Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центр администрирования Microsoft 365.
Область атаки вашей организации включает все места, где злоумышленник может получить доступ. Дополнительные сведения см. в статье Сокращение направлений атак в Microsoft Defender для конечной точки.
Правила сокращения направлений атак (ASR) в Microsoft Defender Антивирусная программа нацелена на рискованное поведение программного обеспечения на устройствах Windows, которые злоумышленники обычно используют с помощью вредоносных программ. Например, вы можете:
- Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы.
- Выполнение скрытых или иным образом недоверенных скриптов.
- Создание дочерних процессов из потенциально уязвимых приложений (например, приложений Office).
- Внедрение кода в другие процессы.
Хотя допустимые приложения также могут выполнять эти действия, злоумышленники обычно используют вредоносные программы, которые ведут себя так же.
Ознакомьтесь со следующей серией статей, чтобы спланировать, протестировать, реализовать и отслеживать правила ASR:
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Правила ASR
Правила ASR группируются в следующие категории:
Standard правила защиты обеспечивают значительные преимущества безопасности, поэтому корпорация Майкрософт рекомендует включить их в режиме блокировки без необходимости расширенного тестирования. Как правило, эти правила оказывают минимальное или не заметное влияние на пользователей, но существуют исключения:
- Блокировать сохраняемость с помощью подписки на события WMI. Если вы используете Microsoft Configuration Manager для управления устройствами, не используйте другие доступные методы развертывания (например, групповая политика или PowerShell) для активации этого правила в режиме блокировки или предупреждения на устройстве без расширенного тестирования в режиме аудита. Клиент Configuration Manager в значительной степени зависит от WMI.
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows. Если вы включили защиту локального центра безопасности (LSA) (рекомендуется вместе с Credential Guard), это правило будет избыточным.
Другие правила ASR обеспечивают важную защиту, но требуют тестирования в режиме аудита , прежде чем активировать их в режиме блокировки или предупреждения , как описано в руководстве по развертыванию правил сокращения направлений атак.
Доступные правила ASR, соответствующие значения GUID и категории описаны в следующей таблице:
Ссылки в именах правил позволяют получить подробные описания правил в справочной статье о правилах ASR .
Кроме политик безопасности конечных точек в Microsoft Intune и Microsoft Configuration Manager, все остальные методы конфигурации правил ASR определяют правила по значению GUID.
Все различия между именами правил ASR между Microsoft Intune и Microsoft Configuration Manager описаны в таблице.
Совет
Microsoft Configuration Manager ранее был известен под другими именами:
- Microsoft System Center Configuration Manager: версии 1511–1906 (с ноября 2015 г. по июль 2019 г.)
- Microsoft Endpoint Configuration Manager: версии 1910–2211 (декабрь 2019 г. – декабрь 2022 г.)
- Microsoft Configuration Manager: версия 2303 (апрель 2023 г.) или более поздняя
Сведения о поддержке и обновлении см. в разделе Обновления и обслуживание для Configuration Manager.
