Konfigurera regler och undantag för minskning av attackytan (ASR)

  • Gäller för: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

Regler för minskning av attackytan (ASR) riktar in sig på riskfyllda programvarubeteenden på Windows-enheter som angripare ofta utnyttjar via skadlig kod (till exempel starta skript som laddar ned filer, köra fördunklade skript och mata in kod i andra processer). Den här artikeln beskriver hur du aktiverar och konfigurerar ASR-regler.

Använd hanteringslösningar på företagsnivå som Microsoft Intune eller Microsoft Configuration Manager för att hantera ASR-regler för bästa resultat. ASR-regelinställningar från Intune eller Configuration Manager skriva över eventuella motstridiga inställningar från grupprincipen eller PowerShell vid start.

Förhandskrav

Mer information finns i Krav för ASR-regler.

Konfigurera ASR-regler i Microsoft Intune

Microsoft Intune är det rekommenderade verktyget för att konfigurera och distribuera ASR-regelprinciper till enheter. Kräver Microsoft Intune abonnemang 1 (ingår i prenumerationer som Microsoft 365 E3 eller tillgängligt som ett fristående tillägg).

I Intune är slutpunktssäkerhetsprinciper den rekommenderade metoden för att distribuera ASR-regler, även om andra metoder också är tillgängliga i Intune enligt beskrivningen i följande underavsnitt.

Konfigurera ASR-regler och undantag i Intune med hjälp av slutpunktssäkerhetsprinciper

Information om hur du konfigurerar ASR-regler med hjälp av en Microsoft Intune policy för minskning av attackytan för slutpunktssäkerhet finns i Skapa en slutpunktssäkerhetsprincip (öppnas på en ny flik i dokumentationen om Intune). Använd följande inställningar när du skapar principen:

Viktigt

Microsoft Defender för Endpoint hantering stöder endast enhetsobjekt. Det går inte att rikta in sig på användare. Tilldela principen till Microsoft Entra enhetsgrupper, inte användargrupper.

  • Principtyp: Minskning av attackytan
  • Plattform: Windows
  • Profil: Regler för minskning av attackytan
  • Konfigurationsinställningar:

    • Minskning av attackytan: Vanligtvis kan du aktivera standardskyddsreglerna i läget Blockera eller Varna utan testning. Du bör testa andra ASR-regler i granskningsläge innan du växlar dem till läget Blockera eller Varna . Mer information finns i distributionsguiden för ASR-regler.

      När du har angett regelläget till Granska, Blockera eller Varna visas endast en ASR per regelundantag där du kan ange undantag som endast gäller för den regeln.

    • Undantag endast för minskning av attackytan: Använd det här avsnittet för att ange undantag som gäller för alla ASR-regler.

      Om du vill ange undantag per ASR-regel eller globala ASR-regelundantag använder du någon av följande metoder:

      • Välj Lägg till. I rutan som visas anger du sökvägen eller sökvägen och filnamnet som ska undantas. Till exempel:

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path

      • Välj Importera för att importera en CSV-fil som innehåller namnen på filer och mappar som ska undantas. CSV-filen använder följande format:

        AttackSurfaceReductionOnlyExclusions
"C:\folder"
"%ProgramFiles%\folder\file.exe"
"C:\path"
...

        Tips

        Dubbla citattecken runt värdena är valfria och ignoreras (används inte i värdena) om du inkluderar dem. Använd inte enkla citattecken runt värdena.

      Mer information om undantag finns i Fil- och mappundantag för ASR-regler.

    • Aktivera kontrollerad mappåtkomst, Kontrollerad mappåtkomst till skyddade mappar och Kontrollerad mappåtkomst tillåtna program: Mer information finns i Skydda viktiga mappar med kontrollerad mappåtkomst.

Konfigurera ASR-regler i Intune med anpassade profiler med OMA-URIs och CSP:er

Även om slutpunktssäkerhetsprinciper rekommenderas kan du även konfigurera ASR-regler i Intune med hjälp av anpassade profiler som innehåller OMA-URI-profiler (Open Mobile Alliance – Uniform Resource) med hjälp av en CSP (Windows Policy Configuration Service Provider).

Allmän information om OMA-URIs i Intune finns i Distribuera OMA-URIs för att rikta en CSP via Intune och en jämförelse med lokalt.

  1. I Microsoft Intune administrationscenter på https://intune.microsoft.comväljer du Enheter>Hantera enheter>Konfiguration. Eller så kan du gå direkt till Enheterna | Konfigurationssida , använd https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. På fliken Principer i enheter | På konfigurationssidan väljer du Skapa>ny princip.

    Skärmbild av fliken Principer på sidan Enheter – konfiguration i Microsoft Intune administrationscenter med Skapa valt.

  3. I den utfällbara menyn Skapa en profil som öppnas konfigurerar du följande inställningar:

    • Plattform: Välj Windows 10 och senare.
    • Profiltyp: Välj Mallar.
      • I avsnittet Mallnamn som visas väljer du Anpassad.

    Välj Skapa.

    Skärmbild av regelprofilattributen i portalen för Microsoft Intune administrationscenter.

  4. Guiden för anpassade mallar öppnas. På fliken Grundläggande konfigurerar du följande inställningar:

    • Namn: Ange ett unikt namn för mallen.
    • Beskrivning: Ange en valfri beskrivning.

    När du är klar på fliken Grundläggande väljer du Nästa.

  5. På fliken Konfigurationsinställningar väljer du Lägg till.

    Skärmbild som visar konfigurationsinställningarna i Microsoft Intune administrationscenterportalen.

    I den utfällbara menyn Lägg till rad som öppnas konfigurerar du följande inställningar:

    • Namn: Ange ett unikt namn för regeln.

    • Beskrivning: Ange en valfri, kort beskrivning.

    • OMA-URI: Ange enhetsvärdet från CSP:n AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • Datatyp: Välj Sträng.

      • Värde: Använd följande syntax:

        <RuleGuid1>=<ModeForRuleGuid1>
<RuleGuid2>=<ModeForRuleGuid2>
...
<RuleGuidN>=<ModeForRuleGuidN>
        • GUID-värden för ASR-regler är tillgängliga i ASR-regler.
        • Följande regellägen är tillgängliga:
          • 0:Av
          • 1: Blockera
          • 2:Revision
          • 5: Inte konfigurerad
          • 6:Varna

        Till exempel:

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
3b576869-a4ec-4529-8536-b80a7769e899=1
d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
d3e037e1-3eb8-44c8-a917-57927947596d=1
5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

      Skärmbild av den utfällbara menyn Lägg till rad på fliken Konfigurationsinställningar i OMA-URI-konfigurationen i Microsoft Intune administrationscenter.

      När du är klar med den utfällbara menyn Lägg till rad väljer du Spara.

      Tips

      Nu kan du också lägga till globala ASR-regelundantag i den anpassade profilen i stället för att skapa en separat profil bara för undantag. Anvisningar finns i nästa underavsnitt Konfigurera globala ASR-regelundantag i Intune med anpassade profiler med OMA-URIs och CSP:er.

    Gå tillbaka till fliken Konfigurationsinställningar och välj Nästa.

  6. På fliken Tilldelningar konfigurerar du följande inställningar:

    • Avsnitt om inkluderade grupper : Välj något av följande alternativ:
      • Lägg till grupper: Välj en eller flera grupper som ska inkluderas.
      • Lägga till alla användare
      • Lägg till alla enheter
    • Avsnittet Exkluderade grupper : Välj Lägg till grupper om du vill ange vilka grupper som ska undantas.

    När du är klar på fliken Tilldelningar väljer du Nästa.

    Skärmbild av fliken Tilldelningar i OMA-URI-konfigurationen i Microsoft Intune administrationscenter.

  7. På fliken Tillämplighetsregler väljer du Nästa.

    Du kan använda os-utgåvan och os-versionsegenskaperna för att definiera vilka typer av enheter som ska eller inte ska hämta profilen.

    Tillämplighetsreglerna i portalen för Microsoft Intune administrationscenter.

  8. Granska inställningarna på fliken Granska + skapa . Du kan använda Föregående eller välja en flik för att gå tillbaka och göra ändringar.

    När du är redo att skapa profilen väljer du Skapa på fliken Granska + skapa .

    Skärmbild som visar fliken Granska och skapa i portalen för Microsoft Intune administrationscenter.

Du återgår omedelbart till fliken Principerenheter | Konfigurationssida . Du kan behöva välja Uppdatera för att se principen.

ASR-regler är aktiva inom några minuter.

Konfigurera globala ASR-regelundantag i Intune med anpassade profiler med OMA-URIs och CSP:er

Stegen för att konfigurera globala ASR-regelundantag i Intune med hjälp av en anpassad profil liknar i stort sätt ASR-regelstegen i föregående avsnitt. Den enda skillnaden är i steg 5 (fliken Konfigurationsinställningar ) där du anger informationen för UNDANTAG från ASR-regeln:

På fliken Konfigurationsinställningar väljer du Lägg till. I den utfällbara menyn Lägg till rad som öppnas konfigurerar du följande inställningar:

  • Namn: Ange ett unikt namn för regeln.
    • Beskrivning: Ange en valfri, kort beskrivning.
    • OMA-URI: Ange enhetsvärdet från CSP:n AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

      • Datatyp: Välj Sträng.

      • Värde: Använd följande syntax:

        <PathOrPathAndFilename1>
<PathOrPathAndFilename1>
...
<PathOrPathAndFilenameN>

        Till exempel:

        C:\folder
%ProgramFiles%\folder\file.exe
C:\path

När du är klar med den utfällbara menyn Lägg till rad väljer du Spara.

Gå tillbaka till fliken Konfigurationsinställningar och välj Nästa.

Resten av stegen är desamma som att konfigurera ASR-regler.

Konfigurera ASR-regler i alla MDM-lösningar med hjälp av princip-CSP

Med providern för principkonfigurationstjänst (CSP) kan företagsorganisationer konfigurera principer på Windows-enheter med valfri MDM-lösning (hantering av mobila enheter), inte bara Microsoft Intune. Mer information finns i CSP-princip.

Du kan konfigurera ASR-regler med hjälp av CSP:en AttackSurfaceReductionRules med följande inställningar:

OMA-URI-sökväg: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Värde: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • GUID-värden för ASR-regler är tillgängliga på ASR-regler
  • Följande regellägen är tillgängliga:
    • 0:Av
    • 1: Blockera
    • 2:Revision
    • 5: Inte konfigurerad
    • 6:Varna

Till exempel:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Obs!

Se till att ange OMA-URI-värden utan blanksteg.

Konfigurera globala ASR-regelundantag i alla MDM-lösningar med hjälp av princip-CSP

Du kan använda csp-principen för att konfigurera global ASR-regelsökväg och sökväg och filnamnsundantag med hjälp av CSP:n AttackSurfaceReductionOnlyExclusions med följande inställningar:

OMA-URI-sökväg: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Värde: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Till exempel C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Konfigurera ASR-regler och globala ASR-regelundantag i Microsoft Configuration Manager

Anvisningar finns i informationen om minskning av attackytan i Skapa och distribuera en Exploit Guard-princip.

Varning

Det finns ett känt problem med tillämpligheten av minskning av attackytan på Server OS-versioner som är markerade som kompatibla utan någon faktisk tillämpning. För närvarande finns det inget definierat utgivningsdatum för när detta kommer att åtgärdas.

Viktigt

Om du använder "Inaktivera administratörssammanslagning" inställt true på på enheter, och du använder något av följande verktyg/metoder, gäller inte att lägga till ASR-regler per regelundantag eller lokala ASR-regelundantag:

  • Defender för Endpoint Security Settings Management (Disable Local Admin Merge) Fliken Windows-principer på sidan Endpoint Security Policies (Slutpunktssäkerhetsprinciper) i Microsoft Defender portalen påhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
  • Microsoft Intune (Inaktivera lokal Admin sammanslagning)
  • Defender CSP (DisableLocalAdminMerge)
  • grupprincip (Konfigurera beteende för lokal administratörssammanslagning för listor)

Om du vill ändra det här beteendet måste du ändra "Inaktivera administratörssammanslagning" till false.

Konfigurera ASR-regler och undantag i grupprincip

Varning

Om du hanterar dina datorer och enheter med Intune, Microsoft Configuration Manager eller annan hanteringsprogramvara på företagsnivå skriver hanteringsprogramvaran över eventuella motstridiga grupprincipinställningar vid start.

  1. I Centraliserad grupprincip öppnar du grupprincip Management Console (GPMC) på grupprincip-hanteringsdatorn.

  2. I GPMC-konsolträdet expanderar du grupprincip Objekt i skogen och domänen som innehåller det grupprincipobjekt som du vill redigera.

  3. Högerklicka på grupprincipobjektet och välj sedan Redigera.

  4. I grupprincip Management Editor går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard > Attack Surface Reduction.

  5. I informationsfönstret för Minskning av attackytan är de tillgängliga inställningarna:

    Om du vill öppna och konfigurera en ASR-regelinställning använder du någon av följande metoder:

    • Dubbelklicka på inställningen.
    • Högerklicka på inställningen och välj sedan Redigera
    • Välj inställningen och välj sedan Åtgärdsredigering>.

Tips

Du kan också konfigurera grupprincip lokalt på enskilda enheter med hjälp av Redigeraren för lokala grupprincip (gpedit.msc). Gå till samma sökväg: Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.

De tillgängliga inställningarna beskrivs i följande underavsnitt.

Viktigt

Citattecken, inledande blanksteg, avslutande blanksteg och extra tecken stöds inte i något av DE ASR-regelrelaterade värdena i grupprincipen.

grupprincip sökvägar före Windows 10 version 2004 (maj 2020) kan använda Windows Defender Antivirus i stället för Microsoft Defender Antivirus. Båda namnen refererar till samma principplats.

Konfigurera ASR-regler i grupprincip

  1. I informationsfönstret för Minskning av attackytan öppnar du inställningen Konfigurera regler för minskning av attackytan .

  2. Konfigurera följande alternativ i inställningsfönstret som öppnas:

    1. Välj Aktiverad.
    2. Ange tillstånd för varje ASR-regel: Välj Visa....

  3. I dialogrutan Ange tillstånd för varje ASR-regel som öppnas konfigurerar du följande inställningar:

    Skärmbild av Konfigurera regler för minskning av attackytan i grupprincip.

    Mer information finns i ASR-regellägen.

    Upprepa det här steget så många gånger det behövs. När du är klar väljer du OK.

Konfigurera globala ASR-regelundantag i grupprincip

Sökvägarna eller filnamnen med sökvägar som du anger används som undantag för alla ASR-regler.

  1. I informationsfönstret för Minskning av attackytan öppnar du inställningen Exkludera filer och sökvägar från regler för minskning av attackytan .

  2. Konfigurera följande alternativ i inställningsfönstret som öppnas:

    1. Välj Aktiverad.
    2. Undantag från ASR-regler: Välj Visa....

  3. I dialogrutan Undantag från ASR-regler som öppnas konfigurerar du följande inställningar:

    • Värdenamn: Ange sökvägen eller sökvägen och filnamnet som ska undantas från alla ASR-regler.
    • Värde: Ange 0.

    Följande typer av värdenamn stöds:

    • Om du vill exkludera alla filer i en mapp anger du den fullständiga mappsökvägen. Till exempel C:\Data\Test.
    • Om du vill exkludera en specifik fil i en specifik mapp (rekommenderas) anger du sökvägen och filnamnet. Till exempel C:\Data\Test\test.exe.

    Upprepa det här steget så många gånger det behövs. När du är klar väljer du OK.

Konfigurera undantag per ASR-regel i grupprincip

Sökvägarna eller filnamnen med sökvägar som du anger används som undantag för specifika ASR-regler.

Obs!

Om inställningen Tillämpa en lista över undantag för specifika regler för minskning av attackytan (ASR) inte är tillgänglig i gpmc behöver du version 24H2 eller senare av filerna administrativa mallar i ditt centrala arkiv.

  1. I informationsfönstret för Minskning av attackytan öppnar du inställningen Tillämpa en lista över undantag för specifika regler för minskning av attackytan (ASR).

  2. Konfigurera följande alternativ i inställningsfönstret som öppnas:

    1. Välj Aktiverad.
    2. Undantag för varje ASR-regel: Välj Visa....

  3. I dialogrutan Undantag för varje ASR-regel som öppnas konfigurerar du följande inställningar:

    • Värdenamn: Ange GUID-värdet för ASR-regeln.
    • Värde: Ange ett eller flera undantag för ASR-regeln. Använd syntaxen Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Till exempel C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

    Upprepa det här steget så många gånger det behövs. När du är klar väljer du OK.

Konfigurera ASR-regler i PowerShell

Varning

Om du hanterar dina datorer och enheter med Intune, Configuration Manager eller någon annan hanteringsplattform på företagsnivå skriver hanteringsprogramvaran över eventuella motstridiga PowerShell-inställningar vid start.

På målenheten använder du följande PowerShell-kommandosyntax i en upphöjd PowerShell-session (ett PowerShell-fönster som du öppnade genom att välja Kör som administratör):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

  • Set-MpPreferenceskriver över befintliga regler och deras motsvarande lägen med de värden som du anger. Om du vill se listan över befintliga värden kör du följande kommando:

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

    Om du vill lägga till nya regler och deras motsvarande lägen utan att påverka några befintliga värden använder du cmdleten Add-MpPreference . Om du vill ta bort de angivna reglerna och deras motsvarande lägen utan att påverka andra befintliga värden använder du cmdleten Remove-MpPreference . Kommandosyntaxen är identisk för de tre cmdletarna.

  • GUID-värden för ASR-regler är tillgängliga i ASR-regler.

  • Giltiga värden för parametern AttackSurfaceReductionRules_Actions är:

    • 0 eller Disabled
    • 1 eller Enabled (blockeringsläge )
    • 2eller eller AuditModeAudit
    • 5 eller NotConfigured
    • 6 eller Warn

I följande exempel konfigureras de angivna ASR-reglerna på enheten:

  • De två första reglerna är aktiverade i blockeringsläge .
  • Den tredje regeln är inaktiverad.
  • Den sista regeln är aktiverad i granskningsläge .
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Konfigurera globala ASR-regelundantag i PowerShell

På målenheten använder du följande PowerShell-kommandosyntax i en upphöjd PowerShell-session:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

  • Set-MpPreferenceskriver över alla befintliga ASR-regelundantag med de värden som du anger. Om du vill se listan över befintliga värden kör du följande kommando:

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions

    Om du vill lägga till nya undantag utan att påverka några befintliga värden använder du cmdleten Add-MpPreference . Om du vill ta bort de angivna undantagen utan att påverka några andra värden använder du cmdleten Remove-MpPreference . Kommandosyntaxen är identisk för de tre cmdletarna.

    I följande exempel konfigureras den angivna sökvägen och sökvägen med filnamn som undantag för alla ASR-regler på enheten:

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"

Relaterat innehåll

  • Last updated on