows10-build versie 1709 (RS3, build 16299) of hoger; de minimale Windows Server-build versie 1809 of hoger is. Regels voor het verminderen van kwetsbaarheid voor aanvallen in Windows Server 2012 R2 en Windows Server 2016 zijn beschikbaar voor apparaten met onboarding met behulp van het moderne geïntegreerde oplossingspakket. Zie New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nieuwe functionaliteit Windows Server 2012 R2 en 2016 in de moderne geïntegreerde oplossing) voor meer informatie.
(1) Verwijst naar de moderne geïntegreerde oplossing voor Windows Server 2012 en 2016. Zie Windows-servers onboarden naar de Defender for Endpoint-service voor meer informatie.
(2) Voor Windows Server 2016 en Windows Server 2012 R2 is de minimaal vereiste versie van Microsoft Endpoint Configuration Manager versie 2111.
(3) Versie- en buildnummer zijn alleen van toepassing op Windows10.
Ondersteunde configuratiebeheersystemen voor ASR-regels
Koppelingen naar informatie over versies van het configuratiebeheersysteem waarnaar in deze tabel wordt verwezen, worden onder deze tabel weergegeven.
(1) U kunt regels voor het verminderen van kwetsbaarheid voor aanvallen per regel configureren met behulp van de GUID van elke regel.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM is nu Microsoft Configuration Manager.
Waarschuwings- en meldingsdetails per ASR-regel
Pop-upmeldingen worden gegenereerd voor alle regels in de blokmodus. Regels in een andere modus genereren geen pop-upmeldingen.
Voor regels met de 'Regelstatus' opgegeven:
- ASR-regels met
\ASR Rule, Rule State\combinaties worden gebruikt om waarschuwingen (pop-upmeldingen) op Microsoft Defender voor Eindpunt alleen voor apparaten op cloudblokniveau 'Hoog'. - Apparaten die zich niet op het hoge niveau van cloudblokken bevinden, genereren geen waarschuwingen voor
ASR Rule, Rule Statecombinaties - EDR-waarschuwingen worden gegenereerd voor ASR-regels in de opgegeven statussen, voor apparaten op cloudblokniveau 'Hoog+'
- Pop-upmeldingen vinden alleen plaats in de blokmodus en voor apparaten op cloudblokniveau 'Hoog'
ASR-regel naar GUID-matrix
| Regelnaam | Regel-GUID |
|---|---|
| Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Voorkomen dat Adobe Reader onderliggende processen kan maken | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Voorkomen dat alle Office-toepassingen onderliggende processen kunnen maken | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Uitvoerbare inhoud van e-mailclient en webmail blokkeren | be9ba2d9-53ea-4cdc-84e5-9b1eee46550 |
| Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor de prevalentie, leeftijd of vertrouwde lijst | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Uitvoering van mogelijk verborgen scripts blokkeren | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud | d3e037e1-3eb8-44c8-a917-57927947596d |
| Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Voorkomen dat Office-toepassingen code in andere processen injecteren | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office-communicatietoepassing blokkeren voor het maken van onderliggende processen | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Persistentie blokkeren via WMI-gebeurtenisabonnement * Uitsluitingen van bestanden en mappen worden niet ondersteund. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Het opnieuw opstarten van de computer in de veilige modus blokkeren (preview) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren (preview) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Het maken van webshells voor servers blokkeren | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Win32 API-aanroepen blokkeren vanuit Office-macro's | 92e97fa1-2edf-4476-bdd6-9ddb4dddc7b |
| Geavanceerde beveiliging tegen ransomware gebruiken | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-regelmodi
- Niet geconfigureerd of uitschakelen: de status waarin de ASR-regel niet is ingeschakeld of is uitgeschakeld. De code voor deze status = 0.
- Blokkeren: de status waarin de ASR-regel is ingeschakeld. De code voor deze status is 1.
- Controle: de status waarin de ASR-regel wordt geëvalueerd op het effect dat deze zou hebben op de organisatie of omgeving als deze is ingeschakeld (ingesteld op blokkeren of waarschuwen). De code voor deze status is 2.