| Имя правила в Microsoft Intune | Имя правила в Microsoft Configuration Manager | GUID | Категория |
|---|---|---|---|
| правила защиты Standard | |||
| Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство) | н/д | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Разное |
| Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows | Же | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Боковое смещение & краже учетных данных |
| Блокировка сохраняемости с помощью подписки на события WMI | н/д | e6db77e5-3df2-4cf1-b95a-636979351e5b | Боковое смещение & краже учетных данных |
| Другие правила ASR | |||
| Запретить Adobe Reader создавать дочерние процессы | н/д | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Приложения для повышения производительности |
| Запретить всем приложениям Office создавать дочерние процессы | Запретить приложению Office создавать дочерние процессы | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Приложения для повышения производительности |
| Блокировка исполняемого содержимого из почтового клиента и веб-почты | Же | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | Электронная почта |
| Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия | Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия. | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Полиморфные угрозы |
| Блокировать выполнение потенциально запутывающихся скриптов | Же | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Script |
| Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript | Же | d3e037e1-3eb8-44c8-a917-57927947596d | Script |
| Запрет приложениям Office создавать исполняемое содержимое | Же | 3b576869-a4ec-4529-8536-b80a7769e899 | Приложения для повышения производительности |
| Запрет приложений Office от внедрения кода в другие процессы | Же | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Приложения для повышения производительности |
| Запретить приложению Office для общения создавать дочерние процессы | н/д | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, приложения для повышения производительности |
| Блокировать создание процессов из команд PSExec и WMI | н/д | d1e49aac-8f56-4280-b9ba-993a6d77406c | Боковое смещение & краже учетных данных |
| Блокировка перезагрузки компьютера в безопасном режиме | н/д | 33ddedf1-c6e0-47cb-833e-de6133960387 | Разное |
| Блокировка недоверенных и неподписанных процессов, выполняемых с USB | Же | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Полиморфные угрозы |
| Блокировать использование скопированных или олицетворенных системных средств | н/д | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Разное |
| Блокировать создание WebShell для серверов | н/д | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Разное |
| Блокировка вызовов API Win32 из макросов Office | Же | 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b | Приложения для повышения производительности |
| Использование расширенной защиты от программ-шантажистов | Же | c1db55ab-c21a-4637-bb3f-a12568109d35 | Полиморфные угрозы |
Требования к правилам ASR
Правила ASR требуют Microsoft Defender Антивирусная программа в качестве основного антивирусного приложения на устройствах Windows:
Microsoft Defender антивирусная программа должна быть включена и в активном режиме. В частности, антивирусная программа Microsoft Defender не может находиться в одном из следующих режимов:
- Пассивный
- Пассивный режим с обнаружением и ответом конечной точки (EDR) в режиме блокировки
- Ограниченное периодическое сканирование (LPS)
- Выкл.
Дополнительные сведения о режимах в антивирусной Microsoft Defender см. в статье Как антивирусная программа Microsoft Defender влияет на функции Defender для конечной точки.
Защита в режиме реального времени в Microsoft Defender Антивирусная программа должна быть включена.
Облачная защита (также называется Microsoft Advanced Protection Service или MAPS) имеет решающее значение для функциональности правил ASR. Облачная защита повышает стандартную защиту в режиме реального времени и является критически важным компонентом предотвращения нарушений вредоносных программ. Некоторые правила ASR специально имеют требования к защите от доставки в облако для оповещений обнаружения и реагирования на конечные точки (EDR) в Defender для конечной точки и всплывающих окнах уведомлений пользователей. Дополнительные сведения см. в разделе Оповещения и уведомления от действий правил ASR.
По той же причине ваша среда должна разрешать подключения к облачной службе Microsoft Defender антивирусной программы.
Microsoft Defender версии компонентов антивирусной программы должны быть не более чем на две версии старше самой доступной версии:
- Версия обновления платформы: обновляется ежемесячно.
- Версия MEngine: обновляется ежемесячно.
- Аналитика безопасности. Корпорация Майкрософт постоянно обновляет аналитику безопасности (также известные как определения и сигнатуры) для устранения последних угроз и уточнения логики обнаружения.
Поддержание Microsoft Defender версий антивирусной программы помогает уменьшить количество ложных срабатываний правила ASR и улучшает Microsoft Defender возможности обнаружения антивирусной программы. Дополнительные сведения о текущих версиях и способах обновления различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.
Хотя правила ASR не требуют Microsoft 365 E5, корпорация Майкрософт рекомендует использовать возможности безопасности E5 или эквивалентных подписок, чтобы воспользоваться следующими расширенными возможностями управления:
- Мониторинг, аналитика и рабочие процессы в Defender для конечной точки.
- Возможности создания отчетов и настройки на портале Microsoft Defender XDR.
Дополнительные возможности управления недоступны для других лицензий (например, Windows Professional или Microsoft 365 E3). Однако вы можете разработать собственные средства мониторинга и создания отчетов на основе событий правила ASR, которые создаются в Windows Просмотр событий на каждом устройстве (например, переадресация событий Windows).
Дополнительные сведения о лицензировании Windows см. в статье Лицензирование Windows и справочное руководство по корпоративному лицензированию Майкрософт.
Поддерживаемые операционные системы для правил ASR
Правила ASR — это Microsoft Defender антивирусная функция, которая доступна в любом выпуске Windows, включающем антивирусную программу Microsoft Defender (например, Windows 11 Домашняя). Правила ASR можно настроить локально на устройствах с помощью PowerShell или групповая политика.
Централизованное управление, создание отчетов и оповещений для правил ASR в Microsoft Defender для конечной точки доступно в следующих выпусках и версиях Windows:
- Выпуски Pro и Enterprise Windows 10 или более поздней версии.
- Windows Server 2012 R2 или более поздней версии.
- Azure Local (прежнее название — Azure Stack HCI) версии 23H2 или более поздней.
Дополнительные сведения о поддержке операционной системы см. в разделе Поддержка правил ASR операционной системой.
Режимы для правил ASR
Правило ASR может находиться в одном из следующих режимов, как описано в следующей таблице:
| Режим правила | Код | Описание |
|---|---|---|
|
Выкл . или Disabled |
0 | Правило ASR явно отключено. Это значение может вызвать конфликты, если одному и тому же устройству назначается одно правило ASR в разных режимах разными политиками. |
|
Блокировать или Activated |
1 | Правило ASR включено в режиме блокировки . |
|
Аудит или Режим аудита |
2 | Правило ASR включено, как будто в режиме блокировки , но без выполнения действий. Обнаружения правил ASR в режиме аудита доступны в следующих расположениях:
|
| Не настроено | 5 | Правило ASR явно не включено. Это значение функционально эквивалентно отключенным или отключенным, но без возможности конфликтов правил. |
|
Предупреждение или Warning |
6 | Правило ASR включено, как будто в режиме блокировки , но пользователи могут выбрать Разблокировать во всплывающем окне предупреждения, чтобы обойти блокировку в течение 24 часов. Через 24 часа пользователь должен снова обойти блокировку. Режим предупреждения поддерживается в Windows 10 версии 1809 (ноябрь 2018 г.) или более поздней. Правила ASR в режиме предупреждения для неподдерживаемых версий Windows фактически находятся в режиме блокировки (обход недоступен). Режим предупреждения недоступен в Microsoft Configuration Manager. Режим предупреждения имеет следующие Microsoft Defender требования к версии антивирусной программы:
Следующие правила ASR не поддерживают режим предупреждения : |
Корпорация Майкрософт рекомендует режим блокировки для стандартных правил защиты и первоначальное тестирование в режиме аудита для других правил ASR перед их активацией в режиме блокировать или предупреждать .
Многие бизнес-приложения написаны с ограниченными соображениями безопасности, и они могут действовать таким образом, чтобы они выглядели похожими на вредоносные программы. Отслеживая данные из правил ASR в режиме аудита и добавляя исключения для необходимых приложений, можно развертывать правила ASR без снижения производительности.
Прежде чем включать правила ASR в режиме блокировки , оцените их влияние в режиме аудита и рекомендациях по безопасности. Дополнительные сведения см. в разделе Тестирование правил ASR.
Методы развертывания и конфигурации для правил ASR
Microsoft Defender для конечной точки поддерживает правила ASR, но не включает встроенный метод для развертывания параметров правил ASR на устройствах. Вместо этого вы используете отдельное средство развертывания или управления для создания и распространения политик правил ASR на устройствах. Не все методы развертывания поддерживают каждое правило ASR. Сведения о правилах см. в разделе Поддержка методов развертывания для правил ASR.
