Справочник по правилам сокращения направлений атак

Область применения:

Платформ:

  • Windows

В этой статье содержатся сведения о правилах сокращения направлений атак Microsoft Defender для конечной точки (правилах ASR):

Правила сокращения направлений атаки по типу

Правила сокращения направлений атаки классифицируются как один из двух типов:

  • Стандартные правила защиты. Это минимальный набор правил, которые корпорация Майкрософт рекомендует всегда включать при оценке влияния и потребностей в конфигурации других правил ASR. Эти правила обычно оказывают минимальное или нет заметного влияния на конечного пользователя.

  • Другие правила: правила, которые требуют определенной меры выполнения описанных шагов развертывания [Планирование > тестирования (аудита) > Включить (режимы блокировки и предупреждения)], как описано в руководстве по развертыванию правил сокращения направлений атак.

Самый простой способ включения стандартных правил защиты см. в статье Упрощенный стандартный параметр защиты.

Имя правила ASR: Стандартное правило защиты? Другое правило?
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Да
Запретить Adobe Reader создавать дочерние процессы Да
Запретить всем приложениям Office создавать дочерние процессы Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Да
Блокировать выполнение потенциально запутывающихся скриптов Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Да
Запрет приложениям Office создавать исполняемое содержимое Да
Запрет приложений Office от внедрения кода в другие процессы Да
Запретить приложению Office для общения создавать дочерние процессы Да
Блокировка сохраняемости с помощью подписки на события WMI Да
Блокировать создание процессов из команд PSExec и WMI Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да
Блокировать создание WebShell для серверов Да
Блокировка вызовов API Win32 из макросов Office Да
Использование расширенной защиты от программ-шантажистов Да

Microsoft Defender исключения антивирусной программы и правила ASR

Microsoft Defender исключения антивирусной программы применяются к некоторым возможностям Microsoft Defender для конечной точки, например к некоторым правилам сокращения направлений атак.

Следующие правила ASR НЕ учитывают исключения антивирусной программы Microsoft Defender:

Имя правил ASR:
Запретить Adobe Reader создавать дочерние процессы
Блокировать создание процессов из команд PSExec и WMI
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
Запрет приложениям Office создавать исполняемое содержимое
Запрет приложений Office от внедрения кода в другие процессы
Запретить приложению Office для общения создавать дочерние процессы

Примечание.

Сведения о настройке исключений для каждого правила см. в разделе Настройка исключений правил ASR для каждого правила раздела Тестирование правил сокращения направлений атак.

Операционные системы, поддерживаемые правилами ASR

В следующей таблице перечислены поддерживаемые операционные системы для правил, которые в настоящее время выпущены в общедоступную версию. Правила перечислены в алфавитном порядке в этой таблице.

Примечание.

Если не указано иное, минимальная Windows 10 сборка — 1709 (RS3, сборка 16299) или более поздняя; минимальная сборка Windows Server — 1809 или более поздняя.

Правила сокращения направлений атак в Windows Server 2012 R2 и Windows Server 2016 доступны для устройств, подключенных с помощью современного унифицированного пакета решений. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и предварительной версии 2016.

Имя правила Windows 11
и
Windows 10
Windows Server
2022
и
Windows Server
2019
Windows Server Windows Server
2016 [1, 2]
Windows Server
2012 R2 [1, 2]
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Да Да Да
версия 1803 (Semi-Annual Enterprise Channel) или более поздняя
Да Да
Запретить Adobe Reader создавать дочерние процессы Да
версия 1809 или более поздняя [3]
Да Да Да Да
Запретить всем приложениям Office создавать дочерние процессы Да Да Да Да Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Да
версия 1803 или более поздняя [3]
Да Да Да Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да Да Да Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Да
версия 1803 или более поздняя [3]
Да Да Да Да
Блокировать выполнение потенциально запутывающихся скриптов Да Да Да Да Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Да Да Да Нет Да
Запрет приложениям Office создавать исполняемое содержимое Да Да Да Да Да
Запрет приложений Office от внедрения кода в другие процессы Да Да Да Да Да
Запретить приложению Office для общения создавать дочерние процессы Да Да Да Да Да
Блокировка сохраняемости с помощью подписки на события инструментария управления Windows (WMI) Да
версия 1903 (сборка 18362) или более поздняя [3]
Да Да
версия 1903 (сборка 18362) или более поздняя
Нет Да
Блокировать создание процессов из команд PSExec и WMI Да
версия 1803 или более поздняя [3]
Да Да Да Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да Да Да Да Да
Блокировать создание WebShell для серверов Нет Да
Только роль Exchange
Да
Только роль Exchange
Да
Только роль Exchange
N
Блокировка вызовов API Win32 из макросов Office Да Нет Нет Нет Нет
Использование расширенной защиты от программ-шантажистов Да
версия 1803 или более поздняя [3]
Да Да Да Да

(1) Относится к современному единому решению для Windows Server 2012 и 2016. Дополнительные сведения см. в разделе Подключение серверов Windows к службе Defender для конечной точки.

(2) Для Windows Server 2016 и Windows Server 2012 R2 минимальная требуемая версия microsoft Endpoint Configuration Manager — версия 2111.

(3) Версия и номер сборки применяются только к Windows 10.

Системы управления конфигурацией, поддерживаемые правилами ASR

Ссылки на сведения о версиях системы управления конфигурацией, указанные в этой таблице, приведены под этой таблицей.

Имя правила Microsoft Intune Microsoft Endpoint Configuration Manager групповая политика[1] PowerShell[1]
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Да Да Да
Запретить Adobe Reader создавать дочерние процессы Да Да Да
Запретить всем приложениям Office создавать дочерние процессы Да Да

CB 1710
Да Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Да Да

CB 1802
Да Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да Да

CB 1710
Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Да Да

CB 1802
Да Да
Блокировать выполнение потенциально запутывающихся скриптов Да Да

CB 1710
Да Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Да Да

CB 1710
Да Да
Запрет приложениям Office создавать исполняемое содержимое Да Да

CB 1710
Да Да
Запрет приложений Office от внедрения кода в другие процессы Да Да

CB 1710
Да Да
Запретить приложению Office для общения создавать дочерние процессы Да Да

CB 1710
Да Да
Блокировка сохраняемости с помощью подписки на события WMI Да Да Да
Блокировать создание процессов из команд PSExec и WMI Да Да Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да Да

CB 1802
Да Да
Блокировать создание WebShell для серверов Да Да Да
Блокировка вызовов API Win32 из макросов Office Да Да

CB 1710
Да Да
Использование расширенной защиты от программ-шантажистов Да Да

CB 1802
Да Да

(1) Вы можете настроить правила сокращения направлений атак на основе каждого правила с помощью GUID любого правила.

Сведения об оповещении и уведомлении по правилу ASR

Всплывающие уведомления создаются для всех правил в режиме блокировки. Правила в любом другом режиме не создают всплывающие уведомления

Для правил с указанным "Состояние правила":

  • Правила ASR с <правилами ASR и состояниями> правила используются для отображения оповещений (всплывающих уведомлений) на Microsoft Defender для конечной точки только для устройств с высоким уровнем облачных блоков. Устройства без высокого уровня блока облака не будут создавать оповещения для каких-либо <сочетаний правил ASR и состояния> правила
  • Оповещения EDR создаются для правил ASR в указанных состояниях, для устройств на уровне облачных блоков High+
Имя правила: Состояние правила: Создает оповещения в EDR?
(Да | Нет)
Создает всплывающие уведомления?
(Да | Нет)
Только для устройств на уровне облачных блоков High+ Только в режиме блокировки и только для устройств с высоким уровнем облачного блока
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Нет Да
Запретить Adobe Reader создавать дочерние процессы Блокировка Да Да
Запретить всем приложениям Office создавать дочерние процессы Нет Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Нет Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Нет Да
Блокировать выполнение потенциально запутывающихся скриптов Аудит | Блок Y | Y N | Y
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Блокировка Да Да
Запрет приложениям Office создавать исполняемое содержимое Нет Да
Запрет приложений Office от внедрения кода в другие процессы Нет Да
Запретить приложению Office для общения создавать дочерние процессы Нет Да
Блокировка сохраняемости с помощью подписки на события WMI Аудит | Блок Y | Y N | Y
Блокировать создание процессов из команд PSExec и WMI Нет Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Аудит | Блок Y | Y N | Y
Блокировать создание WebShell для серверов
Блокировка вызовов API Win32 из макросов Office Нет Да
Использование расширенной защиты от программ-шантажистов Аудит | Блок Y | Y N | Y

