Справочник по правилам сокращения направлений атак
Область применения:
- Microsoft Microsoft Defender XDR для конечной точки плана 1
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Антивирусная программа в Microsoft Defender
Платформ:
- Windows
В этой статье содержатся сведения о правилах сокращения направлений атак Microsoft Defender для конечной точки (правилах ASR):
- Поддерживаемые версии операционных систем с правилами ASR
- Системы управления конфигурацией, поддерживаемые правилами ASR
- Сведения об оповещении и уведомлении по правилу ASR
- Матрица правил ASR для GUID
- Режимы правил ASR
- Описания правил
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Совет
Чтобы ознакомиться с этой статьей, ознакомьтесь с руководством по настройке Microsoft Defender для конечной точки, чтобы ознакомиться с рекомендациями и узнать о таких важных средствах, как сокращение направлений атак и защита следующего поколения. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке Defender для конечной точки в Центр администрирования Microsoft 365.
Правила сокращения направлений атаки по типу
Правила сокращения направлений атаки классифицируются как один из двух типов:
Стандартные правила защиты. Это минимальный набор правил, который корпорация Майкрософт рекомендует всегда включать при оценке действия и конфигурации других правил ASR. Эти правила обычно оказывают минимальное или нет заметного влияния на конечного пользователя.
Другие правила: правила, требующие определенной меры выполнения описанных шагов развертывания [Планирование > тестирования (аудита) > Включить (режимы блокировки и предупреждения)], как описано в руководстве по развертыванию правил сокращения направлений атак.
Самый простой способ включения стандартных правил защиты см. в статье Упрощенный стандартный параметр защиты.
Имя правила ASR: | Стандартное правило защиты? | Другое правило? |
---|---|---|
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами | Да | |
Запретить Adobe Reader создавать дочерние процессы | Да | |
Запретить всем приложениям Office создавать дочерние процессы | Да | |
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) | Да | |
Блокировка исполняемого содержимого из почтового клиента и веб-почты | Да | |
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия | Да | |
Блокировать выполнение потенциально запутывающихся скриптов | Да | |
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript | Да | |
Запрет приложениям Office создавать исполняемое содержимое | Да | |
Запрет приложений Office от внедрения кода в другие процессы | Да | |
Запретить приложению Office для общения создавать дочерние процессы | Да | |
Блокировка сохраняемости с помощью подписки на события WMI | Да | |
Блокировать создание процессов из команд PSExec и WMI | Да | |
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия) | Да | |
Блокировка недоверенных и неподписанных процессов, выполняемых с USB | Да | |
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия) | Да | |
Блокировать создание WebShell для серверов | Да | |
Блокировка вызовов API Win32 из макросов Office | Да | |
Использование расширенной защиты от программ-шантажистов | Да |
Microsoft Defender исключения антивирусной программы и правила ASR
Microsoft Defender исключения антивирусной программы применяются к некоторым возможностям Microsoft Defender для конечной точки, например к некоторым правилам сокращения направлений атак.
Следующие правила ASR НЕ учитывают исключения антивирусной программы Microsoft Defender:
Примечание.
Сведения о настройке исключений для каждого правила см. в разделе Настройка исключений правил ASR для каждого правила раздела Тестирование правил сокращения направлений атак.
Правила ASR и индикаторы компрометации Defender для конечных точек (IOC)
Следующие правила ASR НЕ соблюдают Microsoft Defender для конечной точки индикаторов компрометации (МОК):
Имя правила ASR | Описание |
---|---|
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) | Не учитывает показатели компрометации файлов или сертификатов. |
Запрет приложений Office от внедрения кода в другие процессы | Не учитывает показатели компрометации файлов или сертификатов. |
Блокировка вызовов API Win32 из макросов Office | Не учитывает показатели компрометации сертификатов. |
Операционные системы, поддерживаемые правилами ASR
В следующей таблице перечислены поддерживаемые операционные системы для правил, которые в настоящее время выпущены в общедоступную версию. Правила перечислены в алфавитном порядке в этой таблице.
Примечание.
Если не указано иное, минимальная сборка Windows10 — 1709 (RS3, сборка 16299) или более поздняя; минимальная сборка Windows Server — 1809 или более поздняя. Правила сокращения направлений атак в Windows Server 2012 R2 и Windows Server 2016 доступны для устройств, подключенных с помощью современного унифицированного пакета решений. Дополнительные сведения см. в статье Новые функции Windows Server 2012 R2 и 2016 в современном унифицированном решении.
(1) Относится к современному единому решению для Windows Server 2012 и 2016. Дополнительные сведения см. в разделе Подключение серверов Windows к службе Defender для конечной точки.
(2) Для Windows Server 2016 и Windows Server 2012 R2 минимальная требуемая версия microsoft Endpoint Configuration Manager — версия 2111.
(3) Версия и номер сборки применяются только к Windows10.
Системы управления конфигурацией, поддерживаемые правилами ASR
Ссылки на сведения о версиях системы управления конфигурацией, указанные в этой таблице, приведены под этой таблицей.
(1) Вы можете настроить правила сокращения направлений атак на основе каждого правила с помощью GUID любого правила.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM теперь Microsoft Configuration Manager.
Сведения об оповещении и уведомлении по правилу ASR
Всплывающие уведомления создаются для всех правил в режиме блокировки. Правила в любом другом режиме не создают всплывающие уведомления.
Для правил с указанным "Состояние правила":
- Правила ASR с
\ASR Rule, Rule State\
сочетаниями используются для отображения оповещений (всплывающих уведомлений) на Microsoft Defender для конечной точки только для устройств на уровне облачного блока "Высокий". - Устройства, которые не на высоком уровне блока облака, не создают оповещения для каких-либо
ASR Rule, Rule State
комбинаций - Оповещения EDR создаются для правил ASR в указанных состояниях, для устройств на уровне облачного блока "High+"
- Всплывающие уведомления происходят только в блочном режиме и для устройств на уровне облачного блока "Высокий"
Матрица правил ASR для GUID
Имя правила | GUID правила |
---|---|
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Запретить Adobe Reader создавать дочерние процессы | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Запретить всем приложениям Office создавать дочерние процессы | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Блокировка исполняемого содержимого из почтового клиента и веб-почты | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Блокировать выполнение потенциально запутывающихся скриптов | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript | d3e037e1-3eb8-44c8-a917-57927947596d |
Запрет приложениям Office создавать исполняемое содержимое | 3b576869-a4ec-4529-8536-b80a7769e899 |
Запрет приложений Office от внедрения кода в другие процессы | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Запретить приложению Office для общения создавать дочерние процессы | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Блокировка сохраняемости с помощью подписки на события WMI * Исключения файлов и папок не поддерживаются. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Блокировать создание процессов из команд PSExec и WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Блокировка недоверенных и неподписанных процессов, выполняемых с USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Блокировать создание WebShell для серверов | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Блокировка вызовов API Win32 из макросов Office | 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b |
Использование расширенной защиты от программ-шантажистов | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Режимы правил ASR
- Не настроено или отключить. Состояние, в котором правило ASR не включено или отключено. Код для этого состояния = 0.
- Блокировать: состояние, в котором включено правило ASR. Код для этого состояния — 1.
- Аудит. Состояние, в котором правило ASR оценивается на предмет влияния, которое оно окажет на организацию или среду, если оно включено (параметр блокировать или предупреждать). Код для этого состояния — 2.
- Предупреждать Состояние, в котором правило ASR включено и представляет уведомление конечному пользователю, но позволяет пользователю обойти блокировку. Код для этого состояния — 6.
Режим предупреждения — это тип блочного режима, который оповещает пользователей о потенциально рискованных действиях. Пользователи могут обойти предупреждающее сообщение о блокировке и разрешить базовое действие. Пользователи могут нажать кнопку ОК , чтобы применить блок, или выбрать параметр обхода — Разблокировать — с помощью всплывающего всплывающего уведомления пользователя, созданного во время блокировки. После разблокировки предупреждения операция разрешается до следующего появления предупреждающего сообщения. В это время пользователю потребуется повторно выполнить действие.
При нажатии кнопки разрешить блок подавляется в течение 24 часов. Через 24 часа пользователю потребуется снова разрешить блокировку. Режим предупреждения для правил ASR поддерживается только для устройств RS5+ (1809+). Если обход назначается правилам ASR на устройствах с более старыми версиями, правило находится в заблокированном режиме.
Вы также можете задать правило в режиме предупреждения с помощью PowerShell, указав значение AttackSurfaceReductionRules_Actions
"Предупреждение". Например:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Описания правил
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
Это правило не позволяет приложению записывать на диск уязвимый подписанный драйвер. В диком режиме уязвимые подписанные драйверы могут использоваться локальными приложениями, имеющими достаточные привилегии , для получения доступа к ядру. Уязвимые подписанные драйверы позволяют злоумышленникам отключать или обходить решения безопасности, что в конечном итоге приводит к компрометации системы.
Правило блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами не блокирует загрузку драйвера, уже существующего в системе.
Примечание.
Это правило можно настроить с помощью Intune OMA-URI. Сведения о настройке настраиваемых правил см. в Intune OMA-URI. Это правило также можно настроить с помощью PowerShell. Чтобы проверить драйвер, используйте этот веб-сайт для отправки драйвера для анализа.
Имя Intune:Block abuse of exploited vulnerable signed drivers
имя Configuration Manager: пока недоступно
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Тип действия расширенной охоты:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Запретить Adobe Reader создавать дочерние процессы
Это правило предотвращает атаки, блокируя создание процессов в Adobe Reader.
Вредоносная программа может скачивать и запускать полезные данные и вырваться из Adobe Reader с помощью социальной инженерии или эксплойтов. Блокируя создание дочерних процессов Adobe Reader, вредоносные программы, пытающиеся использовать Adobe Reader в качестве вектора атаки, предотвращаются.
имя Intune:Process creation from Adobe Reader (beta)
имя Configuration Manager: пока недоступно
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Тип действия расширенной охоты:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Запретить всем приложениям Office создавать дочерние процессы
Это правило запрещает приложениям Office создавать дочерние процессы. Приложения Office включают Word, Excel, PowerPoint, OneNote и Access.
Создание вредоносных дочерних процессов является распространенной стратегией вредоносных программ. Вредоносная программа, которая использует Office в качестве вектора, часто запускает макросы VBA и использует код для скачивания и попытки запуска дополнительных полезных данных. Однако некоторые законные бизнес-приложения могут также создавать дочерние процессы для неопасных целей; например, создание командной строки или использование PowerShell для настройки параметров реестра.
имя Intune:Office apps launching child processes
имя Configuration Manager:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Тип действия расширенной охоты:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
Примечание.
Если у вас включена защита LSA и Credential Guard , это правило сокращения направлений атаки не требуется.
Это правило помогает предотвратить кражу учетных данных, заблокируя службу подсистемы локального центра безопасности (LSASS).
LSASS проверяет подлинность пользователей, которые выполняют вход на компьютере Windows. Microsoft Defender Credential Guard в Windows обычно предотвращает попытки извлечения учетных данных из LSASS. Некоторые организации не могут включить Credential Guard на всех своих компьютерах из-за проблем совместимости с пользовательскими драйверами смарт-карт или другими программами, которые загружаются в локальный центр безопасности (LSA). В таких случаях злоумышленники могут использовать такие средства, как Mimikatz, для очистки паролей и хэшей NTLM из LSASS.
По умолчанию для этого правила задано состояние блокировать. В большинстве случаев многие процессы вызывают LSASS для получения прав доступа, которые не требуются. Например, когда начальный блок из правила ASR приводит к последующему вызову меньшей привилегии, который впоследствии будет успешно выполнен. Сведения о типах прав, которые обычно запрашиваются в вызовах процесса LSASS, см. в разделе Управление правами на доступ и безопасность процесса.
Включение этого правила не обеспечивает дополнительную защиту, если включена защита LSA, так как правила ASR и защита LSA работают аналогичным образом. Однако если защита LSA не может быть включена, это правило можно настроить для обеспечения эквивалентной защиты от вредоносных программ, предназначенных для lsass.exe
.
Примечание.
В этом сценарии правило ASR классифицируется как "неприменимое" в параметрах Defender для конечной точки на портале Microsoft Defender. Правило ASR для блокировки кражи учетных данных из подсистемы локального центра безопасности Windows не поддерживает режим WARN. В некоторых приложениях код перечисляет все выполняемые процессы и пытается открыть их с исчерпывающими разрешениями. Это правило запрещает открытое действие процесса приложения и записывает сведения в журнал событий безопасности. Это правило может создавать много шума. Если у вас есть приложение, которое просто перечисляет LSASS, но не оказывает реального влияния на функциональность, нет необходимости добавлять его в список исключений. Сама по себе эта запись журнала событий не обязательно указывает на вредоносную угрозу.
имя Intune:Flag credential stealing from the Windows local security authority subsystem
имя Configuration Manager:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Тип действия расширенной охоты:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировка исполняемого содержимого из почтового клиента и веб-почты
Это правило запрещает рассылку электронной почты, открытой в приложении Microsoft Outlook, или Outlook.com и других популярных поставщиков веб-почты распространять следующие типы файлов:
- Исполняемые файлы (например, .exe, .dll или SCR)
- Файлы скриптов (например, .ps1 PowerShell, VBS-файлы Visual Basic или JavaScript .js файл)
имя Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
имя Microsoft Configuration Manager:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Тип действия расширенной охоты:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Зависимости: антивирусная программа Microsoft Defender
Примечание.
Правило Блокировать исполняемое содержимое из почтового клиента и веб-почты имеет следующие альтернативные описания в зависимости от используемого приложения:
- Intune (профили конфигурации). Выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. д.), удаленного из электронной почты (webmail/mail client) (без исключений).
- Configuration Manager: блокировать скачивание исполняемого содержимого из клиентов электронной почты и веб-почты.
- групповая политика. Блокировка исполняемого содержимого из почтового клиента и веб-почты.
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия
Это правило блокирует запуск исполняемых файлов, таких как .exe, .dll или SCR. Таким образом, запуск ненадежных или неизвестных исполняемых файлов может быть рискованным, так как изначально может быть неясным, если файлы являются вредоносными.
Важно!
Чтобы использовать это правило, необходимо включить облачную защиту .
Правило Блокировать выполнение исполняемых файлов, если они не соответствуют критерию распространенности, возраста или списка доверия с GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
принадлежат корпорации Майкрософт и не указаны администраторами. Это правило использует облачную защиту для регулярного обновления списка доверенных.
Вы можете указать отдельные файлы или папки (используя пути к папкам или полные имена ресурсов), но нельзя указать, к каким правилам или исключениям применяются.
имя Intune:Executables that don't meet a prevalence, age, or trusted list criteria
имя Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Тип действия расширенной охоты:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Зависимости: антивирусная программа Microsoft Defender, защита от облака
Блокировать выполнение потенциально запутывающихся скриптов
Это правило обнаруживает подозрительные свойства в запутанном скрипте.
Примечание.
Скрипты PowerShell теперь поддерживаются для правила "Блокировать выполнение потенциально скрытых скриптов".
Важно!
Чтобы использовать это правило, необходимо включить облачную защиту.
Запутывание скриптов — это распространенный метод, который авторы вредоносных программ и законные приложения используют для скрытия интеллектуальной собственности или уменьшения времени загрузки скриптов. Авторы вредоносных программ также используют маскировку, чтобы сделать вредоносный код более трудным для чтения, что препятствует тщательному контролю со стороны людей и программного обеспечения безопасности.
имя Intune:Obfuscated js/vbs/ps/macro code
имя Configuration Manager:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Тип действия расширенной охоты:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Зависимости: Microsoft Defender антивирусная программа, интерфейс проверки вредоносных программ (AMSI)
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript
Это правило не позволяет скриптам запускать потенциально вредоносное скачаемое содержимое. Вредоносная программа, написанная на JavaScript или VBScript, часто выступает в качестве загрузчика для получения и запуска других вредоносных программ из Интернета. Хотя бизнес-приложения не распространены, иногда используют скрипты для скачивания и запуска установщиков.
имя Intune:js/vbs executing payload downloaded from Internet (no exceptions)
имя Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Тип действия расширенной охоты:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Зависимости: антивирусная программа Microsoft Defender, AMSI
Запрет приложениям Office создавать исполняемое содержимое
Это правило запрещает приложениям Office, включая Word, Excel и PowerPoint, создавать потенциально вредоносное исполняемое содержимое, блокируя запись вредоносного кода на диск. Вредоносная программа, которая злоупотребляет Office в качестве вектора, может попытаться выйти из Office и сохранить вредоносные компоненты на диске. Эти вредоносные компоненты выживут после перезагрузки компьютера и сохранятся в системе. Таким образом, это правило защищает от общего метода сохраняемости. Это правило также блокирует выполнение ненадежных файлов, которые могли быть сохранены макросами Office, которые могут выполняться в файлах Office.
имя Intune:Office apps/macros creating executable content
имя Configuration Manager:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Тип действия расширенной охоты:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Зависимости: антивирусная программа Microsoft Defender, RPC
Запрет приложений Office от внедрения кода в другие процессы
Это правило блокирует попытки внедрения кода из приложений Office в другие процессы.
Примечание.
Правило ASR блокировать внедрение кода приложений в другие процессы не поддерживает режим WARN.
Важно!
Это правило требует перезапуска Приложения Microsoft 365 (приложения Office), чтобы изменения конфигурации вступили в силу.
Злоумышленники могут попытаться использовать приложения Office для переноса вредоносного кода в другие процессы путем внедрения кода, чтобы код мог маскироваться как чистый процесс. Нет известных законных бизнес-целей для использования внедрения кода.
Это правило применяется к Word, Excel, OneNote и PowerPoint.
имя Intune:Office apps injecting code into other processes (no exceptions)
имя Configuration Manager:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Тип действия расширенной охоты:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Зависимости: антивирусная программа Microsoft Defender
Запретить приложению Office для общения создавать дочерние процессы
Это правило запрещает Outlook создавать дочерние процессы, но по-прежнему разрешает допустимые функции Outlook. Это правило защищает от атак социальной инженерии и предотвращает использование кода от злоупотребления уязвимостями в Outlook. Он также защищает от правил и форм Outlook, которые злоумышленники могут использовать при компрометации учетных данных пользователя.
Примечание.
Это правило блокирует подсказки политики защиты от потери данных и подсказки в Outlook. Это правило применяется только к Outlook и Outlook.com.
имя Intune:Process creation from Office communication products (beta)
имя Configuration Manager: Недоступно
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Тип действия расширенной охоты:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировка сохраняемости с помощью подписки на события WMI
Это правило не дает вредоносным программам использовать инструментарий WMI для сохранения на устройстве.
Важно!
Исключения файлов и папок не применяются к этому правилу сокращения направлений атак.
Бесфайловые угрозы реализуют различные тактики, чтобы оставаться скрытыми, избегать обнаружения в файловой системе и иметь возможность периодически выполняться. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.
Примечание.
Если CcmExec.exe
на устройстве обнаружен (агент SCCM), правило ASR классифицируется как "неприменимое" в параметрах Defender для конечной точки на портале Microsoft Defender.
имя Intune:Persistence through WMI event subscription
имя Configuration Manager: Недоступно
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Тип действия расширенной охоты:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Зависимости: антивирусная программа Microsoft Defender, RPC
Блокировать создание процессов из команд PSExec и WMI
Это правило блокирует выполнение процессов, созданных с помощью PsExec и WMI . Как PsExec, так и WMI могут удаленно выполнять код. Существует риск того, что вредоносные программы злоупотребляют функциями PsExec и WMI для целей управления и управления, а также для распространения инфекции по сети организации.
Предупреждение
Используйте это правило, только если вы управляете устройствами с помощью Intune или другого решения MDM. Это правило несовместимо с управлением через конечную точку Майкрософт Configuration Manager, так как оно блокирует команды WMI, которые Configuration Manager клиент использует для правильной работы.
имя Intune:Process creation from PSExec and WMI commands
имя Configuration Manager: неприменимо
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Тип действия расширенной охоты:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия)
Это правило запрещает выполнение команд для перезапуска компьютеров в безопасном режиме. Безопасный режим — это режим диагностики, который загружает только основные файлы и драйверы, необходимые для запуска Windows. Однако в безопасном режиме многие продукты безопасности либо отключены, либо работают в ограниченной емкости, что позволяет злоумышленникам запускать команды незаконного изменения или просто выполнять и шифровать все файлы на компьютере. Это правило блокирует такие атаки, не позволяя процессам перезапускать компьютеры в безопасном режиме.
Примечание.
Сейчас эта возможность доступна в предварительной версии. В процессе разработки находятся дополнительные обновления для повышения эффективности.
Имя Intune:[PREVIEW] Block rebooting machine in Safe Mode
имя Configuration Manager: пока недоступно
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Тип действия расширенной охоты:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Зависимости: антивирусная программа Microsoft Defender
Блокировка недоверенных и неподписанных процессов, выполняемых с USB
С помощью этого правила администраторы могут запретить запуск неподписанных или недоверенных исполняемых файлов со съемных USB-дисков, включая SD-карты. К заблокированным типам файлов относятся исполняемые файлы (например, .exe, .dll или SCR).
Важно!
Файлы, скопированные с USB на диск, будут заблокированы этим правилом, если и когда оно будет выполнено на диске.
имя Intune:Untrusted and unsigned processes that run from USB
имя Configuration Manager:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Тип действия расширенной охоты:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Зависимости: антивирусная программа Microsoft Defender
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия)
Это правило блокирует использование исполняемых файлов, которые определены как копии системных средств Windows. Эти файлы являются либо дубликатами, либо импонаторами исходных системных средств. Некоторые вредоносные программы могут пытаться копировать или олицетворять системные средства Windows, чтобы избежать обнаружения или получения привилегий. Разрешение таких исполняемых файлов может привести к потенциальным атакам. Это правило предотвращает распространение и выполнение таких дубликатов и самозваников системных средств на компьютерах Windows.
Примечание.
Сейчас эта возможность доступна в предварительной версии. В процессе разработки находятся дополнительные обновления для повышения эффективности.
Имя Intune:[PREVIEW] Block use of copied or impersonated system tools
имя Configuration Manager: пока недоступно
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Тип действия расширенной охоты:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Зависимости: антивирусная программа Microsoft Defender
Блокировать создание WebShell для серверов
Это правило блокирует создание скрипта веб-оболочки в Microsoft Server с ролью Exchange. Скрипт веб-оболочки — это специально созданный скрипт, который позволяет злоумышленнику контролировать скомпрометированный сервер. Веб-оболочка может включать такие функции, как получение и выполнение вредоносных команд, скачивание и выполнение вредоносных файлов, кража и извлечение учетных данных и конфиденциальной информации, определение потенциальных целевых объектов и т. д.
имя Intune:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Зависимости: антивирусная программа Microsoft Defender
Блокировка вызовов API Win32 из макросов Office
Это правило запрещает макросам VBA вызывать API Win32. Office VBA включает вызовы API Win32. Вредоносные программы могут злоупотреблять этой возможностью, например вызывать API Win32 для запуска вредоносного кода оболочки , не записывая ничего непосредственно на диск. Большинство организаций не полагаются на возможность вызова API Win32 в повседневной работе, даже если они используют макросы другими способами.
имя Intune:Win32 imports from Office macro code
имя Configuration Manager:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Тип действия расширенной охоты:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Зависимости: антивирусная программа Microsoft Defender, AMSI
Использование расширенной защиты от программ-шантажистов
Это правило обеспечивает дополнительный уровень защиты от программ-шантажистов. Он использует клиентская и облачная эвристика, чтобы определить, похож ли файл на программу-шантажист. Это правило не блокирует файлы с одной или несколькими из следующих характеристик:
- Файл уже найден невредимым в облаке Майкрософт.
- Файл является допустимым подписанным файлом.
- Файл достаточно распространен, чтобы его нельзя было считать программой-шантажистом.
Правило имеет тенденцию к забвениям на стороне осторожности для предотвращения программ-шантажистов.
Примечание.
Чтобы использовать это правило, необходимо включить облачную защиту .
имя Intune:Advanced ransomware protection
имя Configuration Manager:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Тип действия расширенной охоты:
AsrRansomwareAudited
AsrRansomwareBlocked
Зависимости: антивирусная программа Microsoft Defender, защита от облака
См. также
- Общие сведения о развертывании правил сокращения направлений атак
- Планирование развертывания правил сокращения направлений атак
- Проверка правил сокращения направлений атак
- Включение правил сокращения направлений атак
- Ввод в эксплуатацию правил сокращения направлений атак
- Отчет о правилах сокращения направлений атак
- Справочник по правилам сокращения направлений атак
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.