ASR-regler, distribution fas 3: implementera
Implementeringsfasen flyttar ringen från testning till funktionellt läge.

Steg 1: Övergång ASR-regler från granskning till block
- När alla undantag har fastställts i granskningsläge börjar du med att ange att vissa ASR-regler ska blockeras, med början från den regel som har de minsta utlösande händelserna. Se Aktivera minskningsregler för attackytan.
- Granska rapporteringssidan i Microsoft 365 Defender, se Rapporten om skydd mot hot i Microsoft Defender för slutpunkt. Läs även feedback från asr-mästare.
- Förfina undantag eller skapa nya undantag efter behov.
- Växla tillbaka problematiska regler till Granskning.
Anteckning
För problematiska regler (regler som ger för mycket brus) är det bättre att skapa undantag än att inaktivera regler eller gå tillbaka till granskning. Du måste avgöra vad som passar bäst för din miljö.
Tips
När det är tillgängligt kan du använda inställningen Varna i regler för att begränsa störningar. Genom att aktivera ASR-regler i varningsläge kan du registrera utlösta händelser och se deras potentiella störningar, utan att i själva verket blockera slutanvändaråtkomst. Läs mer: Varningsläge för användare.
Hur fungerar varningsläget?
Varningsläge är i praktiken en blockeringsinstruktion, men med alternativet att avblockera användaren efterföljande körningar av det givna flödet eller appen. I varningsläge tillåts blockeringar för filer och processer per enhet, användare och process. Informationen om varningsläge lagras lokalt och varar i 24 timmar.
Steg 2: Utöka distributionen så att den ringer n + 1
När du är säker på att du har konfigurerat ASR-reglerna korrekt för ring 1 kan du bredda omfattningen av distributionen till nästa ring (ring n + 1).
Distributionsprocessen, steg 1–3, är i princip samma för varje efterföljande ring:
- Testregler i granskning
- Granska ASR-utlösta granskningshändelser i Microsoft 365 Defender portalen
- Skapa undantag
- Granska: förfina, lägga till eller ta bort undantag efter behov
- Ange att reglerna ska blockeras
- Granska rapporteringssidan i Microsoft 365 Defender portalen.
- Skapa undantag.
- Inaktivera problematiska regler eller växla tillbaka till Granskning.
Anpassa regler för minskning av attackytan
När du fortsätter att utöka distributionen av minskningsregler för attackytan kan det vara nödvändigt eller givande att anpassa de minskningsregler för attackytan som du har aktiverat.
Undanta filer och mappar
Du kan välja att undanta filer och mappar från att utvärderas med hjälp av minskningsregler för attackytan. När filen utesluts blockeras den inte från att köras även om en minskningsregel för attackytan identifierar att filen innehåller skadligt beteende.
Överväg till exempel utpressningstrojanregeln:
Utpressningstrojanregeln är utformad för att hjälpa företagskunder att minska risken för utpressningstrojaner och samtidigt säkerställa affärskontinuion. Som standard visas utpressningstrojaner på ena sidan av försiktighetsfelen och skydd mot filer som ännu inte har fått tillräckligt med rykte och förtroende. För att fasa fram utlöser utpressningstrojanregeln bara filer som inte har fått tillräckligt med positivt rykte och hela tiden utifrån användningsstatistiken för miljoner av våra kunder. Vanligtvis är blocken själv lösta, eftersom varje fils "rykte och förtroende"-värden uppgraderas stegvis allt eftersom användningen inte är problematisk.
I fall där block inte löses i tid kan kunderna på egen risk använda antingen självbetjäningsmekanismen eller en IOC-baserad (Indicator of Compromise) funktion för att ta bort blockeringen av själva filerna.
Varning
Om du utesluter eller tar bort blockering av filer eller mappar kan osäkra filer köras och smitta enheterna. Om du undantar filer eller mappar kan skyddet som tillhandahålls av regler för minskning av attackytan avsevärt minskas. Filer som skulle ha blockerats av en regel tillåts köras och ingen rapport eller händelse registreras.
Ett undantag gäller för alla regler som tillåter undantag. Du kan ange en enskild fil, mappsökväg eller det fullständigt kvalificerade domännamnet för en resurs. Du kan dock inte begränsa ett undantag till en viss regel.
Ett undantag tillämpas endast när det undantagna programmet eller tjänsten startas. Om du till exempel lägger till ett undantag för en uppdateringstjänst som redan körs fortsätter uppdateringstjänsten att utlösa händelser tills tjänsten stoppas och startas om.
Minskning av attackytan stöder miljövariabler och jokertecken. Information om hur du använder jokertecken finns i använda jokertecken i listorna filnamn och mappsökväg eller undantag för filnamnstillägg. Om du stöter på problem med regler för att identifiera filer som du tror inte ska identifieras kan du använda granskningsläge för att testa regeln.
Mer information om varje regel finns i avsnittet med regler för minskning av attackytor.
Använda grupprinciper för att utesluta filer och mappar
På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.
Gå till Datorkonfiguration i redigeraren för grupprinciphantering och klicka på Administrativa mallar.
Expandera trädet för att Windows komponenter Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > > minska attackytan.
Dubbelklicka på inställningen Exkludera filer och sökvägar från minskningsregler för attackytan och ange alternativet Aktiverad. Välj Visa och ange varje fil eller mapp i kolumnen Värdenamn . Ange 0 i värdekolumnen för varje objekt.
Varning
Använd inte citattecken eftersom de inte stöds för vare sig värdenamnskolumnen eller värdekolumnen .
Använda PowerShell för att utesluta filer och mappar
Skriv powershell i Start-menyn, högerklicka på Windows PowerShell välj Kör som administratör.
Ange följande cmdlet:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"Fortsätt att använda för
Add-MpPreference -AttackSurfaceReductionOnlyExclusionsatt lägga till fler mappar i listan.Viktigt
Används
Add-MpPreferenceför att lägga till eller lägga till appar i listan.Set-MpPreferenceMed hjälp av cmdleten skriver du över den befintliga listan.
Använda MDM-csP:er för att utesluta filer och mappar
Använd ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions-konfigurationstjänsten (CSP) för att lägga till undantag.
Anpassa meddelandet
Du kan anpassa meddelandet för när en regel utlöses och spärra en app eller fil. Mer information Windows-säkerhet artikeln.