Odwołuj reguły zmniejszania obszaru podatnego na ataki

  • Dotyczy: Microsoft Defender for Endpoint Plan 2

Reguły zmniejszania obszaru ataków (ASR) są ukierunkowane na ryzykowne zachowanie oprogramowania na urządzeniach z systemem Windows, które osoby atakujące często wykorzystują złośliwe oprogramowanie (na przykład uruchamianie skryptów pobierających pliki, uruchamianie zaciemnionych skryptów i wstrzykiwanie kodu do innych procesów). Aby uzyskać więcej informacji na temat reguł usługi ASR, zobacz Omówienie reguł zmniejszania obszaru ataków (ASR).

Ten artykuł jest dokumentacją techniczną reguł usługi ASR, która zawiera następujące informacje:

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Obsługa systemu operacyjnego dla reguł usługi ASR

Reguły usługi ASR to funkcja programu antywirusowego Microsoft Defender dostępna w dowolnej wersji systemu Windows, która zawiera oprogramowanie antywirusowe Microsoft Defender (na przykład Windows 11 Home). Reguły usługi ASR można skonfigurować lokalnie przy użyciu programu PowerShell lub zasady grupy.

W poniższej tabeli opisano obsługę systemu operacyjnego dla reguł usługi ASR w Ochrona punktu końcowego w usłudze Microsoft Defender, która zapewnia scentralizowane zarządzanie, raportowanie i alerty za pośrednictwem Microsoft Intune, Microsoft Configuration Manager i portal Microsoft Defender:

Nazwa reguły Windows 11 lub nowsze Windows 10 Windows Server 2019 r. lub nowszy Windows Server 2016* Windows Server 2012 R2*
Standardowe reguły ochrony
Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników (Urządzenie) T 1709 lub nowszy T Windows Server 1803 (SAC) lub nowszy T
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows T 1803 lub nowszy T T T
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI T 1903 lub nowszy Windows Server 1903 (SAC) lub nowszy N N
Inne reguły usługi ASR
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych T 1809 lub nowszy T T T
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office T 1709 lub nowszy T T T
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej T 1709 lub nowszy T T T
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych T 1803 lub nowszy T T T
Blokuj wykonywanie potencjalnie zaciemnionych skryptów T 1709 lub nowszy T T T
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript T 1709 lub nowszy T N N
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office T 1709 lub nowszy T T T
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów T 1709 lub nowszy T T T
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office T 1709 lub nowszy T T T
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI T 1803 lub nowszy T T T
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym T 1709 lub nowszy T T T
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB T 1709 lub nowszy T T T
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych T 1709 lub nowszy T T T
Blokuj tworzenie programu WebShell dla serwerów nie dotyczy nie dotyczy Tylko serwery exchange Tylko serwery exchange N
Blokuj wywołania interfejsu API Win32 z makr pakietu Office T 1709 lub nowszy nie dotyczy nie dotyczy nie dotyczy
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup T 1803 lub nowszy T T T

*Obsługiwane reguły usługi ASR w Windows Server 2016 i Windows Server 2012 R2 wymagają dołączania przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nowe funkcje Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu).

Obsługa metody wdrażania dla reguł usługi ASR

Mimo że usługa Defender for Endpoint obsługuje reguły usługi ASR, do wdrożenia reguł na urządzeniach potrzebna jest oddzielna usługa. Obsługiwane metody wdrażania reguł usługi ASR opisano w poniższej tabeli.

Nazwa reguły Intune Menedżer konfiguracji MDM CSP Scentralizowane zasady grupy
Standardowe reguły ochrony
Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników (Urządzenie) T N T T
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows T 1802 lub nowszy T T
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI T N T T
Inne reguły usługi ASR
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych T N T T
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office T 1710 lub nowszy T T
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej T 1710 lub nowszy T T
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych[1] T 1802 lub nowszy T T
Blokuj wykonywanie potencjalnie zaciemnionych skryptów T 1710 lub nowszy T T
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript T 1710 lub nowszy T T
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office T 1710 lub nowszy T T
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów T 1710 lub nowszy T T
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office T N T T
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI T N T T
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym T N T T
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB T 1802 lub nowszy T T
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych T N T T
Blokuj tworzenie programu WebShell dla serwerów T N T T
Blokuj wywołania interfejsu API Win32 z makr pakietu Office T 1710 lub nowszy T T
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup T 1802 lub nowszy T T

Porada

Reguły usługi ASR można również skonfigurować lokalnie na poszczególnych urządzeniach przy użyciu zasady grupy lub programu PowerShell. Wszystkie reguły usługi ASR są obsługiwane przez obie metody na urządzeniach lokalnych.

