攻击面减少规则参考

适用于:

平台:

  • Windows

本文提供有关Microsoft Defender for Endpoint攻击面减少规则 (ASR 规则) 的信息:

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

提示

作为本文的配套内容,请参阅我们的Microsoft Defender for Endpoint设置指南,查看最佳做法并了解基本工具,例如攻击面减少和下一代保护。 对于基于环境的自定义体验,可以访问 Microsoft 365 管理中心 中的 Defender for Endpoint 自动设置指南

按类型列出的攻击面减少规则

攻击面减少规则分为以下两种类型之一:

  • 标准保护规则:这是Microsoft建议在评估其他 ASR 规则的效果和配置需求时始终启用的最小规则集。 这些规则通常对最终用户产生最小到没有明显的影响。

  • 其他规则:需要遵循记录的部署步骤 [计划>测试 (审核) > 启用 (阻止/警告模式) ]的规则,如攻击面减少规则部署指南中所述

有关启用标准保护规则的最简单方法,请参阅: 简化的标准保护选项

ASR 规则名称: 标准保护规则? 其他规则?
阻止滥用被利用的易受攻击的已签名驱动程序
阻止 Adobe Reader 创建子进程
阻止所有 Office 应用程序创建子进程
阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据
阻止来自电子邮件客户端和 Webmail 的可执行内容
阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件
阻止执行可能已模糊处理的脚本
阻止 JavaScript 或 VBScript 启动下载的可执行内容
阻止 Office 应用程序创建可执行内容
阻止 Office 应用程序将代码注入其他进程
阻止 Office 通信应用程序创建子进程
通过 WMI 事件订阅阻止持久性
阻止源自 PSExec 和 WMI 命令的进程创建
在安全模式下阻止重启计算机 (预览)
阻止从 USB 运行的不受信任和未签名的进程
阻止使用复制或模拟的系统工具 (预览)
阻止为服务器创建 Webshell
阻止来自 Office 宏的 Win32 API 调用
使用针对勒索软件的高级防护

Microsoft Defender防病毒排除项和 ASR 规则

Microsoft Defender防病毒排除适用于某些Microsoft Defender for Endpoint功能,例如某些攻击面减少规则。

以下 ASR 规则不遵循防病毒排除Microsoft Defender:

ASR 规则名称:
阻止 Adobe Reader 创建子进程
阻止源自 PSExec 和 WMI 命令的进程创建
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
阻止 Office 应用程序创建可执行内容
阻止 Office 应用程序将代码注入其他进程
阻止 Office 通信应用程序创建子进程

注意

有关配置每个规则排除项的信息,请参阅测试攻击面减少规则主题中标题为“按规则配置 ASR 规则排除项”部分。

ASR 规则和 Defender for Endpoint Indicators of Compromise (IOC)

以下 ASR 规则不遵循国际奥委会) (泄露指标Microsoft Defender for Endpoint:

ASR 规则名称 说明
阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据 不遵循文件或证书的泄露指标。
阻止 Office 应用程序将代码注入其他进程 不遵循文件或证书的泄露指标。
阻止来自 Office 宏的 Win32 API 调用 不遵循证书泄露指标。

ASR 规则支持的操作系统

下表列出了当前正式发布的规则支持的操作系统。 此表中列出了这些规则的字母顺序。

注意

除非另有说明,否则最低 Windows10 版本为版本 1709 (RS3、内部版本 16299) 或更高版本;最低 Windows Server 版本为 1809 或更高版本。 Windows Server 2012 R2 和 Windows Server 2016 中的攻击面减少规则可用于使用新式统一解决方案包加入的设备。 有关详细信息,请参阅新式统一解决方案中的新Windows Server 2012 R2 和 2016 功能

