Attack surface reduction 規則を使用して攻撃のサーフェスを削減するReduce attack surfaces with attack surface reduction rules

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

[Attack surface] は、攻撃者が組織のデバイスまたはネットワークを侵害する可能性がある場所の合計数です。Your attack surface is the total number of places where an attacker could compromise your organization's devices or networks. 攻撃を受ける面を減らすことで、攻撃者による攻撃を軽減する方法が少なくなります。Reducing your attack surface means offering attackers fewer ways to perform attacks.

Attack surface reduction ルールは、次のような攻撃者によって悪用されることが多いソフトウェア動作をターゲットにします。Attack surface reduction rules target software behaviors that are often abused by attackers, such as:

  • ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトの起動Launching executable files and scripts that attempt to download or run files
  • 難読化された、または疑わしい可能性のあるスクリプトを実行するRunning obfuscated or otherwise suspicious scripts
  • 通常の日常的な作業でアプリが起動しない動作を実行するPerforming behaviors that apps don't usually initiate during normal day-to-day work

このような動作は、正当なアプリケーションで表示されることがあります。ただし、マルウェアによって悪用されることが多いため、リスクはリスクと見なされます。Such behaviors are sometimes seen in legitimate applications; however, they are considered risky because they are commonly abused by malware. Attack surface reduction ルールは、これらの種類の危険な動作を制約し、組織の安全を維持するために役立ちます。Attack surface reduction rules can constrain these kinds of risky behaviors and help keep your organization safe.

監査モードを使用して、attack surface reduction ルールが有効な場合に組織にどのように影響するかを評価します。Use audit mode to evaluate how attack surface reduction rules would impact your organization if they were enabled. 最初にすべてのルールを監査モードで実行して、基幹業務アプリケーションに対する影響を理解できるようにすることをお勧めします。It's best to run all rules in audit mode first so you can understand their impact on your line-of-business applications. 多くの基幹業務アプリケーションは、セキュリティ上の制限を受けて記述されているため、マルウェアと類似した方法でタスクを実行する可能性があります。Many line-of-business applications are written with limited security concerns, and they may perform tasks in ways that seem similar to malware. 監査データを監視し、必要なアプリケーションの 除外を追加 することで、生産性に影響を及ぼすことなく、攻撃対象の領域の削減ルールを展開できます。By monitoring audit data and adding exclusions for necessary applications, you can deploy attack surface reduction rules without impacting productivity.

ルールがトリガーされるたびに、デバイスに通知が表示されます。Whenever a rule is triggered, a notification will be displayed on the device. 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。You can customize the notification with your company details and contact information. この通知は、Microsoft Defender セキュリティセンターと Microsoft 365 セキュリティセンター内にも表示されます。The notification also displays within the Microsoft Defender Security Center and the Microsoft 365 security center.

Attack surface reduction ルールの構成の詳細については、「 attack surface reduction 規則を有効にする」を参照してください。For more information about configuring attack surface reduction rules, see Enable attack surface reduction rules.

Windows バージョン間での Attack surface reduction 機能Attack surface reduction features across Windows versions

次のいずれかのエディションとバージョンの Windows を実行しているデバイスに対して、attack surface reduction ルールを設定できます。You can set attack surface reduction rules for devices running any of the following editions and versions of Windows:

すべての攻撃面の削減ルールのセットを使用するには、 Windows 10 Enterprise ライセンスが必要です。To use the entire feature-set of attack surface reduction rules, you need a Windows 10 Enterprise license. Windows E5 ライセンスを使用すると、Microsoft Defender advanced Threat Protectionで利用可能な監視、分析、ワークフロー、 microsoft 365 セキュリティセンターのレポート機能と構成機能など、高度な管理機能を利用できます。With a Windows E5 license, you get advanced management capabilities including monitoring, analytics, and workflows available in Microsoft Defender Advanced Threat Protection, as well as reporting and configuration capabilities in the Microsoft 365 security center. これらの高度な機能は E3 ライセンスでは使用できませんが、イベントビューアーを使って、attack surface reduction ルールイベントを確認できます。These advanced capabilities aren't available with an E3 license, but you can still use Event Viewer to review attack surface reduction rule events.

Microsoft Defender セキュリティセンターの attack surface reduction イベントを確認するReview attack surface reduction events in the Microsoft Defender Security Center

Microsoft Defender ATP は、アラート調査シナリオの一部として、イベントとブロックの詳細なレポートを提供します。Microsoft Defender ATP provides detailed reporting for events and blocks, as part of its alert investigation scenarios.

高度な検索を使用して、MICROSOFT Defender ATP データを照会することができます。You can query Microsoft Defender ATP data by using advanced hunting. 監査モードを実行している場合は、高度な検索を使用して、attack surface reduction ルールが環境にどのように影響するかを理解することができます。If you're running audit mode, you can use advanced hunting to understand how attack surface reduction rules could affect your environment.

クエリの例を次に示します。Here is an example query:

DeviceEvents
| where ActionType startswith 'Asr'

Windows イベントビューアーの attack surface reduction イベントを確認するReview attack surface reduction events in Windows Event Viewer

次のように、Windows イベントログを確認して、attack surface reduction ルールによって生成されたイベントを表示できます。You can review the Windows event log to view events generated by attack surface reduction rules:

  1. 評価パッケージをダウンロードし、デバイス上の簡単にアクセスできる場所にファイルcfa-events.xmlを抽出します。Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.

  2. [スタート] メニューに「 イベントビューアー」という単語を入力して、Windows イベントビューアーを開きます。Enter the words, Event Viewer, into the Start menu to open the Windows Event Viewer.

  3. [ アクション] で、[ ユーザー設定ビューのインポート] を選択します。Under Actions, select Import custom view....

  4. 抽出元のファイル cfa-events.xml を選びます。Select the file cfa-events.xml from where it was extracted. または、XML を直接コピーしますAlternatively, copy the XML directly.

  5. [OK] を選択します。Select OK.

これにより、イベントをフィルター処理して、コントロールされたフォルダーアクセスに関連する、次の項目のみを表示するカスタムビューが作成されます。This will create a custom view that filters events to only show the following, all of which are related to controlled folder access:

イベント IDEvent ID 説明Description
50075007 設定が変更されるときのイベントEvent when settings are changed
11211121 ルールがブロック モードで起動したときのイベントEvent when rule fires in Block-mode
11221122 ルールが監査モードで起動したときのイベントEvent when rule fires in Audit-mode

イベントログの attack surface reduction イベント用の "エンジンバージョン" は、オペレーティングシステムによってではなく、Microsoft Defender ATP によって生成されます。The "engine version" listed for attack surface reduction events in the event log, is generated by Microsoft Defender ATP, not by the operating system. Microsoft Defender ATP は Windows 10 に統合されているため、この機能は Windows 10 がインストールされているすべてのデバイスで動作します。Microsoft Defender ATP is integrated with Windows 10, so this feature works on all devices with Windows 10 installed.

攻撃表面の縮小ルールAttack surface reduction rules

以下のセクションでは、15の attack surface reduction 規則について説明します。The following sections describe each of the 15 attack surface reduction rules. 次の表は、グループポリシーまたは PowerShell を使ってルールを構成する場合に使用する、対応する Guid を示しています。This table shows their corresponding GUIDs, which you use if you're configuring the rules with Group Policy or PowerShell. Microsoft Endpoint Configuration Manager または Microsoft Intune を使用している場合、Guid は必要ありません。If you use Microsoft Endpoint Configuration Manager or Microsoft Intune, you do not need the GUIDs:

ルール名Rule name GUIDGUID ファイル & フォルダーの除外File & folder exclusions サポートされている最小 OSMinimum OS supported
メール クライアントと Web メールから実行可能ファイルのコンテンツをブロックするBlock executable content from email client and webmail BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
子プロセスの作成をすべての Office アプリケーションでブロックするBlock all Office applications from creating child processes D4F940AB-401B-4EFC-AADC-AD5F3C50688A サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
Office アプリケーションが実行可能ファイルのコンテンツを作成できないようにするBlock Office applications from creating executable content 3B576869-A4EC-4529-8536-B80A7769E899 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
Office アプリケーションが他のプロセスにコードを挿入できないようにするBlock Office applications from injecting code into other processes 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
ダウンロードされた実行可能ファイルのコンテンツを、JavaScript または VBScript で起動できないようにするBlock JavaScript or VBScript from launching downloaded executable content D3E037E1-3EB8-44C8-A917-57927947596D サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
暗号化されている可能性のあるスクリプトの実行をブロックするBlock execution of potentially obfuscated scripts 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
Office マクロからの Win32 API の呼び出しをブロックするBlock Win32 API calls from Office macros 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
流行、年齢、または信頼できるリストの条件を満たしていない限り、実行可能ファイルをブロックするBlock executable files from running unless they meet a prevalence, age, or trusted list criterion 01443614-cd74-433a-b99e-2ecdc07bfc25 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
ランサムウェアに対する高度な保護機能を使用するUse advanced protection against ransomware c1db55ab-c21a-4637-bb3f-a12568109d35 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
Windows のローカルセキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)Block credential stealing from the Windows local security authority subsystem (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
PSExec および WMI コマンドから送信されたブロックプロセスの作成Block process creations originating from PSExec and WMI commands d1e49aac-8f56-4280-b9ba-993a6d77406c サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
USB から実行される信頼されていないプロセスと未署名のプロセスをブロックするBlock untrusted and unsigned processes that run from USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
Office コミュニケーションアプリケーションによる子プロセスの作成を禁止するBlock Office communication application from creating child processes 26190899-1602-49e8-8b27-eb1d0a1ce869 サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
Adobe Reader で子プロセスを作成しないようにブロックするBlock Adobe Reader from creating child processes 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c サポートされていますSupported Windows 10 バージョン 1709 (RS3、ビルド 16299) 以上Windows 10, version 1709 (RS3, build 16299) or greater
WMI イベントサブスクリプションによる持続性のブロックBlock persistence through WMI event subscription e6db77e5-3df2-4cf1-b95a-636979351e5b サポートされていませんNot supported Windows 10 バージョン 1903 (ビルド 18362) 以上Windows 10, version 1903 (build 18362) or greater

メール クライアントと Web メールから実行可能ファイルのコンテンツをブロックするBlock executable content from email client and webmail

このルールでは、Microsoft Outlook アプリケーションまたは Outlook.com やその他の一般的な web メールプロバイダーで開かれたメールからの、次の種類のファイルの起動がブロックされます。This rule blocks the following file types from launching from email opened within the Microsoft Outlook application, or Outlook.com and other popular webmail providers:

  • 実行可能ファイル (.exe、.dll、.scr など)Executable files (such as .exe, .dll, or .scr)
  • スクリプトファイル (たとえば、PowerShell、Visual Basic .vbs、または JavaScript ファイル)Script files (such as a PowerShell .ps, Visual Basic .vbs, or JavaScript .js file)

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: メール (webmail/mail クライアント) からの実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行 (例外なし)Intune name: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Endpoint Configuration Manager の名前: メールクライアントと web メールからの実行可能コンテンツをブロックするMicrosoft Endpoint Configuration Manager name: Block executable content from email client and webmail

GUIDGUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

子プロセスの作成をすべての Office アプリケーションでブロックするBlock all Office applications from creating child processes

このルールは、Office アプリによる子プロセスの作成をブロックします。This rule blocks Office apps from creating child processes. これには、Word、Excel、PowerPoint、OneNote、Access が含まれます。This includes Word, Excel, PowerPoint, OneNote, and Access.

悪意のある子プロセスの作成は、マルウェアの一般的な戦略です。Creating malicious child processes is a common malware strategy. ベクターとして Office を悪用したマルウェアは、多くの場合、VBA マクロを実行し、コードを悪用して、追加のペイロードをダウンロードして実行しようとします。Malware that abuse Office as a vector often run VBA macros and exploit code to download and attempt to run additional payloads. ただし、正当な基幹業務アプリケーションでは、コマンドプロンプトを起動したり、PowerShell を使用してレジストリ設定を構成したりするなど、害のない目的で子プロセスを生成することもあります。However, some legitimate line-of-business applications might also generate child processes for benign purposes, such as spawning a command prompt or using PowerShell to configure registry settings.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: Office アプリで子プロセスを起動するIntune name: Office apps launching child processes

構成マネージャー名: Office アプリケーションによる子プロセスの作成を禁止するConfiguration Manager name: Block Office application from creating child processes

GUIDGUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Office アプリケーションが実行可能ファイルのコンテンツを作成できないようにするBlock Office applications from creating executable content

このルールでは、悪意のあるコードがディスクに書き込まれるのをブロックすることで、Word、Excel、PowerPoint などの Office アプリが、悪意のある実行可能なコンテンツを作成することを防止します。This rule prevents Office apps, including Word, Excel, and PowerPoint, from creating potentially malicious executable content, by blocking malicious code from being written to disk.

Office をベクトルとして abuses するマルウェアは、Office を中断して、悪意のあるコンポーネントをディスクに保存しようとすることがあります。Malware that abuses Office as a vector may attempt to break out of Office and save malicious components to disk. このような悪意のあるコンポーネントは、コンピュータの再起動後もシステムで保持されます。These malicious components would survive a computer reboot and persist on the system. そのため、このルールは一般的な常設手法に対して防御します。Therefore, this rule defends against a common persistence technique.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: Office アプリ/マクロで実行可能コンテンツを作成するIntune name: Office apps/macros creating executable content

SCCM 名: 実行可能コンテンツの作成を禁止する Office アプリケーションSCCM name: Block Office applications from creating executable content

GUIDGUID: 3B576869-A4EC-4529-8536-B80A7769E899

Office アプリケーションが他のプロセスにコードを挿入できないようにするBlock Office applications from injecting code into other processes

このルールは、Office アプリから他のプロセスへのコードインジェクションの試みをブロックします。This rule blocks code injection attempts from Office apps into other processes.

攻撃者がコードインジェクションを通じて悪意のあるコードを他のプロセスに移行しようとすると、コードをクリーンなプロセスとして使用できるようになります。Attackers might attempt to use Office apps to migrate malicious code into other processes through code injection, so the code can masquerade as a clean process.

コードインジェクションの使用については、既知のビジネス目的はありません。There are no known legitimate business purposes for using code injection.

この規則は、Word、Excel、PowerPoint に適用されます。This rule applies to Word, Excel, and PowerPoint.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: Office アプリが他のプロセスにコードを挿入する (例外はありません)Intune name: Office apps injecting code into other processes (no exceptions)

構成マネージャー名: Office アプリケーションが他のプロセスにコードを挿入することをブロックするConfiguration Manager name: Block Office applications from injecting code into other processes

GUIDGUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

ダウンロードされた実行可能ファイルのコンテンツを、JavaScript または VBScript で起動できないようにするBlock JavaScript or VBScript from launching downloaded executable content

このルールは、悪意のある可能性のあるダウンロードされたコンテンツをスクリプトが起動するのを防ぎます。This rule prevents scripts from launching potentially malicious downloaded content. JavaScript や VBScript で記述されたマルウェアは、インターネットから他のマルウェアを取得して起動するために、ダウンローダーとして動作することがよくあります。Malware written in JavaScript or VBScript often acts as a downloader to fetch and launch other malware from the Internet.

一般的な基幹業務アプリケーションではありませんが、スクリプトを使ってインストーラーをダウンロードして起動する場合があります。Although not common, line-of-business applications sometimes use scripts to download and launch installers.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: js/vbs: インターネットからダウンロードされたペイロードを実行します (例外はありません)。Intune name: js/vbs executing payload downloaded from Internet (no exceptions)

構成マネージャー名: JavaScript をブロックするか、ダウンロードされた実行可能コンテンツを起動する VBScript をブロックするConfiguration Manager name: Block JavaScript or VBScript from launching downloaded executable content

GUIDGUID: D3E037E1-3EB8-44C8-A917-57927947596D

暗号化されている可能性のあるスクリプトの実行をブロックするBlock execution of potentially obfuscated scripts

このルールは、難読化されたスクリプト内で不審なプロパティを検出します。This rule detects suspicious properties within an obfuscated script.

スクリプトの難読化は、マルウェアの作成者と正当なアプリケーションの両方で知的財産を非表示にしたり、スクリプトの読み込み時間を短縮したりするために使われる一般的な手法です。Script obfuscation is a common technique that both malware authors and legitimate applications use to hide intellectual property or decrease script loading times. また、マルウェア作成者は難読化を使用して、悪意のあるコードを読みにくくします。これにより、人間とセキュリティソフトウェアによる調査が終了することがなくなります。Malware authors also use obfuscation to make malicious code harder to read, which prevents close scrutiny by humans and security software.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: 難読化した js/vbs/ps/マクロコードIntune name: Obfuscated js/vbs/ps/macro code

構成マネージャー名: 難読化した可能性のあるスクリプトの実行をブロックします。Configuration Manager name: Block execution of potentially obfuscated scripts.

GUIDGUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Office マクロからの Win32 API の呼び出しをブロックするBlock Win32 API calls from Office macros

このルールは、VBA マクロが Win32 Api を呼び出すことを防止します。This rule prevents VBA macros from calling Win32 APIs.

Office VBA は、Win32 API の呼び出しを行うことができます。Office VBA provides the ability to make Win32 API calls. マルウェアは、ディスクに直接書き込むことなく、 Win32 api を呼び出して悪意のある shellcode を起動する など、この機能を悪用する可能性があります。Malware can abuse this capability, such as calling Win32 APIs to launch malicious shellcode without writing anything directly to disk. ほとんどの組織では、他の方法でマクロを使用している場合でも、日常的な機能で Win32 Api を呼び出す機能に依存していません。Most organizations don't rely on the ability to call Win32 APIs in their day-to-day functioning, even if they use macros in other ways.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: Office マクロコードからの Win32 インポートIntune name: Win32 imports from Office macro code

構成マネージャー名: Office マクロからの Win32 API の呼び出しをブロックするConfiguration Manager name: Block Win32 API calls from Office macros

GUIDGUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

流行、年齢、または信頼できるリストの条件を満たしていない限り、実行可能ファイルをブロックするBlock executable files from running unless they meet a prevalence, age, or trusted list criterion

このルールでは、次のファイルの種類が、流行または年齢の条件を満たしていない場合、または信頼できるリストまたは除外リストに含まれている場合を除き、開始されません。This rule blocks the following file types from launching unless they meet prevalence or age criteria, or they're in a trusted list or an exclusion list:

  • 実行可能ファイル (.exe、.dll、.scr など)Executable files (such as .exe, .dll, or .scr)

信頼されていない、または不明な実行可能ファイルを起動すると、ファイルが悪意のある場合は最初は消去されない可能性があるため、危険な場合があります。Launching untrusted or unknown executable files can be risky, as it may not be initially clear if the files are malicious.

重要

このルールを使用するには、 クラウドで配信 された保護を有効にする必要があります。You must enable cloud-delivered protection to use this rule.

GUID 01443614-cd74-433a での 流行、年齢、または信頼できるリストの条件を満たしていない場合、実行可能ファイルを実行できないよう にするルール。 Microsoft が所有しており、管理者によって指定されていない。The rule Block executable files from running unless they meet a prevalence, age, or trusted list criterion with GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 is owned by Microsoft and is not specified by admins. クラウド配信による保護を使用して、信頼できるリストを定期的に更新します。It uses cloud-delivered protection to update its trusted list regularly.

個々のファイルまたはフォルダー (フォルダーパスまたは完全修飾リソース名を使用) を指定できますが、どのルールまたは除外を適用するかを指定することはできません。You can specify individual files or folders (using folder paths or fully qualified resource names) but you can't specify which rules or exclusions apply to.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: 流行、年齢、または信頼されているリストの条件を満たしていない実行可能ファイル。Intune name: Executables that don't meet a prevalence, age, or trusted list criteria.

構成マネージャー名: 流行、年齢、または信頼されているリストの条件を満たしていない場合は、実行可能ファイルをブロックするConfiguration Manager name: Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUIDGUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

ランサムウェアに対する高度な保護機能を使用するUse advanced protection against ransomware

このルールは、ランサムウェアに対する追加の保護レイヤーを提供します。This rule provides an extra layer of protection against ransomware. システムに入力されている実行可能ファイルをスキャンして、信頼できるかどうかを確認します。It scans executable files entering the system to determine whether they're trustworthy. ファイルが、ランサムウェアのように近い場合は、信頼できるリストまたは除外リストに含まれていない限り、このルールが実行されないようにブロックされます。If the files closely resemble ransomware, this rule blocks them from running, unless they're in a trusted list or an exclusion list.

注意

このルールを使用するには、 クラウドで配信 された保護を有効にする必要があります。You must enable cloud-delivered protection to use this rule.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: 高度なランサムウェア対策Intune name: Advanced ransomware protection

構成マネージャー名: ランサムウェアに対する高度な保護機能を使用するConfiguration Manager name: Use advanced protection against ransomware

GUIDGUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Windows のローカルセキュリティ機関サブシステムからの資格情報の盗用をブロックするBlock credential stealing from the Windows local security authority subsystem

このルールは、ローカルセキュリティ機関サブシステムサービス (LSASS) をロックダウンすることによって、資格情報の盗難を防ぐのに役立ちます。This rule helps prevent credential stealing, by locking down Local Security Authority Subsystem Service (LSASS).

LSASS は、Windows コンピューターにログインしているユーザーを認証します。LSASS authenticates users who log in to a Windows computer. Windows 10 の Microsoft Defender Credential Guard は通常、LSASS から資格情報を抽出する試みを防ぎます。Microsoft Defender Credential Guard in Windows 10 normally prevents attempts to extract credentials from LSASS. ただし、ユーザー設定のスマートカードドライバーや、ローカルセキュリティ機関 (LSA) に読み込まれるその他のプログラムに関する互換性の問題が原因で、組織によっては、すべてのコンピューターで Credential Guard を有効にできない場合があります。However, some organizations can't enable Credential Guard on all of their computers because of compatibility issues with custom smartcard drivers or other programs that load into the Local Security Authority (LSA). このような場合、攻撃者は、Mimikatz のようなハッキングツールを使用して、LSASS からクリアテキストパスワードと NTLM ハッシュを scrape することができます。In these cases, attackers can use hack tools like Mimikatz to scrape cleartext passwords and NTLM hashes from LSASS.

注意

一部のアプリでは、実行中のすべてのプロセスが列挙され、すべての権限でそれらを開こうとしています。In some apps, the code enumerates all running processes and attempts to open them with exhaustive permissions. このルールは、アプリのプロセスオープンアクションを拒否し、詳細をセキュリティイベントログに記録します。This rule denies the app's process open action and logs the details to the security event log. このルールは大量のノイズを生成する可能性があります。This rule can generate a lot of noise. LSASS を単に列挙するだけで、機能に実際の影響はありませんが、このアプリを除外リストに追加する必要はありません。If you have an app that simply enumerates LSASS, but has no real impact in functionality, there is NO need to add it to the exclusion list. このイベントログエントリ自体は、悪意のある脅威であるとは限りません。By itself, this event log entry doesn't necessarily indicate a malicious threat.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: Windows のローカルセキュリティ機関サブシステムからの資格情報の盗難を示します。Intune name: Flag credential stealing from the Windows local security authority subsystem

構成マネージャー名: Windows のローカルセキュリティ機関サブシステムからの資格情報の盗用をブロックするConfiguration Manager name: Block credential stealing from the Windows local security authority subsystem

GUIDGUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

PSExec および WMI コマンドから送信されたブロックプロセスの作成Block process creations originating from PSExec and WMI commands

このルールは、 PsExecWMI を使用して作成されたプロセスの実行をブロックします。This rule blocks processes created through PsExec and WMI from running. PsExec と WMI はどちらもリモートでコードを実行できるため、マルウェアがこの機能を使用してコマンドや制御の目的でこの機能を違反したり、組織のネットワーク全体に感染を広める可能性があります。Both PsExec and WMI can remotely execute code, so there is a risk of malware abusing this functionality for command and control purposes, or to spread an infection throughout an organization's network.

警告

このルールは、 Intune または別の MDM ソリューションを使用してデバイスを管理している場合にのみ使用してください。Only use this rule if you're managing your devices with Intune or another MDM solution. このルールは、Configuration Manager クライアントで正常に機能するために使用される WMI コマンドをブロックしているため、 Microsoft Endpoint Configuration Manager を使用した管理との互換性がありません。This rule is incompatible with management through Microsoft Endpoint Configuration Manager because this rule blocks WMI commands the Configuration Manager client uses to function correctly.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: PSExec および WMI コマンドからのプロセスの作成Intune name: Process creation from PSExec and WMI commands

構成マネージャー名: 該当なしConfiguration Manager name: Not applicable

GUIDGUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

USB から実行される信頼されていないプロセスと未署名のプロセスをブロックするBlock untrusted and unsigned processes that run from USB

このルールを使用すると、管理者は、署名されていないまたは信頼できない実行ファイルが、SD カードなどの USB リムーバブルドライブから実行されないようにできます。With this rule, admins can prevent unsigned or untrusted executable files from running from USB removable drives, including SD cards. ブロックされるファイルの種類には、実行可能ファイル (.exe、.dll、.scr など) があります。Blocked file types include executable files (such as .exe, .dll, or .scr)

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: USB から実行される信頼できないプロセスと署名されていないプロセスIntune name: Untrusted and unsigned processes that run from USB

構成マネージャー名: USB から実行される信頼されていないプロセスと未署名のプロセスをブロックするConfiguration Manager name: Block untrusted and unsigned processes that run from USB

GUIDGUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Office コミュニケーションアプリケーションによる子プロセスの作成を禁止するBlock Office communication application from creating child processes

このルールは、Outlook で子プロセスが作成されないようにします。ただし、正当な Outlook 機能も利用できます。This rule prevents Outlook from creating child processes, while still allowing legitimate Outlook functions.

これにより、ソーシャルエンジニアリング攻撃から保護され、Outlook の違反の脆弱性からの悪用コードを防ぐことができます。This protects against social engineering attacks and prevents exploit code from abusing vulnerabilities in Outlook. また、ユーザーの資格情報が侵害されたときに攻撃者が使用できる Outlook の規則とフォームの悪用 を防止します。It also protects against Outlook rules and forms exploits that attackers can use when a user's credentials are compromised.

注意

このルールは、Outlook と Outlook.com にのみ適用されます。This rule applies to Outlook and Outlook.com only.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: Office communication 製品からのプロセスの作成 (ベータ版)Intune name: Process creation from Office communication products (beta)

構成マネージャー名: まだご利用いただけませんConfiguration Manager name: Not yet available

GUIDGUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Adobe Reader で子プロセスを作成しないようにブロックするBlock Adobe Reader from creating child processes

このルールは、Adobe Reader が追加のプロセスを作成できないようにすることによって攻撃を防止します。This rule prevents attacks by blocking Adobe Reader from creating additional processes.

マルウェアはソーシャルエンジニアリングまたは攻略を通じて、追加のペイロードをダウンロードして起動し、Adobe Reader から復帰することができます。Through social engineering or exploits, malware can download and launch additional payloads and break out of Adobe Reader. Adobe Reader によって子プロセスが生成されないようにすることで、これをベクトルとして使用しようとしているマルウェアは展開できなくなります。By blocking child processes from being generated by Adobe Reader, malware attempting to use it as a vector are prevented from spreading.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: Adobe Reader からのプロセス作成 (ベータ版)Intune name: Process creation from Adobe Reader (beta)

構成マネージャー名: まだご利用いただけませんConfiguration Manager name: Not yet available

GUIDGUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

WMI イベントサブスクリプションによる持続性のブロックBlock persistence through WMI event subscription

このルールは、違反 WMI からのマルウェアによるデバイスの常設を防止します。This rule prevents malware from abusing WMI to attain persistence on a device.

重要

ファイルとフォルダーの除外は、この attack surface reduction ルールには適用されません。File and folder exclusions don't apply to this attack surface reduction rule.

Fileless の脅威は、ファイルシステムに表示されないようにしたり、定期的な実行制御を取得したりするために、さまざまな方針を採用しています。Fileless threats employ various tactics to stay hidden, to avoid being seen in the file system, and to gain periodic execution control. 一部の脅威は、WMI リポジトリとイベントモデルを乱用して非表示にすることができます。Some threats can abuse the WMI repository and event model to stay hidden.

このルールは次のところで導入されました。This rule was introduced in:

Intune 名: まだご利用いただけませんIntune name: Not yet available

構成マネージャー名: まだご利用いただけませんConfiguration Manager name: Not yet available

GUIDGUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

関連トピックRelated topics