Referenční informace k pravidlu omezení potenciální oblasti útoku

Platí pro:

Platformy:

  • Windows

Tento článek obsahuje informace o pravidlech Microsoft Defender for Endpoint omezení potenciální oblasti útoku (pravidla ASR):

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Tip

Jako doplněk k tomuto článku si projděte našeho průvodce nastavením Microsoft Defender for Endpoint, kde najdete osvědčené postupy a seznámíte se se základními nástroji, jako je omezení potenciálních útoků a ochrana nové generace. Pro přizpůsobené prostředí na základě vašeho prostředí můžete získat přístup k průvodci automatizovaným nastavením Defenderu for Endpoint v Centrum pro správu Microsoftu 365.

Pravidla omezení potenciální oblasti útoku podle typu

Pravidla omezení potenciální oblasti útoku jsou kategorizována jako jeden ze dvou typů:

  • Standardní pravidla ochrany: Jedná se o minimální sadu pravidel, která Microsoft doporučuje vždy povolit, zatímco vyhodnocujete účinek a požadavky na konfiguraci ostatních pravidel ASR. Tato pravidla mají obvykle minimální až žádný znatelný dopad na koncového uživatele.

  • Další pravidla: Pravidla, která vyžadují určitou míru dodržování zdokumentovaných kroků nasazení [Povolení plánu > testu (auditování) > (režimy blokování/upozornění)], jak je uvedeno v průvodci nasazením pravidel omezení potenciální oblasti útoku.

Nejjednodušší způsob povolení standardních pravidel ochrany najdete v tématu Zjednodušená možnost standardní ochrany.

Název pravidla ASR: Standardní pravidlo ochrany? Jiné pravidlo?
Blokovat zneužití zneužít ohrožených podepsaných ovladačů Ano
Blokovat Adobe Readeru vytváření podřízených procesů Ano
Blokovat vytváření podřízených procesů všem aplikacím Office Ano
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) Ano
Blokování spustitelného obsahu z e-mailového klienta a webové pošty Ano
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu Ano
Blokování spouštění potenciálně obfuskovaných skriptů Ano
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu Ano
Blokování aplikací Office ve vytváření spustitelného obsahu Ano
Blokování vkládání kódu do jiných procesů aplikací Office Ano
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů Ano
Blokování trvalosti prostřednictvím odběru událostí WMI Ano
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI Ano
Blokování restartování počítače v nouzovém režimu (Preview) Ano
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ano
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview) Ano
Blokování vytváření webového prostředí pro servery Ano
Blokování volání rozhraní API Win32 z maker Office Ano
Použití pokročilé ochrany proti ransomwaru Ano

vyloučení antivirové ochrany a pravidla ASR Microsoft Defender

Microsoft Defender Vyloučení antivirové ochrany se vztahují na některé možnosti Microsoft Defender for Endpoint, jako jsou některá pravidla omezení potenciální oblasti útoku.

Následující pravidla ASR NERESEKUJÍ vyloučení Microsoft Defender Antivirové ochrany:

Název pravidel ASR:
Blokovat Adobe Readeru vytváření podřízených procesů
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
Blokování aplikací Office ve vytváření spustitelného obsahu
Blokování vkládání kódu do jiných procesů aplikací Office
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů

Poznámka

Informace o konfiguraci vyloučení podle pravidel najdete v části Věnované konfiguraci vyloučení pravidel ASR pro jednotlivá pravidla v tématu Testování pravidel omezení potenciální oblasti útoku.

Pravidla ASR a Defender for Endpoint Indicators of Compromise (IOC)

Následující pravidla ASR neresektují Microsoft Defender for Endpoint indikátory ohrožení zabezpečení (IOC):

Název pravidla ASR Popis
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) Neresektuje indikátory ohrožení souborů nebo certifikátů.
Blokování vkládání kódu do jiných procesů aplikací Office Neresektuje indikátory ohrožení souborů nebo certifikátů.
Blokování volání rozhraní API Win32 z maker Office Nedodržuje indikátory ohrožení zabezpečení certifikátů.

Podporované operační systémy pravidel ASR

Následující tabulka obsahuje seznam podporovaných operačních systémů pro pravidla, která jsou aktuálně obecně dostupná. Pravidla jsou v této tabulce uvedená v abecedním pořadí.

Poznámka

Pokud není uvedeno jinak, minimální build Windows10 je verze 1709 (RS3, build 16299) nebo novější; Minimální build Windows Serveru je verze 1809 nebo novější. Pravidla omezení potenciální oblasti útoku v Windows Server 2012 R2 a Windows Server 2016 jsou k dispozici pro zařízení nasazená pomocí moderního balíčku sjednoceného řešení. Další informace najdete v tématu Nové funkce Windows Server 2012 R2 a 2016 v moderním sjednocené řešení.

Název pravidla Windows 11
a
Windows 10
Windows Server 2022
a
Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
Blokovat zneužití zneužít ohrožených podepsaných ovladačů A A A
verze 1803 (Půlroční podnikový kanál) nebo novější
A A
Blokovat Adobe Readeru vytváření podřízených procesů A
verze 1809 nebo novější [3]
A A A A
Blokovat vytváření podřízených procesů všem aplikacím Office A A A A A
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) A
verze 1803 nebo novější [3]
A A A A
Blokování spustitelného obsahu z e-mailového klienta a webové pošty A A A A A
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu A
verze 1803 nebo novější [3]
A A A A
Blokování spouštění potenciálně obfuskovaných skriptů A A A A A
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu A A A N N
Blokování aplikací Office ve vytváření spustitelného obsahu A A A A A
Blokování vkládání kódu do jiných procesů aplikací Office A A A A A
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů A A A A A
Blokování trvalosti prostřednictvím odběru událostí WMI (Windows Management Instrumentation) A
verze 1903 (build 18362) nebo novější [3]
A A
verze 1903 (build 18362) nebo novější
N N
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI A
verze 1803 nebo novější [3]
A A A A
Blokování restartování počítače v nouzovém režimu (Preview) A A A A A
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB A A A A A
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview) A A A A A
Blokování vytváření webového prostředí pro servery N A
Pouze role Exchange
A
Pouze role Exchange
A
Pouze role Exchange
A
Pouze role Exchange
Blokování volání rozhraní API Win32 z maker Office A N N N N
Použití pokročilé ochrany proti ransomwaru A
verze 1803 nebo novější [3]
A A A A

(1) Odkazuje na moderní sjednocené řešení pro Windows Server 2012 a 2016. Další informace najdete v tématu Onboarding Windows Serverů do služby Defender for Endpoint.

(2) Pro Windows Server 2016 a Windows Server 2012 R2 je minimální požadovaná verze aplikace Microsoft Endpoint Configuration Manager verze 2111.

(3) Číslo verze a buildu platí jenom pro Windows10.

Podporované systémy správy konfigurace pravidel ASR

Odkazy na informace o verzích systému pro správu konfigurace, na které odkazuje tato tabulka, jsou uvedeny pod touto tabulkou.

Název pravidla Microsoft Intune Microsoft Endpoint Configuration Manager Zásady skupiny[1] PowerShell[1]
Blokovat zneužití zneužít ohrožených podepsaných ovladačů A A A
Blokovat Adobe Readeru vytváření podřízených procesů A A A
Blokovat vytváření podřízených procesů všem aplikacím Office A A

CB 1710
A A
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) A A

CB 1802
A A
Blokování spustitelného obsahu z e-mailového klienta a webové pošty A A

CB 1710
A A
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu A A

CB 1802
A A
Blokování spouštění potenciálně obfuskovaných skriptů A A

CB 1710
A A
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu A A

CB 1710
A A
Blokování aplikací Office ve vytváření spustitelného obsahu A A

CB 1710
A A
Blokování vkládání kódu do jiných procesů aplikací Office A A

CB 1710
A A
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů A A

CB 1710
A A
Blokování trvalosti prostřednictvím odběru událostí WMI A A A
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI A A A
Blokování restartování počítače v nouzovém režimu (Preview) A A A
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB A A

CB 1802
A A
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview) A A A
Blokování vytváření webového prostředí pro servery A A A
Blokování volání rozhraní API Win32 z maker Office A A

CB 1710
A A
Použití pokročilé ochrany proti ransomwaru A A

CB 1802
A A

(1) Pomocí identifikátoru GUID libovolného pravidla můžete nakonfigurovat pravidla omezení prostoru útoku pro jednotlivá pravidla.