规则名称 Windows 11

Windows 10
Windows Server 2022

Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
阻止滥用被利用的易受攻击的已签名驱动程序 Y Y Y
版本 1803 (半年企业频道) 或更高版本
Y Y
阻止 Adobe Reader 创建子进程 Y
版本 1809 或更高版本 [3]
Y Y Y Y
阻止所有 Office 应用程序创建子进程 Y Y Y Y Y
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) Y
版本 1803 或更高版本 [3]
Y Y Y Y
阻止来自电子邮件客户端和 Webmail 的可执行内容 Y Y Y Y Y
阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 Y
版本 1803 或更高版本 [3]
Y Y Y Y
阻止执行可能已模糊处理的脚本 Y Y Y Y Y
阻止 JavaScript 或 VBScript 启动下载的可执行内容 Y Y Y N N
阻止 Office 应用程序创建可执行内容 Y Y Y Y Y
阻止 Office 应用程序将代码注入其他进程 Y Y Y Y Y
阻止 Office 通信应用程序创建子进程 Y Y Y Y Y
通过 Windows Management Instrumentation (WMI) 事件订阅阻止持久性 Y
版本 1903 (内部版本 18362) 或更高版本 [3]
Y Y
版本 1903 (内部版本 18362) 或更高版本
N N
阻止源自 PSExec 和 WMI 命令的进程创建 Y
版本 1803 或更高版本 [3]
Y Y Y Y
在安全模式下阻止重启计算机 (预览) Y Y Y Y Y
阻止从 USB 运行的不受信任和未签名的进程 Y Y Y Y Y
阻止使用复制或模拟的系统工具 (预览) Y Y Y Y Y
阻止为服务器创建 Webshell N Y
仅 Exchange 角色
Y
仅 Exchange 角色
Y
仅 Exchange 角色
Y
仅 Exchange 角色
阻止来自 Office 宏的 Win32 API 调用 Y N N N N
使用针对勒索软件的高级防护 Y
版本 1803 或更高版本 [3]
Y Y Y Y

(1) 指适用于 Windows Server 2012 和 2016 的新式统一解决方案。 有关详细信息,请参阅 将 Windows Server 载入到 Defender for Endpoint 服务

(2) 对于 Windows Server 2016 和 Windows Server 2012 R2,Microsoft 终结点Configuration Manager的最低要求版本为 2111。

(3) 版本和内部版本号仅适用于 Windows10。

ASR 规则支持的配置管理系统

此表下方列出了有关此表中引用的配置管理系统版本的信息的链接。

规则名称 Microsoft Intune Microsoft Endpoint Configuration Manager 组策略[1] PowerShell[1]
阻止滥用被利用的易受攻击的已签名驱动程序 Y Y Y
阻止 Adobe Reader 创建子进程 Y Y Y
阻止所有 Office 应用程序创建子进程 Y Y

CB 1710
Y Y
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) Y Y

CB 1802
Y Y
阻止来自电子邮件客户端和 Webmail 的可执行内容 Y Y

CB 1710
Y Y
阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 Y Y

CB 1802
Y Y
阻止执行可能已模糊处理的脚本 Y Y

CB 1710
Y Y
阻止 JavaScript 或 VBScript 启动下载的可执行内容 Y Y

CB 1710
Y Y
阻止 Office 应用程序创建可执行内容 Y Y

CB 1710
Y Y
阻止 Office 应用程序将代码注入其他进程 Y Y

CB 1710
Y Y
阻止 Office 通信应用程序创建子进程 Y Y

CB 1710
Y Y
通过 WMI 事件订阅阻止持久性 Y Y Y
阻止源自 PSExec 和 WMI 命令的进程创建 Y Y Y
在安全模式下阻止重启计算机 (预览) Y Y Y
阻止从 USB 运行的不受信任和未签名的进程 Y Y

CB 1802
Y Y
阻止使用复制或模拟的系统工具 (预览) Y Y Y
阻止为服务器创建 Webshell Y Y Y
阻止来自 Office 宏的 Win32 API 调用 Y Y

CB 1710
Y Y
使用针对勒索软件的高级防护 Y Y

CB 1802
Y Y

(1) 可以使用任何规则的 GUID 基于每个规则配置攻击面减少规则。

按 ASR 规则警报和通知详细信息

在阻止模式下,会为所有规则生成 Toast 通知。 任何其他模式下的规则不会生成 Toast 通知。

对于指定了“规则状态”的规则:

  • 具有\ASR Rule, Rule State\组合的 ASR 规则用于显示警报 (toast 通知) 仅在云块级别为“高”的设备上Microsoft Defender for Endpoint。
  • 不在高云块级别的设备不会针对任何 ASR Rule, Rule State 组合生成警报
  • 为处于指定状态的 ASR 规则生成 EDR 警报,对于云块级别为“高+”的设备
  • Toast 通知仅在块模式下发生,并且对于云块级别为“高”的设备
规则名称 规则状态 EDR 警报 Toast 通知
阻止滥用被利用的易受攻击的已签名驱动程序 N Y
阻止 Adobe Reader 创建子进程 阻止 Y Y
阻止所有 Office 应用程序创建子进程 N Y
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) N N
阻止来自电子邮件客户端和 Webmail 的可执行内容 Y Y
阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 N Y
阻止执行可能已模糊处理的脚本 审核或阻止 块模式下的 Y ()
审核模式下的 N ()
块模式下的 Y ()
阻止 JavaScript 或 VBScript 启动下载的可执行内容 阻止 Y Y
阻止 Office 应用程序创建可执行内容 N Y
阻止 Office 应用程序将代码注入其他进程 N Y
阻止 Office 通信应用程序创建子进程 N Y
通过 WMI 事件订阅阻止持久性 审核或阻止 块模式下的 Y ()
审核模式下的 N ()
块模式下的 Y ()
阻止源自 PSExec 和 WMI 命令的进程创建 N Y
在安全模式下阻止重启计算机 (预览) N N
阻止从 USB 运行的不受信任和未签名的进程 审核或阻止 块模式下的 Y ()
审核模式下的 N ()
块模式下的 Y ()
阻止使用复制或模拟的系统工具 (预览) N N
阻止为服务器创建 Webshell N N
阻止来自 Office 宏的 Win32 API 调用 N Y
使用针对勒索软件的高级防护 审核或阻止 块模式下的 Y ()
审核模式下的 N ()
块模式下的 Y ()

ASR 规则到 GUID 矩阵

规则名称 规则 GUID
阻止滥用被利用的易受攻击的已签名驱动程序 56a863a9-875e-4185-98a7-b882c64b5ce5
阻止 Adobe Reader 创建子进程 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
阻止所有 Office 应用程序创建子进程 d4f940ab-401b-4efc-aadc-ad5f3c50688a
阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
阻止来自电子邮件客户端和 Webmail 的可执行内容 be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 01443614-cd74-433a-b99e-2ecdc07bfc25
阻止执行可能已模糊处理的脚本 5beb7efe-fd9a-4556-801d-275e5ffc04cc
阻止 JavaScript 或 VBScript 启动下载的可执行内容 d3e037e1-3eb8-44c8-a917-57927947596d
阻止 Office 应用程序创建可执行内容 3b576869-a4ec-4529-8536-b80a7769e899
阻止 Office 应用程序将代码注入其他进程 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
阻止 Office 通信应用程序创建子进程 26190899-1602-49e8-8b27-eb1d0a1ce869
通过 WMI 事件订阅阻止持久性
* 不支持文件和文件夹排除。
e6db77e5-3df2-4cf1-b95a-636979351e5b
阻止源自 PSExec 和 WMI 命令的进程创建 d1e49aac-8f56-4280-b9ba-993a6d77406c
在安全模式下阻止重启计算机 (预览) 33ddedf1-c6e0-47cb-833e-de6133960387
阻止从 USB 运行的不受信任和未签名的进程 b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
阻止使用复制或模拟的系统工具 (预览) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
阻止为服务器创建 Webshell a8f5898e-1dc8-49a9-9878-85004b8a61e6
阻止来自 Office 宏的 Win32 API 调用 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
使用针对勒索软件的高级防护 c1db55ab-c21a-4637-bb3f-a12568109d35

ASR 规则模式

  • 未配置禁用:未启用或禁用 ASR 规则的状态。 此状态的代码 = 0。
  • 阻止:启用 ASR 规则的状态。 此状态的代码为 1。
  • 审核:评估 ASR 规则对组织或环境的影响(如果启用) (设置为阻止或警告) 。 此状态的代码为 2。
  • 警告 启用 ASR 规则并向最终用户显示通知,但允许最终用户绕过阻止的状态。 此状态的代码为 6。

警告模式 是一种阻止模式类型,可向用户发出潜在风险操作的警报。 用户可以选择绕过阻止警告消息并允许基础操作。 用户可以选择“ 确定” 以强制实施阻止,或者通过块时生成的最终用户弹出 Toast 通知选择绕过选项“ 取消阻止 ”。 取消阻止警告后,允许该操作,直到下次出现警告消息时,最终用户将需要重新执行操作。

单击“允许”按钮时,该块将禁止显示 24 小时。 24 小时后,最终用户需要再次允许该块。 仅 RS5+ (1809+) 设备支持 ASR 规则的警告模式。 如果在具有较旧版本的设备上将绕过分配给 ASR 规则,则规则处于阻止模式。

还可以通过 PowerShell 将 指定 AttackSurfaceReductionRules_Actions 为“Warn”,在警告模式下设置规则。 例如:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

按规则说明

阻止滥用被利用的易受攻击的已签名驱动程序

此规则可防止应用程序将易受攻击的已签名驱动程序写入磁盘。 具有足够权限的本地应用程序可以利用具有足够权限的易受攻击的已签名驱动程序来获取对内核的访问权限。 易受攻击的已签名驱动程序使攻击者能够禁用或规避安全解决方案,最终导致系统泄露。

阻止滥用被利用的易受攻击的已签名驱动程序规则不会阻止系统上已存在的驱动程序被加载。

注意

可以使用 Intune OMA-URI 配置此规则。 有关配置自定义规则,请参阅 Intune OMA-URI。 还可以使用 PowerShell 配置此规则。 若要检查驱动程序,请使用此网站 提交驱动程序进行分析

Intune名称:Block abuse of exploited vulnerable signed drivers

Configuration Manager名称:尚不可用

GUID:56a863a9-875e-4185-98a7-b882c64b5ce5

高级搜寻操作类型:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

阻止 Adobe Reader 创建子进程

此规则通过阻止 Adobe Reader 创建进程来防止攻击。

恶意软件可以下载和启动有效负载,并通过社交工程或攻击突破 Adobe Reader。 通过阻止 Adobe Reader 生成子进程,可以阻止试图将 Adobe Reader 用作攻击途径的恶意软件传播。

Intune名称:Process creation from Adobe Reader (beta)

Configuration Manager名称:尚不可用

GUID:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

高级搜寻操作类型:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

依赖项:Microsoft Defender防病毒

阻止所有 Office 应用程序创建子进程

此规则阻止 Office 应用创建子进程。 Office 应用包括 Word、Excel、PowerPoint、OneNote 和 Access。

创建恶意子进程是一种常见的恶意软件策略。 滥用 Office 作为矢量的恶意软件通常会运行 VBA 宏并利用代码下载并尝试运行更多有效负载。 但是,某些合法的业务线应用程序也可能出于良性目的生成子进程:例如生成命令提示符或使用 PowerShell 配置注册表设置。

Intune名称:Office apps launching child processes

Configuration Manager名称:Block Office application from creating child processes

GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a

高级搜寻操作类型:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

依赖项:Microsoft Defender防病毒

阻止从 Windows 本地安全机构子系统窃取凭据

注意

如果启用了 LSA 防护 并启用了 Credential Guard ,则不需要此攻击面减少规则。

此规则通过锁定本地安全机构子系统服务 (LSASS) 来帮助防止凭据窃取。

LSASS 对在 Windows 计算机上登录的用户进行身份验证。 Windows 中的 Microsoft Defender Credential Guard 通常会阻止尝试从 LSASS 中提取凭据。 某些组织无法在其所有计算机上启用 Credential Guard,因为自定义智能卡驱动程序或加载到本地安全机构 (LSA) 的其他程序的兼容性问题。 在这些情况下,攻击者可以使用 Mimikatz 等工具从 LSASS 抓取明文密码和 NTLM 哈希。

默认情况下,此规则的状态设置为阻止。 在大多数情况下,许多进程调用 LSASS 以获取不需要的访问权限。 例如,当 ASR 规则中的初始块导致后续调用的较小特权时,该权限随后会成功。 有关在对 LSASS 的进程调用中通常请求的权限类型的信息,请参阅: 进程安全性和访问权限

如果启用了 LSA 保护,则启用此规则不会提供额外的保护,因为 ASR 规则和 LSA 保护的工作方式类似。 但是,当无法启用 LSA 保护时,可以将此规则配置为针对 面向 lsass.exe的恶意软件提供等效保护。

注意

在这种情况下,ASR 规则在 Microsoft Defender 门户中的 Defender for Endpoint 设置中被归类为“不适用”。 阻止从 Windows 本地安全机构子系统 ASR 窃取凭据规则不支持 WARN 模式。 在某些应用中,代码枚举所有正在运行的进程,并尝试使用详尽的权限打开它们。 此规则拒绝应用的进程打开操作,并将详细信息记录到安全事件日志中。 此规则可能会产生大量干扰。 如果你有一个仅枚举 LSASS 但对功能没有实际影响的应用,则无需将其添加到排除列表。 此事件日志条目本身不一定表示恶意威胁。

Intune名称:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager名称:Block credential stealing from the Windows local security authority subsystem

GUID:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

高级搜寻操作类型:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

依赖项:Microsoft Defender防病毒

阻止来自电子邮件客户端和 Webmail 的可执行内容

此规则阻止在 Microsoft Outlook 应用程序中打开的电子邮件,或者 Outlook.com 和其他常用 Web 邮件提供程序传播以下文件类型:

  • 可执行文件 (,例如 .exe、.dll 或 .scr)
  • 脚本文件 (,例如 PowerShell .ps1、Visual Basic .vbs 或 JavaScript .js 文件)

Intune名称:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager名称:Block executable content from email client and webmail

GUID:be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

高级搜寻操作类型:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

依赖项:Microsoft Defender防病毒

注意

规则 “阻止来自电子邮件客户端和 Webmail 的可执行内容 ”具有以下替代说明,具体取决于你使用的应用程序:

  • Intune (配置文件) :执行从电子邮件 (webmail/邮件客户端删除 ) 的可执行内容 (exe、dll、ps、js、vbs 等,) (无例外) 。
  • Configuration Manager:阻止从电子邮件和 Webmail 客户端下载可执行内容。
  • 组策略:阻止来自电子邮件客户端和 Webmail 的可执行内容。

阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件

此规则阻止启动可执行文件,例如 .exe、.dll 或 .scr。 因此,启动不受信任的或未知的可执行文件可能会有风险,因为最初可能不清楚这些文件是否是恶意文件。

重要

必须 启用云提供的保护 才能使用此规则。 规则阻止运行可执行文件,除非它们符合具有 GUID 01443614-cd74-433a-b99e-2ecdc07bfc25流行率、年龄或受信任列表条件,否则它们归 Microsoft 所有,管理员未指定。 此规则使用云提供的保护定期更新其受信任列表。 可以使用文件夹路径或完全限定的资源名称来指定单个文件或文件夹 () 但不能指定适用于哪些规则或排除项。

Intune名称:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager名称:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID:01443614-cd74-433a-b99e-2ecdc07bfc25

高级搜寻操作类型:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

依赖项:Microsoft Defender防病毒、云保护

阻止执行可能已模糊处理的脚本

此规则检测模糊脚本中的可疑属性。

注意

现在,“阻止执行可能模糊的脚本”规则支持 PowerShell 脚本。

重要

必须启用云提供的保护才能使用此规则。

脚本模糊处理是恶意软件作者和合法应用程序用来隐藏知识产权或缩短脚本加载时间的常见技术。 恶意软件作者还使用模糊处理使恶意代码更难阅读,这阻碍了人类和安全软件的严格审查。

Intune名称:Obfuscated js/vbs/ps/macro code

Configuration Manager名称:Block execution of potentially obfuscated scripts

GUID:5beb7efe-fd9a-4556-801d-275e5ffc04cc

高级搜寻操作类型:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

依赖项:Microsoft Defender防病毒、反恶意软件扫描接口 (AMSI)

阻止 JavaScript 或 VBScript 启动下载的可执行内容

此规则可防止脚本启动潜在的恶意下载内容。 以 JavaScript 或 VBScript 编写的恶意软件通常充当从 Internet 提取和启动其他恶意软件的下载器。 业务线应用程序虽然并不常见,但有时使用脚本来下载和启动安装程序。

