提示
作为本文的配套内容,请参阅 我们的安全分析器设置指南 ,以查看最佳做法,并了解如何加强防御、提高合规性,并自信地应对网络安全环境。 若要获得基于环境的自定义体验,可以访问Microsoft 365 管理中心中的安全分析器自动设置指南。
组织 的攻击面 包括攻击者可能获得访问权限的所有位置。 有关详细信息,请参阅Microsoft Defender for Endpoint中的攻击面减少。
攻击面减少 (ASR) Microsoft Defender 防病毒中的规则针对攻击者通常通过恶意软件利用的 Windows 设备上的风险软件行为。 例如:
- 启动尝试下载或运行文件的可执行文件和脚本。
- 运行经过模糊处理的脚本或其他不受信任的脚本。
- 从可能易受攻击的应用程序创建子进程 (例如 Office 应用) 。
- 将代码注入其他进程。
尽管合法应用也可能执行这些操作,但攻击者通常使用行为相同的恶意软件。
请参阅以下系列文章来规划、测试、实现和监视 ASR 规则:
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
ASR 规则
ASR 规则分为以下类别:
Standard保护规则提供显著的安全优势,因此Microsoft建议在块模式下启用它们,而无需进行大量测试。 通常,这些规则对用户的影响最小或没有明显影响,但有一些例外:
- 通过 WMI 事件订阅阻止持久性:如果使用Microsoft Configuration Manager来管理设备,请不要使用其他可用的部署方法 (例如,组策略或 PowerShell) 在设备上以阻止或警告模式激活此规则,而无需在审核模式下进行广泛测试。 Configuration Manager客户端严重依赖 WMI。
- 阻止从 Windows 本地安全机构子系统窃取凭据:如果启用 本地安全机构 (LSA) 保护 (建议,以及 Credential Guard) ,则此规则是冗余的。
其他 ASR 规则 提供重要的保护,但需要先在 审核 模式下进行测试,然后才能在 阻止 或 警告 模式下激活它们,如 攻击面减少规则部署指南中所述。
下表介绍了可用的 ASR 规则及其相应的 GUID 值及其类别:
通过规则名称中的链接,可参阅 ASR 规则参考 文章中的详细规则说明。
除了 Microsoft Intune 和 Microsoft Configuration Manager中的终结点安全策略外,所有其他 ASR 规则配置方法均按 GUID 值标识规则。
表中介绍了Microsoft Intune和Microsoft Configuration Manager之间的任何 ASR 规则名称差异。
提示
Microsoft Configuration Manager以前通过其他名称知道:
- Microsoft System Center Configuration Manager:版本 1511 到 1906 (2015 年 11 月至 2019 年 7 月)
- Microsoft终结点Configuration Manager:版本 1910 到 2211 (2019 年 12 月到 2022 年 12 月)
- Microsoft Configuration Manager:版本 2303 (2023 年 4 月) 或更高版本
有关支持和更新信息,请参阅Configuration Manager的汇报和服务。
| Microsoft Intune中的规则名称 | Microsoft Configuration Manager中的规则名称 | GUID | 类别 |
|---|---|---|---|
| Standard保护规则 | |||
| 阻止滥用被利用的易受攻击的已签名驱动程序 (设备) | 不适用 | 56a863a9-875e-4185-98a7-b882c64b5ce5 | 杂项 |
| 阻止从 Windows 本地安全机构子系统窃取凭据 | 相同 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | 横向移动 & 凭据盗窃 |
| 通过 WMI 事件订阅阻止持久性 | 不适用 | e6db77e5-3df2-4cf1-b95a-636979351e5b | 横向移动 & 凭据盗窃 |
| 其他 ASR 规则 | |||
| 阻止 Adobe Reader 创建子进程 | 不适用 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | 生产力应用 |
| 阻止所有 Office 应用程序创建子进程 | 阻止 Office 应用程序创建子进程 | d4f940ab-401b-4efc-aadc-ad5f3c50688a | 生产力应用 |
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | 相同 | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | 电子邮件 |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | 01443614-cd74-433a-b99e-2ecdc07bfc25 | 多态威胁 |
| 阻止执行可能已模糊处理的脚本 | 相同 | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Script |
| 阻止 JavaScript 或 VBScript 启动下载的可执行内容 | 相同 | d3e037e1-3eb8-44c8-a917-57927947596d | Script |
| 阻止 Office 应用程序创建可执行内容 | 相同 | 3b576869-a4ec-4529-8536-b80a7769e899 | 生产力应用 |
| 阻止 Office 应用程序将代码注入其他进程 | 相同 | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | 生产力应用 |
| 阻止 Office 通信应用程序创建子进程 | 不适用 | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email、生产力应用 |
| 阻止源自 PSExec 和 WMI 命令的进程创建 | 不适用 | d1e49aac-8f56-4280-b9ba-993a6d77406c | 横向移动 & 凭据盗窃 |
| 在安全模式下阻止重新启动计算机 | 不适用 | 33ddedf1-c6e0-47cb-833e-de6133960387 | 杂项 |
| 阻止从 USB 运行的不受信任和未签名的进程 | 相同 | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | 多态威胁 |
| 阻止使用复制或模拟的系统工具 | 不适用 | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | 杂项 |
| 阻止为服务器创建 Webshell | 不适用 | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | 杂项 |
| 阻止来自 Office 宏的 Win32 API 调用 | 相同 | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | 生产力应用 |
| 使用针对勒索软件的高级防护 | 相同 | c1db55ab-c21a-4637-bb3f-a12568109d35 | 多态威胁 |
ASR 规则的要求
ASR 规则要求Microsoft Defender防病毒作为 Windows 设备上的主要防病毒应用:
Microsoft Defender防病毒必须启用,并且处于活动模式。 具体而言,Microsoft Defender防病毒不能处于以下任何模式:
- 被动
- 被动模式,在块模式下使用终结点检测和响应 (EDR)
- 有限定期扫描 (LPS)
- 关闭
有关 Microsoft Defender 防病毒中的模式的详细信息,请参阅 Microsoft Defender 防病毒如何影响 Defender for Endpoint 功能。
云提供的保护 (也称为Microsoft高级保护服务或 MAPS) 对 ASR 规则功能至关重要。 云保护增强了标准实时保护,是防止恶意软件泄露的关键组成部分。 某些 ASR 规则专门对 Defender for Endpoint 和用户通知弹出窗口中的 EDR (EDR) 警报具有云交付保护要求。 有关详细信息,请参阅 来自 ASR 规则操作的警报和通知。
出于同样的原因,你的环境必须允许连接到 Microsoft Defender 防病毒云服务。
Microsoft Defender防病毒组件版本必须不超过两个版本,早于当前可用版本:
- 平台更新版本:每月更新一次。
- MEngine 版本:每月更新一次。
- 安全智能:Microsoft不断更新安全智能 (也称为定义和签名,) 解决最新威胁并优化检测逻辑。
使Microsoft Defender防病毒版本保持最新状态有助于减少 ASR 规则误报,并改进Microsoft Defender防病毒检测功能。 有关当前版本以及如何更新不同Microsoft Defender防病毒组件的详细信息,请参阅Microsoft Defender防病毒平台支持。
尽管 ASR 规则不需要Microsoft 365 E5,但Microsoft建议使用 E5 或等效订阅的安全功能,以利用以下高级管理功能:
- Defender for Endpoint 中的监视、分析和工作流。
- Microsoft Defender XDR门户中的报告和配置功能。
高级管理功能不适用于其他许可证 (例如 Windows 专业版或Microsoft 365 E3) 。 但是,可以在每台设备上在 Windows 事件查看器 生成的 ASR 规则事件的基础上开发自己的监视和报告工具, (例如 Windows 事件转发) 。
若要了解有关 Windows 许可的详细信息,请参阅 Windows 许可 并获取 Microsoft批量许可参考指南。
ASR 规则支持的操作系统
ASR 规则是任何版本的 Windows 上的一项Microsoft Defender防病毒功能,包括Microsoft Defender防病毒 (,例如,Windows 11 家庭版) 。 可以使用 PowerShell 或 组策略 在设备上本地配置 ASR 规则。
