Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kuralları (ASR kuralları) hakkında bilgi sağlanır:
- ASR kuralları desteklenen işletim sistemi sürümleri
- ASR kuralları tarafından desteklenen yapılandırma yönetim sistemleri
- ASR kuralı uyarı ve bildirim ayrıntıları başına
- ASR kuralı- GUID matrisi
- ASR kural modları
- Kural başına açıklama sayısı
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
İpucu
Bu makalenin eşlikçisi olarak, en iyi yöntemleri gözden geçirmek ve saldırı yüzeyini azaltma ve yeni nesil koruma gibi temel araçlar hakkında bilgi edinmek için Uç Nokta için Microsoft Defender kurulum kılavuzumuza bakın. Ortamınızı temel alan özelleştirilmiş bir deneyim için, Microsoft 365 yönetim merkezi Uç Nokta için Defender otomatik kurulum kılavuzuna erişebilirsiniz.
Önkoşullar
Desteklenen işletim sistemleri
- Windows
Türe göre saldırı yüzeyi azaltma kuralları
Saldırı yüzeyi azaltma kuralları iki türden biri olarak sınıflandırılır:
Standart koruma kuralları: Diğer ASR kurallarının etkisini ve yapılandırma gereksinimlerini değerlendirirken Microsoft'un her zaman etkinleştirmenizi önerdiği en düşük kural kümesidir. Bu kurallar genellikle son kullanıcı üzerinde en az farkedilir etkiye sahiptir.
Diğer kurallar: Saldırı yüzeyi azaltma kuralları dağıtım kılavuzunda belirtildiği gibi belgelenmiş dağıtım adımlarını [Plan > Test (denetim) > Etkinleştir (blok/uyarı modları)] takip eden bir ölçü gerektiren kurallar.
Standart koruma kurallarını etkinleştirmenin en kolay yöntemi için bkz . Basitleştirilmiş standart koruma seçeneği.
| ASR kural adı | Standart Koruma Kural? |
Diğer Kural? |
|---|---|---|
| Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi | Evet | |
| Adobe Reader'ın alt işlemler oluşturmalarını engelleme¹ | Evet | |
| Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme | Evet | |
| Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe)¹ ² kimlik bilgilerinin çalınmalarını engelleme | Evet | |
| E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme | Evet | |
| Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadıkları sürece yürütülebilir dosyaların çalışmasını engelle³ | Evet | |
| Karartılmış olabilecek betiklerin yürütülmesini engelleme | Evet | |
| JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme | Evet | |
| Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme¹ | Evet | |
| Office uygulamalarının diğer işlemlere kod eklemesini engelleme¹ ² | Evet | |
| Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme¹ | Evet | |
| WMI olay aboneliği aracılığıyla kalıcılığı engelleme | Evet | |
| PSExec ve WMI komutlarından kaynaklanan işlem oluşturmalarını engelleme¹ | Evet | |
| Güvenli Modda makinenin yeniden başlatılmasını engelleme | Evet | |
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | Evet | |
| Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme | Evet | |
| Sunucular için WebShell oluşturmayı engelleme | Evet | |
| Office makrolarından Win32 API çağrılarını engelleme⁴ | Evet | |
| Fidye yazılımına karşı gelişmiş koruma kullanma | Evet |
¹ Bu ASR kuralı Microsoft Defender Virüsten Koruma dışlamalarına uymaz. Kural başına ASR dışlamalarını yapılandırma hakkında bilgi için bkz. Kural başına saldırı yüzeyi azaltma dışlamalarını yapılandırma.
² Bu ASR kuralı, dosyalar veya sertifikalar için Uç Nokta için Microsoft Defender Risk Göstergelerine (IOC) uymaz.
³ Şu anda bu ASR kuralı bilinen bir arka uç sorunu nedeniyle Intune Saldırı Yüzeyi Azaltma ilkesi yapılandırmasında kullanılamayabilir. Ancak, kural hala var ve diğer yöntemler aracılığıyla kullanılabilir. Örneğin, güvenlik ayarları yönetimi, Yapılandırma Hizmet Sağlayıcısı (CSP), Add-MpPreference veya sorundan önce oluşturulan kurallarda mevcut Intune ASR ilke yapılandırması Uç Nokta için Microsoft Defender.
⁴ Bu ASR kuralı, sertifikalar için Uç Nokta için Microsoft Defender Risk Göstergelerine (IOC) uymaz.
ASR kuralları tarafından desteklenen işletim sistemleri
Aşağıdaki tabloda, şu anda genel kullanıma sunulan kurallar için desteklenen işletim sistemleri listelenmektedir. Kurallar bu tabloda alfabetik sırada listelenmiştir.
