Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Porada
Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji analizatora zabezpieczeń , aby przejrzeć najlepsze rozwiązania i nauczyć się wzmacniać ochronę, poprawiać zgodność i z ufnością poruszać się po środowisku cyberbezpieczeństwa. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji analizatora zabezpieczeń w Centrum administracyjne platformy Microsoft 365.
Obszar ataków organizacji obejmuje wszystkie miejsca, w których osoba atakująca może uzyskać dostęp. Aby uzyskać więcej informacji, zobacz Zmniejszanie obszaru ataków w Ochrona punktu końcowego w usłudze Microsoft Defender.
Reguły zmniejszania obszaru ataków (ASR) w programie antywirusowym Microsoft Defender są ukierunkowane na ryzykowne działanie oprogramowania na urządzeniach z systemem Windows, które osoby atakujące często wykorzystują przez złośliwe oprogramowanie. Przykład:
- Uruchamianie plików wykonywalnych i skryptów, które próbują pobrać lub uruchomić pliki.
- Uruchamianie zaciemnionych lub niezaufanych skryptów.
- Tworzenie procesów podrzędnych z potencjalnie narażonych aplikacji (na przykład aplikacji pakietu Office).
- Wstrzykiwanie kodu do innych procesów.
Mimo że uzasadnione aplikacje mogą również wykonywać te czynności, osoby atakujące często używają złośliwego oprogramowania, które zachowuje się w ten sam sposób.
Zapoznaj się z następującą serią artykułów dotyczących planowania, testowania, implementowania i monitorowania reguł usługi ASR:
Porada
Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:
- Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
- Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
- Ustawienia zasad ochrony antywirusowej systemu macOS dla programu antywirusowego Microsoft Defender dla usługi Intune
- Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu Android
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS
Reguły usługi ASR
Reguły usługi ASR są pogrupowane w następujące kategorie:
Standardowe reguły ochrony oferują znaczące korzyści w zakresie zabezpieczeń, dlatego firma Microsoft zaleca włączenie ich w trybie bloku bez konieczności przeprowadzania szeroko zakrojonych testów. Zazwyczaj te reguły mają minimalny lub żaden zauważalny wpływ na użytkowników, ale istnieją wyjątki:
- Blokuj trwałość za pomocą subskrypcji zdarzeń WMI: jeśli używasz Microsoft Configuration Manager do zarządzania urządzeniami, nie używaj innych dostępnych metod wdrażania (na przykład zasady grupy lub programu PowerShell), aby aktywować tę regułę w trybie Blokuj lub Ostrzegaj na urządzeniu bez przeprowadzania szeroko zakrojonych testów w trybie inspekcji. Klient Configuration Manager w dużym stopniu korzysta z usługi WMI.
- Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows: jeśli włączono ochronę lokalnego urzędu zabezpieczeń (LSA) (zalecane wraz z funkcją Credential Guard), ta reguła jest nadmiarowa.
Inne reguły usługi ASR zapewniają ważną ochronę, ale wymagają testowania w trybie inspekcji , zanim uaktywnisz je w trybie Blokuj lub Ostrzegaj zgodnie z opisem w przewodniku wdrażania reguł zmniejszania obszaru ataków.
Dostępne reguły usługi ASR, odpowiadające im wartości identyfikatora GUID i ich kategorie są opisane w poniższej tabeli:
Linki w nazwach reguł prowadzą do szczegółowych opisów reguł w artykule dotyczącym reguł usługi ASR .
Inne niż zasady zabezpieczeń punktu końcowego w Microsoft Intune i Microsoft Configuration Manager wszystkie inne metody konfiguracji reguł usługi ASR identyfikują reguły według wartości identyfikatora GUID.
Wszelkie różnice między nazwami reguł usługi ASR między Microsoft Intune i Microsoft Configuration Manager są opisane w tabeli.
Porada
Microsoft Configuration Manager była wcześniej znana pod innymi nazwami:
- Microsoft System Center Configuration Manager: wersja od 1511 do 1906 (od listopada 2015 do lipca 2019)
- Microsoft Endpoint Configuration Manager: wersja od 1910 do 2211 (od grudnia 2019 do grudnia 2022)
- Microsoft Configuration Manager: wersja 2303 (kwiecień 2023 r.) lub nowsza
Aby uzyskać informacje o pomocy technicznej i aktualizacji, zobacz Aktualizacje i obsługa dla Configuration Manager.
| Nazwa reguły w Microsoft Intune | Nazwa reguły w Microsoft Configuration Manager | Identyfikator guid | Kategoria |
|---|---|---|---|
| Standardowe reguły ochrony | |||
| Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników (Urządzenie) | nie dotyczy | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Pozostałe |
| Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows | Tym samym | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Przenoszenie poprzeczne & kradzież poświadczeń |
| Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI | nie dotyczy | e6db77e5-3df2-4cf1-b95a-636979351e5b | Przenoszenie poprzeczne & kradzież poświadczeń |
| Inne reguły usługi ASR | |||
| Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych | nie dotyczy | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Aplikacje zwiększające produktywność |
| Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office | Blokowanie tworzenia procesów podrzędnych przez aplikację pakietu Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Aplikacje zwiększające produktywność |
| Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej | Tym samym | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | Poczta e-mail |
| Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych | Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryteria występowania, wieku lub listy zaufanych | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Zagrożenia polimorficzne |
| Blokuj wykonywanie potencjalnie zaciemnionych skryptów | Tym samym | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Skrypt |
| Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript | Tym samym | d3e037e1-3eb8-44c8-a917-57927947596d | Skrypt |
| Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office | Tym samym | 3b576869-a4ec-4529-8536-b80a7769e899 | Aplikacje zwiększające produktywność |
| Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów | Tym samym | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Aplikacje zwiększające produktywność |
| Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office | nie dotyczy | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, aplikacje zwiększające produktywność |
| Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI | nie dotyczy | d1e49aac-8f56-4280-b9ba-993a6d77406c | Przenoszenie poprzeczne & kradzież poświadczeń |
| Blokuj ponowne uruchamianie maszyny w trybie awaryjnym | nie dotyczy | 33ddedf1-c6e0-47cb-833e-de6133960387 | Pozostałe |
| Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB | Tym samym | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Zagrożenia polimorficzne |
| Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych | nie dotyczy | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Pozostałe |
| Blokuj tworzenie programu WebShell dla serwerów | nie dotyczy | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Pozostałe |
| Blokuj wywołania interfejsu API Win32 z makr pakietu Office | Tym samym | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | Aplikacje zwiększające produktywność |
| Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup | Tym samym | c1db55ab-c21a-4637-bb3f-a12568109d35 | Zagrożenia polimorficzne |
Wymagania dotyczące reguł usługi ASR
Reguły środowiska ASR wymagają programu antywirusowego Microsoft Defender jako podstawowej aplikacji antywirusowej na urządzeniach z systemem Windows:
Microsoft Defender program antywirusowy musi być włączony i w trybie aktywnym. W szczególności program antywirusowy Microsoft Defender nie może być w żadnym z następujących trybów:
- Pasywne
- Tryb pasywny z wykrywaniem punktów końcowych i odpowiedzią (EDR) w trybie bloku
- Ograniczone okresowe skanowanie (LPS)
- Wyłączony
Aby uzyskać więcej informacji na temat trybów w programie antywirusowym Microsoft Defender, zobacz How Microsoft Defender Antivirus affects Defender for Endpoint functionality (Jak program antywirusowy Microsoft Defender wpływa na funkcjonalność usługi Defender for Endpoint).
Ochrona w czasie rzeczywistym w programie antywirusowym Microsoft Defender musi być włączona.
Ochrona dostarczana w chmurze (nazywana również usługą Microsoft Advanced Protection Service lub MAPS) ma kluczowe znaczenie dla funkcji reguł usługi ASR. Ochrona w chmurze zwiększa standardową ochronę w czasie rzeczywistym i jest kluczowym elementem zapobiegania naruszeniom złośliwego oprogramowania. Niektóre reguły usługi ASR mają w szczególności wymagania dotyczące ochrony przed dostarczaniem w chmurze dla alertów wykrywania i reagowania punktów końcowych (EDR) w wyskakującym okienku powiadomień usługi Defender for Endpoint i powiadomień użytkowników. Aby uzyskać szczegółowe informacje, zobacz Alerty i powiadomienia z akcji reguły usługi ASR.
