Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel indeholder testfiler, scripts og procedurer til at demonstrere ASR-regler (Attack Surface Reduction) i Microsoft Defender for Endpoint.
ASR-regler er målrettet risikable softwarefunktioner på Windows-enheder, som hackere ofte udnytter via malware (f.eks. start af scripts, der downloader filer, kører slørede scripts og indsætter kode i andre processer). Du kan få flere oplysninger om ASR-regler under Oversigt over ASR-regler (Attack surface reduction).
Forudsætninger
- Windows 10 version 1709 (oktober 2017) eller nyere.
- Windows Server 2012 R2 eller nyere.
- Windows Server 2012 R2 og Windows Server 2016 kræver funktionaliteten i den moderne samlede løsning.
- Azure Local (tidligere kendt som Azure Stack hyperkonverteret infrastruktur (HCI)) OS version 23H2 eller nyere.
- Download og udtræk PowerShell-scripts til reduktion af angrebsoverfladen
PowerShell-kommandoer
Hvis du vil aktivere alle tilgængelige ASR-regler, skal du køre følgende kommando i et PowerShell-vindue med administratorrettigheder (et PowerShell-vindue, du har åbnet, efter at du har valgt Kør som administrator):
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode
ASR-regelnavnene og de tilknyttede GUID-værdier er angivet i afsnittet Test filer .
Kontrollér konfiguration
Hvis du vil kontrollere tilstanden for ASR-regler, skal du køre følgende kommando i et PowerShell-vindue med administratorrettigheder:
$p = Get-MpPreference
$ids = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)
for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
[pscustomobject]@{
RuleId = $ids[$i]
Action = $actions[$i]
}
}
De tilgængelige regeltilstande er beskrevet i følgende tabel:
| Tilstand | Tekst Værdi |
Numeriske Værdi |
|---|---|---|
| Ud | Deaktiveret | 0 |
| Aktiveret i bloktilstand | Aktiveret | 1 |
| Aktiveret i overvågningstilstand | AuditMode | 2 |
| Ikke konfigureret | Ikke konfigureret | 5 |
| Aktiveret i advarselstilstand | Advare | 6 |
Test filer
I følgende tabel knyttes ASR-regelnavnene til de tilsvarende GUID-værdier.
Tip
Links til regelnavne er links til tilgængelige testfiler. Nogle testfiler indeholder flere udnyttelser, der udløser flere ASR-regler.
GUID-værdilinks er links til regeldetaljerne.
Scenarier
Konfiguration
Kør følgende kommando i et PowerShell-vindue med administratorrettigheder for at angive udførelsespolitikken til Ubegrænset:
Set-ExecutionPolicy UnrestrictedDownload, udtræk og kør dette installationsscript.
Eller du kan i stedet udføre følgende manuelle trin:
- Opret mappen C:\Demo.
- Gem denne rene fil i C:\Demo.
- Aktivér alle regler ved hjælp af PowerShell-kommandoen.
Scenarie 1: Reduktion af angrebsoverfladen blokerer en testfil med flere sikkerhedsrisici
- Aktivér alle regler i bloktilstand ved hjælp af PowerShell-kommandoen.
- Download og åbn testfilerne/dokumenterne. Hvis du bliver bedt om det, skal du aktivere redigering og indhold.
Forventet resultat:
Du får straks vist meddelelsen "Handling blokeret".
Scenarie 2: ASR-reglen blokerer testfilen med den tilsvarende sikkerhedsrisiko
Konfigurer den individuelle regel, du vil teste. Hvis du f.eks. vil aktivere reglen Bloker alle Office-programmer fra oprettelse af underordnede processer , skal du køre følgende kommando i et PowerShell-vindue med administratorrettigheder:
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions EnabledDownload og åbn testfilen/dokumentet for den regel, du vil teste. Hvis du bliver bedt om det, skal du aktivere redigering og indhold. Det kan f.eks. være:
Bloker alle Office-programmer, så de ikke kan oprette underordnede processer
Forventet resultat:
Du får straks vist meddelelsen "Handling blokeret".
Scenarie 3: ASR-regel blokerer filer, der ikke er tillid til, fra at køre fra USB-drev
Tip
Denne ASR-regel er tilgængelig i Windows 10 version 1709 (oktober 2017) eller nyere.
Aktivér de processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB ASR-reglen , ved at køre følgende kommando i et PowerShell-vindue med administratorrettigheder:
Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions EnabledDownload følgende fil til et USB-drev (direkte eller kopiér den til USB-drevet, når du har downloadet den et andet sted):
Bloker udførelse af ikke-betroede eller usignerede eksekverbare filer i flytbare USB-medier
Kør filen fra USB-drevet.
Forventet resultat:
Du får straks vist meddelelsen "Handling blokeret".
Scenarie 4: Hvad ville der ske uden reduktion af angrebsoverfladen
Deaktiver alle regler for reduktion af angrebsoverfladen ved hjælp af PowerShell-kommandoen i afsnittet Oprydning.
Download en hvilken som helst testfil/et hvilket som helst dokument. Hvis du bliver bedt om det, skal du aktivere redigering og indhold.
Forventet resultat:
- Filerne i C:\Demo krypteres, og du bør få vist en advarselsmeddelelse.
- Kør testfilen igen for at dekryptere filerne.
Oprydning
Download, udtræk og kør dette oprydningsscript.
Du kan også køre følgende kommando i et PowerShell-vindue med administratorrettigheder for at deaktivere alle ASR-regler:
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled
Ryd op i C:\Demo-kryptering ved at køre krypterings-/dekrypteringsfilen.