Intune名称:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager名称:Block JavaScript or VBScript from launching downloaded executable content

GUID:d3e037e1-3eb8-44c8-a917-57927947596d

高级搜寻操作类型:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

依赖项:Microsoft Defender防病毒、AMSI

阻止 Office 应用程序创建可执行内容

此规则阻止将恶意代码写入磁盘,防止 Office 应用(包括 Word、Excel 和 PowerPoint)创建潜在的恶意可执行内容。 滥用 Office 作为载体的恶意软件可能会尝试突破 Office 并将恶意组件保存到磁盘。 这些恶意组件会在计算机重新启动后幸存下来,并保留在系统上。 因此,此规则可抵御常见的持久性技术。 此规则还会阻止执行可能已被允许在 Office 文件中运行的 Office 宏保存的不受信任的文件。

Intune名称:Office apps/macros creating executable content

Configuration Manager名称:Block Office applications from creating executable content

GUID:3b576869-a4ec-4529-8536-b80a7769e899

高级搜寻操作类型:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

依赖项:Microsoft Defender防病毒、RPC

阻止 Office 应用程序将代码注入其他进程

此规则阻止从 Office 应用向其他进程注入代码的尝试。

注意

阻止应用程序将代码注入其他进程 ASR 规则不支持 WARN 模式。

重要

此规则要求重启Microsoft 365 应用版 (Office 应用程序) 才能使配置更改生效。

攻击者可能会尝试使用 Office 应用通过代码注入将恶意代码迁移到其他进程,因此代码可以伪装成干净进程。 使用代码注入没有已知的合法业务目的。

此规则适用于 Word、Excel、OneNote 和 PowerPoint。

Intune名称:Office apps injecting code into other processes (no exceptions)

Configuration Manager名称:Block Office applications from injecting code into other processes

GUID:75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

高级搜寻操作类型:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

依赖项:Microsoft Defender防病毒

阻止 Office 通信应用程序创建子进程

此规则阻止 Outlook 创建子进程,同时仍允许合法的 Outlook 函数。 此规则可防止社会工程攻击,并防止利用代码滥用 Outlook 中的漏洞。 它还可以防止在用户的凭据泄露时攻击者可以使用的 Outlook 规则和表单攻击

注意

此规则阻止 Outlook 中的 DLP 策略提示和工具提示。 此规则仅适用于 Outlook 和 Outlook.com。

Intune名称:Process creation from Office communication products (beta)

Configuration Manager名称:不可用

GUID:26190899-1602-49e8-8b27-eb1d0a1ce869

高级搜寻操作类型:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

依赖项:Microsoft Defender防病毒

通过 WMI 事件订阅阻止持久性

此规则可防止恶意软件滥用 WMI 来达到设备上的持久性。

重要

文件和文件夹排除不适用于此攻击面减少规则。

无文件威胁使用各种策略来保持隐藏状态,以避免在文件系统中被看到,并获得定期执行控制。 某些威胁可能会滥用 WMI 存储库和事件模型,使其保持隐藏状态。

注意

如果在CcmExec.exe设备上检测到 (SCCM 代理) ,则 ASR 规则在 Microsoft Defender 门户中的 Defender for Endpoint 设置中被归类为“不适用”。

Intune名称:Persistence through WMI event subscription

Configuration Manager名称:不可用

GUID:e6db77e5-3df2-4cf1-b95a-636979351e5b

高级搜寻操作类型:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

依赖项:Microsoft Defender防病毒、RPC

阻止源自 PSExec 和 WMI 命令的进程创建

此规则阻止通过 PsExecWMI 创建的进程运行。 PsExec 和 WMI 都可以远程执行代码。 存在恶意软件滥用 PsExec 和 WMI 功能以用于命令和控制目的的风险,或者在整个组织的网络中传播感染。

警告

仅当使用Intune或其他 MDM 解决方案管理设备时,才使用此规则。 此规则与通过 Microsoft Endpoint Configuration Manager 进行管理不兼容,因为此规则会阻止客户端Configuration Manager使用的 WMI 命令正常运行。

Intune名称:Process creation from PSExec and WMI commands

Configuration Manager名称:不适用

GUID:d1e49aac-8f56-4280-b9ba-993a6d77406c

高级搜寻操作类型:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

依赖项:Microsoft Defender防病毒

在安全模式下阻止重启计算机 (预览)

此规则阻止执行命令以在安全模式下重新启动计算机。 安全模式是一种诊断模式,仅加载 Windows 运行所需的基本文件和驱动程序。 但是,在安全模式下,许多安全产品要么被禁用,要么在有限的容量中运行,这样攻击者就可以进一步启动篡改命令,或者只是在计算机上执行并加密所有文件。 此规则通过阻止进程在安全模式下重新启动计算机来阻止此类攻击。

注意

此功能目前为预览版。 为了提高效果,目前正在开发其他升级。

Intune名称:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager名称:尚不可用

GUID:33ddedf1-c6e0-47cb-833e-de6133960387

高级搜寻操作类型:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

依赖项:Microsoft Defender防病毒

阻止从 USB 运行的不受信任和未签名的进程

使用此规则,管理员可以阻止未签名或不受信任的可执行文件从 USB 可移动驱动器(包括 SD 卡)运行。 阻止的文件类型包括可执行文件 (,例如 .exe、.dll 或 .scr)

重要

如果在磁盘驱动器上执行,则此规则将阻止从 USB 复制到磁盘驱动器的文件。

Intune名称:Untrusted and unsigned processes that run from USB

Configuration Manager名称:Block untrusted and unsigned processes that run from USB

GUID:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

高级搜寻操作类型:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

依赖项:Microsoft Defender防病毒

阻止使用复制或模拟的系统工具 (预览)

此规则阻止使用标识为 Windows 系统工具副本的可执行文件。 这些文件是原始系统工具的副本或冒名顶替者。 某些恶意程序可能会尝试复制或模拟 Windows 系统工具,以避免检测或获取特权。 允许此类可执行文件可能会导致潜在的攻击。 此规则可防止在 Windows 计算机上传播和执行系统工具的此类重复项和冒名顶替程序。

注意

此功能目前为预览版。 为了提高效果,目前正在开发其他升级。

Intune名称:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager名称:尚不可用

GUID:c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

高级搜寻操作类型:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

依赖项:Microsoft Defender防病毒

阻止为服务器创建 Webshell

此规则阻止在 Microsoft Server、Exchange Role 上创建 Web shell 脚本。 Web shell 脚本是一种专门制作的脚本,允许攻击者控制受攻击的服务器。 Web shell 可能包括接收和执行恶意命令、下载和执行恶意文件、窃取和泄露凭据和敏感信息、识别潜在目标等功能。

Intune名称:Block Webshell creation for Servers

GUID:a8f5898e-1dc8-49a9-9878-85004b8a61e6

依赖项:Microsoft Defender防病毒

阻止来自 Office 宏的 Win32 API 调用

此规则阻止 VBA 宏调用 Win32 API。 Office VBA 启用 Win32 API 调用。 恶意软件可能会滥用此功能,例如 调用 Win32 API 以启动恶意 shellcode ,而无需将任何内容直接写入磁盘。 大多数组织在其日常运行中不依赖于调用 Win32 API 的能力,即使它们以其他方式使用宏也是如此。

Intune名称:Win32 imports from Office macro code

Configuration Manager名称:Block Win32 API calls from Office macros

GUID:92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

高级搜寻操作类型:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

依赖项:Microsoft Defender防病毒、AMSI

使用针对勒索软件的高级防护

此规则提供针对勒索软件的额外保护层。 它使用客户端和云试探法来确定文件是否类似于勒索软件。 此规则不会阻止具有以下一个或多个特征的文件:

  • 已发现该文件在Microsoft云中是无伤害的。
  • 该文件是有效的已签名文件。
  • 该文件非常普遍,不能被视为勒索软件。

该规则倾向于谨慎防止勒索软件。

注意

必须 启用云提供的保护 才能使用此规则。

Intune名称:Advanced ransomware protection

Configuration Manager名称:Use advanced protection against ransomware

GUID:c1db55ab-c21a-4637-bb3f-a12568109d35

高级搜寻操作类型:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

依赖项:Microsoft Defender防病毒、云保护

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区