Upozornění a podrobnosti o oznámeních na pravidlo ASR

Informační zprávy se generují pro všechna pravidla v režimu blokování. Pravidla v žádném jiném režimu negenerují informační zprávy.

Pro pravidla se zadaným stavem pravidla:

  • Pravidla ASR s kombinacemi \ASR Rule, Rule State\ se používají k zobrazení upozornění (informačních zpráv) na Microsoft Defender for Endpoint pouze pro zařízení na úrovni blokování cloudu "Vysoká".
  • Zařízení, která nejsou na vysoké úrovni blokování cloudu, negenerují upozornění pro žádné ASR Rule, Rule State kombinace.
  • Upozornění EDR se generují pro pravidla ASR v zadaných stavech, pro zařízení na úrovni bloku cloudu "Vysoká+".
  • Informační zprávy se zobrazují jenom v režimu blokování a u zařízení na úrovni cloudového bloku "Vysoká".
Název pravidla Stav pravidla Upozornění EDR Informační zprávy
Blokovat zneužití zneužít ohrožených podepsaných ovladačů N A
Blokovat Adobe Readeru vytváření podřízených procesů Blokování A A
Blokovat vytváření podřízených procesů všem aplikacím Office N A
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) N N
Blokování spustitelného obsahu z e-mailového klienta a webové pošty A A
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu N A
Blokování spouštění potenciálně obfuskovaných skriptů Audit nebo blokování Y (v režimu bloku)
N (v režimu auditování)
Y (v režimu bloku)
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu Blokování A A
Blokování aplikací Office ve vytváření spustitelného obsahu N A
Blokování vkládání kódu do jiných procesů aplikací Office N A
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů N A
Blokování trvalosti prostřednictvím odběru událostí WMI Audit nebo blokování Y (v režimu bloku)
N (v režimu auditování)
Y (v režimu bloku)
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI N A
Blokování restartování počítače v nouzovém režimu (Preview) N N
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Audit nebo blokování Y (v režimu bloku)
N (v režimu auditování)
Y (v režimu bloku)
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview) N N
Blokování vytváření webového prostředí pro servery N N
Blokování volání rozhraní API Win32 z maker Office N A
Použití pokročilé ochrany proti ransomwaru Audit nebo blokování Y (v režimu bloku)
N (v režimu auditování)
Y (v režimu bloku)

Pravidlo ASR na matici GUID

Název pravidla Identifikátor GUID pravidla
Blokovat zneužití zneužít ohrožených podepsaných ovladačů 56a863a9-875e-4185-98a7-b882c64b5ce5
Blokovat Adobe Readeru vytváření podřízených procesů 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Blokovat vytváření podřízených procesů všem aplikacím Office d4f940ab-401b-4efc-aadc-ad5f3c50688a
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Blokování spustitelného obsahu z e-mailového klienta a webové pošty be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu 01443614-cd74-433a-b99e-2ecdc07bfc25
Blokování spouštění potenciálně obfuskovaných skriptů 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu d3e037e1-3eb8-44c8-a917-57927947596d
Blokování aplikací Office ve vytváření spustitelného obsahu 3b576869-a4ec-4529-8536-b80a7769e899
Blokování vkládání kódu do jiných procesů aplikací Office 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů 26190899-1602-49e8-8b27-eb1d0a1ce869
Blokování trvalosti prostřednictvím odběru událostí WMI
* Vyloučení souborů a složek není podporováno.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Blokování restartování počítače v nouzovém režimu (Preview) 33ddedf1-c6e0-47cb-833e-de6133960387
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Blokování vytváření webového prostředí pro servery a8f5898e-1dc8-49a9-9878-85004b8a61e6
Blokování volání rozhraní API Win32 z maker Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Použití pokročilé ochrany proti ransomwaru c1db55ab-c21a-4637-bb3f-a12568109d35

Režimy pravidel ASR

  • Nenakonfigurováno nebo Zakázáno: Stav, ve kterém není pravidlo ASR povolené nebo zakázané. Kód pro tento stav = 0.
  • Blokovat: Stav, ve kterém je pravidlo ASR povolené. Kód pro tento stav je 1.
  • Audit: Stav, ve kterém se pravidlo ASR vyhodnocuje z hlediska účinku, který by mělo na organizaci nebo prostředí, pokud by bylo povoleno (nastaveno na blokování nebo upozornění). Kód pro tento stav je 2.
  • Varovat Stav, ve kterém je pravidlo ASR povolené a zobrazí koncovému uživateli oznámení, ale umožňuje koncovému uživateli obejít blokování. Kód pro tento stav je 6.

Režim upozornění je typ režimu blokování, který uživatele upozorňuje na potenciálně rizikové akce. Uživatelé můžou zprávu upozornění na blokování obejít a povolit základní akci. Uživatelé můžou vybrat OK , aby vynutili blokování, nebo vybrat možnost vynechat – Odblokovat – prostřednictvím automaticky otevíraného informační zprávy koncového uživatele, které se vygeneruje v době blokování. Po odblokování upozornění je operace povolena až do příštího výskytu zprávy upozornění, kdy bude koncový uživatel muset akci znovu provést.

Po kliknutí na tlačítko Povolit se blok po dobu 24 hodin potlačí. Po 24 hodinách bude muset koncový uživatel blokování znovu povolit. Režim upozornění pro pravidla ASR je podporován pouze pro zařízení RS5+ (1809+). Pokud je k pravidlům ASR na zařízeních se staršími verzemi přiřazeno obcházení, je pravidlo v režimu blokování.

Pravidlo můžete také nastavit v režimu upozornění prostřednictvím PowerShellu AttackSurfaceReductionRules_Actions tak, že zadáte jako "Upozornit". Příklady:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Popisy jednotlivých pravidel

Blokovat zneužití zneužít ohrožených podepsaných ovladačů

Toto pravidlo brání aplikaci v zápisu ohroženého podepsaného ovladače na disk. Místní aplikace, které mají dostatečná oprávnění , můžou ve volné přírodě zneužít ohrožené podepsané ovladače k získání přístupu k jádru. Ohrožené podepsané ovladače umožňují útočníkům zakázat nebo obejít řešení zabezpečení, což nakonec vede k ohrožení systému.

Pravidlo Blokovat zneužití zneužít ohrožených podepsaných ovladačů nezablokuje načtení ovladače, který už v systému existuje.

Poznámka

Toto pravidlo můžete nakonfigurovat pomocí Intune OMA-URI. Informace o konfiguraci vlastních pravidel najdete v tématu Intune OMA-URI. Toto pravidlo můžete také nakonfigurovat pomocí PowerShellu. Pokud chcete ovladač prověřit, použijte tento web k odeslání ovladače k analýze.

název Intune:Block abuse of exploited vulnerable signed drivers

název Configuration Manager: Zatím není k dispozici

IDENTIFIKÁTOR GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Blokovat Adobe Readeru vytváření podřízených procesů

Toto pravidlo brání útokům tím, že aplikaci Adobe Reader blokuje vytváření procesů.

Malware může stahovat a spouštět datové části a vymanit se z Adobe Readeru prostřednictvím sociálního inženýrství nebo zneužití. Blokováním podřízených procesů generovaných aplikací Adobe Reader zabrání šíření malwaru, který se pokouší použít Adobe Reader jako vektor útoku.

název Intune:Process creation from Adobe Reader (beta)

název Configuration Manager: Zatím není k dispozici

IDENTIFIKÁTOR GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Závislosti: Microsoft Defender Antivirus

Blokovat vytváření podřízených procesů všem aplikacím Office

Toto pravidlo blokuje aplikace Office ve vytváření podřízených procesů. Mezi aplikace Office patří Word, Excel, PowerPoint, OneNote a Access.

Vytváření škodlivých podřízených procesů je běžnou strategií malwaru. Malware, který zneužívá Office jako vektor, často spouští makra jazyka VBA a zneužívají kód ke stažení a pokusu o spuštění dalších datových částí. Některé legitimní obchodní aplikace však mohou také generovat podřízené procesy pro neškodné účely; například vytvoření příkazového řádku nebo použití PowerShellu ke konfiguraci nastavení registru.

název Intune:Office apps launching child processes

název Configuration Manager:Block Office application from creating child processes

IDENTIFIKÁTOR GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Závislosti: Microsoft Defender Antivirus

Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows

Poznámka

Pokud máte povolenou ochranu LSA a ochranu Credential Guard , toto pravidlo omezení potenciální oblasti útoku se nevyžaduje.

Toto pravidlo pomáhá zabránit krádeži přihlašovacích údajů tím, že uzamkne službu LSASS (Local Security Authority Subsystem Service).

LSASS ověřuje uživatele, kteří se přihlašují na počítači s Windows. Microsoft Defender Credential Guard ve Windows obvykle brání pokusům o extrakci přihlašovacích údajů z LSASS. Některé organizace nemůžou ochranu Credential Guard povolit na všech svých počítačích kvůli problémům s kompatibilitou s vlastními ovladači čipových karet nebo jinými programy, které se načítají do místního úřadu zabezpečení (LSA). V těchto případech můžou útočníci pomocí nástrojů, jako je Mimikatz, ze služby LSASS vyškrtnout hesla a hodnoty hash PROTOKOLU NTLM.

Ve výchozím nastavení je stav tohoto pravidla nastavený na blokovat. Ve většině případů mnoho procesů volá LSASS pro přístupová práva, která nejsou potřeba. Například když počáteční blokování pravidla ASR vede k následnému volání menšího oprávnění, které následně proběhne úspěšně. Informace o typech práv, která se obvykle vyžadují při volání procesu LSASS, najdete v tématu Zabezpečení procesů a přístupová práva.

Povolení tohoto pravidla neposkytuje další ochranu, pokud máte povolenou ochranu LSA, protože pravidlo ASR a ochrana LSA fungují podobně. Pokud ale ochranu LSA nejde povolit, můžete toto pravidlo nakonfigurovat tak, aby poskytovalo ekvivalentní ochranu před malwarem, který cílí lsass.exena .

Poznámka

V tomto scénáři se pravidlo ASR klasifikuje jako neuvedené v nastavení defenderu pro koncový bod na portálu Microsoft Defender. Pravidlo ASR blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows nepodporuje režim WARN. V některých aplikacích kód vytvoří výčet všech spuštěných procesů a pokusí se je otevřít s vyčerpávajícími oprávněními. Toto pravidlo odmítne akci otevření procesu aplikace a zapíše podrobnosti do protokolu událostí zabezpečení. Toto pravidlo může generovat velké množství šumu. Pokud máte aplikaci, která pouze vytváří výčet LSASS, ale nemá žádný skutečný dopad na funkčnost, není potřeba ji přidávat do seznamu vyloučení. Tato položka protokolu událostí sama o sobě nemusí nutně znamenat škodlivou hrozbu.

název Intune:Flag credential stealing from the Windows local security authority subsystem

název Configuration Manager:Block credential stealing from the Windows local security authority subsystem

IDENTIFIKÁTOR GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Závislosti: Microsoft Defender Antivirus

Blokování spustitelného obsahu z e-mailového klienta a webové pošty

Toto pravidlo blokuje e-maily otevřené v aplikaci Microsoft Outlook nebo Outlook.com a dalších oblíbených poskytovatelů webové pošty šíření následujících typů souborů:

  • Spustitelné soubory (například .exe, .dll nebo .scr)
  • Soubory skriptů (například powershellový .ps1, visual basic .vbs nebo soubor .js JavaScriptu)

název Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

název Microsoft Configuration Manager:Block executable content from email client and webmail

IDENTIFIKÁTOR GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Závislosti: Microsoft Defender Antivirus

Poznámka

Pravidlo Blokovat spustitelný obsah z e-mailového klienta a webové pošty obsahuje následující alternativní popisy v závislosti na tom, kterou aplikaci používáte:

  • Intune (konfigurační profily): Spuštění spustitelného obsahu (exe, dll, ps, js, vbs atd.) vyřazeného z e-mailu (webmail/poštovní klient) (bez výjimek).
  • Configuration Manager: Blokovat stahování spustitelného obsahu z e-mailových a webových e-mailových klientů.
  • Zásady skupiny: Blokovat spustitelný obsah z e-mailového klienta a webové pošty.

Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu

Toto pravidlo blokuje spuštění spustitelných souborů, například .exe, .dll nebo .scr. Spuštění nedůvěryhodných nebo neznámých spustitelných souborů proto může být riskantní, protože nemusí být zpočátku jasné, pokud jsou soubory škodlivé.

Důležité

Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu . Pravidlo Blokovat spouštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu s identifikátorem GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 , vlastní Microsoft a neurčí ho správci. Toto pravidlo používá cloudovou ochranu k pravidelné aktualizaci seznamu důvěryhodných položek. Můžete zadat jednotlivé soubory nebo složky (pomocí cest ke složkám nebo plně kvalifikovaných názvů prostředků), ale nemůžete určit, na která pravidla nebo vyloučení se vztahují.

název Intune:Executables that don't meet a prevalence, age, or trusted list criteria

název Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

IDENTIFIKÁTOR GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Závislosti: Microsoft Defender Antivirus, Cloud Protection

Blokování spouštění potenciálně obfuskovaných skriptů

Toto pravidlo rozpozná podezřelé vlastnosti v obfuskovaném skriptu.

Poznámka

Skripty PowerShellu se teď podporují pro pravidlo blokování spouštění potenciálně obfuskovaných skriptů.

Důležité

Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu.

Obfuskace skriptů je běžná technika, kterou autoři malwaru i legitimní aplikace používají ke skrytí duševního vlastnictví nebo zkrácení doby načítání skriptů. Autoři malwaru také používají obfuskaci, aby škodlivý kód byl obtížně čitelný, což brání podrobnému zkoumání lidí a bezpečnostního softwaru.

název Intune:Obfuscated js/vbs/ps/macro code

název Configuration Manager:Block execution of potentially obfuscated scripts

IDENTIFIKÁTOR GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Závislosti: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)

Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu

Toto pravidlo brání skriptům ve spouštění potenciálně škodlivého staženého obsahu. Malware napsaný v JavaScriptu nebo VBScriptu často funguje jako stahovací modul pro načtení a spuštění dalšího malwaru z internetu. I když to není běžné, obchodní aplikace někdy ke stažení a spouštění instalačních programů používají skripty.

název Intune:js/vbs executing payload downloaded from Internet (no exceptions)

název Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content

IDENTIFIKÁTOR GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Závislosti: Microsoft Defender Antivirus, AMSI

Blokování aplikací Office ve vytváření spustitelného obsahu

Toto pravidlo zabraňuje aplikacím Office, včetně Word, Excelu a PowerPointu, ve vytváření potenciálně škodlivého spustitelného obsahu tím, že blokuje zápis škodlivého kódu na disk. Malware, který zneužívá Office jako vektor, se může pokusit vymanit se z Office a uložit škodlivé komponenty na disk. Tyto škodlivé komponenty by přežily restartování počítače a zůstaly v systému. Proto se toto pravidlo brání před běžnou technikou trvalosti. Toto pravidlo také blokuje spouštění nedůvěryhodných souborů, které mohly být uloženy makry Office, které se můžou spouštět v souborech Office.

název Intune:Office apps/macros creating executable content

název Configuration Manager:Block Office applications from creating executable content

IDENTIFIKÁTOR GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Závislosti: Microsoft Defender Antivirus, RPC

Blokování vkládání kódu do jiných procesů aplikací Office

Toto pravidlo blokuje pokusy o injektáž kódu z aplikací Office do jiných procesů.

Poznámka

Pravidlo ASR blokovat aplikacím vkládání kódu do jiných procesů nepodporuje režim WARN.

Důležité

Aby se změny konfigurace projevily, vyžaduje toto pravidlo restartování Microsoft 365 Apps (aplikace Office).

Útočníci se můžou pokusit použít aplikace Office k migraci škodlivého kódu do jiných procesů prostřednictvím injektáže kódu, aby se kód mohl maskovat jako čistý proces. Neexistují žádné známé legitimní obchodní účely pro použití injektáže kódu.

Toto pravidlo platí pro Word, Excel, OneNote a PowerPoint.

název Intune:Office apps injecting code into other processes (no exceptions)

název Configuration Manager:Block Office applications from injecting code into other processes

IDENTIFIKÁTOR GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Závislosti: Microsoft Defender Antivirus

Blokovat komunikační aplikaci Office ve vytváření podřízených procesů

Toto pravidlo zabraňuje Outlooku ve vytváření podřízených procesů a zároveň povoluje legitimní funkce Outlooku. Toto pravidlo chrání před útoky sociálního inženýrství a zabraňuje zneužití kódu před zneužitím ohrožení zabezpečení v Outlooku. Chrání také před zneužitím pravidel a formulářů Outlooku , které můžou útočníci použít při ohrožení přihlašovacích údajů uživatele.

Poznámka

Toto pravidlo blokuje tipy a popisy zásad ochrany před únikem informací v Outlooku. Toto pravidlo platí jenom pro Outlook a Outlook.com.

název Intune:Process creation from Office communication products (beta)

název Configuration Manager: Není k dispozici

IDENTIFIKÁTOR GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Závislosti: Microsoft Defender Antivirus

Blokování trvalosti prostřednictvím odběru událostí WMI

Toto pravidlo zabraňuje malwaru ve zneužití rozhraní WMI k dosažení trvalosti na zařízení.

Důležité

Vyloučení souborů a složek se nevztahují na toto pravidlo omezení potenciální oblasti útoku.

Hrozby bez souborů používají různé taktiky, aby zůstaly skryté, aby se vyhnuly zobrazení v systému souborů a získaly pravidelnou kontrolu nad prováděním. Některé hrozby můžou zneužít úložiště služby WMI a model událostí, aby zůstaly skryté.

Poznámka

Pokud CcmExec.exe se na zařízení zjistí (SCCM Agent), pravidlo ASR se v nastavení Defenderu for Endpoint na portálu Microsoft Defender klasifikuje jako nepoužitelné.

název Intune:Persistence through WMI event subscription

název Configuration Manager: Není k dispozici

IDENTIFIKÁTOR GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Závislosti: Microsoft Defender Antivirus, RPC

Blokování vytváření procesů pocházejících z příkazů PSExec a WMI

Toto pravidlo blokuje spuštění procesů vytvořených prostřednictvím nástroje PsExec a rozhraní WMI . PsExec i WMI mohou vzdáleně spouštět kód. Existuje riziko, že malware zneužívá funkce PsExec a rozhraní WMI pro účely příkazů a řízení nebo k šíření infekce v síti organizace.

Upozornění

Toto pravidlo používejte jenom v případě, že zařízení spravujete pomocí Intune nebo jiného řešení MDM. Toto pravidlo není kompatibilní se správou přes Microsoft Endpoint Configuration Manager, protože blokuje příkazy rozhraní WMI, které Configuration Manager klient používá ke správnému fungování.

název Intune:Process creation from PSExec and WMI commands

název Configuration Manager: Nejde použít

IDENTIFIKÁTOR GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Závislosti: Microsoft Defender Antivirus

Blokování restartování počítače v nouzovém režimu (Preview)

Toto pravidlo zabraňuje spuštění příkazů pro restartování počítačů v nouzovém režimu. Nouzový režim je diagnostický režim, který načítá jenom základní soubory a ovladače potřebné ke spuštění Windows. V nouzovém režimu je ale řada bezpečnostních produktů buď zakázaná, nebo funguje v omezené kapacitě, což útočníkům umožňuje dále spouštět příkazy pro manipulaci nebo jednoduše spouštět a šifrovat všechny soubory na počítači. Toto pravidlo blokuje takové útoky tím, že zabraňuje procesům restartovat počítače v nouzovém režimu.