- Waarschuwen De status waarin de ASR-regel is ingeschakeld en een melding weergeeft aan de eindgebruiker, maar de eindgebruiker toestaat om het blok te omzeilen. De code voor deze status is 6.
Waarschuwingsmodus is een blokmodustype dat gebruikers waarschuwt over mogelijk riskante acties. Gebruikers kunnen ervoor kiezen om het waarschuwingsbericht blokkeren te omzeilen en de onderliggende actie toe te staan. Gebruikers kunnen OK selecteren om de blokkering af te dwingen of de bypass-optie ( Deblokkeren ) selecteren via de pop-upmelding van de eindgebruiker die wordt gegenereerd op het moment van de blokkering. Nadat de blokkering van de waarschuwing is opgeheven, is de bewerking toegestaan tot de volgende keer dat het waarschuwingsbericht optreedt. Op dat moment moet de eindgebruiker de actie opnieuw uitvoeren.
Wanneer op de knop Toestaan wordt geklikt, wordt het blok gedurende 24 uur onderdrukt. Na 24 uur moet de eindgebruiker de blokkering opnieuw toestaan. De waarschuwingsmodus voor ASR-regels wordt alleen ondersteund voor RS5+-apparaten (1809+). Als bypass is toegewezen aan ASR-regels op apparaten met oudere versies, bevindt de regel zich in de geblokkeerde modus.
U kunt ook een regel instellen in de waarschuwingsmodus via PowerShell door de AttackSurfaceReductionRules_Actions op te geven als 'Waarschuwen'. Bijvoorbeeld:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Beschrijvingen per regel
Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren
Deze regel voorkomt dat een toepassing een kwetsbaar ondertekend stuurprogramma naar de schijf schrijft. In het wild kunnen kwetsbare ondertekende stuurprogramma's worden misbruikt door lokale toepassingen - die voldoende bevoegdheden hebben - om toegang te krijgen tot de kernel. Met kwetsbare ondertekende stuurprogramma's kunnen aanvallers beveiligingsoplossingen uitschakelen of omzeilen, wat uiteindelijk leidt tot systeeminbreuk.
De regel Misbruik van misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren blokkeert niet dat een stuurprogramma dat al op het systeem bestaat, kan worden geladen.
Opmerking
U kunt deze regel configureren met behulp van Intune OMA-URI. Zie Intune OMA-URI voor het configureren van aangepaste regels. U kunt deze regel ook configureren met behulp van PowerShell. Als u een stuurprogramma wilt laten onderzoeken, gebruikt u deze website om een stuurprogramma voor analyse in te dienen.
Intune naam:Block abuse of exploited vulnerable signed drivers
Configuration Manager naam: nog niet beschikbaar
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Type geavanceerde opsporingsactie:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Voorkomen dat Adobe Reader onderliggende processen kan maken
Deze regel voorkomt aanvallen doordat Adobe Reader geen processen kan maken.
Malware kan nettoladingen downloaden en starten en uit Adobe Reader breken via social engineering of exploits. Door te voorkomen dat onderliggende processen door Adobe Reader worden gegenereerd, kan malware die Adobe Reader als aanvalsvector probeert te gebruiken, voorkomen dat deze zich verspreidt.
Intune naam:Process creation from Adobe Reader (beta)
Configuration Manager naam: nog niet beschikbaar
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Type geavanceerde opsporingsactie:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Voorkomen dat alle Office-toepassingen onderliggende processen kunnen maken
Deze regel voorkomt dat Office-apps onderliggende processen kunnen maken. Office-apps zijn onder andere Word, Excel, PowerPoint, OneNote en Access.
Het maken van schadelijke onderliggende processen is een algemene malwarestrategie. Malware die Office misbruikt als vector voert vaak VBA-macro's en exploitcode uit om te downloaden en meer nettoladingen uit te voeren. Sommige legitieme Line-Of-Business-toepassingen kunnen echter ook onderliggende processen genereren voor goedaardige doeleinden; zoals het uitzetten van een opdrachtprompt of het gebruik van PowerShell om registerinstellingen te configureren.
