Saldırı yüzeyi azaltma kuralları başvurusu
Şunlar için geçerlidir:
- Uç Nokta Planı 1 için Microsoft Microsoft Defender XDR
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
- Microsoft Defender Virüsten Koruma
Platform:
- Windows
Bu makalede Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kuralları (ASR kuralları) hakkında bilgi sağlanır:
- ASR kuralları desteklenen işletim sistemi sürümleri
- ASR kuralları tarafından desteklenen yapılandırma yönetim sistemleri
- ASR kuralı uyarı ve bildirim ayrıntıları başına
- ASR kuralı- GUID matrisi
- ASR kural modları
- Kural başına açıklama sayısı
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Türe göre saldırı yüzeyi azaltma kuralları
Saldırı yüzeyi azaltma kuralları iki türden biri olarak sınıflandırılır:
Standart koruma kuralları: Diğer ASR kurallarının etki ve yapılandırma gereksinimlerini değerlendirirken Microsoft'un her zaman etkinleştirmenizi önerdiği en düşük kural kümesidir. Bu kuralların genellikle son kullanıcı üzerinde en az farkedilir düzeyde etkisi vardır.
Diğer kurallar: Saldırı yüzeyi azaltma kuralları dağıtım kılavuzunda belgelendiği gibi belgelenmiş dağıtım adımlarını takip eden bir ölçü gerektiren kurallar [Plan > Test (denetim) > Etkinleştir (blok/uyarı modları)]]
Standart koruma kurallarını etkinleştirmenin en kolay yöntemi için bkz. Basitleştirilmiş standart koruma seçeneği.
| ASR kuralı adı: | Standart koruma kuralı mı? | Başka bir kural mı? |
|---|---|---|
| Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi | Evet | |
| Adobe Reader'ın alt işlemler oluşturmalarını engelleme | Evet | |
| Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme | Evet | |
| Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme | Evet | |
| E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme | Evet | |
| Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin | Evet | |
| Karartılmış olabilecek betiklerin yürütülmesini engelleme | Evet | |
| JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme | Evet | |
| Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme | Evet | |
| Office uygulamalarının diğer işlemlere kod eklemesini engelleme | Evet | |
| Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme | Evet | |
| WMI olay aboneliği aracılığıyla kalıcılığı engelleme | Evet | |
| PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme | Evet | |
| Makineyi Güvenli Modda yeniden başlatmayı engelleme (önizleme) | Evet | |
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | Evet | |
| Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme (önizleme) | Evet | |
| Sunucular için WebShell oluşturmayı engelleme | Evet | |
| Office makrolarından Win32 API çağrılarını engelleme | Evet | |
| Fidye yazılımına karşı gelişmiş koruma kullanma | Evet |
virüsten koruma dışlamalarını ve ASR kurallarını Microsoft Defender
Microsoft Defender Virüsten Koruma dışlamaları, saldırı yüzeyi azaltma kuralları gibi bazı Uç Nokta için Microsoft Defender özellikleri için geçerlidir.
Aşağıdaki ASR kuralları Microsoft Defender Virüsten Koruma dışlamalarına uymaZ:
Not
Kural başına dışlamaları yapılandırma hakkında bilgi için Saldırı yüzeyi azaltma kurallarını test etme konusundaki Kural başına ASR kurallarını yapılandırma dışlamaları başlıklı bölüme bakın.
ASR kuralları ve Uç Nokta Güvenliği Aşılmasına yönelik Defender Göstergeleri (IOC)
Aşağıdaki ASR kuralları, Uç Nokta için Microsoft Defender Uzlaşma Göstergelerine (IOC) UYMAZ:
| ASR kural adı | Açıklama |
|---|---|
| Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme | Dosyalar veya sertifikalar için güvenliğin aşılmasına ilişkin göstergeleri kabul etmez. |
| Office uygulamalarının diğer işlemlere kod eklemesini engelleme | Dosyalar veya sertifikalar için güvenliğin aşılmasına ilişkin göstergeleri kabul etmez. |
| Office makrolarından Win32 API çağrılarını engelleme | Sertifikalar için güvenliğin aşılmasına ilişkin göstergeleri kabul etmez. |
ASR kuralları tarafından desteklenen işletim sistemleri
Aşağıdaki tabloda, şu anda genel kullanıma sunulan kurallar için desteklenen işletim sistemleri listelenmektedir. Kurallar bu tabloda alfabetik sırada listelenmiştir.