1 Obecnie ta reguła usługi ASR może nie być dostępna w Intune konfiguracji zasad usługi ASR z powodu znanego problemu z zapleczem. Reguła jest jednak dostępna za pośrednictwem innych dostępnych metod konfiguracji zasad usługi ASR lub istniejących Intune zasad usługi ASR utworzonych przed wystąpieniem problemu.

Alerty i powiadomienia z akcji reguły usługi ASR

W poniższej tabeli opisano organizację i alerty lokalne, które mogą generować aktywne reguły usługi ASR.

  • Wartość alertów EDR wskazuje, czy reguła USŁUGI ASR w trybie Blokuj lub Ostrzegaj generuje alerty wykrywania i reagowania punktów końcowych (EDR) w usłudze Defender for Endpoint.
  • Wartość Powiadomienia użytkownika wskazuje, czy reguła usługi ASR obsługuje wyskakujące okienka powiadomień użytkownika w trybie Blokuj lub Ostrzegaj (jeśli reguła obsługuje tryb ostrzeżenia ).
Nazwa reguły Alerty EDR Użytkownik
Powiadomienia
Standardowe reguły ochrony
Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników (Urządzenie) N T
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows[¹] N N
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI T T
Inne reguły usługi ASR
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych[²] T T
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office N T
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej[²] T T
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych N T
Blokuj wykonywanie potencjalnie zaciemnionych skryptów T T
Blokuj uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript[²] T T
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office N T
Zablokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów[¹] N T
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office N T
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI N T
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym N N
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB T T
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych N T
Blokuj tworzenie programu WebShell dla serwerów N N
Blokuj wywołania interfejsu API Win32 z makr pakietu Office T N
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup T T

¹ Ta reguła usługi ASR nie obsługuje trybu ostrzeżenia .

² Ta reguła usługi ASR w trybie Blokuj lub Ostrzegaj ma następujące dodatkowe wymagania na poziomie ochrony w chmurze w programie antywirusowym Microsoft Defender:

  • Alerty EDR są generowane tylko wtedy, gdy poziom ochrony w chmurze na urządzeniu to Wysoka tolerancja plus lub Zero.
  • Wyskakujące okienka powiadomień użytkownika są generowane tylko wtedy, gdy poziom ochrony w chmurze na urządzeniu to Wysoka, Wysoka plus lub Zero tolerancji.

Szczegóły reguły usługi ASR

Standardowe reguły ochrony

Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników (Urządzenie)

Aplikacje lokalne z wystarczającymi uprawnieniami mogą wykorzystać wrażliwe sterowniki podpisane, aby uzyskać dostęp do jądra systemu operacyjnego. Wrażliwe sterowniki podpisane umożliwiają osobom atakującym wyłączanie lub obchodzenie rozwiązań zabezpieczeń, co ostatecznie prowadzi do naruszenia zabezpieczeń systemu.

Ta reguła usługi ASR uniemożliwia aplikacjom zapisywanie zagrożonych sterowników podpisanych na komputerze. Nie uniemożliwia ładowania istniejących sterowników już na komputerze.

  • nazwa Microsoft Intune:Block abuse of exploited vulnerable signed drivers (Device)
  • nazwa Microsoft Configuration Manager: n/a
  • Identyfikator GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Zależności: Brak

Uwaga

Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows

Uwaga

Jeśli włączono ochronę lokalnego urzędu zabezpieczeń (LSA) (zalecane, wraz z funkcją Credential Guard):

  • Ta reguła usługi ASR nie jest wymagana.
  • Ta reguła usługi ASR nie zapewnia dodatkowej ochrony (reguła ASR i ochrona LSA działają podobnie).
  • Ta reguła usługi ASR jest klasyfikowana jako nie dotyczy ustawień zarządzania punktami końcowymi w usłudze Defender w portalu Microsoft Defender.

Ta reguła usługi ASR pomaga zapobiegać kradzieży poświadczeń przez zablokowanie usługi podsystemu urzędu zabezpieczeń lokalnych (LSASS). Usługa LSASS uwierzytelnia użytkowników, którzy logują się na komputerach z systemem Windows. Zazwyczaj funkcja Credential Guard w systemie Windows uniemożliwia próby wyodrębnienia poświadczeń z usługi LSASS.

Wiele procesów tworzy niepotrzebne wywołania LSASS w celu uzyskania praw dostępu, które nie są potrzebne. To działanie generuje znaczny szum reguł asr, ale nie blokuje funkcjonalności. Na przykład aktualizacje przeglądarki Google Chrome niepotrzebnie uzyskują dostęp do systemu LSASS, ponieważ hasła są przechowywane w systemie LSASS na urządzeniu. Aktywowanie tej reguły usługi ASR na urządzeniu uniemożliwia aktualizacjom przeglądarki Chrome dostęp do usługi LSASS, ale nie blokuje aktualizowania przeglądarki Chrome. Te zdarzenia reguły usługi ASR są dobre, ponieważ proces aktualizacji oprogramowania Chrome nie powinien uzyskiwać dostępu do usługi LSASS.

Aby uzyskać informacje o typach praw, które są zwykle wymagane podczas wywołań procesu do LSASS, zobacz Zabezpieczenia procesu i prawa dostępu.

Niektóre organizacje nie mogą włączyć funkcji Credential Guard z powodu problemów ze zgodnością z niestandardowymi sterownikami kart inteligentnych lub innymi programami, które ładują się do usługi LSA. W takich przypadkach osoby atakujące mogą używać narzędzi takich jak Mimikatz, aby zeskrobać hasła zwykłego tekstu i skróty NTLM z usługi LSASS.

Jeśli nie możesz włączyć ochrony LSA i/lub funkcji Credential Guard, możesz skonfigurować tę regułę tak, aby zapewniała równoważną ochronę przed złośliwym oprogramowaniem przeznaczonym lsass.exedla programu .

  • nazwa Microsoft Intune:Block credential stealing from the Windows local security authority subsystem
  • nazwa Microsoft Configuration Manager:Block credential stealing from the Windows local security authority subsystem
  • Identyfikator GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Zależności: program antywirusowy Microsoft Defender

Uwaga

  • Ta reguła usługi ASR nie obsługuje trybu ostrzeżenia .
  • Ta reguła usługi ASR generuje dużą liczbę zdarzeń inspekcji, z których prawie wszystkie można bezpiecznie zignorować, gdy reguła jest włączona w trybie bloku . Możesz pominąć ocenę trybu inspekcji i przejść do blokowania wdrożenia trybu. Firma Microsoft zaleca rozpoczęcie pracy z małym zestawem urządzeń i stopniowe rozszerzanie w celu pokrycia reszty.
  • Ta reguła usługi ASR pomija alerty i wyskakujące okienka powiadomień użytkownika dla przyjaznych procesów i zduplikowanych akcji blokowych.
  • Ta reguła usługi ASR blokuje dostęp do pamięci procesu LSASS. Nie blokuje uruchamiania procesów. Gdy ta reguła usługi ASR blokuje procesy takie jak svchost.exe, oznacza to, że proces nie może uzyskać dostępu do pamięci procesu LSASS. Często można bezpiecznie ignorować blokowanie tych procesów przez tę regułę usługi ASR.
  • Niektóre aplikacje wyliczają wszystkie uruchomione procesy i próbują je otworzyć z wyczerpującymi uprawnieniami. Ta reguła usługi ASR uniemożliwia otwieranie akcji procesu aplikacji i rejestruje szczegóły w dzienniku zabezpieczeń w systemie Windows Podgląd zdarzeń. Ta reguła może generować wiele szumów. Jeśli masz aplikację, która po prostu wylicza usługę LSASS, ale nie ma rzeczywistego wpływu na funkcjonalność, nie ma potrzeby dodawania jej do listy wykluczeń. Sam wpis dziennika zdarzeń nie musi wskazywać na złośliwe zagrożenie.
  • Ta reguła usługi ASR ma problemy z synchronizacją haseł dirsync questa. Aby uzyskać więcej informacji, zobacz Synchronizacja haseł Dirsync nie działa po zainstalowaniu usługi Windows Defender, błąd: "VirtualAllocEx failed: 5" (4253914).
  • Ta reguła ma ograniczoną obsługę wykluczeń. Aby uzyskać szczegółowe informacje, zobacz File and folder exclusions for ASR rules (Wykluczenia plików i folderów dla reguł usługi ASR).

Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI

Ta reguła usługi ASR uniemożliwia złośliwemu oprogramowaniu nadużywanie usługi WMI w celu uzyskania trwałości na urządzeniach.

Zagrożenia bez plików używają różnych taktyk, aby pozostać w ukryciu, aby uniknąć bycia widocznym w systemie plików i uzyskać okresową kontrolę. Niektóre zagrożenia mogą nadużywać repozytorium WMI i modelu zdarzeń, aby pozostać w ukryciu.

  • nazwa Microsoft Intune:Block persistence through WMI event subscription
  • nazwa Microsoft Configuration Manager: n/a
  • Identyfikator GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Zależności: program antywirusowy Microsoft Defender, RPC

Uwaga

Inne reguły usługi ASR

Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych

Ta reguła usługi ASR zapobiega atakom, blokując programowi Adobe Reader tworzenie procesów.

Złośliwe oprogramowanie może pobierać i uruchamiać ładunki oraz wyrwać się z programu Adobe Reader za pośrednictwem inżynierii społecznej lub exploitów. Blokując programowi Adobe Reader generowanie procesów podrzędnych, złośliwe oprogramowanie, które próbuje użyć programu Adobe Reader jako wektora ataku, nie może się rozprzestrzeniać.

  • nazwa Microsoft Intune:Block Adobe Reader from creating child processes
  • nazwa Microsoft Configuration Manager: n/a
  • Identyfikator GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Zależności: program antywirusowy Microsoft Defender

Uwaga

Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office

Ta reguła uniemożliwia aplikacjom pakietu Office tworzenie procesów podrzędnych. Aplikacje pakietu Office obejmują Word, Excel, PowerPoint, OneNote i Access.

Tworzenie złośliwych procesów podrzędnych jest typową strategią złośliwego oprogramowania. Złośliwe oprogramowanie, które nadużywa pakietu Office jako wektora, często uruchamia makra VBA i wykorzystuje kod do pobrania i próby uruchomienia większej liczby ładunków. Jednak niektóre uzasadnione aplikacje biznesowe mogą również generować procesy podrzędne w niegroźnych celach. Na przykład zduplikowanie wiersza polecenia lub użycie programu PowerShell do skonfigurowania ustawień rejestru.

  • nazwa Microsoft Intune:Block all Office applications from creating child processes
  • nazwa Microsoft Configuration Manager:Block Office application from creating child processes
  • Identyfikator GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Zależności: program antywirusowy Microsoft Defender

Uwaga

Ta reguła jest wymuszana tylko wtedy, C:\Program Files gdy pakiet Office jest zainstalowany w %ProgramFiles% lokalizacjach lub %ProgramFiles(x86)% (domyślnie i C:\Program Files (x86)).

Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej

Ta reguła blokuje propagację następujących typów plików przez wiadomości e-mail otwierane przy użyciu programu Microsoft Outlook, Outlook.com i innych popularnych dostawców poczty internetowej:

  • Pliki wykonywalne (na przykład .exe, .dll lub scr).

  • Pliki skryptów (na przykład .ps1, vbs lub .js).

  • Archiwum plików (na przykład .zip).

  • nazwa Microsoft Intune:Block executable content from email client and webmail

  • nazwa Microsoft Configuration Manager:Block executable content from email client and webmail

  • Identyfikator GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Zaawansowany typ akcji wyszukiwania zagrożeń:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Zależności: program antywirusowy Microsoft Defender

Uwaga

  • Ta reguła usługi ASR w trybie Blokuj lub Ostrzegaj ma dodatkowe wymagania na poziomie ochrony w chmurze w programie antywirusowym Microsoft Defender:
    • Alerty EDR są generowane tylko wtedy, gdy poziom ochrony w chmurze na urządzeniu to Wysoka tolerancja plus lub Zero.
    • Wyskakujące okienka powiadomień użytkownika są generowane tylko wtedy, gdy poziom ochrony w chmurze na urządzeniu to Wysoka, Wysoka plus lub Zero tolerancji.
  • Ta reguła usługi ASR ma następujące alternatywne opisy:
    • Intune (profile konfiguracji):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Configuration Manager:Block executable content download from email and webmail clients
    • zasady grupy:Block executable content from email client and webmail

Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych

Porada

Obecnie ta reguła usługi ASR może nie być dostępna w Intune konfiguracji zasad usługi ASR z powodu znanego problemu z zapleczem. Reguła jest jednak dostępna za pośrednictwem innych dostępnych metod konfiguracji zasad usługi ASR lub istniejących Intune zasad usługi ASR utworzonych przed wystąpieniem problemu.

Ta reguła usługi ASR blokuje uruchamianie plików wykonywalnych (na przykład .exe, .dll lub scr). Uruchamianie niezaufanych lub nieznanych plików wykonywalnych może być ryzykowne, ponieważ początkowo nie jest jasne, czy pliki są złośliwe.

  • nazwa Microsoft Intune:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • nazwa Microsoft Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • Identyfikator GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze

Uwaga

Blokuj wykonywanie potencjalnie zaciemnionych skryptów

Ta reguła usługi ASR wykrywa podejrzane właściwości w zaciemnionym skryptze.

Zaciemnianie skryptów jest powszechną techniką, z którą korzystają zarówno autorzy złośliwego oprogramowania, jak i uzasadnione aplikacje, aby ukryć własność intelektualną lub skrócić czas ładowania skryptu. Autorzy złośliwego oprogramowania używają również zaciemniania, aby utrudnić odczytywanie złośliwego kodu, co utrudnia ścisłą kontrolę ludzi i oprogramowania zabezpieczającego.

  • nazwa Microsoft Intune:Block execution of potentially obfuscated scripts
  • nazwa Microsoft Configuration Manager:Block execution of potentially obfuscated scripts
  • Identyfikator GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Zależności: program antywirusowy Microsoft Defender, interfejs skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI), ochrona w chmurze

Uwaga

Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript

Ta reguła usługi ASR uniemożliwia skryptom uruchamianie potencjalnie złośliwej pobranej zawartości. Złośliwe oprogramowanie napisane w języku JavaScript lub VBScript często działa jako narzędzie do pobierania i uruchamiania innego złośliwego oprogramowania z Internetu. Chociaż nie jest to typowe, aplikacje biznesowe czasami używają skryptów do pobierania i uruchamiania instalatorów.

  • nazwa Microsoft Intune:Block JavaScript or VBScript from launching downloaded executable content
  • nazwa Microsoft Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
  • Identyfikator GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Zależności: program antywirusowy Microsoft Defender, interfejs skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI)

Uwaga

  • Ta reguła nie jest obsługiwana podczas wdrażania za pośrednictwem Microsoft Intune do Windows Server 2012 R2 lub Windows Server 2016 przy użyciu nowoczesnego ujednoliconego rozwiązania.

  • Ta reguła usługi ASR w trybie Blokuj lub Ostrzegaj ma dodatkowe wymagania na poziomie ochrony w chmurze w programie antywirusowym Microsoft Defender:

    • Alerty EDR są generowane tylko wtedy, gdy poziom ochrony w chmurze na urządzeniu to Wysoka tolerancja plus lub Zero.
    • Wyskakujące okienka powiadomień użytkownika są generowane tylko wtedy, gdy poziom ochrony w chmurze na urządzeniu to Wysoka, Wysoka plus lub Zero tolerancji.

Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office

Ta reguła usługi ASR uniemożliwia używanie aplikacji pakietu Office (na przykład Word, Excel i PowerPoint) jako wektora do zapisywania złośliwych składników na dysku. Te złośliwe składniki mogą przetrwać ponowny rozruch komputera i utrwalić się w systemie. Ta reguła broni się przed tą techniką trwałości, wykonując następujące czynności:

  • Blokowanie dostępu (otwieranie/wykonywanie) do kodu zapisanego na dysku.

  • Blokowanie wykonywania niezaufanych plików zapisanych przez makra pakietu Office, które mogą być uruchamiane w plikach pakietu Office.

  • nazwa Microsoft Intune:Block Office applications from creating executable content

  • nazwa Microsoft Configuration Manager:Block Office applications from creating executable content

  • Identyfikator GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Zaawansowany typ akcji wyszukiwania zagrożeń:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Zależności: program antywirusowy Microsoft Defender, RPC

Uwaga

Ta reguła ma ograniczoną obsługę wykluczeń. Aby uzyskać szczegółowe informacje, zobacz File and folder exclusions for ASR rules (Wykluczenia plików i folderów dla reguł usługi ASR).

Lokalizacja instalacji pakietu Office nie ma wpływu na tę regułę usługi ASR.

Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów

Ta reguła usługi ASR blokuje próby wstrzyknięcia kodu z aplikacji pakietu Office do innych procesów. Osoby atakujące mogą próbować przeprowadzić migrację złośliwego kodu do innych procesów za pomocą aplikacji pakietu Office, aby kod mógł zostać zamapowany jako czysty proces. Nie ma znanych uzasadnionych celów biznesowych do wstrzykiwania kodu.

  • nazwa Microsoft Intune:Block Office applications from injecting code into other processes
  • nazwa Microsoft Configuration Manager:Block Office applications from injecting code into other processes
  • Identyfikator GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Zależności: program antywirusowy Microsoft Defender

Uwaga

  • Ta reguła usługi ASR nie obsługuje trybu ostrzeżenia .
  • Ta reguła usługi ASR ma zastosowanie do Word, Excel, OneNote i PowerPoint.
  • Ta reguła usługi ASR wymaga ponownego uruchomienia Aplikacje Microsoft 365 (aplikacji pakietu Office), aby zmiany konfiguracji zaczęły obowiązywać.
  • Ta reguła ma ograniczoną obsługę wykluczeń. Aby uzyskać szczegółowe informacje, zobacz File and folder exclusions for ASR rules (Wykluczenia plików i folderów dla reguł usługi ASR).
  • Ta reguła usługi ASR jest niezgodna z następującymi aplikacjami:
  • Ta reguła usługi ASR jest wymuszana tylko wtedy, C:\Program Files gdy pakiet Office jest zainstalowany w %ProgramFiles% lokalizacjach lub %ProgramFiles(x86)% (domyślnie i C:\Program Files (x86)).

Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office

Ta reguła usługi ASR uniemożliwia programowi Outlook tworzenie procesów podrzędnych, a jednocześnie zezwala na prawidłowe funkcje programu Outlook. Ta reguła usługi ASR chroni przed:

  • Ataki inżynierii społecznej i uniemożliwiają wykorzystanie kodu przed nadużywaniem luk w zabezpieczeniach w programie Outlook.

  • Reguły i formularze programu Outlook wykorzystują luki w zabezpieczeniach , których osoby atakujące mogą używać, gdy poświadczenia użytkownika zostaną naruszone.

  • nazwa Microsoft Intune:Block Office communication application from creating child processes

  • nazwa Microsoft Configuration Manager: n/a

  • Identyfikator GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Zaawansowany typ akcji wyszukiwania zagrożeń:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Zależności: program antywirusowy Microsoft Defender

Uwaga

Ta reguła ma ograniczoną obsługę wykluczeń. Aby uzyskać szczegółowe informacje, zobacz File and folder exclusions for ASR rules (Wykluczenia plików i folderów dla reguł usługi ASR).

Ta reguła jest wymuszana tylko wtedy, C:\Program Files gdy pakiet Office jest zainstalowany w %ProgramFiles% lokalizacjach lub %ProgramFiles(x86)% (domyślnie i C:\Program Files (x86)).

Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI

Ważna

Jeśli używasz Microsoft Configuration Manager, nie używaj innych dostępnych metod wdrażania, aby włączyć tę regułę na zarządzanych urządzeniach. Klient Configuration Manager w dużym stopniu korzysta z usługi WMI.

Ta reguła usługi ASR blokuje uruchamianie procesów utworzonych za pośrednictwem programu PsExec i usługi WMI . Narzędzia PsExec i WMI mogą zdalnie wykonywać kod. Złośliwe oprogramowanie może używać programów PsExec i WMI do sterowania poleceniami i kontroli lub rozprzestrzeniania infekcji sieciowych.

  • nazwa Microsoft Intune:Block process creations originating from PSExec and WMI commands
  • nazwa Microsoft Configuration Manager: n/a
  • Identyfikator GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Zależności: program antywirusowy Microsoft Defender

Uwaga

Ta reguła ma ograniczoną obsługę wykluczeń. Aby uzyskać szczegółowe informacje, zobacz File and folder exclusions for ASR rules (Wykluczenia plików i folderów dla reguł usługi ASR).

Blokuj ponowne uruchamianie maszyny w trybie awaryjnym

Ta reguła usługi ASR uniemożliwia często nadużywane polecenia, takie jak bcdedit i bootcfg ponowne uruchamianie komputerów z systemem Windows w trybie awaryjnym. W trybie awaryjnym wiele produktów zabezpieczających jest wyłączonych lub uruchamianych z ograniczoną funkcjonalnością. Tryb awaryjny umożliwia osobom atakującym dalsze uruchamianie poleceń manipulowania lub wykonywanie i szyfrowanie wszystkich plików na maszynie.

Tryb awaryjny jest nadal ręcznie dostępny ze środowiska odzyskiwania systemu Windows.

  • nazwa Microsoft Intune:Block rebooting machine in Safe Mode
  • nazwa Microsoft Configuration Manager: n/a
  • Identyfikator GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Zależności: program antywirusowy Microsoft Defender

Uwaga

Obecnie Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie rozpoznaje tej reguły. Raport reguł zmniejszania obszaru ataków (ASR) pokazuje tę regułę jako Nie dotyczy.

Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB

Ta reguła usługi ASR uniemożliwia uruchamianie niezapisanych lub niezaufanych plików wykonywalnych (na przykład .exe, .dll lub scr) z dysków wymiennych USB, w tym kart SD.

Ta reguła usługi ASR nie blokuje kopiowania plików z dysku USB na dysk. Blokuje ono uruchamianie skopiowanych plików z dysku.

  • nazwa Microsoft Intune:Block untrusted and unsigned processes that run from USB
  • nazwa Microsoft Configuration Manager:Block untrusted and unsigned processes that run from USB
  • Identyfikator GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Zależności: program antywirusowy Microsoft Defender

Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych

Ta reguła usługi ASR blokuje propagację i używanie plików wykonywalnych zidentyfikowanych jako kopie (duplikaty lub oszusty) narzędzi systemu Windows. Niektóre złośliwe programy mogą próbować skopiować lub personifikować narzędzia systemu Windows, aby uniknąć wykrycia lub uzyskania uprawnień. Zezwolenie na takie pliki wykonywalne może prowadzić do potencjalnych ataków.

  • nazwa Microsoft Intune:Block use of copied or impersonated system tools
  • nazwa Microsoft Configuration Manager: n/a
  • Identyfikator GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Zależności: program antywirusowy Microsoft Defender

Uwaga

Obecnie Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie rozpoznaje tej reguły. Raport reguł zmniejszania obszaru ataków (ASR) pokazuje tę regułę jako Nie dotyczy.

Blokuj tworzenie programu WebShell dla serwerów

Ta reguła usługi ASR blokuje tworzenie skryptów powłoki internetowej na serwerach z systemem Windows z uruchomionym programem Microsoft Exchange. Skrypt powłoki internetowej to spreparowany skrypt, który umożliwia atakującemu kontrolowanie naruszonego serwera. Skrypt powłoki internetowej może obejmować następujące funkcje:

  • Odbieranie i uruchamianie złośliwych poleceń.

  • Pobierz i uruchom złośliwe pliki.

  • Wykraść i eksfiltrować poświadczenia i informacje poufne.

  • Identyfikowanie potencjalnych celów.

  • nazwa Microsoft Intune:Block Webshell creation for Servers

  • nazwa Microsoft Configuration Manager: n/a

  • Identyfikator GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Zaawansowany typ akcji wyszukiwania zagrożeń: n/a

  • Zależności: program antywirusowy Microsoft Defender

Uwaga

  • Ta reguła nie jest obsługiwana podczas wdrażania za pośrednictwem Microsoft Intune do Windows Server 2012 R2 lub Windows Server 2016 przy użyciu nowoczesnego ujednoliconego rozwiązania.
  • Jeśli zarządzasz regułami usługi ASR w Ochrona punktu końcowego w usłudze Microsoft Defender, nie konfiguruj tego środowiska ASR w zasady grupy lub innych ustawieniach lokalnych (pozostaw wartość Not Configured). Każda inna wartość (na przykład Enabled lub Disabled) może powodować konflikty i uniemożliwiać prawidłowe stosowanie reguły.
  • Obecnie Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie rozpoznaje tej reguły. Raport reguł zmniejszania obszaru ataków (ASR) pokazuje tę regułę jako Nie dotyczy.

Blokuj wywołania interfejsu API Win32 z makr pakietu Office

Usługa Office Visual Basic for Applications (VBA) włącza wywołania interfejsu API Win32. Ta reguła usługi ASR uniemożliwia makra VBA wywoływanie interfejsów API Win32. Złośliwe oprogramowanie może nadużywać tej funkcji, na przykład wywoływania interfejsów API Win32 w celu uruchomienia złośliwego kodu powłoki bez pisania czegokolwiek bezpośrednio na dysku.

Większość organizacji nie wymaga wywołań interfejsu API Win32 z makr VBA, nawet jeśli używają makr w inny sposób.

  • nazwa Microsoft Intune:Block Win32 API calls from Office macros
  • nazwa Microsoft Configuration Manager:Block Win32 API calls from Office macros
  • Identyfikator GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Zależności: program antywirusowy Microsoft Defender, interfejs skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI)

Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup

Uwaga

Ta reguła usługi ASR zapewnia dodatkową warstwę ochrony przed oprogramowaniem wymuszającym okup. Używa zarówno heurystyki klienta, jak i chmury, aby określić, czy plik przypomina oprogramowanie wymuszające okup. Ta reguła nie blokuje plików o co najmniej jednej z następujących cech:

  • Plik jest uznany za bez szwanku w chmurze firmy Microsoft.
  • Plik jest prawidłowym podpisanym plikiem.
  • Plik jest wystarczająco rozpowszechniony, aby nie być uważanym za oprogramowanie wymuszające okup.

Ta reguła nie tylko blokuje pliki o złej reputacji. Zamiast tego reguła błądzi po stronie ostrożności, a także blokuje pliki , które nie mają jeszcze pozytywnej reputacji. Zazwyczaj bloki na niegroźne, nieznane pliki przez tę regułę ostatecznie rozwiązać siebie. Wartości reputacji i zaufania pliku przyrostowo rosną wraz ze wzrostem użycia bez problemów.

Jeśli bloki niegroźnych, nieznanych plików nie zostaną rozwiązane w odpowiednim czasie, możesz skonfigurować wykluczenie reguły dla usługi ASR dla tej reguły lub użyć akcji Zezwalaj na wskaźnik naruszenia zabezpieczeń (IoC).

  • nazwa Microsoft Intune:Use advanced protection against ransomware
  • nazwa Microsoft Configuration Manager:Use advanced protection against ransomware
  • Identyfikator GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Zaawansowany typ akcji wyszukiwania zagrożeń:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze

Zawartość pokrewna

  • Last updated on