Настройка правил и исключений для сокращения направлений атак (ASR)

Правила сокращения направлений атак (ASR) нацелены на опасное поведение программного обеспечения на устройствах Windows, которое злоумышленники обычно используют с помощью вредоносных программ (например, запуска сценариев, скачивающих файлы, запуска запутанных сценариев и внедрения кода в другие процессы). В этой статье описывается включение и настройка правил ASR.

Для достижения наилучших результатов используйте решения управления корпоративного уровня, такие как Microsoft Intune или Microsoft Configuration Manager, для управления правилами ASR. Параметры правил ASR из Intune или Configuration Manager перезаписать все конфликтующие параметры из групповой политики или PowerShell при запуске.

Предварительные условия

Дополнительные сведения см. в разделе Требования к правилам ASR.

Настройка правил ASR в Microsoft Intune

Microsoft Intune — это рекомендуемое средство для настройки и распространения политик правил ASR на устройствах. Требуется Microsoft Intune (план 1) (входит в подписки, такие как Microsoft 365 E3 или доступна как автономная надстройка).

В Intune для развертывания правил ASR рекомендуется использовать политики безопасности конечных точек, хотя в Intune также доступны другие методы, как описано в следующих подразделах.

Настройка правил и исключений ASR в Intune с помощью политик безопасности конечных точек

Сведения о том, как настроить правила ASR с помощью политики сокращения зоны атак с безопасностью конечных точек Microsoft Intune, см. в статье Создание политики безопасности конечной точки (откроется на новой вкладке в документации по Intune). При создании политики используйте следующие параметры:

Важно!

управление Microsoft Defender для конечной точки поддерживает только объекты устройств. Нацеливание на пользователей не поддерживается. Назначьте политику Microsoft Entra группам устройств, а не группам пользователей.

• Тип политики: сокращение направлений атаки
• Платформа: Windows
• Профиль: правила сокращения направлений атаки
• Параметры конфигурации:

  • Сокращение направлений атак. Как правило, стандартные правила защиты можно включить в режиме блокировать или предупреждать без тестирования. Прежде чем переключить их в режим блокировки или предупреждения, следует протестировать другие правила ASR в режиме аудита. Дополнительные сведения см. в руководстве по развертыванию правил ASR.

    После установки режима правила аудит, блокировка или предупреждение появляется раздел ASR только для исключений правил , в котором можно указать исключения, которые применяются только к этому правилу.

  • Исключения, связанные с сокращением направлений атак. Используйте этот раздел, чтобы указать исключения, которые применяются ко всем правилам ASR.

    Чтобы указать исключения для каждого правила ASR или глобальные исключения правил ASR, используйте один из следующих методов:

    • Нажмите Добавить. В появившемся поле введите путь или путь и имя файла для исключения. Например, вы можете:

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • Выберите Импорт , чтобы импортировать CSV-файл, содержащий имена файлов и папок для исключения. CSV-файл использует следующий формат:

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      Совет

      Двойные кавычки вокруг значений являются необязательными и игнорируются (не используются в значениях), если они включены. Не используйте одинарные кавычки вокруг значений.

    Дополнительные сведения об исключениях см. в разделе Исключения файлов и папок для правил ASR.

  • Включение управляемого доступа к папкам, защищенных папок с управляемым доступом к папкам и приложений с разрешенным доступом к управляемым папкам. Дополнительные сведения см. в разделе Защита важных папок с помощью управляемого доступа к папкам.

Настройка правил ASR в Intune с помощью пользовательских профилей с OMA-URIs и CSP

Хотя рекомендуется использовать политики безопасности конечных точек, можно также настроить правила ASR в Intune с помощью пользовательских профилей, содержащих профили Open Mobile Alliance — Uniform Resource (OMA-URI) с помощью поставщика службы конфигурации политики Windows (CSP).

Общие сведения о OMA-URIs в Intune см. в статье Развертывание OMA-URIs для целевого CSP через Intune и сравнение с локальной средой.

1. В центре администрирования Microsoft Intune по адресу https://intune.microsoft.comвыберите Устройства>Управление устройствами>Конфигурация. Или, чтобы перейти непосредственно к устройствам | Страница конфигурации , используйте https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. На вкладке Политикив разделе Устройства | Страница конфигурации выберите Создать>новую политику.

   

3. Во всплывающем окне Создание профиля настройте следующие параметры:

   • Платформа: выберите Windows 10 и более поздних версий.
   • Тип профиля: выберите Шаблоны.
     • В появившемся разделе Имя шаблона выберите Пользовательский.

   Нажмите Создать.

   

4. Откроется мастер пользовательских шаблонов. На вкладке Основные сведения настройте следующие параметры:

   • Имя. Введите уникальное имя шаблона.
   • Описание: введите необязательное описание.

   Завершив работу на вкладке Основные сведения , нажмите кнопку Далее.

5. На вкладке Параметры конфигурации выберите Добавить.

   

   Во всплывающем окне Добавление строки настройте следующие параметры:

   • Имя. Введите уникальное имя правила.

   • Описание. Введите необязательное краткое описание.

   • OMA-URI: введите значение Device из CSP AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • Тип данных: выберите Строка.

     • Значение: используйте следующий синтаксис:

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • Значения GUID для правил ASR доступны в разделе Правила ASR.
       • Доступны следующие режимы правил :
         • 0: выкл.
         • 1:Блок
         • 2:Аудита
         • 5: не настроено
         • 6:Предупредить

       Например, вы можете:

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     По завершении во всплывающем окне Добавление строки нажмите кнопку Сохранить.

     Совет

     На этом этапе можно также добавить в пользовательский профиль глобальные исключения правил ASR, а не создавать отдельный профиль только для исключений. Инструкции см. в следующем подразделе Настройка исключений глобальных правил ASR в Intune с помощью настраиваемых профилей с OMA-URIs и CSP.

   Вернитесь на вкладку Параметры конфигурации и нажмите кнопку Далее.

6. На вкладке Назначения настройте следующие параметры:

   • Раздел Включенные группы. Выберите один из следующих параметров:
     • Добавить группы. Выберите одну или несколько групп для включения.
     • Добавление всех пользователей
     • Добавление всех устройств
   • Раздел Исключенные группы. Выберите Добавить группы, чтобы указать все группы для исключения.

   Завершив работу на вкладке Назначения , нажмите кнопку Далее.

   

7. На вкладке Правила применимости нажмите кнопку Далее.

   Вы можете использовать свойства выпуска ОС и версии ОС , чтобы определить типы устройств, которые должны или не должны получать профиль.

   

8. На вкладке Просмотр и создание просмотрите параметры. Вы можете использовать предыдущий или выбрать вкладку, чтобы вернуться и внести изменения.

   Когда вы будете готовы создать профиль, выберите Создать на вкладке Проверка и создание .

   

Вы сразу же вернелись на вкладку Политикиустройства | Страница конфигурации . Для просмотра политики может потребоваться выбрать Обновить .

Правила ASR активируются в течение нескольких минут.

Настройка исключений глобальных правил ASR в Intune с помощью пользовательских профилей с OMA-URIs и CSP

Действия по настройке исключений глобальных правил ASR в Intune с помощью пользовательского профиля очень похожи на шаги, описанные в предыдущем разделе. Единственное отличие заключается в шаге 5 ( вкладка Параметры конфигурации ), где вы вводите сведения об исключениях правил ASR:

На вкладке Параметры конфигурации выберите Добавить. Во всплывающем окне Добавление строки настройте следующие параметры:

• Имя. Введите уникальное имя правила.
  • Описание. Введите необязательное краткое описание.
  • OMA-URI: введите значение Device из CSP AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • Тип данных: выберите Строка.

    • Значение: используйте следующий синтаксис:

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      Например, вы можете:

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

По завершении во всплывающем окне Добавление строки нажмите кнопку Сохранить.

Вернитесь на вкладку Параметры конфигурации и нажмите кнопку Далее.

Остальные действия совпадают с настройкой правил ASR.

Настройка правил ASR в любом решении MDM с помощью CSP политики

Поставщик службы конфигурации политик (CSP) позволяет корпоративным организациям настраивать политики на устройствах Windows с помощью любого решения управления мобильными устройствами (MDM), а не только Microsoft Intune. Дополнительные сведения см. в разделе Поставщик служб CSP политики.