Not
Aksi belirtilmedikçe, en düşük Windows 10 derlemesi sürüm 1709 (RS3, derleme 16299) veya üzeridir; en düşük Windows Server derlemesi sürüm 1809 veya üzeridir.
Windows Server 2012 R2 ve Windows Server 2016 saldırı yüzeyi azaltma kuralları, modern birleşik çözüm paketi kullanılarak eklenen cihazlar için kullanılabilir. Daha fazla bilgi için bkz. Windows Server 2012 R2 ve 2016 Önizlemesi için modern birleşik çözümde yeni işlevler.
(1) Windows Server 2012 ve 2016 için modern birleşik çözümü ifade eder. Daha fazla bilgi için bkz. Uç Nokta için Defender hizmetine Windows Sunucuları ekleme.
(2) Windows Server 2016 ve Windows Server 2012 R2 için, Microsoft Endpoint Configuration Manager için gereken en düşük sürüm 2111'dir.
(3) Sürüm ve derleme numarası yalnızca Windows 10 için geçerlidir.
ASR kuralları tarafından desteklenen yapılandırma yönetim sistemleri
Bu tabloda başvurulan yapılandırma yönetim sistemi sürümleri hakkındaki bilgilerin bağlantıları bu tablonun altında listelenmiştir.
(1) Herhangi bir kuralın GUID'sini kullanarak saldırı yüzeyi azaltma kurallarını kural temelinde yapılandırabilirsiniz.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
- System Center Configuration Manager (SCCM) CB 1710
SCCM artık Microsoft Configuration Manager.
ASR kuralı uyarı ve bildirim ayrıntıları başına
Blok modundaki tüm kurallar için bildirim bildirimleri oluşturulur. Diğer modlardaki kurallar bildirim oluşturmaz.
"Kural Durumu" belirtilen kurallar için:
- ASR Kuralı ile <ASR kuralları, Kural Durumu> bileşimleri uyarıları (bildirim bildirimleri) Uç Nokta için Microsoft Defender yalnızca bulut blok düzeyi Yüksek olan cihazlar için görüntülemek için kullanılır. Yüksek bulut bloğu düzeyinde olmayan cihazlar herhangi bir <ASR Kuralı, Kural Durumu> bileşimleri için uyarı oluşturmaz
- EDR uyarıları, bulut blok düzeyi High+ olan cihazlar için belirtilen durumlarda ASR kuralları için oluşturulur
ASR kuralı- GUID matrisi
| Kural Adı | Kural GUID'i |
|---|---|
| Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Adobe Reader'ın alt işlemler oluşturmalarını engelleme | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Karartılmış olabilecek betiklerin yürütülmesini engelleme | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme | d3e037e1-3eb8-44c8-a917-57927947596d |
| Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Office uygulamalarının diğer işlemlere kod eklemesini engelleme | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| WMI olay aboneliği aracılığıyla kalıcılığı engelleme * Dosya ve klasör dışlamaları desteklenmiyor. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Makineyi Güvenli Modda yeniden başlatmayı engelleme (önizleme) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme (önizleme) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Sunucular için WebShell oluşturmayı engelleme | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Office makrolarından Win32 API çağrılarını engelleme | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Fidye yazılımına karşı gelişmiş koruma kullanma | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR kural modları
- Yapılandırılmadı veya Devre Dışı Bırak: ASR kuralının etkinleştirilmediği veya devre dışı bırakıldığı durum. Bu durum için kod = 0.
- Engelle: ASR kuralının etkinleştirildiği durum. Bu durum için kod 1'dir.
- Denetim: ASR kuralının etkinse kuruluş veya ortam üzerindeki etkisine göre değerlendirildiği durumdur (engelleyecek veya uyaracak şekilde ayarlanır). Bu durum için kod 2'dir.
- Uyarmak ASR kuralının etkinleştirildiği ve son kullanıcıya bildirim sunduğu ancak son kullanıcının bloğu atlamasına izin veren durum. Bu durum için kod 6'dır.
