Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся сведения о правилах сокращения направлений атак Microsoft Defender для конечной точки (правилах ASR):
- Поддерживаемые версии операционных систем с правилами ASR
- Системы управления конфигурацией, поддерживаемые правилами ASR
- Сведения об оповещении и уведомлении по правилу ASR
- Матрица правил ASR для GUID
- Режимы правил ASR
- Описания правил
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Совет
Чтобы ознакомиться с этой статьей, ознакомьтесь с руководством по настройке Microsoft Defender для конечной точки, чтобы ознакомиться с рекомендациями и узнать о таких важных средствах, как сокращение направлений атак и защита следующего поколения. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке Defender для конечной точки в Центр администрирования Microsoft 365.
Предварительные условия
Поддерживаемые операционные системы
- Windows
Правила сокращения направлений атаки по типу
Правила сокращения направлений атаки классифицируются как один из двух типов:
Standard правила защиты. Это минимальный набор правил, которые корпорация Майкрософт рекомендует всегда включать при оценке влияния и конфигурации других правил ASR. Эти правила обычно оказывают минимальное или не заметное влияние на конечного пользователя.
Другие правила: правила, требующие определенной меры выполнения описанных шагов развертывания [Планирование > тестирования (аудита) > Включить (режимы блокировки и предупреждения)], как описано в руководстве по развертыванию правил сокращения направлений атак.
Самый простой способ включения стандартных правил защиты см. в статье Упрощенный стандартный параметр защиты.
| Имя правила ASR | Стандартный protection Правило? |
Прочее Правило? |
|---|---|---|
| Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами | Да | |
| Запретить Adobe Reader создавать дочерние процессы¹ | Да | |
| Запретить всем приложениям Office создавать дочерние процессы | Да | |
| Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)¹ 2 | Да | |
| Блокировка исполняемого содержимого из почтового клиента и веб-почты | Да | |
| Блокировать выполнение исполняемых файлов, если они не соответствуют распространенности, возрасту или критерию списка доверия | Да | |
| Блокировать выполнение потенциально запутывающихся скриптов | Да | |
| Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript | Да | |
| Запрет приложений Office на создание исполняемого содержимого¹ | Да | |
| Запрет приложений Office от внедрения кода в другие процессы¹ 2 | Да | |
| Запретить приложению office для коммуникации создавать дочерние процессы¹ | Да | |
| Блокировка сохраняемости с помощью подписки на события WMI | Да | |
| Блокировать создание процессов, исходящих из команд PSExec и WMI¹ | Да | |
| Блокировка перезагрузки компьютера в безопасном режиме | Да | |
| Блокировка недоверенных и неподписанных процессов, выполняемых с USB | Да | |
| Блокировать использование скопированных или олицетворенных системных средств | Да | |
| Блокировать создание WebShell для серверов | Да | |
| Блокировать вызовы API Win32 из макросов Office⁴ | Да | |
| Использование расширенной защиты от программ-шантажистов | Да |
¹ Это правило ASR не учитывает исключения антивирусной программы Microsoft Defender. Сведения о настройке исключений ASR для каждого правила см. в статье Настройка исключений для уменьшения направлений атак для каждого правила.
2 Это правило ASR не учитывает Microsoft Defender для конечной точки индикаторов компрометации (IOC) для файлов или сертификатов.
³ В настоящее время это правило ASR может быть недоступно в конфигурации политики сокращения направлений атак Intune из-за известной серверной проблемы. Но правило по-прежнему существует и доступно с помощью других методов. Например, Microsoft Defender для конечной точки управления параметрами безопасности, поставщиком служб конфигурации (CSP), надстройкой Add-MpPreference или существующей конфигурацией политики ASR Intune в правилах, созданных до возникновения проблемы.
⁴ Это правило ASR не учитывает Microsoft Defender для конечной точки индикаторов компрометации (МОК) для сертификатов.
Операционные системы, поддерживаемые правилами ASR
В следующей таблице перечислены поддерживаемые операционные системы для правил, которые в настоящее время выпущены в общедоступную версию. Правила перечислены в алфавитном порядке в этой таблице.
Примечание.
Если не указано иное, минимальная Windows 10 сборка — 1709 (RS3, сборка 16299) или более поздняя; минимальная Windows Server сборка — 1809 или более поздняя. Правила сокращения направлений атак в Windows Server 2012 R2 и Windows Server 2016 доступны для устройств, подключенных с помощью современного унифицированного пакета решений. Дополнительные сведения см. в статье Новые функции Windows Server 2012 R2 и 2016 в современном унифицированном решении.
*В настоящее время это правило ASR может быть недоступно в конфигурации политики сокращения направлений атак Intune из-за известной серверной проблемы. Но правило по-прежнему существует и доступно с помощью других методов. Например, Microsoft Defender для конечной точки управление параметрами безопасности, поставщик служб конфигурации (CSP), Add-MpPreference или существующая конфигурация политики ASR Intune в правилах, созданных до возникновения проблемы.
Примечание.
- Сведения о Windows Server 2012 R2 и Windows Server 2016 см. в разделе Подключение Windows Server 2016 и Windows Server 2012 R2.
- Если вы используете Configuration Manager, минимальная требуемая версия Microsoft Endpoint Configuration Manager — версия 2111.
Системы управления конфигурацией, поддерживаемые правилами ASR
Ссылки на сведения о версиях системы управления конфигурацией, указанные в этой таблице, приведены под этой таблицей.
(1) Вы можете настроить правила сокращения направлений атак на основе каждого правила с помощью GUID любого правила.
*В настоящее время это правило ASR может быть недоступно в конфигурации политики сокращения направлений атак Intune из-за известной серверной проблемы. Но правило по-прежнему существует и доступно с помощью других методов. Например, Microsoft Defender для конечной точки управление параметрами безопасности, поставщик служб конфигурации (CSP), Add-MpPreference или существующая конфигурация политики ASR Intune в правилах, созданных до возникновения проблемы.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM теперь Microsoft Configuration Manager.
Сведения об оповещении и уведомлении по правилу ASR
Всплывающие уведомления создаются для всех правил в режиме блокировки. Правила в любом другом режиме не создают всплывающие уведомления.
Для правил с указанным "Состояние правила":
- Правила ASR с
\ASR Rule, Rule State\сочетаниями используются для отображения оповещений (всплывающих уведомлений) на Microsoft Defender для конечной точки только для устройств, установленных на уровнеHighоблачного блока . - Устройства, которые не заданы на уровне
Highоблачного блока, не создают оповещений для каких-либоASR Rule, Rule Stateсочетаний. - Оповещения обнаружения и реагирования конечных точек (EDR) создаются для правил ASR в указанных состояниях для устройств, установленных на уровне
High+облачного блока. - Всплывающие уведомления выполняются только в блочном режиме и для устройств, установленных на уровне
Highоблачного блока .
*В настоящее время это правило ASR может быть недоступно в конфигурации политики сокращения направлений атак Intune из-за известной серверной проблемы. Но правило по-прежнему существует и доступно с помощью других методов. Например, Microsoft Defender для конечной точки управление параметрами безопасности, поставщик служб конфигурации (CSP), Add-MpPreference или существующая конфигурация политики ASR Intune в правилах, созданных до возникновения проблемы.
Матрица правил ASR для GUID
| Имя правила | GUID правила |
|---|---|
| Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Запретить Adobe Reader создавать дочерние процессы | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Запретить всем приложениям Office создавать дочерние процессы | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Блокировка исполняемого содержимого из почтового клиента и веб-почты | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Блокировать выполнение потенциально запутывающихся скриптов | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript | d3e037e1-3eb8-44c8-a917-57927947596d |
| Запрет приложениям Office создавать исполняемое содержимое | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Запрет приложений Office от внедрения кода в другие процессы | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Запретить приложению Office для общения создавать дочерние процессы | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Блокировка сохраняемости с помощью подписки на события WMI * Исключения файлов и папок не поддерживаются. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Блокировать создание процессов из команд PSExec и WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Блокировка перезагрузки компьютера в безопасном режиме | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Блокировка недоверенных и неподписанных процессов, выполняемых с USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Блокировать использование скопированных или олицетворенных системных средств | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Блокировать создание WebShell для серверов | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Блокировка вызовов API Win32 из макросов Office | 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b |
| Использование расширенной защиты от программ-шантажистов | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*В настоящее время это правило ASR может быть недоступно в конфигурации политики сокращения направлений атак Intune из-за известной серверной проблемы. Но правило по-прежнему существует и доступно с помощью других методов. Например, Microsoft Defender для конечной точки управление параметрами безопасности, поставщик служб конфигурации (CSP), Add-MpPreference или существующая конфигурация политики ASR Intune в правилах, созданных до возникновения проблемы.
Режимы правил ASR
| Режим правила | Код | Описание |
|---|---|---|
| Не настроено или отключено | 0 | Правило ASR не включено или отключено. |
| Блокировка | 1 | Правило ASR включено в блочном режиме. |
| Аудит | 2 | Правило ASR оценивается на предмет влияния на среду, если оно включено в режиме блокировки или предупреждения. |
| Предупредить | 6 | Правило ASR включено и представляет пользователю уведомление, но пользователь может обойти этот блок. |
Warn — это тип блока, который оповещает пользователей о потенциально рискованных действиях через всплывающее окно предупреждения. Пользователи могут нажать кнопку ОК , чтобы применить блок, или выбрать Разблокировать , чтобы обойти блок в течение следующих 24 часов. Через 24 часа пользователь должен снова разрешить блокировку.
Режим предупреждения для правил ASR поддерживается только в Windows 10 версии 1809 или более поздней. Более старые версии Windows 10 с назначенным правилом режима предупреждения фактически находятся в режиме блокировки.
В PowerShell можно создать правило ASR в режиме предупреждения, указав параметр AttackSurfaceReductionRules_Actions со значением Warn. Например, вы можете:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Описания правил
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
Примечание.
Чтобы защитить среду от уязвимых драйверов, сначала следует реализовать следующие методы:
- Для Windows 10 или более поздних версий, Windows Server 2016 или более поздних версий с помощью Microsoft App Control для бизнеса, по умолчанию следует заблокировать все драйверы и разрешить только те драйверы, которые считаются необходимыми и не являются уязвимыми.
- Для Windows 8.1 или более старых версий, Windows Server 2012 R2 или более ранних версий, с помощью Microsoft AppLocker следует по умолчанию заблокировать все драйверы и разрешить только те драйверы, которые считаются необходимыми и не являются уязвимыми.
- Для Windows 11 или более поздней версии, а также Windows Server core 1809 или более поздней версии, а также Windows Server 2019 или более поздней версии, также следует включить список заблокированных драйверов Microsoft Windows. Затем в качестве еще одного уровня защиты следует включить это правило сокращения направлений атаки.
Это правило не позволяет приложению записывать на диск уязвимый подписанный драйвер. В диком режиме локальные приложения с достаточными привилегиями могут использовать уязвимые подписанные драйверы для получения доступа к ядру. Уязвимые подписанные драйверы позволяют злоумышленникам отключать или обходить решения безопасности, что в конечном итоге приводит к компрометации системы.
Правило блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами не блокирует загрузку драйвера, уже существующего в системе.
Примечание.
Это правило можно настроить с помощью Intune OMA-URI. Сведения о настройке настраиваемых правил см. в Intune OMA-URI. Это правило также можно настроить с помощью PowerShell. Чтобы проверить драйвер, используйте этот веб-сайт для отправки драйвера для анализа.
Имя Intune:Block abuse of exploited vulnerable signed drivers
имя Configuration Manager: пока недоступно
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Тип действия расширенной охоты:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Запретить Adobe Reader создавать дочерние процессы
Это правило предотвращает атаки, блокируя создание процессов в Adobe Reader.
Вредоносная программа может скачивать и запускать полезные данные и вырваться из Adobe Reader с помощью социальной инженерии или эксплойтов. Запретив Adobe Reader создавать дочерние процессы, вредоносные программы, пытающиеся использовать Adobe Reader в качестве вектора атаки, не будут распространяться.
имя Intune:Process creation from Adobe Reader (beta)
имя Configuration Manager: пока недоступно
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Тип действия расширенной охоты:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Запретить всем приложениям Office создавать дочерние процессы
Это правило запрещает приложениям Office создавать дочерние процессы. Приложения Office включают Word, Excel, PowerPoint, OneNote и Access.
Создание вредоносных дочерних процессов является распространенной стратегией вредоносных программ. Вредоносная программа, которая использует Office в качестве вектора, часто запускает макросы VBA и использует код для скачивания и попытки запуска дополнительных полезных данных. Однако некоторые допустимые бизнес-приложения также могут создавать дочерние процессы в неопасных целях. Например, создание командной строки или использование PowerShell для настройки параметров реестра.
имя Intune:Office apps launching child processes
имя Configuration Manager:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Тип действия расширенной охоты:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
Примечание.
Если включена защита LSA , это правило сокращения направлений атаки не требуется. Для более безопасного состояния мы также рекомендуем включить Credential Guard с защитой LSA.
Если включена защита LSA, правило ASR классифицируется как неприменимое в параметрах управления Defender для конечных точек на портале Microsoft Defender.
Это правило помогает предотвратить кражу учетных данных, заблокируя службу подсистемы локального центра безопасности (LSASS).
LSASS проверяет подлинность пользователей, которые выполняют вход на компьютере Windows. Credential Guard в Windows обычно предотвращает попытки извлечения учетных данных из LSASS. Некоторые организации не могут включить Credential Guard на всех своих компьютерах из-за проблем совместимости с пользовательскими драйверами смарт-карт или другими программами, которые загружаются в локальный центр безопасности (LSA). В таких случаях злоумышленники могут использовать такие средства, как Mimikatz, для очистки паролей и хэшей NTLM из LSASS.
По умолчанию состояние этого правила не настроено (отключено). В большинстве случаев многие процессы вызывают LSASS для получения прав доступа, которые не требуются. Например, если начальный блок из правила ASR приводит к последующему вызову меньшей привилегии, который успешно выполняется. Сведения о типах прав, которые обычно запрашиваются при вызовах процесса в LSASS, см. в разделе Управление правами на доступ и безопасность процесса.
Включение этого правила не обеспечивает дополнительную защиту, если включена защита LSA, так как правило ASR и защита LSA работают аналогичным образом. Однако если не удается включить защиту LSA, это правило можно настроить для обеспечения эквивалентной защиты от вредоносных программ, предназначенных для lsass.exe.
Совет
- События аудита ASR не создают всплывающие уведомления. Правило ASR LSASS создает большой объем событий аудита, почти все из которых можно игнорировать, если правило включено в блочном режиме. Вы можете пропустить оценку режима аудита и перейти к развертыванию режима блокировки. Мы рекомендуем начать с небольшого набора устройств и постепенно расширить, чтобы охватить остальные.
- Правило предназначено для подавления блокировочных отчетов и всплывающих сообщений для дружественных процессов. Он также предназначен для удаления отчетов о повторяющихся блоках. Таким образом, правило хорошо подходит для включения в режиме блокировки независимо от того, включены или отключены всплывающие уведомления.
- ASR в режиме предупреждения предназначен для представления пользователям всплывающего уведомления о блокировке, включающее кнопку "Разблокировать". Из-за "безопасного игнорирования" блоков ASR LSASS и их большого объема режим WARN не рекомендуется использовать для этого правила (независимо от того, включены или отключены всплывающие уведомления).
- Это правило предназначено для блокировки доступа процессов к памяти LSASS.EXE процессов. Это не блокирует их выполнение. Если вы видите, что такие процессы, как svchost.exe заблокированы, доступ к памяти процессов LSASS блокируется. Таким образом, svchost.exe и другие процессы можно спокойно игнорировать. Одно исключение заключается в следующих известных проблемах.
Примечание.
В этом сценарии правило ASR классифицируется как "неприменимое" в параметрах Defender для конечной точки на портале Microsoft Defender.
Правило ASR для блокировки кражи учетных данных из подсистемы локального центра безопасности Windows не поддерживает режим предупреждения.
В некоторых приложениях код перечисляет все выполняемые процессы и пытается открыть их с исчерпывающими разрешениями. Это правило запрещает открытое действие процесса приложения и записывает сведения в журнал событий безопасности. Это правило может создавать многочисленные шумы. Если у вас есть приложение, которое просто перечисляет LSASS, но не оказывает реального влияния на функциональные возможности, добавлять его в список исключений не нужно. Сама по себе эта запись журнала событий не обязательно указывает на вредоносную угрозу.
имя Intune:Flag credential stealing from the Windows local security authority subsystem
имя Configuration Manager:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Тип действия расширенной охоты:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Зависимости: антивирусная программа Microsoft Defender
Известные проблемы. Эти приложения и правило "Блокировать кражу учетных данных из подсистемы локального центра безопасности Windows" несовместимы:
| Имя приложения | Для получения сведений |
|---|---|
| Quest Dirsync Password Sync | Синхронизация паролей Dirsync не работает при установке Защитника Windows, ошибка: "Сбой VirtualAllocEx: 5" (4253914) |
Для получения технической поддержки обратитесь к издателю программного обеспечения.
Блокировка исполняемого содержимого из почтового клиента и веб-почты
Это правило запрещает рассылку электронной почты, открытой в приложении Microsoft Outlook, или Outlook.com и других популярных поставщиков веб-почты распространять следующие типы файлов:
Исполняемые файлы (например, .exe, .dll или SCR)
Файлы скриптов (например, файл PowerShell.ps1, VBS-файлы Visual Basic или JavaScript .js)
Архив файлы (например, .zip и другие);
имя Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
имя Microsoft Configuration Manager:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Тип действия расширенной охоты:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Зависимости: антивирусная программа Microsoft Defender
Примечание.
Правило Блокировать исполняемое содержимое из почтового клиента и веб-почты имеет следующие альтернативные описания в зависимости от используемого приложения:
- Intune (профили конфигурации). Выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. д.), удаленного из электронной почты (webmail/mail client) (без исключений).
- Configuration Manager: блокировать скачивание исполняемого содержимого из клиентов электронной почты и веб-почты.
- групповая политика. Блокировка исполняемого содержимого из почтового клиента и веб-почты.
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия
Совет
*В настоящее время это правило ASR может быть недоступно в конфигурации политики сокращения направлений атак Intune из-за известной серверной проблемы. Но правило по-прежнему существует и доступно с помощью других методов. Например, Microsoft Defender для конечной точки управление параметрами безопасности, поставщик служб конфигурации (CSP), Add-MpPreference или существующая конфигурация политики ASR Intune в правилах, созданных до возникновения проблемы.
Это правило блокирует запуск исполняемых файлов, таких как .exe, .dll или SCR. Таким образом, запуск ненадежных или неизвестных исполняемых файлов может быть рискованным, так как изначально может быть неясным, если файлы являются вредоносными.
Важно!
Чтобы использовать это правило, необходимо включить облачную защиту . Это правило использует облачную защиту для регулярного обновления списка доверенных. Вы можете указать отдельные файлы или папки, используя пути к папкам или полные имена ресурсов. Он также поддерживает параметр ASROnlyPerRuleExclusions .
имя Intune:Executables that don't meet a prevalence, age, or trusted list criteria
имя Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Тип действия расширенной охоты:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Зависимости: антивирусная программа Microsoft Defender, защита от облака
Блокировать выполнение потенциально запутывающихся скриптов
Это правило обнаруживает подозрительные свойства в запутанном скрипте.
Примечание.
Скрипты PowerShell теперь поддерживаются для правила "Блокировать выполнение потенциально скрытых скриптов".
Важно!
Чтобы использовать это правило, необходимо включить облачную защиту.
Запутывание скриптов — это распространенный метод, который авторы вредоносных программ и законные приложения используют для скрытия интеллектуальной собственности или уменьшения времени загрузки скриптов. Авторы вредоносных программ также используют маскировку, чтобы сделать вредоносный код более трудным для чтения, что препятствует тщательному контролю со стороны людей и программного обеспечения безопасности.
имя Intune:Obfuscated js/vbs/ps/macro code
имя Configuration Manager:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Тип действия расширенной охоты:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Зависимости: Microsoft Defender антивирусная программа, интерфейс проверки вредоносных программ (AMSI), облачная защита
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript
Это правило не позволяет скриптам запускать потенциально вредоносное скачаемое содержимое. Вредоносная программа, написанная на JavaScript или VBScript, часто выступает в качестве загрузчика для получения и запуска других вредоносных программ из Интернета. Хотя бизнес-приложения не распространены, иногда используют скрипты для скачивания и запуска установщиков.
имя Intune:js/vbs executing payload downloaded from Internet (no exceptions)
имя Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Тип действия расширенной охоты:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Зависимости: антивирусная программа Microsoft Defender, AMSI
Запрет приложениям Office создавать исполняемое содержимое
Это правило запрещает использование приложений Office, включая Word, Excel и PowerPoint, в качестве вектора для сохранения вредоносного кода на диске. Вредоносная программа, которая злоупотребляет Office в качестве вектора, может попытаться сохранить вредоносные компоненты на диске, которые выживут после перезагрузки компьютера и сохранятся в системе. Это правило защищает от этого метода сохраняемости, блокируя доступ (открытие и выполнение) к коду, записанному на диск. Это правило также блокирует выполнение ненадежных файлов, которые могли быть сохранены макросами Office, которые могут выполняться в файлах Office.
имя Intune:Office apps/macros creating executable content
имя Configuration Manager:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Тип действия расширенной охоты:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Зависимости: антивирусная программа Microsoft Defender, RPC
Запрет приложений Office от внедрения кода в другие процессы
Это правило блокирует попытки внедрения кода из приложений Office в другие процессы.
Примечание.
Правило ЗАПРЕТИТЬ приложениям внедрять код в другие процессы ASR не поддерживает режим WARN.
Важно!
Это правило требует перезапуска Приложения Microsoft 365 (приложения Office), чтобы изменения конфигурации вступили в силу.
Злоумышленники могут попытаться использовать приложения Office для переноса вредоносного кода в другие процессы путем внедрения кода, чтобы код мог маскироваться как чистый процесс. Нет известных законных бизнес-целей для использования внедрения кода.
Это правило применяется к Word, Excel, OneNote и PowerPoint.
имя Intune:Office apps injecting code into other processes (no exceptions)
имя Configuration Manager:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Тип действия расширенной охоты:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Зависимости: антивирусная программа Microsoft Defender
Известные проблемы. Эти приложения и правило "Запретить приложениям Office внедрять код в другие процессы" несовместимы:
| Имя приложения | Для получения сведений |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | Сентябрь 2024 г. (платформа: 4.18.24090.11 |Двигатель 1.1.24090.11). |
| Безопасность Хеймдала | н/д |
Для получения технической поддержки обратитесь к издателю программного обеспечения.
Запретить приложению Office для общения создавать дочерние процессы
Это правило запрещает Outlook создавать дочерние процессы, но по-прежнему разрешает допустимые функции Outlook. Это правило защищает от атак социальной инженерии и предотвращает использование кода от злоупотребления уязвимостями в Outlook. Он также защищает от правил и форм Outlook, которые злоумышленники могут использовать при компрометации учетных данных пользователя.
имя Intune:Process creation from Office communication products (beta)
имя Configuration Manager: Недоступно
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Тип действия расширенной охоты:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировка сохраняемости с помощью подписки на события WMI
Это правило не дает вредоносным программам использовать инструментарий WMI для сохранения на устройстве.
Бесфайловые угрозы реализуют различные тактики, чтобы оставаться скрытыми, избегать обнаружения в файловой системе и иметь возможность периодически выполняться. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.
Примечание.
Если вы используете Configuration Manager (CM, ранее известная как MEMCM или SCCM) с CcmExec.exe (агентом SCCM), рекомендуется использовать его в режиме аудита не менее 60 дней.
Когда вы будете готовы перейти в блочный режим, обязательно разверните соответствующие правила ASR, учитывая все необходимые исключения правил.
имя Intune:Persistence through WMI event subscription
имя Configuration Manager: Недоступно
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Тип действия расширенной охоты:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Зависимости: антивирусная программа Microsoft Defender, RPC
Блокировать создание процессов из команд PSExec и WMI
Это правило блокирует выполнение процессов, созданных с помощью PsExec и WMI . Как PsExec, так и WMI могут удаленно выполнять код. Существует риск того, что вредоносные программы злоупотребляют функциями PsExec и WMI для целей управления и управления, а также для распространения инфекции по сети организации.
Предупреждение
Используйте это правило, только если вы управляете устройствами с помощью Intune или другого решения MDM. Это правило несовместимо с управлением через конечную точку Майкрософт Configuration Manager, так как оно блокирует команды WMI, которые Configuration Manager клиент использует для правильной работы.
имя Intune:Process creation from PSExec and WMI commands
имя Configuration Manager: неприменимо
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Тип действия расширенной охоты:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировка перезагрузки компьютера в безопасном режиме
Это правило запрещает выполнение определенных команд для перезапуска компьютеров в безопасном режиме. В безопасном режиме многие продукты безопасности либо отключены, либо работают в ограниченной емкости. Этот эффект позволяет злоумышленникам запускать команды незаконного изменения или выполнять и шифровать все файлы на компьютере. Это правило блокирует злоупотребление безопасным режимом, предотвращая часто злоупотребляемые команды, например bcdedit и bootcfg перезапускать компьютеры в безопасном режиме. Безопасный режим по-прежнему доступен вручную из среды восстановления Windows.
Имя Intune:Block rebooting machine in Safe Mode
имя Configuration Manager: пока недоступно
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Тип действия расширенной охоты:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Зависимости: антивирусная программа Microsoft Defender
Примечание.
В настоящее время управление угрозами и уязвимостями не распознает это правило, поэтому в отчете о правиле сокращения направлений атаки оно отображается как "Неприменимо".
Блокировка недоверенных и неподписанных процессов, выполняемых с USB
С помощью этого правила администраторы могут запретить запуск неподписанных или недоверенных исполняемых файлов со съемных USB-дисков, включая SD-карты. К заблокированным типам файлов относятся исполняемые файлы (например, .exe, .dll или SCR).
Важно!
Это правило блокирует файлы, скопированные с USB на диск, если и когда оно будет выполнено на диске.
имя Intune:Untrusted and unsigned processes that run from USB
имя Configuration Manager:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Тип действия расширенной охоты:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировать использование скопированных или олицетворенных системных средств
Это правило блокирует использование исполняемых файлов, которые определены как копии системных средств Windows. Эти файлы являются либо дубликатами, либо импонаторами исходных системных средств. Некоторые вредоносные программы могут попытаться скопировать или олицетворить системные средства Windows, чтобы избежать обнаружения или получения привилегий. Разрешение таких исполняемых файлов может привести к потенциальным атакам. Это правило предотвращает распространение и выполнение таких дубликатов и самозваников системных средств на компьютерах Windows.
Имя Intune:Block use of copied or impersonated system tools
имя Configuration Manager: пока недоступно
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Тип действия расширенной охоты:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Зависимости: антивирусная программа Microsoft Defender
Примечание.
В настоящее время управление угрозами и уязвимостями не распознает это правило, поэтому в отчете о правиле сокращения направлений атаки оно отображается как "Неприменимо".
Блокировать создание WebShell для серверов
Это правило блокирует создание скрипта веб-оболочки в Microsoft Server с ролью Exchange. Скрипт веб-оболочки — это созданный скрипт, который позволяет злоумышленнику контролировать скомпрометированный сервер.
Веб-оболочка может включать такие функции, как получение и выполнение вредоносных команд, скачивание и выполнение вредоносных файлов, кража и извлечение учетных данных и конфиденциальной информации, а также определение потенциальных целевых объектов.
имя Intune:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Зависимости: антивирусная программа Microsoft Defender
Примечание.
При управлении правилами ASR с помощью Microsoft Defender для конечной точки управления параметрами безопасности необходимо настроить параметр Создание блочного веб-оболочки для серверов, как Not Configured в групповая политика или других локальных параметрах. Если для этого правила задано любое другое значение (например, Enabled или Disabled), это может вызвать конфликты и помешать правильному применению политики с помощью управления параметрами безопасности.
В настоящее время управление угрозами и уязвимостями не распознает это правило, поэтому в отчете о правиле сокращения направлений атаки оно отображается как "Неприменимо".
Блокировка вызовов API Win32 из макросов Office
Это правило запрещает макросам VBA вызывать API Win32. Office VBA включает вызовы API Win32. Вредоносные программы могут злоупотреблять этой возможностью, например вызывать API Win32 для запуска вредоносного кода оболочки , не записывая ничего непосредственно на диск. Большинство организаций не полагаются на возможность вызова API Win32 в повседневной работе, даже если они используют макросы другими способами.
имя Intune:Win32 imports from Office macro code
имя Configuration Manager:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Тип действия расширенной охоты:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Зависимости: антивирусная программа Microsoft Defender, AMSI
Использование расширенной защиты от программ-шантажистов
Это правило обеспечивает дополнительный уровень защиты от программ-шантажистов. Он использует клиентская и облачная эвристика, чтобы определить, похож ли файл на программу-шантажист. Это правило не блокирует файлы с одной или несколькими из следующих характеристик:
- В облаке Майкрософт файл оказался невредимым.
- Файл является допустимым подписанным файлом.
- Файл достаточно распространен, чтобы его нельзя было считать программой-шантажистом.
Правило имеет тенденцию к забвениям на стороне осторожности для предотвращения программ-шантажистов.
Примечание.
Чтобы использовать это правило, необходимо включить облачную защиту .
имя Intune:Advanced ransomware protection
имя Configuration Manager:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Тип действия расширенной охоты:
AsrRansomwareAuditedAsrRansomwareBlocked
Зависимости: антивирусная программа Microsoft Defender, защита от облака