Правила ASR можно настроить с помощью CSP AttackSurfaceReductionRules со следующими параметрами:

Путь OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Значение: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• Значения GUID для правил ASR доступны в разделе Правила ASR.
• Доступны следующие режимы правил :
  • 0: выкл.
  • 1:Блок
  • 2:Аудита
  • 5: не настроено
  • 6:Предупредить

Например, вы можете:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Примечание.

Обязательно введите значения OMA-URI без пробелов.

Настройка исключений глобальных правил ASR в любом решении MDM с помощью CSP политики

CSP политики можно использовать для настройки глобального пути к правилу ASR, а также исключений имен файлов и путей с помощью CSP AttackSurfaceReductionOnlyExclusions со следующими параметрами:

Путь OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Значение: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Пример: C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Настройка правил ASR и глобальных исключений правил ASR в Microsoft Configuration Manager

Инструкции см. в сведениях о сокращении направлений атак в статье Создание и развертывание политики Exploit Guard.

Предупреждение

Существует известная проблема с применимостью сокращения направлений атак в версиях ОС сервера, которая помечена как совместимая без фактического применения. В настоящее время нет определенной даты выпуска, когда это будет исправлено.

Важно!

Если вы используете параметр "Отключить слияние администраторов" true на устройствах и используете какие-либо из следующих средств и методов, добавление исключений правил ASR для каждого правила или локальных исключений правил ASR не применяется:

• Управление параметрами безопасности Defender для конечной точки (отключение локального Администратор слияния) на вкладке "Политикибезопасности конечных точек" на портале Microsoft Defender по адресуhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (отключить локальное слияние Администратор)
• Поставщик служб CSP Defender (DisableLocalAdminMerge)
• групповая политика (настройка поведения слияния локального администратора для списков)

Чтобы изменить это поведение, необходимо изменить параметр "Отключить слияние администраторов" на false.

Настройка правил и исключений ASR в групповой политике

Предупреждение

Если вы управляете компьютерами и устройствами с помощью Intune, Microsoft Configuration Manager или другого программного обеспечения для управления корпоративного уровня, программное обеспечение управления перезаписывает все конфликтующие параметры групповой политики при запуске.

1. В централизованном групповая политика откройте консоль управления групповая политика (GPMC) на компьютере управления групповая политика.

2. В дереве консоли GPMC разверните узел групповая политика Объекты в лесу и домене, содержащих объект групповой политики, который требуется изменить.

3. Щелкните объект групповой политики правой кнопкой мыши и выберите изменить.

4. В редакторе управления групповая политикаперейдитев раздел Конфигурация > компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа>Microsoft Defender Защита от атак Exploit Guard>.

5. В области сведений о сокращении направлений атак доступны следующие параметры:

   • Настройка правил сокращения направлений атаки
   • Исключите файлы и пути из правил сокращения направлений атак
   • Применение списка исключений к определенным правилам сокращения направлений атак (ASR)

   Чтобы открыть и настроить параметр правила ASR, используйте любой из следующих методов:

   • Дважды щелкните параметр.
   • Щелкните параметр правой кнопкой мыши и выберите изменить.
   • Выберите параметр, а затем выберите Изменить действие>.

Совет

Вы также можете настроить групповая политика локально на отдельных устройствах с помощью редактора локальных групповая политика (gpedit.msc). Перейдите по тому же пути: Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.

Доступные параметры описаны в следующих подразделах.

Важно!

Кавычки, начальные пробелы, конечные пробелы и дополнительные символы не поддерживаются ни в одном из значений, связанных с правилом ASR, в групповой политике.

групповая политика пути до Windows 10 версии 2004 (май 2020 г.) могут использовать windows антивирусная программа Defender вместо Microsoft антивирусная программа Defender. Оба имени относятся к одному расположению политики.

Настройка правил ASR в групповой политике

1. В области сведений о сокращении направлений атак откройте параметр Настройка правил сокращения направлений атак .

2. В открывавшемся окне параметров настройте следующие параметры:

   1. Щелкните Включено.
   2. Задайте состояние для каждого правила ASR: выберите Показать....

3. В открывшемся диалоговом окне Задание состояния для каждого правила ASR настройте следующие параметры:

   • Имя значения: введите значение GUID правила ASR.
   • Значение: введите одно из следующих значений режима правила :
     • 0: выкл.
     • 1:Блок
     • 2:Аудита
     • 5: не настроено
     • 6:Предупредить

   

   Дополнительные сведения см. в разделе Режимы правил ASR.

   Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.

Настройка исключений глобальных правил ASR в групповой политике

Пути или имена файлов с указанными путями используются в качестве исключений для всех правил ASR.

1. В области сведений о сокращении направлений атаки откройте параметр Исключить файлы и пути из правил сокращения направлений атаки .

2. В открывавшемся окне параметров настройте следующие параметры:

   1. Щелкните Включено.
   2. Исключения из правил ASR: выберите Показать....

3. В открывшемся диалоговом окне Исключения из правил ASR настройте следующие параметры:

   • Имя значения. Введите путь или путь и имя файла, чтобы исключить из всех правил ASR.
   • Значение: введите 0.

   Поддерживаются следующие типы имен значений:

   • Чтобы исключить все файлы в папке, введите полный путь к папке. Например, C:\Data\Test.
   • Чтобы исключить определенный файл в определенной папке (рекомендуется), введите путь и имя файла. Например, C:\Data\Test\test.exe.

   Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.

Настройка исключений правил ASR в групповой политике

Пути или имена файлов с указанными путями используются в качестве исключений для конкретных правил ASR.

Примечание.

Если параметр Применить список исключений к определенным правилам сокращения направлений атак (ASR) недоступен в GPMC, вам потребуется версия 24H2 или более поздняя версия файлов административных шаблонов в центральном хранилище.

1. В области сведений о сокращении направлений атаки откройте параметр Применить список исключений к определенным правилам сокращения направлений атак (ASR).

2. В открывавшемся окне параметров настройте следующие параметры:

   1. Щелкните Включено.
   2. Исключения для каждого правила ASR: выберите Показать....

3. В открывшемся диалоговом окне Исключения для каждого правила ASR настройте следующие параметры:

   • Имя значения: введите значение GUID правила ASR.
   • Значение: введите одно или несколько исключений для правила ASR. Используйте синтаксис Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Например, C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

   Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.

Настройка правил ASR в PowerShell

Предупреждение

Если вы управляете компьютерами и устройствами с помощью Intune, Configuration Manager или другой платформы управления корпоративного уровня, программное обеспечение для управления перезаписывает все конфликтующие параметры PowerShell при запуске.

На целевом устройстве используйте следующий синтаксис команды PowerShell в сеансе PowerShell с повышенными привилегиями (окно PowerShell, которое вы открыли, выбрав Запуск от имени администратора):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Set-MpPreferenceперезаписывает все существующие правила и соответствующие им режимы указанными значениями. Чтобы просмотреть список существующих значений, выполните следующую команду:

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  Чтобы добавить новые правила и соответствующие им режимы, не затрагивая существующие значения, используйте командлет Add-MpPreference . Чтобы удалить указанные правила и соответствующие им режимы, не затрагивая другие существующие значения, используйте командлет Remove-MpPreference . Синтаксис команды идентичен для трех командлетов.

• Значения GUID для правил ASR доступны в разделе Правила ASR.

• Допустимые значения для параметра AttackSurfaceReductionRules_Actions :

  • 0 или Disabled
  • 1 или Enabled (режим блокировки )
  • 2или AuditModeAudit
  • 5 или NotConfigured
  • 6 или Warn

В следующем примере настраиваются указанные правила ASR на устройстве:

• Первые два правила включены в режиме блокировки .
• Третье правило отключено.
• Последнее правило включено в режиме аудита .

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Настройка исключений глобальных правил ASR в PowerShell

На целевом устройстве используйте следующий синтаксис команды PowerShell в сеансе PowerShell с повышенными привилегиями:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Set-MpPreferenceперезаписывает все существующие исключения правил ASR указанными значениями. Чтобы просмотреть список существующих значений, выполните следующую команду:

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  Чтобы добавить новые исключения, не затрагивая существующие значения, используйте командлет Add-MpPreference . Чтобы удалить указанные исключения, не затрагивая другие значения, используйте командлет Remove-MpPreference . Синтаксис команды идентичен для трех командлетов.

  В следующем примере указанный путь и путь настраиваются с именем файла в качестве исключений для всех правил ASR на устройстве.

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

Связанные материалы

• Ссылка на развертывание правил сокращения направлений атак (СНА)
• Оценка сокращения направлений атак
• Сокращение направлений атак: вопросы и ответы