Uyarı modu , kullanıcıları riskli olabilecek eylemler hakkında uyaran bir blok modu türüdür. Kullanıcılar blok uyarısı iletisini atlamayı ve temel eyleme izin vermeyi seçebilir. Kullanıcılar bloğu zorlamak için Tamam'ı seçebilir veya blok sırasında oluşturulan son kullanıcı açılır bildirimi aracılığıyla atlama seçeneğini ( Engellemeyi Kaldır ) seçebilir. Uyarının engeli kaldırıldıktan sonra, son kullanıcının eylemi yeniden oluşturması gerekeceği uyarı iletisinin bir sonraki oluş zamanına kadar işleme izin verilir.
İzin ver düğmesine tıklandığında, blok 24 saat boyunca gizlenır. 24 saat sonra, son kullanıcının engellemeye yeniden izin vermesi gerekir. ASR kuralları için uyarı modu yalnızca RS5+ (1809+) cihazlarda desteklenir. Eski sürümleri olan cihazlarda ASR kurallarına atlama atanırsa, kural engellenmiş modda olur.
Ayrıca, AttackSurfaceReductionRules_Actions "Uyar" olarak belirterek PowerShell aracılığıyla uyarı modunda bir kural ayarlayabilirsiniz. Örneğin:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Kural açıklamaları başına
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
Bu kural, bir uygulamanın diske güvenlik açığı bulunan imzalı bir sürücü yazmasını engeller. Çekirdek erişimi elde etmek için , yeterli ayrıcalıklara sahip yerel uygulamalar tarafından vahşi, güvenlik açığı olan imzalı sürücüler kullanılabilir. Güvenlik açığı bulunan imzalı sürücüler, saldırganların güvenlik çözümlerini devre dışı bırakmasına veya aşmasına olanak tanır ve sonunda sistem güvenliğinin aşılmasına neden olur.
Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılmasına engel olun kuralı, sistemde zaten var olan bir sürücünün yüklenmesini engellemez.
Not
Bu kuralı Intune OMA-URI kullanarak yapılandırabilirsiniz. Özel kuralları yapılandırmak için bkz. OMA-URI Intune.
Bu kuralı PowerShell kullanarak da yapılandırabilirsiniz.
Bir sürücünün incelenmesini sağlamak için bu Web sitesini kullanarak Analiz için bir sürücü gönderin.
Intune Adı:Block abuse of exploited vulnerable signed drivers
Configuration Manager adı: Henüz kullanılamıyor
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Gelişmiş tehdit avcılığı eylem türü:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Adobe Reader'ın alt işlemler oluşturmalarını engelleme
Bu kural, Adobe Reader'ın işlem oluşturmasını engelleyerek saldırıları engeller.
Kötü amaçlı yazılımlar, sosyal mühendislik veya açıklardan yararlanarak adobe reader'ın yüklerini indirip başlatabilir ve bu yükten kurtulabilir. Alt işlemlerin Adobe Reader tarafından oluşturulması engellenerek, Adobe Reader'ı saldırı vektöru olarak kullanmaya çalışan kötü amaçlı yazılımların yayılması engellenir.
Intune adı:Process creation from Adobe Reader (beta)
Configuration Manager adı: Henüz kullanılamıyor
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Gelişmiş tehdit avcılığı eylem türü:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Tüm Office uygulamalarının alt işlemler oluşturmalarını engelleme
Bu kural, Office uygulamalarının alt işlemler oluşturmalarını engeller. Office uygulamaları Word, Excel, PowerPoint, OneNote ve Access'i içerir.
Kötü amaçlı alt işlemler oluşturmak yaygın bir kötü amaçlı yazılım stratejisidir. Vektör olarak Office'i kötüye kullanan kötü amaçlı yazılımlar genellikle VBA makroları çalıştırır ve daha fazla yük indirip çalıştırmaya çalışmak için koddan yararlanılır. Ancak bazı meşru iş kolu uygulamaları da zararsız amaçlarla alt süreçler oluşturabilir; örneğin, bir komut istemi oluşturma veya powershell kullanarak kayıt defteri ayarlarını yapılandırma.
Intune adı:Office apps launching child processes
Configuration Manager adı:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmalarını engelleme
Bu kural, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti'ni (LSASS) kilitleyerek kimlik bilgilerinin çalınmasını önlemeye yardımcı olur.
LSASS, Windows bilgisayarında oturum açan kullanıcıların kimliğini doğrular. Windows'da Credential Guard Microsoft Defender normalde LSASS'den kimlik bilgilerini ayıklama girişimlerini engeller. Bazı kuruluşlar, özel akıllı kart sürücüleri veya Yerel Güvenlik Yetkilisi'ne (LSA) yüklenen diğer programlarla ilgili uyumluluk sorunları nedeniyle Credential Guard'ı tüm bilgisayarlarında etkinleştiremiyor. Bu gibi durumlarda saldırganlar, Cleartext parolalarını ve LSASS'den NTLM karmalarını kazımak için Mimikatz gibi araçları kullanabilir.
Varsayılan olarak bu kuralın durumu engelleyecek şekilde ayarlanır. Çoğu durumda, birçok işlem gerekli olmayan erişim hakları için LSASS'ye çağrı yapar. Örneğin, ASR kuralındaki ilk blok daha sonra başarılı olan daha düşük bir ayrıcalık çağrısıyla sonuçlandığında. LSASS'ye yapılan işlem çağrılarında genellikle istenen hak türleri hakkında bilgi için bkz. İşlem Güvenliği ve Erişim Hakları.
ASR kuralı ve LSA koruması benzer şekilde çalıştığı için LSA koruması etkinse bu kuralın etkinleştirilmesi ek koruma sağlamaz. Ancak, LSA koruması etkinleştirilemediğinde, bu kural hedeflenen lsass.exekötü amaçlı yazılımlara karşı eşdeğer koruma sağlayacak şekilde yapılandırılabilir.
Not
Bu senaryoda ASR kuralı, Microsoft Defender portalındaki Uç Nokta için Defender ayarlarında "uygulanamaz" olarak sınıflandırılır.
Windows yerel güvenlik yetkilisi alt sistemi ASR kuralından kimlik bilgilerinin çalınması engelle kuralı UYARI modunu desteklemez.
Bazı uygulamalarda kod, çalışan tüm işlemleri numaralandırır ve bunları kapsamlı izinlerle açmaya çalışır. Bu kural, uygulamanın işlem açma eylemini reddeder ve ayrıntıları güvenlik olay günlüğüne kaydeder. Bu kural çok fazla gürültü oluşturabilir. LSASS'yi numaralandıran ancak işlevsellikte gerçek bir etkisi olmayan bir uygulamanız varsa, bunu dışlama listesine eklemeniz gerekmez. Bu olay günlüğü girdisi tek başına kötü amaçlı bir tehdit anlamına gelmez.
Intune adı:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager adı:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Gelişmiş tehdit avcılığı eylem türü:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleme
Bu kural, Microsoft Outlook uygulamasında açılan e-postayı veya Outlook.com ve diğer popüler web postası sağlayıcılarının aşağıdaki dosya türlerini yaymalarını engeller:
- Yürütülebilir dosyalar (.exe, .dll veya .scr gibi)
- Betik dosyaları (PowerShell .ps1, Visual Basic .vbs veya JavaScript .js dosyası gibi)
Intune adı:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager adı:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Gelişmiş tehdit avcılığı eylem türü:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Not
E-posta istemcisinden ve web postasından yürütülebilir içeriği engelle kuralı, hangi uygulamayı kullandığınıza bağlı olarak aşağıdaki alternatif açıklamalara sahiptir:
- Intune (Yapılandırma Profilleri): E-postadan bırakılan yürütülebilir içeriğin (exe, dll, ps, js, vbs vb.) yürütülmesi (özel durum yok).
- Configuration Manager: E-posta ve web posta istemcilerinden yürütülebilir içerik indirmeyi engelleyin.
- grup ilkesi: E-posta istemcisinden ve web postasından yürütülebilir içeriği engelleyin.
Bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadığı sürece yürütülebilir dosyaların çalışmasını engelleyin
Bu kural, .exe, .dll veya .scr gibi yürütülebilir dosyaların başlatılmasını engeller. Bu nedenle, güvenilmeyen veya bilinmeyen yürütülebilir dosyaların başlatılması riskli olabilir, bu nedenle dosyaların kötü amaçlı olup olmadığı başlangıçta net olmayabilir.
Önemli
Bu kuralı kullanmak için bulut tabanlı korumayı etkinleştirmeniz gerekir.
GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ile bir yaygınlık, yaş veya güvenilir liste ölçütüne uymadıkları sürece yürütülebilir dosyaların çalışmasını engelle kuralı Microsoft'a aittir ve yöneticiler tarafından belirtilmez. Bu kural, güvenilir listesini düzenli olarak güncelleştirmek için bulut tabanlı koruma kullanır.
Tek tek dosyaları veya klasörleri (klasör yollarını veya tam kaynak adlarını kullanarak) belirtebilirsiniz, ancak hangi kuralların veya dışlamaların uygulanacağını belirtemezsiniz.
Intune adı:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager adı:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Gelişmiş tehdit avcılığı eylem türü:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, Bulut Koruması
Karartılmış olabilecek betiklerin yürütülmesini engelleme
Bu kural, belirsiz bir betik içindeki şüpheli özellikleri algılar.
Önemli
PowerShell betikleri artık "Belirsiz olabilecek betiklerin yürütülmesini engelle" kuralı için desteklenmektedir.
Betik karartma, hem kötü amaçlı yazılım yazarlarının hem de yasal uygulamaların fikri mülkiyeti gizlemek veya betik yükleme sürelerini azaltmak için kullandığı yaygın bir tekniktir. Kötü amaçlı yazılım yazarları, kötü amaçlı kodları okumayı zorlaştırmak için de karartma kullanır ve bu da insanlar ve güvenlik yazılımları tarafından yakından incelemeyi engeller.
Intune adı:Obfuscated js/vbs/ps/macro code
Configuration Manager adı:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Gelişmiş tehdit avcılığı eylem türü:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI)
JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelleme
Bu kural betiklerin kötü amaçlı olabilecek indirilen içeriği başlatmasını engeller. JavaScript veya VBScript ile yazılan kötü amaçlı yazılımlar genellikle İnternet'ten başka kötü amaçlı yazılımları getirmek ve başlatmak için bir indirici görevi görür.
Yaygın olmasa da, iş kolu uygulamaları bazen yükleyicileri indirmek ve başlatmak için betikler kullanır.
Intune adı:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager adı:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Gelişmiş tehdit avcılığı eylem türü:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, AMSI
Office uygulamalarının yürütülebilir içerik oluşturmalarını engelleme
Bu kural, kötü amaçlı kodun diske yazılmasını engelleyerek Word, Excel ve PowerPoint gibi Office uygulamalarının kötü amaçlı olabilecek yürütülebilir içerik oluşturmasını engeller.
Vektör olarak Office'i kötüye kullanan kötü amaçlı yazılımlar, Office'in dışına çıkıp kötü amaçlı bileşenleri diske kaydetmeye çalışabilir. Bu kötü amaçlı bileşenler bilgisayarın yeniden başlatılmasından ve sistemde kalıcı hale getirir. Bu nedenle, bu kural ortak bir kalıcılık tekniğine karşı savunur. Bu kural, Office dosyalarında çalışmasına izin verilen Office makroları tarafından kaydedilmiş olabilecek güvenilmeyen dosyaların yürütülmesini de engeller.
Intune adı:Office apps/macros creating executable content
Configuration Manager adı:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Gelişmiş tehdit avcılığı eylem türü:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, RPC
Office uygulamalarının diğer işlemlere kod eklemesini engelleme
Bu kural, Office uygulamalarından diğer işlemlere kod ekleme girişimlerini engeller.
Not
Uygulamaların diğer işlemlere kod eklemesini engelle ASR kuralı WARN modunu desteklemez.
Önemli
Bu kural, yapılandırma değişikliklerinin etkili olması için Microsoft 365 Uygulamaları (Office uygulamalarının) yeniden başlatılmasını gerektirir.
Saldırganlar, kötü amaçlı kodu kod ekleme yoluyla diğer işlemlere geçirmek için Office uygulamalarını kullanmayı deneyerek kodun temiz bir işlem olarak gizlenmesini sağlayabilir.
Kod ekleme kullanmanın bilinen meşru iş amaçları yoktur.
Bu kural Word, Excel, OneNote ve PowerPoint için geçerlidir.
Intune adı:Office apps injecting code into other processes (no exceptions)
Configuration Manager adı:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Office iletişim uygulamasının alt işlemler oluşturmalarını engelleme
Bu kural, Outlook'un alt işlemler oluşturmasını engellerken, geçerli Outlook işlevlerine de izin verir.
Bu kural sosyal mühendislik saldırılarına karşı koruma sağlar ve Kodun Outlook'taki güvenlik açıklarını kötüye kullanmasını önler. Ayrıca, bir kullanıcının kimlik bilgileri tehlikeye atıldığında saldırganların kullanabileceği Outlook kurallarına ve biçim açıklarına karşı koruma sağlar.
Not
Bu kural, Outlook'ta DLP ilkesi ipuçlarını ve Araç İpuçlarını engeller. Bu kural yalnızca Outlook ve Outlook.com için geçerlidir.
Intune adı:Process creation from Office communication products (beta)
Configuration Manager adı: Kullanılamıyor
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
WMI olay aboneliği aracılığıyla kalıcılığı engelleme
Bu kural, kötü amaçlı yazılımların cihazda kalıcılık elde etmek için WMI'yi kötüye çalışmasını önler.
Önemli
Dosya ve klasör dışlamaları bu saldırı yüzeyi azaltma kuralı için geçerli değildir.
Dosyasız tehditler, gizli kalmak, dosya sisteminde görülmemek ve düzenli yürütme denetimi elde etmek için çeşitli taktikler uygular. Bazı tehditler gizli kalmak için WMI deposunu ve olay modelini kötüye kullanabilir.
Not
CcmExec.exe Cihazda (SCCM Aracısı) algılanırsa ASR kuralı, Microsoft Defender portalındaki Uç Nokta için Defender ayarlarında "uygulanamaz" olarak sınıflandırılır.
Intune adı:Persistence through WMI event subscription
Configuration Manager adı: Kullanılamıyor
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Gelişmiş tehdit avcılığı eylem türü:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, RPC
PSExec ve WMI komutlarından kaynaklanan işlem oluşturma işlemlerini engelleme
Bu kural , PsExec ve WMI aracılığıyla oluşturulan işlemlerin çalışmasını engeller. Hem PsExec hem de WMI uzaktan kod yürütebilir. PsExec ve WMI'nin komut ve denetim amacıyla işlevselliğini kötüye kullanma veya kuruluşun ağına bulaşma riski vardır.
Uyarı
Bu kuralı yalnızca cihazlarınızı Intune veya başka bir MDM çözümüyle yönetiyorsanız kullanın. Bu kural, Configuration Manager istemcisinin düzgün çalışması için kullandığı WMI komutlarını engellediğinden, bu kural Microsoft Endpoint Configuration Manager aracılığıyla yönetimle uyumsuzdur.
Intune adı:Process creation from PSExec and WMI commands
Configuration Manager adı: Geçerli değil
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Gelişmiş tehdit avcılığı eylem türü:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Makineyi Güvenli Modda yeniden başlatmayı engelleme (önizleme)
Bu kural, güvenli modda makineleri yeniden başlatmak için komutların yürütülmesini engeller.
Güvenli Mod, yalnızca Windows'un çalışması için gereken temel dosyaları ve sürücüleri yükleyen bir tanılama modudur. Ancak Güvenli Mod'da birçok güvenlik ürünü devre dışı bırakılır veya sınırlı bir kapasitede çalışır. Bu da saldırganların kurcalama komutlarını daha fazla başlatmasına veya makinedeki tüm dosyaları yürütmesine ve şifrelemesine olanak tanır. Bu kural, işlemlerin Güvenli Modda makineleri yeniden başlatmasını engelleyerek bu tür saldırıları engeller.
Not
Bu özellik şu anda önizleme aşamasındadır. Etkinliği geliştirmek için ek yükseltmeler geliştiriliyor.
Intune Adı:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager adı: Henüz kullanılamıyor
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Bağımlılıklar: Microsoft Defender Virüsten Koruma
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme
Bu kuralla, yöneticiler imzalanmamış veya güvenilmeyen yürütülebilir dosyaların SD kartlar da dahil olmak üzere USB çıkarılabilir sürücülerden çalıştırılmasını engelleyebilir. Engellenen dosya türleri yürütülebilir dosyaları (.exe, .dll veya .scr gibi) içerir
Önemli
USB'den disk sürücüsüne kopyalanan dosyalar, disk sürücüsünde yürütülmek üzereyse ve yürütülmek üzere olduğunda bu kural tarafından engellenir.
Intune adı:Untrusted and unsigned processes that run from USB
Configuration Manager adı:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Gelişmiş tehdit avcılığı eylem türü:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Kopyalanan veya kimliğine bürünülen sistem araçlarının kullanımını engelleme (önizleme)
Bu kural, Windows sistem araçlarının kopyaları olarak tanımlanan yürütülebilir dosyaların kullanımını engeller. Bu dosyalar, özgün sistem araçlarının yinelenenleri veya taklitçileridir.
Bazı kötü amaçlı programlar algılamayı önlemek veya ayrıcalık kazanmak için Windows sistem araçlarını kopyalamaya veya kimliğine bürünmeye çalışabilir. Bu tür yürütülebilir dosyalara izin vermek olası saldırılara yol açabilir. Bu kural, Windows makinelerinde sistem araçlarının bu tür yinelemelerinin ve impostor'larının yayılmasını ve yürütülmesini engeller.
Not
Bu özellik şu anda önizleme aşamasındadır. Etkinliği geliştirmek için ek yükseltmeler geliştiriliyor.
Intune Adı:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager adı: Henüz kullanılamıyor
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Sunucular için WebShell oluşturmayı engelleme
Bu kural, Microsoft Server, Exchange Rolü üzerinde web kabuğu betiği oluşturmayı engeller.
Web kabuğu betiği, saldırganın güvenliği aşılmış sunucuyu denetlemesine olanak tanıyan özel olarak hazırlanmış bir betiktir. Web kabuğu, kötü amaçlı komutları alma ve yürütme, kötü amaçlı dosyaları indirip yürütme, kimlik bilgilerini ve hassas bilgileri çalıp çıkarma, olası hedefleri belirleme vb. gibi işlevleri içerebilir.
Intune adı:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Bağımlılıklar: Microsoft Defender Virüsten Koruma
Office makrolarından Win32 API çağrılarını engelleme
Bu kural VBA makrolarının Win32 API'lerini çağırmasını engeller.
Office VBA, Win32 API çağrılarını etkinleştirir. Kötü amaçlı yazılımlar, doğrudan diske hiçbir şey yazmadan kötü amaçlı kabuk kodu başlatmak için Win32 API'lerini çağırmak gibi bu özelliği kötüye kullanabilir. Çoğu kuruluş, makroları başka şekillerde kullansalar bile günlük çalışmalarında Win32 API'lerini çağırma özelliğine güvenmez.
Intune adı:Win32 imports from Office macro code
Configuration Manager adı:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Gelişmiş tehdit avcılığı eylem türü:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, AMSI
Fidye yazılımına karşı gelişmiş koruma kullanma
Bu kural fidye yazılımlarına karşı ek bir koruma katmanı sağlar. Bir dosyanın fidye yazılımına benzeip benzemediğini belirlemek için hem istemci hem de bulut buluşsal yöntemleri kullanır. Bu kural, aşağıdaki özelliklerden birine veya daha fazlasına sahip dosyaları engellemez:
- Dosya, Microsoft bulutunda zaten zarar görmemiş olarak bulundu.
- Dosya geçerli bir imzalı dosyadır.
- Dosya fidye yazılımı olarak kabul edilmeyecek kadar yaygındır.
Kural, fidye yazılımlarını önlemek için dikkatli olma eğilimindedir.
Not
Bu kuralı kullanmak için bulut tabanlı korumayı etkinleştirmeniz gerekir.
Intune adı:Advanced ransomware protection
Configuration Manager adı:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Gelişmiş tehdit avcılığı eylem türü:
AsrRansomwareAuditedAsrRansomwareBlocked
Bağımlılıklar: Microsoft Defender Virüsten Koruma, Bulut Koruması
Ayrıca bkz.
- Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
- Saldırı yüzeyi azaltma kuralları dağıtımı planlama
- Test saldırısı yüzeyi azaltma kuralları
- Saldırı yüzeyi azaltma kurallarını etkinleştirme
- Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
- Saldırı yüzeyi azaltma kuralları raporu
- Saldırı yüzeyi azaltma kuralları başvurusu
- Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin