Referens för minskning av attackytan
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Den här artikeln innehåller information om regler för att minska angrepp:
- Operativsystemsversioner som stöds
- Konfigurationshanteringssystem som stöds
- Per regelbeskrivningar
- Regelbeskrivningar
- GUIDS
- Regelnamn för konfigurationshanteringssystem
Offentlig förhandsversion: Operativsystem som stöds
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
I följande tabell visas de operativsystem som stöds för minskning av attackytor som är förhandsversioner. Reglerna visas i alfabetisk ordning.
Anteckning
- Om inget annat anges är den lägsta Windows 10-versionen version 1709 (RS3, version 16299) eller senare. Lägsta Windows Serverversion är 1809 eller senare.
(1) Refererar till den moderna, enhetliga lösningen för Windows Server 2012 och 2016. Mer information finns i Onboard Windows Servers to the Defender for Endpoint service.
Avsluta offentlig förhandsversion: Operativsystem som stöds
Operativsystem som stöds
I följande tabell visas de operativsystem som stöds för regler som är tillgängliga för närvarande till allmän tillgänglighet. Reglerna visas i alfabetisk ordning.
Anteckning
- Om inget annat anges är den lägsta Windows 10-versionen version 1709 (RS3, version 16299) eller senare. Lägsta Windows Serverversion är 1809 eller senare.
Konfigurationshanteringssystem som stöds
Länkar till information om versioner av konfigurationshanteringssystem som refereras i den här tabellen visas under den här tabellen.
(1) Du kan konfigurera regler för att minska attackytan per regel genom att använda en regels GUID.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Endpoint Manager CB 1710
- System Center Configuration Manager (SCCM) CB 1710
SCCM är nu Microsoft Endpoint Configuration Manager.
Per regelbeskrivningar
Blockera missbruk av utnyttjas sårbara signerade drivrutiner
Den här regeln förhindrar att ett program skriver en sårbar signerad drivrutin till disken. I-det-jokertecken kan sårbara signerade - - drivrutiner utnyttjas av lokala program som har tillräcklig behörighet för att få åtkomst till kerneln. Sårbar signerade drivrutiner gör att attacker kan inaktivera eller kringgå säkerhetslösningar, vilket till slut leder till systemkompromettering.
Regeln Blockera missbruk av utnyttjas sårbara signerade drivrutiner blockerar inte redan befintlig drivrutin i systemet från att läsas in.
Anteckning
Du kan konfigurera den här regeln med MEM OMA-URI. Se MEM OMA-URI för konfiguration av anpassade regler.
Du kan också konfigurera den här regeln med Hjälp av PowerShell.
Om du vill att en drivrutin ska vara en av de första kan du använda den här webbplatsen för att Skicka in en drivrutin för analys.
Intune-namn: Block abuse of exploited vulnerable signed drivers (inte tillgängligt ännu)
Konfigurationshanterarens namn: Ännu inte tillgängligt
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Blockera Adobe Reader från att skapa underordnade processer
Den här regeln förhindrar attacker genom att blockera Adobe Reader från att skapa processer.
Genom social engineering eller sårbarheter kan skadlig programvara ladda ned och starta nyttolaster och bryta ut från Adobe Reader. Genom att blockera underordnade processer från att genereras av Adobe Reader förhindras skadlig programvara som försöker använda den som en vektor från att spridas.
Intune-namn: Process creation from Adobe Reader (beta)
Konfigurationshanterarens namn: Ännu inte tillgängligt
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Avancerad sökåtgärdstyp:
- AsrAdobeReaderProcessAudited
- AsrAdobeReaderProcessBlocked
Samband: MDAV
Blockera alla Office från att skapa underordnade processer
Den här regeln blockerar Office appar från att skapa underordnade processer. Office är Word, Excel, PowerPoint, OneNote och Access.
Att skapa skadliga underordnade processer är en vanlig strategi för skadlig programvara. Skadlig programvara som Office som en vektor ofta kör VBA-makron och utnyttjar kod för att ladda ned och försöka köra fler nyttolaster. Men vissa legitima affärsprogram kan också generera underordnade processer för ändamål med särskilda syften. som att ta bort en kommandotolk eller använda PowerShell för att konfigurera registerinställningar.
Intune-namn: Office apps launching child processes
Konfigurationshanterarens namn: Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Avancerad sökåtgärdstyp:
- AsrOfficeProcessAudited
- AsrOfficeProcessBlocked
Samband: MDAV
Blockera autentiseringsuppgifter som stjäls från Windows lokala säkerhetsutfärdares undersystem
Den här regeln förhindrar att autentiseringsuppgifter stjäls genom att låsning av undersystemet i Local Security Authority Service (LSASS).
LSASS autentiserar användare som loggar in på en Windows dator. Microsoft Defender Credential Guard i Windows normalt förhindrar försök att extrahera autentiseringsuppgifter från LSASS. Men vissa organisationer kan inte aktivera Credential Guard på alla sina datorer på grund av kompatibilitetsproblem med anpassade smartkortsdrivrutiner eller andra program som laddas in på den lokala säkerhetsutfärdaren (LSA). I sådana fall kan attackerare använda hacka-verktyg som Mimikatz för att få fram lösenord med klartext och NTLM-hash från LSASS.
Anteckning
I vissa appar uppräkningar koden alla körprocesser och försöker öppna dem med uttömmande behörighet. Den här regeln nekar programåtgärden öppna och loggar information i säkerhetshändelseloggen. Den här regeln kan generera mycket brus. Om du har en app som bara räknar upp LSASS, men som inte har någon verklig påverkan på funktioner, behöver du inte lägga till den i undantagslistan. Det är inte säkert att den här händelseloggposten indikerar något skadligt hot.
Viktigt
Standardtillståndet för ASR-regeln (Attack Surface Reduction) "Blockera autentiseringsuppgifter som stjäl från Windows lokala säkerhetsutfärdares undersystem (lsass.exe)" ändras från Ej konfigurerad till Konfigurerad och standardläget som anges till Blockera. Alla andra ASR-regler förblir i standardtillståndet: Inte konfigurerad. Ytterligare filtreringslogik har redan använts i regeln för att minska antalet aviseringar för slutanvändare. Kunder kan konfigurera regeln till gransknings-, varnings****- eller inaktivt läge, som åsidosätter standardläget. Den här regelns funktioner är desamma, oavsett om regeln konfigureras i läget på som standard eller om du aktiverar blockeringsläget manuellt.
Intune-namn: Flag credential stealing from the Windows local security authority subsystem
Konfigurationshanterarens namn: Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Avancerad sökåtgärdstyp:
- AsrLsassCredentialTheftAudited
- AsrLsassCredentialTheftBlocked
Samband: MDAV
Blockera körbart innehåll från e-postklient och webbaserad e-post
Den här regeln blockerar följande filtyper från att startas från e-post som öppnas i Microsoft Outlook-programmet eller Outlook.com och andra populära webbaserade e-postleverantörer:
- Körbara filer (till exempel .exe, .dll eller .scr)
- Skriptfiler (till exempel en PowerShell.ps-, Visual Basic VBS- eller JavaScript-.js fil)
Intune-namn: Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Endpoint Manager namn:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Avancerad sökåtgärdstyp:
- AsrExecutableEmailContentAudited
- AsrExecutableEmailContentBlocked
Samband: MDAV
Anteckning
Regeln Blockera körbart innehåll från e-postklient och webbaserad e-post har följande alternativa beskrivningar, beroende på vilket program du använder:
- Intune (konfigurationsprofiler): Körning av körbart innehåll (exe, dll, ps, js, vbs osv.) har släppts från e-post (webmail/mail client) (inga undantag).
- Endpoint Manager: Blockera hämtning av körbart innehåll från e-post- och webbaserade e-postklienter.
- Grupprincip: Blockera körbart innehåll från e-postklient och webbaserad e-post.
Blockera körbara filer från att köras såvida de inte uppfyller ett villkor för en vän, ålder eller en betrodd lista
Den här regeln blockerar körbara filer, till exempel .exe, .dll eller .scr, från att startas. Det innebär att det kan vara riskabelt att starta opålitliga eller okända körbara filer, eftersom det kanske inte står helt klart om filerna är skadliga.
Viktigt
Du måste aktivera moln levererat skydd om du vill använda den här regeln.
Regeln Blockera körbara filer från att köras såvida de inte uppfyller ett villkor av hög ålder eller betrodd lista med GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ägs av Microsoft och anges inte av administratörer. Den här regeln använder moln levererat skydd för att regelbundet uppdatera sin betrodda lista.
Du kan ange enskilda filer eller mappar (med hjälp av mappsökvägar eller fullständigt kvalificerade resursnamn) men du kan inte ange vilka regler eller undantag som gäller för.
Intune-namn: Executables that don't meet a prevalence, age, or trusted list criteria
Konfigurationshanterarens namn: Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Avancerad sökåtgärdstyp:
- AsrUntrustedExecutableAudited
- AsrUntrustedExecutableBlocked
Beroenden: MDAV, Molnskydd
Blockera körning av potentiellt oönskade skript
Den här regeln identifierar misstänkta egenskaper i ett intjänat skript.
Script obfuscation är en vanlig teknik som både författare av skadlig programvara och legitima program använder för att dölja immateriell egendom eller minska inläsningstider för skript. Författare som använder skadlig programvara använder också information för att göra skadlig kod svårare att läsa, vilket förhindrar en närmare granskning av människor och säkerhetsprogramvara.
Intune-namn: Obfuscated js/vbs/ps/macro code
Konfigurationshanterarens namn: Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Avancerad sökåtgärdstyp:
- AsrObfuscatedScriptAudited
- AsrObfuscatedScriptBlocked
Samband: MDAV, AMSI
Blockera JavaScript eller VBScript från att starta hämtat körbart innehåll
Den här regeln förhindrar skript från att starta potentiellt skadligt hämtat innehåll. Skadlig programvara som skrivits i JavaScript eller VBScript fungerar ofta som en nedladdare för att hämta och starta annan skadlig programvara från Internet.
Även om det inte är vanligt använder verksamhetsbaserade program ibland skript för att ladda ned och starta installationsprogram.
Intune-namn: js/vbs executing payload downloaded from Internet (no exceptions)
Konfigurationshanterarens namn: Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Avancerad sökåtgärdstyp:
- AsrScriptExecutableDownloadAudited
- AsrScriptExecutableDownloadBlocked
Samband: MDAV, AMSI
Blockera Office program från att skapa körbart innehåll
Den här regeln förhindrar Office-appar, till exempel Word, Excel och PowerPoint, från att skapa potentiellt skadligt körbart innehåll genom att blockera skadlig kod från att skrivas till hårddisken.
Skadlig programvara som Office som en vektor kan försöka bryta ut från Office och spara skadliga komponenter på disken. De här skadliga komponenterna skulle överleva en dator omstart och skulle finnas kvar på systemet. Därför försvaras den här regeln mot en vanlig metod för beständighet.
Intune-namn: Office apps/macros creating executable content
SCCM-namn: Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Avancerad sökåtgärdstyp:
- AsrExecutableOfficeContentAudited
- AsrExecutableOfficeContentBlocked
Beroenden: MDAV, RPC
Blockera Office-program från att mata in kod i andra processer
Den här regeln blockerar kodinjiceringsförsök Office i andra processer.
Attacker kan försöka använda Office för att migrera skadlig kod till andra processer genom kodinjicering, så att koden kan masquerade som en ren process.
Det finns inga kända legitima affärssyften för att använda kodinjicering.
Den här regeln gäller för Word, Excel och PowerPoint.
Intune-namn: Office apps injecting code into other processes (no exceptions)
Konfigurationshanterarens namn: Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Avancerad sökåtgärdstyp:
- AsrOfficeProcessInjectionAudited
- AsrOfficeProcessInjectionBlocked
Samband: MDAV
Blockera Office kommunikationsprogram från att skapa underordnade processer
Den här regeln Outlook att skapa underordnade processer, samtidigt som legitima Outlook tillåts.
Den här regeln skyddar mot social engineering-angrepp och förhindrar att kod utnyttjas på fel i Outlook. Det skyddar även mot Outlook och formulär sårbarheter som attacker kan använda när en användares autentiseringsuppgifter har komprometterats.
Anteckning
Den här regeln blockerar DLP-principtips och verktygstips i Outlook. Den här regeln gäller endast Outlook och Outlook.com.
Intune-namn: Process creation from Office communication products (beta)
Konfigurationshanterarens namn: Inte tillgängligt
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Avancerad sökåtgärdstyp:
- AsrOfficeCommAppProcessAudited
- AsrOfficeCommAppProcessBlocked
Samband: MDAV
Blockera beständighet via WMI-händelseprenumeration
Den här regeln förhindrar skadlig programvara från att använda WMI så att det inte går att hålla sig beständig på en enhet.
Viktigt
Undantag för filer och mappar gäller inte för den här minskningsregeln för attackytor.
Fillösa hot använder olika taktiker för att hålla sig dold, för att undvika att synas i filsystemet och för att få periodisk körningskontroll. Vissa hot kan missbruket av WMI-lagringsplatsen och händelsemodellen för att förbli dold.
Intune-namn: Inte tillgängligt
Konfigurationshanterarens namn: Inte tillgängligt
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Avancerad sökåtgärdstyp:
- AsrPersistenceThroughWmiAudited
- AsrPersistenceThroughWmiBlocked
Beroenden: MDAV, RPC
Blockera processskapanden som kommer från PSExec- och WMI-kommandon
Den här regeln blockerar processer som skapats via PsExec och WMI från att köras. Både PsExec och WMI kan köra kod via fjärrstyrd körning, så det finns en risk för att skadlig programvara ska kunna abusera den här funktionen i kommando- och kontrollsyften eller för att sprida en smitta i organisationens nätverk.
Varning
Använd bara den här regeln om du hanterar dina enheter med Intune eller en annan MDM-lösning. Den här regeln är inkompatibel med hantering via Microsoft Endpoint Configuration Manager eftersom den här regeln blockerar WMI-kommandon som Configuration Manager-klienten använder för att fungera korrekt.
Intune-namn: Process creation from PSExec and WMI commands
Konfigurationshanterarens namn: Ej tillämpligt
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Avancerad sökåtgärdstyp:
- AsrPsexecWmiProcessAudited
- AsrPsexecWmiProcessBlocked
Samband: MDAV
Blockera icke betrodda och osignerade processer som körs från USB
Med den här regeln kan administratörer förhindra att osignerade eller icke betrodda körbara filer körs från flyttbara USB-enheter, inklusive SD-kort. Blockerade filtyper är körbara filer (till exempel .exe, .dll eller .scr)
Intune-namn: Untrusted and unsigned processes that run from USB
Konfigurationshanterarens namn: Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Avancerad sökåtgärdstyp:
- AsrUntrustedUsbProcessAudited
- AsrUntrustedUsbProcessBlocked
Samband: MDAV
Blockera Win32 API-anrop från Office makron
Den här regeln förhindrar VBA-makron från att anropa Win32-API:er.
Office VBA aktiverar Win32 API-anrop. Skadlig programvara kan missbruka den här funktionen, till exempel att anropa Win32-API :er för att starta skadlig kod utan att skriva något direkt på disken. De flesta organisationer förlitar sig inte på möjligheten att anropa Win32-API:er i sina dagliga funktioner, även om de använder makron på andra sätt.
Operativsystem som stöds:
- Windows 10, version 1709
- Windows Server, version 1809
- Windows Server 2019
- Configuration Manager CB 1710
Intune-namn: Win32 imports from Office macro code
Konfigurationshanterarens namn: Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Avancerad sökåtgärdstyp:
- AsrOfficeMacroWin32ApiCallsAudited
- AsrOfficeMacroWin32ApiCallsBlocked
Samband: MDAV, AMSI
Använd avancerat skydd mot utpressningstrojaner
Den här regeln ger ett extra skydd mot utpressningstrojaner. Den använder både klient- och moln heuristics för att avgöra om en fil liknar utpressningstrojaner. Den här regeln blockerar inte filer som har en eller flera av följande egenskaper:
- Det har redan visat sig att filen är oskadlig i Microsoft-molnet.
- Filen är en giltig signerad fil.
- Det är vanligt att filen inte anses vara utpressningstrojaner.
Regeln tar brukar vara försiktig för att förhindra utpressningstrojaner.
Anteckning
Du måste aktivera moln levererat skydd om du vill använda den här regeln.
Intune-namn: Advanced ransomware protection
Konfigurationshanterarens namn: Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Avancerad sökåtgärdstyp:
- AsrRansomwareAudited
- AsrRansomwareBlocked
Beroenden: MDAV, Molnskydd