Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Tipp
Als Ergänzung zu diesem Artikel lesen Sie unseren Security Analyzer-Einrichtungsleitfaden , um bewährte Methoden zu überprüfen und zu erfahren, wie Sie die Verteidigung stärken, die Compliance verbessern und sicher in der Cybersicherheitslandschaft navigieren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden zur automatisierten Einrichtung von Security Analyzer zugreifen.
Die Angriffsfläche Ihres organization umfasst alle Orte, an denen ein Angreifer Zugriff erhalten könnte. Weitere Informationen finden Sie unter Verringerung der Angriffsfläche in Microsoft Defender for Endpoint.
Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) in Microsoft Defender Antivirus zielen auf riskantes Softwareverhalten auf Windows-Geräten ab, die Angreifer häufig durch Schadsoftware ausnutzen. Zum Beispiel:
- Starten ausführbarer Dateien und Skripts, die versuchen, Dateien herunterzuladen oder auszuführen.
- Ausführen von verschleierten oder anderweitig nicht vertrauenswürdigen Skripts.
- Erstellen von untergeordneten Prozessen aus potenziell anfälligen Anwendungen (z. B. Office-Apps).
- Einfügen von Code in andere Prozesse.
Obwohl legitime Apps auch diese Aufgaben ausführen können, verwenden Angreifer häufig Schadsoftware, die sich genauso verhält.
Informationen zum Planen, Testen, Implementieren und Überwachen von ASR-Regeln finden Sie in den folgenden Artikeln:
Tipp
Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
- Microsoft Defender für Endpunkt für Mac
- macOS Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus für Intune
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux
- Microsoft Defender für Endpunkt unter Linux
- Konfigurieren von Defender für Endpunkt unter Android-Features
- Konfigurieren von Microsoft Defender für Endpunkt unter iOS-Features
ASR-Regeln
ASR-Regeln sind in die folgenden Kategorien unterteilt:
Standard Schutzregeln bieten erhebliche Sicherheitsvorteile, daher empfiehlt Microsoft, sie im Blockierungsmodus zu aktivieren, ohne dass umfangreiche Tests erforderlich sind. In der Regel haben diese Regeln minimale oder keine spürbaren Auswirkungen auf Benutzer, es gibt jedoch Ausnahmen:
- Persistenz über WMI-Ereignisabonnement blockieren: Wenn Sie Microsoft Configuration Manager zum Verwalten von Geräten verwenden, verwenden Sie keine anderen verfügbaren Bereitstellungsmethoden (z. B. Gruppenrichtlinie oder PowerShell), um diese Regel im Block- oder Warn-Modus auf dem Gerät ohne umfangreiche Tests im Überwachungsmodus zu aktivieren. Der Konfigurations-Manager-Client basiert stark auf WMI.
- Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität blockieren: Wenn Sie den Schutz der lokalen Sicherheitsautorität (Local Security Authority, LSA) aktiviert haben (zusammen mit Credential Guard empfohlen), ist diese Regel redundant.
Andere ASR-Regeln bieten einen wichtigen Schutz, erfordern jedoch Tests im Überwachungsmodus , bevor Sie sie im Block- oder Warn-Modus aktivieren, wie im Bereitstellungshandbuch zur Verringerung der Angriffsfläche beschrieben.
Die verfügbaren ASR-Regeln, die entsprechenden GUID-Werte und ihre Kategorien werden in der folgenden Tabelle beschrieben:
Links in den Regelnamen führen Sie zu detaillierten Regelbeschreibungen im Referenzartikel zu ASR-Regeln .
Mit Ausnahme von Endpunktsicherheitsrichtlinien in Microsoft Intune und Microsoft Configuration Manager identifizieren alle anderen ASR-Regelkonfigurationsmethoden Regeln anhand des GUID-Werts.
Alle Unterschiede zwischen asr-Regelnamen zwischen Microsoft Intune und Microsoft Configuration Manager werden in der Tabelle beschrieben.
