Regeln zur Verringerung der Angriffsfläche

Gilt für:

Dieser Artikel enthält Informationen zu Attack Reduction-Regeln:

Öffentliche Vorschau: Unterstützte Betriebssysteme

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

In der folgenden Tabelle sind die unterstützten Betriebssysteme für Attack Surface Reduction-Regeln aufgeführt, bei denen es sich derzeit um Vorabversionen handelt. Die Regeln sind alphabetisch sortiert.

Hinweis

  • Sofern nicht anders angegeben, ist die Mindestversion Windows   10-Builds Version 1709 (RS3, Build 16299) oder höher. Die Mindestversion Windows   Serverbuild ist Version 1809 oder höher.
Regelname Windows Server   2016 [1] Windows   Server 2012 R2 [1]
Blockieren des Missbrauchs von gefährdeten signierten Treibern v v
Adobe Reader am Erstellen von untergeordneten Prozessen hindern v v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern v v
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren v v
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren v v
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium v v
Ausführung potenziell verborgener Skripts blockieren v v
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern J N
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern v v
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern v v
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern v v
Blockieren der Persistenz über das WMI-Ereignisabonnement * Datei- und Ordnerausschlüsse werden nicht unterstützt. N N
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren v v
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren v v
Blockieren von Win32-API-Aufrufen von Office Makros N N
Verwenden des erweiterten Schutzes vor Ransomware v v
Regelname Windows Server   2016 [1] Windows   Server 2012 R2 [1]

(1) Bezieht sich auf die moderne, einheitliche Lösung für Windows Server 2012 und 2016. Weitere Informationen finden Sie unter Onboarding Windows Server in den Defender for Endpoint-Dienst.

Öffentliche Vorschau beenden: Unterstützte Betriebssysteme

Unterstützte Betriebssysteme

In der folgenden Tabelle sind die unterstützten Betriebssysteme für Regeln aufgeführt, die derzeit für die allgemeine Verfügbarkeit freigegeben sind. Die Regeln sind alphabetisch sortiert.

Hinweis

  • Sofern nicht anders angegeben, ist die Mindestversion Windows   10-Builds Version 1709 (RS3, Build 16299) oder höher. Die Mindestversion Windows   Serverbuild ist Version 1809 oder höher.
Regelname Windows   10 Windows Server   2019 Windows   Server Windows   Server 2016 Windows Server   2012 R2
Blockieren des Missbrauchs von gefährdeten signierten Treibern v v Y Version 1803 (Semi-Annual Channel) oder höher
Adobe Reader am Erstellen von untergeordneten Prozessen hindern Y Version 1809 oder höher v v

Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern v v v

Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren Y Version 1803 oder höher v

v

Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren v v

v

Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium Y Version 1803 oder höher v

v

Ausführung potenziell verborgener Skripts blockieren v v

v

JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern v v

v

Office-Anwendungen am Erstellen ausführbarer Inhalte hindern v v

v

Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern v v

v

Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern v v

v

Persistenz durch WMI-Ereignisabonnement blockieren

*Datei- und Ordnerausschlüsse werden nicht unterstützt.
Y Version 1903 (Build 18362) oder höher v v

Version 1903 (Build 18362) oder höher
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren Y Version 1803 oder höher v

v

Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren v v

v

Blockieren von Win32-API-Aufrufen von Office Makros v v

v

Verwenden des erweiterten Schutzes vor Ransomware Y Version 1803 oder höher v

v

Regelname Windows   10 Windows   Server 2019 Windows   Server Windows Server   2016 Windows Server   2012 R2

Unterstützte Konfigurationsverwaltungssysteme

Links zu Informationen zu Konfigurationsverwaltungssystemversionen, auf die in dieser Tabelle verwiesen wird, sind unterhalb dieser Tabelle aufgeführt.

Regelname Intune Microsoft Endpoint Manager Microsoft Endpoint Configuration Manager Gruppenrichtlinie [1] PowerShell [1]
Blockieren des Missbrauchs von gefährdeten signierten Treibern J Y MEM OMA-URI v Unterstützt

Adobe Reader am Erstellen von untergeordneten Prozessen hindern v v v v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern v v

CB 1710
v v
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren v v

CB 1802
v v
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren v v

CB 1710
v v
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium v v

CB 1802
v v
Ausführung potenziell verborgener Skripts blockieren v v

CB 1710
v v
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern v v

CB 1710
v v
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern v v

CB 1710
v v
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern v v

CB 1710
v v
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern v v

CB 1710
v v
Persistenz durch WMI-Ereignisabonnement blockieren v v
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren v v v
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren v v

CB 1802
v v
Blockieren von Win32-API-Aufrufen von Office Makros v v

CB 1710
v v
Verwenden des erweiterten Schutzes vor Ransomware v v

CB 1802
v v

(1) Sie können Attack Surface Reduction-Regeln pro Regel mithilfe der GUID einer beliebigen Regel konfigurieren.

Beschreibungen pro Regel

Blockieren des Missbrauchs von gefährdeten signierten Treibern

Diese Regel verhindert, dass eine Anwendung einen anfälligen signierten Treiber auf den Datenträger schreibt. Gefährdete signierte Treiber können von lokalen Anwendungen ausgenutzt werden, - die über ausreichende Berechtigungen für den Zugriff auf den Kernel - verfügen. Anfällige signierte Treiber ermöglichen Es Angreifern, Sicherheitslösungen zu deaktivieren oder zu umgehen, was letztendlich zu Systemkompromittierungen führt.

Die Regel zum Blockieren des Missbrauchs gefährdeter signierter Treiber verhindert nicht, dass ein bereits auf dem System vorhandener Treiber geladen wird.

Hinweis

Sie können diese Regel mithilfe von MEM-OMA-URI konfigurieren. Informationen zum Konfigurieren benutzerdefinierter Regeln finden Sie unter MEM-OMA-URI.

Sie können diese Regel auch mithilfe von PowerShellkonfigurieren.

Um einen Treiber untersuchen zu lassen, verwenden Sie diese Website, um einen Treiber für die Analyse zu übermitteln.

Intune-Name: Block abuse of exploited vulnerable signed drivers (noch nicht verfügbar)

Configuration Manager-Name: Noch nicht verfügbar

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Adobe Reader am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert Angriffe, indem Adobe Reader am Erstellen von Prozessen gehindert wird.

Durch Social Engineering oder Exploits kann Schadsoftware Nutzlasten herunterladen und starten und aus Adobe Reader ausbrechen. Durch das Blockieren der Generierung von untergeordneten Prozessen durch Adobe Reader wird verhindert, dass Schadsoftware versucht, sie als Vektor zu verwenden.

Intune-Name: Process creation from Adobe Reader (beta)

Configuration Manager-Name: Noch nicht verfügbar

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Erweiterter Suchaktionstyp:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Abhängigkeiten: MDAV

Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert, dass Office Apps untergeordnete Prozesse erstellen. Office Apps umfassen Word, Excel, PowerPoint, OneNote und Access.

Das Erstellen bösartiger untergeordneter Prozesse ist eine gängige Schadsoftwarestrategie. Schadsoftware, die Office als Vektor missbraucht, führt häufig VBA-Makros und Exploit-Code aus, um weitere Nutzlasten herunterzuladen und auszuführen. Einige legitime Branchenanwendungen können jedoch auch untergeordnete Prozesse für unfreundliche Zwecke generieren. z. B. das Auslösen einer Eingabeaufforderung oder die Verwendung von PowerShell zum Konfigurieren von Registrierungseinstellungen.

Intune-Name: Office apps launching child processes

Configuration Manager-Name: Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Erweiterter Suchaktionstyp:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Abhängigkeiten: MDAV

Blockieren des Diebstahls von Anmeldeinformationen aus dem subsystem der Windows lokalen Sicherheitsautorität

Diese Regel trägt dazu bei, das Stehlen von Anmeldeinformationen zu verhindern, indem der Subsystemdienst der lokalen Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) gesperrt wird.

LSASS authentifiziert Benutzer, die sich auf einem Windows Computer anmelden. Microsoft Defender Credential Guard in Windows verhindert normalerweise Versuche, Anmeldeinformationen aus LSASS zu extrahieren. Einige Organisationen können Credential Guard jedoch aufgrund von Kompatibilitätsproblemen mit benutzerdefinierten Smartcardtreibern oder anderen Programmen, die in die lokale Sicherheitsautorität (Local Security Authority, LSA) geladen werden, nicht auf allen ihren Computern aktivieren. In diesen Fällen können Angreifer Hacktools wie Mimikatz verwenden, um Klartextkennwörter und NTLM-Hashes von LSASS zu verwischen.

Hinweis

In einigen Apps zählt der Code alle ausgeführten Prozesse auf und versucht, sie mit vollständigen Berechtigungen zu öffnen. Diese Regel verweigert die Vorgangsöffnungsaktion der App und protokolliert die Details im Sicherheitsereignisprotokoll. Diese Regel kann viel Rauschen erzeugen. Wenn Sie über eine App verfügen, die LSASS einfach aufzählt, aber keine echten Auswirkungen auf die Funktionalität hat, ist es nicht erforderlich, sie der Ausschlussliste hinzuzufügen. Dieser Ereignisprotokolleintrag allein weist nicht unbedingt auf eine böswillige Bedrohung hin.

Intune-Name: Flag credential stealing from the Windows local security authority subsystem

Configuration Manager-Name: Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Erweiterter Suchaktionstyp:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Abhängigkeiten: MDAV

Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren

Diese Regel verhindert, dass die folgenden Dateitypen von E-Mails gestartet werden, die in der Microsoft Outlook-Anwendung oder Outlook.com und anderen beliebten Webmailanbietern geöffnet wurden:

  • Ausführbare Dateien (z. B. .exe, .dll oder SCR)
  • Skriptdateien (z. B. eine PowerShell-PS-, Visual Basic-VBS- oder JavaScript-.js datei)

Intune-Name: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Endpoint Manager Name:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Erweiterter Suchaktionstyp:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Abhängigkeiten: MDAV

Hinweis

Die Regel zum Blockieren von ausführbaren Inhalten vom E-Mail-Client und webmail verfügt über die folgenden alternativen Beschreibungen, je nachdem, welche Anwendung Sie verwenden:

  • Intune (Konfigurationsprofile): Ausführung von ausführbaren Inhalten (exe, dll, ps, js, vbs usw.), die aus E-Mails (Webmail/Mail-Client) verworfen wurden (keine Ausnahmen).
  • Endpoint Manager: Blockieren des Downloads ausführbarer Inhalte von E-Mail- und Webmailclients.
  • Gruppenrichtlinie: Blockieren von ausführbaren Inhalten vom E-Mail-Client und webmail.

Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium

Mit dieser Regel wird verhindert, dass ausführbare Dateien wie .exe, .dll oder SCR gestartet werden, es sei denn, eine der folgenden Bedingungen ist erfüllt:

  • Verbreitung: Die ausführbaren Dateien werden auf mehr als 1.000 Endpunkten gefunden.
  • Alter: Die ausführbaren Dateien wurden vor mehr als 24 Stunden veröffentlicht.
  • Speicherort: Die ausführbaren Dateien sind in einer vertrauenswürdigen Liste oder einer Ausschlussliste enthalten.

Das Starten nicht vertrauenswürdiger oder unbekannter ausführbarer Dateien kann riskant sein, da möglicherweise zunächst nicht klar ist, ob die Dateien bösartig sind.

Wichtig

Sie müssen den über die Cloud bereitgestellten Schutz aktivieren, um diese Regel verwenden zu können.

Die Regel zum Blockieren der Ausführung ausführbarer Dateien, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium mit GUID, gehört Microsoft und wird nicht von Administratoren 01443614-cd74-433a-b99e-2ecdc07bfc25 angegeben. Diese Regel verwendet über die Cloud bereitgestellten Schutz, um ihre vertrauenswürdige Liste regelmäßig zu aktualisieren.

Sie können einzelne Dateien oder Ordner (mithilfe von Ordnerpfaden oder vollqualifizierten Ressourcennamen) angeben, jedoch nicht angeben, welche Regeln oder Ausschlüsse gelten.

Intune-Name: Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager-Name: Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Erweiterter Suchaktionstyp:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Abhängigkeiten: MDAV, Cloud Protection

Ausführung potenziell verborgener Skripts blockieren

Diese Regel erkennt verdächtige Eigenschaften in einem verborgenen Skript.

Das Verbergen von Skripts ist eine gängige Technik, die sowohl Von Schadsoftwareautoren als auch legitimen Anwendungen verwendet wird, um geistiges Eigentum auszublenden oder die Ladezeiten von Skripts zu verringern. Autoren von Schadsoftware verwenden auch die Verschleierung, um das Lesen von schadhaftem Code zu erschweren, wodurch eine genaue Prüfung durch Menschen und Sicherheitssoftware verhindert wird.

Intune-Name: Obfuscated js/vbs/ps/macro code

Configuration Manager-Name: Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Erweiterter Suchaktionstyp:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Abhängigkeiten: MDAV, AMSI

JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern

Diese Regel verhindert, dass Skripts potenziell schädliche heruntergeladene Inhalte starten. In JavaScript oder VBScript geschriebene Schadsoftware dient häufig als Downloader, um andere Schadsoftware aus dem Internet abzurufen und zu starten.

Obwohl branchenspezifische Anwendungen nicht üblich sind, verwenden sie manchmal Skripts, um Installationsprogramme herunterzuladen und zu starten.

Intune-Name: js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager-Name: Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Erweiterter Suchaktionstyp:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Abhängigkeiten: MDAV, AMSI

Office-Anwendungen am Erstellen ausführbarer Inhalte hindern

Diese Regel verhindert, dass Office Apps, einschließlich Word, Excel und PowerPoint, potenziell schädliche ausführbare Inhalte erstellen, indem verhindert wird, dass bösartiger Code auf den Datenträger geschrieben wird.

Schadsoftware, die Office als Vektor missbraucht, versucht möglicherweise, Office zu unterbrechen und schädliche Komponenten auf dem Datenträger zu speichern. Diese schädlichen Komponenten würden einen Computerneustart überstehen und auf dem System beibehalten. Daher schützt diese Regel vor einer gängigen Persistenztechnik.

Intune-Name: Office apps/macros creating executable content

SCCM-Name: Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Erweiterter Suchaktionstyp:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Abhängigkeiten: MDAV, RPC

Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern

Diese Regel blockiert Codeeinfügungsversuche von Office Apps in andere Prozesse.

Angreifer versuchen möglicherweise, Office-Apps zu verwenden, um bösartigen Code durch Codeeinschleusung in andere Prozesse zu migrieren, damit sich der Code als sauberen Prozess maskieren kann.

Es gibt keine bekannten legitimen Geschäftszwecke für die Verwendung von Codeeinfügung.

Diese Regel gilt für Word, Excel und PowerPoint.

Intune-Name: Office apps injecting code into other processes (no exceptions)

Configuration Manager-Name: Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Erweiterter Suchaktionstyp:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Abhängigkeiten: MDAV

Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert, dass Outlook untergeordnete Prozesse erstellen und gleichzeitig legitime Outlook Funktionen zulassen.

Diese Regel schützt vor Social Engineering-Angriffen und verhindert, dass Code Sicherheitslücken in Outlook missbraucht. Es schützt auch vor Outlook Regeln und Formularen, die Angreifer verwenden können, wenn die Anmeldeinformationen eines Benutzers kompromittiert werden.

Hinweis

Diese Regel blockiert DLP-Richtlinientipps und QuickInfos in Outlook. Diese Regel gilt nur für Outlook und Outlook.com.

Intune-Name: Process creation from Office communication products (beta)

Configuration Manager-Name: Nicht verfügbar

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Erweiterter Suchaktionstyp:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Abhängigkeiten: MDAV

Persistenz durch WMI-Ereignisabonnement blockieren

Diese Regel verhindert, dass Schadsoftware WMI missbraucht, um Persistenz auf einem Gerät zu erhalten.

Wichtig

Datei- und Ordnerausschlüsse gelten nicht für diese Regel zur Verringerung der Angriffsfläche.

Dateilose Bedrohungen verwenden verschiedene Taktiken, um versteckt zu bleiben und somit zu vermeiden, im Dateisystem sichtbar zu sein, und um regelmäßige Ausführungskontrolle zu erhalten. Einige Bedrohungen können das WMI-Repository und das Ereignismodell missbrauchen, um versteckt zu bleiben.

Intune-Name: Nicht verfügbar

Configuration Manager-Name: Nicht verfügbar

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Erweiterter Suchaktionstyp:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Abhängigkeiten: MDAV, RPC

Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren

Diese Regel blockiert die Ausführung von Prozessen, die über PsExec und WMI erstellt wurden. Sowohl PsExec als auch WMI können Code remote ausführen, sodass das Risiko besteht, dass Schadsoftware diese Funktionalität zu Befehls- und Steuerungszwecken missbraucht oder eine Infektion im gesamten Netzwerk einer Organisation verbreitet.

Warnung

Verwenden Sie diese Regel nur, wenn Sie Ihre Geräte mit Intune oder einer anderen MDM-Lösung verwalten. Diese Regel ist mit der Verwaltung über Microsoft Endpoint Configuration Manager nicht kompatibel, da diese Regel WMI-Befehle blockiert, die der Configuration Manager-Client verwendet, um ordnungsgemäß zu funktionieren.

Intune-Name: Process creation from PSExec and WMI commands

Configuration Manager-Name: Nicht zutreffend

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Erweiterter Suchaktionstyp:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Abhängigkeiten: MDAV

Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren

Mit dieser Regel können Administratoren verhindern, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien von USB-Wechseldatenträgern ausgeführt werden, einschließlich SD-Karten. Zu den blockierten Dateitypen gehören ausführbare Dateien (z. B. .exe, .dll oder SCR).

Intune-Name: Untrusted and unsigned processes that run from USB

Configuration Manager-Name: Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Erweiterter Suchaktionstyp:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Abhängigkeiten: MDAV

Win32-API-Aufrufe von Office-Makros blockieren

Diese Regel verhindert, dass VBA-Makros Win32-APIs aufrufen.

Office VBA aktiviert Win32-API-Aufrufe. Schadsoftware kann diese Funktion missbrauchen, z. B. indem sie Win32-APIs aufruft, um bösartige Shellcode zu starten, ohne etwas direkt auf die Festplatte zu schreiben. Die meisten Organisationen verlassen sich nicht auf die Möglichkeit, Win32-APIs in ihrer täglichen Funktionsweise aufzurufen, auch wenn sie Makros auf andere Weise verwenden.

Unterstützte Betriebssysteme:

Intune-Name: Win32 imports from Office macro code

Configuration Manager-Name: Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Erweiterter Suchaktionstyp:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Abhängigkeiten: MDAV, AMSI

Erweiterten Schutz vor Ransomware verwenden

Diese Regel bietet eine zusätzliche Schutzebene vor Ransomware. Es verwendet sowohl Client- als auch Cloud-Heuristiken, um zu bestimmen, ob eine Datei Ransomware ähnelt. Diese Regel blockiert keine Dateien mit einem oder mehreren der folgenden Merkmale:

  • Die Datei wurde bereits in der Microsoft-Cloud als nicht vertrauenswürdig eingestuft.
  • Die Datei ist eine gültige signierte Datei.
  • Die Datei ist weit verbreitet genug, um nicht als Ransomware betrachtet zu werden.

Die Regel tendiert zu einem Fehler auf der Seite der Vorsicht, um Ransomware zu verhindern.

Hinweis

Sie müssen den über die Cloud bereitgestellten Schutz aktivieren, um diese Regel verwenden zu können.

Intune-Name: Advanced ransomware protection

Configuration Manager-Name: Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Erweiterter Suchaktionstyp:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Abhängigkeiten: MDAV, Cloud Protection