Referens för regler för minskning av attackytan (ASR)

  • Gäller för: Microsoft Defender for Endpoint Plan 2

Regler för minskning av attackytan (ASR) riktar in sig på riskfyllda programvarubeteenden på Windows-enheter som angripare ofta utnyttjar via skadlig kod (till exempel starta skript som laddar ned filer, köra fördunklade skript och mata in kod i andra processer). Mer information om ASR-regler finns i Översikt över regler för minskning av attackytan (ASR).

Den här artikeln är en teknisk referens för ASR-regler som innehåller följande information:

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Stöd för operativsystem för ASR-regler

ASR-regler är en Microsoft Defender Antivirus-funktion som är tillgänglig i alla utgåvor av Windows som innehåller Microsoft Defender Antivirus (till exempel Windows 11 Home). Du kan konfigurera ASR-regler lokalt med hjälp av PowerShell eller grupprincip.

I följande tabell beskrivs operativsystemets stöd för ASR-regler i Microsoft Defender för Endpoint, som tillhandahåller centraliserad hantering, rapportering och aviseringar via Microsoft Intune, Microsoft Configuration Manager och Microsoft Defender portalen:

Regelnamn Windows 11 eller senare Windows 10 Windows Server 2019 eller senare Windows Server 2016* Windows Server 2012 R2*
Standardskyddsregler
Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet) J 1709 eller senare J Windows Server 1803 (SAC) eller senare J
Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows J 1803 eller senare J J J
Blockera beständighet via WMI-händelseprenumeration J 1903 eller senare Windows Server 1903 (SAC) eller senare N N
Andra ASR-regler
Blockera Adobe Reader från att skapa underordnade processer J 1809 eller senare J J J
Blockera alla Office-program från att skapa underordnade processer J 1709 eller senare J J J
Blockera körbart innehåll från e-postklienten och webbmeddelandet J 1709 eller senare J J J
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista J 1803 eller senare J J J
Blockera körning av potentiellt dolda skript J 1709 eller senare J J J
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll J 1709 eller senare J N N
Blockera Office-program från att skapa körbart innehåll J 1709 eller senare J J J
Blockera Office-program från att mata in kod i andra processer J 1709 eller senare J J J
Blockera Office-kommunikationsprogram från att skapa underordnade processer J 1709 eller senare J J J
Blockera processskapanden från PSExec- och WMI-kommandon J 1803 eller senare J J J
Blockera omstart av datorn i felsäkert läge J 1709 eller senare J J J
Blockera obetrodda och osignerade processer som körs från USB J 1709 eller senare J J J
Blockera användning av kopierade eller personifierade systemverktyg J 1709 eller senare J J J
Blockera skapande av WebShell för servrar Saknas Saknas Endast Exchange-servrar Endast Exchange-servrar N
Blockera Win32 API-anrop från Office-makron J 1709 eller senare Saknas Saknas Saknas
Använda avancerat skydd mot utpressningstrojaner J 1803 eller senare J J J

*ASR-regler som stöds i Windows Server 2016 och Windows Server 2012 R2 kräver registrering med hjälp av det moderna enhetliga lösningspaketet. Mer information finns i Nya Windows Server 2012 R2- och 2016-funktioner i den moderna enhetliga lösningen.

Stöd för distributionsmetod för ASR-regler

Även om Defender för Endpoint stöder ASR-regler behöver du en separat tjänst för att distribuera reglerna till enheter. De metoder som stöds för att distribuera ASR-regler beskrivs i följande tabell.

Regelnamn Intune Configuration Manager MDM CSP Centraliserad grupprincip
Standardskyddsregler
Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet) J N J J
Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows J 1802 eller senare J J
Blockera beständighet via WMI-händelseprenumeration J N J J
Andra ASR-regler
Blockera Adobe Reader från att skapa underordnade processer J N J J
Blockera alla Office-program från att skapa underordnade processer J 1710 eller senare J J
Blockera körbart innehåll från e-postklienten och webbmeddelandet J 1710 eller senare J J
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista[1] J 1802 eller senare J J
Blockera körning av potentiellt dolda skript J 1710 eller senare J J
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll J 1710 eller senare J J
Blockera Office-program från att skapa körbart innehåll J 1710 eller senare J J
Blockera Office-program från att mata in kod i andra processer J 1710 eller senare J J
Blockera Office-kommunikationsprogram från att skapa underordnade processer J N J J
Blockera processskapanden från PSExec- och WMI-kommandon J N J J
Blockera omstart av datorn i felsäkert läge J N J J
Blockera obetrodda och osignerade processer som körs från USB J 1802 eller senare J J
Blockera användning av kopierade eller personifierade systemverktyg J N J J
Blockera skapande av WebShell för servrar J N J J
Blockera Win32 API-anrop från Office-makron J 1710 eller senare J J
Använda avancerat skydd mot utpressningstrojaner J 1802 eller senare J J

Tips

Du kan också konfigurera ASR-regler lokalt på enskilda enheter med hjälp av grupprincip eller PowerShell. Alla ASR-regler stöds av båda metoderna på lokala enheter.

1 För närvarande kanske den här ASR-regeln inte är tillgänglig i Intune ASR-principkonfigurationen på grund av ett känt serverdelsproblem. Men regeln är tillgänglig via de andra tillgängliga ASR-principkonfigurationsmetoderna eller i befintliga Intune ASR-principer som skapades före problemet.

Aviseringar och meddelanden från ASR-regelåtgärder

I följande tabell beskrivs organisationens och lokala aviseringar som aktiva ASR-regler kan generera.

  • Värdet för EDR-aviseringar anger om ASR-regeln i läget Blockera eller Varna genererar EDR-aviseringar (Endpoint Detection and Response) i Defender för Endpoint.
  • Värdet användarmeddelanden anger om ASR-regeln stöder popup-fönster för användarmeddelanden i läget Blockera eller Varna (om regeln stöder varningsläge ).
Regelnamn EDR-aviseringar Användare
Meddelanden
Standardskyddsregler
Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet) N J
Blockera stöld av autentiseringsuppgifter från undersystemet windows local security authority[²] N N
Blockera beständighet via WMI-händelseprenumeration J J
Andra ASR-regler
Blockera Adobe Reader från att skapa underordnade processer[²] J J
Blockera alla Office-program från att skapa underordnade processer N J
Blockera körbart innehåll från e-postklienten och webbmeddelandet[²] J J
Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista N J
Blockera körning av potentiellt dolda skript J J
Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll[²] J J
Blockera Office-program från att skapa körbart innehåll N J
Blockera Office-program från att mata in kod i andra processer[²] N J
Blockera Office-kommunikationsprogram från att skapa underordnade processer N J
Blockera processskapanden från PSExec- och WMI-kommandon N J
Blockera omstart av datorn i felsäkert läge N N
Blockera obetrodda och osignerade processer som körs från USB J J
Blockera användning av kopierade eller personifierade systemverktyg N J
Blockera skapande av WebShell för servrar N N
Blockera Win32 API-anrop från Office-makron J N
Använda avancerat skydd mot utpressningstrojaner J J

² Den här ASR-regeln stöder inte varningsläge .

² Den här ASR-regeln i läget Blockera eller Varna har följande extra krav på molnskyddsnivån i Microsoft Defender Antivirus:

  • EDR-aviseringar genereras endast när molnskyddsnivån på enheten är hög plus - eller nolltolerans.
  • Popup-fönster för användarmeddelanden genereras endast när molnskyddsnivån på enheten är hög, hög plus eller nolltolerans.

Information om ASR-regel

Standardskyddsregler

Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet)

Lokala appar med tillräcklig behörighet kan utnyttja sårbara signerade drivrutiner för att få åtkomst till operativsystemets kernel. Sårbara signerade drivrutiner gör det möjligt för angripare att inaktivera eller kringgå säkerhetslösningar, vilket så småningom leder till systemkompromisser.

Den här ASR-regeln förhindrar att appar sparar sårbara signerade drivrutiner på datorn. Det förhindrar inte inläsning av befintliga drivrutiner som redan finns på datorn.

  • Microsoft Intune namn:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager namn: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Avancerad jaktåtgärdstyp:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Beroenden: Ingen

Obs!

Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows

Obs!

