Aktivera regler för minskning av attackytan
Gäller för:
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Minskningsregler för attackytor (ASR-regler) hjälper till att förhindra åtgärder som skadlig programvara ofta använder för att avslöja enheter och nätverk.
Krav
Funktioner för att minska attackytan i Windows versioner
Du kan ange minskningsregler för attackytan för enheter som kör någon av följande utgåvor och versioner av Windows:
- Windows 10 Pro, version 1709 eller senare
- Windows 10 Enterprise, version 1709 eller senare
- Windows Server, version 1803 (Halvårskanal) eller senare
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2022
Om du vill använda hela funktionsuppsättningen för minskningsregler för attackytan behöver du:
- Windows Defender Antivirus som primärt AV (realtidsskydd på)
- Molnleveransskydd på (vissa regler kräver det)
- Windows 10 Enterprise E5- eller E3-licens
Även om minskningsregler för attackytan inte kräver en Windows E5-licens, med en Windows E5-licens, får du avancerade hanteringsfunktioner, inklusive övervakning, analys och arbetsflöden som är tillgängliga i Defender för Slutpunkt, samt rapporterings- och konfigurationsfunktioner i Microsoft 365 Defender-portalen. Dessa avancerade funktioner är inte tillgängliga med en E3-licens, men du kan fortfarande använda Loggboken för att granska händelser för attackytans minskning av regler.
Varje ASR-regel innehåller en av fyra inställningar:
- Inte konfigurerad: Inaktivera ASR-regeln
- Blockera: Aktivera ASR-regeln
- Granskning: Utvärdera hur ASR-regeln skulle påverka organisationen om den är aktiverad
- Varna: Aktivera ASR-regeln men tillåta slutanvändaren att kringgå blocket
Viktigt
För närvarande stöds inte varningsläge för tre ASR-regler när du konfigurerar ASR-regler i Microsoft Endpoint Manager (MEM). Mer information finns i Fall där varningsläge inte stöds.
Vi rekommenderar att du använder ASR-regler med en Windows E5-licens (eller liknande licens-SKU) för att dra nytta av de avancerade funktioner för övervakning och rapportering som finns i Microsoft Defender för slutpunkt (Defender för slutpunkt). Men om du har en annan licens, till exempel Windows Professional eller Windows E3 som inte innehåller avancerad övervakning och rapporteringsfunktioner, kan du utveckla dina egna övervaknings- och rapporteringsverktyg ovanpå de händelser som genereras vid varje slutpunkt när ASR-regler utlöses (till exempel Vidarebefordran av händelse).
Tips
Mer information om Windows finns i Windows 10 licensiering och få volymlicensieringsguiden för Windows 10.
Du kan aktivera minskningsregler för attackytan med någon av följande metoder:
- Microsoft Intune
- Hantering av mobila enheter (MDM)
- Microsoft Endpoint Configuration Manager
- Grupprincip
- PowerShell
Hantering på företagsnivå, till exempel Intune eller Microsoft Endpoint Manager, rekommenderas. Hantering på företagsnivå skriver över eventuella grupprincipinställningar eller PowerShell-inställningar som är i konflikt vid start.
Undanta filer och mappar från ASR-regler
Du kan utesluta filer och mappar från att utvärderas av de flesta minskningsregler för attackytor. Det innebär att även om en ASR-regel bestämmer att filen eller mappen innehåller skadligt beteende blockerar den inte filen från att köras. Det kan potentiellt tillåta att osäkra filer körs och smittar dina enheter.
Du kan även utesluta ASR-regler från utlösare baserat på certifikat och filshashar genom att tillåta angivet Defender för Slutpunktsfiler och certifikatindikatorer. (Se Hantera indikatorer.)
Viktigt
Att utesluta filer eller mappar kan allvarligt minska skyddet som ges av ASR-regler. Undantagna filer tillåts köra och ingen rapport eller händelse registreras. Om ASR-regler identifierar filer som du inte anser ska identifieras bör du först använda granskningsläge för att testa regeln.
Du kan ange enskilda filer eller mappar (med hjälp av mappsökvägar eller fullständigt kvalificerade resursnamn), men du kan inte ange vilka regler undantagen ska gälla för. Ett undantag tillämpas endast när det undantagna programmet eller tjänsten startas. Om du till exempel lägger till ett undantag för en uppdateringstjänst som redan körs fortsätter uppdateringstjänsten att utlösa händelser tills tjänsten stoppas och startas om.
ASR-regler stöder miljövariabler och jokertecken. Information om hur du använder jokertecken finns i Använda jokertecken i listorna filnamn och mappsökväg eller undantag för filnamnstillägg.
Följande procedurer för att aktivera ASR-regler innehåller instruktioner för hur du utesluter filer och mappar.
Intune
Enhetskonfigurationsprofiler
Välj Profiler för enhetskonfiguration>. Välj en befintlig profil för slutpunktsskydd eller skapa en ny. Om du vill skapa en ny väljer du Skapa profil och anger information om den här profilen. För Profiltyp väljer du Slutpunktsskydd. Om du har valt en befintlig profil väljer du Egenskaper och sedan Inställningar.
I fönstret Endpoint protection väljer du Windows Defender Exploit Guard och sedan Attack Surface Reduction. Välj önskad inställning för varje ASR-regel.
Ange enskilda filer och mappar under Undantag för minskning av attackytan. Du kan också välja Importera om du vill importera en CSV-fil som innehåller filer och mappar som ska undantas från ASR-regler. Varje rad i CSV-filen ska vara formaterad på följande sätt:
C:\folder,%ProgramFiles%\folder\file,C:\pathVälj OK i de tre konfigurationsrutorna. Välj sedan Skapa om du skapar en ny slutpunktsskyddsfil eller Spara om du redigerar en befintlig.
Slutpunktssäkerhetspolicy
Välj Minska slutpunktssäkerhetsattackytan>. Välj en befintlig ASR-regel eller skapa en ny. Om du vill skapa en ny väljer du Skapa princip och anger information för den här profilen. För Profiltyp väljer du Minskningsregler för attackytan. Om du har valt en befintlig profil väljer du Egenskaper och sedan Inställningar.
I fönstret Konfigurationsinställningar väljer du Attack Surface Reduction och sedan önskad inställning för varje ASR-regel.
Under Lista över ytterligare mappar som måste skyddas, Lista över program som har åtkomst till skyddade mappar och Exkludera filer och sökvägar från minskningsregler för attackytan anger du enskilda filer och mappar. Du kan också välja Importera om du vill importera en CSV-fil som innehåller filer och mappar som ska undantas från ASR-regler. Varje rad i CSV-filen ska vara formaterad på följande sätt:
C:\folder,%ProgramFiles%\folder\file,C:\pathVälj Nästa i de tre konfigurationsrutorna och välj sedan Skapa om du skapar en ny princip eller Spara om du redigerar en befintlig princip.
MEM
Du kan använda Microsoft Endpoint Manager OMA-URI (OMA) för att konfigurera anpassade ASR-regler. I följande procedur används regeln Blockera missbruk av utnyttjas sårbara signerade drivrutiner för exemplet.
Öppna administrationscentret Microsoft Endpoint Manager (MEM). På Start-menyn klickar du på Enheter, väljer Konfigurationsprofiler och klickar sedan på Skapa profil.

Välj följande i följande två listlistor i Skapa en profil:
- I Plattform väljer du Windows 10 och senare
- I Profiltyp väljer du Mallar
Välj Anpassad och välj sedan Skapa.

Verktyget Anpassad mall öppnas och visar grunderna i steg 1. I 1 Grunder skriver du ett namn på mallen i Namn och i Beskrivning kan du skriva en beskrivning (valfritt).

Klicka Nästa. Steg 2 Konfigurationsinställningar öppnas. Om du vill använda OMA-URI Inställningar du på Lägg till. Nu visas två alternativ: Lägg till och Exportera.

Klicka på Lägg till igen. Lägg till rad OMA-URI Inställningar. Gör följande i Lägg till rad:
Ange ett namn för regeln i Namn.
Skriv en kort beskrivning i Beskrivning.
I OMA-URI skriver eller klistrar du in den specifika OMA-URI-länken för regeln som du lägger till. I avsnittet MDM i den här artikeln kan OMA-URI använda den här exempelregeln. Mer information om GUIDS för att minska attackytan finns i Avsnittet För att minska attackytor.
I Datatyp väljer du Sträng.
I Värde skriver eller klistrar du in GUID-värdet, = tecknet och värdet Tillstånd utan blanksteg (GUID=StateValue). Var:
- 0: Inaktivera (Inaktivera ASR-regeln)
- 1: Blockera (aktivera ASR-regeln)
- 2: Granska (Utvärdera hur ASR-regeln skulle påverka organisationen om den skulle aktiveras)
- 6: Varna (Aktivera ASR-regeln men tillåt slutanvändaren att kringgå blocket)

Välj Spara. Lägg till rad stängs. I Anpassad väljer du Nästa. I steg 3 Omfattningstaggar är omfattningstaggar valfria. Gör något av följande:
- Välj Välj omfattningstaggar, välj omfattningstaggen (valfritt) och välj sedan Nästa.
- Eller välj Nästa
I steg 4 Tilldelningar, i Inkluderade grupper, väljer du något av följande alternativ för de grupper som du vill att regeln ska gälla:
- Lägga till grupper
- Lägga till alla användare
- Lägg till alla enheter

I Undantagna grupper markerar du de grupper som du vill utesluta från regeln och väljer sedan Nästa.
I steg 5 Tillämplighetsregler för följande inställningar gör du följande:
- I Regel väljer du antingen Tilldela profil om eller Tilldela inte profil om
- I Egenskap väljer du den egenskap som du vill att regeln ska gälla för
- I Värde anger du tillämplig värde eller värdeintervall

Välj Nästa. I steg 6 Granska + skapa granskar du de inställningar och den information du har valt och angett och väljer sedan Skapa.

Anteckning
Reglerna är aktiva och finns inom några minuter.
Anteckning
Konflikthantering:
Om du tilldelar en enhet två olika ASR-principer, hanteras konflikterna på regler som har tilldelats olika tillstånd, det finns ingen hantering av konflikter och resultatet är ett fel.
Regler som inte är i konflikt resulterar inte i fel och regeln tillämpas korrekt. Resultatet är att den första regeln tillämpas och efterföljande regler som inte är i konflikt slås ihop med principen.
MDM
Använd ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP) för att individuellt aktivera och ställa in läget för varje regel.
Följande är ett exempel för referens, med hjälp av GUID-värden för referens för minskning av attackytan.
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
Värdena som du aktiverar (blockera), inaktiverar, varnar eller aktiverar i granskningsläge är:
- 0: Inaktivera (Inaktivera ASR-regeln)
- 1: Blockera (aktivera ASR-regeln)
- 2: Granska (Utvärdera hur ASR-regeln skulle påverka organisationen om den skulle aktiveras)
- 6: Varna (aktivera ASR-regeln men tillåt slutanvändaren att kringgå blocket). Varningsläge är tillgängligt för de flesta ASR-regler.
Använd ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions-konfigurationstjänsten (CSP) för att lägga till undantag.
Exempel:
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Value: c:\path|e:\path|c:\Exclusions.exe
Anteckning
Se till att ange OMA-URI-värden utan blanksteg.
Microsoft Endpoint Configuration Manager
I Microsoft Endpoint Configuration Manager går du till Tillgångar och Endpoint Protection > > Windows Defender Exploit Guard.
Välj Home > Create Exploit Guard-policy.
Ange ett namn och en beskrivning, välj Attack Surface Reduction och välj Nästa.
Välj vilka regler som ska blockeras eller granska åtgärder och välj Nästa.
Granska inställningarna och välj Nästa för att skapa principen.
När principen har skapats väljer du Stäng.
Grupprincip
Varning
Om du hanterar dina datorer och enheter med Intune, Konfigurationshanteraren eller någon annan hanteringsplattform på företagsnivå skriver hanteringsprogramvaran över eventuella grupprincipinställningar som står i konflikt vid start.
På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.
I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.
Expandera trädet för att Windows komponenter Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > > minska attackytan.
Välj Konfigurera minskningsregler för attackytan och välj Aktiverad. Sedan kan du ange enskilda tillstånd för varje regel i alternativavsnittet. Välj Visa... och ange regel-ID i kolumnen Värdenamn och ditt valda tillstånd i kolumnen Värde enligt följande:
- 0: Inaktivera (Inaktivera ASR-regeln)
- 1: Blockera (aktivera ASR-regeln)
- 2: Granska (Utvärdera hur ASR-regeln skulle påverka organisationen om den skulle aktiveras)
- 6: Varna (Aktivera ASR-regeln men tillåt slutanvändaren att kringgå blocket)
Om du vill utesluta filer och mappar från ASR-regler markerar du inställningen Exkludera filer och sökvägar från minskningsregler för attackytan och ställer in alternativet aktiverad. Välj Visa och ange varje fil eller mapp i kolumnen Värdenamn . Ange 0 i värdekolumnen för varje objekt.
Varning
Använd inte citattecken eftersom de inte stöds för vare sig värdenamnskolumnen eller värdekolumnen .
PowerShell
Varning
Om du hanterar dina datorer och enheter med Intune, Konfigurationshanteraren eller en annan hanteringsplattform på företagsnivå skriver hanteringsprogramvaran över eventuella motstridande PowerShell-inställningar vid start. Om du vill låta användare definiera värdet med hjälp av PowerShell använder du alternativet "Användardefinierad" för regeln på hanteringsplattformen. Med "Användardefinierad" kan en lokal administratörsanvändare konfigurera regeln. Inställningen för det användardefinierade alternativet visas i följande bild.

Skriv powershell i Start-menyn, högerklicka på Windows PowerShell välj Kör som administratör.
Skriv något av följande cmdlets. (Se referens för minskning av attackytan för mer information, t.ex. regel-ID.)
Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions EnabledOm du vill aktivera ASR-regler i granskningsläge använder du följande cmdlet:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditModeOm du vill aktivera ASR-regler i varningsläge använder du följande cmdlet:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions WarnAnvänd följande cmdlet för att aktivera ASR Blockera missbruk av utnyttjas sårbara signerade drivrutiner:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions EnabledOm du vill inaktivera ASR-regler använder du följande cmdlet:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions DisabledViktigt
Du måste ange en delstat individuellt för varje regel, men du kan kombinera regler och tillstånd i en kommaavgränsad lista.
I följande exempel aktiveras de två första reglerna, den tredje regeln inaktiveras och den fjärde regeln aktiveras i granskningsläge:
Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditModeDu kan också använda
Add-MpPreferencePowerShell-verbet för att lägga till nya regler i den befintliga listan.Varning
Set-MpPreferencekommer alltid att skriva över den befintliga uppsättningen regler. Om du vill lägga till i den befintliga uppsättningen använder du iställetAdd-MpPreference. Du kan få en lista över regler och deras aktuella status med hjälp avGet-MpPreference.Om du vill utesluta filer och mappar från ASR-regler använder du följande cmdlet:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"Fortsätt att använda för
Add-MpPreference -AttackSurfaceReductionOnlyExclusionsatt lägga till fler filer och mappar i listan.Viktigt
Används
Add-MpPreferenceför att lägga till eller lägga till appar i listan.Set-MpPreferenceMed hjälp av cmdleten skriver du över den befintliga listan.