攻击面减少规则演示
适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender 防病毒
攻击面减少规则针对恶意软件和恶意应用通常用于感染计算机的特定行为,例如:
- 尝试下载或运行文件的 Office 应用或 Web 邮件中使用的可执行文件和脚本
- 被模糊处理或其他可疑的脚本
- 应用在正常日常工作中未启动的行为
方案要求和设置
- Windows 11,Windows 10 1709 内部版本 16273 或更高版本
- 使用统一MDE客户端的 Windows Server 2022、Windows Server 2019、Windows Server 2016或Windows Server 2012 R2。
- Microsoft Defender 防病毒
- Microsoft 365 应用版 (Office;对于 Office 规则和示例) 是必需的
- 下载攻击面减少 PowerShell 脚本
PowerShell 命令
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
规则状态
| 状态 | 模式 | 数值 |
|---|---|---|
| Disabled | = 关 | 0 |
| 已启用 | = 块模式 | 1 |
| Audit | = 审核模式 | 2 |
验证配置
Get-MpPreference
测试文件
注意 - 某些测试文件嵌入了多个攻击并触发了多个规则
| 规则名称 | 规则 GUID |
|---|---|
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| 阻止 Office 应用程序创建子进程 | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| 阻止 Office 应用程序创建可执行内容 | 3B576869-A4EC-4529-8536-B80A7769E899 |
| 阻止 Office 应用程序注入其他进程 | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| 阻止 JavaScript 和 VBScript 启动可执行文件 | D3E037E1-3EB8-44C8-A917-57927947596D |
| 阻止执行可能已模糊处理的脚本 | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| 阻止从 Office 中的宏代码导入 Win32 | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {阻止源自 PSExec & WMI 命令的进程创建 | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| 阻止在可移动 USB 媒体中执行不受信任的或未签名的可执行文件 | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| 攻击性勒索软件防护 | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| 阻止 Adobe Reader 创建子进程 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| 阻止滥用被利用的易受攻击的已签名驱动程序 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| 阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| 通过 WMI 事件订阅阻止持久性 | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| 阻止为服务器创建 Webshell | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
应用场景
安装
下载并运行此 安装脚本。 运行脚本之前,请使用此 PowerShell 命令将执行策略设置为“无限制”:
Set-ExecutionPolicy Unrestricted
可以改为执行以下手动步骤:
- Create名为“c:\demo”的文件夹
- 将此 干净文件 保存到 c:\demo 中。
- 使用 PowerShell 命令启用所有规则。
方案 1:攻击面减少会阻止具有多个漏洞的测试文件
- 使用 PowerShell 命令在块模式下启用所有规则, (可以复制粘贴所有)
- 下载并打开任何测试文件/文档,并在出现提示时启用编辑和内容。
方案 1 预期结果
应立即看到“操作已阻止”通知。
方案 2:ASR 规则阻止具有相应漏洞的测试文件
使用上一步中的 PowerShell 命令配置要测试的规则。
例如:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled下载并打开要测试的规则的测试文件/文档,并在出现提示时启用编辑和内容。
示例: 阻止 Office 应用程序创建子进程 D4F940AB-401B-4EFC-AADC-AD5F3C50688A
方案 2 预期结果
应立即看到“操作已阻止”通知。
方案 3 (Windows 10 或更高版本) :ASR 规则阻止未签名的 USB 内容执行
- 配置 USB 保护规则 (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4) 。
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- 下载文件并将其放在 U 盘上并执行它 阻止在可移动 USB 媒体中执行不受信任的或未签名的可执行文件
方案 3 预期结果
应立即看到“操作已阻止”通知。
方案 4:如果不减少攻击面,会发生什么
使用清理部分中的 PowerShell 命令关闭所有攻击面减少规则。
下载任何测试文件/文档,并在出现提示时启用编辑和内容。
方案 4 预期结果
- c:\demo 中的文件已加密,应收到警告消息
- 再次执行测试文件以解密文件
清理
下载并运行此 清理脚本
或者,可以执行以下手动步骤:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
通过运行加密/解密文件清理 c:\demo 加密
另请参阅
Microsoft Defender for Endpoint - 演示方案
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