攻擊面減少 (ASR) 規則針對攻擊者常用惡意軟體 (攻擊者利用的軟體行為,例如啟動下載檔案的腳本、執行混淆腳本,以及將程式碼注入其他程序) 。 欲了解更多 ASR 規則,請參閱 攻擊面減少 (ASR) 規則概述。
本文為ASR規則的技術參考,提供以下資訊:
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
作業系統對 ASR 規則的支援
ASR 規則是一項Microsoft Defender防毒功能,任何包含防毒 (的 Windows 版本皆可使用,例如 Windows 11 家用版) Microsoft Defender。 你可以用 PowerShell 或群組原則在本地設定 ASR 規則。
下表說明了作業系統對 適用於端點的 Microsoft Defender 中 ASR 規則的支援,該系統透過 Microsoft Intune、Microsoft Configuration Manager 及Microsoft Defender 入口:
| 規則名稱 | Windows 11 或更新版本 | Windows 10 | Windows Server 2019 或更新版本 | Windows Server 2016* | Windows Server 2012 R2* |
|---|---|---|---|---|---|
| Standard 保護規則 | |||||
| 阻擋被利用的易受攻擊簽署驅動程式 (裝置) | Y | 1709年或更晚 | Y | Windows Server 1803 (SAC) 或更晚 | Y |
| 封鎖從 Windows 本機安全性授權子系統竊取認證 | Y | 1803年或之後 | Y | Y | Y |
| 透過 WMI 事件訂閱封鎖持續性 | Y | 1903年或之後 | Windows Server 1903 (SAC) 或之後 | N | N |
| 其他ASR規則 | |||||
| 封鎖 Adobe Reader 使其無法建立子程序 | Y | 1809年或之後 | Y | Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | Y | 1709年或更晚 | Y | Y | Y |
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | Y | 1709年或更晚 | Y | Y | Y |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | Y | 1803年或之後 | Y | Y | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | 1709年或更晚 | Y | Y | Y |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | 1709年或更晚 | Y | N | N |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | Y | 1709年或更晚 | Y | Y | Y |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | 1709年或更晚 | Y | Y | Y |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | Y | 1709年或更晚 | Y | Y | Y |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | Y | 1803年或之後 | Y | Y | Y |
| 在安全模式下封鎖重啟機器 | Y | 1709年或更晚 | Y | Y | Y |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | 1709年或更晚 | Y | Y | Y |
| 封鎖使用複製或冒充的系統工具 | Y | 1709年或更晚 | Y | Y | Y |
| 伺服器區塊 Webshell 建立 | n/a | n/a | 僅限 Exchange 伺服器 | 僅限 Exchange 伺服器 | N |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | 1709年或更晚 | n/a | n/a | n/a |
| 對惡意勒索軟體使用進階保護 | Y | 1803年或之後 | Y | Y | Y |
*Windows Server 2016 與 Windows Server 2012 R2 中支援的 ASR 規則,需使用現代統一解決方案套件進行新手操作。 欲了解更多資訊,請參閱現代統一解決方案中的新 Windows Server 2012 R2 與 2016 功能。
ASR 規則的部署方法支援
雖然 Defender for Endpoint 支援 ASR 規則,但你需要另外的服務來部署這些規則到裝置。 支援部署 ASR 規則的方法詳述於下表。
| 規則名稱 | Intune | 設定管理員 | MDM CSP | 集中式群組原則 |
|---|---|---|---|---|
| Standard 保護規則 | ||||
| 阻擋被利用的易受攻擊簽署驅動程式 (裝置) | Y | N | Y | Y |
| 封鎖從 Windows 本機安全性授權子系統竊取認證 | Y | 1802年或之後 | Y | Y |
| 透過 WMI 事件訂閱封鎖持續性 | Y | N | Y | Y |
| 其他ASR規則 | ||||
| 封鎖 Adobe Reader 使其無法建立子程序 | Y | N | Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | Y | 1710年或之後 | Y | Y |
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | Y | 1710年或之後 | Y | Y |
| 除非執行檔符合盛行率、年齡或可信清單的標準[1] | Y | 1802年或之後 | Y | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | 1710年或之後 | Y | Y |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | 1710年或之後 | Y | Y |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | Y | 1710年或之後 | Y | Y |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | 1710年或之後 | Y | Y |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | Y | N | Y | Y |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | Y | N | Y | Y |
| 在安全模式下封鎖重啟機器 | Y | N | Y | Y |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | 1802年或之後 | Y | Y |
| 封鎖使用複製或冒充的系統工具 | Y | N | Y | Y |
| 伺服器區塊 Webshell 建立 | Y | N | Y | Y |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | 1710年或之後 | Y | Y |
| 對惡意勒索軟體使用進階保護 | Y | 1802年或之後 | Y | Y |
提示
你也可以用群組原則或 PowerShell 在本地設定 ASR 規則。 所有 ASR 規則在本地裝置上都支援兩種方法。
1 目前,由於已知的後端問題,此 ASR 規則可能無法在 Intune ASR 政策設定中提供。 但該規則可透過其他可用的 ASR 政策設定方法,或在問題發生前建立的 Intune ASR 政策中取得。
ASR 規則動作的警示與通知
下表說明主動 ASR 規則所能產生的組織及本地警示。
- EDR 警示值表示 ASR 規則在封鎖或警告模式下是否會在 Defender for Endpoint (產生端點偵測與回應) EDR 警示。
- 使用者通知值表示 ASR 規則是否支援封鎖或警告模式的使用者通知彈出視窗 (是否支援警告模式) 。
| 規則名稱 | EDR 警示 | 使用者 通知 |
|---|---|---|
| Standard 保護規則 | ||
| 阻擋被利用的易受攻擊簽署驅動程式 (裝置) | N | Y |
| 阻擋 Windows 本地安全權限子系統的憑證竊取[¹] | N | N |
| 透過 WMI 事件訂閱封鎖持續性 | Y | Y |
| 其他ASR規則 | ||
| 阻止 Adobe Reader 建立子程序[²] | Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | N | Y |
| 從電子郵件客戶端和網頁郵件中封鎖可執行內容[²] | Y | Y |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 | N | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y |
| 封鎖 JavaScript 或 VBScript 啟動已下載的可執行檔內容[²] | Y | Y |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | N | Y |
| 阻擋 Office 應用程式將程式碼注入其他流程[¹] | N | Y |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | N | Y |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | N | Y |
| 在安全模式下封鎖重啟機器 | N | N |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y |
| 封鎖使用複製或冒充的系統工具 | N | Y |
| 伺服器區塊 Webshell 建立 | N | N |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | N |
| 對惡意勒索軟體使用進階保護 | Y | Y |
¹ 此ASR規則不支援 警告 模式。
² 這個 ASR 規則在封鎖或警告模式下,在 Microsoft Defender 防毒軟體的雲端防護層級中有以下額外要求:
- EDR 警示僅在裝置的雲端保護等級達到 高 plus 或 零容忍時才會產生。
- 只有當裝置的雲端保護等級達到高、高加或零容忍時,才會產生使用者通知彈出視窗。
ASR 規則細節
Standard 保護規則
阻擋被利用的易受攻擊簽署驅動程式 (裝置)
擁有足夠權限的本地應用程式可以利用有漏洞的簽署驅動程式來取得作業系統核心的存取權。 易受攻擊的已簽署驅動程式可讓攻擊者停用或規避安全性解決方案,最終導致系統洩露。
這項 ASR 規則防止應用程式在電腦上儲存有漏洞的已簽署驅動程式。 它不會阻止你載入電腦上已有的驅動程式。
-
Microsoft Intune 名稱:
Block abuse of exploited vulnerable signed drivers (Device) - Microsoft Configuration Manager 名稱:n/a
-
指南:
56a863a9-875e-4185-98a7-b882c64b5ce5 -
進階狩獵行動類型:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
- 相依性:無
注意事項
- 請使用以下網址將驅動程式提交給 Microsoft 進行分析: https://www.microsoft.com/wdsi/driversubmission。
- 為了進一步保護你的 Windows 裝置免受易受攻擊的驅動程式,你也應該實施以下額外的防護措施:
-
Microsoft 商業應用程式控制
- Windows 10 或更新版本。
- Windows Server 2016 或更新版本。
-
Microsoft Windows 易受攻擊驅動程式封鎖清單
- Windows 11 或更新版本。
- Windows Server 2019 (1809) 或之後
-
Microsoft AppLocker
- Windows 8.1 或更舊版本。
- Windows Server 2012 R2 或更舊版本。
-
Microsoft 商業應用程式控制
封鎖從 Windows 本機安全性授權子系統竊取認證
注意事項
如果您 啟用了 Local Security Authority (LSA) 保護 , (建議,並同時啟用 憑證守衛) :
- 這個 ASR 規則並非必須。
- ASR規則並未提供額外保護, (ASR規則和LSA保護的運作方式相似) 。
- 此 ASR 規則在 Microsoft Defender 入口網站的 Defender for Endpoint 管理設定中被歸類為不適用。
此 ASR 規則透過鎖定 LSASS) (地方安全機構子系統服務,有助於防止憑證竊取。 LSASS 會驗證在 Windows 電腦上登入的使用者。 通常,Windows 中的 憑證防護 會防止從 LSASS 中擷取憑證的嘗試。
許多流程會不必要地向 LSASS 查詢不必要的存取權限。 此行為會產生相當多的 ASR 規則雜訊,但不會阻擋功能。 例如,Google Chrome 更新會不必要地存取 LSASS,因為密碼是儲存在裝置上的 LSASS 中。 在裝置上啟用這個 ASR 規則會阻止 Chrome 更新存取 LSASS,但不會阻止 Chrome 更新。 這些 ASR 規則事件是好的,因為 Chrome 軟體更新程序不應該存取 LSASS。
關於通常在向 LSASS 進行程序呼叫時請求的權限類型,請參閱 程序安全與存取權限。
有些組織因為與自訂智慧卡驅動程式或其他載入 LSA 的程式相容性問題,無法啟用憑證守衛。 在這些情況下,攻擊者可以使用 Mimikatz 等工具,從 LSASS 抓取明文密碼和 NTLM 雜湊值。
如果你無法啟用 LSA 保護和/或憑證保護,你可以設定此規則來提供針對 的惡意軟體 lsass.exe的等效保護。
-
Microsoft Intune 名稱:
Block credential stealing from the Windows local security authority subsystem -
Microsoft Configuration Manager 名稱:
Block credential stealing from the Windows local security authority subsystem -
指南:
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -
進階狩獵行動類型:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
- 依賴性:Microsoft Defender 防毒軟體
注意事項
- 這個 ASR 規則不支援 警告 模式。
- 此 ASR 規則產生大量稽核事件,幾乎所有在 Block 模式下啟用時可安全忽略。 您可以選擇跳過稽核模式評估,直接進入區塊模式部署。 Microsoft 建議從一小部分裝置開始,逐步擴展以涵蓋其他設備。
- 此 ASR 規則會抑制友善程序的警示與用戶通知彈出視窗,並抑制重複封鎖行動。
- 此 ASR 規則阻擋 對 LSASS 程序記憶體的存取。 它不會阻止程序 執行。 當此 ASR 規則阻擋像
svchost.exe的程序時,表示該程序被阻擋存取 LSASS 程序記憶體。 你通常可以根據這個 ASR 規則安全地忽略這些程序的阻擋。 - 有些應用程式會列舉所有正在執行的程序,並嘗試以詳盡的權限開啟它們。 此 ASR 規則會拒絕應用程式的開放程序操作,並將細節記錄在 Windows 事件檢視器的安全日誌中。 這條規則可能會產生大量噪音。 如果你有個應用程式只是列舉 LSASS,但對功能沒有實質影響,就不需要把它加入排除清單。 此事件記錄項目本身不一定表示惡意威脅。
- 這個 ASR 規則在 Quest Dirsync 密碼同步上有問題。更多資訊請參見 Dirsync Password Sync 安裝 Windows Defender 時無法正常運作,錯誤:「VirtualAllocEx failed: 5」 (4253914) 。
- 此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
透過 WMI 事件訂閱封鎖持續性
這項 ASR 規則防止惡意軟體濫用 WMI 來取得裝置的持久化。
無檔案威脅會使用各種策略來保持隱藏,避免在檔案系統中被發現,並定期取得控制權。 某些威脅可能會濫用 WMI 存放庫和事件模型來保持隱藏。
-
Microsoft Intune 名稱:
Block persistence through WMI event subscription - Microsoft Configuration Manager 名稱:n/a
-
指南:
e6db77e5-3df2-4cf1-b95a-636979351e5b -
進階狩獵行動類型:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
- 相依性:Microsoft Defender 防毒軟體,RPC
注意事項
- 此規則在透過 Microsoft Intune 部署至 Windows Server 2012 R2 或 Windows Server 2016 並使用現代統一解決方案時不被支援。
- 如果你使用 Microsoft Configuration Manager,Microsoft 建議在進入封鎖模式前,先在稽核模式下對此 ASR 規則進行充分測試。 設定管理員 用戶端高度依賴 WMI。
- 此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
其他ASR規則
封鎖 Adobe Reader 使其無法建立子程序
此 ASR 規則透過阻擋 Adobe Reader 建立程序來防止攻擊。
惡意軟體可以下載並啟動有效載荷,並透過社交工程或漏洞利用突破 Adobe Reader。 透過阻擋 Adobe Reader 產生子程序,可以防止試圖利用 Adobe Reader 作為攻擊向量的惡意軟體擴散。
-
Microsoft Intune 名稱:
Block Adobe Reader from creating child processes - Microsoft Configuration Manager 名稱:n/a
-
指南:
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -
進階狩獵行動類型:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
- 依賴性:Microsoft Defender 防毒軟體
注意事項
- 此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
- 在封鎖或警告模式下,這條 ASR 規則在 Microsoft Defender 防毒軟體的雲端保護層級中還有額外要求:
- EDR 警示僅在裝置的雲端保護等級達到 高 plus 或 零容忍時才會產生。
- 只有當裝置的雲端保護等級達到高、高加或零容忍時,才會產生使用者通知彈出視窗。
封鎖所有 Office 應用程式使其無法建立子程序
此規則會封鎖 Office 應用程式,使其無法建立子程序。 Office 應用程式包括 Word、Excel、PowerPoint、OneNote 和 Access。
建立惡意子程序是常見的惡意程式碼策略。 濫用 Office 作為載體的惡意軟體常常會執行 VBA 巨集和漏洞程式碼,下載並嘗試執行更多有效載荷。 然而,一些合法的業務線應用程式也可能為無害目的產生子程序。 例如,產生命令提示字元或使用 PowerShell 來設定登錄檔設定。
-
Microsoft Intune 名稱:
Block all Office applications from creating child processes -
Microsoft Configuration Manager 名稱:
Block Office application from creating child processes -
指南:
d4f940ab-401b-4efc-aadc-ad5f3c50688a -
進階狩獵行動類型:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
- 依賴性:Microsoft Defender 防毒軟體
注意事項
此規則僅在 Office 安裝於 %ProgramFiles% or %ProgramFiles(x86)% 地點時執行 (預設 C:\Program FilesC:\Program Files (x86) 且) 。
封鎖來自電子郵件用戶端及網路郵件的可執行內容
此規則禁止以 Outlook、Outlook.com 及其他熱門網頁郵件服務Microsoft開啟的電子郵件傳播以下檔案類型:
可執行檔 (例如 .exe、.dll 或 .scr) 。
腳本檔案 (例如 .ps1、.vbs 或 .js) 。
封存檔案 (例如 .zip) 。
Microsoft Intune 名稱:
Block executable content from email client and webmailMicrosoft Configuration Manager 名稱:
Block executable content from email client and webmail指南:
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550進階狩獵行動類型:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
依賴性:Microsoft Defender 防毒軟體
注意事項
- 在封鎖或警告模式下,這條 ASR 規則在 Microsoft Defender 防毒軟體的雲端保護層級中還有額外要求:
- EDR 警示僅在裝置的雲端保護等級達到 高 plus 或 零容忍時才會產生。
- 只有當裝置的雲端保護等級達到高、高加或零容忍時,才會產生使用者通知彈出視窗。
- 此ASR規則有以下替代描述:
-
Intune (配置檔) :
Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions) -
設定管理員:
Block executable content download from email and webmail clients -
群組原則:
Block executable content from email client and webmail
-
Intune (配置檔) :
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行
提示
目前,由於已知的後端問題,這個 ASR 規則可能無法在 Intune ASR 政策設定中提供。 但該規則可透過其他可用的 ASR 政策設定方法,或在問題發生前建立的 Intune ASR 政策中取得。
此 ASR 規則阻止 (執行檔(例如 .exe、.dll 或 .scr)啟動) 。 啟動不受信任或未知的可執行檔風險很大,因為一開始還不清楚這些檔案是否惡意。
-
Microsoft Intune 名稱:
Block executable files from running unless they meet a prevalence, age, or trusted list criterion -
Microsoft Configuration Manager 名稱:
Block executable files from running unless they meet a prevalence, age, or trusted list criteria -
指南:
01443614-cd74-433a-b99e-2ecdc07bfc25 -
進階狩獵行動類型:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
- 依賴性:Microsoft Defender 防毒軟體、雲端防護
注意事項
- 要使用此 ASR 規則,您必須 啟用雲端提供保護。
- 你可以透過資料夾路徑或完全限定的資源名稱來指定個別檔案或資料夾。
- 此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
封鎖可能經過模糊化的指令碼的執行
此 ASR 規則能偵測混淆文字中的可疑屬性。
指令碼混淆是惡意程式碼作者和合法應用程式用來隱藏智慧財產權或減少指令碼載入時間的常見技巧。 惡意軟體作者也會利用混淆技術讓惡意程式碼更難被閱讀,這會阻礙人類與資安軟體的密切監控。
-
Microsoft Intune 名稱:
Block execution of potentially obfuscated scripts -
Microsoft Configuration Manager 名稱:
Block execution of potentially obfuscated scripts -
指南:
5beb7efe-fd9a-4556-801d-275e5ffc04cc -
進階狩獵行動類型:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
- 相依性:Microsoft Defender防毒軟體、反惡意軟體掃描介面 (AMSI) 、雲端保護
注意事項
- 要使用此 ASR 規則,您必須 啟用雲端提供保護。
- 此 ASR 規則支援 PowerShell 腳本。
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
此 ASR 規則防止腳本啟動潛在惡意下載內容。 以 JavaScript 或 VBScript 編寫的惡意軟體常作為下載器,從網路上擷取並啟動其他惡意軟體。 雖然不常見,但業務線上應用程式有時會使用腳本來下載和啟動安裝程式。
-
Microsoft Intune 名稱:
Block JavaScript or VBScript from launching downloaded executable content -
Microsoft Configuration Manager 名稱:
Block JavaScript or VBScript from launching downloaded executable content -
指南:
d3e037e1-3eb8-44c8-a917-57927947596d -
進階狩獵行動類型:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
- 相依性:Microsoft Defender防毒軟體、反惡意軟體掃描介面 (AMSI)
注意事項
此規則在透過 Microsoft Intune 部署至 Windows Server 2012 R2 或 Windows Server 2016 並使用現代統一解決方案時不被支援。
在封鎖或警告模式下,這條 ASR 規則在 Microsoft Defender 防毒軟體的雲端保護層級中還有額外要求:
- EDR 警示僅在裝置的雲端保護等級達到 高 plus 或 零容忍時才會產生。
- 只有當裝置的雲端保護等級達到高、高加或零容忍時,才會產生使用者通知彈出視窗。
封鎖 Office 應用程式使其無法建立可執行的內容
此 ASR 規則防止 Office 應用程式 (例如Word、Excel 和 PowerPoint) 被用作將惡意元件儲存到磁碟的載體。 這些惡意元件能在電腦重啟後存活並持續存在於系統中。 此規則透過以下方式防禦此持久化技術:
阻擋存取 (開啟/執行寫入磁碟的程式碼) 。
阻止由 Office 巨集儲存、允許在 Office 檔案中執行的不受信任檔案。
Microsoft Intune 名稱:
Block Office applications from creating executable contentMicrosoft Configuration Manager 名稱:
Block Office applications from creating executable content指南:
3b576869-a4ec-4529-8536-b80a7769e899進階狩獵行動類型:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
相依性:Microsoft Defender 防毒軟體,RPC
封鎖 Office 應用程式使其無法將程式碼插入其他程序
此 ASR 規則阻擋 Office 應用程式嘗試將程式碼注入其他程序。 攻擊者可能會嘗試使用 Office 應用程式,透過程式碼插入將惡意程式碼移轉至其他程序,因此程式碼可能會偽裝成全新程序。 使用程式碼插入沒有任何已知的合法商業目的。
-
Microsoft Intune 名稱:
Block Office applications from injecting code into other processes -
Microsoft Configuration Manager 名稱:
Block Office applications from injecting code into other processes -
指南:
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 -
進階狩獵行動類型:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
- 依賴性:Microsoft Defender 防毒軟體
注意事項
- 這個 ASR 規則不支援 警告 模式。
- 此 ASR 規則適用於 Word、Excel、OneNote 和 PowerPoint。
- 此 ASR 規則要求重新啟動 Office 應用程式) Microsoft 365 Apps (設定變更生效。
- 此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
- 此 ASR 規則與以下應用程式不相容:
- BeyondTrust 特權守護:更多資訊請參見 2024 年 9 月 (平台:4.18.24090.11 |引擎1.1.24090.11) 。
- 海姆達爾安全
- 此 ASR 規則僅在 Office 安裝於
%ProgramFiles%OR%ProgramFiles(x86)%地點時執行 (預設C:\Program FilesC:\Program Files (x86)且) 。
封鎖 Office 通訊應用程式使其無法建立子程序
此 ASR 規則阻止 Outlook 建立子程序,但仍允許合法的 Outlook 功能。 此ASR規則保護:
社交工程攻擊並防止程式碼濫用 Outlook 中的漏洞。
Outlook 規則和表單利用 了攻擊者在使用者憑證被盜時可用的漏洞。
Microsoft Intune 名稱:
Block Office communication application from creating child processesMicrosoft Configuration Manager 名稱:n/a
指南:
26190899-1602-49e8-8b27-eb1d0a1ce869進階狩獵行動類型:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
依賴性:Microsoft Defender 防毒軟體
注意事項
此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
此規則僅在 Office 安裝於 %ProgramFiles% or %ProgramFiles(x86)% 地點時執行 (預設 C:\Program FilesC:\Program Files (x86) 且) 。
封鎖源自 PSExec 與 WMI 命令的程序建立
重要事項
如果你使用 Microsoft Configuration Manager,請不要使用其他可用的部署方法來啟用此規則。 設定管理員 用戶端高度依賴 WMI。
此 ASR 規則阻止透過 PsExec 與 WMI 建立的程序執行。 PsExec 和 WMI 可以遠端執行程式碼。 惡意軟體可利用 PsExec 與 WMI 進行指揮與控制,或擴散網路感染。
-
Microsoft Intune 名稱:
Block process creations originating from PSExec and WMI commands - Microsoft Configuration Manager 名稱:n/a
-
指南:
d1e49aac-8f56-4280-b9ba-993a6d77406c -
進階狩獵行動類型:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
- 依賴性:Microsoft Defender 防毒軟體
注意事項
此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
在安全模式下封鎖重啟機器
此 ASR 規則防止常見濫用指令,如bcdeditbootcfg安全模式下重新啟動 Windows 電腦。 在安全模式下,許多安全產品會被停用或功能有限。 安全模式允許攻擊者進一步執行竄改指令,或執行並加密機器上的所有檔案。
安全模式仍可從 Windows 復原環境手動開啟。
-
Microsoft Intune 名稱:
Block rebooting machine in Safe Mode - Microsoft Configuration Manager 名稱:n/a
-
指南:
33ddedf1-c6e0-47cb-833e-de6133960387 -
進階狩獵行動類型:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
- 依賴性:Microsoft Defender 防毒軟體
注意事項
目前,Microsoft Defender 弱點管理尚未承認此規則。 攻擊 面縮減 (ASR) 規則報告 顯示此規則 不適用。
封鎖從 USB 執行的未受信任與未簽署程序
此 ASR 規則防止未簽署或不受信任的執行檔 (例如 .exe、.dll 或 .scr) 從 USB 可移動磁碟機(包括 SD 卡)執行。
這個 ASR 規則不會阻止檔案從 USB 隨身碟複製到硬碟。 它會阻止複製的檔案從磁碟執行。
-
Microsoft Intune 名稱:
Block untrusted and unsigned processes that run from USB -
Microsoft Configuration Manager 名稱:
Block untrusted and unsigned processes that run from USB -
指南:
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -
進階狩獵行動類型:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
- 依賴性:Microsoft Defender 防毒軟體
封鎖使用複製或冒充的系統工具
此 ASR 規則阻擋被識別為 Windows 系統工具複製品 (複製品或冒名頂替) 的執行檔傳播與使用。 有些惡意程式可能會嘗試複製或冒充 Windows 系統工具,以逃避偵測或取得權限。 允許此類可執行檔案可能導致潛在攻擊。
-
Microsoft Intune 名稱:
Block use of copied or impersonated system tools - Microsoft Configuration Manager 名稱:n/a
-
指南:
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -
進階狩獵行動類型:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
- 依賴性:Microsoft Defender 防毒軟體
注意事項
目前,Microsoft Defender 弱點管理尚未承認此規則。 攻擊 面縮減 (ASR) 規則報告 顯示此規則 不適用。
伺服器區塊 Webshell 建立
此 ASR 規則阻止在運行 Microsoft Exchange 的 Windows 伺服器上建立網頁殼腳本。 網頁殼腳本是一種精心設計的腳本,讓攻擊者能夠控制被入侵的伺服器。 網頁殼腳本可能包含以下功能:
接收並執行惡意指令。
下載並執行惡意檔案。
竊取並外洩憑證與敏感資訊。
識別潛在目標。
Microsoft Intune 名稱:
Block Webshell creation for ServersMicrosoft Configuration Manager 名稱:n/a
指南:
a8f5898e-1dc8-49a9-9878-85004b8a61e6進階狩獵行動類型:無資料
依賴性:Microsoft Defender 防毒軟體
注意事項
- 此規則在透過 Microsoft Intune 部署至 Windows Server 2012 R2 或 Windows Server 2016 並使用現代統一解決方案時不被支援。
- 如果你在 適用於端點的 Microsoft Defender 管理 ASR 規則,不要在 群組原則 或其他本地設定中設定這個 ASR, (保持值不變
Not Configured) 。 例如EnabledDisabled,任何其他值 (或) 都可能造成衝突,並阻礙規則正確適用。 - 目前,Microsoft Defender 弱點管理尚未承認此規則。 攻擊 面縮減 (ASR) 規則報告 顯示此規則 不適用。
封鎖來自 Office 巨集的 Win32 API 呼叫
Office Visual Basic for Applications (VBA) 啟用 Win32 API 呼叫。 此 ASR 規則阻止 VBA 巨集呼叫 Win32 API。 惡意程式碼可能會濫用此功能,例如呼叫 Win32 API 以啟動惡意 shellcode,而不需直接將任何內容寫入磁碟。
大多數組織不需要從 VBA 巨集呼叫 Win32 API 指令,即使他們以其他方式使用巨集。
-
Microsoft Intune 名稱:
Block Win32 API calls from Office macros -
Microsoft Configuration Manager 名稱:
Block Win32 API calls from Office macros -
指南:
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -
進階狩獵行動類型:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
- 相依性:Microsoft Defender防毒軟體、反惡意軟體掃描介面 (AMSI)
對惡意勒索軟體使用進階保護
注意事項
- 此規則在透過 Microsoft Intune 部署至 Windows Server 2012 R2 或 Windows Server 2016 並使用現代統一解決方案時不被支援。
- 此規則的排除支持有限。 詳情請參閱 ASR 規則的檔案與資料夾排除條款。
- 要使用此 ASR 規則,您必須 啟用雲端提供保護。
這項 ASR 規則為防範勒索軟體提供了額外的保護層。 它同時使用用戶端和雲端啟發式方法來判斷檔案是否類似勒索軟體。 此規則不會阻擋具有以下一項或多項特徵的檔案:
- 該檔案在 Microsoft 雲端中被發現無害。
- 檔案是有效的已簽署檔案。
- 檔案非常普遍,足以不將其視為勒索軟體。
這條規則不只是封鎖有不良聲譽的檔案。 相反地,該規則偏向謹慎,並且封鎖 尚未有良好聲譽的檔案。 通常,根據此規則,對無害且未知檔案的封鎖最終會自行解決。 隨著非問題使用量增加,檔案的聲譽與信任值會逐步增加。
如果對無害且未知檔案的封鎖無法及時解決,你可以設定 每個 ASR 規則的排除 ,或使用 Allow 動作作為 IoC) (的入侵指示 。
-
Microsoft Intune 名稱:
Use advanced protection against ransomware -
Microsoft Configuration Manager 名稱:
Use advanced protection against ransomware -
指南:
c1db55ab-c21a-4637-bb3f-a12568109d35 -
進階狩獵行動類型:
AsrRansomwareAuditedAsrRansomwareBlocked
- 依賴性:Microsoft Defender 防毒軟體、雲端防護