Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Den här artikeln innehåller information om Microsoft Defender för Endpoint regler för minskning av attackytan (ASR-regler):
- ASR-regler som stöds operativsystemversioner
- ASR-regler som stöds av konfigurationshanteringssystem
- Information om aviseringar och meddelanden per ASR-regel
- ASR-regel till GUID-matris
- ASR-regellägen
- Beskrivningar per regel
Viktigt
Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Tips
Som ett komplement till den här artikeln kan du läsa vår Microsoft Defender för Endpoint installationsguide för att granska metodtips och lära dig mer om viktiga verktyg som minskning av attackytan och nästa generations skydd. Om du vill ha en anpassad upplevelse baserat på din miljö kan du komma åt den automatiserade konfigurationsguiden för Defender för Endpoint i Administrationscenter för Microsoft 365.
Förhandskrav
Operativsystem som stöds
- Windows
Regler för minskning av attackytan efter typ
Regler för minskning av attackytan kategoriseras som en av två typer:
Standardskyddsregler: Är den minsta uppsättningen regler som Microsoft rekommenderar att du alltid aktiverar, medan du utvärderar effekt- och konfigurationsbehoven för de andra ASR-reglerna. Dessa regler har vanligtvis minimal-till-ingen märkbar effekt på slutanvändaren.
Andra regler: Regler som kräver något mått på att följa de dokumenterade distributionsstegen [Plan > Test (granskning) > Aktivera (block-/varningslägen)], enligt beskrivningen i distributionsguiden för regler för minskning av attackytan.
Den enklaste metoden för att aktivera standardskyddsregler finns i Alternativet Förenklat standardskydd.
| ASR-regelnamn | Standard Skydd Regel? |
Övrigt Regel? |
|---|---|---|
| Blockera missbruk av utnyttjade sårbara signerade drivrutiner | Ja | |
| Blockera Adobe Reader från att skapa underordnade processerFormat | Ja | |
| Blockera alla Office-program från att skapa underordnade processer | Ja | |
| Blockera stöld av autentiseringsuppgifter från windows lokala säkerhetsmyndighets undersystem (lsass.exe)² | Ja | |
| Blockera körbart innehåll från e-postklienten och webbmeddelandet | Ja | |
| Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista ² | Ja | |
| Blockera körning av potentiellt dolda skript | Ja | |
| Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll | Ja | |
| Blockera Office-program från att skapa körbart innehåll IR | Ja | |
| Blockera Office-program från att mata in kod i andra processer ² | Ja | |
| Blockera Office-kommunikationsprogram från att skapa underordnade processer IR | Ja | |
| Blockera beständighet via WMI-händelseprenumeration | Ja | |
| Blockera processskapanden som kommer från PSExec- och WMI-kommandona Aggregat | Ja | |
| Blockera omstart av datorn i felsäkert läge | Ja | |
| Blockera obetrodda och osignerade processer som körs från USB | Ja | |
| Blockera användning av kopierade eller personifierade systemverktyg | Ja | |
| Blockera skapande av WebShell för servrar | Ja | |
| Blockera Win32 API-anrop från Office-makron⁴ | Ja | |
| Använda avancerat skydd mot utpressningstrojaner | Ja |
² Den här ASR-regeln respekterar inte Microsoft Defender antivirusundantag. Information om hur du konfigurerar ASR-undantag per regel finns i Konfigurera undantag för minskning av attackytan per regel.
² Den här ASR-regeln respekterar inte Microsoft Defender för Endpoint indikatorer för kompromettering (IOC) för filer eller certifikat.
² För närvarande kanske den här ASR-regeln inte är tillgänglig i principkonfigurationen för Intune minskning av attackytan på grund av ett känt serverdelsproblem. Men regeln finns fortfarande och är tillgänglig via andra metoder. Till exempel Microsoft Defender för Endpoint hantering av säkerhetsinställningar, Konfigurationstjänstprovider (CSP), Add-MpPreference eller befintlig Intune ASR-principkonfiguration i regler som skapats före problemet.
⁴ Den här ASR-regeln respekterar inte Microsoft Defender för Endpoint Indicators of Compromise (IOC) för certifikat.
OPERATIVSYSTEM som stöds av ASR-regler
I följande tabell visas de operativsystem som stöds för regler som för närvarande släpps till allmän tillgänglighet. Reglerna visas i alfabetisk ordning i den här tabellen.
Obs!
Om inget annat anges är den minsta Windows 10 version version 1709 (RS3, version 16299) eller senare. Den minsta Windows Server versionen är version 1809 eller senare. Regler för minskning av attackytan i Windows Server 2012 R2 och Windows Server 2016 är tillgängliga för enheter som registrerats med hjälp av det moderna enhetliga lösningspaketet. Mer information finns i Nya Windows Server 2012 R2- och 2016-funktioner i den moderna enhetliga lösningen.
*Den här ASR-regeln kanske för närvarande inte är tillgänglig i principkonfigurationen för Intune minskning av attackytan på grund av ett känt serverdelsproblem. Men regeln finns fortfarande och är tillgänglig via andra metoder. Till exempel Microsoft Defender för Endpoint hantering av säkerhetsinställningar, Konfigurationstjänstprovider (CSP), Add-MpPreference eller befintlig Intune ASR-principkonfiguration i regler som skapats före problemet).
Obs!
- Mer information om Windows Server 2012 R2 och Windows Server 2016 finns i Publicera Windows Server 2016 och Windows Server 2012 R2.
- Om du använder Configuration Manager är den lägsta versionen av Microsoft Endpoint Configuration Manager version 2111.
ASR-regler som stöds av konfigurationshanteringssystem
Länkar till information om konfigurationshanteringssystemversioner som refereras i den här tabellen visas under den här tabellen.
(1) Du kan konfigurera regler för minskning av attackytan per regel med hjälp av en regels GUID.
*Den här ASR-regeln kanske för närvarande inte är tillgänglig i principkonfigurationen för Intune minskning av attackytan på grund av ett känt serverdelsproblem. Men regeln finns fortfarande och är tillgänglig via andra metoder. Till exempel Microsoft Defender för Endpoint hantering av säkerhetsinställningar, Konfigurationstjänstprovider (CSP), Add-MpPreference eller befintlig Intune ASR-principkonfiguration i regler som skapats före problemet).
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM är nu Microsoft Configuration Manager.
Information om aviseringar och meddelanden per ASR-regel
Popup-meddelanden genereras för alla regler i blockeringsläge. Regler i andra lägen genererar inte popup-meddelanden.
För regler med "Regeltillstånd" angivet:
- ASR-regler med
\ASR Rule, Rule State\kombinationer används för att visa aviseringar (popup-meddelanden) på Microsoft Defender för Endpoint endast för enheter som angetts på molnblockeringsnivåHigh. - Enheter som inte har angetts på molnblockeringsnivå
Highgenererar inte aviseringar för någraASR Rule, Rule Statekombinationer. - Aviseringar om slutpunktsidentifiering och svar (EDR) genereras för ASR-regler i de angivna tillstånden för enheter som angetts på molnblockeringsnivå
High+. - Popup-meddelanden sker endast i blockeringsläge och för enheter som anges på molnblockeringsnivå
High.
*Den här ASR-regeln kanske för närvarande inte är tillgänglig i principkonfigurationen för Intune minskning av attackytan på grund av ett känt serverdelsproblem. Men regeln finns fortfarande och är tillgänglig via andra metoder. Till exempel Microsoft Defender för Endpoint hantering av säkerhetsinställningar, Konfigurationstjänstprovider (CSP), Add-MpPreference eller befintlig Intune ASR-principkonfiguration i regler som skapats före problemet).
ASR-regel till GUID-matris
| Regelnamn | Regel-GUID |
|---|---|
| Blockera missbruk av utnyttjade sårbara signerade drivrutiner | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Blockera Adobe Reader från att skapa underordnade processer | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blockera alla Office-program från att skapa underordnade processer | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blockera körbart innehåll från e-postklienten och webbmeddelandet | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Blockera körning av potentiellt dolda skript | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll | d3e037e1-3eb8-44c8-a917-57927947596d |
| Blockera Office-program från att skapa körbart innehåll | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Blockera Office-program från att mata in kod i andra processer | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Blockera Office-kommunikationsprogram från att skapa underordnade processer | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Blockera beständighet via WMI-händelseprenumeration * Fil- och mappundantag stöds inte. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blockera processskapanden från PSExec- och WMI-kommandon | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Blockera omstart av datorn i felsäkert läge | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Blockera obetrodda och osignerade processer som körs från USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Blockera användning av kopierade eller personifierade systemverktyg | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Blockera skapande av WebShell för servrar | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Blockera Win32 API-anrop från Office-makron | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Använda avancerat skydd mot utpressningstrojaner | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*Den här ASR-regeln kanske för närvarande inte är tillgänglig i principkonfigurationen för Intune minskning av attackytan på grund av ett känt serverdelsproblem. Men regeln finns fortfarande och är tillgänglig via andra metoder. Till exempel Microsoft Defender för Endpoint hantering av säkerhetsinställningar, Konfigurationstjänstprovider (CSP), Add-MpPreference eller befintlig Intune ASR-principkonfiguration i regler som skapats före problemet).
ASR-regellägen
| Regelläge | Kod | Beskrivning |
|---|---|---|
| Inte konfigurerad eller inaktiverad | 0 | ASR-regeln är inte aktiverad eller inaktiverad. |
| Blockera | 1 | ASR-regeln är aktiverad i blockeringsläge. |
| Granskning | 2 | ASR-regeln utvärderas för effekten på miljön om den är aktiverad i läget Blockera eller Varna. |
| Varna | 6 | ASR-regeln är aktiverad och visar ett meddelande till användaren, men användaren kan kringgå blocket. |
Warn är en typ av blockering som varnar användare om potentiellt riskfyllda åtgärder via ett varnings popup-fönster. Användare kan välja OK för att framtvinga blocket eller välja Avblockera för att kringgå blocket under de kommande 24 timmarna. Efter 24 timmar måste användaren tillåta blocket igen.
Varningsläge för ASR-regler stöds endast i Windows 10 version 1809 eller senare. Äldre versioner av Windows 10 med en tilldelad varningslägeregel är effektivt i blockeringsläge.
I PowerShell kan du skapa en ASR-regel i varningsläge genom att ange parametern AttackSurfaceReductionRules_Actions med värdet Warn. Till exempel:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Beskrivningar per regel
Blockera missbruk av utnyttjade sårbara signerade drivrutiner
Obs!
För att skydda din miljö från sårbara drivrutiner bör du först implementera följande metoder:
- För Windows 10 eller senare, Windows Server 2016 eller senare med Microsoft App Control för företag, bör du blockera alla drivrutiner som standard och endast tillåta drivrutiner som du anser vara nödvändiga och som inte är kända för att vara sårbara.
- För Windows 8.1 eller äldre, Windows Server 2012 R2 eller äldre, med hjälp av Microsoft AppLocker bör du blockera alla drivrutiner som standard och endast tillåta drivrutiner som du anser vara nödvändiga och som inte är kända för att vara sårbara.
- För Windows 11 eller senare och Windows Server core 1809 eller senare, eller Windows Server 2019 eller senare, bör du även aktivera microsoft Windows sårbara drivrutinsblockeringslista. Som ett annat skyddslager bör du sedan aktivera den här regeln för minskning av attackytan.
Den här regeln förhindrar att ett program skriver en sårbar signerad drivrutin till disken. Lokala program med tillräcklig behörighet kan utnyttja sårbara signerade drivrutiner för att få åtkomst till kerneln. Sårbara signerade drivrutiner gör det möjligt för angripare att inaktivera eller kringgå säkerhetslösningar, vilket så småningom leder till systemkompromisser.
Regeln Blockera missbruk av utnyttjade sårbara signerade drivrutiner blockerar inte att en drivrutin som redan finns i systemet läses in.
