受攻擊面縮小規則示範
適用於:
- 適用於端點的 Microsoft Defender 方案 2
- 適用於企業的 Microsoft Defender
- 適用於端點的 Microsoft Defender 方案 1
- Microsoft Defender 防毒軟體
受攻擊面縮小規則會以惡意代碼和惡意應用程式通常用來感染計算機的特定行為為目標,例如:
- Office 應用程式或 Web 郵件中所使用的可執行檔案和腳本,嘗試下載或執行檔案
- 模糊化或可疑的腳本
- 應用程式在一般日常工作期間未起始的行為
案例需求和設定
- Windows 11,Windows 10 1709 組建 16273 或更新版本
- 具有統一 MDE 用戶端的 Windows Server 2022、Windows Server 2019、Windows Server 2016 或 Windows Server 2012 R2。
- Microsoft Defender 防毒軟體
- Microsoft 365 Apps (Office;Office 規則和範例)
- 下載受攻擊面縮小PowerShell腳本
PowerShell 命令
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
規則狀態
| 狀態 | Mode | 數值 |
|---|---|---|
| 已停用 | = 關閉 | 0 |
| Enabled | = 封鎖模式 | 1 |
| 稽核 | = 稽核模式 | 2 |
確認設定
Get-MpPreference
測試檔案
注意 - 某些測試檔案內嵌多個惡意探索,並觸發多個規則
| 規則名稱 | 規則 GUID |
|---|---|
| 封鎖來自電子郵件用戶端及網路郵件的可執行內容 | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| 封鎖 Office 應用程式建立子進程 | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| 封鎖 Office 應用程式使其無法建立可執行的內容 | 3B576869-A4EC-4529-8536-B80A7769E899 |
| 封鎖 Office 應用程式插入其他進程 | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| 阻礙 JavaScript 和 VBScript 啟動可執行檔 | D3E037E1-3EB8-44C8-A917-57927947596D |
| 封鎖可能經過模糊化的指令碼的執行 | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| 封鎖從 Office 中的宏程式代碼匯入 Win32 | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {封鎖源自 PSExec & WMI 命令的進程建立 | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| 封鎖卸除式 USB 媒體內未受信任或未簽署的可執行檔執行 | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| 主動勒索軟體防護 | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| 封鎖可執行檔執行,除非它們符合普遍性、存留期或受信任的清單準則 | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| 封鎖 Adobe Reader 使其無法建立子程序 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| 封鎖濫用惡意探索易受攻擊的已簽署驅動程式 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| 透過 WMI 事件訂閱封鎖持續性 | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| 封鎖建立伺服器的 WebShell | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
案例
安裝程式
下載並執行此 安裝文稿。 執行文稿之前,請先使用此 PowerShell 命令將執行原則設定為 Unrestricted:
Set-ExecutionPolicy Unrestricted
您可以改為執行下列手動步驟:
- Create c: named demo, “c:\demo” 下的資料夾
- 將這個 乾淨的檔案儲存 到 c:\demo 中。
- 使用 PowerShell 命令啟用所有規則。
案例 1:受攻擊面縮小會封鎖具有多個弱點的測試檔案
- 使用 PowerShell 命令啟用封鎖模式中的所有規則 (您可以複製貼上所有)
- 下載並開啟任何測試檔案/檔,並在出現提示時啟用編輯和內容。
案例 1 預期結果
您應該會立即看到「已封鎖動作」通知。
案例 2:ASR 規則會封鎖具有對應弱點的測試檔案
使用上一個步驟中的PowerShell命令來設定您想要測試的規則。
範例:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled下載並開啟您想要測試之規則的測試檔案/檔,並在出現提示時啟用編輯和內容。
範例: 封鎖 Office 應用程式建立子進程 D4F940AB-401B-4EFC-AADC-AD5F3C50688A
案例 2 預期結果
您應該會立即看到「已封鎖動作」通知。
案例 3 (Windows 10 或更新版本) :ASR 規則會封鎖未簽署的 USB 內容執行
- 設定 USB 保護 ()
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4的規則。
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- 下載檔案並將它放在 USB 磁碟驅動器上,然後執行它封鎖卸載式 USB 媒體內不受信任或未簽署的可執行檔執行
案例 3 預期結果
您應該會立即看到「已封鎖動作」通知。
案例 4:在沒有受攻擊面縮小的情況下會發生什麼事
使用清除區段中的PowerShell命令關閉所有受攻擊面縮小規則。
下載任何測試檔案/檔,並在出現提示時啟用編輯和內容。
案例 4 預期結果
- c:\demo 中的檔案已加密,您應該會收到警告訊息
- 再次執行測試檔案以解密檔案
清除
下載並執行此 清除腳本
或者,您可以執行下列手動步驟:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
執行加密/解密檔案來清除 c:\demo 加密
另請參閱
適用於端點的 Microsoft Defender - 示範案例
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。