Not
Aksi belirtilmedikçe, en düşük Windows 10 derlemesi sürüm 1709 (RS3, derleme 16299) veya üzeridir; en düşük Windows Server derlemesi sürüm 1809 veya üzeridir. Windows Server 2012 R2 ve Windows Server 2016 saldırı yüzeyi azaltma kuralları, modern birleşik çözüm paketi kullanılarak eklenen cihazlar için kullanılabilir. Daha fazla bilgi için bkz. Modern birleşik çözümde yeni Windows Server 2012 R2 ve 2016 işlevselliği.
*Şu anda, bilinen bir arka uç sorunu nedeniyle bu ASR kuralı Intune Saldırı Yüzeyi Azaltma ilkesi yapılandırmasında kullanılamayabilir. Ancak, kural hala var ve diğer yöntemler aracılığıyla kullanılabilir. Örneğin, Uç Nokta için Microsoft Defender güvenlik ayarları yönetimi, Yapılandırma Hizmeti Sağlayıcısı (CSP), Add-MpPreference veya sorundan önce oluşturulan kurallarda mevcut Intune ASR ilke yapılandırması).
Not
- Windows Server 2012 R2 ve Windows Server 2016 için bkz. Windows Server 2016 ekleme ve R2'yi Windows Server 2012.
- Configuration Manager kullanıyorsanız, Microsoft Endpoint Configuration Manager'ın en düşük gerekli sürümü 2111 sürümüdür.
ASR kuralları tarafından desteklenen yapılandırma yönetim sistemleri
Bu tabloda başvurulan yapılandırma yönetim sistemi sürümleri hakkındaki bilgilerin bağlantıları bu tablonun altında listelenmiştir.
(1) Herhangi bir kuralın GUID'sini kullanarak saldırı yüzeyi azaltma kurallarını kural temelinde yapılandırabilirsiniz.
*Şu anda, bilinen bir arka uç sorunu nedeniyle bu ASR kuralı Intune Saldırı Yüzeyi Azaltma ilkesi yapılandırmasında kullanılamayabilir. Ancak, kural hala var ve diğer yöntemler aracılığıyla kullanılabilir. Örneğin, Uç Nokta için Microsoft Defender güvenlik ayarları yönetimi, Yapılandırma Hizmeti Sağlayıcısı (CSP), Add-MpPreference veya sorundan önce oluşturulan kurallarda mevcut Intune ASR ilke yapılandırması).
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM artık Microsoft Configuration Manager.
ASR kuralı uyarı ve bildirim ayrıntıları başına
Blok modundaki tüm kurallar için bildirim bildirimleri oluşturulur. Diğer modlardaki kurallar bildirim oluşturmaz.
"Kural Durumu" belirtilen kurallar için:
- Birleşimleri olan
\ASR Rule, Rule State\ASR kuralları, uyarıların (bildirim bildirimleri) yalnızca bulut bloğu düzeyindeHighayarlanmış cihazlar için Uç Nokta için Microsoft Defender üzerinde ortaya koyulma amacıyla kullanılır. - Bulut bloğu düzeyinde
Highayarlanmayan cihazlar hiçbirASR Rule, Rule Statebirleşim için uyarı oluşturmaz. - Uç Nokta Algılama ve Yanıt (EDR) uyarıları, bulut bloğu düzeyinde
High+ayarlanan cihazlar için belirtilen durumlarda ASR kuralları için oluşturulur. - Bildirim bildirimleri yalnızca blok modunda ve bulut bloğu düzeyinde
Highayarlanan cihazlar için gerçekleşir.
*Şu anda, bilinen bir arka uç sorunu nedeniyle bu ASR kuralı Intune Saldırı Yüzeyi Azaltma ilkesi yapılandırmasında kullanılamayabilir. Ancak, kural hala var ve diğer yöntemler aracılığıyla kullanılabilir. Örneğin, Uç Nokta için Microsoft Defender güvenlik ayarları yönetimi, Yapılandırma Hizmeti Sağlayıcısı (CSP), Add-MpPreference veya sorundan önce oluşturulan kurallarda mevcut Intune ASR ilke yapılandırması).
ASR kuralı- GUID matrisi
| Kural Adı | Kural GUID'i |
|---|---|
| Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Adobe Reader'ın alt işlemler oluşturmalarını engelleme | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Karartılmış olabilecek betiklerin yürütülmesini engelleme | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme | d3e037e1-3eb8-44c8-a917-57927947596d |
| Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Office uygulamalarının diğer işlemlere kod eklemesini engelleme | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| WMI olay aboneliği aracılığıyla kalıcılığı engelleme * Dosya ve klasör dışlamaları desteklenmiyor. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Güvenli Modda makinenin yeniden başlatılmasını engelleme | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Sunucular için WebShell oluşturmayı engelleme | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Office makrolarından Win32 API çağrılarını engelleme | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Fidye yazılımına karşı gelişmiş koruma kullanma | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*Şu anda, bilinen bir arka uç sorunu nedeniyle bu ASR kuralı Intune Saldırı Yüzeyi Azaltma ilkesi yapılandırmasında kullanılamayabilir. Ancak, kural hala var ve diğer yöntemler aracılığıyla kullanılabilir. Örneğin, Uç Nokta için Microsoft Defender güvenlik ayarları yönetimi, Yapılandırma Hizmeti Sağlayıcısı (CSP), Add-MpPreference veya sorundan önce oluşturulan kurallarda mevcut Intune ASR ilke yapılandırması).
ASR kural modları
| Kural modu | Kod | Açıklama |
|---|---|---|
| Yapılandırılmadı veya Devre Dışı | 0 | ASR kuralı etkinleştirilmedi veya devre dışı bırakıldı. |
| Engelle | 1 | ASR kuralı blok modunda etkinleştirilir. |
| Denetim | 2 | ASR kuralı, Engelle veya Uyar modunda etkinleştirilirse ortam üzerindeki etkisi için değerlendirilir. |
| Uyarmak | 6 | ASR kuralı etkindir ve kullanıcıya bir bildirim sunar, ancak kullanıcı bloğu atlayabilir. |
Uyar , kullanıcıları bir uyarı açılır penceresi aracılığıyla riskli olabilecek eylemlere karşı uyaran bir blok türüdür. Kullanıcılar bloğu zorlamak için Tamam'ı veya bloğu atlayarak önümüzdeki 24 saat boyunca Engellemeyi Kaldır'ı seçebilir. 24 saat sonra kullanıcının engellemeye yeniden izin vermesi gerekir.
ASR kuralları için uyarı modu yalnızca Windows 10 sürüm 1809 veya sonraki sürümlerde desteklenir. Uyarı modu kuralı atanmış Windows 10 eski sürümleri blok modunda etkili bir şekilde bulunur.
PowerShell'de, değerine Warnsahip AttackSurfaceReductionRules_Actions parametresini belirterek uyarı modunda bir ASR kuralı oluşturabilirsiniz. Örneğin:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Kural açıklamaları başına
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
Not
Ortamınızı savunmasız sürücülere karşı korumak için önce şu yöntemleri uygulamanız gerekir:
- İş için Microsoft Uygulama Denetimi'Windows Server 2016 veya daha sonraki Windows 10 veya sonraki sürümlerde tüm sürücüleri varsayılan olarak engellemeli ve yalnızca gerekli gördüğünüz ve savunmasız olduğu bilinmeyen sürücülere izin vermelisiniz.
- R2 veya daha eski Windows 8.1 veya daha eski Windows Server 2012 Microsoft AppLocker kullanarak tüm sürücüleri varsayılan olarak engellemeli ve yalnızca gerekli gördüğünüz ve savunmasız olduğu bilinmeyen sürücülere izin vermelisiniz.
- Windows 11 veya üzeri ve çekirdek 1809 veya sonraki Windows Server ya da Windows Server 2019 veya üzeri için Microsoft Windows güvenlik açığı bulunan sürücü bloğu listesini de etkinleştirmeniz gerekir. Ardından, başka bir savunma katmanı olarak bu saldırı yüzeyi azaltma kuralını etkinleştirmeniz gerekir.
Bu kural, bir uygulamanın diske güvenlik açığı bulunan imzalı bir sürücü yazmasını engeller. Yeterli ayrıcalıklara sahip yerel uygulamalar, çekirdek erişimi elde etmek için güvenlik açığı bulunan imzalı sürücülerden yararlanabilir. Güvenlik açığı bulunan imzalı sürücüler, saldırganların güvenlik çözümlerini devre dışı bırakmasına veya aşmasına olanak tanır ve sonunda sistem güvenliğinin aşılmasına neden olur.
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılmasına engel olun kuralı, sistemde zaten var olan bir sürücünün yüklenmesini engellemez.
Not
Bu kuralı Intune OMA-URI kullanarak yapılandırabilirsiniz. Özel kuralları yapılandırmak için bkz. OMA-URI Intune. Bu kuralı PowerShell kullanarak da yapılandırabilirsiniz. Bir sürücünün incelenmesini sağlamak için bu Web sitesini kullanarak Analiz için bir sürücü gönderin.
Intune Adı:Block abuse of exploited vulnerable signed drivers
Configuration Manager adı: Henüz kullanılamıyor
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Gelişmiş tehdit avcılığı eylem türü:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Adobe Reader'ın alt işlemler oluşturmalarını engelleme
Bu kural, Adobe Reader'ın işlem oluşturmasını engelleyerek saldırıları engeller.
Kötü amaçlı yazılımlar, sosyal mühendislik veya açıklardan yararlanarak adobe reader'ın yüklerini indirip başlatabilir ve bu yükten kurtulabilir. Adobe Reader'ın alt işlemler oluşturmasını engelleyerek, Adobe Reader'ı saldırı vektöru olarak kullanmaya çalışan kötü amaçlı yazılımların yayılması engellenir.
Intune adı:Process creation from Adobe Reader (beta)
Configuration Manager adı: Henüz kullanılamıyor
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Gelişmiş tehdit avcılığı eylem türü:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme
Bu kural, Office uygulamalarının alt işlemler oluşturmalarını engeller. Office uygulamaları Word, Excel, PowerPoint, OneNote ve Access'i içerir.
Kötü amaçlı alt işlemler oluşturmak yaygın bir kötü amaçlı yazılım stratejisidir. Vektör olarak Office'i kötüye kullanan kötü amaçlı yazılımlar genellikle VBA makroları çalıştırır ve daha fazla yük indirip çalıştırmaya çalışmak için koddan yararlanılır. Ancak bazı meşru iş kolu uygulamaları da zararsız amaçlarla alt işlemler oluşturabilir. Örneğin, bir Komut İstemi oluşturma veya powershell kullanarak kayıt defteri ayarlarını yapılandırma.
Intune adı:Office apps launching child processes
Configuration Manager adı:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme
Not
LSA korumasını etkinleştirdiyseniz, bu saldırı yüzeyi azaltma kuralı gerekli değildir. Daha güvenli bir duruş için Credential Guard'ı LSA korumasıyla etkinleştirmenizi de öneririz.
LSA koruması etkinse ASR kuralı, Microsoft Defender portalındaki Uç Nokta için Defender yönetim ayarlarında geçerli değil olarak sınıflandırılır.
Bu kural, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti'ni (LSASS) kilitleyerek kimlik bilgilerinin çalınmasını önlemeye yardımcı olur.
LSASS, Windows bilgisayarında oturum açan kullanıcıların kimliğini doğrular. Windows'da Credential Guard normalde LSASS'den kimlik bilgilerini ayıklama girişimlerini engeller. Bazı kuruluşlar, özel akıllı kart sürücüleri veya Yerel Güvenlik Yetkilisi'ne (LSA) yüklenen diğer programlarla ilgili uyumluluk sorunları nedeniyle Credential Guard'ı tüm bilgisayarlarında etkinleştiremiyor. Bu gibi durumlarda saldırganlar, Cleartext parolalarını ve LSASS'den NTLM karmalarını kazımak için Mimikatz gibi araçları kullanabilir.
Varsayılan olarak bu kuralın durumu yapılandırılmadı (devre dışı) olarak ayarlanır. Çoğu durumda, birçok işlem gerekli olmayan erişim hakları için LSASS'ye çağrı yapar. Örneğin, ASR kuralındaki ilk blok, başarılı olan daha düşük bir ayrıcalık için sonraki bir çağrıyla sonuçlandığında. Genellikle LSASS'ye yapılan işlem çağrılarında istenen hak türleri hakkında bilgi için bkz . İşlem Güvenliği ve Erişim Hakları.
ASR kuralı ve LSA koruması benzer şekilde çalıştığı için LSA koruması etkinse bu kuralın etkinleştirilmesi fazladan koruma sağlamaz. Ancak, LSA korumasını etkinleştiremiyorsanız, bu kuralı hedefleyen lsass.exekötü amaçlı yazılımlara karşı eşdeğer koruma sağlayacak şekilde yapılandırabilirsiniz.
İpucu
- ASR denetim olayları bildirim oluşturmaz. LSASS ASR kuralı, büyük hacimli denetim olayları üretir ve kural blok modunda etkinleştirildiğinde neredeyse tümünün yoksayılması güvenlidir. Denetim modu değerlendirmesini atlayıp blok modu dağıtımına devam etmeyi seçebilirsiniz. Küçük bir cihaz kümesiyle başlamanızı ve gerisini kapsayacak şekilde aşamalı olarak genişletmenizi öneririz.
- Kural, kolay işlemler için blok raporlarını/bildirimlerini bastıracak şekilde tasarlanmıştır. Ayrıca yinelenen bloklar için raporları bırakmak üzere tasarlanmıştır. Bu nedenle, bildirim bildirimlerinin etkinleştirilip etkinleştirilmediğine bakılmaksızın, kuralın blok modunda etkinleştirilmesi çok uygundur.
- Uyarı modunda ASR, kullanıcılara "Engellemeyi Kaldır" düğmesini içeren bir blok bildirimi sunmak için tasarlanmıştır. LSASS ASR bloklarının "yoksaymak güvenli" yapısı ve bunların büyük hacmi nedeniyle, bu kural için UYARI modu önerilmez (bildirim bildirimlerinin etkinleştirilip etkinleştirilmediğine bakılmaksızın).
- Bu kural, işlemlerin LSASS.EXE işlem belleğine erişmesini engelleyecek şekilde tasarlanmıştır. Çalışmalarını engellemez. svchost.exe gibi işlemlerin engellendiğini görürseniz, bu yalnızca LSASS işlem belleğine erişimi engeller. Bu nedenle, svchost.exe ve diğer işlemler güvenli bir şekilde yoksayılabilir. Bir özel durum aşağıdaki bilinen sorunlardadır.
Not
Bu senaryoda ASR kuralı, Microsoft Defender portalındaki Uç Nokta için Defender ayarlarında "uygulanamaz" olarak sınıflandırılır.
Windows yerel güvenlik yetkilisi alt sistemi ASR kuralından kimlik bilgilerinin çalınması engelle kuralı uyarı modunu desteklemez.
Bazı uygulamalarda kod, çalışan tüm işlemleri numaralandırır ve bunları kapsamlı izinlerle açmaya çalışır. Bu kural, uygulamanın işlem açma eylemini reddeder ve ayrıntıları güvenlik olay günlüğüne kaydeder. Bu kural çok sayıda kirlilik oluşturabilir. LSASS'yi numaralandıran ancak işlevsellikte gerçek bir etkisi olmayan bir uygulamanız varsa, bunu dışlama listesine eklemenize gerek yoktur. Bu olay günlüğü girdisi tek başına kötü amaçlı bir tehdit anlamına gelmez.
Intune adı:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager adı:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Gelişmiş tehdit avcılığı eylem türü:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Bilinen sorunlar: Bu uygulamalar ve "Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelle" kuralı uyumsuz:
| Uygulama adı | Bilgi için |
|---|---|
| Görev Dirsync Parola Eşitleme | Windows Defender yüklendiğinde Dirsync Parola Eşitleme çalışmıyor, hata: "VirtualAllocEx başarısız oldu: 5" (4253914) |
Teknik destek için yazılım yayımcısı ile iletişime geçin.
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme
Bu kural, Microsoft Outlook uygulamasında açılan e-postayı veya Outlook.com ve diğer popüler web postası sağlayıcılarının aşağıdaki dosya türlerini yaymalarını engeller:
Yürütülebilir dosyalar (.exe, .dll veya .scr gibi)
Betik dosyaları (PowerShell.ps1, Visual Basic .vbs veya JavaScript .js dosyası gibi)
Arşiv dosyaları (.zip ve diğerleri gibi)
Intune adı:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager adı:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Gelişmiş tehdit avcılığı eylem türü:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Not
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelle kuralı, hangi uygulamayı kullandığınıza bağlı olarak aşağıdaki alternatif açıklamalara sahiptir:
- Intune (Yapılandırma Profilleri): E-postadan bırakılan yürütülebilir içeriğin (exe, dll, ps, js, vbs vb.) yürütülmesi (özel durum yok).
- Configuration Manager: E-posta ve web posta istemcilerinden yürütülebilir içerik indirmeyi engelleyin.
- grup ilkesi: E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleyin.
Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin
İpucu
*Şu anda, bilinen bir arka uç sorunu nedeniyle bu ASR kuralı Intune Saldırı Yüzeyi Azaltma ilkesi yapılandırmasında kullanılamayabilir. Ancak, kural hala var ve diğer yöntemler aracılığıyla kullanılabilir. Örneğin, Uç Nokta için Microsoft Defender güvenlik ayarları yönetimi, Yapılandırma Hizmeti Sağlayıcısı (CSP), Add-MpPreference veya sorundan önce oluşturulan kurallarda mevcut Intune ASR ilke yapılandırması).
Bu kural, .exe, .dll veya .scr gibi yürütülebilir dosyaların başlatılmasını engeller. Bu nedenle, güvenilmeyen veya bilinmeyen yürütülebilir dosyaların başlatılması riskli olabilir, bu nedenle dosyaların kötü amaçlı olup olmadığı başlangıçta net olmayabilir.
Önemli
Bu kuralı kullanmak için bulut tabanlı korumayı etkinleştirmeniz gerekir. Bu kural, güvenilir listesini düzenli olarak güncelleştirmek için bulut tabanlı koruma kullanır. Klasör yollarını veya tam kaynak adlarını kullanarak tek tek dosyaları veya klasörleri belirtebilirsiniz. Ayrıca ASROnlyPerRuleExclusions ayarını da destekler.
Intune adı:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager adı:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Gelişmiş tehdit avcılığı eylem türü:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, Bulut Koruması
Karartılmış olabilecek betiklerin yürütülmesini engelleme
Bu kural, belirsiz bir betik içindeki şüpheli özellikleri algılar.
Not
PowerShell betikleri artık "Belirsiz olabilecek betiklerin yürütülmesini engelle" kuralı için desteklenmektedir.
Önemli
Bu kuralı kullanmak için bulut tabanlı korumayı etkinleştirmeniz gerekir.
Betik karartma, hem kötü amaçlı yazılım yazarlarının hem de yasal uygulamaların fikri mülkiyeti gizlemek veya betik yükleme sürelerini azaltmak için kullandığı yaygın bir tekniktir. Kötü amaçlı yazılım yazarları, kötü amaçlı kodları okumayı zorlaştırmak için de karartma kullanır ve bu da insanlar ve güvenlik yazılımları tarafından yakından incelemeyi engeller.
Intune adı:Obfuscated js/vbs/ps/macro code
Configuration Manager adı:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Gelişmiş tehdit avcılığı eylem türü:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI), Bulut Koruması
JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme
Bu kural betiklerin kötü amaçlı olabilecek indirilen içeriği başlatmasını engeller. JavaScript veya VBScript ile yazılan kötü amaçlı yazılımlar genellikle İnternet'ten başka kötü amaçlı yazılımları getirmek ve başlatmak için bir indirici görevi görür. Yaygın olmasa da, iş kolu uygulamaları bazen yükleyicileri indirmek ve başlatmak için betikler kullanır.
Intune adı:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager adı:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Gelişmiş tehdit avcılığı eylem türü:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, AMSI
Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme
Bu kural, Word, Excel ve PowerPoint gibi Office uygulamalarının diskte kötü amaçlı kodu kalıcı hale getirmek için vektör olarak kullanılmasını engeller. Office'i vektör olarak kötüye kullanan kötü amaçlı yazılımlar, bilgisayarın yeniden başlatılmasından kurtulacak ve sistemde kalıcı olabilecek kötü amaçlı bileşenleri diske kaydetmeye çalışabilir. Bu kural, diske yazılan koda erişimi engelleyerek (açma/yürütme) bu kalıcılık tekniğine karşı savunur. Bu kural, Office dosyalarında çalışmasına izin verilen Office makroları tarafından kaydedilmiş olabilecek güvenilmeyen dosyaların yürütülmesini de engeller.
Intune adı:Office apps/macros creating executable content
Configuration Manager adı:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Gelişmiş tehdit avcılığı eylem türü:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, RPC
Office uygulamalarının diğer işlemlere kod eklemesini engelleme
Bu kural, Office uygulamalarından diğer işlemlere kod ekleme girişimlerini engeller.
Not
Uygulamaların diğer işlemlere kod eklemesini engelle ASR kuralı WARN modunu desteklemez.
Önemli
Bu kural, yapılandırma değişikliklerinin etkili olması için Microsoft 365 Uygulamaları (Office uygulamalarının) yeniden başlatılmasını gerektirir.
Saldırganlar, kötü amaçlı kodu kod ekleme yoluyla diğer işlemlere geçirmek için Office uygulamalarını kullanmayı deneyerek kodun temiz bir işlem olarak gizlenmesini sağlayabilir. Kod ekleme kullanmanın bilinen meşru iş amaçları yoktur.
Bu kural Word, Excel, OneNote ve PowerPoint için geçerlidir.
Intune adı:Office apps injecting code into other processes (no exceptions)
Configuration Manager adı:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Bilinen sorunlar: Bu uygulamalar ve "Office uygulamalarının diğer işlemlere kod eklemesini engelle" kuralı uyumsuz:
| Uygulama adı | Bilgi için |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | Eylül-2024 (Platform: 4.18.24090.11 |Motor 1.1.24090.11). |
| Heimdal güvenliği | yok |
Teknik destek için yazılım yayımcısı ile iletişime geçin.
Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme
Bu kural, Outlook'un alt işlemler oluşturmasını engellerken, geçerli Outlook işlevlerine de izin verir. Bu kural sosyal mühendislik saldırılarına karşı koruma sağlar ve Kodun Outlook'taki güvenlik açıklarını kötüye kullanmasını önler. Ayrıca, bir kullanıcının kimlik bilgileri tehlikeye atıldığında saldırganların kullanabileceği Outlook kurallarına ve biçim açıklarına karşı koruma sağlar.
Intune adı:Process creation from Office communication products (beta)
Configuration Manager adı: Kullanılamıyor
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
WMI olay aboneliği aracılığıyla kalıcılığı engelleme
Bu kural, kötü amaçlı yazılımların cihazda kalıcılık elde etmek için WMI'yi kötüye çalışmasını önler.
Dosyasız tehditler, gizli kalmak, dosya sisteminde görülmemek ve düzenli yürütme denetimi elde etmek için çeşitli taktikler uygular. Bazı tehditler gizli kalmak için WMI deposunu ve olay modelini kötüye kullanabilir.
Not
(SCCM Agent) ile CcmExec.exe Configuration Manager (CM, daha önce MEMCM veya SCCM) kullanıyorsanız en az 60 gün boyunca denetim modunda çalıştırmanızı öneririz.
Blok moduna geçmeye hazır olduğunuzda, gerekli kural dışlamalarını göz önünde bulundurarak uygun ASR kurallarını dağıttığınızı doğrulayın.
Intune adı:Persistence through WMI event subscription
Configuration Manager adı: Kullanılamıyor
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Gelişmiş tehdit avcılığı eylem türü:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, RPC
PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme
Bu kural , PsExec ve WMI aracılığıyla oluşturulan işlemlerin çalışmasını engeller. Hem PsExec hem de WMI uzaktan kod yürütebilir. PsExec ve WMI'nin komut ve denetim amacıyla işlevselliğini kötüye kullanma veya kuruluşun ağına bulaşma riski vardır.
Uyarı
Bu kuralı yalnızca cihazlarınızı Intune veya başka bir MDM çözümüyle yönetiyorsanız kullanın. Bu kural, Configuration Manager istemcisinin düzgün çalışması için kullandığı WMI komutlarını engellediğinden, bu kural Microsoft Endpoint Configuration Manager aracılığıyla yönetimle uyumsuzdur.
Intune adı:Process creation from PSExec and WMI commands
Configuration Manager adı: Geçerli değil
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Gelişmiş tehdit avcılığı eylem türü:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Güvenli Modda makinenin yeniden başlatılmasını engelleme
Bu kural, makineleri Güvenli Modda yeniden başlatmak için belirli komutların yürütülmesini engeller. Güvenli Modda, birçok güvenlik ürünü devre dışı bırakılır veya sınırlı kapasitede çalışır. Bu etki, saldırganların kurcalama komutlarını daha fazla başlatmasına veya makinedeki tüm dosyaları yürütmesine ve şifrelemesine olanak tanır. Bu kural, ve gibi bcdeditbootcfg yaygın olarak kötüye kullanılan komutların Güvenli Mod'da makineleri yeniden başlatmasını engelleyerek Güvenli Modun kötüye kullanılmasını engeller. Güvenli Mod'a Windows Kurtarma Ortamı'ndan el ile erişmeye devam edilir.
Intune Adı:Block rebooting machine in Safe Mode
Configuration Manager adı: Henüz kullanılamıyor
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Gelişmiş tehdit avcılığı eylem türü:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Not
Şu anda Tehdit ve Güvenlik Açığı Yönetimi bu kuralı tanımıyor, bu nedenle Saldırı Yüzeyi Azaltma kuralı raporu bunu "Uygulanamaz" olarak gösteriyor.
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme
Bu kuralla, yöneticiler imzalanmamış veya güvenilmeyen yürütülebilir dosyaların SD kartlar da dahil olmak üzere USB çıkarılabilir sürücülerden çalıştırılmasını engelleyebilir. Engellenen dosya türleri yürütülebilir dosyaları (.exe, .dll veya .scr gibi) içerir
Önemli
Bu kural, disk sürücüsünde yürütülmek üzereyse ve yürütülmek üzere olduğunda USB'den disk sürücüsüne kopyalanan dosyaları engeller.
Intune adı:Untrusted and unsigned processes that run from USB
Configuration Manager adı:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Gelişmiş tehdit avcılığı eylem türü:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme
Bu kural, Windows sistem araçlarının kopyaları olarak tanımlanan yürütülebilir dosyaların kullanımını engeller. Bu dosyalar, özgün sistem araçlarının yinelenenleri veya taklitçileridir. Bazı kötü amaçlı programlar algılamayı önlemek veya ayrıcalık kazanmak için Windows sistem araçlarını kopyalamaya veya taklit etmeye çalışabilir. Bu tür yürütülebilir dosyalara izin vermek olası saldırılara yol açabilir. Bu kural, Windows makinelerinde sistem araçlarının bu tür yinelemelerinin ve impostor'larının yayılmasını ve yürütülmesini engeller.
Intune Adı:Block use of copied or impersonated system tools
Configuration Manager adı: Henüz kullanılamıyor
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Gelişmiş tehdit avcılığı eylem türü:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Not
Şu anda Tehdit ve Güvenlik Açığı Yönetimi bu kuralı tanımıyor, bu nedenle Saldırı Yüzeyi Azaltma kuralı raporu bunu "Uygulanamaz" olarak gösteriyor.
Sunucular için WebShell oluşturmayı engelleme
Bu kural, Microsoft Server, Exchange Rolü üzerinde web kabuğu betiği oluşturmayı engeller. Web kabuğu betiği, saldırganın güvenliği aşılmış sunucuyu denetlemesine olanak tanıyan hazırlanmış bir betiktir.
Web kabuğu kötü amaçlı komutları alma ve yürütme, kötü amaçlı dosyaları indirip yürütme, kimlik bilgilerini ve hassas bilgileri çalıp çıkarma ve olası hedefleri belirleme gibi işlevleri içerebilir.
Intune adı:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Not
ASR kurallarını Uç Nokta için Microsoft Defender güvenlik ayarları yönetimini kullanarak yönetirken, grup ilkesi veya diğer yerel ayarlarda olduğu gibi Not ConfiguredSunucular için WebShell oluşturmayı engelle ayarını yapılandırmanız gerekir. Bu kural başka bir değere (veya DisabledgibiEnabled) ayarlanırsa çakışmalara neden olabilir ve ilkenin güvenlik ayarları yönetimi aracılığıyla doğru şekilde uygulanmasını engelleyebilir.
Şu anda Tehdit ve Güvenlik Açığı Yönetimi bu kuralı tanımıyor, bu nedenle Saldırı Yüzeyi Azaltma kuralı raporu bunu "Uygulanamaz" olarak gösteriyor.
Office makrolarından Win32 API çağrılarını engelleme
Bu kural VBA makrolarının Win32 API'lerini çağırmasını engeller. Office VBA, Win32 API çağrılarını etkinleştirir. Kötü amaçlı yazılımlar, doğrudan diske hiçbir şey yazmadan kötü amaçlı kabuk kodu başlatmak için Win32 API'lerini çağırmak gibi bu özelliği kötüye kullanabilir. Çoğu kuruluş, makroları başka şekillerde kullansalar bile günlük çalışmalarında Win32 API'lerini çağırma özelliğine güvenmez.
Intune adı:Win32 imports from Office macro code
Configuration Manager adı:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, AMSI
Fidye yazılımına karşı gelişmiş koruma kullanma
Bu kural fidye yazılımlarına karşı ek bir koruma katmanı sağlar. Bir dosyanın fidye yazılımına benzeip benzemediğini belirlemek için hem istemci hem de bulut buluşsal yöntemleri kullanır. Bu kural, aşağıdaki özelliklerden birine veya daha fazlasına sahip dosyaları engellemez:
- Dosya Microsoft bulutunda zarar görmemiş olarak bulunur.
- Dosya geçerli bir imzalı dosyadır.
- Dosya fidye yazılımı olarak kabul edilmeyecek kadar yaygındır.
Kural, fidye yazılımlarını önlemek için dikkatli olma eğilimindedir.
Not
Bu kuralı kullanmak için bulut tabanlı korumayı etkinleştirmeniz gerekir.
Intune adı:Advanced ransomware protection
Configuration Manager adı:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Gelişmiş tehdit avcılığı eylem türü:
AsrRansomwareAuditedAsrRansomwareBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, Bulut Koruması
Ayrıca bkz.
Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar
Saldırı yüzeyi azaltma kurallarıyla ilgili sorunları giderme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.