本文提供適用於端點的 Microsoft Defender攻擊面減少規則 (ASR規則的資訊) :
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
提示
作為本文的配套,請參閱我們的 適用於端點的 Microsoft Defender 設定指南,以檢視最佳實務並學習攻擊面減少與次世代防護等重要工具。 若想根據您的環境客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Defender for Endpoint 自動設定指南。
必要條件
支援的作業系統
- Windows
按類型分類的攻擊面減少規則
攻擊面減少規則可分為兩種類型:
Standard 保護規則:這是 Microsoft 建議你在評估其他 ASR 規則效果與設定需求時,必須啟用的最低規則集。 這些規則通常對最終使用者影響極小甚至沒有明顯影響。
其他規則:要求遵守一定程度的部署步驟(計畫 > 測試 (稽核) > 啟用 (封鎖/警告模式) ),詳見 攻擊面減少規則部署指南。
欲了解啟用標準保護規則最簡單的方法,請參見 簡化標準保護選項。
| ASR 規則名稱 | 標準 protection 統治? |
其他 統治? |
|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | 是 | |
| 阻擋 Adobe Reader 建立子程序¹ | 是 | |
| 封鎖所有 Office 應用程式使其無法建立子程序 | 是 | |
| 阻擋從 Windows 本地安全權限子系統竊取憑證 (lsass.exe) ¹ ² | 是 | |
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | 是 | |
| 除非執行檔符合盛行率、年齡或可信清單的標準,否則阻止執行檔執行。 | 是 | |
| 封鎖可能經過模糊化的指令碼的執行 | 是 | |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | 是 | |
| 阻擋 Office 應用程式產生可執行內容¹ | 是 | |
| 阻擋 Office 應用程式將程式碼注入其他程序¹ ² | 是 | |
| 阻擋辦公室通訊應用程式建立子程序¹ | 是 | |
| 透過 WMI 事件訂閱封鎖持續性 | 是 | |
| 源自 PSExec 與 WMI 指令的區塊程序建立¹ | 是 | |
| 在安全模式下封鎖重啟機器 | 是 | |
| 封鎖從 USB 執行的未受信任與未簽署程序 | 是 | |
| 封鎖使用複製或冒充的系統工具 | 是 | |
| 伺服器區塊 Webshell 建立 | 是 | |
| 封鎖 Office 巨集的 Win32 API 呼叫 ⁴ | 是 | |
| 對惡意勒索軟體使用進階保護 | 是 |
¹ 這項 ASR 規則並未遵守 Microsoft Defender 防毒軟體的排除條款。 關於如何依規則設定 ASR 排除項的資訊,請參見 「配置攻擊面減少,依規則排除項設定」。
² 此 ASR 規則不承認檔案或憑證適用於端點的 Microsoft Defender IOC) (Indicators of Comfils 。
³ 目前,由於已知後端問題,此 ASR 規則可能無法在 Intune 攻擊面減少政策配置中提供。 但這條規則仍然存在,且可以透過其他方式取得。 例如,適用於端點的 Microsoft Defender安全設定管理、組態服務提供者 (CSP) 、Add-MpPreference,或在問題發生前建立的規則中現有Intune ASR政策設定。
⁴ 此ASR規則不承認適用於端點的 Microsoft Defender IOC憑證 () 的妥協指標。
ASR 規則支援作業系統
下表列出目前已釋出並正式發布的規則所支援的作業系統。 規則依字母順序排列於此表中。
注意事項
除非另有說明,最低Windows 10版本為 1709 (RS3,版本為 16299) 或更新;最低Windows Server版本為 1809 或更新版本。 Windows Server 2012 R2 與 Windows Server 2016 中的攻擊面減少規則,適用於使用現代統一解決方案套件的裝置。 欲了解更多資訊,請參閱現代統一解決方案中的新 Windows Server 2012 R2 與 2016 功能。
| 規則名稱 | Windows 10 與 11 | Windows Server 版本 1803、2019 及以後版本 | Windows Server 2016 與 2012 R2 |
|---|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | Y | Y Windows 10 1803 (半年一次企業頻道) 或更晚版本 |
Y |
| 封鎖 Adobe Reader 使其無法建立子程序 | Y Windows 10 版本 1809 或更新版本 |
Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | Y | Y | Y |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | Y Windows 10 版本 1803 或更新版本 |
Y | Y |
| 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | Y | Y | Y |
| 除非執行檔符合盛行率、年齡或可信清單的標準,否則阻止執行檔執行* | Y Windows 10 版本 1803 或更新版本 |
