Saldırı yüzeyini azaltma (ASR) kuralları başvurusu

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 2

Saldırı yüzeyi azaltma (ASR) kuralları, saldırganların yaygın olarak kötü amaçlı yazılımlardan yararlanarak (örneğin, dosyaları indiren betikleri başlatma, karartılmış betikleri çalıştırma ve diğer işlemlere kod ekleme) Windows cihazlarında riskli yazılım davranışını hedefler. ASR kuralları hakkında daha fazla bilgi için bkz . Saldırı yüzeyi azaltma (ASR) kurallarına genel bakış.

Bu makale, aşağıdaki bilgileri sağlayan ASR kuralları için teknik bir başvurudur:

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

ASR kuralları için işletim sistemi desteği

ASR kuralları, Microsoft Defender Virüsten Koruma (örneğin, Windows 11 Home) içeren herhangi bir Windows sürümünde kullanılabilen bir Microsoft Defender Virüsten Koruma özelliğidir. ASR kurallarını PowerShell veya grup ilkesi kullanarak yerel olarak yapılandırabilirsiniz.

Aşağıdaki tabloda, Uç Nokta için Microsoft Defender'da Microsoft Intune, Microsoft Configuration Manager ve Microsoft Defender portalı:

Kural adı Windows 11 veya üzeri Windows 10 Windows Server 2019 veya üzeri Windows Server 2016* Windows Server 2012 R2*
Standart koruma kuralları
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi (Cihaz) E 1709 veya üzeri E Windows Server 1803 (SAC) veya üzeri E
Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme E 1803 veya üzeri E E E
WMI olay aboneliği aracılığıyla kalıcılığı engelleme E 1903 veya üzeri Windows Server 1903 (SAC) veya üzeri N N
Diğer ASR kuralları
Adobe Reader'ın alt işlemler oluşturmalarını engelleme E 1809 veya üzeri E E E
Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme E 1709 veya üzeri E E E
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme E 1709 veya üzeri E E E
Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin E 1803 veya üzeri E E E
Karartılmış olabilecek betiklerin yürütülmesini engelleme E 1709 veya üzeri E E E
JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme E 1709 veya üzeri E N N
Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme E 1709 veya üzeri E E E
Office uygulamalarının diğer işlemlere kod eklemesini engelleme E 1709 veya üzeri E E E
Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme E 1709 veya üzeri E E E
PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme E 1803 veya üzeri E E E
Güvenli Modda makinenin yeniden başlatılmasını engelleme E 1709 veya üzeri E E E
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme E 1709 veya üzeri E E E
Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme E 1709 veya üzeri E E E
Sunucular için WebShell oluşturmayı engelleme yok yok Yalnızca Exchange sunucuları Yalnızca Exchange sunucuları N
Office makrolarından Win32 API çağrılarını engelleme E 1709 veya üzeri yok yok yok
Fidye yazılımına karşı gelişmiş koruma kullanma E 1803 veya üzeri E E E

*Windows Server 2016 ve Windows Server 2012 R2'de desteklenen ASR kuralları için modern birleşik çözüm paketinin kullanılması gerekir. Daha fazla bilgi için bkz. Modern birleşik çözümde yeni Windows Server 2012 R2 ve 2016 işlevselliği.

ASR kuralları için dağıtım yöntemi desteği

Uç Nokta için Defender ASR kurallarını desteklese de, kuralları cihazlara dağıtmak için ayrı bir hizmete ihtiyacınız vardır. ASR kurallarını dağıtmak için desteklenen yöntemler aşağıdaki tabloda açıklanmıştır.

Kural adı Intune Yapılandırma Yöneticisi MDM CSP Merkezi grup ilkesi
Standart koruma kuralları
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi (Cihaz) E N E E
Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme E 1802 veya üzeri E E
WMI olay aboneliği aracılığıyla kalıcılığı engelleme E N E E
Diğer ASR kuralları
Adobe Reader'ın alt işlemler oluşturmalarını engelleme E N E E
Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme E 1710 veya üzeri E E
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme E 1710 veya üzeri E E
Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelle[1] E 1802 veya üzeri E E
Karartılmış olabilecek betiklerin yürütülmesini engelleme E 1710 veya üzeri E E
JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme E 1710 veya üzeri E E
Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme E 1710 veya üzeri E E
Office uygulamalarının diğer işlemlere kod eklemesini engelleme E 1710 veya üzeri E E
Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme E N E E
PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme E N E E
Güvenli Modda makinenin yeniden başlatılmasını engelleme E N E E
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme E 1802 veya üzeri E E
Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme E N E E
Sunucular için WebShell oluşturmayı engelleme E N E E
Office makrolarından Win32 API çağrılarını engelleme E 1710 veya üzeri E E
Fidye yazılımına karşı gelişmiş koruma kullanma E 1802 veya üzeri E E

İpucu

AsR kurallarını grup ilkesi veya PowerShell kullanarak tek tek cihazlarda yerel olarak da yapılandırabilirsiniz. Tüm ASR kuralları yerel cihazlarda her iki yöntem tarafından desteklenir.

1 Şu anda, bu ASR kuralı bilinen bir arka uç sorunu nedeniyle Intune ASR ilke yapılandırmasında kullanılamayabilir. Ancak kural, kullanılabilir diğer ASR ilkesi yapılandırma yöntemleri aracılığıyla veya sorundan önce oluşturulan mevcut Intune ASR ilkelerinde kullanılabilir.

ASR kuralı eylemlerinden uyarılar ve bildirimler

Aşağıdaki tabloda etkin ASR kurallarının oluşturabileceği kuruluş ve yerel uyarılar açıklanmaktadır.

  • EDR uyarıları değeri, Blok veya Uyarı modundaki ASR kuralının Uç Nokta için Defender'da Uç Nokta Algılama ve Yanıt (EDR) uyarıları oluşturup oluşturmadığını gösterir.
  • Kullanıcı bildirimleri değeri, ASR kuralının Engelle veya Uyar modundaki kullanıcı bildirimi açılır pencerelerini destekleyip desteklemediğini gösterir (kural Uyarı modunu destekliyorsa).
Kural adı EDR uyarıları Kullanıcı
Bildirim
Standart koruma kuralları
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi (Cihaz) N E
Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme[¹] N N
WMI olay aboneliği aracılığıyla kalıcılığı engelleme E E
Diğer ASR kuralları
Adobe Reader'ın alt işlemler oluşturması engellendi[²] E E
Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme N E
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme[²] E E
Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin N E
Karartılmış olabilecek betiklerin yürütülmesini engelleme E E
JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelle[²] E E
Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme N E
Office uygulamalarının diğer işlemlere kod eklemesini engelleme[¹] N E
Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme N E
PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme N E
Güvenli Modda makinenin yeniden başlatılmasını engelleme N N
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme E E
Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme N E
Sunucular için WebShell oluşturmayı engelleme N N
Office makrolarından Win32 API çağrılarını engelleme E N
Fidye yazılımına karşı gelişmiş koruma kullanma E E

¹ Bu ASR kuralı Uyarı modunu desteklemez.

²Engelle veya Uyar modundaki bu ASR kuralı, Microsoft Defender Virüsten Koruma'da bulut koruma düzeyinde aşağıdaki ek gereksinimlere sahiptir:

  • EDR uyarıları yalnızca cihazdaki bulut koruma düzeyi Yüksek artı veya Sıfır tolerans olduğunda oluşturulur.
  • Kullanıcı bildirimi açılır pencereleri yalnızca cihazdaki bulut koruma düzeyi Yüksek, Yüksek artı veya Sıfır tolerans olduğunda oluşturulur.

ASR kuralı ayrıntıları

Standart koruma kuralları

Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi (Cihaz)

Yeterli ayrıcalıklara sahip yerel uygulamalar, işletim sistemi çekirdeğine erişim kazanmak için güvenlik açığı bulunan imzalı sürücülerden yararlanabilir. Güvenlik açığı bulunan imzalı sürücüler, saldırganların güvenlik çözümlerini devre dışı bırakmasına veya aşmasına olanak tanır ve sonunda sistem güvenliğinin aşılmasına neden olur.

Bu ASR kuralı, uygulamaların güvenlik açığı bulunan imzalı sürücüleri bilgisayara kaydetmesini engeller. Zaten bilgisayarda bulunan sürücülerin yüklenmesini engellemez.

  • Microsoft Intune adı:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager adı: yok
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Bağımlılıklar: Yok

Not

Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme

Not

Yerel Güvenlik Yetkilisi (LSA) korumasını etkinleştirdiyseniz (Credential Guard ile birlikte önerilir):

  • Bu ASR kuralı gerekli değildir.
  • Bu ASR kuralı ek koruma sağlamaz (ASR kuralı ve LSA koruması benzer şekilde çalışır).
  • Bu ASR kuralı, Microsoft Defender portalındaki Uç Nokta için Defender yönetim ayarlarında geçerli değil olarak sınıflandırılır.

Bu ASR kuralı, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti'ni (LSASS) kilitleyerek kimlik bilgilerinin çalınmasını önlemeye yardımcı olur. LSASS, Windows bilgisayarlarda oturum açan kullanıcıların kimliğini doğrular. Genellikle, Windows'da Credential Guard kimlik bilgilerini LSASS'den ayıklama girişimlerini engeller.

Birçok işlem gerekli olmayan erişim hakları için LSASS'ye gereksiz çağrılar yapar. Bu etkinlik önemli ölçüde ASR kuralı kirliliği oluşturur, ancak işlevselliği engellemez. Örneğin, parolalar cihazda LSASS'de depolandığından Google Chrome güncelleştirmeleri LSASS'ye gereksiz yere erişiyor. Cihazda bu ASR kuralının etkinleştirilmesi Chrome güncelleştirmelerinin LSASS'ye erişmesini engeller, ancak Chrome'un güncelleştirilmesini engellemez. Chrome yazılım güncelleştirme işleminin LSASS'ye erişmemesi gerektiğinden bu ASR kuralı olayları iyidir.

Genellikle LSASS'ye yapılan işlem çağrılarında istenen hak türleri hakkında bilgi için bkz . İşlem Güvenliği ve Erişim Hakları.

Bazı kuruluşlar, özel akıllı kart sürücüleri veya LSA'ya yüklenen diğer programlarla ilgili uyumluluk sorunları nedeniyle Credential Guard'ı etkinleştiremiyor. Bu gibi durumlarda saldırganlar, Cleartext parolalarını ve LSASS'den NTLM karmalarını kazımak için Mimikatz gibi araçları kullanabilir.

LSA korumasını ve/veya Credential Guard'ı etkinleştiremiyorsanız, hedefleyen lsass.exekötü amaçlı yazılımlara karşı eşdeğer koruma sağlamak için bu kuralı yapılandırabilirsiniz.

  • Microsoft Intune adı:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager adı:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

  • Bu ASR kuralı Uyarı modunu desteklemez.
  • Bu ASR kuralı çok büyük miktarda denetim olayı oluşturur ve bu olayların neredeyse tümü Blok modunda etkinleştirildiğinde yok sayılması güvenlidir. Denetim modu değerlendirmesini atlayıp blok modu dağıtımına devam etmeyi seçebilirsiniz. Microsoft, küçük bir cihaz kümesiyle başlayıp gerisini kapsayacak şekilde aşamalı olarak genişletmenizi önerir.
  • Bu ASR kuralı, kolay işlemler ve yinelenen blok eylemleri için uyarıları ve kullanıcı bildirimi açılır pencerelerini gizler.
  • Bu ASR kuralı LSASS işlem belleğine erişimi engeller. İşlemlerin çalışmasını engellemez. Bu ASR kuralı gibi svchost.exeişlemleri engellediğinde, işlemin LSASS işlem belleğine erişiminin engellendiği anlamına gelir. Bu ASR kuralı tarafından bu işlemlerin engellenmesini genellikle güvenle yoksayabilirsiniz.
  • Bazı uygulamalar tüm çalışan işlemleri numaralandırır ve bunları kapsamlı izinlerle açmaya çalışır. Bu ASR kuralı, uygulamanın açık işlem eylemlerini reddeder ve ayrıntıları Windows Olay Görüntüleyicisi Güvenlik günlüğüne kaydeder. Bu kural çok sayıda kirlilik oluşturabilir. LSASS'yi numaralandıran ancak işlevsellikte gerçek bir etkisi olmayan bir uygulamanız varsa, bunu dışlama listesine eklemenize gerek yoktur. Bu olay günlüğü girdisi tek başına kötü amaçlı bir tehdit anlamına gelmez.
  • Bu ASR kuralıNda Görev Dirsync Parola Eşitleme ile ilgili sorunlar var. Daha fazla bilgi için bkz. Windows Defender yüklendiğinde Dirsync Parola Eşitleme çalışmıyor, hata: "VirtualAllocEx başarısız oldu: 5" (4253914).
  • Bu kural sınırlı dışlama desteğine sahiptir. Ayrıntılar için bkz. ASR kuralları için dosya ve klasör dışlamaları.

WMI olay aboneliği aracılığıyla kalıcılığı engelleme

Bu ASR kuralı, kötü amaçlı yazılımların cihazlarda kalıcılık elde etmek için WMI'yi kötüye çalışmasını engeller.

Dosyasız tehditler, gizli kalmak, dosya sisteminde görülmemek ve düzenli denetim elde etmek için çeşitli taktikler kullanır. Bazı tehditler gizli kalmak için WMI deposunu ve olay modelini kötüye kullanabilir.

  • Microsoft Intune adı:Block persistence through WMI event subscription
  • Microsoft Configuration Manager adı: yok
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma, RPC

Not

  • Bu kural, Microsoft Intune aracılığıyla modern birleştirilmiş çözümü kullanarak Windows Server 2012 R2'ye veya Windows Server 2016 dağıtıldığında desteklenmez.
  • Microsoft Configuration Manager kullanıyorsanız, Engelleme moduna geçmeden önce Microsoft bu ASR kuralının Denetim modunda kapsamlı bir şekilde test olmasını önerir. Yapılandırma Yöneticisi istemcisi büyük ölçüde WMI'ye dayanır.
  • Bu kural sınırlı dışlama desteğine sahiptir. Ayrıntılar için bkz. ASR kuralları için dosya ve klasör dışlamaları.

Diğer ASR kuralları

Adobe Reader'ın alt işlemler oluşturmalarını engelleme

Bu ASR kuralı, Adobe Reader'ın işlem oluşturmasını engelleyerek saldırıları engeller.

Kötü amaçlı yazılımlar, sosyal mühendislik veya açıklardan yararlanarak adobe reader'ın yüklerini indirip başlatabilir ve bu yükten kurtulabilir. Adobe Reader'ın alt işlemler oluşturmasını engelleyerek, Adobe Reader'ı saldırı vektöru olarak kullanmaya çalışan kötü amaçlı yazılımların yayılması engellenir.

  • Microsoft Intune adı:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager adı: yok
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme

Bu kural, Office uygulamalarının alt işlemler oluşturmalarını engeller. Office uygulamaları Word, Excel, PowerPoint, OneNote ve Access'i içerir.

Kötü amaçlı alt işlemler oluşturmak yaygın bir kötü amaçlı yazılım stratejisidir. Vektör olarak Office'i kötüye kullanan kötü amaçlı yazılımlar genellikle VBA makroları çalıştırır ve daha fazla yük indirip çalıştırmaya çalışmak için koddan yararlanılır. Ancak bazı meşru iş kolu uygulamaları da zararsız amaçlarla alt işlemler oluşturabilir. Örneğin, bir Komut İstemi oluşturma veya powershell kullanarak kayıt defteri ayarlarını yapılandırma.

  • Microsoft Intune adı:Block all Office applications from creating child processes
  • Microsoft Configuration Manager adı:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

Bu kural yalnızca Office veya %ProgramFiles(x86)% konumlarında %ProgramFiles% yüklüyse uygulanır (Varsayılan olarak C:\Program Files ve C:\Program Files (x86)).

E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme

Bu kural, Microsoft Outlook, Outlook.com ve diğer popüler web posta sağlayıcılarıyla açılan e-postaların aşağıdaki dosya türlerini yaymalarını engeller:

  • Yürütülebilir dosyalar (örneğin, .exe, .dll veya .scr).

  • Betik dosyaları (örneğin, .ps1, .vbs veya .js).

  • Arşiv dosyaları (örneğin, .zip).

  • Microsoft Intune adı:Block executable content from email client and webmail

  • Microsoft Configuration Manager adı:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Gelişmiş tehdit avcılığı eylem türü:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

  • Engelle veya Uyar modundaki bu ASR kuralı, Microsoft Defender Virüsten Koruma'da bulut koruma düzeyinde ek gereksinimlere sahiptir:
    • EDR uyarıları yalnızca cihazdaki bulut koruma düzeyi Yüksek artı veya Sıfır tolerans olduğunda oluşturulur.
    • Kullanıcı bildirimi açılır pencereleri yalnızca cihazdaki bulut koruma düzeyi Yüksek, Yüksek artı veya Sıfır tolerans olduğunda oluşturulur.
  • Bu ASR kuralı aşağıdaki alternatif açıklamalara sahiptir:
    • Intune (Yapılandırma Profilleri):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Yapılandırma Yöneticisi:Block executable content download from email and webmail clients
    • grup ilkesi:Block executable content from email client and webmail

Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin

İpucu

Şu anda, bilinen bir arka uç sorunu nedeniyle bu ASR kuralı Intune ASR ilke yapılandırmasında kullanılamayabilir. Ancak kural, kullanılabilir diğer ASR ilkesi yapılandırma yöntemleri aracılığıyla veya sorundan önce oluşturulan mevcut Intune ASR ilkelerinde kullanılabilir.

Bu ASR kuralı yürütülebilir dosyaların (örneğin, .exe, .dll veya .scr) başlatılmasını engeller. Güvenilmeyen veya bilinmeyen yürütülebilir dosyaların başlatılması riskli olabilir çünkü başlangıçta dosyaların kötü amaçlı olup olmadığı net değildir.

  • Microsoft Intune adı:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager adı:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma, Bulut Koruması

Not

Karartılmış olabilecek betiklerin yürütülmesini engelleme

Bu ASR kuralı, belirsiz bir betik içindeki şüpheli özellikleri algılar.

Betik karartma, hem kötü amaçlı yazılım yazarlarının hem de yasal uygulamaların fikri mülkiyeti gizlemek veya betik yükleme sürelerini azaltmak için kullandığı yaygın bir tekniktir. Kötü amaçlı yazılım yazarları, kötü amaçlı kodları okumayı zorlaştırmak için de karartma kullanır ve bu da insanlar ve güvenlik yazılımları tarafından yakından incelemeyi engeller.

  • Microsoft Intune adı:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager adı:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma, Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI), Bulut Koruması

Not

JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme

Bu ASR kuralı, betiklerin kötü amaçlı olarak indirilmiş olabilecek içeriği başlatmasını engeller. JavaScript veya VBScript ile yazılan kötü amaçlı yazılımlar genellikle internetten diğer kötü amaçlı yazılımları getirmek ve başlatmak için bir indirici görevi görür. Yaygın olmasa da, iş kolu uygulamaları bazen yükleyicileri indirmek ve başlatmak için betikler kullanır.

  • Microsoft Intune adı:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager adı:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma, Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI)

Not

  • Bu kural, Microsoft Intune aracılığıyla modern birleştirilmiş çözümü kullanarak Windows Server 2012 R2'ye veya Windows Server 2016 dağıtıldığında desteklenmez.

  • Engelle veya Uyar modundaki bu ASR kuralı, Microsoft Defender Virüsten Koruma'da bulut koruma düzeyinde ek gereksinimlere sahiptir:

    • EDR uyarıları yalnızca cihazdaki bulut koruma düzeyi Yüksek artı veya Sıfır tolerans olduğunda oluşturulur.
    • Kullanıcı bildirimi açılır pencereleri yalnızca cihazdaki bulut koruma düzeyi Yüksek, Yüksek artı veya Sıfır tolerans olduğunda oluşturulur.

Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme

Bu ASR kuralı, kötü amaçlı bileşenleri diske kaydetmek için Office uygulamalarının (örneğin, Word, Excel ve PowerPoint) vektör olarak kullanılmasını engeller. Bu kötü amaçlı bileşenler bilgisayarın yeniden başlatılmasından kurtulabilir ve sistemde kalıcı hale gelebilir. Bu kural şu şekilde bu kalıcılık tekniğine karşı savunur:

  • Diske yazılan koda erişimi engelleme (açma/yürütme).

  • Office dosyalarında çalışmasına izin verilen Office makroları tarafından kaydedilen güvenilmeyen dosyaların yürütülmesini engelleme.

  • Microsoft Intune adı:Block Office applications from creating executable content

  • Microsoft Configuration Manager adı:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Gelişmiş tehdit avcılığı eylem türü:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Bağımlılıklar: Microsoft Defender Virüsten Koruma, RPC

Not

Bu kural sınırlı dışlama desteğine sahiptir. Ayrıntılar için bkz. ASR kuralları için dosya ve klasör dışlamaları.

Bu ASR kuralı Office'in yükleme konumundan etkilenmez.

Office uygulamalarının diğer işlemlere kod eklemesini engelleme

Bu ASR kuralı, Office uygulamalarından diğer işlemlere kod ekleme girişimlerini engeller. Saldırganlar, kötü amaçlı kodu kod ekleme yoluyla diğer işlemlere geçirmek için Office uygulamalarını kullanmayı deneyerek kodun temiz bir işlem olarak gizlenmesini sağlayabilir. Kod ekleme kullanmanın bilinen meşru iş amaçları yoktur.

  • Microsoft Intune adı:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager adı:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

  • Bu ASR kuralı Uyarı modunu desteklemez.
  • Bu ASR kuralı Word, Excel, OneNote ve PowerPoint için geçerlidir.
  • Bu ASR kuralı, yapılandırma değişikliklerinin etkili olması için Microsoft 365 Uygulamaları (Office uygulamalarının) yeniden başlatılmasını gerektirir.
  • Bu kural sınırlı dışlama desteğine sahiptir. Ayrıntılar için bkz. ASR kuralları için dosya ve klasör dışlamaları.
  • Bu ASR kuralı aşağıdaki uygulamalarla uyumsuz:
  • Bu ASR kuralı yalnızca Office veya %ProgramFiles(x86)% konumlarında %ProgramFiles% yüklüyse uygulanır (Varsayılan olarak C:\Program Files ve C:\Program Files (x86)).

Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme

Bu ASR kuralı, Outlook'un alt işlemler oluşturmasını engellerken, geçerli Outlook işlevlerine de izin verir. Bu ASR kuralı şunlara karşı koruma sağlar:

  • Sosyal mühendislik, Outlook'taki güvenlik açıklarını kötüye kullanmaktan kod yararlanmayı engeller ve saldırır.

  • Bir kullanıcının kimlik bilgileri tehlikeye atıldığında saldırganların kullanabileceği Outlook kuralları ve form açıklarından yararlanılır.

  • Microsoft Intune adı:Block Office communication application from creating child processes

  • Microsoft Configuration Manager adı: yok

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Gelişmiş tehdit avcılığı eylem türü:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

Bu kural sınırlı dışlama desteğine sahiptir. Ayrıntılar için bkz. ASR kuralları için dosya ve klasör dışlamaları.

Bu kural yalnızca Office veya %ProgramFiles(x86)% konumlarında %ProgramFiles% yüklüyse uygulanır (Varsayılan olarak C:\Program Files ve C:\Program Files (x86)).

PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme

Önemli

Microsoft Configuration Manager kullanıyorsanız, bu kuralı yönetilen cihazlarda etkinleştirmek için diğer kullanılabilir dağıtım yöntemlerini kullanmayın. Yapılandırma Yöneticisi istemcisi büyük ölçüde WMI'ye dayanır.

Bu ASR kuralı , PsExec ve WMI aracılığıyla oluşturulan işlemlerin çalışmasını engeller. PsExec ve WMI uzaktan kod yürütebilir. Kötü amaçlı yazılım komut ve denetim için PsExec ve WMI kullanabilir veya ağ bulaşmalarını yayabilir.

  • Microsoft Intune adı:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager adı: yok
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

Bu kural sınırlı dışlama desteğine sahiptir. Ayrıntılar için bkz. ASR kuralları için dosya ve klasör dışlamaları.

Güvenli Modda makinenin yeniden başlatılmasını engelleme

Bu ASR kuralı, ve bootcfg gibi bcdedit yaygın olarak kötüye kullanılan komutların Güvenli Mod'da Windows bilgisayarlarını yeniden başlatmasını engeller. Güvenli Modda, birçok güvenlik ürünü devre dışı bırakılır veya sınırlı işlevsellikle çalıştırılır. Güvenli Mod, saldırganların kurcalama komutlarını daha fazla başlatmasına veya makinedeki tüm dosyaları yürütmesine ve şifrelemesine olanak tanır.

Güvenli Mod'a Windows Kurtarma Ortamı'ndan el ile erişmeye devam edilir.

  • Microsoft Intune adı:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager adı: yok
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

Şu anda Microsoft Defender Güvenlik Açığı Yönetimi bu kuralı tanımıyor. Saldırı yüzeyi azaltma (ASR) kuralları raporu bu kuralı Geçerli değil olarak gösterir.

USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme

Bu ASR kuralı, imzalanmamış veya güvenilmeyen yürütülebilir dosyaların (örneğin, .exe, .dll veya .scr) SD kartlar da dahil olmak üzere USB çıkarılabilir sürücülerden çalışmasını engeller.

Bu ASR kuralı, dosyaların USB sürücüden diske kopyalanmasını engellemez. Kopyalanan dosyaların diskten çalıştırılmasını engeller.

  • Microsoft Intune adı:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager adı:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme

Bu ASR kuralı, Windows sistem araçlarının kopyaları (yinelenenler veya taklitçiler) olarak tanımlanan yürütülebilir dosyaların yayılmasını ve kullanımını engeller. Bazı kötü amaçlı programlar algılamayı önlemek veya ayrıcalık kazanmak için Windows sistem araçlarını kopyalamaya veya taklit etmeye çalışabilir. Bu tür yürütülebilir dosyalara izin vermek olası saldırılara yol açabilir.

  • Microsoft Intune adı:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager adı: yok
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

Şu anda Microsoft Defender Güvenlik Açığı Yönetimi bu kuralı tanımıyor. Saldırı yüzeyi azaltma (ASR) kuralları raporu bu kuralı Geçerli değil olarak gösterir.

Sunucular için WebShell oluşturmayı engelleme

Bu ASR kuralı, Microsoft Exchange çalıştıran Windows sunucularında web kabuğu betiği oluşturmayı engeller. Web kabuğu betiği, saldırganın güvenliği aşılmış sunucuyu denetlemesine olanak tanıyan hazırlanmış bir betiktir. Web kabuğu betiği aşağıdaki işlevleri içerebilir:

  • Kötü amaçlı komutları alın ve çalıştırın.

  • Kötü amaçlı dosyaları indirin ve çalıştırın.

  • Kimlik bilgilerini ve hassas bilgileri çal ve dışarı çıkar.

  • Olası hedefleri belirleme.

  • Microsoft Intune adı:Block Webshell creation for Servers

  • Microsoft Configuration Manager adı: yok

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Gelişmiş tehdit avcılığı eylem türü: yok

  • Bağımlılıklar: Microsoft Defender Virüsten Koruma

Not

  • Bu kural, Microsoft Intune aracılığıyla modern birleştirilmiş çözümü kullanarak Windows Server 2012 R2'ye veya Windows Server 2016 dağıtıldığında desteklenmez.
  • ASR kurallarını Uç Nokta için Microsoft Defender yönetiyorsanız, bu ASR'yi grup ilkesi veya diğer yerel ayarlarda yapılandırmayın (değeri olarak Not Configuredbırakın). Diğer tüm değerler (örneğin, Enabled veya Disabled) çakışmalara neden olabilir ve kuralın doğru uygulanmasını engelleyebilir.
  • Şu anda Microsoft Defender Güvenlik Açığı Yönetimi bu kuralı tanımıyor. Saldırı yüzeyi azaltma (ASR) kuralları raporu bu kuralı Geçerli değil olarak gösterir.

Office makrolarından Win32 API çağrılarını engelleme

Office Visual Basic for Applications (VBA), Win32 API çağrılarını etkinleştirir. Bu ASR kuralı VBA makrolarının Win32 API'lerini çağırmasını engeller. Kötü amaçlı yazılımlar, doğrudan diske hiçbir şey yazmadan kötü amaçlı kabuk kodu başlatmak için Win32 API'lerini çağırmak gibi bu özelliği kötüye kullanabilir.

Çoğu kuruluş, makroları başka şekillerde kullansalar bile VBA makrolarından Win32 API çağrılarına ihtiyaç duymaz.

  • Microsoft Intune adı:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager adı:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma, Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI)

Fidye yazılımına karşı gelişmiş koruma kullanma

Not

Bu ASR kuralı fidye yazılımlarına karşı ek bir koruma katmanı sağlar. Bir dosyanın fidye yazılımına benzeip benzemediğini belirlemek için hem istemci hem de bulut buluşsal yöntemleri kullanır. Bu kural, aşağıdaki özelliklerden birine veya daha fazlasına sahip dosyaları engellemez:

  • Dosya Microsoft bulutunda zarar görmemiş olarak bulunur.
  • Dosya geçerli bir imzalı dosyadır.
  • Dosya fidye yazılımı olarak kabul edilmeyecek kadar yaygındır.

Bu kural yalnızca kötü bir üne sahip dosyaları engellemez. Bunun yerine, kural dikkatli olunmasından ve henüz olumlu bir üne sahip olmayan dosyaları engellemesine neden olur. Genellikle, bu kural tarafından zararsız ve bilinmeyen dosyalardaki bloklar sonunda kendilerini çözümler. Sorunlu olmayan kullanım arttıkça dosyanın saygınlığı ve güven değerleri artımlı olarak artar.

İyi huylu ve bilinmeyen dosyalardaki bloklar zamanında çözümlenmezse, bu kural için ASR başına kural dışlaması yapılandırabilir veya risk göstergesi (IoC) için İzin Ver eylemini kullanabilirsiniz.

  • Microsoft Intune adı:Use advanced protection against ransomware
  • Microsoft Configuration Manager adı:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Gelişmiş tehdit avcılığı eylem türü:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Bağımlılıklar: Microsoft Defender Virüsten Koruma, Bulut Koruması

İlgili içerik

  • Last updated on