Om du har aktiverat LSA-skydd (Local Security Authority) (rekommenderas tillsammans med Credential Guard):

  • Den här ASR-regeln krävs inte.
  • Den här ASR-regeln ger inte extra skydd (ASR-regeln och LSA-skyddet fungerar på samma sätt).
  • Den här ASR-regeln klassificeras som inte tillämplig i inställningarna för Defender för Endpoint-hantering i Microsoft Defender-portalen.

Den här ASR-regeln hjälper till att förhindra stöld av autentiseringsuppgifter genom att låsa undersystemtjänsten för lokal säkerhetsmyndighet (LSASS). LSASS autentiserar användare som loggar in på Windows-datorer. Credential Guard i Windows förhindrar vanligtvis försök att extrahera autentiseringsuppgifter från LSASS.

Många processer gör onödiga anrop till LSASS för åtkomsträttigheter som inte behövs. Den här aktiviteten genererar betydande ASR-regelbrus, men blockerar inte funktioner. Google Chrome uppdaterar till exempel I onödan åtkomst till LSASS eftersom lösenord lagras i LSASS på enheten. Om du aktiverar den här ASR-regeln på enheten blockeras Chrome-uppdateringar från att komma åt LSASS, men chrome blockeras inte från att uppdateras. Dessa ASR-regelhändelser är bra eftersom chrome-programuppdateringsprocessen inte bör komma åt LSASS.

Information om vilka typer av rättigheter som vanligtvis begärs i processanrop till LSASS finns i Processsäkerhet och åtkomsträttigheter.

Vissa organisationer kan inte aktivera Credential Guard på grund av kompatibilitetsproblem med anpassade smartkortsdrivrutiner eller andra program som läses in i LSA. I dessa fall kan angripare använda verktyg som Mimikatz för att skrapa lösenord i klartext och NTLM-hashar från LSASS.

Om du inte kan aktivera LSA-skydd och/eller Credential Guard kan du konfigurera den här regeln så att den ger motsvarande skydd mot skadlig kod som riktar sig lsass.exemot .

  • Microsoft Intune namn:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager namn:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Avancerad jaktåtgärdstyp:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Beroenden: Microsoft Defender Antivirus

Obs!

  • Den här ASR-regeln stöder inte varningsläge .
  • Den här ASR-regeln skapar en stor mängd granskningshändelser, varav nästan alla är säkra att ignorera när regeln är aktiverad i blockeringsläge . Du kan välja att hoppa över utvärderingen av granskningsläget och fortsätta med blockeringslägesdistributionen. Microsoft rekommenderar att du börjar med en liten uppsättning enheter och gradvis expanderar för att täcka resten.
  • Den här ASR-regeln undertrycker popup-fönster för aviseringar och användarmeddelanden för egna processer och duplicerade blockeringsåtgärder.
  • Den här ASR-regeln blockerar åtkomsten till LSASS-processminnet. Det blockerar inte processer från att köras. När den här ASR-regeln blockerar processer som svchost.exeinnebär det att processen blockeras från att komma åt LSASS-processminnet. Du kan ofta ignorera blockering av dessa processer med hjälp av den här ASR-regeln.
  • Vissa appar räknar upp alla processer som körs och försöker öppna dem med fullständig behörighet. Den här ASR-regeln nekar appens öppna processåtgärder och registrerar informationen i säkerhetsloggen i Windows Loggboken. Den här regeln kan generera många brus. Om du har en app som helt enkelt räknar upp LSASS, men inte har någon verklig effekt på funktionaliteten, behöver du inte lägga till den i undantagslistan. Den här händelseloggposten indikerar inte nödvändigtvis ett skadligt hot.
  • Den här ASR-regeln har problem med Quest Dirsync-lösenordssynkronisering. Mer information finns i Dirsync Password Sync fungerar inte när Windows Defender installeras. Fel: "VirtualAllocEx misslyckades: 5" (4253914).
  • Den här regeln har begränsat undantagsstöd. Mer information finns i Fil- och mappundantag för ASR-regler.

Blockera beständighet via WMI-händelseprenumeration

Den här ASR-regeln förhindrar att skadlig kod missbrukar WMI för att få beständighet på enheter.

Fillösa hot använder olika metoder för att hålla sig dolda, för att undvika att ses i filsystemet och för att få regelbunden kontroll. Vissa hot kan missbruka WMI-lagringsplatsen och händelsemodellen för att förbli dolda.

  • Microsoft Intune namn:Block persistence through WMI event subscription
  • Microsoft Configuration Manager namn: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Avancerad jaktåtgärdstyp:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Beroenden: Microsoft Defender Antivirus, RPC

Obs!

  • Den här regeln stöds inte när den distribueras via Microsoft Intune till Windows Server 2012 R2 eller Windows Server 2016 med den moderna enhetliga lösningen.
  • Om du använder Microsoft Configuration Manager rekommenderar Microsoft omfattande testning av den här ASR-regeln i granskningsläge innan du fortsätter till blockeringsläge. Configuration Manager-klienten är starkt beroende av WMI.
  • Den här regeln har begränsat undantagsstöd. Mer information finns i Fil- och mappundantag för ASR-regler.

Andra ASR-regler

Blockera Adobe Reader från att skapa underordnade processer

Den här ASR-regeln förhindrar attacker genom att blockera Adobe Reader från att skapa processer.

Skadlig kod kan ladda ned och starta nyttolaster och bryta sig ut ur Adobe Reader via social teknik eller kryphål. Genom att blockera Adobe Reader från att generera underordnade processer hindras skadlig kod som försöker använda Adobe Reader som attackvektor från att spridas.

  • Microsoft Intune namn:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager namn: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Avancerad jaktåtgärdstyp:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Beroenden: Microsoft Defender Antivirus

Obs!

  • Den här regeln har begränsat undantagsstöd. Mer information finns i Fil- och mappundantag för ASR-regler.
  • Den här ASR-regeln i läget Blockera eller Varna har extra krav på molnskyddsnivån i Microsoft Defender Antivirus:
    • EDR-aviseringar genereras endast när molnskyddsnivån på enheten är hög plus - eller nolltolerans.
    • Popup-fönster för användarmeddelanden genereras endast när molnskyddsnivån på enheten är hög, hög plus eller nolltolerans.

Blockera alla Office-program från att skapa underordnade processer

Den här regeln blockerar Office-appar från att skapa underordnade processer. Office-appar omfattar Word, Excel, PowerPoint, OneNote och Access.

Att skapa skadliga underordnade processer är en vanlig strategi för skadlig kod. Skadlig kod som missbrukar Office som vektor kör ofta VBA-makron och utnyttjar kod för att ladda ned och försöka köra fler nyttolaster. Vissa legitima verksamhetsspecifika appar kan dock också generera underordnade processer i godartade syften. Du kan till exempel skapa en kommandotolk eller använda PowerShell för att konfigurera registerinställningar.

  • Microsoft Intune namn:Block all Office applications from creating child processes
  • Microsoft Configuration Manager namn:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Avancerad jaktåtgärdstyp:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Beroenden: Microsoft Defender Antivirus

Obs!

Den här regeln tillämpas endast om Office är installerat på %ProgramFiles% platserna eller %ProgramFiles(x86)% (som standard och C:\Program FilesC:\Program Files (x86)).

Blockera körbart innehåll från e-postklienten och webbmeddelandet

Den här regeln blockerar e-post som öppnas med Outlook, Outlook.com och andra populära webbtjänstleverantörer från att sprida följande filtyper:

  • Körbara filer (till exempel .exe, .dll eller .scr).

  • Skriptfiler (till exempel .ps1, .vbs eller .js).

  • Arkiv filer (till exempel .zip).

  • Microsoft Intune namn:Block executable content from email client and webmail

  • Microsoft Configuration Manager namn:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Avancerad jaktåtgärdstyp:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Beroenden: Microsoft Defender Antivirus

Obs!

  • Den här ASR-regeln i läget Blockera eller Varna har extra krav på molnskyddsnivån i Microsoft Defender Antivirus:
    • EDR-aviseringar genereras endast när molnskyddsnivån på enheten är hög plus - eller nolltolerans.
    • Popup-fönster för användarmeddelanden genereras endast när molnskyddsnivån på enheten är hög, hög plus eller nolltolerans.
  • Den här ASR-regeln har följande alternativa beskrivningar:
    • Intune (konfigurationsprofiler):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Configuration Manager:Block executable content download from email and webmail clients
    • grupprincip:Block executable content from email client and webmail

Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista

Tips

För närvarande kanske den här ASR-regeln inte är tillgänglig i Intune ASR-principkonfigurationen på grund av ett känt serverdelsproblem. Men regeln är tillgänglig via de andra tillgängliga ASR-principkonfigurationsmetoderna eller i befintliga Intune ASR-principer som skapades före problemet.

Den här ASR-regeln blockerar körbara filer (till exempel .exe, .dll eller .scr från att starta). Det kan vara riskabelt att starta obetrodda eller okända körbara filer, eftersom det inledningsvis inte är klart om filerna är skadliga.

  • Microsoft Intune namn:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager namn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Avancerad jaktåtgärdstyp:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Beroenden: Microsoft Defender Antivirus, Cloud Protection

Obs!

Blockera körning av potentiellt dolda skript

Den här ASR-regeln identifierar misstänkta egenskaper i ett dolt skript.

Skriptfördunkning är en vanlig teknik som både författare av skadlig kod och legitima program använder för att dölja immateriella rättigheter eller minska inläsningstiderna för skript. Författare av skadlig kod använder också fördunklare för att göra skadlig kod svårare att läsa, vilket hämmar noggrann granskning av människor och säkerhetsprogramvara.

  • Microsoft Intune namn:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager namn:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Avancerad jaktåtgärdstyp:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Beroenden: Microsoft Defender Antivirus, AMSI (Antimalware Scan Interface), Cloud Protection

Obs!

Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll

Den här ASR-regeln förhindrar att skript startar potentiellt skadligt nedladdat innehåll. Skadlig kod som skrivits i JavaScript eller VBScript fungerar ofta som en nedladdare för att hämta och starta annan skadlig kod från Internet. Även om det inte är vanligt använder verksamhetsspecifika appar ibland skript för att ladda ned och starta installationsprogram.

  • Microsoft Intune namn:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager namn:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Avancerad jaktåtgärdstyp:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Beroenden: Microsoft Defender Antivirus, AMSI (Antimalware Scan Interface)

Obs!

  • Den här regeln stöds inte när den distribueras via Microsoft Intune till Windows Server 2012 R2 eller Windows Server 2016 med den moderna enhetliga lösningen.

  • Den här ASR-regeln i läget Blockera eller Varna har extra krav på molnskyddsnivån i Microsoft Defender Antivirus:

    • EDR-aviseringar genereras endast när molnskyddsnivån på enheten är hög plus - eller nolltolerans.
    • Popup-fönster för användarmeddelanden genereras endast när molnskyddsnivån på enheten är hög, hög plus eller nolltolerans.

Blockera Office-program från att skapa körbart innehåll

Den här ASR-regeln förhindrar att Office-appar (till exempel Word, Excel och PowerPoint) används som vektor för att spara skadliga komponenter på disken. Dessa skadliga komponenter kan överleva en omstart av datorn och finnas kvar i systemet. Den här regeln skyddar mot den här beständighetstekniken genom att:

  • Blockera åtkomst (öppna/köra) till koden som skrivits till disken.

  • Blockerar körning av ej betrodda filer som sparats av Office-makron som tillåts köras i Office-filer.

  • Microsoft Intune namn:Block Office applications from creating executable content

  • Microsoft Configuration Manager namn:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Avancerad jaktåtgärdstyp:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Beroenden: Microsoft Defender Antivirus, RPC

Obs!

Den här regeln har begränsat undantagsstöd. Mer information finns i Fil- och mappundantag för ASR-regler.

Den här ASR-regeln påverkas inte av installationsplatsen för Office.

Blockera Office-program från att mata in kod i andra processer

Den här ASR-regeln blockerar kodinmatningsförsök från Office-appar till andra processer. Angripare kan försöka använda Office-appar för att migrera skadlig kod till andra processer via kodinmatning, så att koden kan maskeras som en ren process. Det finns inga kända legitima affärssyften för att använda kodinmatning.

  • Microsoft Intune namn:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager namn:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Avancerad jaktåtgärdstyp:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Beroenden: Microsoft Defender Antivirus

Obs!

  • Den här ASR-regeln stöder inte varningsläge .
  • Den här ASR-regeln gäller för Word, Excel, OneNote och PowerPoint.
  • Den här ASR-regeln kräver omstart Microsoft 365-applikationer (Office-program) för att konfigurationsändringarna ska börja gälla.
  • Den här regeln har begränsat undantagsstöd. Mer information finns i Fil- och mappundantag för ASR-regler.
  • Den här ASR-regeln är inte kompatibel med följande appar:
  • Den här ASR-regeln tillämpas endast om Office är installerat på %ProgramFiles% platserna eller %ProgramFiles(x86)% (som standard C:\Program Files och C:\Program Files (x86)).

Blockera Office-kommunikationsprogram från att skapa underordnade processer

Den här ASR-regeln förhindrar att Outlook skapar underordnade processer, samtidigt som legitima Outlook-funktioner tillåts. Den här ASR-regeln skyddar mot:

  • Socialteknik attackerar och förhindrar att kod missbrukar sårbarheter i Outlook.

  • Outlook-regler och formulärexploateringar som angripare kan använda när en användares autentiseringsuppgifter komprometteras.

  • Microsoft Intune namn:Block Office communication application from creating child processes

  • Microsoft Configuration Manager namn: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Avancerad jaktåtgärdstyp:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Beroenden: Microsoft Defender Antivirus

Obs!

Den här regeln har begränsat undantagsstöd. Mer information finns i Fil- och mappundantag för ASR-regler.

Den här regeln tillämpas endast om Office är installerat på %ProgramFiles% platserna eller %ProgramFiles(x86)% (som standard och C:\Program FilesC:\Program Files (x86)).

Blockera processskapanden från PSExec- och WMI-kommandon

Viktigt

Om du använder Microsoft Configuration Manager ska du inte använda andra tillgängliga distributionsmetoder för att aktivera den här regeln på hanterade enheter. Configuration Manager-klienten är starkt beroende av WMI.

Den här ASR-regeln blockerar processer som skapats via PsExec och WMI från att köras. PsExec och WMI kan fjärrköra kod. Skadlig kod kan använda PsExec och WMI för kommando och kontroll, eller för att sprida nätverksinfektioner.

  • Microsoft Intune namn:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager namn: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Avancerad jaktåtgärdstyp:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Beroenden: Microsoft Defender Antivirus

Obs!

Den här regeln har begränsat undantagsstöd. Mer information finns i Fil- och mappundantag för ASR-regler.

Blockera omstart av datorn i felsäkert läge

Den här ASR-regeln förhindrar ofta missbrukade kommandon som bcdedit och bootcfg från att starta om Windows-datorer i felsäkert läge. I felsäkert läge är många säkerhetsprodukter inaktiverade eller körs med begränsade funktioner. Felsäkert läge gör att angripare kan starta manipuleringskommandon ytterligare, eller köra och kryptera alla filer på datorn.

Felsäkert läge är fortfarande manuellt tillgängligt från Windows-återställningsmiljön.

  • Microsoft Intune namn:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager namn: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Avancerad jaktåtgärdstyp:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Beroenden: Microsoft Defender Antivirus

Obs!

För närvarande känner Microsoft Defender – hantering av säkerhetsrisker inte igen den här regeln. Rapporten regler för minskning av attackytan (ASR) visar den här regeln som Inte tillämplig.

Blockera obetrodda och osignerade processer som körs från USB

Den här ASR-regeln förhindrar att osignerade eller ej betrodda körbara filer (till exempel .exe, .dll eller .scr) körs från USB-flyttbara enheter, inklusive SD-kort.

Den här ASR-regeln blockerar inte filerna från att kopieras från USB-enheten till disken. Det blockerar de kopierade filerna från att köras från disken.

