Aracılığıyla paylaş

Saldırı yüzeyi azaltma kurallarını etkinleştirme

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

Saldırı yüzeyi azaltma kuralları , kötü amaçlı yazılımların cihazları ve ağları tehlikeye atmak için sıklıkla kötüye kullanan eylemleri önlemeye yardımcı olur. Bu makalede, saldırı yüzeyi azaltma kurallarının aşağıdakiler aracılığıyla nasıl etkinleştirileceği ve yapılandırıldığı açıklanır:

Önkoşullar

Saldırı yüzeyi azaltma kurallarının özellik kümesinin tamamını kullanmak için aşağıdaki gereksinimlerin karşılanması gerekir:

  • Microsoft Defender Virüsten Koruma birincil virüsten koruma olarak ayarlanmalıdır. Pasif modda çalışmamalıdır veya devre dışı bırakılmalıdır.

  • Gerçek zamanlı koruma açık olmalıdır.

  • Bulut Teslim Koruması açık olmalıdır (bazı kurallar Için Bulut Koruması gerekir).

  • Cloud Protection ağ bağlantınız olmalıdır

  • Önerilen: Microsoft 365 E5

    Saldırı yüzeyi azaltma kuralları Microsoft 365 E5 lisansı gerektirmese de, Uç Nokta için Defender'da bulunan izleme, analiz ve iş akışları gibi gelişmiş yönetim özelliklerinden ve ayrıca raporlama ve yapılandırma özelliklerinden yararlanmak için saldırı yüzeyi azaltma kurallarının Microsoft 365 E5 lisansıyla (veya benzer lisanslama SKU'su) kullanılması önerilir Microsoft Defender XDR portalı. Bu gelişmiş özellikler E3 lisansıyla kullanılamasa da, E3 lisansıyla saldırı yüzeyi azaltma kuralı olaylarını gözden geçirmek için Olay Görüntüleyicisi kullanabilirsiniz.

    Gelişmiş izleme ve raporlama özelliklerini içermeyen Windows Professional veya Microsoft 365 E3 gibi başka bir lisansınız varsa, saldırı yüzeyi azaltma kuralları tetiklendiğinde her uç noktada oluşturulan olayların üzerinde kendi izleme ve raporlama araçlarınızı geliştirebilirsiniz (örneğin, Olay İletme).

    Windows lisanslama hakkında daha fazla bilgi edinmek için bkz. lisanslama Windows 10 ve Windows 10 için Toplu Lisanslama kılavuzunu edinin.

Desteklenen işletim sistemleri

Windows'un aşağıdaki sürümlerinden ve sürümlerinden herhangi birini çalıştıran cihazlar için saldırı yüzeyi azaltma kuralları ayarlayabilirsiniz:

Not

Bazı saldırı yüzeyi azaltma kuralları yalnızca Office yürütülebilir dosyaları sistem tanımlı %ProgramFiles% veya %ProgramFiles(x86)% dizinleri altında yüklüyse uygulanır (çoğu sistemde ,%ProgramFiles% C:\Program Dosyaları'na işaret eder). Office bu sistem tanımlı dizinlerden birinin dışındaki özel bir yola yüklenmişse, bu kurallar uygulanmaz. Etkilenen kurallar şunlardır:

  • Office iletişim uygulamalarının alt işlemler oluşturmalarını engelleme (26190899-1602-49e8-8b27-eb1d0a1ce869)
  • Tüm Office uygulamalarının alt işlemler oluşturmalarını engelle (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  • Office uygulamalarının diğer işlemlere kod eklemesini engelleme (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)

Saldırı yüzeyi azaltma kurallarını etkinleştirme

Her saldırı yüzeyi azaltma kuralı dört ayardan birini içerir:

  • Yapılandırılmadı veya Devre Dışı: Saldırı yüzeyi azaltma kuralını devre dışı bırakma
  • Blok: Saldırı yüzeyi azaltma kuralını etkinleştirme
  • Denetim: Saldırı yüzeyi azaltma kuralının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirme
  • Uyar: Saldırı yüzeyi azaltma kuralını etkinleştirin ancak son kullanıcının bloğu atlamasına izin verin

Aşağıdaki yöntemlerden herhangi birini kullanarak saldırı yüzeyi azaltma kurallarını etkinleştirebilirsiniz:

Intune veya Microsoft Configuration Manager gibi kurumsal düzeyde yönetim önerilir. Kurumsal düzeyde yönetim, başlangıçta çakışan grup ilkelerinin veya PowerShell ayarlarının üzerine yazar.

Dosya ve klasörleri saldırı yüzeyi azaltma kurallarının dışında tutma

Çoğu saldırı yüzeyi azaltma kuralı tarafından değerlendirilen dosya ve klasörleri hariç tutabilirsiniz. Bu, bir saldırı yüzeyi azaltma kuralının dosya veya klasörün kötü amaçlı davranış içerdiğini belirlese bile dosyanın çalışmasını engellemediği anlamına gelir.

Önemli

Dosyaları veya klasörleri dışlama, saldırı yüzeyini azaltma kuralları tarafından sağlanan korumayı ciddi ölçüde azaltabilir. Dışlanan dosyaların çalışmasına izin verilir ve hiçbir rapor veya olay kaydedilmez. Saldırı yüzeyi azaltma kuralları algılanmaması gerektiğini inandığınız dosyaları algılarsa, kuralı test etmek için önce denetim modunu kullanmanız gerekir. Dışlama yalnızca dışlanan uygulama veya hizmet başlatıldığında uygulanır. Örneğin, zaten çalışmakta olan bir güncelleştirme hizmeti için bir dışlama eklerseniz, hizmet durdurulup yeniden başlatılana kadar güncelleştirme hizmeti olayları tetiklemeye devam eder.

Dışlama eklerken şu noktaları göz önünde bulundurun:

İlke çakışmaları nasıl işlenir?

MDM ve GP aracılığıyla çakışan bir ilke uygulanırsa, grup ilkesi uygulanan ayar önceliklidir.

Yönetilen cihazlar için saldırı yüzeyi azaltma kuralları, her cihaz için bir ilke üst kümesi oluşturmak üzere farklı ilkelerden ayarları birleştirme davranışını destekler. Yalnızca çakışma olmayan ayarlar birleştirilirken ilke çakışmaları kuralların üst kümesine eklenmez. Daha önce, iki ilke tek bir ayar için çakışmalar içerdiyse, her iki ilke de çakışıyor olarak işaretlenir ve her iki profilden hiçbir ayar dağıtılmazdı.

Saldırı yüzeyi azaltma kuralı birleştirme davranışı aşağıdaki gibi çalışır:

  • Aşağıdaki profillerden gelen saldırı yüzeyi azaltma kuralları, kuralların geçerli olduğu her cihaz için değerlendirilir:

  • Çakışması olmayan ayarlar, cihaz için bir ilke üst kümesine eklenir.

  • İki veya daha fazla ilke çakışan ayarlara sahip olduğunda, çakışan ayarlar birleştirilmiş ilkeye eklenmezken, çakışmayan ayarlar bir cihaz için geçerli olan üst küme ilkesine eklenir.

  • Yalnızca çakışan ayarlar için yapılandırmalar geri tutulur.

Yapılandırma yöntemleri

Bu bölümde, aşağıdaki yapılandırma yöntemleri için yapılandırma ayrıntıları sağlanır:

Saldırı yüzeyi azaltma kurallarını etkinleştirmeye yönelik aşağıdaki yordamlar, dosya ve klasörleri dışlama yönergelerini içerir.

Intune

Önemli

Windows Server 2012 R2'de Intune kullanıyorsanız ve modern birleşik çözümle Windows Server 2016, bu işletim sistemi sürümlerinde desteklenmediğinden aşağıdaki saldırı yüzeyi azaltma kurallarını Not Configured olarak ayarlamanız gerekir. Aksi takdirde, Windows Server 2012 R2 veya Windows Server 2016 hedeflenen bu kurallardan herhangi birini içeren ilkeler uygulanamaz:

Uç nokta güvenlik ilkesi (Tercih edilen)

  1. Endpoint Security>Attack yüzey azaltma'ya tıklayın. Mevcut bir saldırı yüzeyi azaltma kuralı seçin veya yeni bir tane oluşturun. Yeni bir profil oluşturmak için İlke Oluştur'u seçin ve bu profille ilgili bilgileri girin. Profil türü içinSaldırı yüzeyi azaltma kuralları'yı seçin. Mevcut bir profili seçtiyseniz Özellikler'i ve ardından Ayarlar'ı seçin.

  2. Yapılandırma ayarları bölmesinde Saldırı Yüzeyi Azaltma'yı seçin ve ardından her saldırı yüzeyi azaltma kuralı için istediğiniz ayarı seçin.

  3. Korunması gereken ek klasörlerin listesi, Korumalı klasörlere erişimi olan uygulamaların listesi ve Saldırı yüzeyi azaltma kurallarının dosya ve yollarını hariç tut altında, tek tek dosya ve klasörler girin.

    Saldırı yüzeyi azaltma kurallarının dışında tutulacak dosya ve klasörleri içeren bir CSV dosyasını içeri aktarmak için İçeri Aktar'ı da seçebilirsiniz. CSV dosyasındaki her satır aşağıdaki gibi biçimlendirilmelidir:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Üç yapılandırma bölmesinde İleri'yi ve ardından yeni bir ilke oluşturuyorsanız Oluştur'u veya mevcut bir ilkeyi düzenliyorsanız Kaydet'i seçin.

Not

En son Intune arabiriminde, Yapılandırma profilleriCihazlar > Yapılandırma profilleri altında bulunur.
Intune'ın önceki sürümleri bunu Cihaz yapılandırma > Profilleri altında göstermiş.
Eski yönergelerde yazılı "Yapılandırma Profili" ifadesini görmüyorsanız, Cihazlar menüsünün altında Yapılandırma profilleri'ni arayın.

Cihaz Yapılandırma Profilleri (Alternatif 1)

  1. Cihaz yapılandırma>Profilleri'ni seçin. Mevcut bir uç nokta koruma profili seçin veya yeni bir profil oluşturun. Yeni bir profil oluşturmak için Profil oluştur'u seçin ve bu profille ilgili bilgileri girin. Profil türü için Uç nokta koruma'yı seçin. Mevcut bir profili seçtiyseniz Özellikler'i ve ardından Ayarlar'ı seçin.

  2. Uç nokta koruma bölmesinde Windows Defender Exploit Guard'ı ve ardından Saldırı Yüzeyi Azaltma'yı seçin. Her saldırı yüzeyi azaltma kuralı için istenen ayarı seçin.

  3. Saldırı Yüzeyi Azaltma özel durumları'nın altında tek tek dosya ve klasörleri girin. Saldırı yüzeyi azaltma kurallarının dışında tutulacak dosya ve klasörleri içeren bir CSV dosyasını içeri aktarmak için İçeri Aktar'ı da seçebilirsiniz. CSV dosyasındaki her satır aşağıdaki gibi biçimlendirilmelidir:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Üç yapılandırma bölmesinde Tamam'ı seçin. Ardından yeni bir uç nokta koruma dosyası oluşturuyorsanız Oluştur'u veya mevcut bir dosyayı düzenliyorsanız Kaydet'i seçin.

Intune'de özel profil (Alternatif 2)

Özel saldırı yüzeyi azaltma kurallarını yapılandırmak için Microsoft Intune OMA-URI'sini kullanabilirsiniz. Aşağıdaki yordam, örnek için kötüye kullanılan güvenlik açığı bulunan imzalı sürücülerin kötüye kullanımı engelleyin kuralını kullanır.

  1. konumundaki Microsoft Intune yönetim merkezinde https://intune.microsoft.comCihazlar Cihazları>>yönet Yapılandırması'nıseçin. Veya doğrudan Cihazlar |'a gitmek için Yapılandırma sayfasında kullanın https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. Cihazlar |'ın İlkeler sekmesinde Yapılandırma sayfasındaYeni ilke oluştur'u> seçin.

    Microsoft Intune yönetim merkezindeki Cihazlar - Yapılandırma sayfasının İlkeler sekmesinin Oluştur'un seçili olduğu ekran görüntüsü.

  3. Açılan Profil oluştur açılır penceresinde aşağıdaki ayarları yapılandırın:

    • Platform: Windows 10 ve üzerini seçin.
    • Profil türü: Aşağıdaki değerlerden birini seçin:

      • Şablonlar

        Görüntülenen Şablon adı bölümünde Özel'i seçin.

        veya

      • Saldırı yüzeyi azaltma kuralları uç nokta güvenliği aracılığıyla ayarlanmışsa Ayarlar Kataloğu'nu seçin.

    Profil oluştur açılır öğesinde işiniz bittiğinde Oluştur'u seçin.

    Microsoft Intune yönetim merkezi portalındaki kural profili öznitelikleri.

  4. Özel şablon aracı 1. Adım Temel bilgiler'i açar. 1 Temel Bilgiler'de, Ad alanına şablonunuz için bir ad yazın ve Açıklama alanına bir açıklama yazabilirsiniz (isteğe bağlı). Microsoft Intune yönetim merkezi portalındaki temel öznitelikler

  5. İleri'ye tıklayın. 2. Adım Yapılandırma ayarları açılır. OMA-URI Ayarları için Ekle'ye tıklayın. Şimdi iki seçenek görüntülenir: Ekle ve Dışarı Aktar.

    Microsoft Intune yönetim merkezi portalında yapılandırma ayarlarını gösteren ekran görüntüsü.

  6. Yeniden Ekle'ye tıklayın. Satır Ekle OMA-URI Ayarları açılır. Satır Ekle'de aşağıdaki bilgileri doldurun:

    1. Ad alanına kural için bir ad yazın.

    2. Açıklama alanına kısa bir açıklama yazın.

    3. OMA-URI'de, eklediğiniz kuralın belirli OMA-URI bağlantısını yazın veya yapıştırın. Bu örnek kuralda kullanılacak OMA-URI için bu makaledeki MDM bölümüne bakın. Saldırı yüzeyi azaltma kuralı GUID'leri için bkz. Kural başına açıklamalar.

    4. Değer'de GUID değerini, \= işareti ve State değerini boşluksuz (GUID=StateValue) yazın veya yapıştırın:

      • 0: Devre dışı bırak (Saldırı yüzeyi azaltma kuralını devre dışı bırak)
      • 1: Engelle (Saldırı yüzeyi azaltma kuralını etkinleştirin)
      • 2: Denetim (Saldırı yüzeyi azaltma kuralının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirin)
      • 6: Uyar (Saldırı yüzeyi azaltma kuralını etkinleştirin ancak son kullanıcının bloğu atlamasına izin verin)

      Microsoft Intune yönetim merkezi portalında OMA URI yapılandırması.

  7. Kaydet'i seçin. Satır ekle kapatıyor. Özel'deİleri'yi seçin. 3. Adım Kapsam etiketlerinde kapsam etiketleri isteğe bağlıdır. Şunlardan birini yapın:

    • Kapsam etiketlerini seç'i seçin, kapsam etiketini seçin (isteğe bağlı) ve ardından İleri'yi seçin.
    • İsterseniz İleri'yi de seçebilirsiniz

  8. 4. adımda, Dahil Edilen Gruplar'da, bu kuralın uygulanmasını istediğiniz gruplar için aşağıdaki seçeneklerden birini belirleyin:

    • Grup ekleme
    • Tüm kullanıcıları ekleme
    • Tüm cihazları ekleme

    Microsoft Intune yönetim merkezi portalındaki atamalar

  9. Dışlanan gruplar'da, bu kuraldan dışlamak istediğiniz grupları seçin ve ardından İleri'yi seçin.

  10. Aşağıdaki ayarlar için 5. adımda Uygulanabilirlik Kuralları'nda aşağıdakileri yapın:

    1. Kural'da, Varsa profil ata'yı veya Varsa profil atama'yı seçin.
    2. Özellik'te, bu kuralın uygulanmasını istediğiniz özelliği seçin.
    3. Değer alanına uygun değeri veya değer aralığını girin.

    Microsoft Intune yönetim merkezi portalındaki uygulanabilirlik kuralları.

  11. İleri'yi seçin. 6. Gözden geçir ve oluştur adımında, seçtiğiniz ve girdiğiniz ayarları ve bilgileri gözden geçirin ve oluştur'u seçin.

    Microsoft Intune yönetim merkezi portalında Gözden geçir ve oluştur seçeneğini gösteren ekran görüntüsü.

    Kurallar etkindir ve dakikalar içinde etkindir.

Not

Çakışma işlemeyle ilgili olarak, bir cihaza iki farklı saldırı yüzeyi azaltma ilkesi atarsanız, kuralların farklı durumlara atanıp atanmadığına, çakışma yönetiminin uygulanıp uygulanmadığına ve sonucun bir hata olup olmadığına bağlı olarak olası ilke çakışmaları oluşabilir.

Bitişik olmayan kurallar hataya neden olmaz ve bu tür kurallar doğru uygulanır. İlk kural uygulanır ve izleyen bitişik olmayan kurallar ilkeyle birleştirilir.

MDM

Her kuralın modunu ayrı ayrı etkinleştirmek ve ayarlamak için ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules yapılandırma hizmeti sağlayıcısını (CSP) kullanın.

Aşağıda, Saldırı yüzeyi azaltma kuralları başvurusu için GUID değerlerinin kullanıldığı bir başvuru örneği verilmiştir.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Denetim modunda etkinleştirme (Engelleme), devre dışı bırakma, uyarma veya etkinleştirme değerleri şunlardır:

  • 0: Devre dışı bırak (Saldırı yüzeyi azaltma kuralını devre dışı bırak)
  • 1: Engelle (Saldırı yüzeyi azaltma kuralını etkinleştirin)
  • 2: Denetim (Saldırı yüzeyi azaltma kuralının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirin)
  • 6: Uyar (Saldırı yüzeyi azaltma kuralını etkinleştirin ancak son kullanıcının bloğu atlamasına izin verin). Uyarı modu, saldırı yüzeyi azaltma kurallarının çoğu için kullanılabilir.

Dışlama eklemek için ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions yapılandırma hizmeti sağlayıcısını (CSP) kullanın.

Örneğin:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Not

OMA-URI değerlerini boşluk olmadan girdiğinizden emin olun.

Microsoft Configuration Manager

  1. Microsoft Configuration Manager'da Varlıklar ve Uyumluluk>Endpoint Protection>Windows Defender Exploit Guard'a gidin.

  2. Giriş>Oluşturma Exploit Guard İlkesi'ni seçin.

  3. Bir ad ve açıklama girin, Saldırı Yüzeyi Azaltma'yı seçin ve İleri'yi seçin.

  4. Hangi kuralların eylemleri engelleyip denetleyeceğini seçin ve İleri'yi seçin.

  5. İlkeyi oluşturmak için ayarları gözden geçirin ve İleri'yi seçin.

  6. İlke oluşturulduktan sonra Kapat'ı seçin.

Uyarı

Gerçek bir zorlama olmadan uyumlu olarak işaretlenen Sunucu işletim sistemi sürümlerinde saldırı yüzeyi azaltmanın uygulanabilirliğiyle ilgili bilinen bir sorun vardır. Şu anda, bunun ne zaman düzeltileceğine ilişkin tanımlı bir yayın tarihi yoktur.

Önemli

Cihazlarda "Yönetici birleştirmeyi true devre dışı bırak" ayarını kullanıyorsanız ve aşağıdaki araçlardan/yöntemlerden herhangi birini kullanıyorsanız kural başına ASR kuralları ekleme veya yerel ASR kuralı dışlamaları geçerli değildir:

  • Uç Nokta Güvenlik Ayarları Yönetimi için Defender (Yerel Yönetici Birleştirmeyi Devre Dışı Bırak)
  • Intune (Yerel Yönetici Birleştirmeyi Devre Dışı Bırak)
  • Defender CSP (DisableLocalAdminMerge)
  • grup ilkesi (Listeler için yerel yönetici birleştirme davranışını yapılandırma) Bu davranışı değiştirmek için "Yönetici birleştirmeyi devre dışı bırak" falseolarak değiştirmeniz gerekir.

Grup ilkesi

Uyarı

Bilgisayarlarınızı ve cihazlarınızı Intune, Configuration Manager veya diğer kurumsal düzeydeki yönetim platformuyla yönetiyorsanız, yönetim yazılımı başlangıçta çakışan grup ilkesi ayarlarının üzerine yazar.

  1. grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu açın, yapılandırmak istediğiniz grup ilkesi Nesnesine sağ tıklayın ve Düzenle'yi seçin.

  2. Grup İlkesi Yönetimi Düzenleyicisi'nde Bilgisayar yapılandırması'na gidin ve Yönetim şablonları'nı seçin.

  3. Ağacı Windows bileşenlerine>genişletin Microsoft Defender Virüsten Koruma>Microsoft Defender Exploit Guard>Saldırı yüzeyi azaltma.

  4. Saldırı yüzeyi azaltma kurallarını yapılandır'ı ve Etkin'i seçin. Ardından seçenekler bölümünde her kural için tek tek durumu ayarlayabilirsiniz. Göster... öğesini seçin ve kural kimliğini Değer adı sütununa ve seçtiğiniz durumu Değer sütununa aşağıdaki gibi girin:

    • 0: Devre dışı bırak (Saldırı yüzeyi azaltma kuralını devre dışı bırak)
    • 1: Engelle (Saldırı yüzeyi azaltma kuralını etkinleştirin)
    • 2: Denetim (Saldırı yüzeyi azaltma kuralının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirin)
    • 6: Uyar (Saldırı yüzeyi azaltma kuralını etkinleştirin ancak son kullanıcının bloğu atlamasına izin verin)

    grup ilkesi saldırı yüzeyi azaltma kuralları

  5. Dosya ve klasörleri saldırı yüzeyi azaltma kurallarının dışında tutmak için , Saldırı yüzeyi azaltma kurallarından dosyaları ve yolları dışla ayarını seçin ve seçeneği Etkin olarak ayarlayın. Göster'i seçin ve Değer adı sütununa her dosyayı veya klasörü girin. Her öğe için Değer sütununa 0 girin.

    Uyarı

    Değer adı sütunu veya Değer sütunu için desteklenmedikleri için tırnak işaretlerini kullanmayın. Kural kimliğinin başında veya sonunda boşluk olmaması gerekir.

Not

Microsoft, Windows 10 sürüm 20H1 ile başlayarak Windows Defender Virüsten Koruma virüsten korumayı Microsoft Defender. Önceki Windows sürümlerindeki grup ilkesi yolları Windows Defender Virüsten Koruma başvurmaya devam edebilirken, daha yeni derlemeler Microsoft Defender Virüsten Koruma'yı gösterir. Her iki ad da aynı ilke konumuna başvurur.

PowerShell

Uyarı

Bilgisayarlarınızı ve cihazlarınızı Intune, Configuration Manager veya başka bir kurumsal düzeyde yönetim platformuyla yönetiyorsanız, yönetim yazılımı başlangıçta çakışan PowerShell ayarlarının üzerine yazar.

  1. Başlat menüsüne powershell yazın, Windows PowerShell'e sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.

  2. Aşağıdaki cmdlet'lerden birini yazın. Kural kimliği gibi daha fazla bilgi için Bkz. Saldırı yüzeyi azaltma kuralları başvurusu.

    Görev PowerShell cmdlet'i
    Saldırı yüzeyi azaltma kurallarını etkinleştirme Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Denetim modunda saldırı yüzeyi azaltma kurallarını etkinleştirme Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Uyarı modunda saldırı yüzeyi azaltma kurallarını etkinleştirme Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Saldırı yüzeyini azaltmayı etkinleştirme Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanımı engellendi Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Saldırı yüzeyi azaltma kurallarını kapatma Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Önemli

    Her kural için durumu ayrı ayrı belirtmeniz gerekir, ancak kuralları ve durumları virgülle ayrılmış bir listede birleştirebilirsiniz.

    Aşağıdaki örnekte, ilk iki kural etkinleştirilir, üçüncü kural devre dışı bırakılır ve dördüncü kural denetim modunda etkinleştirilir: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Var olan listeye yeni kurallar eklemek için PowerShell fiilini de kullanabilirsiniz Add-MpPreference .

    Uyarı

    Set-MpPreference mevcut kural kümesinin üzerine yazar. Mevcut kümeye eklemek istiyorsanız, bunun yerine kullanın Add-MpPreference . kullanarak Get-MpPreferencekuralların listesini ve geçerli durumlarını alabilirsiniz.

  3. Dosya ve klasörleri saldırı yüzeyi azaltma kurallarının dışında tutmak için aşağıdaki cmdlet'i kullanın:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Listeye daha fazla dosya ve klasör eklemek için kullanmaya Add-MpPreference -AttackSurfaceReductionOnlyExclusions devam edin.

    Önemli

    Listeye uygulama eklemek veya eklemek için kullanın Add-MpPreference . cmdlet'ini Set-MpPreference kullanmak varolan listenin üzerine yazılır.

İlgili içerik

  • Last updated on