Referenční informace k pravidlu omezení potenciální oblasti útoku
Platí pro:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platformy:
- Windows
Tento článek obsahuje informace o pravidlech Microsoft Defender for Endpoint omezení potenciální oblasti útoku (pravidla ASR):
- Podporované verze operačního systému pravidel ASR
- Podporované systémy správy konfigurace pravidel ASR
- Upozornění a podrobnosti o oznámeních na pravidlo ASR
- Pravidlo ASR na matici GUID
- Režimy pravidel ASR
- Popisy jednotlivých pravidel
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Tip
Jako doplněk k tomuto článku si projděte našeho průvodce nastavením Microsoft Defender for Endpoint, kde najdete osvědčené postupy a seznámíte se se základními nástroji, jako je omezení potenciálních útoků a ochrana nové generace. Pro přizpůsobené prostředí na základě vašeho prostředí můžete získat přístup k průvodci automatizovaným nastavením Defenderu for Endpoint v Centrum pro správu Microsoftu 365.
Pravidla omezení potenciální oblasti útoku podle typu
Pravidla omezení potenciální oblasti útoku jsou kategorizována jako jeden ze dvou typů:
Standardní pravidla ochrany: Jedná se o minimální sadu pravidel, která Microsoft doporučuje vždy povolit, zatímco vyhodnocujete účinek a požadavky na konfiguraci ostatních pravidel ASR. Tato pravidla mají obvykle minimální až žádný znatelný dopad na koncového uživatele.
Další pravidla: Pravidla, která vyžadují určitou míru dodržování zdokumentovaných kroků nasazení [Povolení plánu > testu (auditování) > (režimy blokování/upozornění)], jak je uvedeno v průvodci nasazením pravidel omezení potenciální oblasti útoku.
Nejjednodušší způsob povolení standardních pravidel ochrany najdete v tématu Zjednodušená možnost standardní ochrany.
Název pravidla ASR: | Standardní pravidlo ochrany? | Jiné pravidlo? |
---|---|---|
Blokovat zneužití zneužít ohrožených podepsaných ovladačů | Ano | |
Blokovat Adobe Readeru vytváření podřízených procesů | Ano | |
Blokovat vytváření podřízených procesů všem aplikacím Office | Ano | |
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) | Ano | |
Blokování spustitelného obsahu z e-mailového klienta a webové pošty | Ano | |
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu | Ano | |
Blokování spouštění potenciálně obfuskovaných skriptů | Ano | |
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu | Ano | |
Blokování aplikací Office ve vytváření spustitelného obsahu | Ano | |
Blokování vkládání kódu do jiných procesů aplikací Office | Ano | |
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů | Ano | |
Blokování trvalosti prostřednictvím odběru událostí WMI | Ano | |
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI | Ano | |
Blokování restartování počítače v nouzovém režimu (Preview) | Ano | |
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ano | |
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview) | Ano | |
Blokování vytváření webového prostředí pro servery | Ano | |
Blokování volání rozhraní API Win32 z maker Office | Ano | |
Použití pokročilé ochrany proti ransomwaru | Ano |
vyloučení antivirové ochrany a pravidla ASR Microsoft Defender
Microsoft Defender Vyloučení antivirové ochrany se vztahují na některé možnosti Microsoft Defender for Endpoint, jako jsou některá pravidla omezení potenciální oblasti útoku.
Následující pravidla ASR NERESEKUJÍ vyloučení Microsoft Defender Antivirové ochrany:
Poznámka
Informace o konfiguraci vyloučení podle pravidel najdete v části Věnované konfiguraci vyloučení pravidel ASR pro jednotlivá pravidla v tématu Testování pravidel omezení potenciální oblasti útoku.
Pravidla ASR a Defender for Endpoint Indicators of Compromise (IOC)
Následující pravidla ASR neresektují Microsoft Defender for Endpoint indikátory ohrožení zabezpečení (IOC):
Název pravidla ASR | Popis |
---|---|
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) | Neresektuje indikátory ohrožení souborů nebo certifikátů. |
Blokování vkládání kódu do jiných procesů aplikací Office | Neresektuje indikátory ohrožení souborů nebo certifikátů. |
Blokování volání rozhraní API Win32 z maker Office | Nedodržuje indikátory ohrožení zabezpečení certifikátů. |
Podporované operační systémy pravidel ASR
Následující tabulka obsahuje seznam podporovaných operačních systémů pro pravidla, která jsou aktuálně obecně dostupná. Pravidla jsou v této tabulce uvedená v abecedním pořadí.
