配置攻擊面減少 (ASR) 規則與排除項目

攻擊面減少 (ASR) 規則 針對攻擊者常利用惡意軟體 (攻擊者利用的風險軟體行為，例如啟動下載檔案的腳本、執行混淆腳本，以及將程式碼注入其他程序) 。 本文說明如何啟用與設定 ASR 規則。

為了達到最佳效果，建議使用企業級管理解決方案，如 Microsoft Intune 或 Microsoft Configuration Manager 來管理 ASR 規則。 Intune 或 設定管理員 的 ASR 規則設定會在啟動時覆蓋群組政策或 PowerShell 中任何衝突的設定。

必要條件

欲了解更多資訊，請參閱 ASR規則的要求。

在 Microsoft Intune 中配置 ASR 規則

Microsoft Intune 是配置及分發 ASR 規則政策給裝置的推薦工具。 需要Microsoft Intune 方案 1 (包含在訂閱中，如Microsoft 365 E3或作為獨立附加) 。

在 Intune 中，端點安全政策是部署 ASR 規則的推薦方法，儘管 Intune 也提供其他方法，詳見以下小節所述。

在 Intune 中使用端點安全政策設定 ASR 規則與排除項目

若要使用 Microsoft Intune 端點安全攻擊面減少策略來設定 ASR 規則，請參見在Intune文件) 中新分頁開啟的建立端點安全政策 (。 建立政策時，請使用以下設定：

重要事項

適用於端點的 Microsoft Defender 管理僅支援裝置物件。 不支援針對使用者。 請將政策指派給 Microsoft Entra 裝置群組，而非使用者群組。

• 政策類型：攻擊面減少
• 平台：Windows
• 剖面：攻擊面減少規則
• 設定設定：

  • 攻擊面減少：通常你可以在封鎖或警告模式下啟用標準保護規則，無需測試。 你應該在稽 核 模式下測試其他 ASR 規則，再切換到 封鎖 或 警告 模式。 欲了解更多資訊，請參閱 ASR 規則部署指南。

    當你將規則模式設為 審計、 封鎖或 警告後，會出現 一個僅限依規則排除的 ASR 區塊，你可以指定只適用於該規則的排除條款。

  • 僅攻擊面減少排除條款：使用此節指定適用於所有 ASR 規則的排除條款。

    要指定每個 ASR 規則的排除或全域 ASR 規則的排除，請使用以下任一種方法：

    • 選取 新增。 在出現的方框中輸入路徑或路徑及排除的檔名。 例如：

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • 選擇 匯入 以匯入包含要排除檔案名稱和資料夾名稱的 CSV 檔案。 CSV 檔案格式如下：

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      提示

      數值周圍的雙引號是可選的，且會忽略 (即使包含在數值) 中也不會使用。 不要在數值周圍加上單引號。

    欲了解更多排除條款的資訊，請參閱 ASR 規則的檔案與資料夾排除條款。

  • 啟用受控資料夾存取、 受控資料夾存取受保護資料夾，以及 受控資料夾存取允許的應用程式：欲了解更多資訊，請參閱 保護具有受控資料夾存取的重要資料夾。

使用自訂設定檔搭配 OMA-URIs 和 CSP 來Intune配置 ASR 規則

雖然建議使用端點安全政策，但您也可以使用包含 Open Mobile Alliance – Uniform Resource (OMA-URI) 設定檔的自訂設定檔，使用 Windows Policy 配置服務提供者Intune (CSP) 來設定 ASR 規則。

關於Intune OMA-URIs 的一般資訊，請參閱部署 OMA-URIs 以透過Intune鎖定CSP，以及與本地部署的比較。

1. 在 Microsoft Intune 管理中心https://intune.microsoft.com，選擇「裝置>管理裝置>」設定。 或者，直接前往 裝置 |設定 頁面，請使用 https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. 在裝置|的 政策 標籤中 設定 頁面，選擇 建立>新政策。

   

3. 在開啟的 「建立設定檔 」跳出視窗中，請設定以下設定：

   • 平台：選取 [Windows 10 及更新版本]。
   • 設定檔類型：選擇 範本。
     • 在出現的 範本名稱 區塊中，選擇 自訂。

   選取 [建立]。

   

4. 自訂範本精靈會打開。 在 基礎 標籤中，請設定以下設定：

   • 名稱：為範本輸入一個獨特的名稱。
   • 描述：輸入選擇性描述。

   完成 基礎 標籤後，選擇 「下一步」。

5. 在 設定 設定標籤中，選擇 新增。

   

   在開啟的 新增列 飛出視窗中，請設定以下設定：

   • 名稱：為規則輸入一個獨特的名稱。

   • 說明：輸入一個可選的簡短說明。

   • OMA-URI：輸入 AttackSurfaceReductionRules CSP 中的裝置值：./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • 資料型別：選擇 字串。

     • 價值：使用以下語法：

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • ASR 規則的 GUID 值可在 ASR 規則中取得。
       • 以下規則 模式 可供選擇：
         • 0：關掉
         • 1：方塊
         • 2：審計
         • 5：未設定
         • 6：警告

       例如：

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     當你完成 新增列 的飛出視窗後，選擇 儲存。

     提示

     此時，你也可以在自訂設定檔中加入全域 ASR 規則排除，而不是只為排除設定建立獨立設定檔。 相關說明請參見下一節「使用自訂設定檔搭配 OMA-URIs 與 CSP 配置全域 ASR Intune規則排除條款」。

   回到 設定標籤 ，選擇 「下一步」。

6. 在 分配 標籤中，請設定以下設定：

   • 包含團體 區塊：請選擇以下選項之一：
     • 新增群組：選擇一個或多個群組加入。
     • 新增所有使用者
     • 新增所有裝置
   • 排除群組 區塊：選擇 新增群組 以指定要排除的任何群組。

   完成 作業標籤後 ，選擇 「下一步」。

   

7. 在 適用性規則 標籤中，選擇 「下一步」。

   你可以利用 作業系統版本 和 版本 屬性來定義哪些裝置類型應該或不應該接收設定檔。

   

8. 在 「檢視+建立 」標籤中，檢視設定。 你可以使用 「上一頁」 或選擇分頁回頭修改。

   當你準備好建立個人檔案時，請在「評論+建立」標籤中選擇「建立」。

   

你立刻回到裝置|的 政策 標籤頁。 設定 頁面。 你可能需要選擇 「重新整理 」才能看到保單。

ASR 規則會在幾分鐘內生效。

在Intune中使用自訂設定檔搭配 OMA-URIs 和 CSP 配置全域 ASR 規則排除

在 Intune 中使用自訂設定檔設定全域 ASR 規則排除的步驟，與前一節的 ASR 規則步驟非常相似。 唯一的差別是在第 5 步 (設定 標籤) 輸入 ASR 規則例外資訊的地方：

在 設定 設定標籤中，選擇 新增。 在開啟的 新增列 飛出視窗中，請設定以下設定：

• 名稱：為規則輸入一個獨特的名稱。
  • 說明：輸入一個可選的簡短說明。
  • OMA-URI：輸入 AttackSurfaceReductionOnlyExclusions CSP 中的裝置值：./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • 資料型別：選擇 字串。

    • 價值：使用以下語法：

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      例如：

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

當你完成 新增列 的飛出視窗後，選擇 儲存。

回到 設定標籤 ，選擇 「下一步」。

其餘步驟與設定 ASR 規則相同。

使用政策 CSP 在任何 MDM 解決方案中設定 ASR 規則

CSP (Policy Configuration Service Provider) 使企業組織能使用任何行動裝置管理 (MDM) 解決方案，而非僅Microsoft Intune，在 Windows 裝置上配置政策。 欲了解更多資訊，請參閱 政策CSP。

您可以使用 AttackSurfaceReductionRules CSP 設定以下內容來設定 ASR 規則：

OMA-URI 路徑： ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
價值：<RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• ASR 規則的 GUID 值可在 ASR 規則中取得
• 以下規則 模式 可供選擇：
  • 0：關掉
  • 1：方塊
  • 2：審計
  • 5：未設定
  • 6：警告

例如：

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

注意事項

務必輸入不含空格的 OMA-URI 值。

在任何 MDM 解決方案中，使用政策 CSP 配置全域 ASR 規則排除

您可以使用 Policy CSP 設定全域 ASR 規則路徑及路徑與檔名排除，並使用 AttackSurfaceReductionOnlyExclusions CSP 設定：

OMA-URI 路徑： ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
價值：<PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

例如，C:\folder|%ProgramFiles%\folder\file.exe|C:\path

在 Microsoft Configuration Manager 中設定 ASR 規則及全域 ASR 規則排除

欲知相關說明，請參閱 「建立並部署 Exploit Guard 政策」中的攻擊面減少資訊。

警告

伺服器作業系統版本標示為合規但沒有實際執行，攻擊面減少的適用性存在已知問題。 目前尚無明確的修正日期。

重要事項

如果你使用設定為 true 裝置上的「停用管理員合併」，且使用以下任何工具或方法，則根據規則排除或本地 ASR 規則排除加入 ASR 規則是不適用的：

• Defender for Endpoint 安全設定管理 (在 Microsoft Defender 入口網站端點安全政策頁面的 Windows 政策標籤) 關閉本地管理員合併https://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (關閉本地管理員合併)
• Defender CSP (DisableLocalAdminMerge)
• 群組原則 (配置本地管理員合併行為，針對清單)

要修改這個行為，你需要將「停用管理員合併」改成 false。

在群組政策中設定 ASR 規則與排除項目

警告

如果你用 Intune、Microsoft Configuration Manager 或其他企業級管理軟體來管理電腦和裝置，管理軟體會在啟動時覆蓋任何衝突的群組政策設定。

1. 在集中式群組原則中，開啟群組原則管理電腦 (GPMC) 的群組原則管理主控台。

2. 在 GPMC 主控台樹中，展開包含你想編輯的 GPO 的森林和域中的群組原則物件。

3. 右鍵點擊 GPO，然後選擇 編輯。

4. 在群組原則管理編輯器中，請前往電腦設定>、管理範本、>Windows 元件>Microsoft Defender防毒軟體>Microsoft Defender利用防護>攻擊面縮小。

5. 在攻擊 面縮減的詳細面板中，可用設定如下：

   • 配置攻擊面減少規則
   • 將檔案與路徑排除於攻擊面縮減規則之外
   • 對特定攻擊面減少 (ASR) 規則套用排除清單

   要開啟並設定 ASR 規則設定，請使用以下任一方法：

   • 雙擊設定。
   • 右鍵點擊設定，然後選擇 編輯
   • 選擇設定，然後選擇 動作>編輯。

提示

你也可以使用本地群組原則編輯器 (gpedit.msc) ，在個別裝置上本地設定群組原則。 瀏覽相同路徑：電腦設定>管理範本>Windows 元件>Microsoft Defender 防毒>軟體 Microsoft Defender Exploit Guard>攻擊面面積縮小。

可用的設定詳見以下小節。

重要事項

引號、前導空格、後置空格和額外字元在任何 ASR 規則相關組政策值中都不被支援。

群組原則 2004 Windows 10 2020 年 5 月之前的路徑 () 可能會使用 Windows Defender 防毒軟體 而非 Microsoft Defender 防毒軟體。 兩個名稱都指的是相同的保單地點。

在群組政策中設定 ASR 規則

1. 在攻擊 面減少的詳細面板中，開啟 「配置攻擊面減少規則 」設定。

2. 在開啟的設定視窗中，請設定以下選項：

   1. 選取 已啟用。
   2. 為每個 ASR 規則設定狀態：選擇 Show...。

3. 在「 設定每個開啟的 ASR 規則的狀態 」對話框中，請設定以下設定：

   • 值名稱：輸入 ASR 規則的 GUID 值。
   • 價值：輸入以下 規則模式 之一的數值：
     • 0：關掉
     • 1：方塊
     • 2：審計
     • 5：未設定
     • 6：警告

   

   欲了解更多資訊，請參閱 ASR 規則模式。

   視需要重複此步驟多次。 完成後，選擇 確定。

在群組政策中設定全域 ASR 規則排除

你指定的路徑或檔名會被用作所有 ASR 規則的排除項目。

1. 在攻擊 面縮減的詳細面板中，開啟 「從攻擊面縮減規則中排除檔案與路徑 」設定。

2. 在開啟的設定視窗中，請設定以下選項：

   1. 選取 已啟用。
   2. ASR 規則中的排除事項：選擇 顯示......。

3. 在打開的 「排除於 ASR 規則 」對話框中，請設定以下設定：

   • 值名稱：輸入路徑或路徑及檔名，以排除所有 ASR 規則。
   • 值：輸入 0。

   支援以下類型的數值名稱：

   • 要排除資料夾中的所有檔案，請輸入完整的資料夾路徑。 例如，C:\Data\Test。
   • 若要排除特定資料夾中的特定檔案， (建議) ，請輸入路徑與檔名。 例如，C:\Data\Test\test.exe。

   視需要重複此步驟多次。 完成後，選擇 確定。

在群組政策中設定每個 ASR 規則的排除

你指定的路徑或檔名會被用作特定 ASR 規則的排除項目。

注意事項

如果您的 GPMC 中沒有「套用特定攻擊面減少排除清單」 (ASR) 規則設定，您需要中央儲存庫中管理範本檔案的 24H2 或更新版本。

1. 在 攻擊面縮減的詳細面板中，開啟「 套用排除事項清單」 (ASR) 規則設定的特定攻擊面減少 。

2. 在開啟的設定視窗中，請設定以下選項：

   1. 選取 已啟用。
   2. 每個 ASR 規則的排除事項：選擇 顯示...。

3. 在開啟 的每個 ASR 規則的排除 對話框中，請設定以下設定：

   • 值名稱：輸入 ASR 規則的 GUID 值。
   • 價值：輸入一個或多個 ASR 規則的排除條款。 使用語法 Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN。 例如，C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe。

   視需要重複此步驟多次。 完成後，選擇 確定。

在 PowerShell 中設定 ASR 規則

警告

如果你用 Intune、設定管理員 或其他企業級管理平台管理電腦和裝置，管理軟體會在啟動時覆蓋任何衝突的 PowerShell 設定。

在目標裝置上，請在你選擇 「以管理員身分執行」) 開啟的 PowerShell 視窗 (，在升高的 PowerShell 會話中使用以下 PowerShell 指令語法：

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Set-MpPreference會覆寫 你指定的現有規則及其對應模式。 要查看現有值清單，請執行以下指令：

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  若要新增規則及其對應模式而不影響現有值，請使用 Add-MpPreference 指令檔。 若要移除指定的規則及其對應模式而不影響其他現有值，請使用 Remove-MpPreference 指令檔。 三個指令集的指令語法完全相同。

• ASR 規則的 GUID 值可在 ASR 規則中取得。

• AttackSurfaceReductionRules_Actions參數的有效值為：

  • 0 或 Disabled
  • 1 或 Enabled (區塊 模式)
  • 2 或 AuditMode 或 Audit
  • 5 或 NotConfigured
  • 6 或 Warn

以下範例配置裝置上指定的 ASR 規則：

• 前兩條規則在 封鎖 模式下啟用。
• 第三條規則被禁用。
• 最後一條規則是在 稽核 模式下啟用的。

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

在 PowerShell 中設定全域 ASR 規則排除

在目標裝置上，使用以下 PowerShell 指令語法，在提升 PowerShell 會話中：

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Set-MpPreference會覆蓋 任何現有的 ASR 規則排除，並附上你指定的值。 要查看現有值清單，請執行以下指令：

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  若要新增例外且不影響現有值，請使用 Add-MpPreference 指令檔。 若要移除指定的例外且不影響其他值，請使用 Remove-MpPreference 指令檔。 三個指令集的指令語法完全相同。

  以下範例將指定路徑及帶有檔名的路徑配置為裝置上所有 ASR 規則的排除項目：

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

相關內容

• 受攻擊面縮小 (ASR) 規則參考
• 評估攻擊面減少
• 受攻擊面縮小常見問題集