Poznámka

Tato funkce je aktuálně ve verzi Preview. Další upgrady pro zlepšení účinnosti jsou ve vývoji.

název Intune:[PREVIEW] Block rebooting machine in Safe Mode

název Configuration Manager: Zatím není k dispozici

IDENTIFIKÁTOR GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Závislosti: Microsoft Defender Antivirus

Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB

Pomocí tohoto pravidla můžou správci zabránit spuštění nepodepsaných nebo nedůvěryhodných spustitelných souborů z vyměnitelných jednotek USB, včetně karet SD. Blokované typy souborů zahrnují spustitelné soubory (například .exe, .dll nebo .scr).

Důležité

Soubory zkopírované z USB na diskovou jednotku budou tímto pravidlem blokovány, pokud a když se chystá spustit na diskové jednotce.

název Intune:Untrusted and unsigned processes that run from USB

název Configuration Manager:Block untrusted and unsigned processes that run from USB

IDENTIFIKÁTOR GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Závislosti: Microsoft Defender Antivirus

Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview)

Toto pravidlo blokuje použití spustitelných souborů, které jsou identifikovány jako kopie systémových nástrojů Windows. Tyto soubory jsou buď duplicitními, nebo podvodníky původních systémových nástrojů. Některé škodlivé programy se můžou pokusit zkopírovat nebo zosobnit systémové nástroje Windows, aby se vyhnuly detekci nebo získaly oprávnění. Povolení takových spustitelných souborů může vést k potenciálním útokům. Toto pravidlo zabraňuje šíření a spouštění takových duplicit a podvodníků systémových nástrojů na počítačích s Windows.

Poznámka

Tato funkce je aktuálně ve verzi Preview. Další upgrady pro zlepšení účinnosti jsou ve vývoji.

název Intune:[PREVIEW] Block use of copied or impersonated system tools

název Configuration Manager: Zatím není k dispozici

IDENTIFIKÁTOR GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Závislosti: Microsoft Defender Antivirus

Blokování vytváření webového prostředí pro servery

Toto pravidlo blokuje vytváření skriptů webového prostředí na Microsoft Serveru, roli Exchange. Skript webového prostředí je speciálně vytvořený skript, který umožňuje útočníkovi řídit napadený server. Webové prostředí může obsahovat funkce, jako je příjem a spouštění škodlivých příkazů, stahování a spouštění škodlivých souborů, krádež a exfiltrace přihlašovacích údajů a citlivých informací, identifikace potenciálních cílů atd.

název Intune:Block Webshell creation for Servers

IDENTIFIKÁTOR GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Závislosti: Microsoft Defender Antivirus

Blokování volání rozhraní API Win32 z maker Office

Toto pravidlo brání makrům jazyka VBA v volání rozhraní API Win32. Office VBA umožňuje volání rozhraní API Win32. Malware může tuto funkci zneužít, například voláním rozhraní API Win32 spustit škodlivý shellcode , aniž by bylo nutné něco zapsat přímo na disk. Většina organizací při každodenním fungování nespoléhá na schopnost volat rozhraní API Win32, a to ani v případě, že používají makra jinými způsoby.

název Intune:Win32 imports from Office macro code

název Configuration Manager:Block Win32 API calls from Office macros

IDENTIFIKÁTOR GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Závislosti: Microsoft Defender Antivirus, AMSI

Použití pokročilé ochrany proti ransomwaru

Toto pravidlo poskytuje další vrstvu ochrany před ransomwarem. K určení, jestli se soubor podobá ransomwaru, používá klientskou i cloudovou heuristiku. Toto pravidlo neblokuje soubory, které mají jednu nebo více následujících charakteristik:

  • V cloudu Microsoftu už bylo zjištěno, že soubor není sdílený.
  • Jedná se o platný podepsaný soubor.
  • Soubor je natolik rozšířený, že se nepovažuje za ransomware.

Pravidlo má tendenci chybovat na straně opatrnosti, aby se zabránilo ransomwaru.

Poznámka

Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu .

název Intune:Advanced ransomware protection

název Configuration Manager:Use advanced protection against ransomware

IDENTIFIKÁTOR GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Typ akce rozšířeného proaktivního vyhledávání:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Závislosti: Microsoft Defender Antivirus, Cloud Protection

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.