  • Microsoft Intune namn:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager namn:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Avancerad jaktåtgärdstyp:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Beroenden: Microsoft Defender Antivirus

Blockera användning av kopierade eller personifierade systemverktyg

Den här ASR-regeln blockerar spridning och användning av körbara filer som identifieras som kopior (dubbletter eller bedragare) av Windows-systemverktyg. Vissa skadliga program kan försöka kopiera eller personifiera Windows-systemverktyg för att undvika identifiering eller få privilegier. Att tillåta sådana körbara filer kan leda till potentiella attacker.

  • Microsoft Intune namn:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager namn: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Avancerad jaktåtgärdstyp:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Beroenden: Microsoft Defender Antivirus

Obs!

För närvarande känner Microsoft Defender – hantering av säkerhetsrisker inte igen den här regeln. Rapporten regler för minskning av attackytan (ASR) visar den här regeln som Inte tillämplig.

Blockera skapande av WebShell för servrar

Den här ASR-regeln blockerar skapandet av webbgränssnittsskript på Windows-servrar som kör Microsoft Exchange. Ett webbgränssnittsskript är ett utformat skript som gör att en angripare kan kontrollera den komprometterade servern. Ett webbgränssnittsskript kan innehålla följande funktioner:

  • Ta emot och kör skadliga kommandon.

  • Ladda ned och kör skadliga filer.

  • Stjäla och exfiltera autentiseringsuppgifter och känslig information.

  • Identifiera potentiella mål.

  • Microsoft Intune namn:Block Webshell creation for Servers

  • Microsoft Configuration Manager namn: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Avancerad jaktåtgärdstyp: ej tillämpligt

  • Beroenden: Microsoft Defender Antivirus

Obs!

  • Den här regeln stöds inte när den distribueras via Microsoft Intune till Windows Server 2012 R2 eller Windows Server 2016 med den moderna enhetliga lösningen.
  • Om du hanterar ASR-regler i Microsoft Defender för Endpoint ska du inte konfigurera denna ASR i grupprincip eller andra lokala inställningar (lämna värdet som Not Configured). Andra värden (till exempel Enabled eller Disabled) kan orsaka konflikter och förhindra att regeln tillämpas korrekt.
  • För närvarande känner Microsoft Defender – hantering av säkerhetsrisker inte igen den här regeln. Rapporten regler för minskning av attackytan (ASR) visar den här regeln som Inte tillämplig.

Blockera Win32 API-anrop från Office-makron

Office Visual Basic for Applications (VBA) aktiverar Win32 API-anrop. Den här ASR-regeln förhindrar att VBA-makron anropar Win32-API:er. Skadlig kod kan missbruka den här funktionen, till exempel att anropa Win32-API:er för att starta skadligt gränssnitt utan att skriva något direkt till disken.

De flesta organisationer kräver inte Win32 API-anrop från VBA-makron, även om de använder makron på andra sätt.

  • Microsoft Intune namn:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager namn:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Avancerad jaktåtgärdstyp:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Beroenden: Microsoft Defender Antivirus, AMSI (Antimalware Scan Interface)

Använda avancerat skydd mot utpressningstrojaner

Obs!

Den här ASR-regeln ger ett extra skydd mot utpressningstrojaner. Den använder både klient- och moln-heuristik för att avgöra om en fil liknar utpressningstrojaner. Den här regeln blockerar inte filer som har en eller flera av följande egenskaper:

  • Filen visar sig vara odelningsbar i Microsoft-molnet.
  • Filen är en giltig signerad fil.
  • Filen är tillräckligt utbredd för att inte betraktas som utpressningstrojan.

Den här regeln blockerar inte bara filer med dåligt rykte. I stället felar regeln på försiktighetssidan och blockerar även filer som ännu inte har ett positivt rykte. Normalt löser sig block på oskadliga, okända filer med den här regeln. Filens rykte och förtroendevärden ökar stegvis när icke-problematisk användning ökar.

Om block på oskadliga, okända filer inte löses i tid kan du konfigurera ett undantag per ASR-regel för den här regeln eller använda åtgärden Tillåt för en indikator på kompromettering (IoC).

  • Microsoft Intune namn:Use advanced protection against ransomware
  • Microsoft Configuration Manager namn:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Avancerad jaktåtgärdstyp:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Beroenden: Microsoft Defender Antivirus, Cloud Protection

Relaterat innehåll

  • Last updated on