以下 Windows 版本和版本中提供了Microsoft Defender for Endpoint中 ASR 规则的集中管理、报告和警报:
- Windows 10 或更高版本的 Pro 和 Enterprise 版本。
- Windows Server 2012 R2 或更高版本。
- Azure Local (以前称为 Azure Stack HCI) 版本 23H2 或更高版本。
有关操作系统支持的详细信息,请参阅 ASR 规则的操作系统支持。
ASR 规则的模式
ASR 规则可以处于以下模式之一,如下表所述:
| 规则模式 | 代码 | 说明 |
|---|---|---|
|
关闭 或 Disabled |
0 | 已显式禁用 ASR 规则。 当不同的策略在不同模式下为同一设备分配同一 ASR 规则时,此值可能会导致冲突。 |
|
阻止 或 Activated |
1 | ASR 规则在 “阻止” 模式下启用。 |
|
审核 或 审核模式 |
2 | ASR 规则就像在 “阻止” 模式下一样启用,但不执行任何操作。 审核模式下的 ASR 规则检测可在以下位置使用:
|
| 未配置 | 5 | 未显式启用 ASR 规则。 此值在功能上等效于 Disabled 或 Off,但不存在规则冲突的可能性。 |
|
警告 或 警告 |
6 | ASR 规则就像在 “阻止” 模式下一样启用,但用户可以在警告通知弹出窗口中选择“ 取消阻止 ”,以绕过阻止 24 小时。 24 小时后,用户需要再次绕过该块。 Windows 10版本 1809 (2018 年 11 月) 或更高版本支持警告模式。 在不支持的 Windows 版本上 ,警告 模式下的 ASR 规则实际上处于 阻止 模式, (旁路不可用) 。 警告模式在 Microsoft Configuration Manager 中不可用。 警告模式具有以下Microsoft Defender防病毒版本要求:
以下 ASR 规则不支持 警告 模式: |
Microsoft建议使用标准保护规则的 阻止 模式,并在 审核 模式下对其他 ASR 规则进行初始测试,然后再在 “阻止 ”或“ 警告 ”模式下激活这些规则。
许多业务线应用程序都是出于有限的安全考虑而编写的,它们可能以类似于恶意软件的方式操作。 通过在 审核 模式下监视 ASR 规则中的数据并为所需应用 添加排除 项,可以在不降低工作效率的情况下部署 ASR 规则。
在 “阻止” 模式下启用 ASR 规则之前,请在 审核 模式和安全建议中评估其影响。 有关详细信息,请参阅 测试 ASR 规则。
ASR 规则的部署和配置方法
Microsoft Defender for Endpoint支持 ASR 规则,但不包括将 ASR 规则设置部署到设备的内置方法。 而是使用单独的部署或管理工具来创建 ASR 规则策略并将其分发到设备。 并非所有部署方法都支持每个 ASR 规则。 有关每个规则的详细信息,请参阅 ASR 规则的部署方法支持。
下表汇总了可用的方法。 有关详细的配置说明,请参阅 配置攻击面减少 (ASR) 规则和排除项。
| 方法 | 说明 |
|---|---|
| Microsoft Intune终结点安全策略 | 配置 ASR 规则策略并将其分发到设备的推荐方法。 要求Microsoft Intune 计划 1 (包含在订阅(如Microsoft 365 E3)或作为独立加载项) 提供。 |
| 使用 OMA-URI Microsoft Intune自定义配置文件 | 使用开放移动联盟统一资源 (OMA-URI) 配置文件在 Intune 中配置 ASR 规则的替代方法。 |
| 使用策略 CSP 的任何 MDM 解决方案 | 将 Windows Policy 配置服务提供程序 (CSP) 与任何 MDM 解决方案配合使用。 |
| Microsoft Configuration Manager | 在“资产和符合性”工作区中使用Microsoft Defender防病毒策略。 |
| 组策略 | 使用集中组策略配置 ASR 规则并将其分发到已加入域的设备。 或者,可以在单个设备上本地配置组策略。 |
| PowerShell | 在单个设备上本地配置 ASR 规则。 PowerShell 支持所有 ASR 规则。 |
ASR 规则的文件和文件夹排除项
重要
排除文件或文件夹会严重降低 ASR 规则保护。 允许运行排除的文件,并且不会记录有关该文件的报告或事件。 如果 ASR 规则检测到不应检测到的文件, 请使用审核模式测试规则。
可以将特定文件和文件夹排除在 ASR 规则的评估中。 即使 ASR 规则确定文件或文件夹包含恶意行为,也不会阻止排除的文件运行。
可以使用以下方法从 ASR 规则中排除文件和文件夹:
Microsoft Defender防病毒排除项:并非所有 ASR 规则都遵循这些排除项。 有关Microsoft Defender防病毒排除项的详细信息,请参阅配置 Microsoft Defender 防病毒的自定义排除项。
提示
所有 ASR 规则都遵循 Microsoft Defender 防病毒中的进程排除项。
全局 ASR 规则排除:这些排除项适用于所有 ASR 规则。 所有 ASR 规则配置方法还支持配置全局 ASR 规则排除项。
按 ASR 规则排除:有选择地将不同的排除项分配给不同的 ASR 规则。 只有以下 ASR 规则配置方法还支持配置每个 ASR 规则排除项:
- 组策略 (和相应的注册表设置)
- Microsoft Intune中的终结点安全策略。
泄露指标 (IoC) :大多数 ASR 规则都对被阻止的文件和阻止的证书使用 IoC。 有关 IoC 的详细信息,请参阅Microsoft Defender for Endpoint中的指示器概述。
下表总结了对 ASR 规则执行不同类型的排除项:
| 规则名称 | 遵循 MDAV 文件和 文件夹排除项 |
尊重全局 ASR 排除 |
按 ASR 规则接受 排除 |
遵循 IoC files |
遵循 IoC 证书 |
|---|---|---|---|---|---|
| Standard保护规则 | |||||
| 阻止滥用被利用的易受攻击的已签名驱动程序 (设备) | Y | Y | Y | Y | Y |
| 阻止从 Windows 本地安全机构子系统窃取凭据 | N | Y | Y | N | N |
| 通过 WMI 事件订阅阻止持久性 | N | Y | Y | N | N |
| 其他 ASR 规则 | |||||
| 阻止 Adobe Reader 创建子进程 | N | Y | Y | Y | Y |
| 阻止所有 Office 应用程序创建子进程 | Y | Y | Y | Y | Y |
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | Y | Y | Y | Y | Y |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | Y | Y | Y | Y | Y |
| 阻止执行可能已模糊处理的脚本 | Y | Y | Y | Y | Y |
| 阻止 JavaScript 或 VBScript 启动下载的可执行内容 | Y | Y | Y | Y | Y |
| 阻止 Office 应用程序创建可执行内容 | N | Y | Y | Y | Y |
| 阻止 Office 应用程序将代码注入其他进程 | N | Y | Y | N | N |
| 阻止 Office 通信应用程序创建子进程 | N | Y | Y | Y | Y |
| 阻止源自 PSExec 和 WMI 命令的进程创建 | N | Y | Y | Y | Y |
| 在安全模式下阻止重新启动计算机 | Y | Y | Y | Y | Y |
| 阻止从 USB 运行的不受信任和未签名的进程 | Y | Y | Y | Y | Y |
| 阻止使用复制或模拟的系统工具 | Y | Y | Y | Y | Y |
| 阻止为服务器创建 Webshell | Y | Y | Y | Y | Y |
| 阻止来自 Office 宏的 Win32 API 调用 | Y | Y | Y | Y | N |
| 使用针对勒索软件的高级防护 | Y | Y | Y | Y | Y |
添加排除项时,请记住以下几点:
排除路径可以使用环境变量和通配符。 有关详细信息,请参阅 在文件名和文件夹路径或扩展排除列表中使用通配符。
提示
不要在文件夹和进程排除项中使用 用户 环境变量作为通配符。 仅使用以下类型的环境变量作为通配符:
- 系统环境变量。
- 应用于作为 NT AUTHORITY\SYSTEM 帐户运行的进程的环境变量。
有关系统环境变量的列表,请参阅 系统环境变量。
- 通配符无法定义驱动器号。
- 若要排除路径中的多个文件夹,请使用 的
\*\多个实例来指示多个嵌套文件夹。 例如,c:\Folder\*\*\Test。 - Microsoft Configuration Manager支持通配符 (
*或?) 。 - 例如,若要从自动文件生成) 中排除包含随机字符 (文件,请使用
?符号。 例如,C:\Folder\fileversion?.docx。
仅当应用程序或服务启动时,排除项才适用。 例如,如果为已在运行的更新服务添加排除项,则更新服务将继续触发 ASR 规则检测,直到重新启动该服务。
ASR 规则中的策略冲突
如果为同一设备分配了两个不同的 ASR 规则策略,则可能会基于以下元素发生潜在冲突:
- 是否在不同的模式下分配相同的 ASR 规则。
- 冲突管理是否到位。
- 结果是否为错误。
不冲突的 ASR 规则不会导致错误。 应用第一个规则,后续的不冲突规则将合并到策略中。
如果移动设备管理 (MDM) 解决方案,并且组策略将不同的 ASR 规则设置应用于同一设备,则组策略设置优先。
有关如何处理 Microsoft Intune 中可用部署方法的 ASR 规则设置冲突的信息,请参阅由 Intune 管理的设备。
ASR 规则的通知和警报
在设备上触发处于 “阻止” 或 “警告” 模式的 ASR 规则时,设备上会显示通知。 可以自定义通知中的信息。 有关详细信息,请参阅在 Windows 安全中心 中自定义联系人信息。
触发支持的 ASR 规则时,会在 Defender for Endpoint 中生成终结点检测和响应 (EDR) 警报。
有关通知和警报功能的特定详细信息,请参阅 来自 ASR 规则操作的警报和通知。
若要在Microsoft Defender门户和 Windows 事件查看器的设备上查看 ASR 警报活动,请参阅监视攻击面减少 (ASR) 规则活动。
监视 ASR 规则活动
有关完整信息,请参阅 监视攻击面减少 (ASR) 规则活动。