Poznámka
Pokud není uvedeno jinak, minimální build Windows10 je verze 1709 (RS3, build 16299) nebo novější; Minimální build Windows Serveru je verze 1809 nebo novější. Pravidla omezení potenciální oblasti útoku v Windows Server 2012 R2 a Windows Server 2016 jsou k dispozici pro zařízení nasazená pomocí moderního balíčku sjednoceného řešení. Další informace najdete v tématu Nové funkce Windows Server 2012 R2 a 2016 v moderním sjednocené řešení.
(1) Odkazuje na moderní sjednocené řešení pro Windows Server 2012 a 2016. Další informace najdete v tématu Onboarding Windows Serverů do služby Defender for Endpoint.
(2) Pro Windows Server 2016 a Windows Server 2012 R2 je minimální požadovaná verze aplikace Microsoft Endpoint Configuration Manager verze 2111.
(3) Číslo verze a buildu platí jenom pro Windows10.
Podporované systémy správy konfigurace pravidel ASR
Odkazy na informace o verzích systému pro správu konfigurace, na které odkazuje tato tabulka, jsou uvedeny pod touto tabulkou.
(1) Pomocí identifikátoru GUID libovolného pravidla můžete nakonfigurovat pravidla omezení prostoru útoku pro jednotlivá pravidla.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM je teď Microsoft Configuration Manager.
Upozornění a podrobnosti o oznámeních na pravidlo ASR
Informační zprávy se generují pro všechna pravidla v režimu blokování. Pravidla v žádném jiném režimu negenerují informační zprávy.
Pro pravidla se zadaným stavem pravidla:
- Pravidla ASR s kombinacemi
\ASR Rule, Rule State\
se používají k zobrazení upozornění (informačních zpráv) na Microsoft Defender for Endpoint pouze pro zařízení na úrovni blokování cloudu "Vysoká". - Zařízení, která nejsou na vysoké úrovni blokování cloudu, negenerují upozornění pro žádné
ASR Rule, Rule State
kombinace. - Upozornění EDR se generují pro pravidla ASR v zadaných stavech, pro zařízení na úrovni bloku cloudu "Vysoká+".
- Informační zprávy se zobrazují jenom v režimu blokování a u zařízení na úrovni cloudového bloku "Vysoká".
Pravidlo ASR na matici GUID
Název pravidla | Identifikátor GUID pravidla |
---|---|
Blokovat zneužití zneužít ohrožených podepsaných ovladačů | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Blokovat Adobe Readeru vytváření podřízených procesů | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Blokovat vytváření podřízených procesů všem aplikacím Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Blokování spustitelného obsahu z e-mailového klienta a webové pošty | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Blokování spouštění potenciálně obfuskovaných skriptů | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu | d3e037e1-3eb8-44c8-a917-57927947596d |
Blokování aplikací Office ve vytváření spustitelného obsahu | 3b576869-a4ec-4529-8536-b80a7769e899 |
Blokování vkládání kódu do jiných procesů aplikací Office | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Blokování trvalosti prostřednictvím odběru událostí WMI * Vyloučení souborů a složek není podporováno. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Blokování restartování počítače v nouzovém režimu (Preview) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Blokování vytváření webového prostředí pro servery | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Blokování volání rozhraní API Win32 z maker Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Použití pokročilé ochrany proti ransomwaru | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Režimy pravidel ASR
- Nenakonfigurováno nebo Zakázáno: Stav, ve kterém není pravidlo ASR povolené nebo zakázané. Kód pro tento stav = 0.
- Blokovat: Stav, ve kterém je pravidlo ASR povolené. Kód pro tento stav je 1.
- Audit: Stav, ve kterém se pravidlo ASR vyhodnocuje z hlediska účinku, který by mělo na organizaci nebo prostředí, pokud by bylo povoleno (nastaveno na blokování nebo upozornění). Kód pro tento stav je 2.
- Varovat Stav, ve kterém je pravidlo ASR povolené a zobrazí koncovému uživateli oznámení, ale umožňuje koncovému uživateli obejít blokování. Kód pro tento stav je 6.
Režim upozornění je typ režimu blokování, který uživatele upozorňuje na potenciálně rizikové akce. Uživatelé můžou zprávu upozornění na blokování obejít a povolit základní akci. Uživatelé můžou vybrat OK , aby vynutili blokování, nebo vybrat možnost vynechat – Odblokovat – prostřednictvím automaticky otevíraného informační zprávy koncového uživatele, které se vygeneruje v době blokování. Po odblokování upozornění je operace povolena až do příštího výskytu zprávy upozornění, kdy bude koncový uživatel muset akci znovu provést.
Po kliknutí na tlačítko Povolit se blok po dobu 24 hodin potlačí. Po 24 hodinách bude muset koncový uživatel blokování znovu povolit. Režim upozornění pro pravidla ASR je podporován pouze pro zařízení RS5+ (1809+). Pokud je k pravidlům ASR na zařízeních se staršími verzemi přiřazeno obcházení, je pravidlo v režimu blokování.
Pravidlo můžete také nastavit v režimu upozornění prostřednictvím PowerShellu AttackSurfaceReductionRules_Actions
tak, že zadáte jako "Upozornit". Příklady:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Popisy jednotlivých pravidel
Blokovat zneužití zneužít ohrožených podepsaných ovladačů
Toto pravidlo brání aplikaci v zápisu ohroženého podepsaného ovladače na disk. Místní aplikace, které mají dostatečná oprávnění , můžou ve volné přírodě zneužít ohrožené podepsané ovladače k získání přístupu k jádru. Ohrožené podepsané ovladače umožňují útočníkům zakázat nebo obejít řešení zabezpečení, což nakonec vede k ohrožení systému.
Pravidlo Blokovat zneužití zneužít ohrožených podepsaných ovladačů nezablokuje načtení ovladače, který už v systému existuje.
Poznámka
Toto pravidlo můžete nakonfigurovat pomocí Intune OMA-URI. Informace o konfiguraci vlastních pravidel najdete v tématu Intune OMA-URI. Toto pravidlo můžete také nakonfigurovat pomocí PowerShellu. Pokud chcete ovladač prověřit, použijte tento web k odeslání ovladače k analýze.
název Intune:Block abuse of exploited vulnerable signed drivers
název Configuration Manager: Zatím není k dispozici
IDENTIFIKÁTOR GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Typ akce rozšířeného proaktivního vyhledávání:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Blokovat Adobe Readeru vytváření podřízených procesů
Toto pravidlo brání útokům tím, že aplikaci Adobe Reader blokuje vytváření procesů.
Malware může stahovat a spouštět datové části a vymanit se z Adobe Readeru prostřednictvím sociálního inženýrství nebo zneužití. Blokováním podřízených procesů generovaných aplikací Adobe Reader zabrání šíření malwaru, který se pokouší použít Adobe Reader jako vektor útoku.
název Intune:Process creation from Adobe Reader (beta)
název Configuration Manager: Zatím není k dispozici
IDENTIFIKÁTOR GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Typ akce rozšířeného proaktivního vyhledávání:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokovat vytváření podřízených procesů všem aplikacím Office
Toto pravidlo blokuje aplikace Office ve vytváření podřízených procesů. Mezi aplikace Office patří Word, Excel, PowerPoint, OneNote a Access.
Vytváření škodlivých podřízených procesů je běžnou strategií malwaru. Malware, který zneužívá Office jako vektor, často spouští makra jazyka VBA a zneužívají kód ke stažení a pokusu o spuštění dalších datových částí. Některé legitimní obchodní aplikace však mohou také generovat podřízené procesy pro neškodné účely; například vytvoření příkazového řádku nebo použití PowerShellu ke konfiguraci nastavení registru.
název Intune:Office apps launching child processes
název Configuration Manager:Block Office application from creating child processes
IDENTIFIKÁTOR GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
Poznámka
Pokud máte povolenou ochranu LSA a ochranu Credential Guard , toto pravidlo omezení potenciální oblasti útoku se nevyžaduje.
Toto pravidlo pomáhá zabránit krádeži přihlašovacích údajů tím, že uzamkne službu LSASS (Local Security Authority Subsystem Service).
LSASS ověřuje uživatele, kteří se přihlašují na počítači s Windows. Microsoft Defender Credential Guard ve Windows obvykle brání pokusům o extrakci přihlašovacích údajů z LSASS. Některé organizace nemůžou ochranu Credential Guard povolit na všech svých počítačích kvůli problémům s kompatibilitou s vlastními ovladači čipových karet nebo jinými programy, které se načítají do místního úřadu zabezpečení (LSA). V těchto případech můžou útočníci pomocí nástrojů, jako je Mimikatz, ze služby LSASS vyškrtnout hesla a hodnoty hash PROTOKOLU NTLM.
Ve výchozím nastavení je stav tohoto pravidla nastavený na blokovat. Ve většině případů mnoho procesů volá LSASS pro přístupová práva, která nejsou potřeba. Například když počáteční blokování pravidla ASR vede k následnému volání menšího oprávnění, které následně proběhne úspěšně. Informace o typech práv, která se obvykle vyžadují při volání procesu LSASS, najdete v tématu Zabezpečení procesů a přístupová práva.
Povolení tohoto pravidla neposkytuje další ochranu, pokud máte povolenou ochranu LSA, protože pravidlo ASR a ochrana LSA fungují podobně. Pokud ale ochranu LSA nejde povolit, můžete toto pravidlo nakonfigurovat tak, aby poskytovalo ekvivalentní ochranu před malwarem, který cílí lsass.exe
na .
Poznámka
V tomto scénáři se pravidlo ASR klasifikuje jako neuvedené v nastavení defenderu pro koncový bod na portálu Microsoft Defender. Pravidlo ASR blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows nepodporuje režim WARN. V některých aplikacích kód vytvoří výčet všech spuštěných procesů a pokusí se je otevřít s vyčerpávajícími oprávněními. Toto pravidlo odmítne akci otevření procesu aplikace a zapíše podrobnosti do protokolu událostí zabezpečení. Toto pravidlo může generovat velké množství šumu. Pokud máte aplikaci, která pouze vytváří výčet LSASS, ale nemá žádný skutečný dopad na funkčnost, není potřeba ji přidávat do seznamu vyloučení. Tato položka protokolu událostí sama o sobě nemusí nutně znamenat škodlivou hrozbu.
název Intune:Flag credential stealing from the Windows local security authority subsystem
název Configuration Manager:Block credential stealing from the Windows local security authority subsystem
IDENTIFIKÁTOR GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Typ akce rozšířeného proaktivního vyhledávání:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Závislosti: Microsoft Defender Antivirus
Blokování spustitelného obsahu z e-mailového klienta a webové pošty
Toto pravidlo blokuje e-maily otevřené v aplikaci Microsoft Outlook nebo Outlook.com a dalších oblíbených poskytovatelů webové pošty šíření následujících typů souborů:
- Spustitelné soubory (například .exe, .dll nebo .scr)
- Soubory skriptů (například powershellový .ps1, visual basic .vbs nebo soubor .js JavaScriptu)
název Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
název Microsoft Configuration Manager:Block executable content from email client and webmail
IDENTIFIKÁTOR GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Typ akce rozšířeného proaktivního vyhledávání:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Závislosti: Microsoft Defender Antivirus
Poznámka
Pravidlo Blokovat spustitelný obsah z e-mailového klienta a webové pošty obsahuje následující alternativní popisy v závislosti na tom, kterou aplikaci používáte:
- Intune (konfigurační profily): Spuštění spustitelného obsahu (exe, dll, ps, js, vbs atd.) vyřazeného z e-mailu (webmail/poštovní klient) (bez výjimek).
- Configuration Manager: Blokovat stahování spustitelného obsahu z e-mailových a webových e-mailových klientů.
- Zásady skupiny: Blokovat spustitelný obsah z e-mailového klienta a webové pošty.
Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu
Toto pravidlo blokuje spuštění spustitelných souborů, například .exe, .dll nebo .scr. Spuštění nedůvěryhodných nebo neznámých spustitelných souborů proto může být riskantní, protože nemusí být zpočátku jasné, pokud jsou soubory škodlivé.
Důležité
Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu .
Pravidlo Blokovat spouštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu s identifikátorem GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
, vlastní Microsoft a neurčí ho správci. Toto pravidlo používá cloudovou ochranu k pravidelné aktualizaci seznamu důvěryhodných položek.
Můžete zadat jednotlivé soubory nebo složky (pomocí cest ke složkám nebo plně kvalifikovaných názvů prostředků), ale nemůžete určit, na která pravidla nebo vyloučení se vztahují.
název Intune:Executables that don't meet a prevalence, age, or trusted list criteria
název Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
IDENTIFIKÁTOR GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Typ akce rozšířeného proaktivního vyhledávání:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Závislosti: Microsoft Defender Antivirus, Cloud Protection
Blokování spouštění potenciálně obfuskovaných skriptů
Toto pravidlo rozpozná podezřelé vlastnosti v obfuskovaném skriptu.
Poznámka
Skripty PowerShellu se teď podporují pro pravidlo blokování spouštění potenciálně obfuskovaných skriptů.
Důležité
Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu.
Obfuskace skriptů je běžná technika, kterou autoři malwaru i legitimní aplikace používají ke skrytí duševního vlastnictví nebo zkrácení doby načítání skriptů. Autoři malwaru také používají obfuskaci, aby škodlivý kód byl obtížně čitelný, což brání podrobnému zkoumání lidí a bezpečnostního softwaru.
název Intune:Obfuscated js/vbs/ps/macro code
název Configuration Manager:Block execution of potentially obfuscated scripts
IDENTIFIKÁTOR GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Typ akce rozšířeného proaktivního vyhledávání:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Závislosti: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)
Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Toto pravidlo brání skriptům ve spouštění potenciálně škodlivého staženého obsahu. Malware napsaný v JavaScriptu nebo VBScriptu často funguje jako stahovací modul pro načtení a spuštění dalšího malwaru z internetu. I když to není běžné, obchodní aplikace někdy ke stažení a spouštění instalačních programů používají skripty.
název Intune:js/vbs executing payload downloaded from Internet (no exceptions)
název Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
IDENTIFIKÁTOR GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Typ akce rozšířeného proaktivního vyhledávání:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Závislosti: Microsoft Defender Antivirus, AMSI
Blokování aplikací Office ve vytváření spustitelného obsahu
Toto pravidlo zabraňuje aplikacím Office, včetně Word, Excelu a PowerPointu, ve vytváření potenciálně škodlivého spustitelného obsahu tím, že blokuje zápis škodlivého kódu na disk. Malware, který zneužívá Office jako vektor, se může pokusit vymanit se z Office a uložit škodlivé komponenty na disk. Tyto škodlivé komponenty by přežily restartování počítače a zůstaly v systému. Proto se toto pravidlo brání před běžnou technikou trvalosti. Toto pravidlo také blokuje spouštění nedůvěryhodných souborů, které mohly být uloženy makry Office, které se můžou spouštět v souborech Office.
název Intune:Office apps/macros creating executable content
název Configuration Manager:Block Office applications from creating executable content
IDENTIFIKÁTOR GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Typ akce rozšířeného proaktivního vyhledávání:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Závislosti: Microsoft Defender Antivirus, RPC
Blokování vkládání kódu do jiných procesů aplikací Office
Toto pravidlo blokuje pokusy o injektáž kódu z aplikací Office do jiných procesů.
Poznámka
Pravidlo ASR blokovat aplikacím vkládání kódu do jiných procesů nepodporuje režim WARN.
Důležité
Aby se změny konfigurace projevily, vyžaduje toto pravidlo restartování Microsoft 365 Apps (aplikace Office).
Útočníci se můžou pokusit použít aplikace Office k migraci škodlivého kódu do jiných procesů prostřednictvím injektáže kódu, aby se kód mohl maskovat jako čistý proces. Neexistují žádné známé legitimní obchodní účely pro použití injektáže kódu.
Toto pravidlo platí pro Word, Excel, OneNote a PowerPoint.
název Intune:Office apps injecting code into other processes (no exceptions)
název Configuration Manager:Block Office applications from injecting code into other processes
IDENTIFIKÁTOR GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Závislosti: Microsoft Defender Antivirus
Blokovat komunikační aplikaci Office ve vytváření podřízených procesů
Toto pravidlo zabraňuje Outlooku ve vytváření podřízených procesů a zároveň povoluje legitimní funkce Outlooku. Toto pravidlo chrání před útoky sociálního inženýrství a zabraňuje zneužití kódu před zneužitím ohrožení zabezpečení v Outlooku. Chrání také před zneužitím pravidel a formulářů Outlooku , které můžou útočníci použít při ohrožení přihlašovacích údajů uživatele.
Poznámka
Toto pravidlo blokuje tipy a popisy zásad ochrany před únikem informací v Outlooku. Toto pravidlo platí jenom pro Outlook a Outlook.com.
název Intune:Process creation from Office communication products (beta)
název Configuration Manager: Není k dispozici
IDENTIFIKÁTOR GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokování trvalosti prostřednictvím odběru událostí WMI
Toto pravidlo zabraňuje malwaru ve zneužití rozhraní WMI k dosažení trvalosti na zařízení.
Důležité
Vyloučení souborů a složek se nevztahují na toto pravidlo omezení potenciální oblasti útoku.
Hrozby bez souborů používají různé taktiky, aby zůstaly skryté, aby se vyhnuly zobrazení v systému souborů a získaly pravidelnou kontrolu nad prováděním. Některé hrozby můžou zneužít úložiště služby WMI a model událostí, aby zůstaly skryté.
Poznámka
Pokud CcmExec.exe
se na zařízení zjistí (SCCM Agent), pravidlo ASR se v nastavení Defenderu for Endpoint na portálu Microsoft Defender klasifikuje jako nepoužitelné.
název Intune:Persistence through WMI event subscription
název Configuration Manager: Není k dispozici
IDENTIFIKÁTOR GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Typ akce rozšířeného proaktivního vyhledávání:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Závislosti: Microsoft Defender Antivirus, RPC
Blokování vytváření procesů pocházejících z příkazů PSExec a WMI
Toto pravidlo blokuje spuštění procesů vytvořených prostřednictvím nástroje PsExec a rozhraní WMI . PsExec i WMI mohou vzdáleně spouštět kód. Existuje riziko, že malware zneužívá funkce PsExec a rozhraní WMI pro účely příkazů a řízení nebo k šíření infekce v síti organizace.
Upozornění
Toto pravidlo používejte jenom v případě, že zařízení spravujete pomocí Intune nebo jiného řešení MDM. Toto pravidlo není kompatibilní se správou přes Microsoft Endpoint Configuration Manager, protože blokuje příkazy rozhraní WMI, které Configuration Manager klient používá ke správnému fungování.
název Intune:Process creation from PSExec and WMI commands
název Configuration Manager: Nejde použít
IDENTIFIKÁTOR GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Typ akce rozšířeného proaktivního vyhledávání:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokování restartování počítače v nouzovém režimu (Preview)
Toto pravidlo zabraňuje spuštění příkazů pro restartování počítačů v nouzovém režimu. Nouzový režim je diagnostický režim, který načítá jenom základní soubory a ovladače potřebné ke spuštění Windows. V nouzovém režimu je ale řada bezpečnostních produktů buď zakázaná, nebo funguje v omezené kapacitě, což útočníkům umožňuje dále spouštět příkazy pro manipulaci nebo jednoduše spouštět a šifrovat všechny soubory na počítači. Toto pravidlo blokuje takové útoky tím, že zabraňuje procesům restartovat počítače v nouzovém režimu.
Poznámka
Tato funkce je aktuálně ve verzi Preview. Další upgrady pro zlepšení účinnosti jsou ve vývoji.
název Intune:[PREVIEW] Block rebooting machine in Safe Mode
název Configuration Manager: Zatím není k dispozici
IDENTIFIKÁTOR GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Typ akce rozšířeného proaktivního vyhledávání:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Závislosti: Microsoft Defender Antivirus
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Pomocí tohoto pravidla můžou správci zabránit spuštění nepodepsaných nebo nedůvěryhodných spustitelných souborů z vyměnitelných jednotek USB, včetně karet SD. Blokované typy souborů zahrnují spustitelné soubory (například .exe, .dll nebo .scr).
Důležité
Soubory zkopírované z USB na diskovou jednotku budou tímto pravidlem blokovány, pokud a když se chystá spustit na diskové jednotce.
název Intune:Untrusted and unsigned processes that run from USB
název Configuration Manager:Block untrusted and unsigned processes that run from USB
IDENTIFIKÁTOR GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Typ akce rozšířeného proaktivního vyhledávání:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Závislosti: Microsoft Defender Antivirus
Blokování použití zkopírovaných nebo zosobněných systémových nástrojů (Preview)
Toto pravidlo blokuje použití spustitelných souborů, které jsou identifikovány jako kopie systémových nástrojů Windows. Tyto soubory jsou buď duplicitními, nebo podvodníky původních systémových nástrojů. Některé škodlivé programy se můžou pokusit zkopírovat nebo zosobnit systémové nástroje Windows, aby se vyhnuly detekci nebo získaly oprávnění. Povolení takových spustitelných souborů může vést k potenciálním útokům. Toto pravidlo zabraňuje šíření a spouštění takových duplicit a podvodníků systémových nástrojů na počítačích s Windows.
Poznámka
Tato funkce je aktuálně ve verzi Preview. Další upgrady pro zlepšení účinnosti jsou ve vývoji.
název Intune:[PREVIEW] Block use of copied or impersonated system tools
název Configuration Manager: Zatím není k dispozici
IDENTIFIKÁTOR GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Typ akce rozšířeného proaktivního vyhledávání:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Závislosti: Microsoft Defender Antivirus
Blokování vytváření webového prostředí pro servery
Toto pravidlo blokuje vytváření skriptů webového prostředí na Microsoft Serveru, roli Exchange. Skript webového prostředí je speciálně vytvořený skript, který umožňuje útočníkovi řídit napadený server. Webové prostředí může obsahovat funkce, jako je příjem a spouštění škodlivých příkazů, stahování a spouštění škodlivých souborů, krádež a exfiltrace přihlašovacích údajů a citlivých informací, identifikace potenciálních cílů atd.
název Intune:Block Webshell creation for Servers
IDENTIFIKÁTOR GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Závislosti: Microsoft Defender Antivirus
Blokování volání rozhraní API Win32 z maker Office
Toto pravidlo brání makrům jazyka VBA v volání rozhraní API Win32. Office VBA umožňuje volání rozhraní API Win32. Malware může tuto funkci zneužít, například voláním rozhraní API Win32 spustit škodlivý shellcode , aniž by bylo nutné něco zapsat přímo na disk. Většina organizací při každodenním fungování nespoléhá na schopnost volat rozhraní API Win32, a to ani v případě, že používají makra jinými způsoby.
název Intune:Win32 imports from Office macro code
název Configuration Manager:Block Win32 API calls from Office macros
IDENTIFIKÁTOR GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Typ akce rozšířeného proaktivního vyhledávání:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Závislosti: Microsoft Defender Antivirus, AMSI
Použití pokročilé ochrany proti ransomwaru
Toto pravidlo poskytuje další vrstvu ochrany před ransomwarem. K určení, jestli se soubor podobá ransomwaru, používá klientskou i cloudovou heuristiku. Toto pravidlo neblokuje soubory, které mají jednu nebo více následujících charakteristik:
- V cloudu Microsoftu už bylo zjištěno, že soubor není sdílený.
- Jedná se o platný podepsaný soubor.
- Soubor je natolik rozšířený, že se nepovažuje za ransomware.
Pravidlo má tendenci chybovat na straně opatrnosti, aby se zabránilo ransomwaru.
Poznámka
Abyste mohli toto pravidlo používat, musíte povolit cloudovou ochranu .
název Intune:Advanced ransomware protection
název Configuration Manager:Use advanced protection against ransomware
IDENTIFIKÁTOR GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Typ akce rozšířeného proaktivního vyhledávání:
AsrRansomwareAudited
AsrRansomwareBlocked
Závislosti: Microsoft Defender Antivirus, Cloud Protection
Viz také
- Přehled nasazení pravidel omezení potenciální oblasti útoku
- Plánování nasazení pravidel omezení potenciální oblasti útoku
- Testování pravidel omezení potenciální oblasti útoku
- Povolení pravidel omezení potenciální oblasti útoku
- Zprovoznění pravidel omezení potenciální oblasti útoku
- Sestava pravidel omezení potenciální oblasti útoku
- Referenční informace k pravidlu omezení potenciální oblasti útoku
- Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.