攻击面减少规则参考
适用于:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台:
- Windows
本文提供有关Microsoft Defender for Endpoint攻击面减少规则 (ASR 规则) 的信息:
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
按类型列出的攻击面减少规则
攻击面减少规则分为以下两种类型之一:
标准保护规则:Microsoft 建议你在评估其他 ASR 规则的影响和配置需求时始终启用的最小规则集。 这些规则通常对最终用户产生最小到没有明显的影响。
其他规则:需要遵循记录的部署步骤 [计划>测试 (审核) > 启用 (阻止/警告模式) ]的规则,如攻击面减少规则部署指南中所述
有关启用标准保护规则的最简单方法,请参阅: 简化的标准保护选项。
| ASR 规则名称: | 标准保护规则? | 其他规则? |
|---|---|---|
| 阻止滥用被利用的易受攻击的已签名驱动程序 | 是 | |
| 阻止 Adobe Reader 创建子进程 | 是 | |
| 阻止所有 Office 应用程序创建子进程 | 是 | |
| 阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据 | 是 | |
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | 是 | |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | 是 | |
| 阻止执行可能已模糊处理的脚本 | 是 | |
| 阻止 JavaScript 或 VBScript 启动下载的可执行内容 | 是 | |
| 阻止 Office 应用程序创建可执行内容 | 是 | |
| 阻止 Office 应用程序将代码注入其他进程 | 是 | |
| 阻止 Office 通信应用程序创建子进程 | 是 | |
| 通过 WMI 事件订阅阻止持久性 | 是 | |
| 阻止源自 PSExec 和 WMI 命令的进程创建 | 是 | |
| 在安全模式下阻止重启计算机 (预览) | 是 | |
| 阻止从 USB 运行的不受信任和未签名的进程 | 是 | |
| 阻止使用复制或模拟的系统工具 (预览) | 是 | |
| 阻止为服务器创建 Webshell | 是 | |
| 阻止来自 Office 宏的 Win32 API 调用 | 是 | |
| 使用针对勒索软件的高级防护 | 是 |
Microsoft Defender防病毒排除项和 ASR 规则
Microsoft Defender防病毒排除适用于某些Microsoft Defender for Endpoint功能,例如某些攻击面减少规则。
以下 ASR 规则不遵循防病毒排除Microsoft Defender:
| ASR 规则名称: |
|---|
| 阻止 Adobe Reader 创建子进程 |
| 阻止源自 PSExec 和 WMI 命令的进程创建 |
| 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) |
| 阻止 Office 应用程序创建可执行内容 |
| 阻止 Office 应用程序将代码注入其他进程 |
| 阻止 Office 通信应用程序创建子进程 |
注意
有关配置每个规则排除项的信息,请参阅测试攻击面减少规则主题中标题为“按规则配置 ASR 规则排除项”部分。
ASR 规则和 Defender for Endpoint Indicators of Compromise (IOC)
以下 ASR 规则不遵循国际奥委会) (泄露指标Microsoft Defender for Endpoint:
| ASR 规则名称 | 说明 |
|---|---|
| 阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据 | 不遵循文件或证书的泄露指标。 |
| 阻止 Office 应用程序将代码注入其他进程 | 不遵循文件或证书的泄露指标。 |
| 阻止来自 Office 宏的 Win32 API 调用 | 不遵循证书泄露指标。 |
ASR 规则支持的操作系统
下表列出了当前正式发布的规则支持的操作系统。 此表中列出了这些规则的字母顺序。
注意
除非另有说明,否则最低Windows 10版本为 1709 (RS3 版本,版本 16299) 或更高版本;最低 Windows Server 版本为版本 1809 或更高版本。
Windows Server 2012 R2 和 Windows Server 2016 中的攻击面减少规则可用于使用新式统一解决方案包加入的设备。 有关详细信息,请参阅适用于 Windows Server 2012 R2 和 2016 预览版的新式统一解决方案中的新功能。
| 规则名称 | Windows 11 和 Windows 10 |
Windows Server 2022 和 Windows Server 2019 |
Windows Server | Windows Server 2016 [1, 2] |
Windows Server 2012 R2 [1, 2] |
|---|---|---|---|---|---|
| 阻止滥用被利用的易受攻击的已签名驱动程序 | Y | Y | Y 版本 1803 (半年企业频道) 或更高版本 |
Y | Y |
| 阻止 Adobe Reader 创建子进程 | Y 版本 1809 或更高版本 [3] |
Y | Y | Y | Y |
| 阻止所有 Office 应用程序创建子进程 | Y | Y | Y | Y | Y |
| 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) | Y 版本 1803 或更高版本 [3] |
Y | Y | Y | Y |
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | Y | Y | Y | Y | Y |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | Y 版本 1803 或更高版本 [3] |
Y | Y | Y | Y |
| 阻止执行可能已模糊处理的脚本 | Y | Y | Y | Y | Y |
| 阻止 JavaScript 或 VBScript 启动下载的可执行内容 | Y | Y | Y | N | Y |
| 阻止 Office 应用程序创建可执行内容 | Y | Y | Y | Y | Y |
| 阻止 Office 应用程序将代码注入其他进程 | Y | Y | Y | Y | Y |
| 阻止 Office 通信应用程序创建子进程 | Y | Y | Y | Y | Y |
| 通过 Windows Management Instrumentation (WMI) 事件订阅阻止持久性 | Y 版本 1903 (内部版本 18362) 或更高版本 [3] |
Y | Y 版本 1903 (内部版本 18362) 或更高版本 |
N | Y |
| 阻止源自 PSExec 和 WMI 命令的进程创建 | Y 版本 1803 或更高版本 [3] |
Y | Y | Y | Y |
| 在安全模式下阻止重启计算机 (预览) | Y | Y | Y | Y | Y |
| 阻止从 USB 运行的不受信任和未签名的进程 | Y | Y | Y | Y | Y |
| 阻止使用复制或模拟的系统工具 (预览) | Y | Y | Y | Y | Y |
| 阻止为服务器创建 Webshell | N | Y 仅 Exchange 角色 |
Y 仅 Exchange 角色 |
Y 仅 Exchange 角色 |
网络 |
| 阻止来自 Office 宏的 Win32 API 调用 | Y | N | N | N | N |
| 使用针对勒索软件的高级防护 | Y 版本 1803 或更高版本 [3] |
Y | Y | Y | Y |
(1) 指适用于 Windows Server 2012 和 2016 的新式统一解决方案。 有关详细信息,请参阅 将 Windows Server 载入到 Defender for Endpoint 服务。
(2) 对于 Windows Server 2016 和 Windows Server 2012 R2,Microsoft Endpoint Configuration Manager 的最低必需版本为版本 2111。
(3) 版本和内部版本号仅适用于Windows 10。
ASR 规则支持的配置管理系统
此表下方列出了有关此表中引用的配置管理系统版本的信息的链接。
| 规则名称 | Microsoft Intune | Microsoft Endpoint Configuration Manager | 组策略[1] | PowerShell[1] |
|---|---|---|---|---|
| 阻止滥用被利用的易受攻击的已签名驱动程序 | Y | Y | Y | |
| 阻止 Adobe Reader 创建子进程 | Y | Y | Y | |
| 阻止所有 Office 应用程序创建子进程 | Y | Y CB 1710 |
Y | Y |
| 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) | Y | Y CB 1802 |
Y | Y |
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | Y | Y CB 1710 |
Y | Y |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | Y | Y CB 1802 |
Y | Y |
| 阻止执行可能已模糊处理的脚本 | Y | Y CB 1710 |
Y | Y |
| 阻止 JavaScript 或 VBScript 启动下载的可执行内容 | Y | Y CB 1710 |
Y | Y |
| 阻止 Office 应用程序创建可执行内容 | Y | Y CB 1710 |
Y | Y |
| 阻止 Office 应用程序将代码注入其他进程 | Y | Y CB 1710 |
Y | Y |
| 阻止 Office 通信应用程序创建子进程 | Y | Y CB 1710 |
Y | Y |
| 通过 WMI 事件订阅阻止持久性 | Y | Y | Y | |
| 阻止源自 PSExec 和 WMI 命令的进程创建 | Y | Y | Y | |
| 在安全模式下阻止重启计算机 (预览) | Y | Y | Y | |
| 阻止从 USB 运行的不受信任和未签名的进程 | Y | Y CB 1802 |
Y | Y |
| 阻止使用复制或模拟的系统工具 (预览) | Y | Y | Y | |
| 阻止为服务器创建 Webshell | Y | Y | Y | |
| 阻止来自 Office 宏的 Win32 API 调用 | Y | Y CB 1710 |
Y | Y |
| 使用针对勒索软件的高级防护 | Y | Y CB 1802 |
Y | Y |
(1) 可以使用任何规则的 GUID 基于每个规则配置攻击面减少规则。
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
- System Center Configuration Manager (SCCM) CB 1710
SCCM现已Microsoft Configuration Manager。
按 ASR 规则警报和通知详细信息
在阻止模式下,会为所有规则生成 Toast 通知。 任何其他模式下的规则不会生成 Toast 通知。
对于指定了“规则状态”的规则:
- 带有 <ASR 规则的 ASR 规则、规则状态>组合用于显示警报 (toast 通知) Microsoft Defender for Endpoint,仅适用于云块级别为“高”的设备。 不在“高云”块级别的设备不会针对任何 <ASR 规则、规则状态> 组合生成警报
- 为处于指定状态的 ASR 规则生成 EDR 警报,适用于云块级别的设备 High+
| 规则名称: | 规则状态: | 在 EDR 中生成警报? (是 |无) |
生成 Toast 通知? (是 |无) |
|---|---|---|---|
| 仅适用于云块级别的设备 High+ | 在“仅块”模式下,并且仅适用于云块级别的设备“高” | ||
| 阻止滥用被利用的易受攻击的已签名驱动程序 | N | Y | |
| 阻止 Adobe Reader 创建子进程 | 阻止 | Y | Y |
| 阻止所有 Office 应用程序创建子进程 | N | Y | |
| 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) | N | Y | |
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | Y | Y | |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | N | Y | |
| 阻止执行可能已模糊处理的脚本 | 审核 |块 | Y |Y | N |Y |
| 阻止 JavaScript 或 VBScript 启动下载的可执行内容 | 阻止 | Y | Y |
| 阻止 Office 应用程序创建可执行内容 | N | Y | |
| 阻止 Office 应用程序将代码注入其他进程 | N | Y | |
| 阻止 Office 通信应用程序创建子进程 | N | Y | |
| 通过 WMI 事件订阅阻止持久性 | 审核 |块 | Y |Y | N |Y |
| 阻止源自 PSExec 和 WMI 命令的进程创建 | N | Y | |
| 在安全模式下阻止重启计算机 (预览) | N | N | |
| 阻止从 USB 运行的不受信任和未签名的进程 | 审核 |块 | Y |Y | N |Y |
| 阻止使用复制或模拟的系统工具 (预览) | N | N | |
| 阻止为服务器创建 Webshell | N | N | |
| 阻止来自 Office 宏的 Win32 API 调用 | N | Y | |
| 使用针对勒索软件的高级防护 | 审核 |块 | Y |Y | N |Y |
ASR 规则到 GUID 矩阵
| 规则名称 | 规则 GUID |
|---|---|
| 阻止滥用被利用的易受攻击的已签名驱动程序 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| 阻止 Adobe Reader 创建子进程 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| 阻止所有 Office 应用程序创建子进程 | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| 阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| 阻止来自电子邮件客户端和 Webmail 的可执行内容 | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| 阻止执行可能已模糊处理的脚本 | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| 阻止 JavaScript 或 VBScript 启动下载的可执行内容 | d3e037e1-3eb8-44c8-a917-57927947596d |
| 阻止 Office 应用程序创建可执行内容 | 3b576869-a4ec-4529-8536-b80a7769e899 |
| 阻止 Office 应用程序将代码注入其他进程 | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| 阻止 Office 通信应用程序创建子进程 | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| 通过 WMI 事件订阅阻止持久性 * 不支持文件和文件夹排除。 |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| 阻止源自 PSExec 和 WMI 命令的进程创建 | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| 在安全模式下阻止重启计算机 (预览) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| 阻止从 USB 运行的不受信任和未签名的进程 | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| 阻止使用复制或模拟的系统工具 (预览) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| 阻止为服务器创建 Webshell | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| 阻止来自 Office 宏的 Win32 API 调用 | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| 使用针对勒索软件的高级防护 | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR 规则模式
- 未配置 或 禁用:未启用或禁用 ASR 规则的状态。 此状态的代码 = 0。
- 阻止:启用 ASR 规则的状态。 此状态的代码为 1。
- 审核:评估 ASR 规则对组织或环境的影响(如果启用) (设置为阻止或警告) 。 此状态的代码为 2。
- 警告 启用 ASR 规则并向最终用户显示通知,但允许最终用户绕过阻止的状态。 此状态的代码为 6。
警告模式 是一种阻止模式类型,可向用户发出潜在风险操作的警报。 用户可以选择绕过阻止警告消息并允许基础操作。 用户可以选择“ 确定” 以强制实施阻止,或者通过块时生成的最终用户弹出 Toast 通知选择绕过选项“ 取消阻止 ”。 取消阻止警告后,允许该操作,直到下次出现警告消息时,最终用户将需要重新执行操作。
单击“允许”按钮时,该块将禁止显示 24 小时。 24 小时后,最终用户需要再次允许该块。 仅 RS5+ (1809+) 设备支持 ASR 规则的警告模式。 如果在具有较旧版本的设备上将绕过分配给 ASR 规则,则规则将处于阻止模式。
还可以通过 PowerShell 将AttackSurfaceReductionRules_Actions指定为“Warn”,在警告模式下设置规则。 例如:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
按规则说明
阻止滥用被利用的易受攻击的已签名驱动程序
此规则可防止应用程序将易受攻击的已签名驱动程序写入磁盘。 具有足够权限的本地应用程序可以利用具有足够权限的易受攻击的已签名驱动程序来获取对内核的访问权限。 易受攻击的已签名驱动程序使攻击者能够禁用或规避安全解决方案,最终导致系统泄露。
阻止滥用被利用的易受攻击的已签名驱动程序规则不会阻止系统上已存在的驱动程序被加载。
注意
可以使用 Intune OMA-URI 配置此规则。 有关配置自定义规则,请参阅 Intune OMA-URI。
还可以使用 PowerShell 配置此规则。
若要检查驱动程序,请使用此网站 提交驱动程序进行分析。
Intune名称:Block abuse of exploited vulnerable signed drivers
Configuration Manager名称:尚不可用
GUID:56a863a9-875e-4185-98a7-b882c64b5ce5
高级搜寻操作类型:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
阻止 Adobe Reader 创建子进程
此规则通过阻止 Adobe Reader 创建进程来防止攻击。
恶意软件可以下载和启动有效负载,并通过社交工程或攻击突破 Adobe Reader。 通过阻止 Adobe Reader 生成子进程,可以阻止试图将 Adobe Reader 用作攻击途径的恶意软件传播。
Intune名称:Process creation from Adobe Reader (beta)
Configuration Manager名称:尚不可用
GUID:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
高级搜寻操作类型:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
依赖项:Microsoft Defender防病毒
阻止所有 Office 应用程序创建子进程
此规则阻止 Office 应用创建子进程。 Office 应用包括 Word、Excel、PowerPoint、OneNote 和 Access。
创建恶意子进程是一种常见的恶意软件策略。 滥用 Office 作为矢量的恶意软件通常会运行 VBA 宏并利用代码下载并尝试运行更多有效负载。 但是,某些合法的业务线应用程序也可能出于良性目的生成子进程:例如生成命令提示符或使用 PowerShell 配置注册表设置。
Intune名称:Office apps launching child processes
Configuration Manager名称:Block Office application from creating child processes
GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a
高级搜寻操作类型:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
依赖项:Microsoft Defender防病毒
阻止从 Windows 本地安全机构子系统窃取凭据
此规则通过锁定本地安全机构子系统服务 (LSASS) 来帮助防止凭据窃取。
LSASS 对在 Windows 计算机上登录的用户进行身份验证。 Windows 中的 Microsoft Defender Credential Guard 通常会阻止尝试从 LSASS 中提取凭据。 某些组织无法在其所有计算机上启用 Credential Guard,因为自定义智能卡驱动程序或加载到本地安全机构 (LSA) 的其他程序的兼容性问题。 在这些情况下,攻击者可以使用 Mimikatz 等工具从 LSASS 抓取明文密码和 NTLM 哈希。
默认情况下,此规则的状态设置为阻止。 在大多数情况下,许多进程调用 LSASS 以获取不需要的访问权限。 例如,当 ASR 规则中的初始块导致后续调用的较小特权时,该权限随后会成功。 有关在对 LSASS 的进程调用中通常请求的权限类型的信息,请参阅: 进程安全性和访问权限。
如果启用了 LSA 保护,则启用此规则不会提供额外的保护,因为 ASR 规则和 LSA 保护的工作方式类似。 但是,当无法启用 LSA 保护时,可以将此规则配置为针对 面向 lsass.exe的恶意软件提供等效保护。
注意
在这种情况下,ASR 规则在 Microsoft Defender 门户中的 Defender for Endpoint 设置中被归类为“不适用”。
阻止从 Windows 本地安全机构子系统 ASR 窃取凭据规则不支持 WARN 模式。
在某些应用中,代码枚举所有正在运行的进程,并尝试使用详尽的权限打开它们。 此规则拒绝应用的进程打开操作,并将详细信息记录到安全事件日志中。 此规则可能会产生大量干扰。 如果你有一个仅枚举 LSASS 但对功能没有实际影响的应用,则无需将其添加到排除列表。 此事件日志条目本身不一定表示恶意威胁。
Intune名称:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager名称:Block credential stealing from the Windows local security authority subsystem
GUID:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
高级搜寻操作类型:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
依赖项:Microsoft Defender防病毒
阻止来自电子邮件客户端和 Webmail 的可执行内容
此规则阻止在 Microsoft Outlook 应用程序中打开的电子邮件,或者 Outlook.com 和其他常用 Web 邮件提供程序传播以下文件类型:
- 可执行文件 (,例如 .exe、.dll 或 .scr)
- 脚本文件 (,例如 PowerShell .ps1、Visual Basic .vbs 或 JavaScript .js 文件)
Intune名称:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager名称:Block executable content from email client and webmail
GUID:be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
高级搜寻操作类型:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
依赖项:Microsoft Defender防病毒
注意
规则 “阻止来自电子邮件客户端和 Webmail 的可执行内容 ”具有以下替代说明,具体取决于你使用的应用程序:
- Intune (配置文件) :执行从电子邮件 (webmail/邮件客户端删除 ) 的可执行内容 (exe、dll、ps、js、vbs 等,) (无例外) 。
- Configuration Manager:阻止从电子邮件和 Webmail 客户端下载可执行内容。
- 组策略:阻止来自电子邮件客户端和 Webmail 的可执行内容。
阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件
此规则阻止启动可执行文件,例如 .exe、.dll 或 .scr。 因此,启动不受信任的或未知的可执行文件可能会有风险,因为最初可能不清楚这些文件是否是恶意文件。
重要
必须 启用云提供的保护 才能使用此规则。
规则阻止运行可执行文件,除非它们符合具有 GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 的流行率、年龄或受信任列表条件,但不是由管理员指定的。 此规则使用云提供的保护定期更新其受信任列表。
可以使用文件夹路径或完全限定的资源名称来指定单个文件或文件夹 () 但不能指定适用于哪些规则或排除项。
Intune名称:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager名称:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID:01443614-cd74-433a-b99e-2ecdc07bfc25
高级搜寻操作类型:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
依赖项:Microsoft Defender防病毒、云保护
阻止执行可能已模糊处理的脚本
此规则检测模糊脚本中的可疑属性。
重要
现在,“阻止执行可能模糊的脚本”规则支持 PowerShell 脚本。
脚本模糊处理是恶意软件作者和合法应用程序用来隐藏知识产权或缩短脚本加载时间的常见技术。 恶意软件作者还使用模糊处理使恶意代码更难阅读,这阻碍了人类和安全软件的严格审查。
Intune名称:Obfuscated js/vbs/ps/macro code
Configuration Manager名称:Block execution of potentially obfuscated scripts
GUID:5beb7efe-fd9a-4556-801d-275e5ffc04cc
高级搜寻操作类型:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
依赖项:Microsoft Defender防病毒、反恶意软件扫描接口 (AMSI)
阻止 JavaScript 或 VBScript 启动下载的可执行内容
此规则可防止脚本启动潜在的恶意下载内容。 以 JavaScript 或 VBScript 编写的恶意软件通常充当从 Internet 提取和启动其他恶意软件的下载器。
业务线应用程序虽然并不常见,但有时使用脚本来下载和启动安装程序。
Intune名称:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager名称:Block JavaScript or VBScript from launching downloaded executable content
GUID:d3e037e1-3eb8-44c8-a917-57927947596d
高级搜寻操作类型:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
依赖项:Microsoft Defender防病毒、AMSI
阻止 Office 应用程序创建可执行内容
此规则阻止将恶意代码写入磁盘,防止 Office 应用(包括 Word、Excel 和 PowerPoint)创建潜在的恶意可执行内容。
滥用 Office 作为载体的恶意软件可能会尝试突破 Office 并将恶意组件保存到磁盘。 这些恶意组件会在计算机重新启动后幸存下来,并保留在系统上。 因此,此规则可抵御常见的持久性技术。 此规则还会阻止执行可能已被允许在 Office 文件中运行的 Office 宏保存的不受信任的文件。
Intune名称:Office apps/macros creating executable content
Configuration Manager名称:Block Office applications from creating executable content
GUID:3b576869-a4ec-4529-8536-b80a7769e899
高级搜寻操作类型:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
依赖项:Microsoft Defender防病毒、RPC
阻止 Office 应用程序将代码注入其他进程
此规则阻止从 Office 应用向其他进程注入代码的尝试。
注意
阻止应用程序将代码注入其他进程 ASR 规则不支持 WARN 模式。
重要
此规则要求重启Microsoft 365 应用版 (Office 应用程序) 才能使配置更改生效。
攻击者可能会尝试使用 Office 应用通过代码注入将恶意代码迁移到其他进程,因此代码可以伪装成干净进程。
使用代码注入没有已知的合法业务目的。
此规则适用于 Word、Excel、OneNote 和 PowerPoint。
Intune名称:Office apps injecting code into other processes (no exceptions)
Configuration Manager名称:Block Office applications from injecting code into other processes
GUID:75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
高级搜寻操作类型:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
依赖项:Microsoft Defender防病毒
阻止 Office 通信应用程序创建子进程
此规则阻止 Outlook 创建子进程,同时仍允许合法的 Outlook 函数。
此规则可防止社会工程攻击,并防止利用代码滥用 Outlook 中的漏洞。 它还可以防止在用户的凭据泄露时攻击者可以使用的 Outlook 规则和表单攻击 。
注意
此规则阻止 Outlook 中的 DLP 策略提示和工具提示。 此规则仅适用于 Outlook 和 Outlook.com。
Intune名称:Process creation from Office communication products (beta)
Configuration Manager名称:不可用
GUID:26190899-1602-49e8-8b27-eb1d0a1ce869
高级搜寻操作类型:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
依赖项:Microsoft Defender防病毒
通过 WMI 事件订阅阻止持久性
此规则可防止恶意软件滥用 WMI 来达到设备上的持久性。
重要
文件和文件夹排除不适用于此攻击面减少规则。
无文件威胁使用各种策略来保持隐藏状态,以避免在文件系统中被看到,并获得定期执行控制。 某些威胁可能会滥用 WMI 存储库和事件模型,使其保持隐藏状态。
注意
如果在CcmExec.exe设备上检测到 (SCCM 代理) ,则 ASR 规则在 Microsoft Defender 门户中的 Defender for Endpoint 设置中被归类为“不适用”。
Intune名称:Persistence through WMI event subscription
Configuration Manager名称:不可用
GUID:e6db77e5-3df2-4cf1-b95a-636979351e5b
高级搜寻操作类型:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
依赖项:Microsoft Defender防病毒、RPC
阻止源自 PSExec 和 WMI 命令的进程创建
此规则阻止通过 PsExec 和 WMI 创建的进程运行。 PsExec 和 WMI 都可以远程执行代码。 存在恶意软件滥用 PsExec 和 WMI 功能以用于命令和控制目的的风险,或者在整个组织的网络中传播感染。
警告
仅当使用Intune或其他 MDM 解决方案管理设备时,才使用此规则。 此规则与通过 Microsoft Endpoint Configuration Manager 进行管理不兼容,因为此规则阻止Configuration Manager客户端使用的 WMI 命令正常运行。
Intune名称:Process creation from PSExec and WMI commands
Configuration Manager名称:不适用
GUID:d1e49aac-8f56-4280-b9ba-993a6d77406c
高级搜寻操作类型:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
依赖项:Microsoft Defender防病毒
在安全模式下阻止重启计算机 (预览)
此规则阻止执行命令以在安全模式下重新启动计算机。
安全模式是一种诊断模式,仅加载 Windows 运行所需的基本文件和驱动程序。 但是,在安全模式下,许多安全产品要么被禁用,要么在有限的容量中运行,这样攻击者就可以进一步启动篡改命令,或者只是在计算机上执行并加密所有文件。 此规则通过阻止进程在安全模式下重新启动计算机来阻止此类攻击。
注意
此功能目前为预览版。 为了提高效果,目前正在开发其他升级。
Intune名称:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager名称:尚不可用
GUID:33ddedf1-c6e0-47cb-833e-de6133960387
依赖项:Microsoft Defender防病毒
阻止从 USB 运行的不受信任和未签名的进程
使用此规则,管理员可以阻止未签名或不受信任的可执行文件从 USB 可移动驱动器(包括 SD 卡)运行。 阻止的文件类型包括可执行文件 (,例如 .exe、.dll 或 .scr)
重要
如果在磁盘驱动器上执行,则此规则将阻止从 USB 复制到磁盘驱动器的文件。
Intune名称:Untrusted and unsigned processes that run from USB
Configuration Manager名称:Block untrusted and unsigned processes that run from USB
GUID:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
高级搜寻操作类型:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
依赖项:Microsoft Defender防病毒
阻止使用复制或模拟的系统工具 (预览)
此规则阻止使用标识为 Windows 系统工具副本的可执行文件。 这些文件是原始系统工具的副本或冒名顶替者。
某些恶意程序可能会尝试复制或模拟 Windows 系统工具,以避免检测或获取特权。 允许此类可执行文件可能会导致潜在的攻击。 此规则可防止在 Windows 计算机上传播和执行系统工具的此类重复项和冒名顶替程序。
注意
此功能目前为预览版。 为了提高效果,目前正在开发其他升级。
Intune名称:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager名称:尚不可用
GUID:c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
依赖项:Microsoft Defender防病毒
阻止为服务器创建 Webshell
此规则阻止在 Microsoft Server 和 Exchange 角色上创建 Web shell 脚本。
Web shell 脚本是一种专门制作的脚本,允许攻击者控制受攻击的服务器。 Web shell 可能包括接收和执行恶意命令、下载和执行恶意文件、窃取和泄露凭据和敏感信息、识别潜在目标等功能。
Intune名称:Block Webshell creation for Servers
GUID:a8f5898e-1dc8-49a9-9878-85004b8a61e6
依赖项:Microsoft Defender防病毒
阻止来自 Office 宏的 Win32 API 调用
此规则阻止 VBA 宏调用 Win32 API。
Office VBA 启用 Win32 API 调用。 恶意软件可能会滥用此功能,例如 调用 Win32 API 以启动恶意 shellcode ,而无需将任何内容直接写入磁盘。 大多数组织在其日常运行中不依赖于调用 Win32 API 的能力,即使它们以其他方式使用宏也是如此。
Intune名称:Win32 imports from Office macro code
Configuration Manager名称:Block Win32 API calls from Office macros
GUID:92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
高级搜寻操作类型:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
依赖项:Microsoft Defender防病毒、AMSI
使用针对勒索软件的高级防护
此规则提供针对勒索软件的额外保护层。 它使用客户端和云试探法来确定文件是否类似于勒索软件。 此规则不会阻止具有以下一个或多个特征的文件:
- 已在 Microsoft 云中发现该文件不受伤害。
- 该文件是有效的已签名文件。
- 该文件非常普遍,不能被视为勒索软件。
该规则倾向于谨慎防止勒索软件。
注意
必须 启用云提供的保护 才能使用此规则。
Intune名称:Advanced ransomware protection
Configuration Manager名称:Use advanced protection against ransomware
GUID:c1db55ab-c21a-4637-bb3f-a12568109d35
高级搜寻操作类型:
AsrRansomwareAuditedAsrRansomwareBlocked
依赖项:Microsoft Defender防病毒、云保护
另请参阅
- 攻击面减少规则部署概述
- 规划攻击面减少规则部署
- 测试攻击面减少规则
- 启用攻击面减少规则
- 操作攻击面减少规则
- 攻击面减少规则报告
- 攻击面减少规则参考
- Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