Y | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y | Y |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | Y | N |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | Y | Y | Y |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | Y | Y |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | Y | Y | Y |
| 透過 Windows Management Instrumentation (WMI) 事件訂閱來阻擋持久性 | Y Windows 10 1903年版本 (18362年) 或更晚版本 |
Y Windows 10 1903年版本 (18362年) 或更晚版本 |
N |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | Y Windows 10 版本 1803 或更新版本 |
Y | Y |
| 在安全模式下封鎖重啟機器 | Y | Y | Y |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y | Y |
| 封鎖使用複製或冒充的系統工具 | Y | Y | Y |
| 伺服器區塊 Webshell 建立 | N | Y 僅交換角色 |
僅 Windows Server 2016 Exchange 角色中的 Y N 在 Windows Server 2012 R2 上 |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | N | N |
| 對惡意勒索軟體使用進階保護 | Y Windows 10 版本 1803 或更新版本 |
Y | Y |
*目前,由於已知後端問題,此 ASR 規則可能無法在 Intune 攻擊面減少政策設定中提供。 但這條規則仍然存在,且可以透過其他方式取得。 例如,適用於端點的 Microsoft Defender安全設定管理、組態服務提供者 (CSP) 、Add-MpPreference,或在問題) 前建立的規則中現有的Intune ASR政策設定。
注意事項
- 關於 Windows Server 2012 R2 與 Windows Server 2016,請參見 Windows Server 2016 與 Windows Server 2012 R2。
- 如果你用的是 Configuration Manager,Microsoft Endpoint Configuration Manager 的最低要求版本是 2111。
ASR 規則支援的組態管理系統
下表列出此表格參考的組態管理系統版本相關資訊的連結。
| 規則名稱 | Microsoft Intune | Microsoft Endpoint Configuration Manager | 群組原則[1] | PowerShell[1] |
|---|---|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | Y | Y | Y | |
| 封鎖 Adobe Reader 使其無法建立子程序 | Y | Y | Y | |
| 封鎖所有 Office 應用程式使其無法建立子程序 | Y | Y 現行分支 (CB) 1710 |
Y | Y |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | Y | Y CB 1802 |
Y | Y |
| 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | Y | Y CB 1710 |
Y | |
| 除非執行檔符合盛行率、年齡或可信清單的標準,否則阻止執行檔執行* | Y | Y CB 1802 |
Y | Y |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y CB 1710 |
Y | Y |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | Y | Y CB 1710 |
Y | Y |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | Y | Y CB 1710 |
Y | Y |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | Y | Y CB 1710 |
Y | Y |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | Y | Y CB 1710 |
Y | Y |
| 透過 WMI 事件訂閱封鎖持續性 | Y | Y | Y | |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | Y | Y | Y | |
| 在安全模式下封鎖重啟機器 | Y | Y | Y | |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y CB 1802 |
Y | Y |
| 封鎖使用複製或冒充的系統工具 | Y | Y | Y | |
| 伺服器區塊 Webshell 建立 | Y | Y | Y | |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | Y | Y CB 1710 |
Y | Y |
| 對惡意勒索軟體使用進階保護 | Y | Y CB 1802 |
Y | Y |
(1) 您可以使用任何規則的 GUID,以規則為基礎設定受攻擊面縮小規則。
*目前,由於已知後端問題,此 ASR 規則可能無法在 Intune 攻擊面減少政策設定中提供。 但這條規則仍然存在,且可以透過其他方式取得。 例如,適用於端點的 Microsoft Defender安全設定管理、組態服務提供者 (CSP) 、Add-MpPreference,或在問題) 前建立的規則中現有的Intune ASR政策設定。
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM 現已成為 Microsoft Configuration Manager。
根據 ASR 規則警示與通知細節
封鎖模式的所有規則皆會產生快顯通知。 其他模式的規則不會產生吐司通知。
對於指定「規則狀態」的規則:
- ASR 規則的
\ASR Rule, Rule State\組合用於顯示適用於端點的 Microsoft Defender (僅針對設定在雲端區塊層High級的裝置) 的吐司通知。 - 沒有設定在雲端區塊層級
High的裝置,不會因為任何ASR Rule, Rule State組合而產生警報。 - 端點偵測與回應 (EDR) 警示會針對指定狀態下的ASR規則產生,針對設定在雲端區塊層級
High+的裝置。 - 吐司通知僅在區塊模式下發生,且裝置設於雲端區塊層級
High。
| 規則名稱 | 統治狀態 | EDR 警示 | 吐司通知 |
|---|---|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | N | Y | |
| 封鎖 Adobe Reader 使其無法建立子程序 | 封鎖 | Y | Y |
| 封鎖所有 Office 應用程式使其無法建立子程序 | N | Y | |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | N | N | |
| 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 | 審計或封鎖 | Y (處於區塊模式) N (處於審計模式) |
Y (處於區塊模式) |
| 除非執行檔符合盛行率、年齡或可信清單的標準,否則阻止執行檔執行* | N | Y | |
| 封鎖可能經過模糊化的指令碼的執行 | Y | Y (處於區塊模式) | |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | 封鎖 | Y | Y |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | N | Y | |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | N | Y | |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | N | Y | |
| 透過 WMI 事件訂閱封鎖持續性 | Y | Y (處於區塊模式) | |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | N | Y | |
| 在安全模式下封鎖重啟機器 | N | N | |
| 封鎖從 USB 執行的未受信任與未簽署程序 | Y | Y (處於區塊模式) | |
| 封鎖使用複製或冒充的系統工具 | N | Y (處於區塊模式) | |
| 伺服器區塊 Webshell 建立 | N | N | |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | N | Y | |
| 對惡意勒索軟體使用進階保護 | Y | Y (處於區塊模式) |
*目前,由於已知後端問題,此 ASR 規則可能無法在 Intune 攻擊面減少政策設定中提供。 但這條規則仍然存在,且可以透過其他方式取得。 例如,適用於端點的 Microsoft Defender安全設定管理、組態服務提供者 (CSP) 、Add-MpPreference,或在問題) 前建立的規則中現有的Intune ASR政策設定。
ASR 規則到 GUID 矩陣
| 規則名稱 | 規則 GUID |
|---|---|
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| 封鎖 Adobe Reader 使其無法建立子程序 | 7674ba52-37eb-4a4f-a9a1-f0F9A1619A2C |
| 封鎖所有 Office 應用程式使其無法建立子程序 | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 9e6c4e1f-7d60-472f-ba1a-a39ef669E4B2 |
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | BE9ba2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| 封鎖可能經過模糊化的指令碼的執行 | 5beb7efe-fd9a-4556-801d-275e5FFC04cc |
| 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 | d3E037E1-3eb8-44c8-a917-57927947596d |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | 3b576869-a4ec-4529-8536-b80a7769e899 |
| 封鎖 Office 應用程式使其無法將程式碼插入其他程序 | 75668C1F-73B5-4CF0-bb93-3ECF5CB7CC84 |
| 封鎖 Office 通訊應用程式使其無法建立子程序 | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| 透過 WMI 事件訂閱封鎖持續性 * 不支援檔案與資料夾排除功能。 |
e6db77e5-3df2-4CF1-B95A-636979351E5b |
| 封鎖源自 PSExec 與 WMI 命令的程序建立 | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| 在安全模式下封鎖重啟機器 | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| 封鎖從 USB 執行的未受信任與未簽署程序 | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| 封鎖使用複製或冒充的系統工具 | c0033C00-D16D-4114-A5A0-DC9B3A7D2CEB |
| 伺服器區塊 Webshell 建立 | A8F5898E-1DC8-49A9-9878-85004B8A61E6 |
| 封鎖來自 Office 巨集的 Win32 API 呼叫 | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDc7b |
| 對惡意勒索軟體使用進階保護 | C1db55ab-C21A-4637-bb3f-A12568109D35 |
*目前,由於已知後端問題,此 ASR 規則可能無法在 Intune 攻擊面減少政策設定中提供。 但這條規則仍然存在,且可以透過其他方式取得。 例如,適用於端點的 Microsoft Defender安全設定管理、組態服務提供者 (CSP) 、Add-MpPreference,或在問題) 前建立的規則中現有的Intune ASR政策設定。
ASR 規則模式
| 規則模式 | 代碼 | 描述 |
|---|---|---|
| 未設定 或 停用 | 0 | ASR 規則沒有啟用或是被停用。 |
| 封鎖 | 1 | ASR 規則在區塊模式下啟用。 |
| 稽核 | 2 | ASR 規則會評估在封鎖或警告模式下啟用時對環境的影響。 |
| 警告 | 6 | ASR 規則已啟用並向使用者發出通知,但使用者可以繞過封鎖。 |
警告 是一種封鎖機制,透過警告彈窗提醒使用者潛在的風險行為。 使用者可選擇 確定 來強制封鎖,或選擇 解除封鎖 以繞過封鎖,持續24小時內。 24 小時後,使用者需要再次允許封鎖。
ASR 規則的警告模式僅支援 Windows 10 1809 或更新版本。 舊版 Windows 10 若被指定為警告模式,實際上處於封鎖模式。
在 PowerShell 中,你可以在警告模式下透過指定 AttackSurfaceReductionRules_Actions 參數 Warn並設定 值 來建立 ASR 規則。 例如:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
每個規則描述
封鎖濫用惡意探索易受攻擊的已簽署驅動程式
注意事項
為了保護您的環境免受易受攻擊的駕駛人,您應該先實施以下方法:
- 對於 Windows 10 或更新版本、使用 Microsoft App Control for Business 的 Windows Server 2016 或更新版本,你應該預設封鎖所有驅動程式,只允許你認為必要且尚未被發現有漏洞的驅動程式。
- 對於 Windows 8.1 或更舊版本、Windows Server 2012 R2 或更舊版本,使用 Microsoft AppLocker,你應該預設封鎖所有驅動程式,只允許你認為必要且未被發現有漏洞的驅動程式。
- 對於 Windows 11 或更新版本,以及 Windows Server Core 1809 或更新版本,或 Windows Server 2019 或更新版本,你也應該啟用 Microsoft Windows 有漏洞驅動程式的封鎖清單。 接著,作為另一層防禦,你應該啟用這個攻擊面縮小規則。
此規則可防範應用程式將易受攻擊的已簽署驅動程式寫入磁碟。 在外, 擁有足夠權限 的本地應用程式可利用易受攻擊的簽署驅動程式來取得核心存取權。 易受攻擊的已簽署驅動程式可讓攻擊者停用或規避安全性解決方案,最終導致系統洩露。
「封鎖被利用的漏洞簽署驅動程式濫用」規則並不會阻止系統上已存在的驅動程式被載入。
注意事項
你可以用 Intune OMA-URI 來設定這個規則。 請參閱 Intune OMA-URI 來設定自訂規則。 您也可以使用 PowerShell 來設定此規則。 若要檢查驅動程式,請使用此網站來提交驅動程式以進行分析。
Intune 名稱:Block abuse of exploited vulnerable signed drivers
Configuration Manager 名稱:尚無法使用
GUID:56a863a9-875e-4185-98a7-b882c64b5ce5
進階搜捕動作類型:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
封鎖 Adobe Reader 使其無法建立子程序
此規則會透過封鎖 Adobe Reader 使其無法建立程序來防範攻擊。
惡意軟體可以下載並啟動有效載荷,並透過社交工程或漏洞利用突破 Adobe Reader。 透過阻擋 Adobe Reader 產生子程序,可以防止試圖利用 Adobe Reader 作為攻擊途徑的惡意軟體擴散。
Intune 名稱:Process creation from Adobe Reader (beta)
Configuration Manager 名稱:尚無法使用
GUID:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
進階搜捕動作類型:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
依賴性:Microsoft Defender 防毒軟體
封鎖所有 Office 應用程式使其無法建立子程序
此規則會封鎖 Office 應用程式,使其無法建立子程序。 Office 應用程式包括 Word、Excel、PowerPoint、OneNote 和 Access。
建立惡意子程序是常見的惡意程式碼策略。 濫用 Office 作為載體的惡意軟體常常會執行 VBA 巨集和漏洞程式碼,下載並嘗試執行更多有效載荷。 然而,一些合法的業務線應用程式也可能為無害目的產生子程序。 例如,產生命令提示字元或使用 PowerShell 來設定登錄檔設定。
Intune 名稱:Office apps launching child processes
Configuration Manager 名稱:Block Office application from creating child processes
GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a
進階搜捕動作類型:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
依賴性:Microsoft Defender 防毒軟體
封鎖從 Windows 本機安全性授權子系統竊取認證
注意事項
如果你啟用 了 LSA 保護 ,這個攻擊面減少規則就不是必須的。 為了更安全,我們也建議啟用帶有 LSA 保護的 Credential Guard 。
若啟用 LSA 保護,則在 Microsoft Defender 入口網站的 Defender for Endpoint 管理設定中,ASR 規則被歸類為不適用。
此規則會透過鎖定本機安全性授權子系統服務 (LSASS),協助防範認證竊取。
LSASS 會驗證在 Windows 電腦上登入的使用者。 Windows 中的憑證守護通常會阻止從 LSASS 擷取憑證的嘗試。 有些組織無法在所有電腦上啟用憑證守衛,因為與自訂智慧卡驅動程式或其他載入地方安全管理局 (LSA) 的程式相容性問題。 在這些情況下,攻擊者可以使用 Mimikatz 等工具,從 LSASS 抓取明文密碼和 NTLM 雜湊值。
預設情況下,此規則的狀態為 未設定 (停用) 。 在大多數情況下,許多程序會向 LSASS 查詢不必要的存取權限。 例如,當 ASR 規則的初始阻擋導致後續呼叫較低權限並成功時。 關於通常在向 LSASS 進行程序呼叫時請求的權限類型,請參閱 程序安全與存取權限。
啟用此規則並不會提供額外保護,因為 ASR 規則和 LSA 保護的運作方式相似。 不過,如果你無法啟用 LSA 保護,你可以設定此規則來提供針對 的惡意軟體 lsass.exe等效保護。
提示
- ASR 審計事件不會產生吐司通知。 LSASS ASR 規則會產生大量稽核事件,當該規則在區塊模式下啟用時,幾乎所有事件都可以被忽略。 您可以選擇跳過稽核模式評估,直接進入區塊模式部署。 我們建議先從一小組裝置開始,逐步擴展到其他部分。
- 此規則旨在抑制友善程序的封鎖報告/吐司。 它同時設計用來對重複區塊進行檢舉。 因此,無論吐司通知是啟用還是關閉,這條規則都非常適合在區塊模式下啟用。
- ASR 的警告模式設計用來向使用者展示包含「解除封鎖」按鈕的封鎖吐司通知。 由於 LSASS ASR 區塊的「安全可忽略」特性及其大容量,無論) (開啟或關閉吐司通知,都不建議使用 WARN 模式。
- 此規則旨在阻止程序存取 LSASS.EXE 程序記憶體。 它不會阻止他們逃跑。 如果你看到像 svchost.exe 這樣的程序被阻擋,那只是阻擋存取 LSASS 的程序記憶體。 因此,svchost.exe 及其他程序可以被安全忽略。 唯一的例外出現在以下已知問題中。
注意事項
在此情境中,ASR 規則在 Microsoft Defender 入口網站的 Defender for Endpoint 設定中被歸類為「不適用」。
Windows 本地安全權限子系統 ASR 規則的 Block 憑證竊取 不支援警告模式。
在某些應用程式中,程式碼會列舉所有執行中的程序,並嘗試使用完整權限開啟它們。 此規則會拒絕應用程式的程序開啟動作,並且將詳細資料記錄到安全性事件記錄。 這條規則可能會產生大量噪音。 如果你有個應用程式只是列舉 LSASS,但對功能沒有實質影響,就不需要把它加入排除清單。 此事件記錄項目本身不一定表示惡意威脅。
Intune 名稱:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager 名稱:Block credential stealing from the Windows local security authority subsystem
GUID:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
進階搜捕動作類型:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
依賴性:Microsoft Defender 防毒軟體
已知問題:這些應用程式與「阻擋 Windows 本地安全權限子系統的憑證竊取」規則不相容:
| 應用程式名稱 | 資訊來源 |
|---|---|
| Quest Dirsync 密碼同步 | 安裝 Windows Defender 時 Dirsync 密碼同步無法運作,錯誤訊息:「VirtualAllocEx 失敗:5」 (4253914) |
如需技術支援,請聯絡軟體發行商。
封鎖來自電子郵件用戶端及網路郵件的可執行內容
此規則阻止Microsoft Outlook應用程式或 Outlook.com 及其他熱門網頁郵件服務商開啟的電子郵件傳播以下檔案類型:
可執行檔 (例如 .exe、.dll 或 .scr)
腳本檔案 (如 PowerShell.ps1、Visual Basic .vbs 或 JavaScript .js 檔案)
封存 檔案 (如 .zip 等)
Intune 名稱:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager 名稱:Block executable content from email client and webmail
GUID:be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
進階搜捕動作類型:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
依賴性:Microsoft Defender 防毒軟體
注意事項
視您使用的應用程式而定,規則封鎖來自電子郵件用戶端和 Web 郵件的可執行內容有下列替代描述:
- Intune (組態設定檔):執行從電子郵件 (Web 郵件/郵件用戶端) 捨棄的可執行內容 (exe、dll、ps、js、vbs 等) (無例外狀況)。
- Configuration Manager:阻止從電子郵件和網頁郵件用戶端下載可執行內容。
- 群組原則:封鎖來自電子郵件用戶端和 Web 郵件的可執行內容。
除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行
提示
*目前,由於已知後端問題,此 ASR 規則可能無法在 Intune 攻擊面減少政策設定中提供。 但這條規則仍然存在,且可以透過其他方式取得。 例如,適用於端點的 Microsoft Defender安全設定管理、組態服務提供者 (CSP) 、Add-MpPreference,或在問題) 前建立的規則中現有的Intune ASR政策設定。
此規則封鎖了可執行檔 (例如 .exe, .dll, 或 .scr) 的啟動。 因此,啟動未受信任或未知的可執行檔可能有風險,因為一開始可能無法清楚得知檔案是否為惡意。
重要事項
您必須啟用雲端提供的保護,才能使用此規則。 此規則使用雲端提供的保護,以定期更新其信任清單。 你可以透過資料夾路徑或完全限定的資源名稱來指定個別檔案或資料夾。 它也支援 ASROnlyPerRuleExclusions 設定。
Intune 名稱:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager 名稱:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID:01443614-cd74-433a-b99e-2ecdc07bfc25
進階搜捕動作類型:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
依賴性:Microsoft Defender 防毒軟體、雲端防護
封鎖可能經過模糊化的指令碼的執行
此規則會偵測模糊化指令碼內的可疑屬性。
注意事項
PowerShell 腳本現在已支援「封鎖可能混淆腳本執行」規則。
重要事項
您必須啟用雲端提供的保護,才能使用此規則。
指令碼混淆是惡意程式碼作者和合法應用程式用來隱藏智慧財產權或減少指令碼載入時間的常見技巧。 惡意軟體作者也會利用混淆技術讓惡意程式碼更難被閱讀,這會阻礙人類與資安軟體的密切監控。
Intune 名稱:Obfuscated js/vbs/ps/macro code
Configuration Manager 名稱:Block execution of potentially obfuscated scripts
GUID:5beb7efe-fd9a-4556-801d-275e5ffc04cc
進階搜捕動作類型:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
相依性:Microsoft Defender 防毒軟體、反惡意軟體掃描介面 (AMSI) 、雲端保護
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
此規則可防範指令碼啟動潛在惡意的下載內容。 以 JavaScript 或 VBScript 撰寫的惡意程式碼通常會做為下載程式,以從網際網路擷取並啟動其他惡意程式碼。 雖然不常見,但企業營運應用程式有時會使用指令碼來下載和啟動安裝程式。
Intune 名稱:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager 名稱:Block JavaScript or VBScript from launching downloaded executable content
GUID:d3e037e1-3eb8-44c8-a917-57927947596d
進階搜捕動作類型:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
依賴性:Microsoft Defender 防毒軟體,AMSI
封鎖 Office 應用程式使其無法建立可執行的內容
此規則防止 Office 應用程式(包括 Word、Excel 和 PowerPoint)被用作惡意程式碼在磁碟上持久化的載體。 濫用 Office 作為傳播媒介的惡意軟體可能會嘗試將惡意元件儲存到硬碟中,讓這些元件在電腦重啟後仍能存活並持續存在。 此規則透過阻擋存取 (開啟/) 執行寫入磁碟的程式碼來防禦此持久化技術。 此規則同時阻止執行可能由允許在 Office 檔案中執行的 Office 巨集儲存的不受信任檔案。
Intune 名稱:Office apps/macros creating executable content
Configuration Manager 名稱:Block Office applications from creating executable content
GUID:3b576869-a4ec-4529-8536-b80a7769e899
進階搜捕動作類型:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
相依性:Microsoft Defender 防毒軟體,RPC
封鎖 Office 應用程式使其無法將程式碼插入其他程序
此規則會封鎖從 Office 應用程式插入程式碼到其他程式碼的嘗試。
注意事項
ASR 規則中,阻止程式碼注入其他程序的應用程式不支援 WARN 模式。
重要事項
此規則要求重新啟動 Microsoft 365 Apps (Office 應用程式) ,設定變更才會生效。
攻擊者可能會嘗試使用 Office 應用程式,透過程式碼插入將惡意程式碼移轉至其他程序,因此程式碼可能會偽裝成全新程序。 使用程式碼插入沒有任何已知的合法商業目的。
此規則適用於 Word、Excel、OneNote 和 PowerPoint。
Intune 名稱:Office apps injecting code into other processes (no exceptions)
Configuration Manager 名稱:Block Office applications from injecting code into other processes
GUID:75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
進階搜捕動作類型:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
依賴性:Microsoft Defender 防毒軟體
已知問題:這些應用程式與「阻止 Office 應用程式將程式碼注入其他程序」的規則不相容:
| 應用程式名稱 | 資訊來源 |
|---|---|
| Avecto (超越信任) 特權守護 | 2024年9月 (平台:4.18.24090.11 |引擎1.1.24090.11) 。 |
| 海姆達爾安全 | 不適用 |
如需技術支援,請聯絡軟體發行商。
封鎖 Office 通訊應用程式使其無法建立子程序
此規則可防範 Outlook 建立子程序,同時仍允許合法的 Outlook 功能。 此規則可防範社交工程攻擊,並防範惡意探索程式碼濫用 Outlook 中的弱點。 它也可防範使用者的認證遭到入侵時,攻擊者可以使用的 Outlook 規則和表單惡意探索。
Intune 名稱:Process creation from Office communication products (beta)
Configuration Manager 名稱:無法使用
GUID:26190899-1602-49e8-8b27-eb1d0a1ce869
進階搜捕動作類型:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
依賴性:Microsoft Defender 防毒軟體
透過 WMI 事件訂閱封鎖持續性
此規則可防範惡意程式碼濫用 WMI,以獲得裝置上的持續性。
無檔案威脅會採用各種策略來保持隱藏,以避免在檔案系統中顯示,以及取得定期執行控制。 某些威脅可能會濫用 WMI 存放庫和事件模型來保持隱藏。
注意事項
如果您正在使用 Configuration Manager (CM,前稱 MEMCM 或 SCCM) 搭配 CcmExec.exe (SCCM Agent) ,建議至少以審計模式運行 60 天。
一旦準備切換到區塊模式,請確保部署適當的 ASR 規則,並考慮必要的規則排除。
Intune 名稱:Persistence through WMI event subscription
Configuration Manager 名稱:無法使用
GUID:e6db77e5-3df2-4cf1-b95a-636979351e5b
進階搜捕動作類型:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
相依性:Microsoft Defender 防毒軟體,RPC
封鎖源自 PSExec 與 WMI 命令的程序建立
此規則會封鎖透過 PsExec 和 WMI 建立的程序執行。 PsExec 和 WMI 都能遠端執行程式碼。 惡意軟體有可能濫用 PsExec 和 WMI 的功能來進行指揮與控制,或在整個組織網路中傳播感染。
警告
只有在使用 Intune 或其他 MDM 解決方案管理裝置時,才使用此規則。 此規則與透過 Microsoft Endpoint Configuration Manager 的管理不相容,因為此規則會封鎖 Configuration Manager 用戶端用來正確運作的 WMI 命令。
Intune 名稱:Process creation from PSExec and WMI commands
Configuration Manager 名稱:不適用
GUID:d1e49aac-8f56-4280-b9ba-993a6d77406c
進階搜捕動作類型:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
依賴性:Microsoft Defender 防毒軟體
在安全模式下封鎖重啟機器
此規則禁止在安全模式下執行某些重新啟動機器的指令。 在安全模式下,許多安全產品會被停用或只能有限度運作。 此效果允許攻擊者繼續執行篡改指令,或執行並加密機器上的所有檔案。 此規則防止濫用安全模式,防止常被濫用的指令,例如bcdeditbootcfg在安全模式下重新啟動機器。 安全模式仍可從 Windows 復原環境手動進入。
Intune 名稱:Block rebooting machine in Safe Mode
Configuration Manager 名稱:尚無法使用
GUID:33ddedf1-c6e0-47cb-833e-de6133960387
進階搜捕動作類型:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
依賴性:Microsoft Defender 防毒軟體
注意事項
目前,威脅與漏洞管理部門尚未承認此規則,因此攻擊面減少規則報告顯示為「不適用」。
封鎖從 USB 執行的未受信任與未簽署程序
系統管理員可以使用此規則,來防範未簽署或未受信任的可執行檔從 USB 卸除式磁碟機 (包括 SD 記憶卡) 執行。 封鎖的檔案類型包括可執行檔 (例如 .exe、.dll 或 .scr)
重要事項
此規則會阻止從 USB 複製到磁碟機的檔案,當檔案即將在磁碟機上執行時。
Intune 名稱:Untrusted and unsigned processes that run from USB
Configuration Manager 名稱:Block untrusted and unsigned processes that run from USB
GUID:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
進階搜捕動作類型:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
依賴性:Microsoft Defender 防毒軟體
封鎖使用複製或冒充的系統工具
此規則禁止使用被識別為 Windows 系統工具副本的執行檔。 這些檔案要麼是原始系統工具的複製品,要麼是冒牌貨。 有些惡意程式可能會嘗試複製或冒充 Windows 系統工具,以逃避偵測或取得權限。 允許此類可執行檔案可能導致潛在攻擊。 此規則防止系統工具的重複與冒名頂替在 Windows 機器上傳播與執行。
Intune 名稱:Block use of copied or impersonated system tools
Configuration Manager 名稱:尚無法使用
GUID:c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
進階搜捕動作類型:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
依賴性:Microsoft Defender 防毒軟體
注意事項
目前,威脅與漏洞管理部門尚未承認此規則,因此攻擊面減少規則報告顯示為「不適用」。
伺服器區塊 Webshell 建立
此規則阻擋在 Microsoft Server Exchange 角色中建立網頁殼腳本。 網頁殼腳本是一種精心設計的腳本,讓攻擊者能夠控制被入侵的伺服器。
網頁殼可能包含接收與執行惡意指令、下載與執行惡意檔案、竊取及外洩憑證及敏感資訊,以及識別潛在目標等功能。
Intune 名稱:Block Webshell creation for Servers
GUID:a8f5898e-1dc8-49a9-9878-85004b8a61e6
依賴性:Microsoft Defender 防毒軟體
注意事項
當你使用 適用於端點的 Microsoft Defender 安全設定管理管理 ASR 規則時,你需要像群組原則或其他本地設定一樣設定「為伺服器Not Configured建立 Block Webshell」設定。 若此規則被設定為其他值 (,如 Enabled) Disabled ,可能會造成衝突,並阻礙政策透過安全設定管理正確套用。
目前,威脅與漏洞管理部門尚未承認此規則,因此攻擊面減少規則報告顯示為「不適用」。
封鎖來自 Office 巨集的 Win32 API 呼叫
此規則可防範 VBA 巨集呼叫 Win32 API。 Office VBA 可啟用 Win32 API 呼叫。 惡意程式碼可能會濫用此功能,例如呼叫 Win32 API 以啟動惡意 shellcode,而不需直接將任何內容寫入磁碟。 大部分組織的日常運作中不依賴於呼叫 Win32 API 的能力,即使他們以其他方式使用巨集也一樣。
Intune 名稱:Win32 imports from Office macro code
Configuration Manager 名稱:Block Win32 API calls from Office macros
GUID:92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
進階搜捕動作類型:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
依賴性:Microsoft Defender 防毒軟體,AMSI
對惡意勒索軟體使用進階保護
此規則可提供一層額外的保護,以防範勒索軟體。 它同時使用用戶端和雲端啟發式方法來判斷檔案是否類似勒索軟體。 此規則不會阻擋具有以下一項或多項特徵的檔案:
- 該檔案在 Microsoft 雲端中被發現無害。
- 檔案是有效的已簽署檔案。
- 檔案非常普遍,足以不將其視為勒索軟體。
規則通常會寧願過於謹慎也不要冒險犯錯,以防範勒索軟體。
注意事項
您必須啟用雲端提供的保護,才能使用此規則。
Intune 名稱:Advanced ransomware protection
Configuration Manager 名稱:Use advanced protection against ransomware
GUID:c1db55ab-c21a-4637-bb3f-a12568109d35
進階搜捕動作類型:
AsrRansomwareAuditedAsrRansomwareBlocked
依賴性:Microsoft Defender 防毒軟體、雲端防護