提示
作為本文的配套,請參閱我們的 安全分析器設置指南 ,檢視最佳實務並學習加強防禦、提升合規性,並自信地駕馭資安環境。 若想根據您的環境打造客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Security Analyzer 自動設定指南。
你組織的 攻擊面 涵蓋了攻擊者可能進入的所有地方。 欲了解更多資訊,請參閱適用於端點的 Microsoft Defender 攻擊面減少。
Microsoft Defender防毒軟體中攻擊面減少 (ASR) 規則針對攻擊者常用惡意軟體利用的高風險軟體行為。 例如:
- 啟動可執行檔和腳本,試圖下載或執行檔案。
- 執行混淆或不信任的腳本。
- 例如,從潛在易受攻擊的應用程式建立子程序,例如 (Office 應用程式) 。
- 將程式碼注入其他流程。
雖然合法應用程式也可能做到這些,但攻擊者常用的惡意軟體也會有類似的行為。
請參閱以下系列文章,以規劃、測試、實施及監控 ASR 規則:
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
ASR 規則
ASR 規則分為以下幾類:
Standard 保護規則帶來顯著的安全效益,因此 Microsoft 建議在不需大量測試的情況下,以區塊模式啟用它們。 通常,這些規則對使用者影響微乎其微甚至無明顯影響,但也有例外:
- 透過 WMI 事件訂閱來持續封鎖:如果你使用 Microsoft Configuration Manager 來管理裝置,請不要使用其他部署方法 (例如 群組原則 或 PowerShell) ,在裝置上以封鎖或警告模式啟動此規則,除非在審核模式下進行大量測試。 設定管理員 用戶端高度依賴 WMI。
- 阻止 Windows 地方安全權威子系統的憑證竊取:如果你 啟用了 LSA) 保護 ( (啟用本地安全權威 ,連同 憑證守衛) ,此規則將變得多餘。
其他 ASR 規則提供重要保護,但需在偵測面模式測試後,才能啟動封鎖或警告模式,詳情見攻擊面減少規則部署指南。
可用的 ASR 規則、對應的 GUID 值及類別描述如下表:
規則名稱中的連結會帶你到 ASR規則參考 文章中的詳細規則說明。
除了 Microsoft Intune 和 Microsoft Configuration Manager中的端點安全政策外,所有其他 ASR 規則設定方法皆以 GUID 值來識別規則。
表格中描述了 Microsoft Intune 與 Microsoft Configuration Manager 之間任何 ASR 規則名稱的差異。
提示
Microsoft Configuration Manager 過去曾有其他名稱:
- Microsoft 系統中心Configuration Manager:版本 1511 至 1906 (2015 年 11 月至 2019 年 7 月)
- Microsoft Endpoint Configuration Manager:版本 1910 至 2211 (2019 年 12 月至 2022 年 12 月)
- Microsoft Configuration Manager:2023 年 4 月 (2303 版本,) 或更新版本
有關支援與更新資訊,請參閱 設定管理員 的匯報與服務。
| Microsoft Intune 中的規則名稱 | Microsoft Configuration Manager 中的規則名稱 | GUID | 類別 |
|---|---|---|---|
| Standard 保護規則 | |||
| 阻擋被利用的易受攻擊的有漏洞簽署驅動程式 (裝置) | 不適用 | 56a863a9-875e-4185-98a7-b882c64b5ce5 | 其他 |
| 封鎖從 Windows 本機安全性授權子系統竊取認證 | 我也是 | 9e6c4e1f-7d60-472f-ba1a-a39ef669E4B2 | 水平移動和認證竊取 |
| 透過 WMI 事件訂閱封鎖持續性 | 不適用 | e6db77e5-3df2-4CF1-B95A-636979351E5b | 水平移動和認證竊取 |
| 其他ASR規則 | |||
| 封鎖 Adobe Reader 使其無法建立子程序 | 不適用 | 7674ba52-37eb-4a4f-a9a1-f0F9A1619A2C | 生產力應用程式 |
| 封鎖所有 Office 應用程式使其無法建立子程序 | 阻擋辦公室應用程式建立子程序 | D4F940AB-401B-4EFC-AADC-AD5F3C50688A | 生產力應用程式 |
| 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | 我也是 | BE9ba2D9-53EA-4CDC-84E5-9B1EEEE46550 | 電子郵件 |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | 除非執行檔符合盛行率、年齡或受信任清單的標準,否則阻止執行檔執行 | 01443614-cd74-433a-b99e-2ecdc07bfc25 | 多型威脅 |
| 封鎖可能經過模糊化的指令碼的執行 | 我也是 | 5beb7efe-fd9a-4556-801d-275e5FFC04cc | 指令碼 |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | 我也是 | d3E037E1-3eb8-44c8-a917-57927947596d | 指令碼 |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | 我也是 | 3b576869-a4ec-4529-8536-b80a7769e899 | 生產力應用程式 |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 我也是 | 75668C1F-73B5-4CF0-bb93-3ECF5CB7CC84 | 生產力應用程式 |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | 不適用 | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email,生產力應用程式 |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | 不適用 | D1E49AAC-8F56-4280-B9BA-993A6D77406C | 水平移動和認證竊取 |
| 在安全模式下封鎖重啟機器 | 不適用 | 33ddedf1-c6e0-47cb-833e-de6133960387 | 其他 |
| 封鎖從 USB 執行的未受信任與未簽署程序 | 我也是 | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 | 多型威脅 |
| 封鎖使用複製或冒充的系統工具 | 不適用 | c0033C00-D16D-4114-A5A0-DC9B3A7D2CEB | 其他 |
| 伺服器區塊 Webshell 建立 | 不適用 | A8F5898E-1DC8-49A9-9878-85004B8A61E6 | 其他 |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | 我也是 | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDc7b | 生產力應用程式 |
| 對惡意勒索軟體使用進階保護 | 我也是 | C1db55ab-C21A-4637-bb3f-A12568109D35 | 多型威脅 |
ASR 規則的要求
ASR 規則要求 Microsoft Defender 防毒軟體作為 Windows 裝置的主要防毒應用程式:
Microsoft Defender 防毒軟體必須啟用並處於主動模式。 具體來說,Microsoft Defender 防毒軟體無法支援以下任何一種模式:
- 被動
- 被動模式,具備端點偵測與回應 (EDR) 區塊模式
- 有限的定期掃描 (LPS)
- 關閉
欲了解更多關於 Microsoft Defender 防毒軟體模式的資訊,請參閱 Microsoft Defender 防毒軟體如何影響 Defender for Endpoint 的功能。
Microsoft Defender 防毒軟體必須開啟即時防護。
雲端提供的保護 (也稱為Microsoft進階保護服務(Advanced Protection Service,簡稱 MAPS)) 對 ASR 規則的功能至關重要。 雲端防護強化了標準的即時防護,是防止惡意軟體入侵的關鍵要素。 部分 ASR 規則特別要求端點偵測與回應 (EDR) Defender for Endpoint 中的 EDR 警示及使用者通知彈窗的雲端傳遞保護。 詳情請參閱 ASR 規則動作的警報與通知。
基於同樣的原因,你的環境必須允許連接到 Microsoft Defender 防毒雲端服務。
Microsoft Defender 防毒軟體元件版本必須比目前最可取得的版本早不少於兩個版本:
- 平台更新版本:每月更新。
- 我版本:每月更新。
- 安全情報:Microsoft 持續更新安全情報 (也稱為定義與特徵碼,) 以應對最新威脅並優化偵測邏輯。
保持 Microsoft Defender 防毒版本的最新,有助於減少 ASR 規則誤報並提升 Microsoft Defender 防毒軟體偵測能力。 欲了解更多關於目前版本及如何更新不同 Microsoft Defender 防毒元件的資訊,請參閱 Microsoft Defender 防毒平台支援。
雖然 ASR 規則不要求 Microsoft 365 E5,但 Microsoft 建議使用 E5 或同等訂閱的安全性,以利用以下進階管理功能:
- Defender for Endpoint 中的監控、分析與工作流程。
- Microsoft Defender 全面偵測回應入口網站中的報告與設定功能。
其他授權 (例如 Windows Professional 或 Microsoft 365 E3) 則無法提供進階管理功能。 不過,你可以在 Windows 事件檢視器 產生的 ASR 規則事件基礎上,自行開發監控與報告工具, (例如 Windows 事件轉發) 。
欲了解更多關於 Windows 授權的資訊,請參閱 Windows 授權 及取得 Microsoft 大量授權 參考指南。
支援的 ASR 規則作業系統
ASR 規則是任何包含防毒 (版本的 Windows Microsoft Defender防毒功能,例如Windows 11 家用版) Microsoft Defender。 你可以在本地使用 PowerShell 或群組原則來設定 ASR 規則。
適用於端點的 Microsoft Defender 中 ASR 規則的集中管理、報告與警示功能,可在以下 Windows 版本與版本中提供:
- Windows 10 或更新版本的 Pro 與 Enterprise 版本。
- Windows Server 2012 R2 或更新版本。
- Azure Local (前稱為Azure堆疊HCI) 版本23H2或更新版本。
欲了解更多作業系統支援資訊,請參閱 ASR 規則的作業系統支援。
ASR 規則的模式
ASR 規則可呈現以下模式之一,詳見下表:
| 規則模式 | 代碼 | 描述 |
|---|---|---|
|
關掉 或 Disabled |
0 | ASR 規則是明確被禁用的。 當同一裝置在不同模式中被指派相同的 ASR 規則並執行不同政策時,這個值可能會造成衝突。 |
|
方塊 或 啟動 |
1 | ASR 規則在 區塊 模式下啟用。 |
|
審計 或 稽核模式 |
2 | ASR 規則的啟用方式就像在 封鎖 模式下一樣,但不會執行任何動作。 審計 模式下的 ASR 規則偵測可在以下地點取得:
|
| 未設定 | 5 | ASR 規則並未明確啟用。 這個數值在功能上等同於 Disabled 或 Off,但不會有規則衝突的可能。 |
|
警告 或 警告 |
6 | ASR 規則啟用時類似 封鎖模式, 但使用者可在警告通知視窗中選擇 「解除封鎖 」,以繞過封鎖 24 小時。 24 小時後,使用者必須再次繞過封鎖。 警告模式支援於 2018 年 11 月Windows 10 () 或更晚版本 1809。 在不支援的 Windows 版本中, Warn 模式下的 ASR 規則實際上處於 封鎖 模式 () 無法繞過。 Microsoft Configuration Manager 沒有警告模式。 警告模式有以下 Microsoft Defender 防毒版本的要求:
以下 ASR 規則不支援 警告 模式: |
Microsoft 建議在標準保護規則 中使用封鎖 模式,其他 ASR 規則則在 審核模式中 進行初步測試,再以 封鎖 或 警告 模式啟動。
許多業務線應用程式在撰寫時安全性限制有限,且其行為可能看起來像惡意軟體。 透過在 審計 模式下監控 ASR 規則的資料,並為所需應用程式 新增排除 選項,你可以部署 ASR 規則而不降低生產力。
在啟用 ASR 規則於 區塊 模式前,先評估其在 審計 模式的影響及安全建議。 欲了解更多資訊,請參閱 測試ASR規則。
ASR 規則的部署與設定方法
適用於端點的 Microsoft Defender 支援 ASR 規則,但不包含內建方法來部署 ASR 規則設定到裝置。 相反地,你會使用獨立的部署或管理工具來建立並分發 ASR 規則政策給裝置。 並非所有部署方法都支援所有 ASR 規則。 關於每條規則的詳細說明,請參閱 部署方法支援 ASR 規則。
下表總結了可用的方法。 詳細設定說明請參閱 「配置攻擊面減少 (ASR) 規則與排除事項」。
| 方法 | 描述 |
|---|---|
| Microsoft Intune 端點安全政策 | 建議的配置與分發 ASR 規則政策給裝置的方法。 需要Microsoft Intune 方案 1 (包含在訂閱中,如Microsoft 365 E3或作為獨立附加) 。 |
| Microsoft Intune 自訂設定檔搭配 OMA-URI | 另一種使用 Open Mobile Alliance – Uniform Resource (OMA-URI) profile Intune配置 ASR 規則的替代方法。 |
| 任何使用 Policy CSP 的 MDM 解決方案 | 在任何 MDM 解決方案中,請使用 Windows Policy 配置服務提供者 (CSP) 。 |
| Microsoft Configuration Manager | 在資產與合規工作區使用 Microsoft Defender 防毒政策。 |
| 群組原則 | 使用集中式群組原則來配置並分發 ASR 規則給已加入網域的裝置。 或者你可以在個別裝置上本地設定群組原則。 |
| PowerShell | 在個別裝置上本地配置 ASR 規則。 PowerShell 支援所有 ASR 規則。 |
ASR 規則中的檔案與資料夾排除
重要事項
排除檔案或資料夾會大幅降低 ASR 規則的保護。 排除的檔案被允許執行,且不會記錄任何關於該檔案的報告或事件。 如果 ASR 規則偵測到不應該被偵測的檔案, 請使用 Audit 模式來測試該規則。
你可以排除特定 檔案 和 資料夾 ,避免被 ASR 規則評估。 即使 ASR 規則判定該檔案或資料夾存在惡意行為,也不會阻止被排除的檔案執行。
你可以使用以下方法來排除檔案和資料夾,排除 ASR 規則:
Microsoft Defender 防毒軟體排除條款:並非所有 ASR 規則都遵守這些排除條款。 欲了解更多關於 Microsoft Defender 防毒病毒排除的資訊,請參閱「為 Microsoft Defender 防毒設定自訂排除」。
提示
所有 ASR 規則都尊重 Microsoft Defender 防毒軟體中的程序排除條款。
全球 ASR 規則排除:這些排除適用於所有 ASR 規則。 所有 ASR 規則配置方法也支援配置全域 ASR 規則排除。
依 ASR 規則排除:可選擇性地將不同排除項分配給不同的 ASR 規則。 只有以下 ASR 規則配置方法也支援依 ASR 規則排除事項設定:
- 群組原則 (及對應的登錄檔設定)
- Microsoft Intune 中的端點安全政策。
IoC) (入侵指標 :大多數 ASR 規則會對被封鎖的檔案和被封鎖憑證承認 IoC。 欲了解更多 IoCs 資訊,請參閱 適用於端點的 Microsoft Defender 中指標概述。
ASR規則中不同類型排除條款的執行情況總結於下表:
| 規則名稱 | 榮譽 MDAV 檔案及 資料夾排除 |
榮譽全球ASR 排除事項 |
ASR規則下的榮譽 排除事項 |
榮譽國際奧委會 檔案 |
榮譽國際奧委會 證書 |
|---|---|---|---|---|---|
| Standard 保護規則 | |||||
| 阻擋被利用的易受攻擊簽署驅動程式 (裝置) | Y | Y | Y | Y | Y |
| 封鎖從 Windows 本機安全性授權子系統竊取認證 | N | Y | Y | N | N |
| 透過 WMI 事件訂閱封鎖持續性 | N | Y | Y | N | N |
| 其他ASR規則 | |||||
| 封鎖 Adobe Reader 使其無法建立子程序 | N | Y | Y | Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | Y | Y | Y | Y | Y |
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | Y | Y | Y | Y | Y |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | Y | Y | Y | Y | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y | Y | Y | Y |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | Y | Y | Y | Y |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | N | Y | Y | Y | Y |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | N | Y | Y | N | N |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | N | Y | Y | Y | Y |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | N | Y | Y | Y | Y |
| 在安全模式下封鎖重啟機器 | Y | Y | Y | Y | Y |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y | Y | Y | Y |
| 封鎖使用複製或冒充的系統工具 | Y | Y | Y | Y | Y |
| 伺服器區塊 Webshell 建立 | Y | Y | Y | Y | Y |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | Y | Y | Y | N |
| 對惡意勒索軟體使用進階保護 | Y | Y | Y | Y | Y |
加入除外條款時,請記得以下幾點:
排除路徑可以使用環境變數和萬用字元。 欲了解更多資訊,請參閱 檔案名稱與資料夾路徑或副檔名排除列表中的萬用字元。
提示
不要 在資料夾 和程序排除中用使用者環境變數作為通配符。 僅使用以下類型的環境變數作為通行符:
- 系統環境變數。
- 適用於以 NT AUTHORITY\SYSTEM 帳號執行的程序的環境變數。
關於系統環境變數的列表,請參見 系統環境變數。
- 萬用字組無法定義磁碟代號。
- 要排除路徑中的多個資料夾,使用多個實例
\*\來表示多個巢狀資料夾。 例如,c:\Folder\*\*\Test。 - Microsoft Configuration Manager支援萬用牌 (
*或?) 。 - 若要排除包含隨機字元的檔案,例如 (自動檔案產生) ,請使用
?符號。 例如,C:\Folder\fileversion?.docx。
排除條款僅在應用程式或服務啟動時適用。 例如,如果你為已經在執行的更新服務新增排除,更新服務會繼續觸發 ASR 規則偵測,直到你重新啟動該服務為止。
ASR 規則中的政策衝突
若同一裝置被分配兩個不同的 ASR 規則政策,可能因以下因素產生衝突:
- 是否在不同模式下會分配相同的 ASR 規則。
- 是否已經有衝突管理措施。
- 結果是否為錯誤。
非衝突的 ASR 規則不會導致錯誤。 第一條規則被套用,後續的無衝突規則則合併到保單中。
如果行動裝置管理 (MDM) 解決方案,且群組原則對同一裝置套用不同的ASR規則設定,則群組原則設定優先。
關於 Microsoft Intune 中可用部署方法如何處理 ASR 規則設定衝突的資訊,請參閱「由 Intune 管理的裝置」。
ASR 規則的通知與警示
當裝置觸發阻 擋 或 警告 模式的 ASR 規則時,裝置上會顯示通知。 你可以在通知中自訂資訊。 欲了解更多資訊,請參閱 Windows 安全性中的自訂聯絡資訊。
當觸發支援的 ASR 規則時,Defender for Endpoint (EDR) 警示會產生端點偵測與回應。
關於通知與警報功能的具體細節,請參見 ASR 規則動作的警報與通知。
欲查看 Microsoft Defender 入口網站及 Windows 事件檢視器 裝置上的 ASR 警示活動,請參閱「監控攻擊面減少 (ASR) 規則活動」。
監控 ASR 規則活動
欲知完整資訊,請參閱 「監控攻擊面減少 (ASR) 規則活動」。