本文提供適用於端點的 Microsoft Defender受攻擊面縮小規則 (ASR 規則) 相關資訊:
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
提示
作為本文的隨附,請參閱我們的 適用於端點的 Microsoft Defender 設定指南,以檢閱最佳做法,並瞭解受攻擊面縮小和新一代保護等基本工具。 如需根據您的環境自訂體驗,您可以在 Microsoft 365 系統管理中心存取適用於端點的 Defender 自動化安裝指南。
必要條件
支援的作業系統
- Windows
依類型劃分的受攻擊面減少規則
受攻擊面縮小規則會分類為兩種類型之一:
Standard 保護規則:是 Microsoft 建議您一律啟用的最小規則集,同時評估其他 ASR 規則的效果和設定需求。 這些規則通常對最終使用者的影響很小甚至沒有明顯影響。
其他規則:需要遵循記載部署步驟 [規劃 > 測試 (稽核) > 啟用 (封鎖/警告模式) ] 的規則,如 受攻擊面減少規則部署指南中所述。
如需啟用標準保護規則的最簡單方法,請參閱簡化 的標準保護選項。
| ASR 規則名稱: | Standard 保護規則? | 其他規則? |
|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | 是 | |
| 封鎖 Adobe Reader 使其無法建立子程序 | 是 | |
| 封鎖所有 Office 應用程式使其無法建立子程序 | 是 | |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 是 | |
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | 是 | |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | 是 | |
| 封鎖可能經過模糊化的指令碼的執行 | 是 | |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | 是 | |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | 是 | |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 是 | |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | 是 | |
| 透過 WMI 事件訂閱封鎖持續性 | 是 | |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | 是 | |
| 在安全模式下阻止重新啟動電腦 | 是 | |
| 封鎖從 USB 執行的未受信任與未簽署程序 | 是 | |
| 封鎖使用複製或模擬的系統工具 | 是 | |
| 封鎖伺服器的 Webshell 建立 | 是 | |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | 是 | |
| 對惡意勒索軟體使用進階保護 | 是 |
Microsoft Defender 防病毒軟體排除專案和 ASR 規則
Microsoft Defender 防病毒軟體排除專案適用於某些適用於端點的 Microsoft Defender 功能,例如某些受攻擊面縮小規則。
下列 ASR 規則不會接受 Microsoft Defender 防病毒軟體排除專案:
| ASR 規則名稱: |
|---|
| 封鎖 Adobe Reader 使其無法建立子程序 |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 |
| 封鎖 Office 應用程式使其無法建立可執行的內容 |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 |
| 封鎖 Office 通訊應用程式使其無法建立子程序 |
注意事項
如需設定每個規則排除專案的相關資訊,請參閱測試受攻擊面縮小規則一文中標題為設定每個規則排除專案的區段。
ASR 規則和適用於端點的 Defender 入侵指標 (IOC)
下列 ASR 規則不遵守 IOC) (適用於端點的 Microsoft Defender入侵指標:
| ASR 規則名稱 | 描述 |
|---|---|
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 不接受檔案或憑證的入侵指標。 |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 不接受檔案或憑證的入侵指標。 |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | 不接受憑證的入侵指標。 |
ASR 規則支援的作業系統
下表列出目前已發行至正式發行之規則所支援的作業系統。 規則在此表格中按字母順序列出。
注意事項
除非另有說明,否則最低Windows 10組建為 RS3 版本 1709 (,組建 16299) 或更新版本;組建的最低Windows Server為 1809 版或更新版本。 Windows Server 2012 R2 和 Windows Server 2016 中的受攻擊面縮小規則適用於使用新式統一解決方案套件上線的裝置。 如需詳細資訊,請參閱新式統一解決方案中的新 Windows Server 2012 R2 和 2016 功能。
| 規則名稱 | Windows 10 和 11 | Windows Server 1803、2019 版和更新版本 | Windows Server 2016 和 2012 R2 |
|---|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | Y | Y 1803 版 (半年企業頻道) 或更新版本 |
Y |
| 封鎖 Adobe Reader 使其無法建立子程序 | Y 1809 版或更新版本 |
Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | Y | Y | Y |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | Y 1803 版或更新版本 |
Y | Y |
| 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | Y | Y | Y |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | Y 1803 版或更新版本 |
Y | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y | Y |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | Y | N |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | Y | Y | Y |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | Y | Y |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | Y | Y | Y |
| 透過 Windows Management Instrumentation (WMI) 事件訂用帳戶封鎖持續性 | Y 版本 1903 (組建 18362) 或更新版本 |
Y 版本 1903 (組建 18362) 或更新版本 |
N |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | Y 1803 版或更新版本 |
Y | Y |
| 在安全模式下阻止重新啟動電腦 | Y | Y | Y |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y | Y |
| 封鎖使用複製或模擬的系統工具 | Y | Y | Y |
| 封鎖伺服器的 Webshell 建立 | N | Y 僅限交換角色 |
Windows Server 2016 上的 Y 僅限交換角色 Windows Server 2012 R2 上的 N |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | N | N |
| 對惡意勒索軟體使用進階保護 | Y 1803 版或更新版本 |
Y | Y |
注意事項
- 如需 Windows Server 2012 R2 和 Windows Server 2016,請參閱 上線 Windows Server 2016 和 Windows Server 2012 R2。
- 如果您使用 Configuration Manager,則 Microsoft Endpoint Configuration Manager 的最低必要版本是 2111 版。
- 對於 Windows 用戶端裝置,「版本 1809 或更新版本」和「版本 1903 (組建 18362) 」僅適用於Windows 10。
ASR 規則支援的組態管理系統
下表列出此表格參考的組態管理系統版本相關資訊的連結。
| 規則名稱 | Microsoft Intune | Microsoft Endpoint Configuration Manager | 群組原則[1] | PowerShell[1] |
|---|---|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | Y | Y | Y | |
| 封鎖 Adobe Reader 使其無法建立子程序 | Y | Y | Y | |
| 封鎖所有 Office 應用程式使其無法建立子程序 | Y | Y CB 1710 |
Y | Y |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | Y | Y CB 1802 |
Y | Y |
| 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | Y | Y CB 1710 |
Y | |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | Y | Y CB 1802 |
Y | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y CB 1710 |
Y | Y |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | Y CB 1710 |
Y | Y |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | Y | Y CB 1710 |
Y | Y |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | Y CB 1710 |
Y | Y |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | Y | Y CB 1710 |
Y | Y |
| 透過 WMI 事件訂閱封鎖持續性 | Y | Y | Y | |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | Y | Y | Y | |
| 在安全模式下阻止重新啟動電腦 | Y | Y | Y | |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y CB 1802 |
Y | Y |
| 封鎖使用複製或模擬的系統工具 | Y | Y | Y | |
| 封鎖伺服器的 Webshell 建立 | Y | Y | Y | |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | Y CB 1710 |
Y | Y |
| 對惡意勒索軟體使用進階保護 | Y | Y CB 1802 |
Y | Y |
(1) 您可以使用任何規則的 GUID,以規則為基礎設定受攻擊面縮小規則。
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM 現在是 Microsoft Configuration Manager。
每個 ASR 規則警示和通知詳細資料
封鎖模式的所有規則皆會產生快顯通知。 任何其他模式中的規則不會產生快顯通知。
對於指定「規則狀態」的規則:
- 具有組合的
\ASR Rule, Rule State\ASR 規則可用來顯示警示 (快顯通知,) 適用於端點的 Microsoft Defender,僅適用於在雲端區塊層級High設定的裝置。 - 未在雲端區塊層級
High設定的裝置不會產生任何ASR Rule, Rule State組合的警示。 - 針對在雲端區塊層級
High+設定的裝置,針對處於指定狀態的 ASR 規則產生 EDR 警示。 - 快顯通知只會在封鎖模式中發生,且適用於在雲端封鎖層級
High設定的裝置。
| 規則名稱 | 規則狀態 | EDR 警示 | 快顯通知 |
|---|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | N | Y | |
| 封鎖 Adobe Reader 使其無法建立子程序 | 封鎖 | Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | N | Y | |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | N | N | |
| 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | 稽核或封鎖 | Y (處於封鎖模式) N (處於稽核模式) |
Y (處於封鎖模式) |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | N | Y | |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y (處於封鎖模式) | |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | 封鎖 | Y | Y |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | N | Y | |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | N | Y | |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | N | Y | |
| 透過 WMI 事件訂閱封鎖持續性 | Y | Y (處於封鎖模式) | |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | N | Y | |
| 在安全模式下阻止重新啟動電腦 | N | N | |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y (處於封鎖模式) | |
| 封鎖使用複製或模擬的系統工具 | N | Y (處於封鎖模式) | |
| 封鎖伺服器的 Webshell 建立 | N | N | |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | N | Y | |
| 對惡意勒索軟體使用進階保護 | Y | Y (處於封鎖模式) |
ASR 規則至 GUID 矩陣
| 規則名稱 | 規則 GUID |
|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| 封鎖 Adobe Reader 使其無法建立子程序 | 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C |
| 封鎖所有 Office 應用程式使其無法建立子程序 | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| 封鎖可能經過模糊化的指令碼的執行 | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | D3E037E1-3EB8-44C8-A917-57927947596D |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | 3b576869-a4ec-4529-8536-b80a7769e899 |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| 透過 WMI 事件訂閱封鎖持續性 * 不支援檔案和資料夾排除。 |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| 在安全模式下阻止重新啟動電腦 | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| 封鎖從 USB 執行的未受信任與未簽署程序 | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| 封鎖使用複製或模擬的系統工具 | C0033C00-D16D-4114-A5A0-DC9B3A7D2CEB |
| 封鎖伺服器的 Webshell 建立 | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| 對惡意勒索軟體使用進階保護 | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
ASR 規則模式
未設定 或 停用:ASR 規則未啟用或已停用的狀態。 此狀態的代碼 = 0。
封鎖:啟用 ASR 規則的狀態。 此狀態的代碼為 1。
稽核:評估 ASR 規則的狀態,如果啟用 (設定為封鎖或警告) ,則對組織或環境的影響。 此狀態的代碼為 2。
警告:啟用 ASR 規則並向終端使用者顯示通知,但允許終端使用者略過封鎖的狀態。 此狀態的代碼為 6。
警告模式是一種封鎖模式類型,可警示使用者有潛在危險的動作。 使用者可以選擇略過封鎖警告訊息,並允許基礎動作。 使用者可以選取 [確定] 以強制執行封鎖,或透過封鎖時產生的使用者快顯通知選取略過選項 - 解除封鎖。 在解除封鎖警告後,便會允許此作業,直到下一次出現警告訊息,此時使用者必須重新執行動作。
按一下允許按鈕時,封鎖會隱藏 24 小時。 24 小時後,使用者必須再次允許封鎖。 ASR 規則的警告模式僅支援 RS5+ (1809+) 裝置。 如果將略過指派給舊版裝置上的 ASR 規則,則規則會處於封鎖模式。
您也可以透過 PowerShell 將規則
AttackSurfaceReductionRules_Actions指定為「警告」,以警告模式設定規則。 例如:Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
每個規則描述
封鎖濫用惡意探索易受攻擊的已簽署驅動程式
注意事項
若要保護您的環境免於易受攻擊的驅動程式,您應該先實作下列專案:針對 Windows 10 或更新版本、使用 Microsoft 商務用應用程控 的 Windows Server 2016 或更新版本,您應該預設封鎖所有驅動程式,而且只允許您認為必要且未知易受攻擊的驅動程式。 針對 Windows 8.1 或更早版本、Windows Server 2012 R2 或更早版本,使用 Microsoft AppLocker,您應該預設封鎖所有驅動程式,而且只允許您認為必要且未知易受攻擊的驅動程式。 對於 Windows 11 或更高版本,以及 Windows Server Core 1809 或更高版本,或 Windows Server 2019 或更高版本,您還應該啟用 Microsoft Windows 易受攻擊的驅動程序阻止列表,然後作為另一層防禦,您應該啟用此受攻擊面縮小規則。
此規則可防範應用程式將易受攻擊的已簽署驅動程式寫入磁碟。 具有 足夠權限的 本地應用程序可以利用野生易受攻擊的簽名驅動程序來訪問內核。 易受攻擊的已簽署驅動程式可讓攻擊者停用或規避安全性解決方案,最終導致系統洩露。
封鎖濫用 惡意探索的易受攻擊的已簽署驅動程式規則 不會封鎖載入系統上已存在的驅動程式。
注意事項
您可以使用 Intune OMA-URI 來設定此規則。 如需設定自定義規則,請參閱 Intune OMA-URI 。 您也可以使用 PowerShell 來設定此規則。 若要檢查驅動程式,請使用此網站來提交驅動程式以進行分析。
Intune 名稱: Block abuse of exploited vulnerable signed drivers
Configuration Manager 名稱:尚無法使用
GUID:56a863a9-875e-4185-98a7-b882c64b5ce5
進階搜捕動作類型:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
封鎖 Adobe Reader 使其無法建立子程序
此規則會透過封鎖 Adobe Reader 使其無法建立程序來防範攻擊。
惡意軟體可以下載和啟動有效負載,並透過社會工程或漏洞利用突破 Adobe Reader。 透過阻止 Adobe Reader 產生子進程,可以防止嘗試使用 Adobe Reader 作為攻擊媒介的惡意軟體傳播。
Intune 名稱:Process creation from Adobe Reader (beta)
Configuration Manager 名稱:尚無法使用
GUID:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
進階搜捕動作類型:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
封鎖所有 Office 應用程式使其無法建立子程序
此規則會封鎖 Office 應用程式,使其無法建立子程序。 Office 應用程式包括 Word、Excel、PowerPoint、OneNote 和 Access。
建立惡意子程序是常見的惡意程式碼策略。 濫用 Office 作為向量的惡意代碼通常會執行 VBA 巨集並利用程式代碼來下載並嘗試執行更多承載。 不過,某些合法的企業營運應用程式可能也會產生基於惡意目的的子程序;例如,繁衍命令提示字元,或使用 PowerShell 來設定登錄設定。
Intune 名稱:Office apps launching child processes
Configuration Manager 名稱:Block Office application from creating child processes
GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a
進階搜捕動作類型:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
封鎖從 Windows 本機安全性授權子系統竊取認證
注意事項
如果您已啟用 LSA 保護 ,則不需要此受攻擊面縮小規則。 為了獲得更安全的狀態,我們也建議您啟用具有 LSA 保護的 Credential Guard 。
如果已啟用 LSA 保護,則 ASR 規則會分類為不適用於Microsoft Defender 入口網站的適用於端點的 Defender 管理設定。
此規則會透過鎖定本機安全性授權子系統服務 (LSASS),協助防範認證竊取。
LSASS 會驗證在 Windows 電腦上登入的使用者。 Windows 中的 Microsoft Defender Credential Guard 通常會防範從 LSASS 擷取認證的嘗試。 某些組織無法在其所有電腦上啟用 Credential Guard,因為自訂智慧卡驅動程式或其他程式的相容性問題,這些程式載入本機安全性授權單位 (LSA) 。 在這些情況下,攻擊者可以使用 Mimikatz 等工具從 LSASS 中抓取明文密碼和 NTLM 雜湊。
依預設,此規則的狀態會設定為 未設定 (停用) 。 在大部分情況下,許多進程會呼叫 LSASS 以取得不需要的存取權限。 例如,當 ASR 規則的初始區塊導致後續呼叫較少的許可權時,然後成功。 如需在 LSASS 進程呼叫中通常要求之許可權類型的相關資訊,請參閱 進程安全性和存取許可權。
如果您已啟用 LSA 保護,啟用此規則不會提供額外的保護,因為 ASR 規則和 LSA 保護的運作方式類似。 不過,當無法啟用 LSA 保護時,可以設定此規則,以針對目標 lsass.exe惡意代碼提供對等的保護。
提示
- ASR 稽核事件不會產生快顯通知。 但是,由於LSASS ASR規則會產生大量審核事件,當在塊模式下啟用規則時,幾乎所有事件都可以安全忽略,因此您可以選擇跳過審核模式評估並繼續進行塊模式部署,從一小部分裝置開始,逐漸擴展以涵蓋其餘裝置。
- 此規則旨在隱藏友好進程的封鎖報告/快顯通知。 它還旨在刪除重複塊的報告。 因此,無論快顯通知是否已啟用或停用,規則非常適合在封鎖模式下啟用。
- 警告模式下的 ASR 旨在向使用者提供封鎖快顯通知,其中包含「解除封鎖」按鈕。 由於 LSASS ASR 區塊的「安全忽略」性質及其大量,因此不論 Toast 通知是啟用還是停用) ,都不建議使用此規則 (WARN 模式。
- 此規則旨在阻止進程存取 LSASS.EXE 進程記憶體。 它不會阻止他們跑步。 如果您看到 svchost.exe 等進程遭到封鎖,則只會封鎖存取 LSASS 進程記憶體。 因此,可以安全地忽略 svchost.exe 和其他過程。 一個例外是以下已知問題。
注意事項
在此案例中,ASR 規則會在 Microsoft Defender 入口網站的適用於端點的 Defender 設定中分類為「不適用」。
封鎖從 Windows 本機安全性授權單位子系統 ASR 規則竊取認證不支援警告模式。
在某些應用程式中,程式碼會列舉所有執行中的程序,並嘗試使用完整權限開啟它們。 此規則會拒絕應用程式的程序開啟動作,並且將詳細資料記錄到安全性事件記錄。 此規則會產生大量雜訊。 如果您的應用程式只會列舉 LSASS,但對功能沒有實際影響,則不需要將它新增至排除清單。 此事件記錄項目本身不一定表示惡意威脅。
Intune 名稱:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager 名稱:Block credential stealing from the Windows local security authority subsystem
GUID:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
進階搜捕動作類型:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
相依性:Microsoft Defender 防病毒軟體
已知問題:這些應用程式和「封鎖從 Windows 本機安全性授權單位子系統竊取認證」規則不相容:
| 應用程式名稱 | 如需資訊 |
|---|---|
| Quest Dirsync 密碼同步 | 安裝 Windows Defender 時,Dirsync 密碼同步無法運作,錯誤:「VirtualAllocEx 失敗:5」 (4253914) |
如需技術支援,請聯絡軟體供應商。
封鎖來自電子郵件用戶端及網路郵件的可執行內容
此規則會封鎖在 Microsoft Outlook 應用程式或 Outlook.com 和其他熱門網路郵件提供者中開啟的電子郵件,無法傳播下列檔案類型:
可執行檔 (例如 .exe、.dll 或 .scr)
腳本檔案 (例如 PowerShell.ps1、Visual Basic .vbs 或 JavaScript .js 檔案)
封存文件 (,例如 .zip 和其他文件)
Intune 名稱:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager 名稱:Block executable content from email client and webmail
GUID:be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
進階搜捕動作類型:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
相依性:Microsoft Defender 防病毒軟體
注意事項
視您使用的應用程式而定,規則封鎖來自電子郵件用戶端和 Web 郵件的可執行內容有下列替代描述:
- Intune (組態設定檔):執行從電子郵件 (Web 郵件/郵件用戶端) 捨棄的可執行內容 (exe、dll、ps、js、vbs 等) (無例外狀況)。
- Configuration Manager:封鎖從電子郵件和網路郵件用戶端下載可執行檔內容。
- 群組原則:封鎖來自電子郵件用戶端和 Web 郵件的可執行內容。
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行
此規則封鎖了可執行檔 (例如 .exe, .dll, 或 .scr) 的啟動。 因此,啟動未受信任或未知的可執行檔可能有風險,因為一開始可能無法清楚得知檔案是否為惡意。
重要事項
您必須啟用雲端提供的保護,才能使用此規則。 此規則使用雲端提供的保護,以定期更新其信任清單。 您可以使用資料夾路徑或完整資源名稱來指定個別檔案或資料夾。 它還支援 ASROnlyPerRuleExclusions 設定。
Intune 名稱:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager 名稱:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID:01443614-cd74-433a-b99e-2ecdc07bfc25
進階搜捕動作類型:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
相依性:Microsoft Defender 防病毒軟體、雲端保護
封鎖可能經過模糊化的指令碼的執行
此規則會偵測模糊化指令碼內的可疑屬性。
注意事項
PowerShell 腳本現在支援「封鎖執行可能模糊化的腳本」規則。
重要事項
您必須啟用雲端提供的保護,才能使用此規則。
指令碼混淆是惡意程式碼作者和合法應用程式用來隱藏智慧財產權或減少指令碼載入時間的常見技巧。 惡意軟體作者還使用混淆使惡意程式碼更難閱讀,這阻礙了人類和安全軟體的密切審查。
Intune 名稱:Obfuscated js/vbs/ps/macro code
Configuration Manager 名稱:Block execution of potentially obfuscated scripts
GUID:5beb7efe-fd9a-4556-801d-275e5ffc04cc
進階搜捕動作類型:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
依賴項:Microsoft Defender防病毒、AMSI) (反惡意軟件掃描接口、雲保護
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
此規則可防範指令碼啟動潛在惡意的下載內容。 以 JavaScript 或 VBScript 撰寫的惡意程式碼通常會做為下載程式,以從網際網路擷取並啟動其他惡意程式碼。 雖然不常見,但企業營運應用程式有時會使用指令碼來下載和啟動安裝程式。
Intune 名稱:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager 名稱:Block JavaScript or VBScript from launching downloaded executable content
GUID:d3e037e1-3eb8-44c8-a917-57927947596d
進階搜捕動作類型:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
相依性:Microsoft Defender 防病毒軟體、AMSI
封鎖 Office 應用程式使其無法建立可執行的內容
此規則可防止 Office 應用程式 (包括 Word、Excel 和 PowerPoint) 作為向量,在磁碟上保留惡意程式碼。 濫用 Office 作為向量的惡意代碼可能會嘗試將惡意元件儲存至磁碟,這些元件會在電腦重新啟動後繼續存在,並持續存在在系統上。 此規則會封鎖對寫入磁碟之程式碼 (開啟/執行) 存取,以防禦此持續性技術。 此規則也會封鎖執行不受信任的檔案,這些檔案可能已由允許在 Office 檔案中執行的 Office 巨集所儲存。
Intune 名稱:Office apps/macros creating executable content
Configuration Manager 名稱:Block Office applications from creating executable content
GUID:3b576869-a4ec-4529-8536-b80a7769e899
進階搜捕動作類型:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
相依性:Microsoft Defender 防病毒軟體、RPC
封鎖 Office 應用程式使其無法將程式碼插入其他程序
此規則會封鎖從 Office 應用程式插入程式碼到其他程式碼的嘗試。
注意事項
[封鎖應用程式將程式碼插入其他進程] ASR 規則不支援 WARN 模式。
重要事項
此規則需要重新啟動Microsoft 365 Apps (Office 應用程式) ,設定變更才會生效。
攻擊者可能會嘗試使用 Office 應用程式,透過程式碼插入將惡意程式碼移轉至其他程序,因此程式碼可能會偽裝成全新程序。 使用程式碼插入沒有任何已知的合法商業目的。
此規則適用於 Word、Excel、OneNote 和 PowerPoint。
Intune 名稱:Office apps injecting code into other processes (no exceptions)
Configuration Manager 名稱:Block Office applications from injecting code into other processes
GUID:75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
進階搜捕動作類型:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
相依性:Microsoft Defender 防病毒軟體
已知問題:這些應用程式與「封鎖 Office 應用程式將程式碼插入其他進程」規則不相容:
| 應用程式名稱 | 如需資訊 |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | 2024 年 9 月 (平台:4.18.24090.11 |引擎 1.1.24090.11) . |
| 海姆達爾安全 | 不適用 |
如需技術支援,請聯絡軟體供應商。
封鎖 Office 通訊應用程式使其無法建立子程序
此規則可防範 Outlook 建立子程序,同時仍允許合法的 Outlook 功能。 此規則可防範社交工程攻擊,並防範惡意探索程式碼濫用 Outlook 中的弱點。 它也可防範使用者的認證遭到入侵時,攻擊者可以使用的 Outlook 規則和表單惡意探索。
Intune 名稱:Process creation from Office communication products (beta)
Configuration Manager 名稱:無法使用
GUID:26190899-1602-49e8-8b27-eb1d0a1ce869
進階搜捕動作類型:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
透過 WMI 事件訂閱封鎖持續性
此規則可防範惡意程式碼濫用 WMI,以獲得裝置上的持續性。
無檔案威脅會採用各種策略來保持隱藏,以避免在檔案系統中顯示,以及取得定期執行控制。 某些威脅可能會濫用 WMI 存放庫和事件模型來保持隱藏。
注意事項
如果您使用 Configuration Manager (CM (先前稱為 MEMCM 或 SCCM) ,搭配 CcmExec.exe(SCCM 代理程式) ,建議您在稽核模式下執行至少 60 天。 準備好切換至封鎖模式之後,請確定您部署適當的 ASR 規則,並考慮任何必要的規則排除。
Intune 名稱:Persistence through WMI event subscription
Configuration Manager 名稱:無法使用
GUID:e6db77e5-3df2-4cf1-b95a-636979351e5b
進階搜捕動作類型:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
相依性:Microsoft Defender 防病毒軟體、RPC
封鎖源自 PSExec 與 WMI 命令的程序建立
此規則會封鎖透過 PsExec 和 WMI 建立的程序執行。 PsExec 和 WMI 都可以從遠端執行程式代碼。 惡意代碼可能會濫用 PsExec 和 WMI 的功能,以進行命令和控制,或將感染傳播到整個組織的網路。
警告
只有在使用 Intune 或其他 MDM 解決方案管理裝置時,才使用此規則。 此規則與透過 Microsoft Endpoint Configuration Manager 的管理不相容,因為此規則會封鎖 Configuration Manager 用戶端用來正確運作的 WMI 命令。
Intune 名稱:Process creation from PSExec and WMI commands
Configuration Manager 名稱:不適用
GUID:d1e49aac-8f56-4280-b9ba-993a6d77406c
進階搜捕動作類型:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
相依性:Microsoft Defender 防病毒軟體
在安全模式下阻止重新啟動電腦
此規則會防止執行某些命令以在安全模式下重新啟動電腦。 在 Windows 的安全模式下,許多安全產品要么被禁用,要么以有限的容量運行,這使得攻擊者能夠進一步啟動篡改命令,或執行和加密計算機上的所有文件。 此規則會防止常用濫用的命令,例如在安全模式下重新啟動電腦,bcdeditbootcfg以阻止此類濫用安全模式的行為。 安全模式仍可從 Windows 復原環境手動存取。
Intune 名稱: Block rebooting machine in Safe Mode
Configuration Manager 名稱:尚無法使用
GUID:33ddedf1-c6e0-47cb-833e-de6133960387
進階搜捕動作類型:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
相依性:Microsoft Defender 防病毒軟體
注意事項
威脅和弱點管理尚未辨識此規則,因此「受攻擊面減少」規則報告會將其顯示為「不適用」。
封鎖從 USB 執行的未受信任與未簽署程序
系統管理員可以使用此規則,來防範未簽署或未受信任的可執行檔從 USB 卸除式磁碟機 (包括 SD 記憶卡) 執行。 封鎖的檔案類型包括可執行檔 (例如 .exe、.dll 或 .scr)
重要事項
如果即將在磁碟驅動器上執行,則此規則會封鎖從 USB 複製到磁碟驅動器的檔案。
Intune 名稱:Untrusted and unsigned processes that run from USB
Configuration Manager 名稱:Block untrusted and unsigned processes that run from USB
GUID:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
進階搜捕動作類型:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
相依性:Microsoft Defender 防病毒軟體
封鎖使用複製或模擬的系統工具
此規則會封鎖使用識別為 Windows 系統工具複本的可執行檔。 這些檔案要么是原始系統工具的重複項,要么是冒名頂替者。 某些惡意程式可能會嘗試複製或模擬 Windows 系統工具以避免偵測或取得權限。 允許此類可執行檔可能會導致潛在的攻擊。 此規則可防止在 Windows 電腦上傳播和執行系統工具的此類重複項和冒名頂替者。
Intune 名稱: Block use of copied or impersonated system tools
Configuration Manager 名稱:尚無法使用
GUID:c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
進階搜捕動作類型:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
相依性:Microsoft Defender 防病毒軟體
注意事項
威脅和弱點管理尚未辨識此規則,因此「受攻擊面減少」規則報告會將其顯示為「不適用」。
封鎖伺服器的 Webshell 建立
此規則會封鎖在 Microsoft Server、Exchange 角色上建立 Web Shell 腳本。 Web shell 腳本是一種精心製作的腳本,允許攻擊者控制受感染的伺服器。
Web shell 可能包括接收和執行惡意命令、下載和執行惡意檔案、竊取和竊取憑證和敏感資訊以及識別潛在目標等功能。
Intune 名稱:Block Webshell creation for Servers
GUID:a8f5898e-1dc8-49a9-9878-85004b8a61e6
相依性:Microsoft Defender 防病毒軟體
注意事項
使用適用於端點的 Microsoft Defender 安全性設定管理管理 ASR 規則時,必須設定 [封鎖伺服器的 Webshell] 設定,如群組原則或其他本機設定。Not Configured 如果此規則設定為任何其他值 (, Enabled 例如 或 Disabled) ,可能會導致衝突,並防止原則透過安全性設定管理正確套用。 威脅和弱點管理尚未辨識此規則,因此「受攻擊面減少」規則報告會將其顯示為「不適用」。
封鎖來自 Office 巨集的 Win32 API 呼叫
此規則可防範 VBA 巨集呼叫 Win32 API。 Office VBA 可啟用 Win32 API 呼叫。 惡意程式碼可能會濫用此功能,例如呼叫 Win32 API 以啟動惡意 shellcode,而不需直接將任何內容寫入磁碟。 大部分組織的日常運作中不依賴於呼叫 Win32 API 的能力,即使他們以其他方式使用巨集也一樣。
Intune 名稱:Win32 imports from Office macro code
Configuration Manager 名稱:Block Win32 API calls from Office macros
GUID:92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
進階搜捕動作類型:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
相依性:Microsoft Defender 防病毒軟體、AMSI
對惡意勒索軟體使用進階保護
此規則可提供一層額外的保護,以防範勒索軟體。 它同時使用用戶端和雲端啟發式方法來判斷檔案是否類似勒索軟體。 此規則不會封鎖具有下列一或多個特性的檔案:
- 發現該文件在 Microsoft 雲中無害。
- 檔案是有效的已簽署檔案。
- 檔案非常普遍,足以不將其視為勒索軟體。
規則通常會寧願過於謹慎也不要冒險犯錯,以防範勒索軟體。
注意事項
您必須啟用雲端提供的保護,才能使用此規則。
Intune 名稱:Advanced ransomware protection
Configuration Manager 名稱:Use advanced protection against ransomware
GUID:c1db55ab-c21a-4637-bb3f-a12568109d35
進階搜捕動作類型:
AsrRansomwareAuditedAsrRansomwareBlocked
相依性:Microsoft Defender 防病毒軟體、雲端保護
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。