Tipp
Microsoft Configuration Manager war zuvor unter anderen Namen bekannt:
- Microsoft System Center Configuration Manager: Version 1511 bis 1906 (November 2015 bis Juli 2019)
- Microsoft Endpoint Configuration Manager: Version 1910 bis 2211 (Dezember 2019 bis Dezember 2022)
- Microsoft Configuration Manager: Version 2303 (April 2023) oder höher
Support- und Updateinformationen finden Sie unter Updates und Wartung für Konfigurations-Manager.
| Regelname in Microsoft Intune | Regelname in Microsoft Configuration Manager | GUID | Kategorie |
|---|---|---|---|
| Standard-Schutzregeln | |||
| Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) | n/v | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Sonstiges |
| Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität | gleich | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Seitliche Verschiebung & Diebstahl von Anmeldeinformationen |
| Persistenz durch WMI-Ereignisabonnement blockieren | n/v | e6db77e5-3df2-4cf1-b95a-636979351e5b | Seitliche Verschiebung & Diebstahl von Anmeldeinformationen |
| Andere ASR-Regeln | |||
| Adobe Reader am Erstellen von untergeordneten Prozessen hindern | n/v | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Produktivitäts-Apps |
| Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern | Blockieren der Office-Anwendung am Erstellen untergeordneter Prozesse | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Produktivitäts-Apps |
| Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | gleich | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | |
| Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium | Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen prävalenz-, alters- oder vertrauenswürdige Listenkriterien | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Polymorphe Bedrohungen |
| Ausführung potenziell verborgener Skripts blockieren | gleich | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Skript |
| JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern | gleich | d3e037e1-3eb8-44c8-a917-57927947596d | Skript |
| Office-Anwendungen am Erstellen ausführbarer Inhalte hindern | gleich | 3b576869-a4ec-4529-8536-b80a7769e899 | Produktivitäts-Apps |
| Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern | gleich | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Produktivitäts-Apps |
| Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern | n/v | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, Produktivitäts-Apps |
| Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren | n/v | d1e49aac-8f56-4280-b9ba-993a6d77406c | Seitliche Verschiebung & Diebstahl von Anmeldeinformationen |
| Neustart des Computers im abgesicherten Modus blockieren | n/v | 33ddedf1-c6e0-47cb-833e-de6133960387 | Sonstiges |
| Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | gleich | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Polymorphe Bedrohungen |
| Blockieren der Verwendung kopierter oder imitierter Systemtools | n/v | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Sonstiges |
| Webshellerstellung für Server blockieren | n/v | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Sonstiges |
| Blockieren von Win32-API-Aufrufen von Office-Makros | gleich | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | Produktivitäts-Apps |
| Verwenden des erweiterten Schutzes vor Ransomware | gleich | c1db55ab-c21a-4637-bb3f-a12568109d35 | Polymorphe Bedrohungen |
Anforderungen für ASR-Regeln
ASR-Regeln erfordern Microsoft Defender Antivirus als primäre Antiviren-App auf Windows-Geräten:
Microsoft Defender Antivirus muss aktiviert sein und sich im aktiven Modus befinden. Insbesondere darf Microsoft Defender Antivirus keinen der folgenden Modi verwenden:
- Passive
- Passiver Modus mit Endpunkterkennung und -antwort (EDR) im Blockmodus
- Eingeschränktes regelmäßiges Scannen (LPS)
- Aus
Weitere Informationen zu Modi in Microsoft Defender Antivirus finden Sie unter Auswirkungen Microsoft Defender Antivirus auf die Defender für Endpunkt-Funktionalität.
Echtzeitschutz in Microsoft Defender Antivirus muss aktiviert sein.
Der von der Cloud bereitgestellte Schutz (auch als Microsoft Advanced Protection Service oder MAPS bezeichnet) ist für die ASR-Regelfunktionalität von entscheidender Bedeutung. Cloudschutz verbessert den standardmäßigen Echtzeitschutz und ist eine wichtige Komponente zur Verhinderung von Sicherheitsverletzungen durch Schadsoftware. Einige ASR-Regeln enthalten speziell Cloud-Delivery Protection-Anforderungen für EDR-Warnungen (Endpoint Detection and Response) in Defender für Endpunkt und Benutzerbenachrichtigungs-Popups. Weitere Informationen finden Sie unter Warnungen und Benachrichtigungen von ASR-Regelaktionen.
Aus dem gleichen Grund muss Ihre Umgebung Verbindungen mit dem Microsoft Defender Antivirus-Clouddienst zulassen.
Microsoft Defender Antivirus-Komponentenversionen dürfen nicht mehr als zwei Versionen älter als die derzeit verfügbare Version sein:
- Plattformupdateversion: Monatlich aktualisiert.
- MEngine-Version: Monatlich aktualisiert.
- Security Intelligence: Microsoft aktualisiert kontinuierlich Security Intelligence (auch als Definitionen und Signaturen bezeichnet), um die neuesten Bedrohungen zu beheben und die Erkennungslogik zu verfeinern.
Wenn Sie Microsoft Defender Antivirus-Versionen auf dem neuesten Stand halten, können Sie die False Positive-Ergebnisse der ASR-Regel reduzieren und Microsoft Defender Antivirus-Erkennungsfunktionen verbessern. Weitere Informationen zu den aktuellen Versionen und zum Aktualisieren der verschiedenen Microsoft Defender Antivirus-Komponenten finden Sie unter Microsoft Defender Antivirus-Plattformunterstützung.
Obwohl ASR-Regeln keine Microsoft 365 E5 erfordern, empfiehlt Microsoft die Sicherheitsfunktionen von E5 oder gleichwertigen Abonnements, um die folgenden erweiterten Verwaltungsfunktionen zu nutzen:
- Überwachung, Analyse und Workflows in Defender für Endpunkt.
- Berichts- und Konfigurationsfunktionen im Microsoft Defender XDR-Portal.
Erweiterte Verwaltungsfunktionen sind für andere Lizenzen (z. B. Windows Professional oder Microsoft 365 E3) nicht verfügbar. Sie können jedoch eigene Überwachungs- und Berichterstellungstools entwickeln, die auf den ASR-Regelereignissen basieren, die in Windows Ereignisanzeige auf jedem Gerät generiert werden (z. B. Windows-Ereignisweiterleitung).
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Windows-Lizenzierung und im Referenzhandbuch zur Microsoft-Volumenlizenzierung.
Unterstützte Betriebssysteme für ASR-Regeln
ASR-Regeln sind ein Microsoft Defender Antivirus-Feature, das in jeder Edition von Windows zu finden ist, die Microsoft Defender Antivirus enthält (z. B. Windows 11 Home). Sie können ASR-Regeln lokal auf Geräten mithilfe von PowerShell oder Gruppenrichtlinie konfigurieren.
Die zentrale Verwaltung, Berichterstellung und Warnung für ASR-Regeln in Microsoft Defender for Endpoint sind in den folgenden Editionen und Versionen von Windows verfügbar:
- Pro- und Enterprise-Editionen von Windows 10 oder höher.
- Windows Server 2012 R2 oder höher.
- Azure Local (früher als Azure Stack HCI bezeichnet) Version 23H2 oder höher.
Weitere Informationen zur Betriebssystemunterstützung finden Sie unter Betriebssystemunterstützung für ASR-Regeln.
Modi für ASR-Regeln
Eine ASR-Regel kann sich in einem der folgenden Modi befinden, wie in der folgenden Tabelle beschrieben:
| Regelmodus | Code | Beschreibung |
|---|---|---|
|
Aus oder Disabled |
0 | Die ASR-Regel ist explizit deaktiviert. Dieser Wert kann Konflikte verursachen, wenn demselben Gerät die gleiche ASR-Regel in verschiedenen Modi durch verschiedene Richtlinien zugewiesen wird. |
|
Blockieren oder Aktiviert |
1 | Die ASR-Regel ist im Blockierungsmodus aktiviert. |
|
Überwachen oder Überwachungsmodus |
2 | Die ASR-Regel ist wie im Blockmodus aktiviert, aber ohne Maßnahmen zu ergreifen. Erkennungen für ASR-Regeln im Überwachungsmodus sind an den folgenden Speicherorten verfügbar:
|
| Nicht konfiguriert | 5 | Die ASR-Regel ist nicht explizit aktiviert. Dieser Wert entspricht funktional Deaktiviert oder Aus, ohne dass es zu Regelkonflikten kommt.This value is functionally equivalent to Disabled or Off, but without the potential for rule conflicts. |
|
Warnen oder Warning |
6 | Die ASR-Regel ist wie im Blockmodus aktiviert, aber Benutzer können im Popupfenster der Warnungsbenachrichtigung die Option Blockierung aufheben auswählen, um den Block für 24 Stunden zu umgehen. Nach 24 Stunden muss der Benutzer den Block erneut umgehen. Der Warnmodus wird in Windows 10 Version 1809 (November 2018) oder höher unterstützt. ASR-Regeln im Warnmodus unter nicht unterstützten Versionen von Windows befinden sich effektiv im Blockierungsmodus (Umgehung ist nicht verfügbar). Der Warnmodus ist in Microsoft Configuration Manager nicht verfügbar. Der Warnmodus hat die folgenden Microsoft Defender Antivirus-Versionsanforderungen:
Die folgenden ASR-Regeln unterstützen den Warnmodus nicht: |
Microsoft empfiehlt den Blockierungsmodus für die Standardschutzregeln und erste Tests im Überwachungsmodus für andere ASR-Regeln, bevor sie im Block - oder Warn-Modus aktiviert werden.