Z tego samego powodu środowisko musi zezwalać na połączenia z usługą w chmurze programu antywirusowego Microsoft Defender.
Microsoft Defender wersje składników programu antywirusowego nie mogą być starsze niż najbardziej dostępna wersja:
- Wersja aktualizacji platformy: aktualizowana co miesiąc.
- Wersja MEngine: aktualizowana co miesiąc.
- Analiza zabezpieczeń: firma Microsoft stale aktualizuje analizę zabezpieczeń (znaną również jako definicje i sygnatury) w celu rozwiązania najnowszych zagrożeń i uściślenia logiki wykrywania.
Utrzymywanie bieżących wersji programu antywirusowego Microsoft Defender pomaga zmniejszyć liczbę fałszywie dodatnich reguł asr i zwiększa możliwości wykrywania oprogramowania antywirusowego Microsoft Defender. Aby uzyskać więcej informacji na temat bieżących wersji i sposobu aktualizowania różnych składników programu antywirusowego Microsoft Defender, zobacz Microsoft Defender Obsługa platformy antywirusowej.
Mimo że reguły usługi ASR nie wymagają Microsoft 365 E5, firma Microsoft zaleca możliwości zabezpieczeń subskrypcji E5 lub równoważnych, aby korzystać z następujących zaawansowanych możliwości zarządzania:
- Monitorowanie, analiza i przepływy pracy w usłudze Defender for Endpoint.
- Możliwości raportowania i konfiguracji w portalu Microsoft Defender XDR.
Zaawansowane możliwości zarządzania nie są dostępne w przypadku innych licencji (na przykład Windows Professional lub Microsoft 365 E3). Można jednak opracowywać własne narzędzia do monitorowania i raportowania na podstawie zdarzeń reguły usługi ASR generowanych w systemie Windows Podgląd zdarzeń na każdym urządzeniu (na przykład w usłudze przekazywania zdarzeń systemu Windows).
Aby dowiedzieć się więcej na temat licencjonowania systemu Windows, zobacz Licencjonowanie systemu Windows i uzyskaj przewodnik dokumentacji licencjonowania zbiorowego firmy Microsoft.
Obsługiwane systemy operacyjne dla reguł usługi ASR
Reguły usługi ASR to funkcja programu antywirusowego Microsoft Defender dostępna w dowolnej wersji systemu Windows, która obejmuje program antywirusowy Microsoft Defender (na przykład Windows 11 Home). Reguły usługi ASR można skonfigurować lokalnie na urządzeniach przy użyciu programu PowerShell lub zasady grupy.
Scentralizowane zarządzanie, raportowanie i alerty dotyczące reguł usługi ASR w Ochrona punktu końcowego w usłudze Microsoft Defender są dostępne w następujących wersjach i wersjach systemu Windows:
- Wersje Pro i Enterprise Windows 10 lub nowsze.
- Windows Server 2012 R2 lub nowszym.
- Azure lokalnie (wcześniej znana jako Azure Stack HCI) w wersji 23H2 lub nowszej.
Aby uzyskać więcej informacji o obsłudze systemu operacyjnego, zobacz Obsługa systemu operacyjnego dla reguł usługi ASR.
Tryby reguł usługi ASR
Reguła usługi ASR może być w jednym z następujących trybów, zgodnie z opisem w poniższej tabeli:
| Tryb reguły | Kod | Opis |
|---|---|---|
|
Wyłączone lub Wyłączona |
0 | Reguła usługi ASR jest jawnie wyłączona. Ta wartość może powodować konflikty, gdy do tego samego urządzenia przypisano tę samą regułę usługi ASR w różnych trybach przez różne zasady. |
|
Blokuj lub Aktywowany |
1 | Reguła usługi ASR jest włączona w trybie bloku . |
|
Inspekcja lub Tryb inspekcji |
2 | Reguła usługi ASR jest włączona tak, jakby była w trybie bloku , ale bez podejmowania akcji. Wykrywanie reguł usługi ASR w trybie inspekcji jest dostępne w następujących lokalizacjach:
|
| Nie skonfigurowano | 5 | Reguła usługi ASR nie jest jawnie włączona. Ta wartość jest funkcjonalnie równoważna wyłączonelub wyłączone, ale bez możliwości konfliktów reguły. |
|
Ostrzegaj lub Ostrzeżenie |
6 | Reguła usługi ASR jest włączona tak, jakby była w trybie bloku , ale użytkownicy mogą wybrać pozycję Odblokuj w wyskakującym powiadomieniu ostrzegawczym, aby pominąć blok przez 24 godziny. Po 24 godzinach użytkownik musi ponownie pominąć blok. Tryb ostrzeżenia jest obsługiwany w Windows 10 wersji 1809 (listopad 2018 r.) lub nowszej. Reguły asr w trybie ostrzeżenia w nieobsługiwanych wersjach systemu Windows są skutecznie w trybie bloku (obejście nie jest dostępne). Tryb ostrzeżenia nie jest dostępny w Microsoft Configuration Manager. Tryb ostrzeżenia ma następujące wymagania dotyczące wersji programu antywirusowego Microsoft Defender:
Następujące reguły usługi ASR nie obsługują trybu ostrzeżenia : |
Firma Microsoft zaleca tryb bloku dla standardowych reguł ochrony i wstępne testowanie w trybie inspekcji dla innych reguł usługi ASR przed aktywowaniem ich w trybie Blokuj lub Ostrzegaj .
Wiele aplikacji biznesowych jest pisanych z ograniczonymi problemami dotyczącymi zabezpieczeń i mogą działać w sposób podobny do złośliwego oprogramowania. Dzięki monitorowaniu danych z reguł usługi ASR w trybie inspekcji i dodawaniu wykluczeń dla wymaganych aplikacji można wdrożyć reguły usługi ASR bez zmniejszania produktywności.
Przed włączeniem reguł usługi ASR w trybie bloku oceń ich skutki w trybie inspekcji i zalecenia dotyczące zabezpieczeń. Aby uzyskać więcej informacji, zobacz Testowanie reguł usługi ASR.
Metody wdrażania i konfiguracji dla reguł usługi ASR
Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje reguły usługi ASR, ale nie zawiera wbudowanej metody wdrażania ustawień reguły usługi ASR na urządzeniach. Zamiast tego używasz oddzielnego narzędzia do wdrażania lub zarządzania, aby tworzyć i dystrybuować zasady reguł usługi ASR na urządzeniach. Nie wszystkie metody wdrażania obsługują każdą regułę usługi ASR. Aby uzyskać szczegółowe informacje na temat reguły, zobacz Obsługa metody wdrażania dla reguł usługi ASR.
Poniższa tabela zawiera podsumowanie dostępnych metod. Aby uzyskać szczegółowe instrukcje konfiguracji, zobacz Konfigurowanie reguł i wykluczeń zmniejszania obszaru ataków (ASR).
| Metoda | Opis |
|---|---|
| zasady zabezpieczeń punktu końcowego Microsoft Intune | Zalecana metoda konfigurowania i dystrybucji zasad reguł usługi ASR na urządzeniach. Wymaga Microsoft Intune (plan 1) (uwzględnione w subskrypcjach, takich jak Microsoft 365 E3 lub dostępne jako dodatek autonomiczny). |
| Microsoft Intune profilów niestandardowych za pomocą interfejsów OMA-URI | Alternatywna metoda konfigurowania reguł usługi ASR w Intune przy użyciu profilów Open Mobile Alliance — Uniform Resource (OMA-URI). |
| Dowolne rozwiązanie MDM korzystające z dostawcy usług konfiguracji zasad | Użyj dostawcy usług konfiguracji zasad systemu Windows (CSP) z dowolnym rozwiązaniem MDM. |
| Microsoft Configuration Manager | Używa zasad programu antywirusowego Microsoft Defender w obszarze roboczym Zasoby i zgodność. |
| Zasady grupy | Użyj scentralizowanego zasady grupy, aby skonfigurować i rozpowszechnić reguły usługi ASR na urządzeniach przyłączonych do domeny. Możesz też skonfigurować zasady grupy lokalnie na poszczególnych urządzeniach. |
| PowerShell | Skonfiguruj reguły usługi ASR lokalnie na poszczególnych urządzeniach. Program PowerShell obsługuje wszystkie reguły środowiska ASR. |
Wykluczenia plików i folderów dla reguł usługi ASR
Ważna
Wykluczenie plików lub folderów może poważnie zmniejszyć ochronę reguł usługi ASR. Wykluczone pliki mogą być uruchamiane i nie są rejestrowane żadne raporty ani zdarzenia dotyczące pliku. Jeśli reguły usługi ASR wykryje pliki, które nie powinny być wykrywane, użyj trybu inspekcji, aby przetestować regułę.
Można wykluczyć określone pliki i foldery z oceny przez reguły usługi ASR. Nawet jeśli reguła usługi ASR określa, że plik lub folder zawiera złośliwe zachowanie, nie blokuje uruchamiania wykluczonych plików.
Aby wykluczyć pliki i foldery z reguł usługi ASR, można użyć następujących metod:
Microsoft Defender wykluczenia programu antywirusowego: nie wszystkie reguły usługi ASR przestrzegają tych wykluczeń. Aby uzyskać więcej informacji na temat wykluczeń programu antywirusowego Microsoft Defender, zobacz Konfigurowanie wykluczeń niestandardowych dla programu antywirusowego Microsoft Defender.
Porada
Wszystkie reguły usługi ASR honorują wykluczenia procesów w programie antywirusowym Microsoft Defender.
Globalne wykluczenia reguł usługi ASR: te wykluczenia mają zastosowanie do wszystkich reguł usługi ASR. Wszystkie metody konfiguracji reguł usługi ASR obsługują również konfigurowanie globalnych wykluczeń reguł usługi ASR.
Wykluczenia reguł dla usługi ASR: selektywne przypisywanie różnych wykluczeń do różnych reguł usługi ASR. Tylko następujące metody konfiguracji reguły usługi ASR obsługują również konfigurowanie wykluczeń reguły dla usługi ASR:
- zasady grupy (i odpowiednie ustawienia rejestru)
- Zasady zabezpieczeń punktu końcowego w Microsoft Intune.
Wskaźniki naruszenia zabezpieczeń (IoCs): większość reguł usługi ASR honoruje IoCs dla zablokowanych plików i zablokowanych certyfikatów. Aby uzyskać więcej informacji na temat IoCs, zobacz Omówienie wskaźników w Ochrona punktu końcowego w usłudze Microsoft Defender.
Wymuszanie różnych typów wykluczeń dla reguł usługi ASR zostało podsumowane w poniższej tabeli:
| Nazwa reguły | Honoruje plik MDAV i wykluczenia folderów |
Honoruje globalne usługi ASR Wykluczenia |
Honors per-ASR rule (Honors per-ASR rule) Wykluczenia |
Honoruje IoCs dla Pliki |
Honoruje IoCs dla Certyfikaty |
|---|---|---|---|---|---|
| Standardowe reguły ochrony | |||||
| Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników (Urządzenie) | T | T | T | T | T |
| Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows | N | T | T | N | N |
| Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI | N | T | T | N | N |
| Inne reguły usługi ASR | |||||
| Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych | N | T | T | T | T |
| Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office | T | T | T | T | T |
| Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej | T | T | T | T | T |
| Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych | T | T | T | T | T |
| Blokuj wykonywanie potencjalnie zaciemnionych skryptów | T | T | T | T | T |
| Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript | T | T | T | T | T |
| Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office | N | T | T | T | T |
| Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów | N | T | T | N | N |
| Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office | N | T | T | T | T |
| Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI | N | T | T | T | T |
| Blokuj ponowne uruchamianie maszyny w trybie awaryjnym | T | T | T | T | T |
| Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB | T | T | T | T | T |
| Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych | T | T | T | T | T |
| Blokuj tworzenie programu WebShell dla serwerów | T | T | T | T | T |
| Blokuj wywołania interfejsu API Win32 z makr pakietu Office | T | T | T | T | N |
| Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup | T | T | T | T | T |
Podczas dodawania wykluczeń należy pamiętać o następujących kwestiach:
Ścieżki wykluczeń mogą używać zmiennych środowiskowych i symboli wieloznacznych. Aby uzyskać więcej informacji, zobacz Używanie symboli wieloznacznych na liście wykluczeń nazwy pliku i folderu lub rozszerzenia.
Porada
Nie używaj zmiennych środowiskowych użytkownika jako symboli wieloznacznych w wykluczeniach folderów i procesów. Użyj tylko następujących typów zmiennych środowiskowych jako symboli wieloznacznych:
- Systemowe zmienne środowiskowe.
- Zmienne środowiskowe, które mają zastosowanie do procesów uruchomionych jako konto NT AUTHORITY\SYSTEM.
Aby uzyskać listę systemowych zmiennych środowiskowych, zobacz Systemowe zmienne środowiskowe.
- Symbole wieloznaczne nie mogą definiować litery dysku.
- Aby wykluczyć więcej niż jeden folder w ścieżce, użyj wielu wystąpień
\*\, aby wskazać wiele zagnieżdżonych folderów. Na przykładc:\Folder\*\*\Test. - Microsoft Configuration Manager obsługuje symbole wieloznaczne (
*lub?). - Aby wykluczyć plik zawierający losowe znaki (na przykład z automatycznego generowania plików), użyj
?symbolu. Na przykładC:\Folder\fileversion?.docx.
Wykluczenia mają zastosowanie tylko wtedy, gdy aplikacja lub usługa zostanie uruchomiona. Jeśli na przykład dodasz wykluczenie dla usługi aktualizacji, która jest już uruchomiona, usługa aktualizacji będzie nadal wyzwalać wykrywanie reguł usługi ASR do momentu ponownego uruchomienia usługi.
Konflikty zasad w regułach usługi ASR
Jeśli do tego samego urządzenia przypisano dwie różne zasady reguł usługi ASR, potencjalne konflikty mogą wystąpić na podstawie następujących elementów:
- Czy te same reguły usługi ASR są przypisane w różnych trybach.
- Czy zarządzanie konfliktami jest na miejscu.
- Czy wynik jest błędem.
Niekonflikujące reguły usługi ASR nie powodują błędów. Zostanie zastosowana pierwsza reguła, a kolejne reguły niekonflikujące zostaną scalone z zasadami.
Jeśli rozwiązanie do zarządzania urządzeniami przenośnymi (MDM) i zasady grupy zastosować różne ustawienia reguły usługi ASR do tego samego urządzenia, pierwszeństwo mają ustawienia zasady grupy.
Aby uzyskać informacje na temat sposobu obsługi konfliktów ustawień reguł usługi ASR dla dostępnych metod wdrażania w Microsoft Intune, zobacz Urządzenia zarządzane przez Intune.
Powiadomienia i alerty dotyczące reguł usługi ASR
Gdy reguła usługi ASR w trybie Blokuj lub Ostrzegaj jest wyzwalana na urządzeniu, na urządzeniu jest wyświetlane powiadomienie. Możesz dostosować informacje w powiadomieniach. Aby uzyskać więcej informacji, zobacz Dostosowywanie informacji kontaktowych w Zabezpieczenia Windows.
Alerty wykrywania i reagowania punktów końcowych (EDR) w usłudze Defender for Endpoint są generowane po wyzwoleniu obsługiwanych reguł usługi ASR.
Aby uzyskać szczegółowe informacje na temat funkcji powiadomień i alertów, zobacz Alerty i powiadomienia z akcji reguły usługi ASR.
Aby wyświetlić działanie alertów usługi ASR w portalu Microsoft Defender i na urządzeniach w systemie Windows Podgląd zdarzeń, zobacz Monitorowanie działania reguł zmniejszania obszaru ataków (ASR).
Monitorowanie działania reguły usługi ASR
Aby uzyskać pełne informacje, zobacz Monitorowanie działania reguły zmniejszania obszaru ataków (ASR).
Zawartość pokrewna
- Przewodnik wdrażania reguł zmniejszania powierzchni podatnej na ataki (ASR)
- Planowanie wdrożenia reguł zmniejszania obszaru ataków (ASR)
- Testowanie wdrożenia reguł zmniejszania obszaru ataków (ASR)
- Włącz reguły zmniejszania obszaru podatnego na ataki
- Zarządzanie wdrażaniem reguł zmniejszania obszaru ataków (ASR) i monitorowanie ich
- Monitorowanie działania reguły zmniejszania obszaru ataków (ASR)
- Raport reguł zmniejszania obszaru ataków (ASR)
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender