配置攻击面减少 (ASR) 规则和排除

攻击面减少 (ASR) 规则 针对 Windows 设备上的风险软件行为，攻击者通常通过恶意软件 (攻击这些行为，例如，启动下载文件的脚本、运行经过模糊处理的脚本以及将代码注入其他进程) 。 本文介绍如何启用和配置 ASR 规则。

为了获得最佳结果，请使用 Microsoft Intune 或 Microsoft Configuration Manager 等企业级管理解决方案来管理 ASR 规则。 来自 Intune 的 ASR 规则设置或Configuration Manager在启动时覆盖组策略或 PowerShell 中的任何冲突设置。

先决条件

有关详细信息，请参阅 ASR 规则的要求。

在 Microsoft Intune 中配置 ASR 规则

Microsoft Intune是用于配置 ASR 规则策略并将其分发到设备的推荐工具。 要求Microsoft Intune 计划 1 (包含在订阅（如Microsoft 365 E3）或作为独立加载项) 提供。

在 Intune 中，终结点安全策略是部署 ASR 规则的建议方法，但其他方法在 Intune 中也可用，如以下小节中所述。

使用终结点安全策略在Intune中配置 ASR 规则和排除项

若要使用 Microsoft Intune Endpoint Security Attack surface 减少策略配置 ASR 规则，请参阅创建终结点安全策略 (打开Intune文档) 中的新选项卡中。 创建策略时，请使用以下设置：

重要

Microsoft Defender for Endpoint管理仅支持设备对象。 不支持以用户为目标。 将策略分配给Microsoft Entra设备组，而不是用户组。

• 策略类型：攻击面减少
• 平台：Windows
• 配置文件：攻击面减少规则
• 配置设置：

  • 攻击面减少：通常，可以在“阻止”或“警告”模式下启用标准保护规则，而无需进行测试。 在将其他 ASR 规则切换到“阻止”或“警告”模式之前，应在“审核”模式下测试这些规则。 有关详细信息，请参阅 ASR 规则部署指南。

    将规则模式设置为 “审核”、“ 阻止”或 “警告”后，将显示“ 仅每个规则排除的 ASR ”部分，你可以在其中指定仅适用于该规则的排除项。

  • 仅攻击面减少排除项：使用此部分可指定适用于所有 ASR 规则的排除项。

    若要指定每个 ASR 规则排除项或全局 ASR 规则排除，请使用以下方法之一：

    • 选择“添加”。 在出现的框中，输入要排除的路径或路径和文件名。 例如：

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • 选择“ 导入 ”以导入包含要排除的文件和文件夹名称的 CSV 文件。 CSV 文件使用以下格式：

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      提示

      值周围的双引号是可选的，如果包含值，则忽略 (值) 中不使用。 不要在值周围使用单引号。

    有关排除项的详细信息，请参阅 ASR 规则的文件和文件夹排除。

  • 启用受控文件夹访问、 受控文件夹访问受保护的文件夹和 受控文件夹访问允许的应用程序：有关详细信息，请参阅 使用受控文件夹访问权限保护重要文件夹。

使用具有 OMA-URIs 和 CSP 的自定义配置文件在 Intune 中配置 ASR 规则

尽管建议使用终结点安全策略，但也可以使用包含开放移动联盟统一资源 (OMA-URI) 的自定义配置文件在 Intune 中配置 ASR 规则，这些配置文件使用 Windows Policy 配置服务提供程序 (CSP) 。

有关Intune中 OMA-URIs 的一般信息，请参阅通过Intune部署 OMA-URIs 以面向 CSP，以及与本地的比较。

1. 在 Microsoft Intune 管理中心中https://intune.microsoft.com，选择“设备>管理设备>配置”。 或者，直接转到 设备 |配置 页，使用 https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration。

2. 在“设备 |”的“ 策略 ”选项卡上 配置 页，选择“ 创建新>策略”。

   

3. 在打开 的“创建配置文件” 浮出控件中，配置以下设置：

   • 平台：选择“Windows 10 及更高版本”。
   • 配置文件类型：选择 “模板”。
     • 在显示的 “模板名称 ”部分中，选择“ 自定义”。

   选择“创建”。

   

4. 此时会打开自定义模板向导。 在“ 基本信息 ”选项卡上，配置以下设置：

   • 名称：输入模板的唯一名称。
   • 说明：输入可选说明。

   完成“ 基本信息 ”选项卡后，选择“ 下一步”。

5. 在 “配置设置 ”选项卡上，选择“ 添加”。

   

   在打开的 “添加行 ”浮出控件中，配置以下设置：

   • 名称：输入规则的唯一名称。

   • 说明：输入可选的简短说明。

   • OMA-URI：输入 AttackSurfaceReductionRules CSP 中的 Device 值：./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • 数据类型：选择“ 字符串”。

     • 值：使用以下语法：

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • ASR 规则的 GUID 值在 ASR 规则中可用。
       • 以下 规则模式 可用：
         • 0：关闭
         • 1：块
         • 2：审计
         • 5：未配置
         • 6：警告

       例如：

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     完成“ 添加行 ”浮出控件后，选择“ 保存”。

     提示

     此时，还可以将全局 ASR 规则排除添加到自定义配置文件，而不是仅为排除项创建单独的配置文件。 有关说明，请参阅下一小节：使用具有 OMA-URIs 和 CSP 的自定义配置文件在 Intune 中配置全局 ASR 规则排除项。

   返回“ 配置设置 ”选项卡，选择“ 下一步”。

6. 在“ 分配 ”选项卡上，配置以下设置：

   • “包含的组 ”部分：选择以下选项之一：
     • 添加组：选择要包括的一个或多个组。
     • 添加所有用户
     • 添加所有设备
   • 排除的组 部分：选择 “添加组 ”以指定要排除的任何组。

   完成“ 分配 ”选项卡后，选择“ 下一步”。

   

7. 在 “适用性规则 ”选项卡上，选择“ 下一步”。

   可以使用 OS 版本 和 OS 版本 属性来定义应获取配置文件或不应获取配置文件的设备类型。

   

8. 在“ 审阅 + 创建 ”选项卡上，查看设置。 可以使用 “上一页 ”或选择选项卡返回并进行更改。

   准备好创建配置文件后，请在“查看 +创建”选项卡上选择“创建”。

   

立即返回到设备 | 的“ 策略 ”选项卡 配置 页。 可能需要选择“ 刷新 ”才能查看策略。

ASR 规则在几分钟内处于活动状态。

使用具有 OMA-URIs 和 CSP 的自定义配置文件在 Intune 中配置全局 ASR 规则排除

使用自定义配置文件在 Intune 中配置全局 ASR 规则排除的步骤与上一部分中的 ASR 规则步骤非常相似。 唯一的区别在于步骤 5 (“配置设置 ”选项卡) ，可在其中输入 ASR 规则异常的信息：

在 “配置设置 ”选项卡上，选择“ 添加”。 在打开的 “添加行 ”浮出控件中，配置以下设置：

• 名称：输入规则的唯一名称。
  • 说明：输入可选的简短说明。
  • OMA-URI：输入 AttackSurfaceReductionOnlyExclusions CSP 中的 Device 值：./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • 数据类型：选择“ 字符串”。

    • 值：使用以下语法：

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      例如：

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

完成“ 添加行 ”浮出控件后，选择“ 保存”。

返回“ 配置设置 ”选项卡，选择“ 下一步”。

其余步骤与配置 ASR 规则相同。

使用策略 CSP 在任何 MDM 解决方案中配置 ASR 规则

策略配置服务提供商 (CSP) 使企业组织能够使用任何移动设备管理 (MDM) 解决方案（而不仅仅是Microsoft Intune）在 Windows 设备上配置策略。 有关详细信息，请参阅 策略 CSP。

可使用以下设置使用 AttackSurfaceReductionRules CSP 配置 ASR 规则：

OMA-URI 路径： ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
值： <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• ASR 规则的 GUID 值在 ASR 规则中可用
• 以下 规则模式 可用：
  • 0：关闭
  • 1：块
  • 2：审计
  • 5：未配置
  • 6：警告

例如：

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

注意

请务必输入不带空格的 OMA-URI 值。

使用策略 CSP 在任何 MDM 解决方案中配置全局 ASR 规则排除

可以使用策略 CSP 配置全局 ASR 规则路径以及路径和文件名排除 ，使用 AttackSurfaceReductionOnlyExclusions CSP 具有以下设置：

OMA-URI 路径： ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
值： <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

例如，C:\folder|%ProgramFiles%\folder\file.exe|C:\path

在 Microsoft Configuration Manager 中配置 ASR 规则和全局 ASR 规则排除项

有关说明，请参阅 创建和部署攻击防护策略中的攻击面减少信息。

警告

在服务器 OS 版本上，攻击面减少的适用性存在一个已知问题，该版本标记为合规，而没有任何实际强制措施。 目前，没有为修复此问题的日期定义发布日期。

重要

如果在设备上使用设置为 true 的“禁用管理员合并”，并且使用以下任何工具/方法，则按规则排除或本地 ASR 规则排除添加 ASR 规则不适用：

• Microsoft Defender 门户中终结点安全策略页的“ (禁用本地管理员) 合并 Windows 策略”选项卡的 Defender for Endpoint 安全设置管理https://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (禁用本地管理员合并)
• Defender CSP (DisableLocalAdminMerge)
• 组策略 (为列表配置本地管理员合并行为)

若要修改此行为，需要将“禁用管理员合并”更改为 false。

在组策略中配置 ASR 规则和排除项

警告

如果使用Intune、Microsoft Configuration Manager或其他企业级管理软件管理计算机和设备，则管理软件在启动时会覆盖任何冲突的组策略设置。

1. 在集中组策略中，打开组策略管理计算机上的组策略管理控制台 (GPMC) 。

2. 在 GPMC 控制台树中，展开包含要编辑的 GPO 的林和域中组策略对象。

3. 右键单击 GPO，然后选择“ 编辑”。

4. 在组策略管理编辑器中，转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少。

5. 在 “攻击面减少”的详细信息窗格中，可用设置包括：

   • 配置攻击面减少规则
   • 从攻击面减少规则中排除文件和路径
   • 将排除项列表应用于特定攻击面减少 (ASR) 规则

   若要打开并配置 ASR 规则设置，请使用以下任一方法：

   • 双击设置。
   • 右键单击设置，然后选择“编辑”
   • 选择设置，然后选择 “操作>编辑”。

提示

还可以使用本地组策略编辑器 gpedit.msc () 在单个设备上本地配置组策略。 导航到同一路径：计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少。

以下小节介绍了可用的设置。

重要

组策略中任何与 ASR 规则相关的值都不支持引号、前导空格、尾随空格和其他字符。

Windows 10 版本 2004 (2020 年 5 月之前的组策略路径) 可能使用 Windows Defender 防病毒 而不是 Microsoft Defender 防病毒。 这两个名称引用相同的策略位置。

在组策略中配置 ASR 规则

1. 在 “攻击面减少”的详细信息窗格中，打开 “配置攻击面减少规则 ”设置。

2. 在打开的设置窗口中，配置以下选项：

   1. 选择“已启用”。
   2. 设置每个 ASR 规则的状态：选择“ 显示...”。

3. 在打开 的“设置每个 ASR 规则的状态 ”对话框中，配置以下设置：

   • 值名称：输入 ASR 规则的 GUID 值。
   • 值：输入以下 规则模式 值之一：
     • 0：关闭
     • 1：块
     • 2：审计
     • 5：未配置
     • 6：警告

   

   有关详细信息，请参阅 ASR 规则模式。

   根据需要重复执行此步骤（次数不限）。 完成后，选择“ 确定”。

在组策略中配置全局 ASR 规则排除项

具有指定路径的路径或文件名将用作所有 ASR 规则的排除项。

1. 在 “攻击面减少”的详细信息窗格中，打开“ 从攻击面减少规则中排除文件和路径 ”设置。

2. 在打开的设置窗口中，配置以下选项：

   1. 选择“已启用”。
   2. ASR 规则中的排除项：选择“ 显示...”。

3. 在打开的 “ASR 规则排除 项”对话框中，配置以下设置：

   • 值名称：输入要从所有 ASR 规则中排除的路径或路径和文件名。
   • 值：输入 0。

   支持以下类型的值名称：

   • 若要排除文件夹中的所有文件，请输入完整的文件夹路径。 例如，C:\Data\Test。
   • 若要排除特定文件夹中的特定文件 (建议) ，请输入路径和文件名。 例如，C:\Data\Test\test.exe。

   根据需要重复执行此步骤（次数不限）。 完成后，选择“ 确定”。

在组策略中配置每 ASR 规则排除项

具有指定路径的路径或文件名用作特定 ASR 规则的排除项。

注意

如果 GPMC 中不提供“将排除项列表应用于特定攻击面减少 (ASR) 规则”设置，则需要中央存储中的管理模板文件版本 24H2 或更高版本。

1. 在 “攻击面减少”的详细信息窗格中，打开 “将排除项列表应用于特定攻击面减少 (ASR) 规则 ”设置。

2. 在打开的设置窗口中，配置以下选项：

   1. 选择“已启用”。
   2. 每个 ASR 规则的排除项：选择“ 显示...”。

3. 在打开 的每个 ASR 规则的排除 项对话框中，配置以下设置：

   • 值名称：输入 ASR 规则的 GUID 值。
   • 值：输入 ASR 规则的一个或多个排除项。 使用语法 Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN。 例如，C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe。

   根据需要重复执行此步骤（次数不限）。 完成后，选择“ 确定”。

在 PowerShell 中配置 ASR 规则

警告

如果使用Intune、Configuration Manager或其他企业级管理平台管理计算机和设备，则管理软件在启动时会覆盖任何冲突的 PowerShell 设置。

在目标设备上，在提升的 PowerShell 会话中使用以下 PowerShell 命令语法， (通过选择“ 以管理员身份运行 ”) 打开的 PowerShell 窗口：

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Set-MpPreference 使用指定的值覆盖任何现有规则及其相应的模式。 若要查看现有值的列表，请运行以下命令：

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  若要添加新规则及其相应模式而不影响任何现有值，请使用 Add-MpPreference cmdlet。 若要在不影响其他现有值的情况下删除指定的规则及其相应模式，请使用 Remove-MpPreference cmdlet。 三个 cmdlet 的命令语法相同。

• ASR 规则的 GUID 值在 ASR 规则中可用。

• AttackSurfaceReductionRules_Actions 参数的有效值为：

  • 0 或 Disabled
  • 1 或 Enabled (块 模式)
  • 2 或 AuditMode 或 Audit
  • 5 或 NotConfigured
  • 6 或 Warn

以下示例在设备上配置指定的 ASR 规则：

• 前两个规则在 “阻止” 模式下启用。
• 禁用第三个规则。
• 在 审核 模式下启用最后一个规则。

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

在 PowerShell 中配置全局 ASR 规则排除项

在目标设备上，在提升的 PowerShell 会话中使用以下 PowerShell 命令语法：

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Set-MpPreference 使用指定的值覆盖任何现有的 ASR 规则排除项。 若要查看现有值的列表，请运行以下命令：

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  若要在不影响任何现有值的情况下添加新异常，请使用 Add-MpPreference cmdlet。 若要在不影响任何其他值的情况下删除指定的异常，请使用 Remove-MpPreference cmdlet。 三个 cmdlet 的命令语法相同。

  以下示例将指定路径和路径配置为文件名作为设备上所有 ASR 规则的排除项：

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

相关内容

• 攻击面减少 (ASR) 规则参考
• 评估攻击面减少
• 关于攻击面减少的常见问题解答