Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tips
Som ett komplement till den här artikeln kan du läsa vår installationsguide för Security Analyzer för att granska metodtips och lära dig att stärka skydd, förbättra efterlevnaden och navigera i cybersäkerhetslandskapet med tillförsikt. För en anpassad upplevelse baserat på din miljö kan du komma åt den automatiserade installationsguiden för Security Analyzer i Administrationscenter för Microsoft 365.
Organisationens attackyta omfattar alla platser där en angripare kan få åtkomst. Mer information finns i Minska attackytan i Microsoft Defender för Endpoint.
Regler för minskning av attackytan (ASR) i Microsoft Defender Antivirus riktar in sig på riskfyllda programvarubeteenden på Windows-enheter som angripare ofta utnyttjar via skadlig kod. Till exempel:
- Starta körbara filer och skript som försöker ladda ned eller köra filer.
- Köra dolda eller på annat sätt ej betrodda skript.
- Skapa underordnade processer från potentiellt sårbara program (till exempel Office-appar).
- Mata in kod i andra processer.
Även om legitima appar också kan göra dessa saker använder angripare ofta skadlig kod som fungerar på samma sätt.
Se följande serie med artiklar för att planera, testa, implementera och övervaka ASR-regler:
Tips
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
ASR-regler
ASR-regler grupperas i följande kategorier:
Standardskyddsregler ger betydande säkerhetsfördelar, så Microsoft rekommenderar att du aktiverar dem i blockeringsläge utan att behöva utföra omfattande testning. Dessa regler har vanligtvis minimal eller ingen märkbar effekt på användarna, men det finns undantag:
- Blockera beständighet via WMI-händelseprenumeration: Om du använder Microsoft Configuration Manager för att hantera enheter ska du inte använda andra tillgängliga distributionsmetoder (till exempel grupprincip eller PowerShell) för att aktivera den här regeln i läget Blockera eller Varna på enheten utan omfattande testning i granskningsläge. Configuration Manager-klienten är starkt beroende av WMI.
- Blockera stöld av autentiseringsuppgifter från undersystemet Lokal säkerhetsutfärdare i Windows: Om du har aktiverat LSA-skydd (Local Security Authority) (rekommenderas tillsammans med Credential Guard) är den här regeln redundant.
Andra ASR-regler ger viktigt skydd, men kräver testning i granskningsläge innan du aktiverar dem i läget Blockera eller Varna enligt beskrivningen i distributionsguiden för regler för minskning av attackytan.
De tillgängliga ASR-reglerna, deras motsvarande GUID-värden och deras kategorier beskrivs i följande tabell:
Länkarna i regelnamnen tar dig till detaljerade regelbeskrivningar i referensartikeln om ASR-regler .
Förutom slutpunktssäkerhetsprinciper i Microsoft Intune och Microsoft Configuration Manager identifierar alla andra KONFIGURATIONsmetoder för ASR-regler regler efter GUID-värde.
Eventuella skillnader i ASR-regelnamn mellan Microsoft Intune och Microsoft Configuration Manager beskrivs i tabellen.
Tips
Microsoft Configuration Manager var tidigare känt under andra namn:
- Microsoft System Center Configuration Manager: version 1511 till 1906 (november 2015 till juli 2019)
- Microsoft Endpoint Configuration Manager: version 1910 till 2211 (december 2019 till december 2022)
- Microsoft Configuration Manager: version 2303 (april 2023) eller senare
Information om support och uppdateringar finns i Uppdateringar och service för Configuration Manager.
| Regelnamn i Microsoft Intune | Regelnamn i Microsoft Configuration Manager | GUID | Kategori |
|---|---|---|---|
| Standardskyddsregler | |||
| Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet) | Saknas | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Misc |
| Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows | Samma | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Lateral förflyttning & stöld av autentiseringsuppgifter |
| Blockera beständighet via WMI-händelseprenumeration | Saknas | e6db77e5-3df2-4cf1-b95a-636979351e5b | Lateral förflyttning & stöld av autentiseringsuppgifter |
| Andra ASR-regler | |||
| Blockera Adobe Reader från att skapa underordnade processer | Saknas | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Produktivitetsappar |
| Blockera alla Office-program från att skapa underordnade processer | Blockera Office-program från att skapa underordnade processer | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Produktivitetsappar |
| Blockera körbart innehåll från e-postklienten och webbmeddelandet | Samma | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | E-post |
| Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista | Blockera körbara filer från att köras om de inte uppfyller ett villkor för prevalens, ålder eller betrodd lista | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Polymorfa hot |
| Blockera körning av potentiellt dolda skript | Samma | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Skript |
| Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll | Samma | d3e037e1-3eb8-44c8-a917-57927947596d | Skript |
| Blockera Office-program från att skapa körbart innehåll | Samma | 3b576869-a4ec-4529-8536-b80a7769e899 | Produktivitetsappar |
| Blockera Office-program från att mata in kod i andra processer | Samma | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Produktivitetsappar |
| Blockera Office-kommunikationsprogram från att skapa underordnade processer | Saknas | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, Produktivitetsappar |
| Blockera processskapanden från PSExec- och WMI-kommandon | Saknas | d1e49aac-8f56-4280-b9ba-993a6d77406c | Lateral förflyttning & stöld av autentiseringsuppgifter |
| Blockera omstart av datorn i felsäkert läge | Saknas | 33ddedf1-c6e0-47cb-833e-de6133960387 | Misc |
| Blockera obetrodda och osignerade processer som körs från USB | Samma | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Polymorfa hot |
| Blockera användning av kopierade eller personifierade systemverktyg | Saknas | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Misc |
| Blockera skapande av WebShell för servrar | Saknas | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Misc |
| Blockera Win32 API-anrop från Office-makron | Samma | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | Produktivitetsappar |
| Använda avancerat skydd mot utpressningstrojaner | Samma | c1db55ab-c21a-4637-bb3f-a12568109d35 | Polymorfa hot |
Krav för ASR-regler
ASR-regler kräver Microsoft Defender Antivirus som den primära antivirusappen på Windows-enheter:
Microsoft Defender Antivirus måste vara aktiverat och i aktivt läge. Mer specifikt kan Microsoft Defender Antivirus inte finnas i något av följande lägen:
- Passiv
- Passivt läge med slutpunktsidentifiering och svar (EDR) i blockläge
- Begränsad periodisk genomsökning (LPS)
- Av
Mer information om lägen i Microsoft Defender Antivirus finns i Så här påverkar Microsoft Defender Antivirus Funktionerna i Defender för Endpoint.
Realtidsskydd i Microsoft Defender Antivirus måste vara aktiverat.
Molnbaserat skydd (kallas även Microsoft Advanced Protection Service eller MAPS) är viktigt för ASR-regelfunktioner. Molnskydd förbättrar standardskyddet i realtid och är en viktig del av att förhindra intrång från skadlig kod. Vissa ASR-regler har specifikt krav för skydd mot molnleverans för aviseringar om slutpunktsidentifiering och svar (EDR) i popup-fönster för Defender för Endpoint och användarmeddelanden. Mer information finns i Aviseringar och meddelanden från ASR-regelåtgärder.
Av samma anledning måste din miljö tillåta anslutningar till Microsoft Defender Antivirus-molntjänsten.
Microsoft Defender Antivirus-komponentversioner får inte vara fler än två versioner som är äldre än den senaste tillgängliga versionen:
- Plattformsuppdateringsversion: Uppdaterad varje månad.
- MEngine-version: Uppdateras varje månad.
- Säkerhetsinformation: Microsoft uppdaterar kontinuerligt säkerhetsinformation (även kallade definitioner och signaturer) för att hantera de senaste hoten och förfina identifieringslogik.
Genom att hålla Microsoft Defender antivirusversioner aktuella kan du minska antalet falska positiva identifieringar av ASR-regler och förbättra Microsoft Defender funktioner för identifiering av antivirusprogram. Mer information om aktuella versioner och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Microsoft Defender Stöd för antivirusplattform.
Även om ASR-regler inte kräver Microsoft 365 E5 rekommenderar Microsoft säkerhetsfunktionerna i E5 eller motsvarande prenumerationer för att dra nytta av följande avancerade hanteringsfunktioner:
- Övervakning, analys och arbetsflöden i Defender för Endpoint.
- Rapporterings- och konfigurationsfunktioner i Microsoft Defender XDR-portalen.
Avancerade hanteringsfunktioner är inte tillgängliga med andra licenser (till exempel Windows Professional eller Microsoft 365 E3). Du kan dock utveckla egna övervaknings- och rapporteringsverktyg ovanpå DE ASR-regelhändelser som genereras i Windows Loggboken på varje enhet (till exempel Vidarebefordran av Windows-händelser).
Mer information om Windows-licensiering finns i Windows-licensiering och hämta microsofts referensguide för volymlicensiering.
Operativsystem som stöds för ASR-regler
ASR-regler är en Microsoft Defender Antivirus-funktion som finns i alla versioner av Windows som innehåller Microsoft Defender Antivirus (till exempel Windows 11 Home). Du kan konfigurera ASR-regler lokalt på enheter med hjälp av PowerShell eller grupprincip.
Centraliserad hantering, rapportering och avisering för ASR-regler i Microsoft Defender för Endpoint är tillgängliga i följande utgåvor och versioner av Windows:
- Pro- och Enterprise-utgåvor av Windows 10 eller senare.
- Windows Server 2012 R2 eller senare.
- Azure Local (kallades tidigare Azure Stack HCI) version 23H2 eller senare.
Mer information om stöd för operativsystem finns i Operativsystemstöd för ASR-regler.
Lägen för ASR-regler
En ASR-regel kan vara i något av följande lägen enligt beskrivningen i följande tabell:
| Regelläge | Kod | Beskrivning |
|---|---|---|
|
Av eller Inaktiverad |
0 | ASR-regeln är uttryckligen inaktiverad. Det här värdet kan orsaka konflikter när samma enhet tilldelas samma ASR-regel i olika lägen av olika principer. |
|
Blockera eller Aktiverat |
1 | ASR-regeln är aktiverad i blockeringsläge . |
|
Granska eller Granskningsläge |
2 | ASR-regeln är aktiverad som i blockeringsläge , men utan att vidta några åtgärder. Identifieringar för ASR-regler i granskningsläge är tillgängliga på följande platser:
|
| Inte konfigurerad | 5 | ASR-regeln är inte uttryckligen aktiverad. Det här värdet är funktionellt likvärdigt med Inaktiverad eller Av, men utan risk för regelkonflikter. |
|
Varna eller Varning |
6 | ASR-regeln är aktiverad som i blockeringsläge , men användarna kan välja Avblockera i popup-fönstret med varningsmeddelandet för att kringgå blocket i 24 timmar. Efter 24 timmar måste användaren kringgå blocket igen. Varningsläget stöds i Windows 10 version 1809 (november 2018) eller senare. ASR-regler i varningsläge på versioner av Windows som inte stöds är effektivt i blockeringsläge (förbikoppling är inte tillgängligt). Varningsläget är inte tillgängligt i Microsoft Configuration Manager. Varningsläget har följande Microsoft Defender krav på antivirusversion:
Följande ASR-regler stöder inte varningsläge : |
Microsoft rekommenderar blockeringsläge för standardskyddsregler och inledande testning i granskningsläge för andra ASR-regler innan de aktiveras i läget Blockera eller Varna .
Många verksamhetsspecifika program är skrivna med begränsade säkerhetsproblem, och de kan fungera på sätt som liknar skadlig kod. Genom att övervaka data från ASR-regler i granskningsläge och lägga till undantag för obligatoriska appar kan du distribuera ASR-regler utan att minska produktiviteten.
Innan du aktiverar ASR-regler i blockeringsläge bör du utvärdera deras effekter i granskningsläge och säkerhetsrekommendationer. Mer information finns i Testa ASR-regler.
Distributions- och konfigurationsmetoder för ASR-regler
Microsoft Defender för Endpoint stöder ASR-regler men innehåller inte någon inbyggd metod för att distribuera ASR-regelinställningar till enheter. I stället använder du ett separat distributions- eller hanteringsverktyg för att skapa och distribuera ASR-regelprinciper till enheter. Alla distributionsmetoder stöder inte alla ASR-regler. Information per regel finns i Stöd för distributionsmetod för ASR-regler.