Матрица правил ASR для GUID

Имя правила GUID правила
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами 56a863a9-875e-4185-98a7-b882c64b5ce5
Запретить Adobe Reader создавать дочерние процессы 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Запретить всем приложениям Office создавать дочерние процессы d4f940ab-401b-4efc-aadc-ad5f3c50688a
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Блокировка исполняемого содержимого из почтового клиента и веб-почты be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия 01443614-cd74-433a-b99e-2ecdc07bfc25
Блокировать выполнение потенциально запутывающихся скриптов 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript d3e037e1-3eb8-44c8-a917-57927947596d
Запрет приложениям Office создавать исполняемое содержимое 3b576869-a4ec-4529-8536-b80a7769e899
Запрет приложений Office от внедрения кода в другие процессы 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Запретить приложению Office для общения создавать дочерние процессы 26190899-1602-49e8-8b27-eb1d0a1ce869
Блокировка сохраняемости с помощью подписки на события WMI
* Исключения файлов и папок не поддерживаются.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Блокировать создание процессов из команд PSExec и WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Блокировка недоверенных и неподписанных процессов, выполняемых с USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Блокировать создание WebShell для серверов a8f5898e-1dc8-49a9-9878-85004b8a61e6
Блокировка вызовов API Win32 из макросов Office 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b
Использование расширенной защиты от программ-шантажистов c1db55ab-c21a-4637-bb3f-a12568109d35

Режимы правил ASR

  • Не настроено или отключить. Состояние, в котором правило ASR не было включено или было отключено. Код для этого состояния = 0.
  • Блокировать: состояние, в котором включено правило ASR. Код для этого состояния — 1.
  • Аудит. Состояние, в котором правило ASR оценивается на предмет влияния, которое оно окажет на организацию или среду, если оно включено (параметр блокировать или предупреждать). Код для этого состояния — 2.
  • Предупредить Состояние, в котором правило ASR включено и представляет уведомление конечному пользователю, но позволяет пользователю обойти блокировку. Код для этого состояния — 6.

Режим предупреждения — это тип блочного режима, который оповещает пользователей о потенциально рискованных действиях. Пользователи могут обойти предупреждающее сообщение о блокировке и разрешить базовое действие. Пользователи могут нажать кнопку ОК , чтобы применить блок, или выбрать параметр обхода — Разблокировать — с помощью всплывающего всплывающего уведомления пользователя, созданного во время блокировки. После разблокировки предупреждения операция разрешается до следующего появления предупреждающего сообщения. В это время пользователю потребуется повторно выполнить действие.

При нажатии кнопки разрешить блокировка будет блокироваться в течение 24 часов. Через 24 часа пользователю потребуется снова разрешить блокировку. Режим предупреждения для правил ASR поддерживается только для устройств RS5+ (1809+). Если для правил ASR на устройствах с более старыми версиями назначен обход, правило будет находиться в заблокированном режиме.

Вы также можете задать правило в режиме предупреждения с помощью PowerShell, указав AttackSurfaceReductionRules_Actions как "Предупреждение". Например:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Описания правил

Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами

Это правило не позволяет приложению записывать на диск уязвимый подписанный драйвер. В диком режиме уязвимые подписанные драйверы могут использоваться локальными приложениями, имеющими достаточные привилегии , для получения доступа к ядру. Уязвимые подписанные драйверы позволяют злоумышленникам отключать или обходить решения безопасности, что в конечном итоге приводит к компрометации системы.

Правило блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами не блокирует загрузку драйвера, уже существующего в системе.

Примечание.

Это правило можно настроить с помощью OMA-URI Intune. Сведения о настройке настраиваемых правил см. в разделе OMA-URI Intune .

Это правило также можно настроить с помощью PowerShell.

Чтобы проверить драйвер, используйте этот веб-сайт для отправки драйвера для анализа.

Имя Intune: Block abuse of exploited vulnerable signed drivers

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Тип действия расширенной охоты:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Запретить Adobe Reader создавать дочерние процессы

Это правило предотвращает атаки, блокируя создание процессов в Adobe Reader.

Вредоносная программа может скачивать и запускать полезные данные и вырваться из Adobe Reader с помощью социальной инженерии или эксплойтов. Блокируя создание дочерних процессов Adobe Reader, вредоносные программы, пытающиеся использовать Adobe Reader в качестве вектора атаки, предотвращаются.

Имя Intune: Process creation from Adobe Reader (beta)

имя Configuration Manager: пока недоступно

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Тип действия расширенной охоты:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Запретить всем приложениям Office создавать дочерние процессы

Это правило запрещает приложениям Office создавать дочерние процессы. Приложения Office включают Word, Excel, PowerPoint, OneNote и Access.

Создание вредоносных дочерних процессов является распространенной стратегией вредоносных программ. Вредоносная программа, которая использует Office в качестве вектора, часто запускает макросы VBA и использует код для скачивания и попытки запуска дополнительных полезных данных. Однако некоторые законные бизнес-приложения могут также создавать дочерние процессы для неопасных целей; например, создание командной строки или использование PowerShell для настройки параметров реестра.

Имя Intune: Office apps launching child processes

имя Configuration Manager:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Тип действия расширенной охоты:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows

Это правило помогает предотвратить кражу учетных данных, заблокируя службу подсистемы локального центра безопасности (LSASS).

LSASS проверяет подлинность пользователей, которые выполняют вход на компьютере Windows. Microsoft Defender Credential Guard в Windows обычно предотвращает попытки извлечения учетных данных из LSASS. Некоторые организации не могут включить Credential Guard на всех своих компьютерах из-за проблем совместимости с пользовательскими драйверами смарт-карт или другими программами, которые загружаются в локальный центр безопасности (LSA). В таких случаях злоумышленники могут использовать такие средства, как Mimikatz, для очистки паролей и хэшей NTLM из LSASS.

По умолчанию для этого правила задано состояние блокировать. В большинстве случаев многие процессы вызывают LSASS для получения прав доступа, которые не требуются. Например, когда начальный блок из правила ASR приводит к последующему вызову меньшей привилегии, который впоследствии будет успешно выполнен. Сведения о типах прав, которые обычно запрашиваются в вызовах процесса LSASS, см. в разделе Управление правами на доступ и безопасность процесса.

Примечание.

В некоторых приложениях код перечисляет все выполняемые процессы и пытается открыть их с исчерпывающими разрешениями. Это правило запрещает открытое действие процесса приложения и записывает сведения в журнал событий безопасности. Это правило может создавать много шума. Если у вас есть приложение, которое просто перечисляет LSASS, но не оказывает реального влияния на функциональность, нет необходимости добавлять его в список исключений. Сама по себе эта запись журнала событий не обязательно указывает на вредоносную угрозу.

Имя Intune: Flag credential stealing from the Windows local security authority subsystem

имя Configuration Manager:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Тип действия расширенной охоты:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировка исполняемого содержимого из почтового клиента и веб-почты

Это правило запрещает рассылку электронной почты, открытой в приложении Microsoft Outlook, или Outlook.com и других популярных поставщиков веб-почты распространять следующие типы файлов:

  • Исполняемые файлы (например, .exe, .dll или SCR)
  • Файлы скриптов (например, .ps1 PowerShell, VBS-файлы Visual Basic или JavaScript .js файл)

Имя Intune: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

имя Microsoft Configuration Manager:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Тип действия расширенной охоты:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Зависимости: антивирусная программа Microsoft Defender

Примечание.

Правило Блокировать исполняемое содержимое из почтового клиента и веб-почты имеет следующие альтернативные описания в зависимости от используемого приложения:

  • Intune (профили конфигурации): выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. д.), удаленного из электронной почты (webmail/mail client) (без исключений).
  • Configuration Manager: блокировать скачивание исполняемого содержимого из клиентов электронной почты и веб-почты.
  • групповая политика. Блокировка исполняемого содержимого из почтового клиента и веб-почты.

Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия

Это правило блокирует запуск исполняемых файлов, таких как .exe, .dll или SCR. Таким образом, запуск ненадежных или неизвестных исполняемых файлов может быть рискованным, так как изначально может быть неясным, если файлы являются вредоносными.

Важно!

Чтобы использовать это правило, необходимо включить облачную защиту .

Правило Блокировать выполнение исполняемых файлов, если они не соответствуют критерию распространенности, возраста или списка доверия с GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 принадлежат корпорации Майкрософт и не указаны администраторами. Это правило использует облачную защиту для регулярного обновления списка доверенных.

Вы можете указать отдельные файлы или папки (используя пути к папкам или полные имена ресурсов), но нельзя указать, к каким правилам или исключениям применяются.

Имя Intune: Executables that don't meet a prevalence, age, or trusted list criteria

имя Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Тип действия расширенной охоты:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Зависимости: антивирусная программа Microsoft Defender, защита от облака

Блокировать выполнение потенциально запутывающихся скриптов

Это правило обнаруживает подозрительные свойства в запутанном скрипте.

Важно!

Скрипты PowerShell теперь поддерживаются для правила "Блокировать выполнение потенциально скрытых скриптов".

Запутывание скриптов — это распространенный метод, который авторы вредоносных программ и законные приложения используют для скрытия интеллектуальной собственности или уменьшения времени загрузки скриптов. Авторы вредоносных программ также используют маскировку, чтобы сделать вредоносный код более трудным для чтения, что препятствует тщательному контролю со стороны людей и программного обеспечения безопасности.

Имя Intune: Obfuscated js/vbs/ps/macro code

имя Configuration Manager:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Тип действия расширенной охоты:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Зависимости: Microsoft Defender антивирусная программа, интерфейс проверки вредоносных программ (AMSI)

Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript

Это правило не позволяет скриптам запускать потенциально вредоносное скачаемое содержимое. Вредоносная программа, написанная на JavaScript или VBScript, часто выступает в качестве загрузчика для получения и запуска других вредоносных программ из Интернета.

Хотя бизнес-приложения не распространены, иногда используют скрипты для скачивания и запуска установщиков.

Имя Intune: js/vbs executing payload downloaded from Internet (no exceptions)

имя Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Тип действия расширенной охоты:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Зависимости: антивирусная программа Microsoft Defender, AMSI

Запрет приложениям Office создавать исполняемое содержимое

Это правило запрещает приложениям Office, включая Word, Excel и PowerPoint, создавать потенциально вредоносное исполняемое содержимое, блокируя запись вредоносного кода на диск.

Вредоносная программа, которая злоупотребляет Office в качестве вектора, может попытаться выйти из Office и сохранить вредоносные компоненты на диске. Эти вредоносные компоненты выживут после перезагрузки компьютера и сохранятся в системе. Таким образом, это правило защищает от общего метода сохраняемости. Это правило также блокирует выполнение ненадежных файлов, которые могли быть сохранены макросами Office, которые могут выполняться в файлах Office.

Имя Intune: Office apps/macros creating executable content

Имя SCCM: Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Тип действия расширенной охоты:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Зависимости: антивирусная программа Microsoft Defender, RPC

Запрет приложений Office от внедрения кода в другие процессы

Это правило блокирует попытки внедрения кода из приложений Office в другие процессы.

Важно!

Это правило требует перезапуска Приложения Microsoft 365 (приложения Office), чтобы изменения конфигурации вступили в силу.

Злоумышленники могут попытаться использовать приложения Office для переноса вредоносного кода в другие процессы путем внедрения кода, чтобы код мог маскироваться как чистый процесс.

Нет известных законных бизнес-целей для использования внедрения кода.

Это правило применяется к Word, Excel, OneNote и PowerPoint.

Имя Intune: Office apps injecting code into other processes (no exceptions)

имя Configuration Manager:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Тип действия расширенной охоты:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Зависимости: антивирусная программа Microsoft Defender

Запретить приложению Office для общения создавать дочерние процессы

Это правило запрещает Outlook создавать дочерние процессы, но по-прежнему разрешает допустимые функции Outlook.

Это правило защищает от атак социальной инженерии и предотвращает использование кода от злоупотребления уязвимостями в Outlook. Он также защищает от правил и форм Outlook, которые злоумышленники могут использовать при компрометации учетных данных пользователя.

Примечание.

Это правило блокирует подсказки политики защиты от потери данных и подсказки в Outlook. Это правило применяется только к Outlook и Outlook.com.

Имя Intune: Process creation from Office communication products (beta)

имя Configuration Manager: Недоступно

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Тип действия расширенной охоты:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировка сохраняемости с помощью подписки на события WMI

Это правило не дает вредоносным программам использовать инструментарий WMI для сохранения на устройстве.

Важно!

Исключения файлов и папок не применяются к этому правилу сокращения направлений атак.

Бесфайловые угрозы реализуют различные тактики, чтобы оставаться скрытыми, избегать обнаружения в файловой системе и иметь возможность периодически выполняться. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.

Имя Intune: Persistence through WMI event subscription

имя Configuration Manager: Недоступно

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Тип действия расширенной охоты:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Зависимости: антивирусная программа Microsoft Defender, RPC

Блокировать создание процессов из команд PSExec и WMI

Это правило блокирует выполнение процессов, созданных с помощью PsExec и WMI . Как PsExec, так и WMI могут удаленно выполнять код. Существует риск того, что вредоносные программы злоупотребляют функциями PsExec и WMI для целей управления и управления, а также для распространения инфекции по сети организации.

Предупреждение

Используйте это правило, только если вы управляете устройствами с помощью Intune или другого решения MDM. Это правило несовместимо с управлением через конечную точку Майкрософт Configuration Manager, так как оно блокирует команды WMI, которые Configuration Manager клиент использует для правильной работы.

Имя Intune: Process creation from PSExec and WMI commands

имя Configuration Manager: неприменимо

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Тип действия расширенной охоты:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировка недоверенных и неподписанных процессов, выполняемых с USB

С помощью этого правила администраторы могут запретить запуск неподписанных или недоверенных исполняемых файлов со съемных USB-дисков, включая SD-карты. К заблокированным типам файлов относятся исполняемые файлы (например, .exe, .dll или SCR).

Важно!

Файлы, скопированные с USB на диск, будут заблокированы этим правилом, если и когда оно будет выполнено на диске.

Имя Intune: Untrusted and unsigned processes that run from USB

имя Configuration Manager:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Тип действия расширенной охоты:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировать создание WebShell для серверов

Это правило блокирует создание скрипта веб-оболочки в Microsoft Server с ролью Exchange.

Скрипт веб-оболочки — это специально созданный скрипт, который позволяет злоумышленнику контролировать скомпрометированный сервер. Веб-оболочка может включать такие функции, как получение и выполнение вредоносных команд, скачивание и выполнение вредоносных файлов, кража и извлечение учетных данных и конфиденциальной информации, определение потенциальных целевых объектов и т. д.

Имя Intune: Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Блокировка вызовов API Win32 из макросов Office

Это правило запрещает макросам VBA вызывать API Win32.

Office VBA включает вызовы API Win32. Вредоносные программы могут злоупотреблять этой возможностью, например вызывать API Win32 для запуска вредоносного кода оболочки , не записывая ничего непосредственно на диск. Большинство организаций не полагаются на возможность вызова API Win32 в повседневной работе, даже если они используют макросы другими способами.

Имя Intune: Win32 imports from Office macro code

имя Configuration Manager:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Тип действия расширенной охоты:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Зависимости: антивирусная программа Microsoft Defender, AMSI

Использование расширенной защиты от программ-шантажистов

Это правило обеспечивает дополнительный уровень защиты от программ-шантажистов. Он использует клиентская и облачная эвристика, чтобы определить, похож ли файл на программу-шантажист. Это правило не блокирует файлы с одной или несколькими из следующих характеристик:

  • Файл уже найден невредимым в облаке Майкрософт.
  • Файл является допустимым подписанным файлом.
  • Файл достаточно распространен, чтобы его нельзя было считать программой-шантажистом.

Правило имеет тенденцию к забвениям на стороне осторожности для предотвращения программ-шантажистов.

Примечание.

Чтобы использовать это правило, необходимо включить облачную защиту .

Имя Intune: Advanced ransomware protection

имя Configuration Manager:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Тип действия расширенной охоты:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Зависимости: антивирусная программа Microsoft Defender, защита от облака

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.