Konfigurowanie reguł i wykluczeń dotyczących zmniejszania obszaru ataków (ASR)

Reguły zmniejszania obszaru ataków (ASR) są ukierunkowane na ryzykowne zachowanie oprogramowania na urządzeniach z systemem Windows, które osoby atakujące często wykorzystują złośliwe oprogramowanie (na przykład uruchamianie skryptów pobierających pliki, uruchamianie zaciemnionych skryptów i wstrzykiwanie kodu do innych procesów). W tym artykule opisano sposób włączania i konfigurowania reguł usługi ASR.

Aby uzyskać najlepsze wyniki, użyj rozwiązań do zarządzania na poziomie przedsiębiorstwa, takich jak Microsoft Intune lub Microsoft Configuration Manager, do zarządzania regułami usługi ASR. Ustawienia reguły usługi ASR z Intune lub Configuration Manager zastąpić wszystkie ustawienia powodujące konflikt z zasad grupy lub programu PowerShell podczas uruchamiania.

Wymagania wstępne

Aby uzyskać więcej informacji, zobacz Wymagania dotyczące reguł usługi ASR.

Konfigurowanie reguł usługi ASR w Microsoft Intune

Microsoft Intune jest zalecanym narzędziem do konfigurowania i dystrybuowania zasad reguł usługi ASR na urządzeniach. Wymaga Microsoft Intune (plan 1) (uwzględnione w subskrypcjach, takich jak Microsoft 365 E3 lub dostępne jako dodatek autonomiczny).

W Intune zasady zabezpieczeń punktu końcowego są zalecaną metodą wdrażania reguł usługi ASR, chociaż inne metody są również dostępne w Intune zgodnie z opisem w poniższych podsekcjach.

Konfigurowanie reguł i wykluczeń usługi ASR w Intune przy użyciu zasad zabezpieczeń punktu końcowego

Aby skonfigurować reguły usługi ASR przy użyciu zasad zmniejszania obszaru ataków zabezpieczeń punktu końcowego Microsoft Intune, zobacz Tworzenie zasad zabezpieczeń punktu końcowego (otwiera się na nowej karcie w dokumentacji Intune). Podczas tworzenia zasad użyj następujących ustawień:

Ważna

zarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje tylko obiekty urządzeń. Kierowanie użytkowników nie jest obsługiwane. Przypisz zasady do Microsoft Entra grup urządzeń, a nie grup użytkowników.

• Typ zasad: zmniejszanie obszaru podatnego na ataki
• Platforma: Windows
• Profil: Reguły zmniejszania obszaru ataków
• Ustawienia konfiguracji:

  • Zmniejszanie obszaru podatnego na ataki: zazwyczaj można włączyć standardowe reguły ochrony w trybie Blokuj lub Ostrzegaj bez testowania. Przed przełączeniem ich do trybu Blokuj lub Ostrzegaj należy przetestować inne reguły usługi ASR w trybie inspekcji. Aby uzyskać więcej informacji, zobacz przewodnik wdrażania reguł usługi ASR.

    Po ustawieniu trybu reguły na Inspekcja, Blokuj lub Ostrzegaj zostanie wyświetlona sekcja ASR tylko dla wykluczeń reguły , w której można określić wykluczenia, które mają zastosowanie tylko do tej reguły.

  • Tylko wykluczenia dotyczące zmniejszania obszaru podatnego na ataki: ta sekcja służy do określania wykluczeń, które mają zastosowanie do wszystkich reguł usługi ASR.

    Aby określić wykluczenia reguł dla usługi ASR lub globalne wykluczenia reguł asr, użyj jednej z następujących metod:

    • Wybierz opcję Dodaj. W wyświetlonym polu wprowadź ścieżkę lub ścieżkę i nazwę pliku do wykluczenia. Przykład:

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • Wybierz pozycję Importuj , aby zaimportować plik CSV zawierający nazwy plików i folderów do wykluczenia. Plik CSV używa następującego formatu:

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      Porada

      Znaki podwójnego cudzysłowu wokół wartości są opcjonalne i są ignorowane (nie są używane w wartościach), jeśli je uwzględnisz. Nie używaj pojedynczych cudzysłowów wokół wartości.

    Aby uzyskać więcej informacji na temat wykluczeń, zobacz File and folder exclusions for ASR rules (Wykluczenia plików i folderów dla reguł usługi ASR).

  • Włącz kontrolowany dostęp do folderów, foldery chronione z kontrolowanym dostępem do folderów i aplikacje z dostępem do folderów kontrolowanych: Aby uzyskać więcej informacji, zobacz Ochrona ważnych folderów za pomocą kontrolowanego dostępu do folderów.

Konfigurowanie reguł usługi ASR w Intune przy użyciu profilów niestandardowych z OMA-URIs i CSP

Mimo że zalecane są zasady zabezpieczeń punktu końcowego, można również skonfigurować reguły usługi ASR w Intune przy użyciu profilów niestandardowych zawierających profile Open Mobile Alliance — Uniform Resource (OMA-URI) przy użyciu dostawcy usług konfiguracji zasad systemu Windows (CSP).

Aby uzyskać ogólne informacje na temat OMA-URIs w Intune, zobacz Deploy OMA-URIs to target a CSP through Intune (Wdrażanie OMA-URIs do celów dostawcy CSP za pośrednictwem Intune) oraz porównanie z lokalnym.

1. W centrum administracyjnym Microsoft Intune pod adresem https://intune.microsoft.comwybierz pozycję Urządzenia>Zarządzaj konfiguracją urządzeń>. Możesz też przejść bezpośrednio do urządzenia | Strona konfiguracji użyj polecenia https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. Na karcie Zasadyurządzeń | Na stronie Konfiguracja wybierz pozycję Utwórz>nowe zasady.

   

3. W wyświetlonym oknie wysuwnym Tworzenie profilu skonfiguruj następujące ustawienia:

   • Platforma: wybierz pozycję Windows 10 i nowsze.
   • Typ profilu: wybierz pozycję Szablony.
     • W wyświetlonej sekcji Nazwa szablonu wybierz pozycję Niestandardowe.

   Wybierz pozycję Utwórz.

   

4. Zostanie otwarty kreator szablonów niestandardowych. Na karcie Podstawy skonfiguruj następujące ustawienia:

   • Nazwa: wprowadź unikatową nazwę szablonu.
   • Opis: wprowadź opcjonalny opis.

   Po zakończeniu na karcie Podstawy wybierz pozycję Dalej.

5. Na karcie Ustawienia konfiguracji wybierz pozycję Dodaj.

   

   W wyświetlonym menu wysuwowym Dodawanie wiersza skonfiguruj następujące ustawienia:

   • Nazwa: wprowadź unikatową nazwę reguły.

   • Opis: wprowadź opcjonalny, krótki opis.

   • OMA-URI: wprowadź wartość Urządzenia z dostawcy CSP AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • Typ danych: wybierz pozycję Ciąg.

     • Wartość: Użyj następującej składni:

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • Wartości identyfikatora GUID dla reguł usługi ASR są dostępne w regułach usługi ASR.
       • Dostępne są następujące tryby reguł :
         • 0: Wyłączone
         • 1:Bloku
         • 2:Inspekcji
         • 5: Nie skonfigurowano
         • 6:Ostrzec

       Przykład:

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     Po zakończeniu pracy z wysuwem Dodaj wiersz wybierz pozycję Zapisz.

     Porada

     W tym momencie można również dodać globalne wykluczenia reguł usługi ASR do profilu niestandardowego zamiast tworzyć osobny profil tylko dla wykluczeń. Aby uzyskać instrukcje, zobacz następną podsekcję Configure global ASR rule exclusions in Intune using custom profiles with OMA-URIs and CSPs (Konfigurowanie globalnych wykluczeń reguł asr w Intune przy użyciu profilów niestandardowych z OMA-URIs i CSP).

   Po powrocie na kartę Ustawienia konfiguracji wybierz pozycję Dalej.

6. Na karcie Przypisania skonfiguruj następujące ustawienia:

   • Sekcja Dołączone grupy : Wybierz jedną z następujących opcji:
     • Dodaj grupy: wybierz co najmniej jedną grupę do uwzględnienia.
     • Dodawanie wszystkich użytkowników
     • Dodawanie wszystkich urządzeń
   • Sekcja Wykluczone grupy : wybierz pozycję Dodaj grupy , aby określić wszystkie grupy do wykluczenia.

   Po zakończeniu na karcie Przypisania wybierz pozycję Dalej.

   

7. Na karcie Reguły stosowania wybierz pozycję Dalej.

   Możesz użyć właściwości wersji systemu operacyjnego i wersji systemu operacyjnego , aby zdefiniować typy urządzeń, które powinny lub nie powinny uzyskiwać profilu.

   

8. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia. Możesz użyć opcji Poprzednie lub wybrać kartę, aby wrócić i wprowadzić zmiany.

   Gdy wszystko będzie gotowe do utworzenia profilu, wybierz pozycję Utwórz na karcie Przeglądanie i tworzenie .

   

Natychmiast wrócisz do karty Zasadyurządzeń | Strona konfiguracji . Może być konieczne wybranie pozycji Odśwież , aby wyświetlić zasady.

Reguły usługi ASR są aktywne w ciągu kilku minut.

Konfigurowanie globalnych wykluczeń reguł usługi ASR w Intune przy użyciu profilów niestandardowych z OMA-URIs i CSP

Kroki konfigurowania globalnych wykluczeń reguł usługi ASR w Intune przy użyciu profilu niestandardowego są bardzo podobne do kroków reguły usługi ASR w poprzedniej sekcji. Jedyną różnicą jest krok 5 (karta Ustawienia konfiguracji ), na której wprowadza się informacje dotyczące wyjątków reguły usługi ASR:

Na karcie Ustawienia konfiguracji wybierz pozycję Dodaj. W wyświetlonym menu wysuwowym Dodawanie wiersza skonfiguruj następujące ustawienia:

• Nazwa: wprowadź unikatową nazwę reguły.
  • Opis: wprowadź opcjonalny, krótki opis.
  • OMA-URI: wprowadź wartość Urządzenia z dostawcy CSP AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • Typ danych: wybierz pozycję Ciąg.

    • Wartość: Użyj następującej składni:

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      Przykład:

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

Po zakończeniu pracy z wysuwem Dodaj wiersz wybierz pozycję Zapisz.

Po powrocie na kartę Ustawienia konfiguracji wybierz pozycję Dalej.

Pozostałe kroki są takie same jak konfigurowanie reguł usługi ASR.

Konfigurowanie reguł usługi ASR w dowolnym rozwiązaniu MDM przy użyciu dostawcy CSP zasad

Dostawca usług konfiguracji zasad (CSP) umożliwia organizacjom korporacyjnym konfigurowanie zasad na urządzeniach z systemem Windows przy użyciu dowolnego rozwiązania do zarządzania urządzeniami przenośnymi (MDM), a nie tylko Microsoft Intune. Aby uzyskać więcej informacji, zobacz Dostawca CSP zasad.

Reguły usługi ASR można skonfigurować przy użyciu dostawcy CSP AttackSurfaceReductionRules z następującymi ustawieniami:

Ścieżka OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Wartość: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• Wartości identyfikatora GUID dla reguł usługi ASR są dostępne w regułach usługi ASR
• Dostępne są następujące tryby reguł :
  • 0: Wyłączone
  • 1:Bloku
  • 2:Inspekcji
  • 5: Nie skonfigurowano
  • 6:Ostrzec

Przykład:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Uwaga

Pamiętaj, aby wprowadzić wartości OMA-URI bez spacji.

Konfigurowanie globalnych wykluczeń reguł usługi ASR w dowolnym rozwiązaniu MDM przy użyciu dostawcy CSP zasad

Dostawca CSP zasad umożliwia skonfigurowanie globalnej ścieżki reguły asr oraz wykluczeń ścieżki i nazwy pliku przy użyciu dostawcy CSP AttackSurfaceReductionOnlyExclusions z następującymi ustawieniami:

Ścieżka OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Wartość: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Na przykład C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Konfigurowanie reguł usługi ASR i globalnych wykluczeń reguł usługi ASR w Microsoft Configuration Manager

Aby uzyskać instrukcje, zobacz informacje o zmniejszaniu obszaru ataków w temacie Tworzenie i wdrażanie zasad funkcji Exploit Guard.

Ostrzeżenie

Istnieje znany problem z zastosowaniem redukcji obszaru ataków w wersjach systemu operacyjnego serwera, który jest oznaczony jako zgodny bez rzeczywistego wymuszania. Obecnie nie ma zdefiniowanej daty wydania, kiedy zostanie to naprawione.

Ważna

Jeśli używasz opcji "Wyłącz scalanie administratora" ustawionej true na urządzeniach i używasz dowolnego z następujących narzędzi/metod, dodawanie reguł usługi ASR dla wykluczeń reguł lub lokalnych wykluczeń reguł usługi ASR nie ma zastosowania:

• Defender for Endpoint Security Settings Management (Disable Local Administracja Merge) Windows policies tab of the Endpoint security policies page in the Microsoft Defender portal athttps://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (Wyłącz scalanie Administracja lokalnej)
• Dostawca CSP usługi Defender (DisableLocalAdminMerge)
• zasady grupy (Konfigurowanie zachowania scalania administratora lokalnego dla list)

Aby zmodyfikować to zachowanie, należy zmienić wartość "Wyłącz scalanie administratora" na false.

Konfigurowanie reguł i wykluczeń usługi ASR w zasadach grupy

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami przy użyciu Intune, Microsoft Configuration Manager lub innego oprogramowania do zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastępuje wszelkie powodujące konflikt ustawienia zasad grupy podczas uruchamiania.

1. W obszarze Scentralizowane zasady grupy otwórz konsolę zarządzania zasady grupy (GPMC) na komputerze zarządzania zasady grupy.

2. W drzewie konsoli kontrolera zasad grupy rozwiń węzeł zasady grupy Obiekty w lesie i domenie zawierającej obiekt zasad grupy, który chcesz edytować.

3. Kliknij prawym przyciskiem myszy obiekt zasad grupy, a następnie wybierz pozycję Edytuj.

4. W edytorze zarządzania zasady grupy przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Antivirus>Microsoft Defender Exploit Guard > Attack Surface Reduction.

5. W okienku szczegółów zmniejszania obszaru podatnego na ataki dostępne są następujące ustawienia:

   • Konfigurowanie reguł zmniejszania obszaru podatnego na ataki
   • Wykluczanie plików i ścieżek z reguł zmniejszania obszaru ataków
   • Stosowanie listy wykluczeń do określonych reguł zmniejszania obszaru ataków (ASR)

   Aby otworzyć i skonfigurować ustawienie reguły usługi ASR, użyj dowolnej z następujących metod:

   • Kliknij dwukrotnie to ustawienie.
   • Kliknij prawym przyciskiem myszy to ustawienie, a następnie wybierz pozycję Edytuj
   • Wybierz ustawienie, a następnie wybierz pozycję Edytuj akcję>.

Porada

Można również skonfigurować zasady grupy lokalnie na poszczególnych urządzeniach przy użyciu edytora zasady grupy lokalnego (gpedit.msc). Przejdź do tej samej ścieżki: Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.

Dostępne ustawienia opisano w poniższych podsekcjach.

Ważna

Znaki cudzysłowu, spacje wiodące, spacje końcowe i dodatkowe znaki nie są obsługiwane w żadnej z wartości związanych z regułami usługi ASR w zasadach grupy.

zasady grupy ścieżki przed Windows 10 wersji 2004 (maj 2020 r.) mogą używać systemu Windows Program antywirusowy Defender zamiast microsoft Program antywirusowy Defender. Obie nazwy odwołują się do tej samej lokalizacji zasad.

Konfigurowanie reguł usługi ASR w zasadach grupy

1. W okienku szczegółów zmniejszania obszaru podatnego na ataki otwórz ustawienie Konfiguruj reguły zmniejszania obszaru podatnego na ataki .

2. W otwierającym się oknie ustawień skonfiguruj następujące opcje:

   1. Wybierz pozycję Włączone.
   2. Ustaw stan dla każdej reguły usługi ASR: wybierz pozycję Pokaż....

3. W oknie dialogowym Ustawianie stanu dla każdej otwartej reguły usługi ASR skonfiguruj następujące ustawienia:

   • Nazwa wartości: wprowadź wartość identyfikatora GUID reguły ASR.
   • Wartość: Wprowadź jedną z następujących wartości trybu reguły :
     • 0: Wyłączone
     • 1:Bloku
     • 2:Inspekcji
     • 5: Nie skonfigurowano
     • 6:Ostrzec

   

   Aby uzyskać więcej informacji, zobacz Tryby reguł usługi ASR.

   Powtórz ten krok tyle razy, ile jest to konieczne. Po zakończeniu wybierz przycisk OK.

Konfigurowanie globalnych wykluczeń reguł usługi ASR w zasadach grupy

Ścieżki lub nazwy plików z określonymi ścieżkami są używane jako wykluczenia dla wszystkich reguł usługi ASR.

1. W okienku szczegółów zmniejszania obszaru podatnego na ataki otwórz ustawienie Wykluczanie plików i ścieżek z reguł zmniejszania obszaru podatnego na ataki .

2. W otwierającym się oknie ustawień skonfiguruj następujące opcje:

   1. Wybierz pozycję Włączone.
   2. Wykluczenia z reguł usługi ASR: wybierz pozycję Pokaż....

3. W wyświetlonym oknie dialogowym Wykluczenia z reguł usługi ASR skonfiguruj następujące ustawienia:

   • Nazwa wartości: wprowadź ścieżkę lub ścieżkę i nazwę pliku do wykluczenia ze wszystkich reguł usługi ASR.
   • Wartość: wprowadź 0wartość .

   Obsługiwane są następujące typy nazw wartości:

   • Aby wykluczyć wszystkie pliki w folderze, wprowadź pełną ścieżkę folderu. Na przykład C:\Data\Test.
   • Aby wykluczyć określony plik w określonym folderze (zalecane), wprowadź ścieżkę i nazwę pliku. Na przykład C:\Data\Test\test.exe.

   Powtórz ten krok tyle razy, ile jest to konieczne. Po zakończeniu wybierz przycisk OK.

Konfigurowanie wykluczeń reguł dla usługi ASR w zasadach grupy

Ścieżki lub nazwy plików z określonymi ścieżkami są używane jako wykluczenia dla określonych reguł usługi ASR.

Uwaga

Jeśli ustawienie Zastosuj listę wykluczeń do określonych reguł zmniejszania obszaru ataków (ASR) nie jest dostępne w kontrolerze ZASAD GRUPY, potrzebna jest wersja 24H2 lub nowsza z plików Szablony administracyjne w magazynie centralnym.

1. W okienku szczegółów zmniejszania obszaru podatnego na ataki otwórz ustawienie Zastosuj listę wykluczeń do określonych reguł zmniejszania obszaru ataków (ASR ).

2. W otwierającym się oknie ustawień skonfiguruj następujące opcje:

   1. Wybierz pozycję Włączone.
   2. Wykluczenia dla każdej reguły usługi ASR: wybierz pozycję Pokaż....

3. W wyświetlonym oknie dialogowym Wykluczenia dla każdej reguły usługi ASR skonfiguruj następujące ustawienia:

   • Nazwa wartości: wprowadź wartość identyfikatora GUID reguły ASR.
   • Wartość: wprowadź co najmniej jedno wykluczenie dla reguły USŁUGI ASR. Użyj składni Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Na przykład C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

   Powtórz ten krok tyle razy, ile jest to konieczne. Po zakończeniu wybierz przycisk OK.

Konfigurowanie reguł usługi ASR w programie PowerShell

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami przy użyciu Intune, Configuration Manager lub innej platformy zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastępuje wszelkie sprzeczne ustawienia programu PowerShell podczas uruchamiania.

Na urządzeniu docelowym użyj następującej składni poleceń programu PowerShell w sesji programu PowerShell z podwyższonym poziomem uprawnień (okno programu PowerShell otwarte przez wybranie pozycji Uruchom jako administrator):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Polecenie Set-MpPreference zastępuje wszystkie istniejące reguły i odpowiadające im tryby określonymi wartościami. Aby wyświetlić listę istniejących wartości, uruchom następujące polecenie:

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  Aby dodać nowe reguły i odpowiadające im tryby bez wpływu na istniejące wartości, użyj polecenia cmdlet Add-MpPreference . Aby usunąć określone reguły i odpowiadające im tryby bez wpływu na inne istniejące wartości, użyj polecenia cmdlet Remove-MpPreference . Składnia polecenia jest identyczna dla trzech poleceń cmdlet.

• Wartości identyfikatora GUID dla reguł usługi ASR są dostępne w regułach usługi ASR.

• Prawidłowe wartości parametru AttackSurfaceReductionRules_Actions to:

  • 0 Lub Disabled
  • 1 lub Enabled (tryb bloku )
  • 2lub lub AuditModeAudit
  • 5 Lub NotConfigured
  • 6 Lub Warn

W poniższym przykładzie skonfigurowano określone reguły usługi ASR na urządzeniu:

• Pierwsze dwie reguły są włączone w trybie bloku .
• Trzecia reguła jest wyłączona.
• Ostatnia reguła jest włączona w trybie inspekcji .

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Konfigurowanie globalnych wykluczeń reguł usługi ASR w programie PowerShell

Na urządzeniu docelowym użyj następującej składni poleceń programu PowerShell w sesji programu PowerShell z podwyższonym poziomem uprawnień:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Polecenie Set-MpPreferencezastępuje wszelkie istniejące wykluczenia reguł asr z określonymi wartościami. Aby wyświetlić listę istniejących wartości, uruchom następujące polecenie:

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  Aby dodać nowe wyjątki bez wpływu na istniejące wartości, użyj polecenia cmdlet Add-MpPreference . Aby usunąć określone wyjątki bez wpływu na inne wartości, użyj polecenia cmdlet Remove-MpPreference . Składnia polecenia jest identyczna dla trzech poleceń cmdlet.

  Poniższy przykład konfiguruje określoną ścieżkę i ścieżkę z nazwą pliku jako wykluczeniami dla wszystkich reguł usługi ASR na urządzeniu:

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

Zawartość pokrewna

• Odwołuj reguły zmniejszania obszaru podatnego na ataki
• Ocena redukcji obszaru ataków
• Zmniejszanie obszaru podatnego na ataki — często zadawane pytania