I följande tabell sammanfattas de tillgängliga metoderna. Detaljerade konfigurationsinstruktioner finns i Konfigurera regler och undantag för minskning av attackytan (ASR).
| Metod | Beskrivning |
|---|---|
| Microsoft Intune slutpunktssäkerhetsprinciper | Den rekommenderade metoden för att konfigurera och distribuera ASR-regelprinciper till enheter. Kräver Microsoft Intune abonnemang 1 (ingår i prenumerationer som Microsoft 365 E3 eller tillgängligt som ett fristående tillägg). |
| Microsoft Intune anpassade profiler med OMA-URI:er | En alternativ metod för att konfigurera ASR-regler i Intune med oma-URI-profiler (Open Mobile Alliance – Uniform Resource). |
| Alla MDM-lösningar med hjälp av csp-principen | Använd Konfigurationstjänstprovidern för Windows Policy (CSP) med valfri MDM-lösning. |
| Microsoft Configuration Manager | Använder Microsoft Defender Antivirus-principen på arbetsytan Tillgångar och efterlevnad. |
| Grupprincip | Använd centraliserade grupprincip för att konfigurera och distribuera ASR-regler till domänanslutna enheter. Eller så kan du konfigurera grupprincip lokalt på enskilda enheter. |
| PowerShell | Konfigurera ASR-regler lokalt på enskilda enheter. PowerShell stöder alla ASR-regler. |
Fil- och mappundantag för ASR-regler
Viktigt
Exkludering av filer eller mappar kan avsevärt minska ASR-regelskyddet. Undantagna filer tillåts att köras och inga rapporter eller händelser om filen registreras. Om ASR-regler identifierar filer som inte ska identifieras använder du granskningsläget för att testa regeln.
Du kan undanta specifika filer och mappar från att utvärderas av ASR-regler. Även om en ASR-regel bestämmer att filen eller mappen innehåller skadligt beteende blockerar den inte de undantagna filerna från att köras.
Du kan använda följande metoder för att undanta filer och mappar från ASR-regler:
Microsoft Defender Antivirusundantag: Alla ASR-regler följer inte dessa undantag. Mer information om Microsoft Defender antivirusundantag finns i Konfigurera anpassade undantag för Microsoft Defender Antivirus.
Tips
Alla ASR-regler respekterar processundantag i Microsoft Defender Antivirus.
Globala ASR-regelundantag: Dessa undantag gäller för alla ASR-regler. Alla konfigurationsmetoder för ASR-regler stöder även konfigurering av globala ASR-regelundantag.
Regelundantag per ASR: Tilldela olika undantag selektivt till olika ASR-regler. Endast följande konfigurationsmetoder för ASR-regler stöder även konfiguration av regelundantag per ASR:
- grupprincip (och motsvarande registerinställningar)
- Slutpunktssäkerhetsprinciper i Microsoft Intune.
Indikatorer för kompromettering (IoCs): De flesta ASR-regler respekterar IoCs för blockerade filer och blockerade certifikat. Mer information om IoCs finns i Översikt över indikatorer i Microsoft Defender för Endpoint.
Tillämpningen av olika typer av undantag för ASR-regler sammanfattas i följande tabell:
| Regelnamn | Respekterar MDAV-fil och mappundantag |
Respekterar global ASR Undantag |
Regel för att respektera per ASR Undantag |
Hedrar IoCs för Filer |
Hedrar IoCs för Certifikat |
|---|---|---|---|---|---|
| Standardskyddsregler | |||||
| Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet) | J | J | J | J | J |
| Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows | N | J | J | N | N |
| Blockera beständighet via WMI-händelseprenumeration | N | J | J | N | N |
| Andra ASR-regler | |||||
| Blockera Adobe Reader från att skapa underordnade processer | N | J | J | J | J |
| Blockera alla Office-program från att skapa underordnade processer | J | J | J | J | J |
| Blockera körbart innehåll från e-postklienten och webbmeddelandet | J | J | J | J | J |
| Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista | J | J | J | J | J |
| Blockera körning av potentiellt dolda skript | J | J | J | J | J |
| Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll | J | J | J | J | J |
| Blockera Office-program från att skapa körbart innehåll | N | J | J | J | J |
| Blockera Office-program från att mata in kod i andra processer | N | J | J | N | N |
| Blockera Office-kommunikationsprogram från att skapa underordnade processer | N | J | J | J | J |
| Blockera processskapanden från PSExec- och WMI-kommandon | N | J | J | J | J |
| Blockera omstart av datorn i felsäkert läge | J | J | J | J | J |
| Blockera obetrodda och osignerade processer som körs från USB | J | J | J | J | J |
| Blockera användning av kopierade eller personifierade systemverktyg | J | J | J | J | J |
| Blockera skapande av WebShell för servrar | J | J | J | J | J |
| Blockera Win32 API-anrop från Office-makron | J | J | J | J | N |
| Använda avancerat skydd mot utpressningstrojaner | J | J | J | J | J |
Tänk på följande när du lägger till undantag:
Undantagssökvägar kan använda miljövariabler och jokertecken. Mer information finns i Använda jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg.
