Referens för minskning av attackytan

Gäller för:

Den här artikeln innehåller information om regler för att minska angrepp:

Offentlig förhandsversion: Operativsystem som stöds

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

I följande tabell visas de operativsystem som stöds för minskning av attackytor som är förhandsversioner. Reglerna visas i alfabetisk ordning.

Anteckning

  • Om inget annat anges är den lägsta Windows  10-versionen version 1709 (RS3, version 16299) eller senare. Lägsta Windows  Serverversion är 1809 eller senare.
Regelnamn  Windows Server 2016 [1]  Windows Server 2012 R2 [1]
Blockera missbruk av utnyttjas sårbara signerade drivrutiner J J
Blockera Adobe Reader från att skapa underordnade processer J J
Blockera alla Office från att skapa underordnade processer J J
Blockera att autentiseringsuppgifter stjäls från Windows lokala säkerhetsutfärdares undersystem (lsass.exe) J J
Blockera körbart innehåll från e-postklient och webbaserad e-post J J
Blockera körbara filer från att köras såvida de inte uppfyller ett villkor för en vän, ålder eller en betrodd lista J J
Blockera körning av potentiellt oönskade skript J J
Blockera JavaScript eller VBScript från att starta hämtat körbart innehåll J N
Blockera Office program från att skapa körbart innehåll J J
Blockera Office-program från att mata in kod i andra processer J J
Blockera Office kommunikationsprogram från att skapa underordnade processer J J
Blockera beständighet via WMI-händelseprenumeration * Undantag för filer och mappar stöds inte. N N
Blockera processskapanden som kommer från PSExec- och WMI-kommandon J J
Blockera icke betrodda och osignerade processer som körs från USB J J
Blockera Win32 API-anrop från Office makron N N
Använd avancerat skydd mot utpressningstrojaner J J
Regelnamn ** Windows Server 2016** [1] ** Windows Server 2012 R2** [1]

(1) Refererar till den moderna, enhetliga lösningen för Windows Server 2012 och 2016. Mer information finns i Onboard Windows Servers to the Defender for Endpoint service.

Avsluta offentlig förhandsversion: Operativsystem som stöds

Operativsystem som stöds

I följande tabell visas de operativsystem som stöds för regler som är tillgängliga för närvarande till allmän tillgänglighet. Reglerna visas i alfabetisk ordning.

Anteckning

  • Om inget annat anges är den lägsta Windows  10-versionen version 1709 (RS3, version 16299) eller senare. Lägsta Windows  Serverversion är 1809 eller senare.
Regelnamn  Windows 10  Windows Server 2019  Windows Server
Blockera missbruk av utnyttjas sårbara signerade drivrutiner J J Y version 1803 (Halvårskanal) eller senare
Blockera Adobe Reader från att skapa underordnade processer Y version 1809 eller senare J J

Blockera alla Office från att skapa underordnade processer J J J

Blockera att autentiseringsuppgifter stjäls från Windows lokala säkerhetsutfärdares undersystem (lsass.exe) Y version 1803 eller senare J

J

Blockera körbart innehåll från e-postklient och webbaserad e-post J J

J

Blockera körbara filer från att köras såvida de inte uppfyller ett villkor för en vän, ålder eller en betrodd lista Y version 1803 eller senare J

J

Blockera körning av potentiellt oönskade skript J J

J

Blockera JavaScript eller VBScript från att starta hämtat körbart innehåll J J

J

Blockera Office program från att skapa körbart innehåll J J

J

Blockera Office-program från att mata in kod i andra processer J J

J

Blockera Office kommunikationsprogram från att skapa underordnade processer J J

J

Blockera beständighet via WMI-händelseprenumeration

*Undantag för filer och mappar stöds inte.
Y-version 1903 (version 18362) eller senare J J

version 1903 (version 18362) eller senare
Blockera processskapanden som kommer från PSExec- och WMI-kommandon Y version 1803 eller senare J

J

Blockera icke betrodda och osignerade processer som körs från USB J J

J

Blockera Win32 API-anrop från Office makron J J

J

Använd avancerat skydd mot utpressningstrojaner Y version 1803 eller senare J

J

Konfigurationshanteringssystem som stöds

Länkar till information om versioner av konfigurationshanteringssystem som refereras i den här tabellen visas under den här tabellen.

Regelnamn Intune Microsoft Endpoint Manager Microsoft Endpoint Configuration Manager Grupprincip[1] PowerShell[1]
Blockera missbruk av utnyttjas sårbara signerade drivrutiner J Y MEM OMA-URI J stöds

Blockera Adobe Reader från att skapa underordnade processer J J J J
Blockera alla Office från att skapa underordnade processer J J

CB 1710
J J
Blockera att autentiseringsuppgifter stjäls från Windows lokala säkerhetsutfärdares undersystem (lsass.exe) J J

CB 1802
J J
Blockera körbart innehåll från e-postklient och webbaserad e-post J J

CB 1710
J J
Blockera körbara filer från att köras såvida de inte uppfyller ett villkor för en vän, ålder eller en betrodd lista J J

CB 1802
J J
Blockera körning av potentiellt oönskade skript J J

CB 1710
J J
Blockera JavaScript eller VBScript från att starta hämtat körbart innehåll J J

CB 1710
J J
Blockera Office program från att skapa körbart innehåll J J

CB 1710
J J
Blockera Office-program från att mata in kod i andra processer J J

CB 1710
J J
Blockera Office kommunikationsprogram från att skapa underordnade processer J J

CB 1710
J J
Blockera beständighet via WMI-händelseprenumeration J J
Blockera processskapanden som kommer från PSExec- och WMI-kommandon J J J
Blockera icke betrodda och osignerade processer som körs från USB J J

CB 1802
J J
Blockera Win32 API-anrop Office makron J J

CB 1710
J J
Använd avancerat skydd mot utpressningstrojaner J J

CB 1802
J J

(1) Du kan konfigurera regler för att minska attackytan per regel genom att använda en regels GUID.

Per regelbeskrivningar

Blockera missbruk av utnyttjas sårbara signerade drivrutiner

Den här regeln förhindrar att ett program skriver en sårbar signerad drivrutin till disken. I-det-jokertecken kan sårbara signerade - - drivrutiner utnyttjas av lokala program som har tillräcklig behörighet för att få åtkomst till kerneln. Sårbar signerade drivrutiner gör att attacker kan inaktivera eller kringgå säkerhetslösningar, vilket till slut leder till systemkompromettering.

Regeln Blockera missbruk av utnyttjas sårbara signerade drivrutiner blockerar inte redan befintlig drivrutin i systemet från att läsas in.

Anteckning

Du kan konfigurera den här regeln med MEM OMA-URI. Se MEM OMA-URI för konfiguration av anpassade regler.

Du kan också konfigurera den här regeln med Hjälp av PowerShell.

Om du vill att en drivrutin ska vara en av de första kan du använda den här webbplatsen för att Skicka in en drivrutin för analys.

Intune-namn: Block abuse of exploited vulnerable signed drivers (inte tillgängligt ännu)

Konfigurationshanterarens namn: Ännu inte tillgängligt

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Blockera Adobe Reader från att skapa underordnade processer

Den här regeln förhindrar attacker genom att blockera Adobe Reader från att skapa processer.

Genom social engineering eller sårbarheter kan skadlig programvara ladda ned och starta nyttolaster och bryta ut från Adobe Reader. Genom att blockera underordnade processer från att genereras av Adobe Reader förhindras skadlig programvara som försöker använda den som en vektor från att spridas.

Intune-namn: Process creation from Adobe Reader (beta)

Konfigurationshanterarens namn: Ännu inte tillgängligt

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Avancerad sökåtgärdstyp:

  • AsrAdobeReaderProcessAudited
  • AsrAdobeReaderProcessBlocked

Samband: MDAV

Blockera alla Office från att skapa underordnade processer

Den här regeln blockerar Office appar från att skapa underordnade processer. Office är Word, Excel, PowerPoint, OneNote och Access.

Att skapa skadliga underordnade processer är en vanlig strategi för skadlig programvara. Skadlig programvara som Office som en vektor ofta kör VBA-makron och utnyttjar kod för att ladda ned och försöka köra fler nyttolaster. Men vissa legitima affärsprogram kan också generera underordnade processer för ändamål med särskilda syften. som att ta bort en kommandotolk eller använda PowerShell för att konfigurera registerinställningar.

Intune-namn: Office apps launching child processes

Konfigurationshanterarens namn: Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Avancerad sökåtgärdstyp:

  • AsrOfficeProcessAudited
  • AsrOfficeProcessBlocked

Samband: MDAV

Blockera autentiseringsuppgifter som stjäls från Windows lokala säkerhetsutfärdares undersystem

Den här regeln förhindrar att autentiseringsuppgifter stjäls genom att låsning av undersystemet i Local Security Authority Service (LSASS).

LSASS autentiserar användare som loggar in på en Windows dator. Microsoft Defender Credential Guard i Windows normalt förhindrar försök att extrahera autentiseringsuppgifter från LSASS. Men vissa organisationer kan inte aktivera Credential Guard på alla sina datorer på grund av kompatibilitetsproblem med anpassade smartkortsdrivrutiner eller andra program som laddas in på den lokala säkerhetsutfärdaren (LSA). I sådana fall kan attackerare använda hacka-verktyg som Mimikatz för att få fram lösenord med klartext och NTLM-hash från LSASS.

Anteckning

I vissa appar uppräkningar koden alla körprocesser och försöker öppna dem med uttömmande behörighet. Den här regeln nekar programåtgärden öppna och loggar information i säkerhetshändelseloggen. Den här regeln kan generera mycket brus. Om du har en app som bara räknar upp LSASS, men som inte har någon verklig påverkan på funktioner, behöver du inte lägga till den i undantagslistan. Det är inte säkert att den här händelseloggposten indikerar något skadligt hot.

Viktigt

Standardtillståndet för ASR-regeln (Attack Surface Reduction) "Blockera autentiseringsuppgifter som stjäl från Windows lokala säkerhetsutfärdares undersystem (lsass.exe)" ändras från Ej konfigurerad till Konfigurerad och standardläget som anges till Blockera. Alla andra ASR-regler förblir i standardtillståndet: Inte konfigurerad. Ytterligare filtreringslogik har redan använts i regeln för att minska antalet aviseringar för slutanvändare. Kunder kan konfigurera regeln till gransknings-, varnings****- eller inaktivt läge, som åsidosätter standardläget. Den här regelns funktioner är desamma, oavsett om regeln konfigureras i läget på som standard eller om du aktiverar blockeringsläget manuellt.  

Intune-namn: Flag credential stealing from the Windows local security authority subsystem

Konfigurationshanterarens namn: Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Avancerad sökåtgärdstyp:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Samband: MDAV

Blockera körbart innehåll från e-postklient och webbaserad e-post

Den här regeln blockerar följande filtyper från att startas från e-post som öppnas i Microsoft Outlook-programmet eller Outlook.com och andra populära webbaserade e-postleverantörer:

  • Körbara filer (till exempel .exe, .dll eller .scr)
  • Skriptfiler (till exempel en PowerShell.ps-, Visual Basic VBS- eller JavaScript-.js fil)

Intune-namn: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Endpoint Manager namn:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Avancerad sökåtgärdstyp:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Samband: MDAV

Anteckning

Regeln Blockera körbart innehåll från e-postklient och webbaserad e-post har följande alternativa beskrivningar, beroende på vilket program du använder:

  • Intune (konfigurationsprofiler): Körning av körbart innehåll (exe, dll, ps, js, vbs osv.) har släppts från e-post (webmail/mail client) (inga undantag).
  • Endpoint Manager: Blockera hämtning av körbart innehåll från e-post- och webbaserade e-postklienter.
  • Grupprincip: Blockera körbart innehåll från e-postklient och webbaserad e-post.

Blockera körbara filer från att köras såvida de inte uppfyller ett villkor för en vän, ålder eller en betrodd lista

Den här regeln blockerar körbara filer, till exempel .exe, .dll eller .scr, från att startas. Det innebär att det kan vara riskabelt att starta opålitliga eller okända körbara filer, eftersom det kanske inte står helt klart om filerna är skadliga.

Viktigt

Du måste aktivera moln levererat skydd om du vill använda den här regeln.

Regeln Blockera körbara filer från att köras såvida de inte uppfyller ett villkor av hög ålder eller betrodd lista med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ägs av Microsoft och anges inte av administratörer. Den här regeln använder moln levererat skydd för att regelbundet uppdatera sin betrodda lista.

Du kan ange enskilda filer eller mappar (med hjälp av mappsökvägar eller fullständigt kvalificerade resursnamn) men du kan inte ange vilka regler eller undantag som gäller för.

Intune-namn: Executables that don't meet a prevalence, age, or trusted list criteria

Konfigurationshanterarens namn: Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Avancerad sökåtgärdstyp:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Beroenden: MDAV, Molnskydd

Blockera körning av potentiellt oönskade skript

Den här regeln identifierar misstänkta egenskaper i ett intjänat skript.

Script obfuscation är en vanlig teknik som både författare av skadlig programvara och legitima program använder för att dölja immateriell egendom eller minska inläsningstider för skript. Författare som använder skadlig programvara använder också information för att göra skadlig kod svårare att läsa, vilket förhindrar en närmare granskning av människor och säkerhetsprogramvara.

Intune-namn: Obfuscated js/vbs/ps/macro code

Konfigurationshanterarens namn: Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Avancerad sökåtgärdstyp:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Samband: MDAV, AMSI

Blockera JavaScript eller VBScript från att starta hämtat körbart innehåll

Den här regeln förhindrar skript från att starta potentiellt skadligt hämtat innehåll. Skadlig programvara som skrivits i JavaScript eller VBScript fungerar ofta som en nedladdare för att hämta och starta annan skadlig programvara från Internet.

Även om det inte är vanligt använder verksamhetsbaserade program ibland skript för att ladda ned och starta installationsprogram.

Intune-namn: js/vbs executing payload downloaded from Internet (no exceptions)

Konfigurationshanterarens namn: Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Avancerad sökåtgärdstyp:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Samband: MDAV, AMSI

Blockera Office program från att skapa körbart innehåll

Den här regeln förhindrar Office-appar, till exempel Word, Excel och PowerPoint, från att skapa potentiellt skadligt körbart innehåll genom att blockera skadlig kod från att skrivas till hårddisken.

Skadlig programvara som Office som en vektor kan försöka bryta ut från Office och spara skadliga komponenter på disken. De här skadliga komponenterna skulle överleva en dator omstart och skulle finnas kvar på systemet. Därför försvaras den här regeln mot en vanlig metod för beständighet.

Intune-namn: Office apps/macros creating executable content

SCCM-namn: Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Avancerad sökåtgärdstyp:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Beroenden: MDAV, RPC

Blockera Office-program från att mata in kod i andra processer

Den här regeln blockerar kodinjiceringsförsök Office i andra processer.

Attacker kan försöka använda Office för att migrera skadlig kod till andra processer genom kodinjicering, så att koden kan masquerade som en ren process.

Det finns inga kända legitima affärssyften för att använda kodinjicering.

Den här regeln gäller för Word, Excel och PowerPoint.

Intune-namn: Office apps injecting code into other processes (no exceptions)

Konfigurationshanterarens namn: Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Avancerad sökåtgärdstyp:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Samband: MDAV

Blockera Office kommunikationsprogram från att skapa underordnade processer

Den här regeln Outlook att skapa underordnade processer, samtidigt som legitima Outlook tillåts.

Den här regeln skyddar mot social engineering-angrepp och förhindrar att kod utnyttjas på fel i Outlook. Det skyddar även mot Outlook och formulär sårbarheter som attacker kan använda när en användares autentiseringsuppgifter har komprometterats.

Anteckning

Den här regeln blockerar DLP-principtips och verktygstips i Outlook. Den här regeln gäller endast Outlook och Outlook.com.

Intune-namn: Process creation from Office communication products (beta)

Konfigurationshanterarens namn: Inte tillgängligt

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Avancerad sökåtgärdstyp:

  • AsrOfficeCommAppProcessAudited
  • AsrOfficeCommAppProcessBlocked

Samband: MDAV

Blockera beständighet via WMI-händelseprenumeration

Den här regeln förhindrar skadlig programvara från att använda WMI så att det inte går att hålla sig beständig på en enhet.

Viktigt

Undantag för filer och mappar gäller inte för den här minskningsregeln för attackytor.

Fillösa hot använder olika taktiker för att hålla sig dold, för att undvika att synas i filsystemet och för att få periodisk körningskontroll. Vissa hot kan missbruket av WMI-lagringsplatsen och händelsemodellen för att förbli dold.

Intune-namn: Inte tillgängligt

Konfigurationshanterarens namn: Inte tillgängligt

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Avancerad sökåtgärdstyp:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Beroenden: MDAV, RPC

Blockera processskapanden som kommer från PSExec- och WMI-kommandon

Den här regeln blockerar processer som skapats via PsExec och WMI från att köras. Både PsExec och WMI kan köra kod via fjärrstyrd körning, så det finns en risk för att skadlig programvara ska kunna abusera den här funktionen i kommando- och kontrollsyften eller för att sprida en smitta i organisationens nätverk.

Varning

Använd bara den här regeln om du hanterar dina enheter med Intune eller en annan MDM-lösning. Den här regeln är inkompatibel med hantering via Microsoft Endpoint Configuration Manager eftersom den här regeln blockerar WMI-kommandon som Configuration Manager-klienten använder för att fungera korrekt.

Intune-namn: Process creation from PSExec and WMI commands

Konfigurationshanterarens namn: Ej tillämpligt

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Avancerad sökåtgärdstyp:

  • AsrPsexecWmiProcessAudited
  • AsrPsexecWmiProcessBlocked

Samband: MDAV

Blockera icke betrodda och osignerade processer som körs från USB

Med den här regeln kan administratörer förhindra att osignerade eller icke betrodda körbara filer körs från flyttbara USB-enheter, inklusive SD-kort. Blockerade filtyper är körbara filer (till exempel .exe, .dll eller .scr)

Intune-namn: Untrusted and unsigned processes that run from USB

Konfigurationshanterarens namn: Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Avancerad sökåtgärdstyp:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Samband: MDAV

Blockera Win32 API-anrop från Office makron

Den här regeln förhindrar VBA-makron från att anropa Win32-API:er.

Office VBA aktiverar Win32 API-anrop. Skadlig programvara kan missbruka den här funktionen, till exempel att anropa Win32-API :er för att starta skadlig kod utan att skriva något direkt på disken. De flesta organisationer förlitar sig inte på möjligheten att anropa Win32-API:er i sina dagliga funktioner, även om de använder makron på andra sätt.

Operativsystem som stöds:

Intune-namn: Win32 imports from Office macro code

Konfigurationshanterarens namn: Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Avancerad sökåtgärdstyp:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Samband: MDAV, AMSI

Använd avancerat skydd mot utpressningstrojaner

Den här regeln ger ett extra skydd mot utpressningstrojaner. Den använder både klient- och moln heuristics för att avgöra om en fil liknar utpressningstrojaner. Den här regeln blockerar inte filer som har en eller flera av följande egenskaper:

  • Det har redan visat sig att filen är oskadlig i Microsoft-molnet.
  • Filen är en giltig signerad fil.
  • Det är vanligt att filen inte anses vara utpressningstrojaner.

Regeln tar brukar vara försiktig för att förhindra utpressningstrojaner.

Anteckning

Du måste aktivera moln levererat skydd om du vill använda den här regeln.

Intune-namn: Advanced ransomware protection

Konfigurationshanterarens namn: Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Avancerad sökåtgärdstyp:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Beroenden: MDAV, Molnskydd