Intune naam:Office apps launching child processes
Configuration Manager naam:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Type geavanceerde opsporingsactie:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Het stelen van referenties van het windows-subsysteem voor lokale beveiligingsinstantie blokkeren
Opmerking
Als U LSA-beveiliging hebt ingeschakeld en Credential Guard hebt ingeschakeld, is deze regel voor het verminderen van kwetsbaarheid voor aanvallen niet vereist.
Deze regel helpt het stelen van referenties te voorkomen door LSASS (Local Security Authority Subsystem Service) te vergrendelen.
LSASS verifieert gebruikers die zich aanmelden op een Windows-computer. Microsoft Defender Credential Guard in Windows voorkomt normaal gesproken pogingen om referenties uit LSASS te extraheren. Sommige organisaties kunnen Credential Guard niet op al hun computers inschakelen vanwege compatibiliteitsproblemen met aangepaste smartcardstuurprogramma's of andere programma's die worden geladen in de Local Security Authority (LSA). In deze gevallen kunnen aanvallers hulpprogramma's zoals Mimikatz gebruiken om cleartext-wachtwoorden en NTLM-hashes uit LSASS te verwijderen.
De status van deze regel is standaard ingesteld op blokkeren. In de meeste gevallen worden LSASS door veel processen aangeroepen voor toegangsrechten die niet nodig zijn. Bijvoorbeeld wanneer het eerste blok van de ASR-regel resulteert in een volgende aanroep voor een lagere bevoegdheid die vervolgens slaagt. Zie Procesbeveiliging en toegangsrechten voor informatie over de typen rechten die doorgaans worden aangevraagd bij procesoproepen naar LSASS.
Het inschakelen van deze regel biedt geen extra beveiliging als LSA-beveiliging is ingeschakeld, omdat de ASR-regel en LSA-beveiliging op dezelfde manier werken. Wanneer LSA-beveiliging echter niet kan worden ingeschakeld, kan deze regel worden geconfigureerd om gelijkwaardige bescherming te bieden tegen malware die is gericht op lsass.exe.
Opmerking
In dit scenario wordt de ASR-regel geclassificeerd als 'niet van toepassing' in defender voor eindpuntinstellingen in de Microsoft Defender portal. De ASR-regel Referentie stelen van referenties blokkeren van het Windows-subsysteem voor lokale beveiligingsinstantie biedt geen ondersteuning voor de WARN-modus. In sommige apps somt de code alle actieve processen op en probeert deze te openen met uitgebreide machtigingen. Met deze regel wordt de actie voor het openen van het proces van de app geweigerd en worden de details geregistreerd in het gebeurtenislogboek van de beveiliging. Deze regel kan veel ruis genereren. Als u een app hebt die alleen LSASS opsommen, maar geen echte invloed heeft op de functionaliteit, hoeft u deze niet toe te voegen aan de uitsluitingslijst. Op zichzelf duidt deze vermelding in het gebeurtenislogboek niet noodzakelijkerwijs op een schadelijke bedreiging.
Intune naam:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager naam:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Type geavanceerde opsporingsactie:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Uitvoerbare inhoud van e-mailclient en webmail blokkeren
Met deze regel wordt voorkomen dat e-mail wordt geopend in de Microsoft Outlook-toepassing of Outlook.com en andere populaire webmailproviders de volgende bestandstypen doorgeven:
- Uitvoerbare bestanden (zoals .exe, .dll of .scr)
- Scriptbestanden (zoals een PowerShell-.ps1, Visual Basic .vbs of JavaScript-.js-bestand)
Intune naam:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager naam:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Type geavanceerde opsporingsactie:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Opmerking
De regel Uitvoerbare inhoud van e-mailclient en webmail blokkeren heeft de volgende alternatieve beschrijvingen, afhankelijk van de toepassing die u gebruikt:
- Intune (configuratieprofielen): uitvoerbare inhoud (exe, dll, ps, js, vbs, enzovoort) is verwijderd uit e-mail (webmail/mailclient) (geen uitzonderingen).
- Configuration Manager: uitvoerbare inhoud downloaden van e-mail- en webmailclients blokkeren.
- groepsbeleid: uitvoerbare inhoud van e-mailclient en webmail blokkeren.
Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor de prevalentie, leeftijd of vertrouwde lijst
Deze regel blokkeert het starten van uitvoerbare bestanden, zoals .exe, .dll of .scr. Het starten van niet-vertrouwde of onbekende uitvoerbare bestanden kan dus riskant zijn, omdat het in eerste instantie mogelijk niet duidelijk is als de bestanden schadelijk zijn.
Belangrijk
U moet cloudbeveiliging inschakelen om deze regel te kunnen gebruiken.
De regel Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor een prevalentie, leeftijd of vertrouwde lijst met GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 is eigendom van Microsoft en wordt niet opgegeven door beheerders. Deze regel maakt gebruik van cloudbeveiliging om de vertrouwde lijst regelmatig bij te werken.
U kunt afzonderlijke bestanden of mappen opgeven (met behulp van mappaden of volledig gekwalificeerde resourcenamen), maar u kunt niet opgeven op welke regels of uitsluitingen van toepassing zijn.
Intune naam:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager naam:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Type geavanceerde opsporingsactie:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Afhankelijkheden: Microsoft Defender Antivirus, Cloud Protection
Uitvoering van mogelijk verborgen scripts blokkeren
Met deze regel worden verdachte eigenschappen in een verborgen script gedetecteerd.
Opmerking
PowerShell-scripts worden nu ondersteund voor de regel 'Uitvoering van mogelijk verborgen scripts blokkeren'.
Belangrijk
U moet cloudbeveiliging inschakelen om deze regel te kunnen gebruiken.
Script-verduistering is een veelgebruikte techniek die zowel auteurs van malware als legitieme toepassingen gebruiken om intellectueel eigendom te verbergen of de laadtijden van scripts te verkorten. Auteurs van malware gebruiken ook verduistering om schadelijke code moeilijker leesbaar te maken, wat een zorgvuldige controle door mensen en beveiligingssoftware belemmert.
Intune naam:Obfuscated js/vbs/ps/macro code
Configuration Manager naam:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Type geavanceerde opsporingsactie:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Afhankelijkheden: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)
JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud
Deze regel voorkomt dat scripts mogelijk schadelijke gedownloade inhoud starten. Malware geschreven in JavaScript of VBScript fungeert vaak als een downloader om andere malware van internet op te halen en te starten. Hoewel dit niet gebruikelijk is, gebruiken Line-Of-Business-toepassingen soms scripts om installatieprogramma's te downloaden en te starten.
Intune naam:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager naam:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Type geavanceerde opsporingsactie:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Afhankelijkheden: Microsoft Defender Antivirus, AMSI
Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud
Deze regel voorkomt dat Office-apps, waaronder Word, Excel en PowerPoint, mogelijk schadelijke uitvoerbare inhoud maken door te voorkomen dat schadelijke code naar de schijf wordt geschreven. Malware die Office misbruikt als vector kan proberen uit Office te breken en schadelijke onderdelen op schijf op te slaan. Deze schadelijke onderdelen overleven het opnieuw opstarten van de computer en blijven behouden op het systeem. Daarom verdedigt deze regel tegen een algemene persistentietechniek. Deze regel blokkeert ook de uitvoering van niet-vertrouwde bestanden die mogelijk zijn opgeslagen door Office-macro's die mogen worden uitgevoerd in Office-bestanden.
Intune naam:Office apps/macros creating executable content
Configuration Manager naam:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Type geavanceerde opsporingsactie:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Afhankelijkheden: Microsoft Defender Antivirus, RPC
Voorkomen dat Office-toepassingen code in andere processen injecteren
Met deze regel worden pogingen voor code-injectie van Office-apps in andere processen geblokkeerd.
Opmerking
De ASR-regel Toepassingen blokkeren voor het injecteren van code in andere processen biedt geen ondersteuning voor de WARN-modus.
Belangrijk
Voor deze regel moet Microsoft 365-apps (Office-toepassingen) opnieuw worden opgestart om de configuratiewijzigingen van kracht te laten worden.
Aanvallers kunnen proberen Office-apps te gebruiken om schadelijke code te migreren naar andere processen via code-injectie, zodat de code zich kan voordoen als een schoon proces. Er zijn geen legitieme zakelijke doeleinden bekend voor het gebruik van code-injectie.
Deze regel is van toepassing op Word, Excel, OneNote en PowerPoint.
Intune naam:Office apps injecting code into other processes (no exceptions)
Configuration Manager naam:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Type geavanceerde opsporingsactie:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Office-communicatietoepassing blokkeren voor het maken van onderliggende processen
Deze regel voorkomt dat Outlook onderliggende processen maakt, terwijl legitieme Outlook-functies nog steeds worden toegestaan. Deze regel beschermt tegen social engineering-aanvallen en voorkomt misbruik van code in Outlook. Het beschermt ook tegen Outlook-regels en -formulieren die aanvallers kunnen gebruiken wanneer de referenties van een gebruiker worden gecompromitteerd.
Opmerking
Met deze regel worden DLP-beleidstips en knopinfo in Outlook geblokkeerd. Deze regel is alleen van toepassing op Outlook en Outlook.com.
Intune naam:Process creation from Office communication products (beta)
Configuration Manager naam: Niet beschikbaar
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Type geavanceerde opsporingsactie:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Persistentie blokkeren via WMI-gebeurtenisabonnement
Deze regel voorkomt dat malware WMI misbruikt om persistentie te verkrijgen op een apparaat.
Belangrijk
Uitsluitingen van bestanden en mappen zijn niet van toepassing op deze regel voor het verminderen van kwetsbaarheid voor aanvallen.
Bestandsloze bedreigingen maken gebruik van verschillende tactieken om verborgen te blijven, om te voorkomen dat ze worden gezien in het bestandssysteem en om periodiek controle over de uitvoering te krijgen. Sommige bedreigingen kunnen de WMI-opslagplaats en het gebeurtenismodel misbruiken om verborgen te blijven.
Opmerking
Als CcmExec.exe (SCCM Agent) wordt gedetecteerd op het apparaat, wordt de ASR-regel geclassificeerd als 'niet van toepassing' in defender voor eindpuntinstellingen in de Microsoft Defender portal.
Intune naam:Persistence through WMI event subscription
Configuration Manager naam: Niet beschikbaar
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Type geavanceerde opsporingsactie:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Afhankelijkheden: Microsoft Defender Antivirus, RPC
Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten
Deze regel blokkeert de uitvoering van processen die zijn gemaakt via PsExec en WMI . Zowel PsExec als WMI kunnen op afstand code uitvoeren. Er bestaat een risico dat malware de functionaliteit van PsExec en WMI misbruikt voor commando- en controledoeleinden, of om een infectie te verspreiden over het netwerk van een organisatie.
Waarschuwing
Gebruik deze regel alleen als u uw apparaten beheert met Intune of een andere MDM-oplossing. Deze regel is niet compatibel met beheer via Microsoft Endpoint Configuration Manager omdat deze regel WMI-opdrachten blokkeert die de Configuration Manager client gebruikt om correct te werken.
Intune naam:Process creation from PSExec and WMI commands
Configuration Manager naam: Niet van toepassing
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Type geavanceerde opsporingsactie:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Het opnieuw opstarten van de computer in de veilige modus blokkeren (preview)
Deze regel voorkomt dat opdrachten worden uitgevoerd om machines opnieuw op te starten in de veilige modus. Veilige modus is een diagnostische modus die alleen de essentiële bestanden en stuurprogramma's laadt die nodig zijn om Windows uit te voeren. In de veilige modus zijn veel beveiligingsproducten echter uitgeschakeld of werken ze in een beperkte capaciteit, waardoor aanvallers nog meer manipulatieopdrachten kunnen starten of gewoon alle bestanden op de computer kunnen uitvoeren en versleutelen. Deze regel blokkeert dergelijke aanvallen door te voorkomen dat processen machines opnieuw opstarten in de veilige modus.
Opmerking
Deze mogelijkheid is momenteel in preview. Aanvullende upgrades om de werkzaamheid te verbeteren zijn in ontwikkeling.
Intune naam:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager naam: nog niet beschikbaar
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Type geavanceerde opsporingsactie:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Afhankelijkheden: Microsoft Defender Antivirus
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB
Met deze regel kunnen beheerders voorkomen dat niet-ondertekende of niet-vertrouwde uitvoerbare bestanden worden uitgevoerd vanaf verwisselbare USB-stations, inclusief SD-kaarten. Geblokkeerde bestandstypen omvatten uitvoerbare bestanden (zoals .exe, .dll of .scr)
Belangrijk
Bestanden die van de USB naar het schijfstation worden gekopieerd, worden geblokkeerd door deze regel als en wanneer deze op het schijfstation worden uitgevoerd.
Intune naam:Untrusted and unsigned processes that run from USB
Configuration Manager naam:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Type geavanceerde opsporingsactie:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Afhankelijkheden: Microsoft Defender Antivirus
Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren (preview)
Deze regel blokkeert het gebruik van uitvoerbare bestanden die zijn geïdentificeerd als kopieën van Windows-systeemhulpprogramma's. Deze bestanden zijn duplicaten of bedriegers van de oorspronkelijke systeemhulpprogramma's. Sommige schadelijke programma's proberen windows-systeemprogramma's te kopiëren of te imiteren om detectie te voorkomen of bevoegdheden te verkrijgen. Het toestaan van dergelijke uitvoerbare bestanden kan leiden tot mogelijke aanvallen. Deze regel voorkomt het doorgeven en uitvoeren van dergelijke duplicaten en impostors van de systeemhulpprogramma's op Windows-computers.
Opmerking
Deze mogelijkheid is momenteel in preview. Aanvullende upgrades om de werkzaamheid te verbeteren zijn in ontwikkeling.
Intune naam:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager naam: nog niet beschikbaar
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Type geavanceerde opsporingsactie:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Afhankelijkheden: Microsoft Defender Antivirus
Het maken van webshells voor servers blokkeren
Deze regel blokkeert het maken van webshellscripts op Microsoft Server, Exchange-rol. Een webshellscript is een speciaal vervaardigd script waarmee een aanvaller de gecompromitteerde server kan beheren. Een webshell kan functies bevatten zoals het ontvangen en uitvoeren van schadelijke opdrachten, het downloaden en uitvoeren van schadelijke bestanden, het stelen en exfiltreren van referenties en gevoelige informatie, het identificeren van mogelijke doelen, enzovoort.
Intune naam:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Afhankelijkheden: Microsoft Defender Antivirus
Win32 API-aanroepen blokkeren vanuit Office-macro's
Met deze regel voorkomt u dat VBA-macro's Win32-API's aanroepen. Office VBA schakelt Win32-API-aanroepen in. Malware kan misbruik maken van deze mogelijkheid, zoals het aanroepen van Win32-API's om schadelijke shellcode te starten zonder iets rechtstreeks naar de schijf te schrijven. De meeste organisaties vertrouwen niet op de mogelijkheid om Win32-API's aan te roepen in hun dagelijkse werking, zelfs als ze macro's op andere manieren gebruiken.
Intune naam:Win32 imports from Office macro code
Configuration Manager naam:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Type geavanceerde opsporingsactie:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Afhankelijkheden: Microsoft Defender Antivirus, AMSI
Geavanceerde beveiliging tegen ransomware gebruiken
Deze regel biedt een extra beschermingslaag tegen ransomware. Het maakt gebruik van zowel client- als cloud-heuristiek om te bepalen of een bestand lijkt op ransomware. Met deze regel worden bestanden met een of meer van de volgende kenmerken niet geblokkeerd:
- Het bestand is al onharig gebleken in de Microsoft-cloud.
- Het bestand is een geldig ondertekend bestand.
- Het bestand is gangbaar genoeg om niet als ransomware te worden beschouwd.
De regel heeft de neiging om aan de kant van de waarschuwing om ransomware te voorkomen.
Opmerking
U moet cloudbeveiliging inschakelen om deze regel te kunnen gebruiken.
Intune naam:Advanced ransomware protection
Configuration Manager naam:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Type geavanceerde opsporingsactie:
AsrRansomwareAuditedAsrRansomwareBlocked
Afhankelijkheden: Microsoft Defender Antivirus, Cloud Protection
Zie ook
- Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen
- Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen
- Regels voor het verminderen van kwetsbaarheid voor aanvallen testen
- Regels voor het verminderen van aanvalsoppervlakken inschakelen
- Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken
- Rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen
- Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.