Obs!
Du kan konfigurera den här regeln med hjälp av Intune OMA-URI. Mer information om hur du konfigurerar anpassade regler finns i Intune OMA-URI. Du kan också konfigurera den här regeln med hjälp av PowerShell. Om du vill att en drivrutin ska undersökas använder du den här webbplatsen för att skicka en drivrutin för analys.
Intune namn:Block abuse of exploited vulnerable signed drivers
Configuration Manager namn: Inte tillgängligt än
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Avancerad jaktåtgärdstyp:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Blockera Adobe Reader från att skapa underordnade processer
Den här regeln förhindrar attacker genom att blockera Adobe Reader från att skapa processer.
Skadlig kod kan ladda ned och starta nyttolaster och bryta sig ut ur Adobe Reader via social teknik eller kryphål. Genom att blockera Adobe Reader från att generera underordnade processer förhindras skadlig kod som försöker använda Adobe Reader som en attackvektor från att spridas.
Intune namn:Process creation from Adobe Reader (beta)
Configuration Manager namn: Inte tillgängligt än
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Avancerad jaktåtgärdstyp:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera alla Office-program från att skapa underordnade processer
Den här regeln blockerar Office-appar från att skapa underordnade processer. Office-appar omfattar Word, Excel, PowerPoint, OneNote och Access.
Att skapa skadliga underordnade processer är en vanlig strategi för skadlig kod. Skadlig kod som missbrukar Office som vektor kör ofta VBA-makron och utnyttjar kod för att ladda ned och försöka köra fler nyttolaster. Vissa legitima verksamhetsspecifika program kan dock också generera underordnade processer för godartade ändamål. Du kan till exempel skapa en kommandotolk eller använda PowerShell för att konfigurera registerinställningar.
Intune namn:Office apps launching child processes
Configuration Manager namn:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Avancerad jaktåtgärdstyp:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows
Obs!
Om du har aktiverat LSA-skydd krävs inte den här regeln för minskning av attackytan. För en säkrare hållning rekommenderar vi även att du aktiverar Credential Guard med LSA-skyddet.
Om LSA-skyddet är aktiverat klassificeras ASR-regeln som inte tillämplig i inställningarna för Hantering av Defender för Endpoint i Microsoft Defender-portalen.
Den här regeln hjälper till att förhindra stöld av autentiseringsuppgifter genom att låsa undersystemtjänsten lokal säkerhetsmyndighet (LSASS).
LSASS autentiserar användare som loggar in på en Windows-dator. Credential Guard i Windows förhindrar normalt försök att extrahera autentiseringsuppgifter från LSASS. Vissa organisationer kan inte aktivera Credential Guard på alla sina datorer på grund av kompatibilitetsproblem med anpassade smartkortsdrivrutiner eller andra program som läses in i LSA (Local Security Authority). I dessa fall kan angripare använda verktyg som Mimikatz för att skrapa lösenord i klartext och NTLM-hashar från LSASS.
Som standard är tillståndet för den här regeln inställt på inte konfigurerat (inaktiverat ). I de flesta fall gör många processer anrop till LSASS för åtkomsträttigheter som inte behövs. När det första blocket från ASR-regeln till exempel resulterar i ett efterföljande anrop för en mindre behörighet som lyckas. Information om vilka typer av rättigheter som vanligtvis begärs i processanrop till LSASS finns i Processsäkerhet och åtkomsträttigheter.
Att aktivera den här regeln ger inte extra skydd om du har LSA-skydd aktiverat eftersom ASR-regeln och LSA-skyddet fungerar på samma sätt. Men om du inte kan aktivera LSA-skydd kan du konfigurera den här regeln för att ge motsvarande skydd mot skadlig kod som är riktad lsass.exemot .
Tips
- ASR-granskningshändelser genererar inte popup-meddelanden. LSASS ASR-regeln skapar stora mängder granskningshändelser, som nästan alla är säkra att ignorera när regeln är aktiverad i blockeringsläge. Du kan välja att hoppa över utvärderingen av granskningsläget och fortsätta med blockeringslägesdistributionen. Vi rekommenderar att du börjar med en liten uppsättning enheter och gradvis expanderar för att täcka resten.
- Regeln är utformad för att förhindra blockrapporter/popup-popup-flöden för egna processer. Den är också utformad för att släppa rapporter för duplicerade block. Därför är regeln väl lämpad för att aktiveras i blockeringsläge, oavsett om popup-meddelanden är aktiverade eller inaktiverade.
- ASR i varningsläge är utformat för att ge användarna ett popup-meddelande som innehåller knappen "Avblockera". På grund av LSASS ASR-blockens "säkra att ignorera" och deras stora volym är WARN-läget inte tillrådligt för den här regeln (oavsett om popup-meddelanden är aktiverade eller inaktiverade).
- Den här regeln är utformad för att blockera processerna från att komma åt LSASS.EXE bearbeta minne. Det blockerar dem inte från att köras. Om du ser processer som svchost.exe blockeras blockeras det bara från att komma åt LSASS-processminnet. Därför kan svchost.exe och andra processer ignoreras på ett säkert sätt. Det enda undantaget finns i följande kända problem.
Obs!
I det här scenariot klassificeras ASR-regeln som "inte tillämplig" i Defender för Endpoint-inställningar i Microsoft Defender-portalen.
Asr-regeln Blockera stöld av autentiseringsuppgifter från undersystemet ASR i Windows lokala säkerhetsmyndighet stöder inte varningsläge.
I vissa appar räknar koden upp alla processer som körs och försöker öppna dem med fullständig behörighet. Den här regeln nekar appens processöppningsåtgärd och loggar informationen till säkerhetshändelseloggen. Den här regeln kan generera många brus. Om du har en app som helt enkelt räknar upp LSASS, men inte har någon verklig effekt på funktionaliteten, behöver du inte lägga till den i undantagslistan. Den här händelseloggposten indikerar inte nödvändigtvis ett skadligt hot.
Intune namn:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager namn:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Avancerad jaktåtgärdstyp:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Beroenden: Microsoft Defender Antivirus
Kända problem: Dessa program och regeln "Blockera stöld av autentiseringsuppgifter från undersystemet windows local security authority" är inkompatibla:
| Programnamn | För information |
|---|---|
| Quest Dirsync Lösenordssynkronisering | Dirsync Password Sync fungerar inte när Windows Defender är installerat, fel: "VirtualAllocEx misslyckades: 5" (4253914) |
Kontakta programvaruutgivaren om du vill ha teknisk support.
Blockera körbart innehåll från e-postklienten och webbmeddelandet
Den här regeln blockerar e-post som öppnas i Microsoft Outlook-programmet, eller Outlook.com och andra populära webbtjänstleverantörer från att sprida följande filtyper:
Körbara filer (till exempel .exe, .dll eller .scr)
Skriptfiler (till exempel en PowerShell.ps1-, Visual Basic .vbs- eller JavaScript-.js fil)
Arkiv filer (till exempel .zip och andra)
Intune namn:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager namn:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Avancerad jaktåtgärdstyp:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Beroenden: Microsoft Defender Antivirus
Obs!
Regeln Blockera körbart innehåll från e-postklienten och webbmeddelandet har följande alternativa beskrivningar, beroende på vilket program du använder:
- Intune (konfigurationsprofiler): Körning av körbart innehåll (exe, dll, ps, js, vbs osv.) som tagits bort från e-post (webbmail/e-postklient) (inga undantag).
- Configuration Manager: Blockera nedladdning av körbart innehåll från e-post- och webbmailklienter.
- grupprincip: Blockera körbart innehåll från e-postklienten och webbmeddelandet.
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista
Tips
*Den här ASR-regeln kanske för närvarande inte är tillgänglig i principkonfigurationen för Intune minskning av attackytan på grund av ett känt serverdelsproblem. Men regeln finns fortfarande och är tillgänglig via andra metoder. Till exempel Microsoft Defender för Endpoint hantering av säkerhetsinställningar, Konfigurationstjänstprovider (CSP), Add-MpPreference eller befintlig Intune ASR-principkonfiguration i regler som skapats före problemet).
