攻击面减少 (ASR) 规则参考

攻击面减少 (ASR) 规则针对 Windows 设备上的风险软件行为，攻击者通常通过恶意软件 (攻击这些行为，例如，启动下载文件的脚本、运行经过模糊处理的脚本以及将代码注入其他进程) 。 有关 ASR 规则的详细信息，请参阅 攻击面减少 (ASR) 规则概述。

本文是 ASR 规则的技术参考，提供以下信息：

• 对 ASR 规则的操作系统支持
• ASR 规则的部署方法支持
• 来自 ASR 规则操作的警报和通知
• ASR 规则详细信息

重要

本文中的某些信息与预发行的产品有关，该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

对 ASR 规则的操作系统支持

ASR 规则是一种Microsoft Defender防病毒功能，可在包括Microsoft Defender防病毒 (（例如Windows 11 家庭版) ）的任何 Windows 版本上使用。 可以使用 PowerShell 或 组策略在本地配置 ASR 规则。

下表介绍了Microsoft Defender for Endpoint中对 ASR 规则的操作系统支持，这些规则通过Microsoft Intune、Microsoft Configuration Manager和Microsoft Defender门户：

规则名称	Windows 11或更高版本	Windows 10	Windows Server 2019 或更高版本	Windows Server 2016*	Windows Server 2012 R2*
Standard保护规则
阻止滥用被利用的易受攻击的已签名驱动程序 (设备)	Y	1709 或更高版本	Y	Windows Server 1803 (SAC) 或更高版本	Y
阻止从 Windows 本地安全机构子系统窃取凭据	Y	1803 或更高版本	Y	Y	Y
通过 WMI 事件订阅阻止持久性	Y	1903 或更高版本	Windows Server 1903 (SAC) 或更高版本	N	N
其他 ASR 规则
阻止 Adobe Reader 创建子进程	Y	1809 或更高版本	Y	Y	Y
阻止所有 Office 应用程序创建子进程	Y	1709 或更高版本	Y	Y	Y
阻止来自电子邮件客户端和 Webmail 的可执行内容	Y	1709 或更高版本	Y	Y	Y
阻止可执行文件运行，除非它们符合流行率、年龄或受信任列表条件	Y	1803 或更高版本	Y	Y	Y
阻止执行可能已模糊处理的脚本	Y	1709 或更高版本	Y	Y	Y
阻止 JavaScript 或 VBScript 启动下载的可执行内容	Y	1709 或更高版本	Y	N	N
阻止 Office 应用程序创建可执行内容	Y	1709 或更高版本	Y	Y	Y
阻止 Office 应用程序将代码注入其他进程	Y	1709 或更高版本	Y	Y	Y
阻止 Office 通信应用程序创建子进程	Y	1709 或更高版本	Y	Y	Y
阻止源自 PSExec 和 WMI 命令的进程创建	Y	1803 或更高版本	Y	Y	Y
在安全模式下阻止重新启动计算机	Y	1709 或更高版本	Y	Y	Y
阻止从 USB 运行的不受信任和未签名的进程	Y	1709 或更高版本	Y	Y	Y
阻止使用复制或模拟的系统工具	Y	1709 或更高版本	Y	Y	Y
阻止为服务器创建 Webshell	不适用	不适用	仅限 Exchange 服务器	仅限 Exchange 服务器	网络
阻止来自 Office 宏的 Win32 API 调用	Y	1709 或更高版本	不适用	不适用	不适用
使用针对勒索软件的高级防护	Y	1803 或更高版本	Y	Y	Y

^*Windows Server 2016 和 Windows Server 2012 R2 中支持的 ASR 规则需要使用新式统一解决方案包进行载入。 有关详细信息，请参阅新式统一解决方案中的新Windows Server 2012 R2 和 2016 功能。

ASR 规则的部署方法支持

尽管 Defender for Endpoint 支持 ASR 规则，但你需要一个单独的服务来将规则部署到设备。 下表介绍了用于部署 ASR 规则的受支持方法。

规则名称	Intune	配置管理器	MDM CSP	集中式组策略
Standard保护规则
阻止滥用被利用的易受攻击的已签名驱动程序 (设备)	Y	N	Y	Y
阻止从 Windows 本地安全机构子系统窃取凭据	Y	1802 或更高版本	Y	Y
通过 WMI 事件订阅阻止持久性	Y	N	Y	Y
其他 ASR 规则
阻止 Adobe Reader 创建子进程	Y	N	Y	Y
阻止所有 Office 应用程序创建子进程	Y	1710 或更高版本	Y	Y
阻止来自电子邮件客户端和 Webmail 的可执行内容	Y	1710 或更高版本	Y	Y
阻止可执行文件运行，除非它们符合流行率、年龄或受信任列表条件[1]	Y	1802 或更高版本	Y	Y
阻止执行可能已模糊处理的脚本	Y	1710 或更高版本	Y	Y
阻止 JavaScript 或 VBScript 启动下载的可执行内容	Y	1710 或更高版本	Y	Y
阻止 Office 应用程序创建可执行内容	Y	1710 或更高版本	Y	Y
阻止 Office 应用程序将代码注入其他进程	Y	1710 或更高版本	Y	Y
阻止 Office 通信应用程序创建子进程	Y	N	Y	Y
阻止源自 PSExec 和 WMI 命令的进程创建	Y	N	Y	Y
在安全模式下阻止重新启动计算机	Y	N	Y	Y
阻止从 USB 运行的不受信任和未签名的进程	Y	1802 或更高版本	Y	Y
阻止使用复制或模拟的系统工具	Y	N	Y	Y
阻止为服务器创建 Webshell	Y	N	Y	Y
阻止来自 Office 宏的 Win32 API 调用	Y	1710 或更高版本	Y	Y
使用针对勒索软件的高级防护	Y	1802 或更高版本	Y	Y

提示

还可以使用 组策略 或 PowerShell 在单个设备上本地配置 ASR 规则。 本地设备上这两种方法支持所有 ASR 规则。

1 目前，由于已知的后端问题，此 ASR 规则在Intune ASR 策略配置中可能不可用。 但是，该规则可通过其他可用的 ASR 策略配置方法或在问题发生之前创建的现有Intune ASR 策略中使用。

来自 ASR 规则操作的警报和通知

下表描述了活动 ASR 规则可以生成的组织和本地警报。

• EDR 警报值指示在“阻止”或“警告”模式下的 ASR 规则是否在 Defender for Endpoint 中生成终结点检测和响应 (EDR) 警报。
• 用户通知值指示 ASR 规则是否支持“阻止”或“警告”模式的用户通知弹出窗口， (规则是否支持) 警告模式。

规则名称	EDR 警报	用户 通知
Standard保护规则
阻止滥用被利用的易受攻击的已签名驱动程序 (设备)	N	Y
阻止从 Windows 本地安全机构子系统窃取凭据[¹]	N	N
通过 WMI 事件订阅阻止持久性	Y	Y
其他 ASR 规则
阻止 Adobe Reader 创建子进程[²]	Y	Y
阻止所有 Office 应用程序创建子进程	N	Y
阻止来自电子邮件客户端和 Webmail 的可执行内容[²]	Y	Y
阻止可执行文件运行，除非它们符合流行率、年龄或受信任列表条件	N	Y
阻止执行可能已模糊处理的脚本	Y	Y
阻止 JavaScript 或 VBScript 启动下载的可执行内容[²]	Y	Y
阻止 Office 应用程序创建可执行内容	N	Y
阻止 Office 应用程序将代码注入其他进程[¹]	N	Y
阻止 Office 通信应用程序创建子进程	N	Y
阻止源自 PSExec 和 WMI 命令的进程创建	N	Y
在安全模式下阻止重新启动计算机	N	N
阻止从 USB 运行的不受信任和未签名的进程	Y	Y
阻止使用复制或模拟的系统工具	N	Y
阻止为服务器创建 Webshell	N	N
阻止来自 Office 宏的 Win32 API 调用	Y	N
使用针对勒索软件的高级防护	Y	Y

¹ 此 ASR 规则不支持 警告 模式。

² 此 ASR 规则处于阻止或警告模式，在 Microsoft Defender 防病毒的云保护级别具有以下额外要求：

• 仅当设备上的云保护级别为 “高加” 或“ 零容错”时，才会生成 EDR 警报。
• 仅当设备上的云保护级别为 “高”、“ 高加”或“ 零容忍”时，才会生成用户通知弹出窗口。

ASR 规则详细信息

Standard保护规则

阻止滥用被利用的易受攻击的已签名驱动程序 (设备)

具有足够权限的本地应用可以利用易受攻击的已签名驱动程序来获取对操作系统内核的访问权限。 易受攻击的已签名驱动程序使攻击者能够禁用或规避安全解决方案，最终导致系统泄露。

此 ASR 规则可防止应用在计算机上保存易受攻击的已签名驱动程序。 它不会阻止加载计算机上已有的现有驱动程序。

• Microsoft Intune名称：Block abuse of exploited vulnerable signed drivers (Device)
• Microsoft Configuration Manager名称：n/a
• GUID： 56a863a9-875e-4185-98a7-b882c64b5ce5
• 高级搜寻操作类型：
  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked
• 依赖项：无

注意

• 使用以下 URL 将驱动程序提交到Microsoft进行分析： https://www.microsoft.com/wdsi/driversubmission。
• 若要进一步保护 Windows 设备免受易受攻击的驱动程序的侵害，还应实现以下额外保护方法：
  • 适用于企业的 Microsoft 应用控制
    • Windows 10 或更高版本。
    • Windows Server 2016 或更高版本。
  • Microsoft Windows 易受攻击的驱动程序阻止列表
    • Windows 11 或更高版本。
    • Windows Server 2019 (1809) 或更高版本
  • Microsoft AppLocker
    • Windows 8.1或更高版本。
    • Windows Server 2012 R2 或更高版本。

阻止从 Windows 本地安全机构子系统窃取凭据

注意

如果启用 本地安全机构 (LSA) 保护 (建议，以及 Credential Guard) ：

• 不需要此 ASR 规则。
• 此 ASR 规则不会 (ASR 规则提供额外的保护，LSA 保护的工作方式与) 类似。
• 此 ASR 规则被归类为不适用于 Microsoft Defender 门户中的 Defender for Endpoint 管理设置。

此 ASR 规则通过锁定本地安全机构子系统服务 (LSASS) 来帮助防止凭据窃取。 LSASS 对在 Windows 计算机上登录的用户进行身份验证。 通常，Windows 中的 Credential Guard 会阻止尝试从 LSASS 中提取凭据。

许多进程对 LSASS 进行不必要的调用，以获取不需要的访问权限。 此活动会生成相当大的 ASR 规则干扰，但不会阻止功能。 例如，Google Chrome 更新不必要地访问 LSASS，因为密码存储在设备上的 LSASS 中。 在设备上激活此 ASR 规则会阻止 Chrome 更新访问 LSASS，但不阻止 Chrome 更新。 这些 ASR 规则事件很好，因为 Chrome 软件更新进程不应访问 LSASS。

有关在对 LSASS 的进程调用中通常请求的权限类型的信息，请参阅 进程安全性和访问权限。

由于自定义智能卡驱动程序或加载到 LSA 的其他程序的兼容性问题，某些组织无法启用 Credential Guard。 在这些情况下，攻击者可以使用 Mimikatz 等工具从 LSASS 抓取明文密码和 NTLM 哈希。

如果无法启用 LSA 保护和/或 Credential Guard，可以将此规则配置为针对 针对 的 lsass.exe恶意软件提供等效保护。

• Microsoft Intune名称：Block credential stealing from the Windows local security authority subsystem
• Microsoft Configuration Manager名称：Block credential stealing from the Windows local security authority subsystem
• GUID： 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
• 高级搜寻操作类型：
  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked
• 依赖项：Microsoft Defender防病毒

注意

• 此 ASR 规则不支持 “警告” 模式。
• 此 ASR 规则生成大量审核事件，在 “阻止” 模式下启用规则时，几乎所有事件都可以安全忽略。 可以选择跳过审核模式评估并继续阻止模式部署。 Microsoft建议从一小部分设备开始，并逐渐扩展以涵盖其余设备。
• 此 ASR 规则禁止显示友好进程和重复阻止操作的警报和用户通知弹出窗口。
• 此 ASR 规则阻止 访问 LSASS 进程内存。 它不会阻止进程 运行。 如果此 ASR 规则阻止类似 svchost.exe的进程，则表示阻止进程访问 LSASS 进程内存。 通常可以通过此 ASR 规则安全地忽略阻止这些进程。
• 某些应用枚举所有正在运行的进程，并尝试使用详尽的权限打开它们。 此 ASR 规则拒绝应用的打开进程操作，并将详细信息记录到 Windows 事件查看器中的安全日志中。 此规则可能会生成大量干扰。 如果你有一个仅枚举 LSASS 但对功能没有实际影响的应用，则无需将其添加到排除列表。 此事件日志条目本身不一定表示恶意威胁。
• 此 ASR 规则与 Quest Dirsync 密码同步存在问题。有关详细信息，请参阅 安装 Windows Defender 时 Dirsync 密码同步不起作用、错误：“VirtualAllocEx 失败： 5” (4253914) 。
• 此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。

通过 WMI 事件订阅阻止持久性

此 ASR 规则可防止恶意软件滥用 WMI 在设备上获取持久性。

无文件威胁使用各种策略来保持隐藏状态，避免在文件系统中出现，并定期获得控制。 某些威胁可能会滥用 WMI 存储库和事件模型，使其保持隐藏状态。

• Microsoft Intune名称：Block persistence through WMI event subscription
• Microsoft Configuration Manager名称：n/a
• GUID： e6db77e5-3df2-4cf1-b95a-636979351e5b
• 高级搜寻操作类型：
  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked
• 依赖项：Microsoft Defender防病毒、RPC

注意

• 使用新式统一解决方案通过 Microsoft Intune 部署以Windows Server 2012 R2 或Windows Server 2016时，不支持此规则。
• 如果使用Microsoft Configuration Manager，Microsoft建议在“审核”模式下对此 ASR 规则进行广泛测试，然后再转到“阻止”模式。 Configuration Manager客户端严重依赖 WMI。
• 此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。

其他 ASR 规则

阻止 Adobe Reader 创建子进程

此 ASR 规则通过阻止 Adobe Reader 创建进程来防止攻击。

恶意软件可以下载和启动有效负载，并通过社交工程或攻击突破 Adobe Reader。 通过阻止 Adobe Reader 生成子进程，可以阻止将 Adobe Reader 用作攻击途径的恶意软件传播。

• Microsoft Intune名称：Block Adobe Reader from creating child processes
• Microsoft Configuration Manager名称：n/a
• GUID： 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
• 高级搜寻操作类型：
  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked
• 依赖项：Microsoft Defender防病毒

注意

• 此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。
• 此 ASR 规则在“阻止”或“警告”模式下具有Microsoft Defender防病毒的云保护级别的额外要求：
  • 仅当设备上的云保护级别为 “高加” 或“ 零容错”时，才会生成 EDR 警报。
  • 仅当设备上的云保护级别为 “高”、“ 高加”或“ 零容忍”时，才会生成用户通知弹出窗口。

阻止所有 Office 应用程序创建子进程

此规则阻止 Office 应用创建子进程。 Office 应用包括 Word、Excel、PowerPoint、OneNote 和 Access。

创建恶意子进程是一种常见的恶意软件策略。 滥用 Office 作为矢量的恶意软件通常会运行 VBA 宏并利用代码下载并尝试运行更多有效负载。 但是，某些合法的业务线应用也可能出于良性目的生成子进程。 例如，生成命令提示符或使用 PowerShell 配置注册表设置。

• Microsoft Intune名称：Block all Office applications from creating child processes
• Microsoft Configuration Manager名称：Block Office application from creating child processes
• GUID： d4f940ab-401b-4efc-aadc-ad5f3c50688a
• 高级搜寻操作类型：
  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked
• 依赖项：Microsoft Defender防病毒

注意

仅当 Office 安装在 %ProgramFiles% (默认情况下且 C:\Program Files (x86)) 的 或 %ProgramFiles(x86)% 位置时，C:\Program Files才会强制实施此规则。

阻止来自电子邮件客户端和 Webmail 的可执行内容

此规则阻止使用 Microsoft Outlook、Outlook.com 和其他常用 Web 邮件提供程序打开的电子邮件传播以下文件类型：

• 可执行文件 (例如 .exe、.dll 或 .scr) 。

• 脚本文件 (例如 .ps1、.vbs 或 .js) 。

• 存档文件 (例如 .zip) 。

• Microsoft Intune名称：Block executable content from email client and webmail

• Microsoft Configuration Manager名称：Block executable content from email client and webmail

• GUID： be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

• 高级搜寻操作类型：

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

• 依赖项：Microsoft Defender防病毒

注意

• 此 ASR 规则在“阻止”或“警告”模式下具有Microsoft Defender防病毒的云保护级别的额外要求：
  • 仅当设备上的云保护级别为 “高加” 或“ 零容错”时，才会生成 EDR 警报。
  • 仅当设备上的云保护级别为 “高”、“ 高加”或“ 零容忍”时，才会生成用户通知弹出窗口。
• 此 ASR 规则具有以下备用说明：
  • Intune (配置文件) ：Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
  • Configuration Manager：Block executable content download from email and webmail clients
  • 组策略：Block executable content from email client and webmail

阻止可执行文件运行，除非它们符合流行率、年龄或受信任列表条件

提示

目前，由于已知的后端问题，此 ASR 规则在 Intune ASR 策略配置中可能不可用。 但是，该规则可通过其他可用的 ASR 策略配置方法或在问题发生之前创建的现有INTUNE ASR 策略中使用。

此 ASR 规则阻止可执行文件 (（例如，.exe、.dll 或 .scr）启动) 。 启动不受信任的或未知的可执行文件可能会有风险，因为最初还不清楚这些文件是否是恶意文件。

• Microsoft Intune名称：Block executable files from running unless they meet a prevalence, age, or trusted list criterion
• Microsoft Configuration Manager名称：Block executable files from running unless they meet a prevalence, age, or trusted list criteria
• GUID： 01443614-cd74-433a-b99e-2ecdc07bfc25
• 高级搜寻操作类型：
  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked
• 依赖项：Microsoft Defender防病毒、云保护

注意

• 若要使用此 ASR 规则，必须 启用云提供的保护。
• 使用文件夹路径或完全限定的资源名称指定单个文件或文件夹。
• 此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。

阻止执行可能已模糊处理的脚本

此 ASR 规则检测模糊化脚本中的可疑属性。

脚本模糊处理是恶意软件作者和合法应用程序用来隐藏知识产权或缩短脚本加载时间的常见技术。 恶意软件作者还使用模糊处理使恶意代码更难阅读，这阻碍了人类和安全软件的严格审查。

• Microsoft Intune名称：Block execution of potentially obfuscated scripts
• Microsoft Configuration Manager名称：Block execution of potentially obfuscated scripts
• GUID： 5beb7efe-fd9a-4556-801d-275e5ffc04cc
• 高级搜寻操作类型：
  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked
• 依赖项：Microsoft Defender防病毒、反恶意软件扫描接口 (AMSI) 、云保护

注意

• 若要使用此 ASR 规则，必须 启用云提供的保护。
• 此 ASR 规则支持 PowerShell 脚本。

阻止 JavaScript 或 VBScript 启动下载的可执行内容

此 ASR 规则可防止脚本启动潜在的恶意下载内容。 以 JavaScript 或 VBScript 编写的恶意软件通常充当从 Internet 提取和启动其他恶意软件的下载器。 虽然不常见，但业务线应用有时会使用脚本来下载和启动安装程序。

• Microsoft Intune名称：Block JavaScript or VBScript from launching downloaded executable content
• Microsoft Configuration Manager名称：Block JavaScript or VBScript from launching downloaded executable content
• GUID： d3e037e1-3eb8-44c8-a917-57927947596d
• 高级搜寻操作类型：
  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked
• 依赖项：Microsoft Defender防病毒、反恶意软件扫描接口 (AMSI)

注意

• 使用新式统一解决方案通过 Microsoft Intune 部署以Windows Server 2012 R2 或Windows Server 2016时，不支持此规则。

• 此 ASR 规则在“阻止”或“警告”模式下具有Microsoft Defender防病毒的云保护级别的额外要求：

  • 仅当设备上的云保护级别为 “高加” 或“ 零容错”时，才会生成 EDR 警报。
  • 仅当设备上的云保护级别为 “高”、“ 高加”或“ 零容忍”时，才会生成用户通知弹出窗口。

阻止 Office 应用程序创建可执行内容

此 ASR 规则可防止 Office 应用 (（例如，Word、Excel 和 PowerPoint) ）用作将恶意组件保存到磁盘的矢量。 这些恶意组件可以在计算机重新启动后幸存下来，并保留在系统上。 此规则通过以下方法防范这种持久性技术：

• 阻止访问 (打开/执行写入到磁盘的代码) 。

• 阻止执行允许在 Office 文件中运行的 Office 宏保存的不受信任的文件。

• Microsoft Intune名称：Block Office applications from creating executable content

• Microsoft Configuration Manager名称：Block Office applications from creating executable content

• GUID： 3b576869-a4ec-4529-8536-b80a7769e899

• 高级搜寻操作类型：

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

• 依赖项：Microsoft Defender防病毒、RPC

注意

此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。

此 ASR 规则不受 Office 安装位置的影响。

阻止 Office 应用程序将代码注入其他进程

此 ASR 规则阻止从 Office 应用到其他进程的代码注入尝试。 攻击者可能会尝试使用 Office 应用通过代码注入将恶意代码迁移到其他进程，因此代码可以伪装成干净进程。 使用代码注入没有已知的合法业务目的。

• Microsoft Intune名称：Block Office applications from injecting code into other processes
• Microsoft Configuration Manager名称：Block Office applications from injecting code into other processes
• GUID： 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
• 高级搜寻操作类型：
  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked
• 依赖项：Microsoft Defender防病毒

注意

• 此 ASR 规则不支持 “警告” 模式。
• 此 ASR 规则适用于 Word、Excel、OneNote 和 PowerPoint。
• 此 ASR 规则要求重启Microsoft 365 应用版 (Office 应用程序) 才能使配置更改生效。
• 此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。
• 此 ASR 规则与以下应用不兼容：
  • BeyondTrust Privilege Guard：有关详细信息，请参阅 2024 年 9 月 (平台：4.18.24090.11 |引擎 1.1.24090.11) 。
  • 海姆达尔安全
• 仅当 Office 安装在 %ProgramFiles% (默认情况下且 C:\Program Files (x86)) 的 或 %ProgramFiles(x86)% 位置时，C:\Program Files才会强制实施此 ASR 规则。

阻止 Office 通信应用程序创建子进程

此 ASR 规则阻止 Outlook 创建子进程，同时仍允许合法的 Outlook 函数。 此 ASR 规则可防范：

• 社会工程攻击和防止利用代码滥用 Outlook 中的漏洞。

• 当用户的凭据泄露时，攻击者可以使用的 Outlook 规则和表单攻击。

• Microsoft Intune名称：Block Office communication application from creating child processes

• Microsoft Configuration Manager名称：n/a

• GUID： 26190899-1602-49e8-8b27-eb1d0a1ce869

• 高级搜寻操作类型：

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

• 依赖项：Microsoft Defender防病毒

注意

此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。

仅当 Office 安装在 %ProgramFiles% (默认情况下且 C:\Program Files (x86)) 的 或 %ProgramFiles(x86)% 位置时，C:\Program Files才会强制实施此规则。

阻止源自 PSExec 和 WMI 命令的进程创建

重要

如果使用Microsoft Configuration Manager，请不要使用其他可用的部署方法在托管设备上启用此规则。 Configuration Manager客户端严重依赖 WMI。

此 ASR 规则阻止通过 PsExec 和 WMI 创建的进程运行。 PsExec 和 WMI 可以远程执行代码。 恶意软件可以使用 PsExec 和 WMI 进行命令和控制，或传播网络感染。

• Microsoft Intune名称：Block process creations originating from PSExec and WMI commands
• Microsoft Configuration Manager名称：n/a
• GUID： d1e49aac-8f56-4280-b9ba-993a6d77406c
• 高级搜寻操作类型：
  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked
• 依赖项：Microsoft Defender防病毒

注意

此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。

在安全模式下阻止重新启动计算机

此 ASR 规则可防止经常被滥用的命令（如 bcdedit 和 bootcfg ）在安全模式下重启 Windows 计算机。 在安全模式下，许多安全产品处于禁用状态，或以有限的功能运行。 安全模式允许攻击者进一步启动篡改命令，或在计算机上执行和加密所有文件。

安全模式仍可从 Windows 恢复环境手动访问。

• Microsoft Intune名称：Block rebooting machine in Safe Mode
• Microsoft Configuration Manager名称：n/a
• GUID： 33ddedf1-c6e0-47cb-833e-de6133960387
• 高级搜寻操作类型：
  • AsrSafeModeRebootedAudited
  • AsrSafeModeRebootBlocked
  • AsrSafeModeRebootWarnBypassed
• 依赖项：Microsoft Defender防病毒

注意

目前，Microsoft Defender 漏洞管理无法识别此规则。 ASR) 规则报告的攻击面减少 ( 显示此规则“不适用”。

阻止从 USB 运行的不受信任和未签名的进程

此 ASR 规则可防止未签名或不受信任的可执行文件 (例如，.exe、.dll 或 .scr) 从 USB 可移动驱动器（包括 SD 卡）运行。

此 ASR 规则不会阻止将文件从 U 盘复制到磁盘。 它阻止从磁盘运行复制的文件。

• Microsoft Intune名称：Block untrusted and unsigned processes that run from USB
• Microsoft Configuration Manager名称：Block untrusted and unsigned processes that run from USB
• GUID： b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
• 高级搜寻操作类型：
  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked
• 依赖项：Microsoft Defender防病毒

阻止使用复制或模拟的系统工具

此 ASR 规则阻止传播和使用标识为副本的可执行文件， (重复项或冒名顶替者) Windows 系统工具。 某些恶意程序可能会尝试复制或模拟 Windows 系统工具，以避免检测或获取特权。 允许此类可执行文件可能会导致潜在的攻击。

• Microsoft Intune名称：Block use of copied or impersonated system tools
• Microsoft Configuration Manager名称：n/a
• GUID： c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
• 高级搜寻操作类型：
  • AsrAbusedSystemToolAudited
  • AsrAbusedSystemToolBlocked
  • AsrAbusedSystemToolWarnBypassed
• 依赖项：Microsoft Defender防病毒

注意

目前，Microsoft Defender 漏洞管理无法识别此规则。 ASR) 规则报告的攻击面减少 ( 显示此规则“不适用”。

阻止为服务器创建 Webshell

此 ASR 规则阻止在运行 Microsoft Exchange 的 Windows 服务器上创建 Web shell 脚本。 Web shell 脚本是一种精心制作的脚本，允许攻击者控制受攻击的服务器。 Web shell 脚本可能包括以下功能：

• 接收并运行恶意命令。

• 下载并运行恶意文件。

• 窃取和泄露凭据和敏感信息。

• 确定潜在目标。

• Microsoft Intune名称：Block Webshell creation for Servers

• Microsoft Configuration Manager名称：n/a

• GUID： a8f5898e-1dc8-49a9-9878-85004b8a61e6

• 高级搜寻操作类型：n/a

• 依赖项：Microsoft Defender防病毒

注意

• 使用新式统一解决方案通过 Microsoft Intune 部署以Windows Server 2012 R2 或Windows Server 2016时，不支持此规则。
• 如果在 Microsoft Defender for Endpoint 中管理 ASR 规则，请不要在组策略或其他本地设置中配置此 ASR， (将该值保留为 Not Configured) 。 例如， Enabled (的任何其他值或 Disabled) 都可能导致冲突并阻止规则正确应用。
• 目前，Microsoft Defender 漏洞管理无法识别此规则。 ASR) 规则报告的攻击面减少 ( 显示此规则“不适用”。

阻止来自 Office 宏的 Win32 API 调用

Office Visual Basic for Applications (VBA) 启用 Win32 API 调用。 此 ASR 规则阻止 VBA 宏调用 Win32 API。 恶意软件可能会滥用此功能，例如 调用 Win32 API 以启动恶意 shellcode ，而无需将任何内容直接写入磁盘。

大多数组织不需要从 VBA 宏调用 Win32 API，即使它们以其他方式使用宏也是如此。

• Microsoft Intune名称：Block Win32 API calls from Office macros
• Microsoft Configuration Manager名称：Block Win32 API calls from Office macros
• GUID： 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
• 高级搜寻操作类型：
  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked
• 依赖项：Microsoft Defender防病毒、反恶意软件扫描接口 (AMSI)

使用针对勒索软件的高级防护

注意

• 使用新式统一解决方案通过 Microsoft Intune 部署以Windows Server 2012 R2 或Windows Server 2016时，不支持此规则。
• 此规则具有有限的排除支持。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。
• 若要使用此 ASR 规则，必须 启用云提供的保护。

此 ASR 规则提供针对勒索软件的额外保护层。 它使用客户端和云试探法来确定文件是否类似于勒索软件。 此规则不会阻止具有以下一个或多个特征的文件：

• 该文件在Microsoft云中被发现是无伤害的。
• 该文件是有效的已签名文件。
• 该文件非常普遍，不能被视为勒索软件。

此规则不只是阻止信誉不佳的文件。 相反，该规则在谨慎方面存在错误，还会阻止 尚未具有正面信誉的文件。 通常，此规则对良性未知文件的块最终会自行解析。 随着无问题的使用量的增加，文件的信誉和信任值会逐渐增加。

如果未知的良性文件上的块无法及时解决，则可以为此 规则配置按 ASR 规则排除 ，或使用 “允许”操作来指示 IoC (泄露) 。

• Microsoft Intune名称：Use advanced protection against ransomware
• Microsoft Configuration Manager名称：Use advanced protection against ransomware
• GUID： c1db55ab-c21a-4637-bb3f-a12568109d35
• 高级搜寻操作类型：
  • AsrRansomwareAudited
  • AsrRansomwareBlocked
• 依赖项：Microsoft Defender防病毒、云保护

相关内容

• 攻击面减少 (ASR) 规则部署指南
• 规划攻击面减少 (ASR) 规则部署
• (ASR) 规则部署测试攻击面减少
• 启用攻击面减少 (ASR) 规则
• 管理和监视 ASR) 规则部署 (攻击面减少
• ASR) 规则报告 (攻击面减少
• Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
• 排查 ASR 规则问题