В следующей таблице перечислены доступные методы. Подробные инструкции по настройке см. в статье Настройка правил и исключений для сокращения направлений атак (ASR).
| Метод | Описание |
|---|---|
| политики безопасности конечных точек Microsoft Intune | Рекомендуемый метод для настройки и распространения политик правил ASR на устройствах. Требуется Microsoft Intune (план 1) (входит в подписки, такие как Microsoft 365 E3 или доступна как автономная надстройка). |
| Microsoft Intune настраиваемых профилей с OMA-URI | Альтернативный метод настройки правил ASR в Intune с помощью профилей Open Mobile Alliance — Uniform Resource (OMA-URI). |
| Любое решение MDM с помощью CSP политики | Используйте поставщик службы конфигурации политики Windows (CSP) с любым решением MDM. |
| Microsoft Configuration Manager | Использует политику антивирусной программы Microsoft Defender в рабочей области Активы и соответствие требованиям. |
| Групповая политика | Используйте централизованные групповая политика для настройки и распространения правил ASR на устройства, присоединенные к домену. Вы также можете настроить групповая политика локально на отдельных устройствах. |
| PowerShell | Настройте правила ASR локально на отдельных устройствах. PowerShell поддерживает все правила ASR. |
Исключения файлов и папок для правил ASR
Важно!
Исключение файлов или папок может значительно снизить защиту правил ASR. Исключенные файлы могут выполняться, и отчеты или события о файле не записываются. Если правила ASR обнаруживают файлы, которые не должны быть обнаружены, используйте режим аудита для тестирования правила.
Вы можете исключить определенные файлы и папки из оценки правилами ASR. Даже если правило ASR определяет, что файл или папка содержит вредоносное поведение, оно не блокирует запуск исключенных файлов.
Для исключения файлов и папок из правил ASR можно использовать следующие методы:
исключения антивирусной программы Microsoft Defender. Эти исключения учитываются не во всех правилах ASR. Дополнительные сведения об исключениях антивирусной программы Microsoft Defender см. в разделе Настройка настраиваемых исключений для антивирусной программы Microsoft Defender.
Совет
Все правила ASR учитывают исключения процессов в Microsoft Defender антивирусной программы.
Исключения глобальных правил ASR. Эти исключения применяются ко всем правилам ASR. Все методы настройки правил ASR также поддерживают настройку глобальных исключений правил ASR.
Исключения правил ASR. Выборочное назначение разных исключений разным правилам ASR. Только следующие методы конфигурации правил ASR также поддерживают настройку исключений для каждого правила ASR:
- групповая политика (и соответствующие параметры реестра)
- Политики безопасности конечных точек в Microsoft Intune.
Индикаторы компрометации (IoCs). Большинство правил ASR учитывают ioCs для заблокированных файлов и заблокированных сертификатов. Дополнительные сведения о ioCs см. в статье Общие сведения о индикаторах в Microsoft Defender для конечной точки.
Применение различных типов исключений для правил ASR приведено в следующей таблице:
| Имя правила | Учитывает файл MDAV и исключения папок |
Учитывает глобальный ASR Исключения |
Учитывает правило ASR Исключения |
Учитывает ioCs для files |
Учитывает ioCs для Сертификаты |
|---|---|---|---|---|---|
| правила защиты Standard | |||||
| Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство) | Да | Да | Да | Да | Да |
| Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows | Нет | Да | Да | Нет | Нет |
| Блокировка сохраняемости с помощью подписки на события WMI | Нет | Да | Да | Нет | Нет |
| Другие правила ASR | |||||
| Запретить Adobe Reader создавать дочерние процессы | Нет | Да | Да | Да | Да |
| Запретить всем приложениям Office создавать дочерние процессы | Да | Да | Да | Да | Да |
| Блокировка исполняемого содержимого из почтового клиента и веб-почты | Да | Да | Да | Да | Да |
| Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия | Да | Да | Да | Да | Да |
| Блокировать выполнение потенциально запутывающихся скриптов | Да | Да | Да | Да | Да |
| Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript | Да | Да | Да | Да | Да |
| Запрет приложениям Office создавать исполняемое содержимое | Нет | Да | Да | Да | Да |
| Запрет приложений Office от внедрения кода в другие процессы | Нет | Да | Да | Нет | Нет |
| Запретить приложению Office для общения создавать дочерние процессы | Нет | Да | Да | Да | Да |
| Блокировать создание процессов из команд PSExec и WMI | Нет | Да | Да | Да | Да |
| Блокировка перезагрузки компьютера в безопасном режиме | Да | Да | Да | Да | Да |
| Блокировка недоверенных и неподписанных процессов, выполняемых с USB | Да | Да | Да | Да | Да |
| Блокировать использование скопированных или олицетворенных системных средств | Да | Да | Да | Да | Да |
| Блокировать создание WebShell для серверов | Да | Да | Да | Да | Да |
| Блокировка вызовов API Win32 из макросов Office | Да | Да | Да | Да | Нет |
| Использование расширенной защиты от программ-шантажистов | Да | Да | Да | Да | Да |
При добавлении исключений учитывайте следующие моменты:
Пути исключения могут использовать переменные среды и подстановочные знаки. Дополнительные сведения см. в разделе Использование подстановочных знаков в списках исключений имен файлов и папок или расширений.
Совет
Не используйте переменные пользовательской среды в качестве подстановочных знаков в исключениях папок и процессов. В качестве подстановочных знаков используйте только следующие типы переменных среды:
- Системные переменные среды.
- Переменные среды, применяемые к процессам, выполняющимся в качестве учетной записи NT AUTHORITY\SYSTEM.
Список системных переменных среды см. в разделе Системные переменные среды.
- Подстановочные знаки не могут определять букву диска.
- Чтобы исключить несколько папок в пути, используйте несколько экземпляров
\*\для указания нескольких вложенных папок. Например,c:\Folder\*\*\Test. - Microsoft Configuration Manager поддерживает подстановочные знаки (
*или?). - Чтобы исключить файл, содержащий случайные символы (например, из автоматического создания файла), используйте
?символ . Например,C:\Folder\fileversion?.docx.
Исключения применяются только при запуске приложения или службы. Например, если добавить исключение для уже запущенной службы обновлений, служба обновлений продолжит активировать обнаружение правил ASR до перезапуска службы.
Конфликты политик в правилах ASR
Если одному и тому же устройству назначены две разные политики правил ASR, возможные конфликты могут возникнуть на основе следующих элементов:
- Назначаются ли одни и те же правила ASR в разных режимах.
- Имеется ли управление конфликтами.
- Является ли результат ошибкой.
Неконфликтные правила ASR не приводят к ошибкам. Применяется первое правило, а последующие неконфликтные правила объединяются в политику.
Если решение управления мобильными устройствами (MDM) и групповая политика применить разные параметры правила ASR к одному и тому же устройству, приоритет имеют параметры групповая политика.
Сведения о том, как обрабатываются конфликты параметров правил ASR для доступных методов развертывания в Microsoft Intune, см. в разделе Устройства, управляемые Intune.
Уведомления и оповещения для правил ASR
Когда на устройстве активируется правило ASR в режиме блокировки или предупреждения , на устройстве отображается уведомление. Вы можете настроить сведения в уведомлениях. Дополнительные сведения см. в разделе Настройка контактных данных в Безопасность Windows.
Оповещения об обнаружении и ответе конечных точек (EDR) в Defender для конечной точки создаются при активации поддерживаемых правил ASR.
Подробные сведения о функциях уведомлений и оповещений см. в разделе Оповещения и уведомления от действий правил ASR.
Сведения об активности оповещений ASR на портале Microsoft Defender и на устройствах в Windows Просмотр событий см. в статье Мониторинг действия правила сокращения направлений атак (ASR).
Мониторинг действия правила ASR
Полные сведения см. в разделе Мониторинг действия правила сокращения направлений атак (ASR).
Связанные материалы
- Руководство по развертыванию правил сокращения направлений атак (СНА)
- Планирование развертывания правил сокращения направлений атак (ASR)
- Тестирование развертывания правил сокращения направлений атак (ASR)
- Включить правила сокращения направлений атак (СНА)
- Управление развертыванием правил сокращения направлений атак (ASR) и мониторинг их
- Мониторинг действия правила сокращения направлений атак (ASR)
- Отчет о правилах сокращения направлений атак (ASR)
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender