Saldırı yüzeyini azaltma (ASR) kurallarına genel bakış

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

İpucu

Bu makalenin eşlikçisi olarak en iyi uygulamaları gözden geçirmek ve savunmayı güçlendirmeyi, uyumluluğu iyileştirmeyi ve siber güvenlik manzarasında güvenle gezinmeyi öğrenmek için Güvenlik Çözümleyicisi kurulum kılavuzumuza bakın. Ortamınızı temel alan özelleştirilmiş bir deneyim için Microsoft 365 yönetim merkezi Güvenlik Çözümleyicisi otomatik kurulum kılavuzuna erişebilirsiniz.

Kuruluşunuzun saldırı yüzeyi , bir saldırganın erişim elde edebileceği tüm yerleri içerir. Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender'da saldırı yüzeyini azaltma.

Microsoft Defender Virüsten Koruma'daki saldırı yüzeyi azaltma (ASR) kuralları, saldırganların genellikle kötü amaçlı yazılımlardan yararlanan Windows cihazlarında riskli yazılım davranışını hedefler. Örneğin:

  • Dosyaları indirmeye veya çalıştırmaya çalışan yürütülebilir dosyaları ve betikleri başlatma.
  • Karartılmış veya başka bir şekilde güvenilmeyen betikleri çalıştırma.
  • Güvenlik açığı olabilecek uygulamalardan (örneğin, Office uygulamaları) alt işlemler oluşturma.
  • Kodu diğer işlemlere ekleme.

Yasal uygulamalar da bu işlemleri gerçekleştirebilse de saldırganlar genellikle aynı şekilde davranan kötü amaçlı yazılımlar kullanır.

ASR kurallarını planlamak, test etmek, uygulamak ve izlemek için aşağıdaki makale serisine bakın:

İpucu

Diğer platformlar için Antivirüs ile ilgili bilgi arıyorsanız bkz:

ASR kuralları

ASR kuralları aşağıdaki kategorilerde gruplandırılır:

Kullanılabilir ASR kuralları, karşılık gelen GUID değerleri ve kategorileri aşağıdaki tabloda açıklanmıştır:

  • Kural adlarındaki bağlantılar sizi ASR kuralları başvuru makalesindeki ayrıntılı kural açıklamalarına götürür.

  • Microsoft Intune ve Microsoft Configuration Manager uç nokta güvenlik ilkeleri dışında, diğer tüm ASR kuralı yapılandırma yöntemleri kuralları GUID değerine göre tanımlar.

    Microsoft Intune ile Microsoft Configuration Manager arasındaki ASR kuralı adı farkları tabloda açıklanmıştır.

    İpucu

    Microsoft Configuration Manager daha önce diğer adlar tarafından biliniyordu:

    • Microsoft System Center Configuration Manager: sürüm 1511 - 1906 (Kasım 2015 - Temmuz 2019)
    • Microsoft Endpoint Configuration Manager: sürüm 1910 - 2211 (Aralık 2019 - Aralık 2022)
    • Microsoft Configuration Manager: sürüm 2303 (Nisan 2023) veya üzeri

    Destek ve güncelleştirme bilgileri için bkz. Yapılandırma Yöneticisi için Güncelleştirmeler ve bakım.

Microsoft Intune kural adı Microsoft Configuration Manager kural adı GUID Kategori
Standart koruma kuralları
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi (Cihaz) yok 56a863a9-875e-4185-98a7-b882c64b5ce5 Misc
Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme Aynı 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Yanal hareket & kimlik bilgisi hırsızlığı
WMI olay aboneliği aracılığıyla kalıcılığı engelleme yok e6db77e5-3df2-4cf1-b95a-636979351e5b Yanal hareket & kimlik bilgisi hırsızlığı
Diğer ASR kuralları
Adobe Reader'ın alt işlemler oluşturmalarını engelleme yok 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Üretkenlik uygulamaları
Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme Office uygulamasının alt işlemler oluşturmalarını engelleme d4f940ab-401b-4efc-aadc-ad5f3c50688a Üretkenlik uygulamaları
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme Aynı be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 E-posta
Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin Yaygınlık, yaş veya güvenilen liste ölçütlerini karşılamadığı sürece yürütülebilir dosyaların çalışmasını engelleme 01443614-cd74-433a-b99e-2ecdc07bfc25 Çok biçimli tehditler
Karartılmış olabilecek betiklerin yürütülmesini engelleme Aynı 5beb7efe-fd9a-4556-801d-275e5ffc04cc Komut dosyası
JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme Aynı d3e037e1-3eb8-44c8-a917-57927947596d Komut dosyası
Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme Aynı 3b576869-a4ec-4529-8536-b80a7769e899 Üretkenlik uygulamaları
Office uygulamalarının diğer işlemlere kod eklemesini engelleme Aynı 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Üretkenlik uygulamaları
Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme yok 26190899-1602-49e8-8b27-eb1d0a1ce869 Email, Üretkenlik uygulamaları
PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme yok d1e49aac-8f56-4280-b9ba-993a6d77406c Yanal hareket & kimlik bilgisi hırsızlığı
Güvenli Modda makinenin yeniden başlatılmasını engelleme yok 33ddedf1-c6e0-47cb-833e-de6133960387 Misc
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme Aynı b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Çok biçimli tehditler
Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme yok c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Misc
Sunucular için WebShell oluşturmayı engelleme yok a8f5898e-1dc8-49a9-9878-85004b8a61e6 Misc
Office makrolarından Win32 API çağrılarını engelleme Aynı 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Üretkenlik uygulamaları
Fidye yazılımına karşı gelişmiş koruma kullanma Aynı c1db55ab-c21a-4637-bb3f-a12568109d35 Çok biçimli tehditler