Viele branchenspezifische Anwendungen sind mit eingeschränkten Sicherheitsbedenken geschrieben, und sie können auf eine Weise handeln, die Schadsoftware ähnelt. Indem Sie Daten aus ASR-Regeln im Überwachungsmodus überwachen und Ausschlüsse für erforderliche Apps hinzufügen, können Sie ASR-Regeln bereitstellen, ohne die Produktivität zu verringern.
Bevor Sie ASR-Regeln im Blockmodus aktivieren, bewerten Sie deren Auswirkungen im Überwachungsmodus und Sicherheitsempfehlungen. Weitere Informationen finden Sie unter Testen von ASR-Regeln.
Bereitstellungs- und Konfigurationsmethoden für ASR-Regeln
Microsoft Defender for Endpoint unterstützt ASR-Regeln, enthält jedoch keine integrierte Methode zum Bereitstellen von ASR-Regeleinstellungen auf Geräten. Stattdessen verwenden Sie ein separates Bereitstellungs- oder Verwaltungstool, um ASR-Regelrichtlinien zu erstellen und an Geräte zu verteilen. Nicht alle Bereitstellungsmethoden unterstützen jede ASR-Regel. Ausführliche Informationen zu einzelnen Regeln finden Sie unter Bereitstellungsmethodenunterstützung für ASR-Regeln.
In der folgenden Tabelle sind die verfügbaren Methoden zusammengefasst. Ausführliche Konfigurationsanweisungen finden Sie unter Konfigurieren von Regeln und Ausschlüssen zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR).
| Methode | Beschreibung |
|---|---|
| Microsoft Intune Von Endpunktsicherheitsrichtlinien | Die empfohlene Methode zum Konfigurieren und Verteilen von ASR-Regelrichtlinien an Geräte. Erfordert Microsoft Intune Plan 1 (in Abonnements wie Microsoft 365 E3 enthalten oder als eigenständiges Add-On verfügbar). |
| Microsoft Intune benutzerdefinierter Profile mit OMA-URIs | Eine alternative Methode zum Konfigurieren von ASR-Regeln in Intune mithilfe von OMA-URI-Profilen (Open Mobile Alliance – Uniform Resource). |
| Alle MDM-Lösungen, die den Richtlinien-CSP verwenden | Verwenden Sie den Windows Policy Configuration Service Provider (CSP) mit einer beliebigen MDM-Lösung. |
| Microsoft Configuration Manager | Verwendet die Microsoft Defender Antivirusrichtlinie im Arbeitsbereich Bestand und Kompatibilität. |
| Gruppenrichtlinie | Verwenden Sie zentralisierte Gruppenrichtlinie, um ASR-Regeln zu konfigurieren und an in die Domäne eingebundene Geräte zu verteilen. Alternativ können Sie Gruppenrichtlinie lokal auf einzelnen Geräten konfigurieren. |
| PowerShell | Konfigurieren Sie ASR-Regeln lokal auf einzelnen Geräten. PowerShell unterstützt alle ASR-Regeln. |
Datei- und Ordnerausschlüsse für ASR-Regeln
Wichtig
Das Ausschließen von Dateien oder Ordnern kann den ASR-Regelschutz erheblich beeinträchtigen. Ausgeschlossene Dateien dürfen ausgeführt werden, und es werden keine Berichte oder Ereignisse über die Datei aufgezeichnet. Wenn ASR-Regeln Dateien erkennen, die nicht erkannt werden sollten, verwenden Sie den Überwachungsmodus, um die Regel zu testen.
Sie können bestimmte Dateien und Ordner von der Auswertung durch ASR-Regeln ausschließen. Selbst wenn eine ASR-Regel bestimmt, dass die Datei oder der Ordner schädliches Verhalten enthält, wird die Ausführung der ausgeschlossenen Dateien nicht blockiert.
Sie können die folgenden Methoden verwenden, um Dateien und Ordner aus ASR-Regeln auszuschließen:
Microsoft Defender Antivirusausschlüsse: Nicht alle ASR-Regeln berücksichtigen diese Ausschlüsse. Weitere Informationen zu Microsoft Defender Antivirusausschlüssen finden Sie unter Konfigurieren von benutzerdefinierten Ausschlüssen für Microsoft Defender Antivirus.
Tipp
Alle ASR-Regeln berücksichtigen Prozessausschlüsse in Microsoft Defender Antivirus.
Globale ASR-Regelausschlüsse: Diese Ausschlüsse gelten für alle ASR-Regeln. Alle Konfigurationsmethoden für ASR-Regeln unterstützen auch das Konfigurieren von globalen ASR-Regelausschlüssen.
Ausschlüsse pro ASR-Regel: Weisen Sie verschiedenen ASR-Regeln selektiv verschiedene Ausschlüsse zu. Nur die folgenden KONFIGURATIONsmethoden für ASR-Regeln unterstützen auch die Konfiguration von Ausschlüssen pro ASR-Regel:
- Gruppenrichtlinie (und die entsprechenden Registrierungseinstellungen)
- Endpunktsicherheitsrichtlinien in Microsoft Intune.
Indikatoren für Gefährdung (Indicators of Compromise, IoCs): Die meisten ASR-Regeln berücksichtigen IoCs für blockierte Dateien und blockierte Zertifikate. Weitere Informationen zu IoCs finden Sie unter Übersicht über Indikatoren in Microsoft Defender for Endpoint.
Die Erzwingung verschiedener Arten von Ausschlüssen für ASR-Regeln ist in der folgenden Tabelle zusammengefasst:
| Regelname | Berücksichtigt die MDAV-Datei und Ordnerausschlüsse |
Ehrt globale ASR Ausschlüsse |
Berücksichtigt pro ASR-Regel Ausschlüsse |
Berücksichtigt IoCs für files |
Berücksichtigt IoCs für Zertifikate |
|---|---|---|---|---|---|
| Standard-Schutzregeln | |||||
| Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) | v | v | v | v | v |
| Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität | N | J | J | N | N |
| Persistenz durch WMI-Ereignisabonnement blockieren | N | J | J | N | N |
| Andere ASR-Regeln | |||||
| Adobe Reader am Erstellen von untergeordneten Prozessen hindern | N | J | v | v | v |
| Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern | v | v | v | v | v |
| Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | v | v | v | v | v |
| Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium | v | v | v | v | v |
| Ausführung potenziell verborgener Skripts blockieren | v | v | v | v | v |
| JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern | v | v | v | v | v |
| Office-Anwendungen am Erstellen ausführbarer Inhalte hindern | N | J | v | v | v |
| Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern | N | J | J | N | N |
| Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern | N | J | v | v | v |
| Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren | N | J | v | v | v |
| Neustart des Computers im abgesicherten Modus blockieren | v | v | v | v | v |
| Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | v | v | v | v | v |
| Blockieren der Verwendung kopierter oder imitierter Systemtools | v | v | v | v | v |
| Webshellerstellung für Server blockieren | v | v | v | v | v |
| Win32-API-Aufrufe von Office-Makros blockieren | v | v | v | J | N |
| Erweiterten Schutz vor Ransomware verwenden | v | v | v | v | v |
Beachten Sie beim Hinzufügen von Ausschlüssen die folgenden Punkte:
Ausschlusspfade können Umgebungsvariablen und Wildcards verwenden. Weitere Informationen finden Sie unter Verwenden von Wildcards in den Ausschlusslisten für Dateinamen und Ordnerpfad oder Erweiterungen.
Tipp
Verwenden Sie Benutzerumgebungsvariablen nicht als Wildcards in Ordner- und Prozessausschlüssen. Verwenden Sie nur die folgenden Typen von Umgebungsvariablen als Wildcards:
- Systemumgebungsvariablen.
- Umgebungsvariablen, die für Prozesse gelten, die als NT AUTHORITY\SYSTEM-Konto ausgeführt werden.
Eine Liste der Systemumgebungsvariablen finden Sie unter Systemumgebungsvariablen.
- Mit Wildcards kann kein Laufwerkbuchstabe definiert werden.
- Um mehrere Ordner in einem Pfad auszuschließen, verwenden Sie mehrere Instanzen von
\*\, um mehrere geschachtelte Ordner anzugeben. Beispiel:c:\Folder\*\*\Test. - Microsoft Configuration Manager unterstützt Wildcards (
*oder?). - Um eine Datei auszuschließen, die zufällige Zeichen enthält (z. B. aus der automatisierten Dateigenerierung), verwenden Sie
?symbol. Beispiel:C:\Folder\fileversion?.docx.
Ausschlüsse gelten nur, wenn die Anwendung oder der Dienst gestartet wird. Wenn Sie beispielsweise einen Ausschluss für einen bereits ausgeführten Updatedienst hinzufügen, löst der Updatedienst weiterhin ASR-Regelerkennungen aus, bis Sie den Dienst neu starten.
Richtlinienkonflikte in ASR-Regeln
Wenn demselben Gerät zwei verschiedene ASR-Regelrichtlinien zugewiesen sind, können potenzielle Konflikte basierend auf den folgenden Elementen auftreten:
- Gibt an, ob dieselben ASR-Regeln in verschiedenen Modi zugewiesen werden.
- Gibt an, ob ein Konfliktmanagement vorhanden ist.
- Gibt an, ob das Ergebnis ein Fehler ist.
Nicht konforme ASR-Regeln führen nicht zu Fehlern. Die erste Regel wird angewendet, und nachfolgende nicht zusammenhängende Regeln werden mit der Richtlinie zusammengeführt.
Wenn eine Mdm-Lösung (Mobile Device Management) und Gruppenrichtlinie unterschiedliche ASR-Regeleinstellungen auf dasselbe Gerät anwenden, haben die Gruppenrichtlinie Einstellungen Vorrang.
Informationen dazu, wie ASR-Regeleinstellungskonflikte für die verfügbaren Bereitstellungsmethoden in Microsoft Intune behandelt werden, finden Sie unter Geräte, die von Intune verwaltet werden.
Benachrichtigungen und Warnungen für ASR-Regeln
Wenn eine ASR-Regel im Block- oder Warn-Modus auf einem Gerät ausgelöst wird, wird eine Benachrichtigung auf dem Gerät angezeigt. Sie können die Informationen in den Benachrichtigungen anpassen. Weitere Informationen finden Sie unter Anpassen von Kontaktinformationen in Windows-Sicherheit.
EDR-Warnungen (Endpoint Detection and Response) in Defender für Endpunkt werden generiert, wenn unterstützte ASR-Regeln ausgelöst werden.
Ausführliche Informationen zu Benachrichtigungen und Warnungsfunktionen finden Sie unter Warnungen und Benachrichtigungen von ASR-Regelaktionen.
Informationen zum Anzeigen der ASR-Warnungsaktivität im Microsoft Defender-Portal und auf Geräten in Windows Ereignisanzeige finden Sie unter Überwachen der Regelaktivität der Angriffsfläche (Attack Surface Reduction, ASR).
Überwachen der ASR-Regelaktivität
Vollständige Informationen finden Sie unter Überwachen der Regelaktivität der Angriffsfläche (Attack Surface Reduction, ASR).
Verwandte Inhalte
- Regelbereitstellungshandbuch zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Planen der Bereitstellung von Asr-Regeln (Attack Surface Reduction, Verringerung der Angriffsfläche)
- Testen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) aktivieren
- Verwalten und Überwachen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Überwachen der Regelaktivität zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Bericht zu Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus