Henvisning til regler for reduktion af angrebsoverflade

  • Gælder for: Microsoft Defender for Endpoint Plan 2

ASR-regler (Attack surface reduction) er målrettet risikable softwarefunktioner på Windows-enheder, som hackere ofte udnytter via malware (f.eks. lancering af scripts, der downloader filer, kørsel af slørede scripts og indsætning af kode i andre processer). Du kan få flere oplysninger om ASR-regler under Oversigt over ASR-regler (Attack surface reduction).

Denne artikel er en teknisk reference til ASR-regler, der indeholder følgende oplysninger:

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Understøttelse af asr-regler i operativsystemet

ASR-regler er en Microsoft Defender Antivirus-funktion, der er tilgængelig i alle udgaver af Windows, der indeholder Microsoft Defender Antivirus (f.eks. Windows 11 Home). Du kan konfigurere ASR-regler lokalt ved hjælp af PowerShell eller Gruppepolitik.

I følgende tabel beskrives operativsystemets understøttelse af ASR-regler i Microsoft Defender for Endpoint, som giver central administration, rapportering og besked via Microsoft Intune, Microsoft Configuration Manager og Microsoft Defender portal:

Regelnavn Windows 11 eller nyere Windows 10 Windows Server 2019 eller nyere Windows Server 2016* Windows Server 2012 R2*
Standard beskyttelsesregler
Bloker misbrug af udnyttede sårbare signerede drivere (enhed) Y 1709 eller nyere Y Windows Server 1803 (SAC) eller nyere Y
Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed Y 1803 eller nyere Y Y Y
Bloker vedholdenhed via WMI-hændelsesabonnement Y 1903 eller nyere Windows Server 1903 (SAC) eller nyere N N
Andre ASR-regler
Bloker Adobe Reader fra at oprette underordnede processer Y 1809 eller nyere Y Y Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Y 1709 eller nyere Y Y Y
Bloker eksekverbart indhold fra mailklient og webmail Y 1709 eller nyere Y Y Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til Y 1803 eller nyere Y Y Y
Bloker udførelse af potentielt slørede scripts Y 1709 eller nyere Y Y Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Y 1709 eller nyere Y N N
Bloker Office-programmer fra at oprette eksekverbart indhold Y 1709 eller nyere Y Y Y
Bloker Office-programmer fra at indsætte kode i andre processer Y 1709 eller nyere Y Y Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer Y 1709 eller nyere Y Y Y
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI Y 1803 eller nyere Y Y Y
Bloker genstart af computeren i fejlsikret tilstand Y 1709 eller nyere Y Y Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Y 1709 eller nyere Y Y Y
Bloker brugen af kopierede eller repræsenterede systemværktøjer Y 1709 eller nyere Y Y Y
Bloker oprettelse af Webshell for servere ikke tilgængelig ikke tilgængelig Kun Exchange-servere Kun Exchange-servere N
Bloker Win32 API-kald fra Office-makroer Y 1709 eller nyere ikke tilgængelig ikke tilgængelig ikke tilgængelig
Brug avanceret beskyttelse mod ransomware Y 1803 eller nyere Y Y Y

*Understøttede ASR-regler i Windows Server 2016 og Windows Server 2012 R2 kræver onboarding ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny Windows Server 2012 R2- og 2016-funktionalitet i den moderne samlede løsning.

Understøttelse af installationsmetode for ASR-regler

Selvom Defender for Endpoint understøtter ASR-regler, skal du bruge en separat tjeneste for at installere reglerne på enheder. De understøttede metoder til installation af ASR-regler er beskrevet i følgende tabel.

Regelnavn Intune Konfigurationsstyring MDM CSP Centraliserede Gruppepolitik
Standard beskyttelsesregler
Bloker misbrug af udnyttede sårbare signerede drivere (enhed) Y N Y Y
Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed Y 1802 eller nyere Y Y
Bloker vedholdenhed via WMI-hændelsesabonnement Y N Y Y
Andre ASR-regler
Bloker Adobe Reader fra at oprette underordnede processer Y N Y Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Y 1710 eller nyere Y Y
Bloker eksekverbart indhold fra mailklient og webmail Y 1710 eller nyere Y Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til[1] Y 1802 eller nyere Y Y
Bloker udførelse af potentielt slørede scripts Y 1710 eller nyere Y Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Y 1710 eller nyere Y Y
Bloker Office-programmer fra at oprette eksekverbart indhold Y 1710 eller nyere Y Y
Bloker Office-programmer fra at indsætte kode i andre processer Y 1710 eller nyere Y Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer Y N Y Y
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI Y N Y Y
Bloker genstart af computeren i fejlsikret tilstand Y N Y Y
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Y 1802 eller nyere Y Y
Bloker brugen af kopierede eller repræsenterede systemværktøjer Y N Y Y
Bloker oprettelse af Webshell for servere Y N Y Y
Bloker Win32 API-kald fra Office-makroer Y 1710 eller nyere Y Y
Brug avanceret beskyttelse mod ransomware Y 1802 eller nyere Y Y

Tip

Du kan også konfigurere ASR-regler lokalt på individuelle enheder ved hjælp af Gruppepolitik eller PowerShell. Alle ASR-regler understøttes af begge metoder på lokale enheder.

1 I øjeblikket er denne ASR-regel muligvis ikke tilgængelig i Intune ASR-politikkonfiguration på grund af et kendt backend-problem. Men reglen er tilgængelig via de andre tilgængelige konfigurationsmetoder for ASR-politikker eller i eksisterende Intune ASR-politikker, der blev oprettet før problemet.

Beskeder og meddelelser fra asr-regelhandlinger

I følgende tabel beskrives de organisationsbeskeder og lokale beskeder, som aktive ASR-regler kan generere.

  • Værdien for EDR-beskeder angiver, om ASR-reglen i blok- eller advarselstilstand genererer EDR-beskeder (Endpoint Detection and Response) i Defender for Endpoint.
  • Værdien for Brugermeddelelser angiver, om ASR-reglen understøtter pop op-vinduet med brugermeddelelser i tilstanden Bloker eller Advar (hvis reglen understøtter Advarsel-tilstand ).
Regelnavn EDR-beskeder Bruger
Meddelelser
Standard beskyttelsesregler
Bloker misbrug af udnyttede sårbare signerede drivere (enhed) N Y
Bloker registrering af legitimationsoplysninger fra det lokale windows-sikkerhedsmyndighedsundersystem[¹] N N
Bloker vedholdenhed via WMI-hændelsesabonnement Y Y
Andre ASR-regler
Bloker Adobe Reader fra at oprette underordnede processer[²] Y Y
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer N Y
Bloker eksekverbart indhold fra mailklient og webmail[²] Y Y
Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til N Y
Bloker udførelse af potentielt slørede scripts Y Y
Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold[²] Y Y
Bloker Office-programmer fra at oprette eksekverbart indhold N Y
Bloker Office-programmer fra at indsætte kode i andre processer[¹] N Y
Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer N Y
Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI N Y
Bloker genstart af computeren i fejlsikret tilstand N N
Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Y Y
Bloker brugen af kopierede eller repræsenterede systemværktøjer N Y
Bloker oprettelse af Webshell for servere N N
Bloker Win32 API-kald fra Office-makroer Y N
Brug avanceret beskyttelse mod ransomware Y Y

¹ Denne ASR-regel understøtter ikke Advarselstilstand .

² Denne ASR-regel i blok- eller advarselstilstand har følgende ekstra krav til niveauet for beskyttelse i skyen i Microsoft Defender Antivirus:

  • EDR-beskeder genereres kun, når skybeskyttelsesniveauet på enheden er Høj plus - eller Nultolerance.
  • Pop op-vinduet med brugermeddelelser genereres kun, når skybeskyttelsesniveauet på enheden er høj, høj plus eller nultolerance.

Oplysninger om ASR-regel

Standard beskyttelsesregler

Bloker misbrug af udnyttede sårbare signerede drivere (enhed)

Lokale apps med tilstrækkelige rettigheder kan udnytte sårbare signerede drivere til at få adgang til operativsystemkernen. Sårbare signerede drivere gør det muligt for angribere at deaktivere eller omgå sikkerhedsløsninger, hvilket i sidste ende fører til, at systemet kompromitteres.

Denne ASR-regel forhindrer, at apps gemmer sårbare signerede drivere på computeren. Det forhindrer ikke indlæsning af eksisterende drivere, der allerede findes på computeren.

  • Microsoft Intune navn:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager navn: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Avanceret jagthandlingstype:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Afhængigheder: Ingen

Bemærk!

Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed

Bemærk!

Hvis du har aktiveret LSA-beskyttelse (Local Security Authority) (anbefales sammen med Credential Guard):

  • Denne ASR-regel er ikke påkrævet.
  • Denne ASR-regel giver ikke ekstra beskyttelse (ASR-reglen og LSA-beskyttelse fungerer på samme måde).
  • Denne ASR-regel er klassificeret som ikke tilgængelig i indstillingerne for administration af slutpunkter i Microsoft Defender-portalen.

Denne ASR-regel hjælper med at forhindre tyveri af legitimationsoplysninger ved at låse LSASS (Local Security Authority Subsystem Service) nede. LSASS godkender brugere, der logger på Windows-computere. Credential Guard i Windows forhindrer typisk forsøg på at udtrække legitimationsoplysninger fra LSASS.

Mange processer foretager unødvendige kald til LSASS for at få adgangsrettigheder, der ikke er nødvendige. Denne aktivitet genererer betydelig asr-regelstøj, men blokerer ikke funktionaliteten. Google Chrome-opdateringer giver f.eks. unødvendigt adgang til LSASS, fordi adgangskoder er gemt i LSASS på enheden. Aktivering af denne ASR-regel på enheden blokerer Chrome-opdateringer fra at få adgang til LSASS, men blokerer ikke Chrome fra opdatering. Disse ASR-regelhændelser er gode, fordi Chrome-softwareopdateringsprocessen ikke skal have adgang til LSASS.

Du kan finde oplysninger om de typer rettigheder, der typisk anmodes om ved proceskald til LSASS, under Processikkerhed og adgangsrettigheder.

Nogle organisationer kan ikke aktivere Credential Guard på grund af kompatibilitetsproblemer med brugerdefinerede chipkortdrivere eller andre programmer, der indlæses i LSA. I disse tilfælde kan hackere bruge værktøjer som Mimikatz til at skrabe cleartext-adgangskoder og NTLM-hashen fra LSASS.

Hvis du ikke kan aktivere LSA-beskyttelse og/eller Credential Guard, kan du konfigurere denne regel til at give tilsvarende beskyttelse mod malware, der er målrettet lsass.exemod .

  • Microsoft Intune navn:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager navn:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Avanceret jagthandlingstype:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

  • Denne ASR-regel understøtter ikke Advarselstilstand .
  • Denne ASR-regel producerer en stor mængde overvågningshændelser, som næsten alle er sikre at ignorere, når reglen er aktiveret i bloktilstand . Du kan vælge at springe evalueringen af overvågningstilstand over og fortsætte med at blokere tilstandsinstallation. Microsoft anbefaler, at du starter med et lille sæt enheder og gradvist udvider for at dække resten.
  • Denne ASR-regel undertrykker pop op-beskeder og brugermeddelelser for brugervenlige processer og duplikerede blokhandlinger.
  • Denne ASR-regel blokerer adgangen til LSASS-proceshukommelsen. Det blokerer ikke processer fra at køre. Når denne ASR-regel blokerer processer som svchost.exe, betyder det, at processen er blokeret fra at få adgang til LSASS-proceshukommelsen. Du kan ofte ignorere blokering af disse processer med denne ASR-regel.
  • Nogle apps optæller alle kørende processer og forsøger at åbne dem med udtømmende tilladelser. Denne ASR-regel afviser appens handlinger for åbne processer og registrerer oplysningerne i sikkerhedsloggen i Windows Logbog. Denne regel kan generere mange støj. Hvis du har en app, der blot optæller LSASS, men som ikke har nogen reel effekt på funktionaliteten, er det ikke nødvendigt at føje den til listen over undtagelser. I sig selv angiver denne post i hændelsesloggen ikke nødvendigvis en ondsindet trussel.
  • Denne ASR-regel har problemer med Quest Dirsync-adgangskodesynkronisering. Du kan finde flere oplysninger under Dirsync-adgangskodesynkronisering fungerer ikke, når Windows Defender er installeret. Fejl: "VirtualAllocEx mislykkedes: 5" (4253914).
  • Denne regel har begrænset understøttelse af udelukkelse. Du kan finde flere oplysninger under Filer og mappeudeladelser for ASR-regler.

Bloker vedholdenhed via WMI-hændelsesabonnement

Denne ASR-regel forhindrer malware i at misbruge WMI for at få vedholdenhed på enheder.

Filløse trusler bruger forskellige taktikker til at holde sig skjult, for at undgå at blive set i filsystemet, og for at få periodisk kontrol. Nogle trusler kan misbruge WMI-lageret og hændelsesmodellen for at forblive skjult.

  • Microsoft Intune navn:Block persistence through WMI event subscription
  • Microsoft Configuration Manager navn: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Avanceret jagthandlingstype:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Afhængigheder: Microsoft Defender Antivirus, RPC

Bemærk!

  • Denne regel understøttes ikke, når den udrulles via Microsoft Intune til Windows Server 2012 R2 eller Windows Server 2016 ved hjælp af den moderne samlede løsning.
  • Hvis du bruger Microsoft Configuration Manager, anbefaler Microsoft omfattende test af denne ASR-regel i overvågningstilstand, før du går videre til bloktilstand. Den Konfigurationsstyring klient er meget afhængig af WMI.
  • Denne regel har begrænset understøttelse af udelukkelse. Du kan finde flere oplysninger under Filer og mappeudeladelser for ASR-regler.

Andre ASR-regler

Bloker Adobe Reader fra at oprette underordnede processer

Denne ASR-regel forhindrer angreb ved at blokere Adobe Reader fra at oprette processer.

Malware kan downloade og starte nyttedata og bryde ud af Adobe Reader via social engineering eller udnyttelser. Ved at blokere Adobe Reader fra at generere underordnede processer forhindres malware, der forsøger at bruge Adobe Reader som angrebsvektor, i at sprede sig.

  • Microsoft Intune navn:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager navn: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Avanceret jagthandlingstype:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

Bloker alle Office-programmer, så de ikke kan oprette underordnede processer

Denne regel blokerer Office-apps fra at oprette underordnede processer. Office-apps omfatter Word, Excel, PowerPoint, OneNote og Access.

Oprettelse af skadelige underordnede processer er en almindelig malwarestrategi. Malware, der misbruger Office som en vektor, kører ofte VBA-makroer og udnytter kode til at downloade og forsøge at køre flere nyttedata. Nogle legitime line of business-apps kan dog også generere underordnede processer til godartede formål. Det kan f.eks. være en kommandoprompt eller brug af PowerShell til at konfigurere indstillinger i registreringsdatabasen.

  • Microsoft Intune navn:Block all Office applications from creating child processes
  • Microsoft Configuration Manager navn:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Avanceret jagthandlingstype:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

Denne regel gennemtvinges kun, hvis Office er installeret på %ProgramFiles% placeringerne eller %ProgramFiles(x86)% (som standard C:\Program Files og C:\Program Files (x86)).

Bloker eksekverbart indhold fra mailklient og webmail

Denne regel blokerer mail, der er åbnet med Microsoft Outlook, Outlook.com og andre populære webmailudbydere, fra at overføre følgende filtyper:

  • Eksekverbare filer (f.eks. .exe, .dll eller .scr).

  • Scriptfiler (f.eks. .ps1, .vbs eller .js).

  • Arkiv filer (f.eks. .zip).

  • Microsoft Intune navn:Block executable content from email client and webmail

  • Microsoft Configuration Manager navn:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Avanceret jagthandlingstype:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

  • Denne ASR-regel i tilstanden Bloker eller Advar har ekstra krav til niveauet for beskyttelse i skyen i Microsoft Defender Antivirus:
    • EDR-beskeder genereres kun, når skybeskyttelsesniveauet på enheden er Høj plus - eller Nultolerance.
    • Pop op-vinduet med brugermeddelelser genereres kun, når skybeskyttelsesniveauet på enheden er høj, høj plus eller nultolerance.
  • Denne ASR-regel har følgende alternative beskrivelser:
    • Intune (konfigurationsprofiler):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Konfigurationsstyring:Block executable content download from email and webmail clients
    • Gruppepolitik:Block executable content from email client and webmail

Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til

Tip

I øjeblikket er denne ASR-regel muligvis ikke tilgængelig i konfigurationen af Intune ASR-politik på grund af et kendt backend-problem. Men reglen er tilgængelig via de andre tilgængelige konfigurationsmetoder for ASR-politikker eller i eksisterende Intune ASR-politikker, der blev oprettet før problemet.

Denne ASR-regel blokerer eksekverbare filer (f.eks. kan .exe, .dll eller .scr startes). Start af filer, der ikke er tillid til, eller ukendte eksekverbare filer kan være risikable, da det ikke indledningsvist er tydeligt, om filerne er skadelige.

  • Microsoft Intune navn:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager navn:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Avanceret jagthandlingstype:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Afhængigheder: Microsoft Defender Antivirus, Cloud Protection

Bemærk!

Bloker udførelse af potentielt slørede scripts

Denne ASR-regel registrerer mistænkelige egenskaber i et sløret script.

Script tilsløring er en almindelig teknik, som både malware forfattere og legitime applikationer bruger til at skjule intellektuel ejendom eller reducere script indlæsningstider. Malware forfattere bruger også tilsløring til at gøre ondsindet kode sværere at læse, som hæmmer tæt kontrol af mennesker og sikkerhedssoftware.

  • Microsoft Intune navn:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager navn:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Avanceret jagthandlingstype:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Afhængigheder: Microsoft Defender Antivirus, AMSI (Antimalware Scan Interface), Cloud Protection

Bemærk!

Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold

Denne ASR-regel forhindrer, at scripts starter potentielt skadeligt downloadet indhold. Malware, der er skrevet i JavaScript eller VBScript, fungerer ofte som en downloader for at hente og starte anden malware fra internettet. Selvom line of business-apps ikke er almindelige, bruger de nogle gange scripts til at downloade og starte installationsprogrammer.

  • Microsoft Intune navn:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager navn:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Avanceret jagthandlingstype:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Afhængigheder: Microsoft Defender Antivirus, AMSI (Antimalware Scan Interface)

Bemærk!

  • Denne regel understøttes ikke, når den udrulles via Microsoft Intune til Windows Server 2012 R2 eller Windows Server 2016 ved hjælp af den moderne samlede løsning.

  • Denne ASR-regel i tilstanden Bloker eller Advar har ekstra krav til niveauet for beskyttelse i skyen i Microsoft Defender Antivirus:

    • EDR-beskeder genereres kun, når skybeskyttelsesniveauet på enheden er Høj plus - eller Nultolerance.
    • Pop op-vinduet med brugermeddelelser genereres kun, når skybeskyttelsesniveauet på enheden er høj, høj plus eller nultolerance.

Bloker Office-programmer fra at oprette eksekverbart indhold

Denne ASR-regel forhindrer, at Office-apps (f.eks. Word, Excel og PowerPoint) bruges som vektor for at gemme skadelige komponenter på disken. Disse skadelige komponenter kan overleve en genstart af computeren og forblive på systemet. Denne regel forsvarer sig mod denne vedholdenhedsteknik ved at:

  • Blokering af adgang (åbn/udfør) til den kode, der er skrevet til disken.

  • Blokerer udførelsen af filer, der ikke er tillid til, og som gemmes af Office-makroer, som har tilladelse til at køre i Office-filer.

  • Microsoft Intune navn:Block Office applications from creating executable content

  • Microsoft Configuration Manager navn:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Avanceret jagthandlingstype:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Afhængigheder: Microsoft Defender Antivirus, RPC

Bemærk!

Denne regel har begrænset understøttelse af udelukkelse. Du kan finde flere oplysninger under Filer og mappeudeladelser for ASR-regler.

Denne ASR-regel påvirkes ikke af office-installationsplaceringen.

Bloker Office-programmer fra at indsætte kode i andre processer

Denne ASR-regel blokerer forsøg på kodeinjektion fra Office-apps i andre processer. Angribere kan forsøge at bruge Office-apps til at overføre skadelig kode til andre processer via kodeinjektion, så koden kan maskerade som en ren proces. Der er ingen kendte legitime forretningsmæssige formål med at bruge kodeinjektion.

  • Microsoft Intune navn:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager navn:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Avanceret jagthandlingstype:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

  • Denne ASR-regel understøtter ikke Advarselstilstand .
  • Denne ASR-regel gælder for Word, Excel, OneNote og PowerPoint.
  • Denne ASR-regel kræver, at Microsoft 365 Apps (Office-programmer) genstartes, for at konfigurationsændringerne kan træde i kraft.
  • Denne regel har begrænset understøttelse af udelukkelse. Du kan finde flere oplysninger under Filer og mappeudeladelser for ASR-regler.
  • Denne ASR-regel er ikke kompatibel med følgende apps:
  • Denne ASR-regel gennemtvinges kun, hvis Office er installeret på %ProgramFiles% placeringerne eller %ProgramFiles(x86)% (som standard C:\Program Files og C:\Program Files (x86)).

Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer

Denne ASR-regel forhindrer Outlook i at oprette underordnede processer, samtidig med at legitime Outlook-funktioner tillades. Denne ASR-regel beskytter mod:

  • Social engineering-angreb og forhindrer udnyttelse af kode i at misbruge sårbarheder i Outlook.

  • Outlook-regler og -formularudnyttelser , som hackere kan bruge, når en brugers legitimationsoplysninger kompromitteres.

  • Microsoft Intune navn:Block Office communication application from creating child processes

  • Microsoft Configuration Manager navn: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Avanceret jagthandlingstype:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

Denne regel har begrænset understøttelse af udelukkelse. Du kan finde flere oplysninger under Filer og mappeudeladelser for ASR-regler.

Denne regel gennemtvinges kun, hvis Office er installeret på %ProgramFiles% placeringerne eller %ProgramFiles(x86)% (som standard C:\Program Files og C:\Program Files (x86)).

Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI

Vigtigt!

Hvis du bruger Microsoft Configuration Manager, skal du ikke bruge andre tilgængelige installationsmetoder til at aktivere denne regel på administrerede enheder. Den Konfigurationsstyring klient er meget afhængig af WMI.

Denne ASR-regel blokerer processer, der er oprettet via PsExec og WMI , fra at køre. PsExec og WMI kan udføre kode eksternt. Malware kan bruge PsExec og WMI til kommando og kontrol eller til at sprede netværksinfektioner.

  • Microsoft Intune navn:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager navn: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Avanceret jagthandlingstype:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

Denne regel har begrænset understøttelse af udelukkelse. Du kan finde flere oplysninger under Filer og mappeudeladelser for ASR-regler.

Bloker genstart af computeren i fejlsikret tilstand

Denne ASR-regel forhindrer ofte misbrugte kommandoer som bcdedit og bootcfg i at genstarte Windows-computere i fejlsikret tilstand. I fejlsikret tilstand er mange sikkerhedsprodukter deaktiveret eller kører med begrænset funktionalitet. Fejlsikret tilstand gør det muligt for hackere at starte manipulationskommandoer yderligere eller udføre og kryptere alle filer på computeren.

Fejlsikret tilstand er stadig manuelt tilgængelig fra Windows Genoprettelsesmiljø.

  • Microsoft Intune navn:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager navn: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Avanceret jagthandlingstype:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

I øjeblikket genkender Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender ikke denne regel. Rapporten over regler for reduktion af angrebsoverfladen (ASR) viser denne regel som Ikke tilgængelig.

Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB

Denne ASR-regel forhindrer, at usignerede eller upålidelige eksekverbare filer (f.eks. .exe, .dll eller .scr) kører fra flytbare USB-drev, herunder SD-kort.

Denne ASR-regel blokerer ikke filerne fra at blive kopieret fra USB-drevet til disken. Den blokerer de kopierede filer fra at køre fra disken.

  • Microsoft Intune navn:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager navn:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Avanceret jagthandlingstype:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Afhængigheder: Microsoft Defender Antivirus

Bloker brugen af kopierede eller repræsenterede systemværktøjer

Denne ASR-regel blokerer overførsel og brug af eksekverbare filer, der er identificeret som kopier (dubletter eller bedrager) af Windows-systemværktøjer. Nogle skadelige programmer kan forsøge at kopiere eller repræsentere Windows-systemværktøjer for at undgå registrering eller opnå rettigheder. Det kan føre til potentielle angreb, hvis sådanne eksekverbare filer tillades.

  • Microsoft Intune navn:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager navn: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Avanceret jagthandlingstype:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

I øjeblikket genkender Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender ikke denne regel. Rapporten over regler for reduktion af angrebsoverfladen (ASR) viser denne regel som Ikke tilgængelig.

Bloker oprettelse af Webshell for servere

Denne ASR-regel blokerer oprettelse af webshell-scripts på Windows-servere, der kører Microsoft Exchange. Et web shell-script er et udformet script, der gør det muligt for en hacker at styre den kompromitterede server. Et webshell-script kan indeholde følgende funktionalitet:

  • Modtag og kør skadelige kommandoer.

  • Download og kør skadelige filer.

  • Stjæle og exfiltrate legitimationsoplysninger og følsomme oplysninger.

  • Identificer potentielle mål.

  • Microsoft Intune navn:Block Webshell creation for Servers

  • Microsoft Configuration Manager navn: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Avanceret jagthandlingstype: n/a

  • Afhængigheder: Microsoft Defender Antivirus

Bemærk!

  • Denne regel understøttes ikke, når den udrulles via Microsoft Intune til Windows Server 2012 R2 eller Windows Server 2016 ved hjælp af den moderne samlede løsning.
  • Hvis du administrerer ASR-regler i Microsoft Defender for Endpoint, skal du ikke konfigurere denne ASR i Gruppepolitik eller andre lokale indstillinger (lad værdien være Not Configured). Alle andre værdier (f.eks Enabled . eller Disabled) kan medføre konflikter og forhindre, at reglen anvendes korrekt.
  • I øjeblikket genkender Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender ikke denne regel. Rapporten over regler for reduktion af angrebsoverfladen (ASR) viser denne regel som Ikke tilgængelig.

Bloker Win32 API-kald fra Office-makroer

Office Visual Basic for Applications (VBA) aktiverer Win32 API-kald. Denne ASR-regel forhindrer VBA-makroer i at kalde Win32-API'er. Malware kan misbruge denne funktion, f.eks . kalde Win32-API'er for at starte skadelig shellcode uden at skrive noget direkte til disken.

De fleste organisationer kræver ikke Win32 API-kald fra VBA-makroer, selvom de bruger makroer på andre måder.

  • Microsoft Intune navn:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager navn:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Avanceret jagthandlingstype:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Afhængigheder: Microsoft Defender Antivirus, AMSI (Antimalware Scan Interface)

Brug avanceret beskyttelse mod ransomware

Bemærk!

Denne ASR-regel giver et ekstra lag af beskyttelse mod ransomware. Den bruger både klient- og cloud-heuristik til at afgøre, om en fil ligner ransomware. Denne regel blokerer ikke filer, der har et eller flere af følgende egenskaber:

  • Filen er ikkeharmful i Microsoft-cloudmiljøet.
  • Filen er en gyldig signeret fil.
  • Filen er udbredt nok til ikke at blive betragtet som ransomware.

Denne regel blokerer ikke kun filer med et dårligt omdømme. I stedet fejler reglen på siden af forsigtighed og blokerer også filer , der endnu ikke har et positivt omdømme. Blokke på godartede, ukendte filer efter denne regel løses typisk til sidst sig selv. Filens omdømme og tillidsværdier øges gradvist, efterhånden som ikke-problematisk brug øges.

Hvis blokke på godartede, ukendte filer ikke løses rettidigt, kan du konfigurere en udeladelse pr. ASR-regel for denne regel eller bruge handlingen Tillad for en indikator for kompromis (IoC).

  • Microsoft Intune navn:Use advanced protection against ransomware
  • Microsoft Configuration Manager navn:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Avanceret jagthandlingstype:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Afhængigheder: Microsoft Defender Antivirus, Cloud Protection

Relateret indhold

  • Last updated on