ASR kuralları gereksinimleri

ASR kuralları, Windows cihazlarda birincil virüsten koruma uygulaması olarak Microsoft Defender Virüsten Koruma gerektirir:

  • Microsoft Defender Virüsten Koruma etkin ve Etkin modda olmalıdır. Özellikle, Microsoft Defender Virüsten Koruma aşağıdaki modlardan hiçbirinde olamaz:

    • Pasif
    • Blok Modunda Uç Nokta Algılama ve Yanıt (EDR) ile Pasif Mod
    • Sınırlı düzenli tarama (LPS)
    • Devre Dışı

    Microsoft Defender Virüsten Koruma'daki modlar hakkında daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma, Uç Nokta için Defender işlevselliğini nasıl etkiler?

  • Microsoft Defender Virüsten Koruma'da gerçek zamanlı koruma açık olmalıdır.

  • Bulut tabanlı koruma (Microsoft Gelişmiş Koruma Hizmeti veya MAPS olarak da adlandırılır) ASR kuralı işlevselliği için kritik öneme sahiptir. Bulut koruması standart gerçek zamanlı korumayı geliştirir ve kötü amaçlı yazılım ihlallerini önlemenin kritik bir bileşenidir. Bazı ASR kurallarının özel olarak Uç Nokta için Defender'da Uç Nokta Algılama ve Yanıt (EDR) uyarıları ve kullanıcı bildirimi açılır pencereleri için Bulut Teslim Koruması gereksinimleri vardır. Ayrıntılar için bkz. ASR kuralı eylemlerinden uyarılar ve bildirimler.

    Aynı nedenle ortamınızın Microsoft Defender Virüsten Koruma bulut hizmetine bağlantılara izin vermesi gerekir.

  • Microsoft Defender Virüsten Koruma bileşeni sürümleri, en güncel sürümden en eski iki sürümden daha eski olmamalıdır:

    • Platform güncelleştirme sürümü: Aylık olarak güncelleştirildi.
    • MEngine sürümü: Aylık olarak güncelleştirildi.
    • Güvenlik bilgileri: Microsoft, en son tehditleri ele almak ve algılama mantığını geliştirmek için güvenlik bilgilerini (tanımlar ve imzalar olarak da bilinir) sürekli olarak güncelleştirir.

    Microsoft Defender Virüsten Koruma sürümlerini güncel tutmak ASR kuralının hatalı pozitif sonuçları azaltmaya yardımcı olur ve virüsten koruma algılama özelliklerini Microsoft Defender geliştirir. Geçerli sürümler ve farklı Microsoft Defender Virüsten Koruma bileşenlerini güncelleştirme hakkında daha fazla bilgi için bkz. virüsten koruma platformu desteği Microsoft Defender.

  • ASR kuralları Microsoft 365 E5 gerektirmese de, Microsoft aşağıdaki gelişmiş yönetim özelliklerinden yararlanmak için E5 veya eşdeğer aboneliklerin güvenlik özelliklerini önerir:

    • Uç Nokta için Defender'da izleme, analiz ve iş akışları.
    • Microsoft Defender XDR portalında raporlama ve yapılandırma özellikleri.

    Gelişmiş yönetim özellikleri diğer lisanslarla (örneğin, Windows Professional veya Microsoft 365 E3) kullanılamaz. Ancak, her cihazda Windows Olay Görüntüleyicisi oluşturulan ASR kuralı olaylarının üzerinde kendi izleme ve raporlama araçlarınızı geliştirebilirsiniz (örneğin, Windows Olay İletme).

    Windows lisanslama hakkında daha fazla bilgi edinmek için bkz. Windows Lisanslama ve Microsoft Toplu Lisanslama Başvuru Kılavuzu.

ASR kuralları için desteklenen işletim sistemleri

ASR kuralları, Microsoft Defender Virüsten Koruma (örneğin, Windows 11 Home) içeren herhangi bir Windows sürümünde bulunan bir Microsoft Defender Virüsten Koruma özelliğidir. ASR kurallarını PowerShell veya grup ilkesi kullanarak cihazlarda yerel olarak yapılandırabilirsiniz.

Uç Nokta için Microsoft Defender'da ASR kuralları için merkezi yönetim, raporlama ve uyarı oluşturma, aşağıdaki Windows sürümlerinde kullanılabilir:

  • Windows 10 veya sonraki sürümlerin Pro ve Enterprise sürümleri.
  • R2 veya üzerini Windows Server 2012.
  • Azure Yerel (eski adıyla Azure Stack HCI) sürüm 23H2 veya üzeri.

Daha fazla işletim sistemi destek bilgisi için bkz. ASR kuralları için işletim sistemi desteği.

ASR kuralları modları

ASR kuralı, aşağıdaki tabloda açıklandığı gibi aşağıdaki modlardan birinde olabilir:

Kural modu Kod Açıklama
Kapalı veya
Devre dışı		 0 ASR kuralı açıkça devre dışı bırakıldı.

Aynı cihaza farklı ilkeler tarafından farklı modlarda aynı ASR kuralı atandığında bu değer çakışmalara neden olabilir.
Engelle veya
Aktif		 1 ASR kuralı Blok modunda etkinleştirilir.
Denetim veya
Denetim modu		 2 ASR kuralı , Blok modunda olduğu gibi, ancak işlem yapılmadan etkinleştirilir.

Denetim modunda ASR kuralları için algılamalar aşağıdaki konumlarda kullanılabilir:
Yapılandırılmadı 5 ASR kuralı açıkça etkinleştirilmemiş.

Bu değer işlevsel olarak Devre Dışı veya Kapalı ile eşdeğerdir, ancak kural çakışmaları olasılığı yoktur.
Uyarı veya
Uyarı		 6 ASR kuralı Blok modunda gibi etkinleştirilir, ancak kullanıcılar 24 saat boyunca bloğu atlamak için uyarı bildirimi açılır penceresinde Engellemeyi Kaldır'ı seçebilir. 24 saat sonra kullanıcının bloğu yeniden atlanması gerekir.

Uyarı modu, Windows 10 sürüm 1809 (Kasım 2018) veya sonraki sürümlerde desteklenir. Desteklenmeyen Windows sürümlerinde Uyar modundaki ASR kuralları Blok modunda etkindir (atlama kullanılamaz).

Uyarı modu Microsoft Configuration Manager'da kullanılamaz.

Uyarı modu, Virüsten Koruma sürüm gereksinimleri Microsoft Defender aşağıdakilere sahiptir:
  • Platform sürümü: 4.18.2008.9 (Ağustos 2020) veya üzeri.
  • Motor sürümü: 1.1.17400.5 (Ağustos 2020) veya üzeri.

Aşağıdaki ASR kuralları Uyarı modunu desteklemez:

Microsoft, standart koruma kuralları için Blok modunu ve diğer ASR kuralları için Engelleme veya Uyarı modunda etkinleştirmeden önce denetim modunda ilk testi önerir.

Birçok iş kolu uygulaması sınırlı güvenlik endişeleriyle yazılır ve kötü amaçlı yazılımlara benzer şekilde hareket edebilir. DENETIM modunda ASR kurallarından verileri izleyerek ve gerekli uygulamalar için dışlamalar ekleyerek, üretkenliği azaltmadan ASR kurallarını dağıtabilirsiniz.

ASR kurallarını Engelleme modunda etkinleştirmeden önce denetim modunda ve güvenlik önerilerinde etkilerini değerlendirin. Daha fazla bilgi için bkz . ASR kurallarını test edin.

ASR kuralları için dağıtım ve yapılandırma yöntemleri

Uç Nokta için Microsoft Defender ASR kurallarını destekler ancak ASR kural ayarlarını cihazlara dağıtmak için yerleşik bir yöntem içermez. Bunun yerine, ASR kural ilkelerini oluşturmak ve cihazlara dağıtmak için ayrı bir dağıtım veya yönetim aracı kullanırsınız. Tüm dağıtım yöntemleri her ASR kuralını desteklemez. Kural başına ayrıntılar için bkz . ASR kuralları için dağıtım yöntemi desteği.

Aşağıdaki tabloda kullanılabilir yöntemler özetlemektedir. Ayrıntılı yapılandırma yönergeleri için bkz. Saldırı yüzeyini azaltma (ASR) kurallarını ve dışlamalarını yapılandırma.

Yöntem Açıklama
uç nokta güvenlik ilkelerini Microsoft Intune ASR kural ilkelerini yapılandırmak ve cihazlara dağıtmak için önerilen yöntem. Microsoft Intune Plan 1 gerektirir (Microsoft 365 E3 gibi aboneliklere dahildir veya tek başına eklenti olarak kullanılabilir).
OMA-URI'lerle özel profiller Microsoft Intune Open Mobile Alliance – Tekdüzen Kaynak (OMA-URI) profillerini kullanarak Intune ASR kurallarını yapılandırmak için alternatif bir yöntemdir.
İlke CSP'sini kullanan herhangi bir MDM çözümü Herhangi bir MDM çözümüyle Windows İlkesi yapılandırma hizmeti sağlayıcısını (CSP) kullanın.
Microsoft Configuration Manager Varlıklar ve uyumluluk çalışma alanında Microsoft Defender Virüsten Koruma ilkesini kullanır.
Grup İlkesi ASR kurallarını yapılandırmak ve etki alanına katılmış cihazlara dağıtmak için Merkezi grup ilkesi kullanın. Ya da grup ilkesi tek tek cihazlarda yerel olarak yapılandırabilirsiniz.
PowerShell ASR kurallarını tek tek cihazlarda yerel olarak yapılandırın. PowerShell tüm ASR kurallarını destekler.

ASR kuralları için dosya ve klasör dışlamaları

Önemli

Dosya veya klasörlerin dışlanması ASR kuralı korumasını ciddi ölçüde azaltabilir. Dışlanan dosyaların çalıştırılmasına izin verilir ve dosyayla ilgili hiçbir rapor veya olay kaydedilmez. ASR kuralları algılanması gereken dosyaları algılarsa, kuralı test etmek için Denetim modunu kullanın.

Belirli dosya ve klasörleri ASR kuralları tarafından değerlendirilmekten hariç tutabilirsiniz. ASR kuralı dosya veya klasörün kötü amaçlı davranış içerdiğini belirlese bile, dışlanan dosyaların çalışmasını engellemez.

Dosyaları ve klasörleri ASR kurallarının dışında tutmak için aşağıdaki yöntemleri kullanabilirsiniz:

  • Microsoft Defender Virüsten Koruma dışlamaları: Tüm ASR kuralları bu dışlamalara uymaz. Microsoft Defender Virüsten Koruma dışlamaları hakkında daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma için özel dışlamaları yapılandırma.

    İpucu

    Tüm ASR kuralları, Microsoft Defender Virüsten Koruma'da işlem dışlamalarını kabul eder.

  • Genel ASR kuralı dışlamaları: Bu dışlamalar tüm ASR kuralları için geçerlidir. Tüm ASR kuralı yapılandırma yöntemleri, genel ASR kuralı dışlamalarının yapılandırılmasını da destekler.

  • ASR kuralı başına dışlamalar: Farklı ASR kurallarına seçmeli olarak farklı dışlamalar atayın. Yalnızca aşağıdaki ASR kuralı yapılandırma yöntemleri, ASR kural dışlamaları başına yapılandırmayı da destekler:

  • Güvenliğin aşılmasına ilişkin göstergeler (ICS): ASR kurallarının çoğu, engellenen dosyalar ve engellenen sertifikalar için GÇ'leri kabul eder. IoC'ler hakkında daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender göstergelere genel bakış.

ASR kuralları için farklı dışlama türlerinin uygulanması aşağıdaki tabloda özetlenmiştir:

Kural adı MDAV dosyasını ve
klasör dışlamaları		 Küresel ASR'ye saygı duyuyor
Dışlamalar		 ASR başına kuralı kabul eder
Dışlamalar		 için IoC'leri onurlandırıyor
Dosyaları		 için IoC'leri onurlandırıyor
Sertifika
Standart koruma kuralları
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi (Cihaz) E E E E E
Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme N E E N N
WMI olay aboneliği aracılığıyla kalıcılığı engelleme N E E N N
Diğer ASR kuralları
Adobe Reader'ın alt işlemler oluşturmalarını engelleme N E E E E
Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme E E E E E
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme E E E E E
Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin E E E E E
Karartılmış olabilecek betiklerin yürütülmesini engelleme E E E E E
JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme E E E E E
Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme N E E E E
Office uygulamalarının diğer işlemlere kod eklemesini engelleme N E E N N
Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme N E E E E
PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme N E E E E
Güvenli Modda makinenin yeniden başlatılmasını engelleme E E E E E
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme E E E E E
Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme E E E E E
Sunucular için WebShell oluşturmayı engelleme E E E E E
Office makrolarından Win32 API çağrılarını engelleme E E E E N
Fidye yazılımına karşı gelişmiş koruma kullanma E E E E E

Dışlamalar eklediğinizde şu noktaları göz önünde bulundurun:

  • Dışlama yolları ortam değişkenlerini ve joker karakterleri kullanabilir. Daha fazla bilgi için bkz. Dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakterler kullanma.

    İpucu

    Klasör ve işlem dışlamalarında joker karakter olarak kullanıcı ortamı değişkenlerini kullanmayın. Aşağıdaki ortam değişkenlerini yalnızca joker karakter olarak kullanın:

    • Sistem ortamı değişkenleri.
    • NT AUTHORITY\SYSTEM hesabı olarak çalışan işlemlere uygulanan ortam değişkenleri.

    Sistem ortamı değişkenlerinin listesi için bkz . Sistem ortamı değişkenleri.

    • Joker karakterler sürücü harfi tanımlayamaz.
    • Bir yoldaki birden fazla klasörü dışlamak için, birden çok iç içe klasör belirtmek için birden çok örneğini \*\ kullanın. Örneğin, c:\Folder\*\*\Test.
    • Microsoft Configuration Manager joker karakterleri (* veya ?) destekler.
    • Rastgele karakterler içeren bir dosyayı (örneğin, otomatik dosya oluşturmanın dışında tutmak için) simgesini kullanın ? . Örneğin, C:\Folder\fileversion?.docx.

  • Dışlamalar yalnızca uygulama veya hizmet başlatıldığında geçerlidir. Örneğin, zaten çalışmakta olan bir güncelleştirme hizmeti için bir dışlama eklerseniz, siz hizmeti yeniden başlatana kadar güncelleştirme hizmeti ASR kuralı algılamalarını tetiklemeye devam eder.

ASR kurallarında ilke çakışmaları

Aynı cihaza iki farklı ASR kuralı ilkesi atanırsa, aşağıdaki öğelere bağlı olarak olası çakışmalar oluşabilir:

  • Aynı ASR kurallarının farklı modlarda atanıp atanmadığı.
  • Çakışma yönetiminin yerinde olup olmadığı.
  • Sonucun bir hata olup olmadığı.

Bitişik olmayan ASR kuralları hatalara neden olmaz. İlk kural uygulanır ve izleyen bitişik olmayan kurallar ilkeyle birleştirilir.

Bir mobil cihaz yönetimi (MDM) çözümü varsa ve grup ilkesi aynı cihaza farklı ASR kuralı ayarları uygularsa, grup ilkesi ayarları önceliklidir.

ASR kural ayarı çakışmalarının Microsoft Intune'daki kullanılabilir dağıtım yöntemleri için nasıl işlenmeleri hakkında bilgi için bkz. Intune tarafından yönetilen cihazlar.

ASR kuralları için bildirimler ve uyarılar

Bir cihazda Engelle veya Uyar modunda bir ASR kuralı tetiklendiğinde, cihazda bir bildirim görüntülenir. Bildirimlerdeki bilgileri özelleştirebilirsiniz. Daha fazla bilgi için bkz. Windows Güvenliği'da kişi bilgilerini özelleştirme.

Uç Nokta için Defender'da Uç Nokta Algılama ve Yanıt (EDR) uyarıları, desteklenen ASR kuralları tetiklendiğinde oluşturulur.

Bildirim ve uyarı işlevselliği hakkında belirli ayrıntılar için bkz. ASR kuralı eylemlerinden uyarılar ve bildirimler.

Microsoft Defender portalında ve Windows Olay Görüntüleyicisi cihazlarda ASR uyarı etkinliğini görüntülemek için bkz. Saldırı yüzeyini azaltma (ASR) kuralı etkinliğini izleme.

ASR kuralı etkinliğini izleme

Tam bilgi için bkz. Saldırı yüzeyini azaltma (ASR) kuralı etkinliğini izleme.

İlgili içerik

  • Last updated on