Tips
Använd inte användarmiljövariabler som jokertecken i mapp- och processundantag. Använd endast följande typer av miljövariabler som jokertecken:
- Systemmiljövariabler.
- Miljövariabler som gäller för processer som körs som NT AUTHORITY\SYSTEM-konto.
En lista över systemmiljövariabler finns i Systemmiljövariabler.
- Jokertecken kan inte definiera en enhetsbeteckning.
- Om du vill undanta fler än en mapp i en sökväg använder du flera instanser av
\*\för att ange flera kapslade mappar. Till exempelc:\Folder\*\*\Test. - Microsoft Configuration Manager stöder jokertecken (
*eller?). - Om du vill exkludera en fil som innehåller slumpmässiga tecken (till exempel från automatisk filgenerering) använder du
?symbolen. Till exempelC:\Folder\fileversion?.docx.
Undantag gäller endast när programmet eller tjänsten startar. Om du till exempel lägger till ett undantag för en uppdateringstjänst som redan körs fortsätter uppdateringstjänsten att utlösa ASR-regelidentifieringar tills du startar om tjänsten.
Principkonflikter i ASR-regler
Om samma enhet tilldelas två olika ASR-regelprinciper kan potentiella konflikter uppstå baserat på följande element:
- Om samma ASR-regler tilldelas i olika lägen.
- Om konflikthantering är på plats.
- Om resultatet är ett fel.
Asr-regler som inte konfigureras resulterar inte i fel. Den första regeln tillämpas och efterföljande icke-konfigurationsregler slås samman i principen.
Om en MDM-lösning (hantering av mobila enheter) och grupprincip tillämpa olika ASR-regelinställningar på samma enhet prioriteras de grupprincip inställningarna.
Information om hur asr-regelinställningskonflikter hanteras för tillgängliga distributionsmetoder i Microsoft Intune finns i Enheter som hanteras av Intune.
Meddelanden och aviseringar för ASR-regler
När en ASR-regel i läget Blockera eller Varna utlöses på en enhet visas ett meddelande på enheten. Du kan anpassa informationen i meddelandena. Mer information finns i Anpassa kontaktinformation i Windows-säkerhet.
Aviseringar om slutpunktsidentifiering och svar (EDR) i Defender för Endpoint genereras när ASR-regler som stöds utlöses.
Specifik information om aviserings- och aviseringsfunktioner finns i Aviseringar och meddelanden från ASR-regelåtgärder.
Information om hur du visar ASR-aviseringsaktivitet i Microsoft Defender-portalen och på enheter i Windows Loggboken finns i Övervaka regelaktivitet för minskning av attackytan (ASR).
Övervaka ASR-regelaktivitet
Fullständig information finns i Övervaka regelaktivitet för minskning av attackytan (ASR).
Relaterat innehåll
- Regler för minskning av attackytan (ASR): Distributionsguide
- Planera distributionen av regler för minskning av attackytan (ASR)
- Testa distributionen av regler för minskning av attackytan (ASR)
- Aktivera regler för minskning av attackytan (ASR)
- Hantera och övervaka distributionen av regler för minskning av attackytan (ASR)
- Övervaka regelaktivitet för minskning av attackytan (ASR)
- Rapport över regler för minskning av attackytan (ASR)
- Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus