Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera informacje o regułach zmniejszania obszaru ataków Ochrona punktu końcowego w usłudze Microsoft Defender (reguły asr):
- Obsługiwane wersje systemów operacyjnych reguł usługi ASR
- Obsługiwane systemy zarządzania konfiguracją reguł usługi ASR
- Alert reguły usługi ASR i szczegóły powiadomień
- Reguła usługi ASR do macierzy GUID
- Tryby reguł usługi ASR
- Opisy reguł
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Porada
Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z najlepszymi rozwiązaniami i poznać podstawowe narzędzia, takie jak zmniejszanie obszaru podatnego na ataki i ochrona nowej generacji. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji usługi Defender for Endpoint w Centrum administracyjne platformy Microsoft 365.
Wymagania wstępne
Obsługiwane systemy operacyjne
- System Windows
Reguły zmniejszania obszaru ataków według typu
Reguły zmniejszania obszaru ataków są skategoryzowane jako jeden z dwóch typów:
Standardowe reguły ochrony: są minimalnym zestawem reguł, które firma Microsoft zaleca, aby zawsze włączyć, podczas oceniania wymagań dotyczących efektu i konfiguracji innych reguł usługi ASR. Te reguły zwykle mają minimalny lub żaden zauważalny wpływ na użytkownika końcowego.
Inne reguły: reguły, które wymagają pewnej miary wykonania udokumentowanych kroków wdrażania [Test planu > (inspekcja) > Włączanie (tryby bloku/ostrzegania)], zgodnie z opisem w przewodniku wdrażania reguł zmniejszania obszaru ataków.
Aby uzyskać najprostszą metodę włączania standardowych reguł ochrony, zobacz Uproszczona standardowa opcja ochrony.
| Nazwa reguły usługi ASR | Standardowy Ochrony Reguły? |
Inne Reguły? |
|---|---|---|
| Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców | Tak | |
| Blokuj programowi Adobe Reader możliwość tworzenia procesów podrzędnych¹ | Tak | |
| Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office | Tak | |
| Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)¹ ² | Tak | |
| Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej | Tak | |
| Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanej³ | Tak | |
| Blokuj wykonywanie potencjalnie zaciemnionych skryptów | Tak | |
| Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript | Tak | |
| Blokuj aplikacjom pakietu Office możliwość tworzenia zawartości wykonywalnej¹ | Tak | |
| Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów¹ ² | Tak | |
| Blokuj tworzenie procesów podrzędnych przez aplikację komunikacyjną pakietu Office¹ | Tak | |
| Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI | Tak | |
| Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI¹ | Tak | |
| Blokuj ponowne uruchamianie maszyny w trybie awaryjnym | Tak | |
| Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB | Tak | |
| Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych | Tak | |
| Blokuj tworzenie programu WebShell dla serwerów | Tak | |
| Blokuj wywołania interfejsu API Win32 z makr pakietu Office⁴ | Tak | |
| Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup | Tak |
¹ Ta reguła usługi ASR nie uwzględnia wykluczeń programu antywirusowego Microsoft Defender. Aby uzyskać informacje na temat konfigurowania wykluczeń reguły usługi ASR, zobacz Konfigurowanie wykluczeń dotyczących obszaru ataków dla reguł.
² Ta reguła usługi ASR nie uwzględnia Ochrona punktu końcowego w usłudze Microsoft Defender wskaźników naruszenia zabezpieczeń (IOC) dla plików lub certyfikatów.
³ Obecnie ta reguła usługi ASR może nie być dostępna w konfiguracji zasad Intune Attack Surface Reduction z powodu znanego problemu z zapleczem. Ale reguła nadal istnieje i jest dostępna za pośrednictwem innych metod. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender zarządzanie ustawieniami zabezpieczeń, dostawca usług konfiguracji (CSP), add-MpPreference lub istniejąca konfiguracja zasad usługi ASR Intune w regułach utworzonych przed problemem.
⁴ Ta reguła asr nie uwzględnia Ochrona punktu końcowego w usłudze Microsoft Defender wskaźników naruszenia zabezpieczeń (IOC) dla certyfikatów.
Obsługiwane systemy operacyjne reguł usługi ASR
Poniższa tabela zawiera listę obsługiwanych systemów operacyjnych dla reguł, które są obecnie udostępniane do ogólnej dostępności. Reguły są wymienione w kolejności alfabetycznej w tej tabeli.
Uwaga
O ile nie wskazano inaczej, minimalna kompilacja Windows 10 to wersja 1709 (RS3, kompilacja 16299) lub nowsza; minimalna kompilacja Windows Server to wersja 1809 lub nowsza. Reguły zmniejszania obszaru ataków w Windows Server 2012 R2 i Windows Server 2016 są dostępne dla urządzeń dołączonych przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nowe funkcje Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu).
*Obecnie ta reguła usługi ASR może nie być dostępna w konfiguracji zasad Intune Attack Surface Reduction z powodu znanego problemu z zapleczem. Ale reguła nadal istnieje i jest dostępna za pośrednictwem innych metod. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender zarządzania ustawieniami zabezpieczeń, dostawcy usług konfiguracji (CSP), polecenia Add-MpPreference lub istniejącej konfiguracji zasad usługi ASR Intune w regułach utworzonych przed wystąpieniem problemu).
Uwaga
- Aby uzyskać Windows Server 2012 R2 i Windows Server 2016, zobacz Dołączanie Windows Server 2016 i Windows Server 2012 R2.
- Jeśli używasz Configuration Manager, minimalna wymagana wersja programu Microsoft Endpoint Configuration Manager to wersja 2111.
Obsługiwane systemy zarządzania konfiguracją reguł usługi ASR
Poniżej tej tabeli znajdują się linki do informacji o wersjach systemu zarządzania konfiguracją, do których odwołuje się ta tabela.
(1) Reguły zmniejszania obszaru ataków można skonfigurować dla każdej reguły przy użyciu identyfikatora GUID dowolnej reguły.
*Obecnie ta reguła usługi ASR może nie być dostępna w konfiguracji zasad Intune Attack Surface Reduction z powodu znanego problemu z zapleczem. Ale reguła nadal istnieje i jest dostępna za pośrednictwem innych metod. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender zarządzania ustawieniami zabezpieczeń, dostawcy usług konfiguracji (CSP), polecenia Add-MpPreference lub istniejącej konfiguracji zasad usługi ASR Intune w regułach utworzonych przed wystąpieniem problemu).
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM jest teraz Microsoft Configuration Manager.
Alert reguły usługi ASR i szczegóły powiadomień
Powiadomienia wyskakujące są generowane dla wszystkich reguł w trybie bloku. Reguły w żadnym innym trybie nie generują wyskakujących powiadomień.
W przypadku reguł z określonym stanem reguły:
- Reguły usługi ASR z
\ASR Rule, Rule State\kombinacjami służą do przesyłania alertów (wyskakujących powiadomień) na Ochrona punktu końcowego w usłudze Microsoft Defender tylko dla urządzeń ustawionych na poziomieHighbloku chmury. - Urządzenia, które nie są ustawione na poziomie
Highbloku chmury, nie generują alertów dla żadnychASR Rule, Rule Statekombinacji. - Alerty wykrywania i reagowania punktów końcowych (EDR) są generowane dla reguł usługi ASR w określonych stanach dla urządzeń ustawionych na poziomie
High+bloku chmury. - Powiadomienia wyskakujące są wykonywane tylko w trybie bloku i dla urządzeń ustawionych na poziomie
Highbloku chmury.
*Obecnie ta reguła usługi ASR może nie być dostępna w konfiguracji zasad Intune Attack Surface Reduction z powodu znanego problemu z zapleczem. Ale reguła nadal istnieje i jest dostępna za pośrednictwem innych metod. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender zarządzania ustawieniami zabezpieczeń, dostawcy usług konfiguracji (CSP), polecenia Add-MpPreference lub istniejącej konfiguracji zasad usługi ASR Intune w regułach utworzonych przed wystąpieniem problemu).
Reguła usługi ASR do macierzy GUID
| Nazwa reguły | Identyfikator GUID reguły |
|---|---|
| Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Blokuj wykonywanie potencjalnie zaciemnionych skryptów | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript | d3e037e1-3eb8-44c8-a917-57927947596d |
| Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI * Wykluczenia plików i folderów nie są obsługiwane. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Blokuj ponowne uruchamianie maszyny w trybie awaryjnym | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Blokuj tworzenie programu WebShell dla serwerów | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Blokuj wywołania interfejsu API Win32 z makr pakietu Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*Obecnie ta reguła usługi ASR może nie być dostępna w konfiguracji zasad Intune Attack Surface Reduction z powodu znanego problemu z zapleczem. Ale reguła nadal istnieje i jest dostępna za pośrednictwem innych metod. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender zarządzania ustawieniami zabezpieczeń, dostawcy usług konfiguracji (CSP), polecenia Add-MpPreference lub istniejącej konfiguracji zasad usługi ASR Intune w regułach utworzonych przed wystąpieniem problemu).
Tryby reguł usługi ASR
| Tryb reguły | Kod | Opis |
|---|---|---|
| Nie skonfigurowano lub wyłączono | 0 | Reguła usługi ASR nie jest włączona lub jest wyłączona. |
| Blokuj | 1 | Reguła usługi ASR jest włączona w trybie bloku. |
| Inspekcja | 2 | Reguła usługi ASR jest oceniana pod kątem wpływu na środowisko, jeśli jest włączona w trybie Blokuj lub Ostrzegaj. |
| Ostrzec | 6 | Reguła usługi ASR jest włączona i wyświetla użytkownikowi powiadomienie, ale użytkownik może pominąć blok. |
Ostrzeżenie to typ bloku, który ostrzega użytkowników o potencjalnie ryzykownych akcjach za pośrednictwem wyskakujących wyskakujących ostrzeżeń. Użytkownicy mogą wybrać przycisk OK , aby wymusić blok, lub wybrać pozycję Odblokuj , aby pominąć blok przez następne 24 godziny. Po 24 godzinach użytkownik musi ponownie zezwolić na blok.
Tryb ostrzegania dla reguł usługi ASR jest obsługiwany tylko w Windows 10 wersji 1809 lub nowszej. Starsze wersje Windows 10 z przypisaną regułą trybu ostrzeżenia są skutecznie w trybie bloku.
W programie PowerShell można utworzyć regułę usługi ASR w trybie ostrzeżenia, określając parametr AttackSurfaceReductionRules_Actions z wartością Warn. Przykład:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Opisy reguł
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
Uwaga
Aby chronić środowisko przed czynnikami podatnymi na zagrożenia, należy najpierw zaimplementować następujące metody:
- W przypadku Windows 10 lub nowszych, Windows Server 2016 lub nowszych przy użyciu usługi Microsoft App Control dla firm, domyślnie należy zablokować wszystkie sterowniki i zezwalać tylko na sterowniki, które uważasz za niezbędne i które nie są znane jako narażone.
- W przypadku Windows 8.1 lub starszych, Windows Server 2012 R2 lub starszych przy użyciu funkcji Microsoft AppLocker należy domyślnie blokować wszystkie sterowniki i zezwalać tylko na sterowniki, które uważasz za niezbędne i które nie są znane jako narażone.
- W przypadku Windows 11 lub nowszych i Windows Server core 1809 lub nowszy lub Windows Server 2019 lub nowszym należy również włączyć listę zablokowanych sterowników systemu Microsoft Windows. Następnie, jako kolejna warstwa obrony, należy włączyć tę regułę zmniejszania obszaru ataków.
Ta reguła uniemożliwia aplikacji zapisanie na dysku wrażliwego sterownika podpisanego. Lokalne aplikacje z wystarczającymi uprawnieniami mogą wykorzystać wrażliwe sterowniki podpisane , aby uzyskać dostęp do jądra. Wrażliwe sterowniki podpisane umożliwiają osobom atakującym wyłączanie lub obchodzenie rozwiązań zabezpieczeń, co ostatecznie prowadzi do naruszenia zabezpieczeń systemu.
Reguła Blokuj nadużywanie wykorzystywanych sterowników podpisanych przez luki w zabezpieczeniach nie blokuje załadowania sterownika już istniejącego w systemie.
Uwaga
Tę regułę można skonfigurować przy użyciu Intune identyfikatora OMA-URI. Zobacz Intune OMA-URI, aby skonfigurować reguły niestandardowe. Tę regułę można również skonfigurować przy użyciu programu PowerShell. Aby zbadać sterownik, użyj tej witryny sieci Web, aby przesłać sterownik do analizy.
nazwa Intune:Block abuse of exploited vulnerable signed drivers
nazwa Configuration Manager: Nie jest jeszcze dostępna
IDENTYFIKATOR GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych
Ta reguła zapobiega atakom, blokując programowi Adobe Reader tworzenie procesów.
Złośliwe oprogramowanie może pobierać i uruchamiać ładunki oraz wyrwać się z programu Adobe Reader za pośrednictwem inżynierii społecznej lub exploitów. Uniemożliwiając programowi Adobe Reader generowanie procesów podrzędnych, złośliwe oprogramowanie próbujące użyć programu Adobe Reader jako wektora ataku nie może się rozprzestrzeniać.
nazwa Intune:Process creation from Adobe Reader (beta)
nazwa Configuration Manager: Nie jest jeszcze dostępna
IDENTYFIKATOR GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office
Ta reguła uniemożliwia aplikacjom pakietu Office tworzenie procesów podrzędnych. Aplikacje pakietu Office obejmują Word, Excel, PowerPoint, OneNote i Access.
Tworzenie złośliwych procesów podrzędnych jest typową strategią złośliwego oprogramowania. Złośliwe oprogramowanie, które nadużywa pakietu Office jako wektora, często uruchamia makra VBA i wykorzystuje kod do pobrania i próby uruchomienia większej liczby ładunków. Jednak niektóre uzasadnione aplikacje biznesowe mogą również generować procesy podrzędne dla niegroźnych celów. Na przykład zduplikowanie wiersza polecenia lub użycie programu PowerShell do skonfigurowania ustawień rejestru.
nazwa Intune:Office apps launching child processes
nazwa Configuration Manager:Block Office application from creating child processes
IDENTYFIKATOR GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows
Uwaga
Jeśli włączono ochronę LSA , ta reguła zmniejszania obszaru ataków nie jest wymagana. Aby zapewnić bezpieczniejszą postawę, zalecamy również włączenie funkcji Credential Guard z ochroną LSA.
Jeśli ochrona LSA jest włączona, reguła usługi ASR jest klasyfikowana jako nie dotyczy w ustawieniach zarządzania punktami końcowymi usługi Defender w portalu Microsoft Defender.
Ta reguła pomaga zapobiegać kradzieży poświadczeń przez zablokowanie usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS).
Usługa LSASS uwierzytelnia użytkowników, którzy logują się na komputerze z systemem Windows. Funkcja Credential Guard w systemie Windows zwykle uniemożliwia próby wyodrębnienia poświadczeń z usługi LSASS. Niektóre organizacje nie mogą włączyć funkcji Credential Guard na wszystkich swoich komputerach z powodu problemów ze zgodnością z niestandardowymi sterownikami kart inteligentnych lub innymi programami, które ładują się do lokalnego urzędu zabezpieczeń (LSA). W takich przypadkach osoby atakujące mogą używać narzędzi takich jak Mimikatz, aby zeskrobać hasła zwykłego tekstu i skróty NTLM z usługi LSASS.
Domyślnie stan tej reguły jest ustawiony na nieskonfigurowane (wyłączone). W większości przypadków wiele procesów wywołuje LSASS w celu uzyskania praw dostępu, które nie są potrzebne. Na przykład gdy początkowy blok reguły usługi ASR powoduje kolejne wywołanie mniejszego uprawnienia, które powiedzie się. Aby uzyskać informacje o typach praw, które są zwykle wymagane podczas wywołań procesu do LSASS, zobacz Zabezpieczenia procesu i prawa dostępu.
Włączenie tej reguły nie zapewnia dodatkowej ochrony, jeśli włączono ochronę LSA, ponieważ reguła usługi ASR i ochrona LSA działają podobnie. Jeśli jednak nie możesz włączyć ochrony LSA, możesz skonfigurować tę regułę tak, aby zapewniała równoważną ochronę przed złośliwym oprogramowaniem docelowym lsass.exe.
Porada
- Zdarzenia inspekcji usługi ASR nie generują wyskakujących powiadomień. Reguła LSASS ASR generuje dużą liczbę zdarzeń inspekcji, z których prawie wszystkie można bezpiecznie zignorować, gdy reguła jest włączona w trybie bloku. Możesz pominąć ocenę trybu inspekcji i przejść do blokowania wdrożenia trybu. Zalecamy rozpoczęcie pracy z małym zestawem urządzeń i stopniowe rozszerzanie w celu pokrycia reszty.
- Reguła została zaprojektowana tak, aby pomijać raporty blokowe/wyskakujące dla przyjaznych procesów. Jest również przeznaczony do porzucania raportów dla zduplikowanych bloków. W związku z tym reguła dobrze nadaje się do włączenia w trybie bloku, niezależnie od tego, czy powiadomienia wyskakujące są włączone, czy wyłączone.
- Usługa ASR w trybie ostrzegania jest przeznaczona do prezentowania użytkownikom wyskakujących powiadomień blokowych zawierających przycisk "Odblokuj". Ze względu na "bezpieczny do zignorowania" charakter bloków usługi ASR LSASS i ich dużą ilość, tryb WARN nie jest wskazany dla tej reguły (niezależnie od tego, czy powiadomienia wyskakujące są włączone, czy wyłączone).
- Ta reguła ma na celu zablokowanie procesom dostępu do LSASS.EXE pamięci procesu. Nie blokuje ich uruchamiania. Jeśli widzisz, że procesy takie jak svchost.exe są blokowane, blokuje on tylko dostęp do pamięci procesu LSASS. W związku z tym można bezpiecznie ignorować svchost.exe i inne procesy. Jeden wyjątek dotyczy następujących znanych problemów.
Uwaga
W tym scenariuszu reguła usługi ASR jest klasyfikowana jako "nie dotyczy" w ustawieniach usługi Defender for Endpoint w portalu Microsoft Defender.
Reguła blokuj kradzież poświadczeń z podsystemu ASR lokalnego urzędu zabezpieczeń systemu Windows nie obsługuje trybu ostrzeżenia.
W niektórych aplikacjach kod wylicza wszystkie uruchomione procesy i próbuje je otworzyć z wyczerpującymi uprawnieniami. Ta reguła nie zezwala na akcję otwierania procesu aplikacji i rejestruje szczegóły w dzienniku zdarzeń zabezpieczeń. Ta reguła może generować wiele szumów. Jeśli masz aplikację, która po prostu wylicza usługę LSASS, ale nie ma rzeczywistego wpływu na funkcjonalność, nie ma potrzeby dodawania jej do listy wykluczeń. Sam wpis dziennika zdarzeń nie musi wskazywać na złośliwe zagrożenie.
nazwa Intune:Flag credential stealing from the Windows local security authority subsystem
nazwa Configuration Manager:Block credential stealing from the Windows local security authority subsystem
IDENTYFIKATOR GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Zależności: program antywirusowy Microsoft Defender
Znane problemy: Te aplikacje i reguła "Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows" są niezgodne:
| Nazwa aplikacji | Aby uzyskać informacje |
|---|---|
| Quest Dirsync Password Sync | Synchronizacja haseł dirsync nie działa po zainstalowaniu usługi Windows Defender, błąd: "VirtualAllocEx failed: 5" (4253914) |
Aby uzyskać pomoc techniczną, skontaktuj się z wydawcą oprogramowania.
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej
Ta reguła blokuje otwarcie poczty e-mail w aplikacji Microsoft Outlook lub Outlook.com i innych popularnych dostawców poczty internetowej przed propagowaniem następujących typów plików:
Pliki wykonywalne (takie jak .exe, .dll lub scr)
Pliki skryptów (takie jak PowerShell.ps1, pliki vbs języka Visual Basic lub javascript .js)
pliki Archiwum (takie jak .zip i inne)
nazwa Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
nazwa Microsoft Configuration Manager:Block executable content from email client and webmail
IDENTYFIKATOR GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Zależności: program antywirusowy Microsoft Defender
Uwaga
Reguła Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej ma następujące alternatywne opisy, w zależności od używanej aplikacji:
- Intune (profile konfiguracji): wykonywanie zawartości wykonywalnej (np. dll, ps, js, vbs itp.) porzucone z poczty e-mail (poczta internetowa/klient poczty) (bez wyjątków).
- Configuration Manager: blokuj pobieranie zawartości wykonywalnej z klientów poczty e-mail i poczty internetowej.
- zasady grupy: blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej.
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych
Porada
*Obecnie ta reguła usługi ASR może nie być dostępna w konfiguracji zasad Intune Attack Surface Reduction z powodu znanego problemu z zapleczem. Ale reguła nadal istnieje i jest dostępna za pośrednictwem innych metod. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender zarządzania ustawieniami zabezpieczeń, dostawcy usług konfiguracji (CSP), polecenia Add-MpPreference lub istniejącej konfiguracji zasad usługi ASR Intune w regułach utworzonych przed wystąpieniem problemu).
Ta reguła blokuje uruchamianie plików wykonywalnych, takich jak .exe, .dll lub scr. W związku z tym uruchamianie niezaufanych lub nieznanych plików wykonywalnych może być ryzykowne, ponieważ początkowo nie jest jasne, czy pliki są złośliwe.
Ważna
Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę . Ta reguła używa ochrony dostarczanej przez chmurę do regularnego aktualizowania swojej listy zaufanej. Poszczególne pliki lub foldery można określić przy użyciu ścieżek folderów lub w pełni kwalifikowanych nazw zasobów. Obsługuje również ustawienie ASROnlyPerRuleExclusions .
nazwa Intune:Executables that don't meet a prevalence, age, or trusted list criteria
nazwa Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
IDENTYFIKATOR GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze
Blokuj wykonywanie potencjalnie zaciemnionych skryptów
Ta reguła wykrywa podejrzane właściwości w zaciemnionym skryptze.
Uwaga
Skrypty programu PowerShell są teraz obsługiwane dla reguły "Blokuj wykonywanie potencjalnie zaciemnionych skryptów".
Ważna
Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę.
Zaciemnianie skryptów jest powszechną techniką, z którą korzystają zarówno autorzy złośliwego oprogramowania, jak i uzasadnione aplikacje, aby ukryć własność intelektualną lub skrócić czas ładowania skryptu. Autorzy złośliwego oprogramowania używają również zaciemniania, aby utrudnić odczytywanie złośliwego kodu, co utrudnia ścisłą kontrolę ludzi i oprogramowania zabezpieczającego.
nazwa Intune:Obfuscated js/vbs/ps/macro code
nazwa Configuration Manager:Block execution of potentially obfuscated scripts
IDENTYFIKATOR GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Zależności: program antywirusowy Microsoft Defender, interfejs skanowania przed złośliwym oprogramowaniem (AMSI), ochrona w chmurze
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript
Ta reguła uniemożliwia skryptom uruchamianie potencjalnie złośliwej pobranej zawartości. Złośliwe oprogramowanie napisane w języku JavaScript lub VBScript często działa jako narzędzie do pobierania i uruchamiania innego złośliwego oprogramowania z Internetu. Chociaż nie jest to typowe, aplikacje biznesowe czasami używają skryptów do pobierania i uruchamiania instalatorów.
nazwa Intune:js/vbs executing payload downloaded from Internet (no exceptions)
nazwa Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
IDENTYFIKATOR GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Zależności: program antywirusowy Microsoft Defender, amsi
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office
Ta reguła uniemożliwia stosowanie aplikacji pakietu Office, w tym Word, Excel i PowerPoint, jako wektora do utrwalania złośliwego kodu na dysku. Złośliwe oprogramowanie, które nadużywa pakietu Office jako wektora, może próbować zapisać złośliwe składniki na dysku, które przetrwałyby ponowny rozruch komputera i utrwaliłyby się w systemie. Ta reguła broni się przed tą techniką trwałości, blokując dostęp (otwieranie/wykonywanie) do kodu zapisanego na dysku. Ta reguła blokuje również wykonywanie niezaufanych plików, które mogły zostać zapisane przez makra pakietu Office, które mogą być uruchamiane w plikach pakietu Office.
nazwa Intune:Office apps/macros creating executable content
nazwa Configuration Manager:Block Office applications from creating executable content
IDENTYFIKATOR GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Zależności: program antywirusowy Microsoft Defender, RPC
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów
Ta reguła blokuje próby wstrzyknięcia kodu z aplikacji pakietu Office do innych procesów.
Uwaga
Reguła Blokuj aplikacjom wstrzykiwanie kodu do innych procesów reguła ASR nie obsługuje trybu WARN.
Ważna
Ta reguła wymaga ponownego uruchomienia Aplikacje Microsoft 365 (aplikacji pakietu Office), aby zmiany konfiguracji zaczęły obowiązywać.
Osoby atakujące mogą próbować przeprowadzić migrację złośliwego kodu do innych procesów za pomocą aplikacji pakietu Office, aby kod mógł zostać zamapowany jako czysty proces. Nie ma znanych uzasadnionych celów biznesowych do wstrzykiwania kodu.
Ta reguła ma zastosowanie do Word, Excel, OneNote i PowerPoint.
nazwa Intune:Office apps injecting code into other processes (no exceptions)
nazwa Configuration Manager:Block Office applications from injecting code into other processes
IDENTYFIKATOR GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Zależności: program antywirusowy Microsoft Defender
Znane problemy: Te aplikacje i reguła "Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów" są niezgodne:
| Nazwa aplikacji | Aby uzyskać informacje |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | Wrzesień 2024 r. (platforma: 4.18.24090.11 |Silnik 1.1.24090.11). |
| Zabezpieczenia Heimdal | nie dotyczy |
Aby uzyskać pomoc techniczną, skontaktuj się z wydawcą oprogramowania.
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office
Ta reguła uniemożliwia programowi Outlook tworzenie procesów podrzędnych, a jednocześnie zezwala na prawidłowe funkcje programu Outlook. Ta reguła chroni przed atakami inżynierii społecznej i uniemożliwia wykorzystanie kodu przed nadużywaniem luk w zabezpieczeniach w programie Outlook. Chroni również przed regułami programu Outlook i formami wykorzystującymi luki w zabezpieczeniach , których osoby atakujące mogą używać w przypadku naruszenia poświadczeń użytkownika.
nazwa Intune:Process creation from Office communication products (beta)
nazwa Configuration Manager: niedostępna
IDENTYFIKATOR GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
Ta reguła uniemożliwia złośliwemu oprogramowaniu nadużywanie usługi WMI w celu uzyskania trwałości na urządzeniu.
Zagrożenia bez plików stosują różne taktyki, aby pozostać w ukryciu, aby uniknąć bycia widocznym w systemie plików i uzyskać okresową kontrolę nad wykonywaniem. Niektóre zagrożenia mogą nadużywać repozytorium WMI i modelu zdarzeń, aby pozostać w ukryciu.
Uwaga
Jeśli używasz Configuration Manager (CM, wcześniej znanego jako MEMCM lub SCCM) z programem CcmExec.exe (SCCM Agent), zalecamy uruchomienie go w trybie inspekcji przez co najmniej 60 dni.
Gdy wszystko będzie gotowe do przełączenia się do trybu blokowania, upewnij się, że wdrożono odpowiednie reguły usługi ASR, biorąc pod uwagę wszelkie niezbędne wykluczenia reguł.
nazwa Intune:Persistence through WMI event subscription
nazwa Configuration Manager: niedostępna
IDENTYFIKATOR GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Zależności: program antywirusowy Microsoft Defender, RPC
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI
Ta reguła blokuje uruchamianie procesów utworzonych za pośrednictwem programu PsExec i usługi WMI . Zarówno program PsExec, jak i usługa WMI mogą zdalnie wykonywać kod. Istnieje ryzyko, że złośliwe oprogramowanie nadużywa funkcji programu PsExec i WMI do celów dowodzenia i kontroli lub rozprzestrzeniania infekcji w sieci organizacji.
Ostrzeżenie
Tej reguły należy używać tylko wtedy, gdy zarządzasz urządzeniami za pomocą Intune lub innego rozwiązania MDM. Ta reguła jest niezgodna z zarządzaniem za pośrednictwem Configuration Manager punktu końcowego firmy Microsoft, ponieważ ta reguła blokuje polecenia usługi WMI, których klient Configuration Manager używa do poprawnego działania.
nazwa Intune:Process creation from PSExec and WMI commands
nazwa Configuration Manager: Nie dotyczy
IDENTYFIKATOR GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym
Ta reguła uniemożliwia wykonywanie niektórych poleceń w celu ponownego uruchomienia maszyn w trybie awaryjnym. W trybie awaryjnym wiele produktów zabezpieczających jest wyłączonych lub działa w ograniczonej pojemności. Dzięki temu osoby atakujące mogą dalej uruchamiać polecenia manipulacji lub wykonywać i szyfrować wszystkie pliki na maszynie. Ta reguła blokuje nadużywanie trybu awaryjnego, uniemożliwiając często nadużywane polecenia, takie jak bcdedit i bootcfg ponowne uruchamianie maszyn w trybie awaryjnym. Tryb awaryjny jest nadal dostępny ręcznie ze środowiska odzyskiwania systemu Windows.
nazwa Intune:Block rebooting machine in Safe Mode
nazwa Configuration Manager: Nie jest jeszcze dostępna
IDENTYFIKATOR GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Zależności: program antywirusowy Microsoft Defender
Uwaga
Obecnie zarządzanie zagrożeniami i lukami w zabezpieczeniach nie rozpoznaje tej reguły, dlatego raport reguły zmniejszania obszaru ataków pokazuje ją jako "Nie dotyczy".
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB
Dzięki tej regule administratorzy mogą uniemożliwić uruchamianie niezapisanych lub niezaufanych plików wykonywalnych z dysków wymiennych USB, w tym kart SD. Zablokowane typy plików obejmują pliki wykonywalne (takie jak .exe, .dll lub scr)
Ważna
Ta reguła blokuje pliki skopiowane z dysku USB na dysk, jeśli i kiedy ma zostać wykonane na dysku.
nazwa Intune:Untrusted and unsigned processes that run from USB
nazwa Configuration Manager:Block untrusted and unsigned processes that run from USB
IDENTYFIKATOR GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Zależności: program antywirusowy Microsoft Defender
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych
Ta reguła blokuje korzystanie z plików wykonywalnych, które są identyfikowane jako kopie narzędzi systemu Windows. Te pliki są duplikatami lub oszustami oryginalnych narzędzi systemowych. Niektóre złośliwe programy mogą próbować skopiować lub personifikować narzędzia systemu Windows, aby uniknąć wykrycia lub uzyskania uprawnień. Zezwolenie na takie pliki wykonywalne może prowadzić do potencjalnych ataków. Ta reguła uniemożliwia propagację i wykonywanie takich duplikatów i oszustów narzędzi systemowych na maszynach z systemem Windows.
nazwa Intune:Block use of copied or impersonated system tools
nazwa Configuration Manager: Nie jest jeszcze dostępna
IDENTYFIKATOR GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Zależności: program antywirusowy Microsoft Defender
Uwaga
Obecnie zarządzanie zagrożeniami i lukami w zabezpieczeniach nie rozpoznaje tej reguły, dlatego raport reguły zmniejszania obszaru ataków pokazuje ją jako "Nie dotyczy".
Blokuj tworzenie programu WebShell dla serwerów
Ta reguła blokuje tworzenie skryptu powłoki internetowej na serwerze Microsoft Server w roli programu Exchange. Skrypt powłoki internetowej to spreparowany skrypt, który umożliwia atakującemu kontrolowanie naruszonego serwera.
Powłoka internetowa może obejmować funkcje, takie jak odbieranie i wykonywanie złośliwych poleceń, pobieranie i wykonywanie złośliwych plików, kradzież i eksfiltrowanie poświadczeń oraz poufnych informacji oraz identyfikowanie potencjalnych celów.
nazwa Intune:Block Webshell creation for Servers
IDENTYFIKATOR GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Zależności: program antywirusowy Microsoft Defender
Uwaga
Podczas zarządzania regułami usługi ASR przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender zarządzania ustawieniami zabezpieczeń należy skonfigurować ustawienie Blokuj tworzenie programu WebShell dla serwerów, tak jak Not Configured w zasady grupy lub innych ustawieniach lokalnych. Jeśli ta reguła jest ustawiona na dowolną inną wartość (taką jak Enabled lub Disabled), może spowodować konflikty i uniemożliwić poprawne stosowanie zasad za pośrednictwem zarządzania ustawieniami zabezpieczeń.
Obecnie zarządzanie zagrożeniami i lukami w zabezpieczeniach nie rozpoznaje tej reguły, dlatego raport reguły zmniejszania obszaru ataków pokazuje ją jako "Nie dotyczy".
Blokuj wywołania interfejsu API Win32 z makr pakietu Office
Ta reguła uniemożliwia makra VBA wywoływanie interfejsów API Win32. Usługa Office VBA umożliwia wywołania interfejsu API Win32. Złośliwe oprogramowanie może nadużywać tej funkcji, na przykład wywoływania interfejsów API Win32 w celu uruchomienia złośliwego kodu powłoki bez pisania czegokolwiek bezpośrednio na dysku. Większość organizacji nie polega na możliwości wywoływania interfejsów API Win32 w ich codziennym funkcjonowaniu, nawet jeśli używają makr w inny sposób.
nazwa Intune:Win32 imports from Office macro code
nazwa Configuration Manager:Block Win32 API calls from Office macros
IDENTYFIKATOR GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Zależności: program antywirusowy Microsoft Defender, amsi
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup
Ta reguła zapewnia dodatkową warstwę ochrony przed oprogramowaniem wymuszającym okup. Używa zarówno heurystyki klienta, jak i chmury, aby określić, czy plik przypomina oprogramowanie wymuszające okup. Ta reguła nie blokuje plików o co najmniej jednej z następujących cech:
- Plik jest uznany za bez szwanku w chmurze firmy Microsoft.
- Plik jest prawidłowym podpisanym plikiem.
- Plik jest wystarczająco rozpowszechniony, aby nie być uważanym za oprogramowanie wymuszające okup.
Reguła ma tendencję do błądzić po stronie ostrożności, aby zapobiec ransomware.
Uwaga
Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę .
nazwa Intune:Advanced ransomware protection
nazwa Configuration Manager:Use advanced protection against ransomware
IDENTYFIKATOR GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Zaawansowany typ akcji wyszukiwania zagrożeń:
AsrRansomwareAuditedAsrRansomwareBlocked
Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze
Zobacz też
Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
Planowanie wdrożenia reguł zmniejszania obszaru podatnego na ataki
Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki
Rozwiązywanie problemów z regułami zmniejszania obszaru ataków
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Ochrona punktu końcowego w usłudze Microsoft Defender.