Saldırı yüzeyini azaltma (ASR) kurallarını ve dışlamalarını yapılandırma

Saldırı yüzeyi azaltma (ASR) kuralları , saldırganların yaygın olarak kötü amaçlı yazılımlardan yararlanarak (örneğin, dosyaları indiren betikleri başlatma, karartılmış betikleri çalıştırma ve diğer işlemlere kod ekleme) Windows cihazlarında riskli yazılım davranışını hedefler. Bu makalede ASR kurallarının nasıl etkinleştirileceği ve yapılandırıldığı açıklanır.

En iyi sonuçları elde etmek için ASR kurallarını yönetmek için Microsoft Intune veya Microsoft Configuration Manager gibi kurumsal düzeyde yönetim çözümlerini kullanın. Intune veya Yapılandırma Yöneticisi asr kuralı ayarları, başlangıçta grup ilkesinden veya PowerShell'den çakışan ayarların üzerine yazar.

Önkoşullar

Daha fazla bilgi için bkz . ASR kuralları gereksinimleri.

Microsoft Intune'de ASR kurallarını yapılandırma

Microsoft Intune, ASR kural ilkelerini yapılandırmak ve cihazlara dağıtmak için önerilen araçtır. Microsoft Intune Plan 1 gerektirir (Microsoft 365 E3 gibi aboneliklere dahildir veya tek başına eklenti olarak kullanılabilir).

Intune'de, asr kurallarını dağıtmak için önerilen yöntem uç nokta güvenlik ilkeleridir, ancak diğer yöntemler aşağıdaki alt bölümlerde açıklandığı gibi Intune'da da kullanılabilir.

Uç nokta güvenlik ilkelerini kullanarak Intune asr kurallarını ve dışlamalarını yapılandırma

Microsoft Intune Endpoint Security Attack yüzey azaltma ilkesi kullanarak ASR kurallarını yapılandırmak için bkz. Uç nokta güvenlik ilkesi oluşturma (Intune belgelerinde yeni bir sekmede açılır). İlkeyi oluştururken şu ayarları kullanın:

Önemli

Uç Nokta için Microsoft Defender yönetimi yalnızca cihaz nesnelerini destekler. Kullanıcıları hedefleme desteklenmez. İlkeyi kullanıcı gruplarına değil Microsoft Entra cihaz gruplarına atayın.

• İlke türü: Saldırı yüzeyini azaltma
• Platform: Windows
• Profil: Saldırı Yüzeyi Azaltma Kuralları
• Yapılandırma ayarları:

  • Saldırı yüzeyini azaltma: Genellikle test etmeden Blok veya Uyarı modunda standart koruma kurallarını etkinleştirebilirsiniz. Diğer ASR kurallarını Engelleme veya Uyarı moduna geçirmeden önce Denetim modunda test etmelisiniz. Daha fazla bilgi için ASR kuralları dağıtım kılavuzuna bakın.

    Kural modunu Denetim, Engelleme veya Uyar olarak ayarladıktan sonra, yalnızca kural dışlamaları başına ASR bölümü görüntülenir ve burada yalnızca bu kural için geçerli olan dışlamaları belirtebilirsiniz.

  • Yalnızca saldırı yüzeyi azaltma dışlamaları: Tüm ASR kuralları için geçerli olan dışlamaları belirtmek için bu bölümü kullanın.

    ASR başına kural dışlamalarını veya genel ASR kuralı dışlamalarını belirtmek için aşağıdaki yöntemlerden birini kullanın:

    • Ekle'yi seçin. Görüntülenen kutuya, dışlamak istediğiniz yolu veya yolu ve dosya adını girin. Örneğin:

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • İçeri Aktar'ı seçerek hariç tutulacak dosya ve klasörlerin adlarını içeren bir CSV dosyasını içeri aktarın. CSV dosyası aşağıdaki biçimi kullanır:

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      İpucu

      Değerlerin etrafındaki çift tırnak işaretleri isteğe bağlıdır ve bunları eklerseniz yoksayılır (değerlerde kullanılmaz). Değerlerin etrafında tek tırnak işareti kullanmayın.

    Dışlamalar hakkında daha fazla bilgi için bkz. ASR kuralları için dosya ve klasör dışlamaları.

  • Denetimli klasör erişimini etkinleştirme, Denetimli klasör erişimi korumalı klasörler ve Denetimli klasör erişimine izin verilen uygulamalar: Daha fazla bilgi için bkz. Denetimli klasör erişimiyle önemli klasörleri koruma.