Den här regeln blockerar körbara filer, till exempel .exe, .dll eller .scr, från att starta. Därför kan det vara riskabelt att starta obetrodda eller okända körbara filer, eftersom det kanske inte är klart från början om filerna är skadliga.
Viktigt
Du måste aktivera molnlevererad skydd för att använda den här regeln. Den här regeln använder molnlevererad skydd för att uppdatera sin betrodda lista regelbundet. Du kan ange enskilda filer eller mappar med hjälp av mappsökvägar eller fullständigt kvalificerade resursnamn. Den stöder också inställningen ASROnlyPerRuleExclusions .
Intune namn:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager namn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Avancerad jaktåtgärdstyp:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Beroenden: Microsoft Defender Antivirus, Cloud Protection
Blockera körning av potentiellt dolda skript
Den här regeln identifierar misstänkta egenskaper i ett dolt skript.
Obs!
PowerShell-skript stöds nu för regeln "Blockera körning av potentiellt dolda skript".
Viktigt
Du måste aktivera molnlevererad skydd för att använda den här regeln.
Skriptfördunkning är en vanlig teknik som både författare av skadlig kod och legitima program använder för att dölja immateriella rättigheter eller minska inläsningstiderna för skript. Författare av skadlig kod använder också fördunklare för att göra skadlig kod svårare att läsa, vilket hämmar noggrann granskning av människor och säkerhetsprogramvara.
Intune namn:Obfuscated js/vbs/ps/macro code
Configuration Manager namn:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Avancerad jaktåtgärdstyp:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Beroenden: Microsoft Defender Antivirus, AMSI (Anti-Malware Scan Interface), Cloud Protection
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
Den här regeln förhindrar att skript startar potentiellt skadligt nedladdat innehåll. Skadlig kod som skrivits i JavaScript eller VBScript fungerar ofta som en nedladdningskomponent för att hämta och starta annan skadlig kod från Internet. Även om det inte är vanligt använder verksamhetsspecifika program ibland skript för att ladda ned och starta installationsprogram.
Intune namn:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager namn:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Avancerad jaktåtgärdstyp:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Beroenden: Microsoft Defender Antivirus, AMSI
Blockera Office-program från att skapa körbart innehåll
Den här regeln förhindrar att Office-appar, inklusive Word, Excel och PowerPoint, används som vektor för att bevara skadlig kod på disken. Skadlig kod som missbrukar Office som en vektor kan försöka spara skadliga komponenter på en disk som skulle överleva en omstart av datorn och finnas kvar i systemet. Den här regeln skyddar mot den här beständighetstekniken genom att blockera åtkomsten (öppen/kör) till koden som skrivs till disken. Den här regeln blockerar även körning av ej betrodda filer som kan ha sparats av Office-makron som tillåts köras i Office-filer.
Intune namn:Office apps/macros creating executable content
Configuration Manager namn:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Avancerad jaktåtgärdstyp:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Beroenden: Microsoft Defender Antivirus, RPC
Blockera Office-program från att mata in kod i andra processer
Den här regeln blockerar kodinmatningsförsök från Office-appar till andra processer.
Obs!
ASR-regeln Blockera program från att mata in kod i andra processer stöder inte WARN-läge.
Viktigt
Den här regeln kräver omstart Microsoft 365-applikationer (Office-program) för att konfigurationsändringarna ska börja gälla.
Angripare kan försöka använda Office-appar för att migrera skadlig kod till andra processer via kodinmatning, så att koden kan maskeras som en ren process. Det finns inga kända legitima affärssyften för att använda kodinmatning.
Den här regeln gäller för Word, Excel, OneNote och PowerPoint.
Intune namn:Office apps injecting code into other processes (no exceptions)
Configuration Manager namn:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Avancerad jaktåtgärdstyp:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Beroenden: Microsoft Defender Antivirus
Kända problem: Dessa program och regeln "Blockera Office-program från att mata in kod i andra processer" är inkompatibla:
| Programnamn | För information |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | September-2024 (Plattform: 4.18.24090.11 |Motor 1.1.24090.11). |
| Säkerhet i Heimdal | Saknas |
Kontakta programvaruutgivaren om du vill ha teknisk support.
Blockera Office-kommunikationsprogram från att skapa underordnade processer
Den här regeln förhindrar att Outlook skapar underordnade processer, samtidigt som legitima Outlook-funktioner tillåts. Den här regeln skyddar mot socialteknikattacker och förhindrar att kod missbrukar sårbarheter i Outlook. Det skyddar också mot Outlook-regler och formulärexploateringar som angripare kan använda när en användares autentiseringsuppgifter komprometteras.
Intune namn:Process creation from Office communication products (beta)
Configuration Manager namn: Inte tillgängligt
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Avancerad jaktåtgärdstyp:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera beständighet via WMI-händelseprenumeration
Den här regeln förhindrar att skadlig kod missbrukar WMI för att uppnå beständighet på en enhet.
Fillösa hot använder olika metoder för att hålla sig dolda, för att undvika att ses i filsystemet och för att få regelbunden körningskontroll. Vissa hot kan missbruka WMI-lagringsplatsen och händelsemodellen för att förbli dolda.
Obs!
Om du använder Configuration Manager (CM, som tidigare kallades MEMCM eller SCCM) med CcmExec.exe (SCCM Agent), rekommenderar vi att du kör den i granskningsläge i minst 60 dagar.
När du är beredd att växla till blockeringsläge ska du se till att du distribuerar lämpliga ASR-regler med hänsyn till eventuella nödvändiga regelundantag.
Intune namn:Persistence through WMI event subscription
Configuration Manager namn: Inte tillgängligt
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Avancerad jaktåtgärdstyp:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Beroenden: Microsoft Defender Antivirus, RPC
Blockera processskapanden från PSExec- och WMI-kommandon
Den här regeln blockerar processer som skapas via PsExec och WMI från att köras. Både PsExec och WMI kan fjärrköra kod. Det finns en risk för att skadlig kod missbrukar funktionerna i PsExec och WMI i kommando- och kontrollsyfte, eller för att sprida en infektion i en organisations nätverk.
Varning
Använd endast den här regeln om du hanterar dina enheter med Intune eller en annan MDM-lösning. Den här regeln är inte kompatibel med hantering via Microsoft Endpoint Configuration Manager eftersom den här regeln blockerar WMI-kommandon som Configuration Manager klienten använder för att fungera korrekt.
Intune namn:Process creation from PSExec and WMI commands
Configuration Manager namn: Ej tillämpligt
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Avancerad jaktåtgärdstyp:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera omstart av datorn i felsäkert läge
Den här regeln förhindrar körning av vissa kommandon för att starta om datorer i felsäkert läge. I felsäkert läge är många säkerhetsprodukter antingen inaktiverade eller fungerar i en begränsad kapacitet. Den här effekten gör att angripare kan starta manipuleringskommandon ytterligare, eller köra och kryptera alla filer på datorn. Den här regeln blockerar missbruk av felsäkert läge genom att förhindra vanliga kommandon som bcdedit och bootcfg från att starta om datorer i felsäkert läge. Felsäkert läge är fortfarande tillgängligt manuellt från Windows-återställningsmiljön.
Intune namn:Block rebooting machine in Safe Mode
Configuration Manager namn: Inte tillgängligt än
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Avancerad jaktåtgärdstyp:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Beroenden: Microsoft Defender Antivirus
Obs!
För närvarande känner hot- och sårbarhetshantering inte igen den här regeln, så rapporten för regelreduktion av attackytan visar den som "Ej tillämplig".
Blockera obetrodda och osignerade processer som körs från USB
Med den här regeln kan administratörer förhindra att osignerade eller ej betrodda körbara filer körs från USB-flyttbara enheter, inklusive SD-kort. Blockerade filtyper inkluderar körbara filer (till exempel .exe, .dll eller .scr)
Viktigt
Den här regeln blockerar filer som kopierats från USB till diskenheten om och när den är på väg att köras på diskenheten.
Intune namn:Untrusted and unsigned processes that run from USB
Configuration Manager namn:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Avancerad jaktåtgärdstyp:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Beroenden: Microsoft Defender Antivirus
Blockera användning av kopierade eller personifierade systemverktyg
Den här regeln blockerar användningen av körbara filer som identifieras som kopior av Windows-systemverktyg. Dessa filer är antingen dubbletter eller impostorer av de ursprungliga systemverktygen. Vissa skadliga program kan försöka kopiera eller personifiera Windows-systemverktyg för att undvika identifiering eller få privilegier. Att tillåta sådana körbara filer kan leda till potentiella attacker. Den här regeln förhindrar spridning och körning av sådana dubbletter och avpostorer för systemverktygen på Windows-datorer.
Intune namn:Block use of copied or impersonated system tools
Configuration Manager namn: Inte tillgängligt än
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Avancerad jaktåtgärdstyp:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Beroenden: Microsoft Defender Antivirus
Obs!
För närvarande känner hot- och sårbarhetshantering inte igen den här regeln, så rapporten för regelreduktion av attackytan visar den som "Ej tillämplig".
Blockera skapande av WebShell för servrar
Den här regeln blockerar skapande av webbgränssnittsskript på Microsoft Server, Exchange-roll. Ett webbgränssnittsskript är ett utformat skript som gör att en angripare kan kontrollera den komprometterade servern.
Ett webbgränssnitt kan innehålla funktioner som att ta emot och köra skadliga kommandon, ladda ned och köra skadliga filer, stjäla och exfiltratera autentiseringsuppgifter och känslig information samt identifiera potentiella mål.
Intune namn:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Beroenden: Microsoft Defender Antivirus
Obs!
När du hanterar ASR-regler med Microsoft Defender för Endpoint hantering av säkerhetsinställningar måste du konfigurera inställningen Blockera skapande av webshell för servrar som Not Configured i grupprincip eller andra lokala inställningar. Om den här regeln är inställd på något annat värde (till exempel Enabled eller Disabled) kan det orsaka konflikter och förhindra att principen tillämpas korrekt via hantering av säkerhetsinställningar.
För närvarande känner hot- och sårbarhetshantering inte igen den här regeln, så rapporten för regelreduktion av attackytan visar den som "Ej tillämplig".
Blockera Win32 API-anrop från Office-makron
Den här regeln förhindrar att VBA-makron anropar Win32-API:er. Office VBA aktiverar Win32 API-anrop. Skadlig kod kan missbruka den här funktionen, till exempel att anropa Win32-API:er för att starta skadligt gränssnitt utan att skriva något direkt till disken. De flesta organisationer förlitar sig inte på möjligheten att anropa Win32-API:er i sin dagliga funktion, även om de använder makron på andra sätt.
Intune namn:Win32 imports from Office macro code
Configuration Manager namn:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Avancerad jaktåtgärdstyp:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Beroenden: Microsoft Defender Antivirus, AMSI
Använda avancerat skydd mot utpressningstrojaner
Den här regeln ger ett extra skydd mot utpressningstrojaner. Den använder både klient- och moln-heuristik för att avgöra om en fil liknar utpressningstrojaner. Den här regeln blockerar inte filer som har en eller flera av följande egenskaper:
- Filen visar sig vara odelningsbar i Microsoft-molnet.
- Filen är en giltig signerad fil.
- Filen är tillräckligt utbredd för att inte betraktas som utpressningstrojan.
Regeln tenderar att fela på sidan av försiktighet för att förhindra utpressningstrojaner.
Obs!
Du måste aktivera molnlevererad skydd för att använda den här regeln.
Intune namn:Advanced ransomware protection
Configuration Manager namn:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Avancerad jaktåtgärdstyp:
AsrRansomwareAuditedAsrRansomwareBlocked
Beroenden: Microsoft Defender Antivirus, Cloud Protection