OMA-URIs ve CSP'ler ile özel profiller kullanarak Intune'de ASR kurallarını yapılandırma

Uç nokta güvenlik ilkeleri önerilse de, Windows İlkesi yapılandırma hizmet sağlayıcısı (CSP) kullanarak Open Mobile Alliance – Tekdüzen Kaynak (OMA-URI) profilleri içeren özel profilleri kullanarak Intune'da ASR kurallarını yapılandırabilirsiniz.

Intune'daki OMA-URIs hakkında genel bilgi için bkz. Intune aracılığıyla CSP'yi hedeflemek için OMA-URIs dağıtma ve şirket içiyle karşılaştırma.

1. konumundaki Microsoft Intune yönetim merkezinde https://intune.microsoft.comCihazlar Cihazları>>yönet Yapılandırması'nıseçin. Veya doğrudan Cihazlar |'a gitmek için Yapılandırma sayfasında kullanın https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. Cihazlar |'ın İlkeler sekmesinde Yapılandırma sayfasındaYeni ilke oluştur'u> seçin.

   

3. Açılan Profil oluştur açılır penceresinde aşağıdaki ayarları yapılandırın:

   • Platform: Windows 10 ve üzerini seçin.
   • Profil türü: Şablonlar'ı seçin.
     • Görüntülenen Şablon adı bölümünde Özel'i seçin.

   Oluştur’u seçin.

   

4. Özel şablon sihirbazı açılır. Temel Bilgiler sekmesinde aşağıdaki ayarları yapılandırın:

   • Ad: Şablon için benzersiz bir ad girin.
   • Açıklama: İsteğe bağlı bir açıklama girin.

   Temel Bilgiler sekmesinde işiniz bittiğinde İleri'yi seçin.

5. Yapılandırma ayarları sekmesinde Ekle'yi seçin.

   

   Açılan Satır ekle açılır penceresinde aşağıdaki ayarları yapılandırın:

   • Ad: Kural için benzersiz bir ad girin.

   • Açıklama: İsteğe bağlı, kısa bir açıklama girin.

   • OMA-URI: AttackSurfaceReductionRules CSP'sinden Cihaz değerini girin:./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • Veri türü: Dize'yi seçin.

     • Değer: Aşağıdaki söz dizimini kullanın:

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • ASR kuralları için GUID değerleri ASR kurallarında kullanılabilir.
       • Aşağıdaki kural modları kullanılabilir:
         • 0: Kapalı
         • 1:Blok
         • 2:Denetim
         • 5: Yapılandırılmadı
         • 6:Uyarmak

       Örneğin:

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     Satır ekle açılır öğesinde işiniz bittiğinde Kaydet'i seçin.

     İpucu

     Bu noktada, yalnızca dışlamalar için ayrı bir profil oluşturmak yerine özel profile genel ASR kuralı dışlamaları da ekleyebilirsiniz. Yönergeler için, OMA-URIs ve CSP'lerle özel profiller kullanarak Intune genel ASR kuralı dışlamalarını yapılandırma sonraki alt bölüme bakın.

   Yapılandırma ayarları sekmesine geri dönüp İleri'yi seçin.

6. Atamalar sekmesinde aşağıdaki ayarları yapılandırın:

   • Dahil edilen gruplar bölümü: Aşağıdaki seçeneklerden birini belirleyin:
     • Grup ekle: Dahil etmek için bir veya daha fazla grup seçin.
     • Tüm kullanıcıları ekleme
     • Tüm cihazları ekleme
   • Dışlanan gruplar bölümü: Hariç tutulacak grupları belirtmek için Grup ekle'yi seçin.

   Ödevler sekmesinde işiniz bittiğinde İleri'yi seçin.

   

7. Uygulanabilirlik kuralları sekmesinde İleri'yi seçin.

   Profili alması veya almaması gereken cihaz türlerini tanımlamak için işletim sistemi sürümü ve işletim sistemi sürümü özelliklerini kullanabilirsiniz.

   

8. Gözden Geçir ve oluştur sekmesinde ayarları gözden geçirin. Geri dönüp değişiklik yapmak için Önceki'ni kullanabilir veya bir sekme seçebilirsiniz.

   Profili oluşturmaya hazır olduğunuzda Gözden Geçir ve oluştur sekmesinde Oluştur'u seçin.

   

Cihazlar | uygulamasının İlkeler sekmesine hemen dönersiniz Yapılandırma sayfası. İlkeyi görmek için Yenile'yi seçmeniz gerekebilir.

ASR kuralları dakikalar içinde etkindir.

OMA-URIs ve CSP'ler ile özel profiller kullanarak Intune'da genel ASR kuralı dışlamalarını yapılandırma

Özel profil kullanarak Intune'da genel ASR kuralı dışlamalarını yapılandırma adımları, önceki bölümdeki ASR kuralı adımlarına çok benzer. Tek fark, ASR kuralı özel durumlarıyla ilgili bilgileri girdiğiniz 5. Adımdır ( Yapılandırma ayarları sekmesi):

Yapılandırma ayarları sekmesinde Ekle'yi seçin. Açılan Satır ekle açılır penceresinde aşağıdaki ayarları yapılandırın:

• Ad: Kural için benzersiz bir ad girin.
  • Açıklama: İsteğe bağlı, kısa bir açıklama girin.
  • OMA-URI: AttackSurfaceReductionOnlyExclusions CSP'sinden Cihaz değerini girin:./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • Veri türü: Dize'yi seçin.

    • Değer: Aşağıdaki söz dizimini kullanın:

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      Örneğin:

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

Satır ekle açılır öğesinde işiniz bittiğinde Kaydet'i seçin.

Yapılandırma ayarları sekmesine geri dönüp İleri'yi seçin.

Geri kalan adımlar ASR kurallarını yapılandırmayla aynıdır.

İlke CSP'sini kullanarak herhangi bir MDM çözümünde ASR kurallarını yapılandırma

İlke yapılandırma hizmeti sağlayıcısı (CSP), kuruluş kuruluşlarının yalnızca Microsoft Intune değil, herhangi bir mobil cihaz yönetimi (MDM) çözümünü kullanarak Windows cihazlarında ilkeler yapılandırmasına olanak tanır. Daha fazla bilgi için bkz. İlke CSP.

AŞAĞıDAKI ayarlarla AttackSurfaceReductionRules CSP'sini kullanarak ASR kurallarını yapılandırabilirsiniz:

OMA-URI yolu: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Değer: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• ASR kuralları için GUID değerleri ASR kurallarında kullanılabilir
• Aşağıdaki kural modları kullanılabilir:
  • 0: Kapalı
  • 1:Blok
  • 2:Denetim
  • 5: Yapılandırılmadı
  • 6:Uyarmak

Örneğin:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Not

OMA-URI değerlerini boşluk olmadan girdiğinizden emin olun.

İlke CSP'sini kullanarak herhangi bir MDM çözümünde genel ASR kuralı dışlamalarını yapılandırma

İlke CSP'sini kullanarak, aşağıdaki ayarlarla AttackSurfaceReductionOnlyExclusions CSP'sini kullanarak genel ASR kural yolunu ve yolu ve dosya adı dışlamalarını yapılandırabilirsiniz:

OMA-URI yolu: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Değer: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Örneğin, C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Microsoft Configuration Manager'da ASR kurallarını ve genel ASR kuralı dışlamalarını yapılandırma

Yönergeler için Exploit Guard ilkesi oluşturma ve dağıtma başlığı altında saldırı yüzeyi azaltma bilgilerine bakın.

Uyarı

Gerçek bir zorlama olmadan uyumlu olarak işaretlenen Sunucu işletim sistemi sürümlerinde saldırı yüzeyi azaltmanın uygulanabilirliğiyle ilgili bilinen bir sorun vardır. Şu anda, bunun ne zaman düzeltileceğine ilişkin tanımlı bir yayın tarihi yoktur.

Önemli

Cihazlarda "Yönetici birleştirmeyi true devre dışı bırak" ayarını kullanıyorsanız ve aşağıdaki araçlardan/yöntemlerden herhangi birini kullanıyorsanız kural başına ASR kuralları ekleme veya yerel ASR kuralı dışlamaları geçerli değildir:

• Microsoft Defender portalındaki Uç Nokta güvenlik ilkeleri sayfasının Uç Nokta Güvenlik Ayarları Yönetimi (Yerel Yönetici Birleştirmeyi Devre Dışı Bırak) Windows ilkeleri sekmesihttps://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (Yerel Yönetici Birleştirmeyi Devre Dışı Bırak)
• Defender CSP (DisableLocalAdminMerge)
• grup ilkesi (Listeler için yerel yönetici birleştirme davranışını yapılandırma)

Bu davranışı değiştirmek için ,"Yönetici birleştirmeyi devre dışı bırak" olarak falsedeğiştirmeniz gerekir.

Grup ilkesinde ASR kurallarını ve dışlamalarını yapılandırma

Uyarı

Bilgisayarlarınızı ve cihazlarınızı Intune, Microsoft Configuration Manager veya diğer kurumsal düzeydeki yönetim yazılımları ile yönetiyorsanız, yönetim yazılımı başlangıçta çakışan grup ilkesi ayarlarının üzerine yazar.

1. Merkezi grup ilkesi grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu (GPMC) açın.

2. GPMC konsol ağacında, düzenlemek istediğiniz GPO'grup ilkesi ormandaki ve etki alanındaki nesneler'i genişletin.

3. GPO'ya sağ tıklayın ve düzenle'yi seçin.

4. grup ilkesi Yönetim Düzenleyicisi'ndeBilgisayar yapılandırması>Yönetim şablonları>Windows bileşenleri>Microsoft Defender Virüsten Koruma>Microsoft Defender Exploit Guard > Saldırı Yüzeyi Azaltma bölümüne gidin.

5. Saldırı Yüzeyi Azaltma'nın ayrıntılar bölmesinde, kullanılabilir ayarlar şunlardır:

   • Saldırı Yüzeyi Azaltma kurallarını yapılandırma
   • Dosyaları ve yolları Saldırı yüzeyi azaltma kurallarının dışında tutma
   • Belirli saldırı yüzeyi azaltma (ASR) kurallarına dışlama listesini uygulama

   ASR kural ayarını açmak ve yapılandırmak için aşağıdaki yöntemlerden birini kullanın:

   • Ayara çift tıklayın.
   • Ayara sağ tıklayın ve düzenle'yi seçin
   • Ayarı seçin ve ardından Eylem>Düzenle'yi seçin.

İpucu

Ayrıca Yerel grup ilkesi Düzenleyicisi'ni (gpedit.msc ) kullanarak grup ilkesi tek tek cihazlarda yerel olarak yapılandırabilirsiniz. Aynı yola gidin: Bilgisayar yapılandırması>Yönetim şablonları>Windows bileşenleri>Microsoft Defender Virüsten Koruma>Microsoft Defender Exploit Guard>Saldırı Yüzeyi Azaltma.

Kullanılabilir ayarlar aşağıdaki alt bölümlerde açıklanmıştır.

Önemli

Grup ilkesindeki ASR kuralıyla ilgili değerlerin hiçbirinde tırnak işaretleri, baştaki boşluklar, sondaki boşluklar ve ek karakterler desteklenmez.

Windows 10 sürüm 2004(Mayıs 2020) öncesi grup ilkesi yollarda Microsoft Defender Virüsten Koruma yerine Windows Defender Virüsten Koruma kullanılabilir. Her iki ad da aynı ilke konumuna başvurur.

Grup ilkesinde ASR kurallarını yapılandırma

1. Saldırı Yüzeyi Azaltma'nın ayrıntılar bölmesinde Saldırı Yüzeyi Azaltma kurallarını yapılandır ayarını açın.

2. Açılan ayar penceresinde aşağıdaki seçenekleri yapılandırın:

   1. Etkin'i seçin.
   2. Her ASR kuralının durumunu ayarlayın: Göster... öğesini seçin.

3. Açılan her ASR kuralı için durumu ayarla iletişim kutusunda aşağıdaki ayarları yapılandırın:

   • Değer adı: ASR kuralının GUID değerini girin.
   • Değer: Aşağıdaki kural modu değerlerinden birini girin:
     • 0: Kapalı
     • 1:Blok
     • 2:Denetim
     • 5: Yapılandırılmadı
     • 6:Uyarmak

   

   Daha fazla bilgi için bkz. ASR kural modları.

   Bu adımı gerektiği kadar tekrarlayın. İşiniz bittiğinde Tamam'ı seçin.

Grup ilkesinde genel ASR kuralı dışlamalarını yapılandırma

Belirttiğiniz yollara sahip yollar veya dosya adları, tüm ASR kuralları için dışlama olarak kullanılır.

1. Saldırı Yüzeyi Azaltma'nın ayrıntılar bölmesinde, Saldırı yüzeyi azaltma kurallarından dosyaları ve yolları dışla ayarını açın.

2. Açılan ayar penceresinde aşağıdaki seçenekleri yapılandırın:

   1. Etkin'i seçin.
   2. ASR kurallarındaki dışlamalar: Göster... öğesini seçin.

3. Açılan ASR kurallarından dışlamalar iletişim kutusunda aşağıdaki ayarları yapılandırın:

   • Değer adı: Tüm ASR kurallarının dışında tutulacak yolu veya yolu ve dosya adını girin.
   • Değer: girin 0.

   Aşağıdaki değer adı türleri desteklenir:

   • Bir klasördeki tüm dosyaları dışlamak için tam klasör yolunu girin. Örneğin, C:\Data\Test.
   • Belirli bir klasördeki belirli bir dosyayı dışlamak için (önerilen), yolu ve dosya adını girin. Örneğin, C:\Data\Test\test.exe.

   Bu adımı gerektiği kadar tekrarlayın. İşiniz bittiğinde Tamam'ı seçin.

Grup ilkesinde ASR başına kural dışlamalarını yapılandırma

Belirttiğiniz yollara sahip yollar veya dosya adları, belirli ASR kuralları için dışlamalar olarak kullanılır.

Not

GPMC'nizde Belirli saldırı yüzeyi azaltma (ASR) kuralları için dışlama listesi uygula ayarı kullanılamıyorsa, Merkezi MağazanızdakiYönetim Şablonları dosyalarının 24H2 veya sonraki bir sürümüne ihtiyacınız vardır.

1. Saldırı Yüzeyi Azaltma'nın ayrıntılar bölmesinde Belirli saldırı yüzeyi azaltma (ASR) kuralları için dışlama listesi uygula ayarını açın.

2. Açılan ayar penceresinde aşağıdaki seçenekleri yapılandırın:

   1. Etkin'i seçin.
   2. Her ASR kuralı için dışlamalar: Göster... seçeneğini belirleyin.

3. Açılan her ASR kuralı için dışlamalar iletişim kutusunda aşağıdaki ayarları yapılandırın:

   • Değer adı: ASR kuralının GUID değerini girin.
   • Değer: ASR kuralı için bir veya daha fazla dışlama girin. söz dizimini Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameNkullanın. Örneğin, C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

   Bu adımı gerektiği kadar tekrarlayın. İşiniz bittiğinde Tamam'ı seçin.

PowerShell'de ASR kurallarını yapılandırma

Uyarı

Bilgisayarlarınızı ve cihazlarınızı Intune, Yapılandırma Yöneticisi veya başka bir kurumsal düzeyde yönetim platformuyla yönetiyorsanız, yönetim yazılımı başlangıçta çakışan PowerShell ayarlarının üzerine yazar.

Hedef cihazda, yükseltilmiş bir PowerShell oturumunda ( Yönetici olarak çalıştır'ı seçerek açtığınız bir PowerShell penceresi) aşağıdaki PowerShell komut söz dizimini kullanın:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Set-MpPreference, mevcut kuralların ve ilgili modlarının üzerine belirttiğiniz değerlerle yazar. Mevcut değerlerin listesini görmek için aşağıdaki komutu çalıştırın:

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  Mevcut değerleri etkilemeden yeni kurallar ve karşılık gelen modları eklemek için Add-MpPreference cmdlet'ini kullanın. Diğer mevcut değerleri etkilemeden belirtilen kuralları ve ilgili modlarını kaldırmak için Remove-MpPreference cmdlet'ini kullanın. Komut söz dizimi üç cmdlet için aynıdır.

• ASR kuralları için GUID değerleri ASR kurallarında kullanılabilir.

• AttackSurfaceReductionRules_Actions parametresi için geçerli değerler şunlardır:

  • 0 Veya Disabled
  • 1 veya Enabled (Blok modu)
  • 2veya AuditModeAudit
  • 5 Veya NotConfigured
  • 6 Veya Warn

Aşağıdaki örnek, cihazda belirtilen ASR kurallarını yapılandırıyor:

• İlk iki kural Blok modunda etkinleştirilir.
• Üçüncü kural devre dışıdır.
• Son kural Denetim modunda etkinleştirilir.

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

PowerShell'de genel ASR kuralı dışlamalarını yapılandırma

Hedef cihazda, yükseltilmiş bir PowerShell oturumunda aşağıdaki PowerShell komut söz dizimini kullanın:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Set-MpPreference, mevcut ASR kuralı dışlamalarının üzerine belirttiğiniz değerlerle yazar. Mevcut değerlerin listesini görmek için aşağıdaki komutu çalıştırın:

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  Mevcut değerleri etkilemeden yeni özel durumlar eklemek için Add-MpPreference cmdlet'ini kullanın. Belirtilen özel durumları diğer değerleri etkilemeden kaldırmak için Remove-MpPreference cmdlet'ini kullanın. Komut söz dizimi üç cmdlet için aynıdır.

  Aşağıdaki örnek, belirtilen yolu ve yolu cihazdaki tüm ASR kuralları için dışlamalar olarak dosya adıyla yapılandırıyor:

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

İlgili içerik

• Saldırı yüzeyini azaltma (ASR) kuralları başvurusu
• Saldırı yüzeyini azaltmayı değerlendirme
• Saldırı yüzeyini azaltma ile ilgili SSS