Настроить правила и исключения для уменьшения поверхности атаки (ASR)

Правила сокращения направлений атак (ASR) нацелены на опасное поведение программного обеспечения на устройствах Windows, которое злоумышленники обычно используют с помощью вредоносных программ (например, запуска сценариев, скачивающих файлы, запуска запутанных сценариев и внедрения кода в другие процессы). В этой статье описывается включение и настройка правил ASR.

Для достижения наилучших результатов используйте решения управления корпоративного уровня, такие как Microsoft Intune или Microsoft Configuration Manager, для управления правилами ASR. Параметры правил ASR из Intune или Configuration Manager при запуске системы перезаписывают все конфликтующие параметры из параметров групповой политики или PowerShell.

Предварительные условия

Дополнительные сведения см. в разделе Требования к правилам ASR.

Настройка правил ASR в Microsoft Intune

Microsoft Intune — это рекомендуемое средство для настройки и развертывания функций Microsoft Defender для конечной точки на устройствах. Однако Intune — это отдельный продукт, который не является частью Defender for Endpoint и включён не во все подписки. Чтобы использовать Intune, вам нужна подписка, в которую входит Intune, или вы можете приобрести Intune отдельно как отдельную подписку или дополнение. Если у вас нет Intune, можно использовать любой из других методов в этой статье. Дополнительные сведения см. в разделе Лицензирование Microsoft Intune.

В Intune политики безопасности конечных точек являются рекомендуемым способом развертывания правил ASR, хотя в Intune также доступны и другие методы (например, настраиваемые профили с OMA-URI и CSP).

Настройка правил и исключений ASR в Intune с помощью политик безопасности конечных точек

Сведения о том, как настроить правила ASR с помощью политики сокращения зоны атак с безопасностью конечных точек Microsoft Intune, см. в статье Создание политики безопасности конечной точки (откроется на новой вкладке в документации по Intune). При создании политики используйте следующие параметры:

Важно!

Управление Microsoft Defender для конечной точки поддерживает только объекты устройств. Нацеливание на пользователей не поддерживается. Назначьте политику Microsoft Entra группам устройств, а не группам пользователей.

  • Тип политики: сокращение направлений атаки
  • Платформа: Windows
  • Профиль: правила сокращения направлений атаки
  • Параметры конфигурации:
    • Сокращение направлений атак. Как правило, стандартные правила защиты можно включить в режиме блокировать или предупреждать без тестирования. Прежде чем переключить их в режим блокировки или предупреждения, следует протестировать другие правила ASR в режиме аудита. Дополнительные сведения см. в руководстве по развертыванию правил ASR.

      После установки режима правила аудит, блокировка или предупреждение появляется раздел ASR только для исключений правил , в котором можно указать исключения, которые применяются только к этому правилу.

    • Исключения только для уменьшения поверхности атаки: Используйте этот раздел, чтобы указать исключения, которые применяются ко всем правилам ASR.

      Чтобы указать исключения для каждого правила ASR или глобальные исключения правил ASR, используйте один из следующих методов:

      • Нажмите кнопку "Добавить". В появившемся поле введите путь или путь и имя файла для исключения. Например, вы можете:

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path
      • Выберите "Импорт" , чтобы импортировать CSV-файл, содержащий имена файлов и папок, которые следует исключить. CSV-файл использует следующий формат:

        AttackSurfaceReductionOnlyExclusions
        "C:\folder"
        "%ProgramFiles%\folder\file.exe"
        "C:\path"
        ...
        

        Совет

        Двойные кавычки вокруг значений являются необязательными и игнорируются (не используются в значениях), если они включены. Не используйте одинарные кавычки вокруг значений.

      Дополнительные сведения об исключениях см. в разделе Исключения файлов и папок для правил ASR.

    • Включение управляемого доступа к папкам, Папки, защищенные функцией управляемого доступа к папкам, и Приложения, разрешенные функцией управляемого доступа к папкам. Дополнительные сведения см. в статье Настройка CFA в Intune с помощью политик безопасности конечных точек.

Настроить правила ASR в Intune с помощью настраиваемых профилей с URI OMA и CSP

Хотя рекомендуемы политики безопасности конечных точек, можно также настроить правила ASR в Intune с помощью настраиваемых профилей, содержащих параметры универсального идентификатора ресурса Open Mobile Alliance (OMA-URI) с помощью поставщика служб конфигурации политики Windows (CSP).

Общие сведения об OMA-URI в Intune см. в статье Развертывание OMA-URI для адресации CSP через Intune и сравнение с локальными средами.

  1. В центре администрирования Microsoft Intune по адресу https://intune.microsoft.comвыберите Устройства>Управление устройствами>Конфигурация. Или, чтобы перейти непосредственно к устройствам | Страница конфигурации , используйте https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. На вкладке Политикив разделе Устройства | Страница конфигурации выберите Создать>новую политику.

    Снимок экрана: вкладка

  3. Во всплывающем окне Создание профиля настройте следующие параметры:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны.
      • В появившемся разделе Имя шаблона выберите Пользовательский.

    Нажмите Создать.

    Снимок экрана: атрибуты профиля правила на портале центра администрирования Microsoft Intune.

  4. Открывается мастер пользовательских шаблонов. На вкладке Основные сведения настройте следующие параметры:

    • Имя. Введите уникальное имя шаблона.
    • Описание: введите необязательное описание.

    Завершив работу на вкладке Основные сведения , нажмите кнопку Далее.

  5. На вкладке Параметры конфигурации выберите Добавить.

    Снимок экрана: параметры конфигурации на портале центра администрирования Microsoft Intune.

    Во всплывающем окне Добавление строки настройте следующие параметры:

    • Имя: Введите уникальное имя правила.

    • Описание. Введите необязательное краткое описание.

    • OMA-URI: введите значение Device из CSP AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • Тип данных: выберите Строка.

      • Значение: используйте следующий синтаксис:

        <RuleGuid1>=<ModeForRuleGuid1>
        <RuleGuid2>=<ModeForRuleGuid2>
        ...
        <RuleGuidN>=<ModeForRuleGuidN>
        
        • Значения GUID для правил ASR доступны в разделе Правила ASR.
        • Доступны следующие режимы правил :
          • 0: выкл.
          • 1: Блок
          • 2: Аудит
          • 5: не настроено
          • 6: Предупреждение

        Например, вы можете:

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
        3b576869-a4ec-4529-8536-b80a7769e899=1
        d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
        d3e037e1-3eb8-44c8-a917-57927947596d=1
        5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
        be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
        

      Снимок экрана: всплывающее меню

      По завершении во всплывающем окне Добавление строки нажмите кнопку Сохранить.

      Совет

      На этом этапе можно также добавить в пользовательский профиль глобальные исключения правил ASR, а не создавать отдельный профиль только для исключений. Инструкции см. в статье Настройка глобальных исключений правил ASR в Intune с помощью настраиваемых профилей с URI OMA и поставщиков служб конфигурации (CSP).

    Вернитесь на вкладку Параметры конфигурации и нажмите кнопку Далее.

  6. На вкладке Назначения настройте следующие параметры:

    • Раздел Включенные группы. Выберите один из следующих параметров:
      • Добавить группы. Выберите одну или несколько групп для включения.
      • Добавление всех пользователей
      • Добавление всех устройств
    • Раздел Исключенные группы. Выберите Добавить группы, чтобы указать все группы для исключения.

    Завершив работу на вкладке Назначения , нажмите кнопку Далее.

    Снимок экрана: вкладка

  7. На вкладке Правила применимости нажмите кнопку Далее.

    Вы можете использовать свойства выпуска ОС и версии ОС , чтобы определить типы устройств, которые должны или не должны получать профиль.

    Правила применимости на портале Центра администрирования Microsoft Intune.

  8. На вкладке Просмотр и создание просмотрите параметры. Вы можете использовать предыдущий или выбрать вкладку, чтобы вернуться и внести изменения.

    Когда вы будете готовы создать профиль, выберите Создать на вкладке Проверка и создание .

    Снимок экрана: вкладка

Вы сразу же возвращаетесь на вкладку Политики страницы Устройства | Конфигурация. Для просмотра политики может потребоваться выбрать Обновить .

Правила ASR активируются в течение нескольких минут.

Настройка исключений глобальных правил ASR в Intune с помощью пользовательских профилей с OMA-URIs и CSP

Шаги по настройке глобальных исключений для правил ASR в Intune с помощью пользовательского профиля очень похожи на шаги настройки правил ASR, описанные в статье Настройка правил ASR в Intune с помощью пользовательских профилей с OMA-URI и CSP. Единственное различие заключается в вкладке "Параметры конфигурации" , где вы вводите сведения об исключениях правил ASR вместо правил ASR:

На вкладке Параметры конфигурации выберите Добавить. Во всплывающем окне Добавление строки настройте следующие параметры:

  • Имя: Введите уникальное имя правила.
    • Описание. Введите необязательное краткое описание.
    • OMA-URI: введите значение Device из CSP AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
      • Тип данных: выберите Строка.

      • Значение: используйте следующий синтаксис:

        <PathOrPathAndFilename1>
        <PathOrPathAndFilename1>
        ...
        <PathOrPathAndFilenameN>
        

        Например, вы можете:

        C:\folder
        %ProgramFiles%\folder\file.exe
        C:\path
        

По завершении во всплывающем окне Добавление строки нажмите кнопку Сохранить.

Вернитесь на вкладку Параметры конфигурации и нажмите кнопку Далее.

Выполните оставшиеся действия в разделе «Настройка правил ASR в Intune с помощью пользовательских профилей с OMA-URI и CSP», начиная с вкладки «Назначения».

Настройка правил и исключений ASR на портале Microsoft Defender

Если организация управляет политиками безопасности конечных точек на портале Microsoft Defender, можно настроить правила ASR и их исключения с теми же политиками безопасности конечных точек, которые использует Intune.

На вкладке Windows страницы политик безопасности конечных точек на портале https://security.microsoft.com/policy-inventory выберите "Создать политику" и создайте политикууменьшения поверхности атаки. Полная процедура см. в разделе "Создание политики безопасности конечных точек".

Используйте тот же профиль правил уменьшения поверхности атаки и параметры, описанные в разделе Настройка правил и исключений ASR в Intune с помощью политик безопасности конечных точек. Эти параметры включают исключения только для глобального сокращения поверхности атаки и исключения для отдельных правил ASR.

При назначении политики обратите внимание, что ограничения группы назначений применяются к устройствам, управляемым с помощью управления параметрами безопасности. Дополнительные сведения см. на шаге "Назначения".

Настройка правил ASR в любом MDM-решении с помощью Policy CSP

Поставщик службы конфигурации политик (CSP) позволяет корпоративным организациям настраивать политики на устройствах Windows с помощью любого решения управления мобильными устройствами (MDM), а не только Microsoft Intune. Дополнительные сведения см. в разделе CSP политики.

Правила ASR можно настроить с помощью CSP AttackSurfaceReductionRules со следующими параметрами:

Путь OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Значение: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • Значения GUID для правил ASR доступны в разделе Правила ASR.
  • Доступны следующие режимы правил :
    • 0: выкл.
    • 1: Блок
    • 2: Аудит
    • 5: не настроено
    • 6: Предупреждение

Например, вы можете:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Примечание.

Обязательно введите значения OMA-URI без пробелов.

Настройте глобальные исключения для правил ASR в любом решении MDM с помощью Policy CSP

CSP Policy можно использовать для настройки глобального пути к правилу ASR, а также исключений для путей и имён файлов с помощью параметра CSP AttackSurfaceReductionOnlyExclusions со следующими настройками:

Путь OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Значение: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Пример: C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Настройка правил ASR и глобальных исключений правил ASR в Microsoft Configuration Manager

Инструкции см. в сведениях о сокращении направлений атак в статье Создание и развертывание политики Exploit Guard.

Предупреждение

Существует известная проблема, связанная с применением функции снижения поверхности атаки в серверных версиях ОС: она помечается как соответствующая требованиям без какого-либо фактического применения. В настоящее время нет определенной даты выпуска, когда это будет исправлено.

Важно!

Если вы используете параметр "Отключить слияние администраторов" true на устройствах и используете какие-либо из следующих средств и методов, добавление исключений правил ASR для каждого правила или локальных исключений правил ASR не применяется:

  • Управление параметрами безопасности Defender для конечных точек (отключение объединения локальных параметров администратора), вкладка Политики Windows на странице Политики безопасности конечных точек в портале Microsoft Defender по адресу https://security.microsoft.com/policy-inventory?osPlatform=Windows
  • Microsoft Intune (отключение объединения локальных администраторов)
  • Поставщик служб CSP Defender (DisableLocalAdminMerge)
  • групповая политика (настройка поведения слияния локального администратора для списков)

Чтобы изменить это поведение, необходимо изменить параметр "Отключить слияние администраторов" на false.

Настройка правил и исключений ASR в групповой политике

Предупреждение

Если вы управляете компьютерами и устройствами с помощью Intune, Microsoft Configuration Manager или другого программного обеспечения для управления корпоративного уровня, программное обеспечение управления перезаписывает все конфликтующие параметры групповой политики при запуске.

  1. В централизованной групповой политике откройте консоль управления групповыми политиками (GPMC) на компьютере управления групповыми политиками.

  2. В дереве консоли GPMC разверните узел «Объекты групповой политики» в лесу и домене, которые содержат объект групповой политики, который требуется изменить.

  3. Щелкните объект групповой политики правой кнопкой мыши и выберите изменить.

  4. В Редакторе управления групповыми политиками перейдите в раздел Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Антивирусная программа Microsoft Defender>Microsoft Defender Exploit Guard > Уменьшение поверхности атаки.

  5. В области сведений о сокращении направлений атак доступны следующие параметры:

    Чтобы открыть и настроить параметр правила ASR, используйте любой из следующих методов:

    • Дважды щелкните параметр.
    • Щелкните параметр правой кнопкой мыши и выберите изменить.
    • Выберите параметр, а затем выберите Изменить действие>.

Совет

Вы также можете настроить групповую политику локально на отдельных устройствах с помощью Редактора локальной групповой политики (gpedit.msc). Перейдите по тому же пути: Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Антивирусная программа Microsoft Defender>Microsoft Defender Exploit Guard>Уменьшение поверхности атаки.

Доступные параметры описаны в разделе Настройка правил ASR в групповой политике, Настройка глобальных исключений для правил ASR в групповой политике и Настройка исключений для отдельных правил ASR в групповой политике.

Важно!

Кавычки, начальные пробелы, конечные пробелы и дополнительные символы не поддерживаются ни в одном из значений, связанных с правилом ASR, в групповой политике.

Пути групповой политики в версиях Windows 10, предшествующих версии 2004 (май 2020 г.), могут использовать антивирусную программу Windows Defender вместо антивирусной программы Microsoft Defender. Оба названия указывают на одно и то же расположение политики.

Настройка правил ASR в групповой политике

Выполните следующие действия, чтобы настроить правила ASR и их режимы в параметрах групповой политики Сокращение поверхности атаки:

  1. В области сведений о сокращении направлений атак откройте параметр Настройка правил сокращения направлений атак .

  2. В открывавшемся окне параметров настройте следующие параметры:

    1. Щелкните Включено.
    2. Задайте состояние для каждого правила ASR: выберите Показать....
    3. В открывшемся диалоговом окне Задать состояние для каждого правила ASR настройте следующие параметры:

    Снимок экрана настройки правил уменьшения поверхности атаки в групповой политике.

    Дополнительные сведения см. в разделе Режимы правил ASR.

    Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.

Настройка исключений глобальных правил ASR в групповой политике

Пути или имена файлов с указанными путями используются в качестве исключений для всех правил ASR.

  1. В области сведений о сокращении направлений атаки откройте параметр Исключить файлы и пути из правил сокращения направлений атаки .

  2. В открывавшемся окне параметров настройте следующие параметры:

    1. Щелкните Включено.
    2. Исключения из правил ASR: выберите Показать....
  3. В открывшемся диалоговом окне Исключения из правил ASR настройте следующие параметры:

    • Имя значения: введите путь или путь и имя файла, чтобы исключить из-под действия всех правил ASR.
    • Значение: введите 0.

    Поддерживаются следующие типы имен значений:

    • Чтобы исключить все файлы в папке, введите полный путь к папке. Например, C:\Data\Test.
    • Чтобы исключить определенный файл в определенной папке (рекомендуется), введите путь и имя файла. Например, C:\Data\Test\test.exe.

    Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.

Настройте исключения для каждого правила ASR в групповой политике

Пути или имена файлов с указанными путями используются в качестве исключений для конкретных правил ASR.

Примечание.

Если параметр Применить список исключений к определенным правилам сокращения направлений атак (ASR) недоступен в GPMC, вам потребуется версия 24H2 или более поздняя версия файлов административных шаблонов в центральном хранилище.

  1. В области сведений о сокращении направлений атаки откройте параметр Применить список исключений к определенным правилам сокращения направлений атак (ASR).

  2. В открывавшемся окне параметров настройте следующие параметры:

    1. Щелкните Включено.
    2. Исключения для каждого правила ASR: выберите Показать....
  3. В открывшемся диалоговом окне Исключения для каждого правила ASR настройте следующие параметры:

    • Имя значения: введите значение GUID для правила ASR.
    • Значение: введите одно или несколько исключений для правила ASR. Используйте синтаксис Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Например, C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

    Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.

Настройка правил ASR в PowerShell

Предупреждение

Если вы управляете компьютерами и устройствами с помощью Intune, Configuration Manager или другой платформы управления корпоративного уровня, программное обеспечение для управления перезаписывает все конфликтующие параметры PowerShell при запуске.

На целевом устройстве используйте следующий синтаксис команды PowerShell в сеансе PowerShell с повышенными привилегиями (открытое окно PowerShell, выбрав "Запуск от имени администратора"). Этот синтаксис добавляет, задает или удаляет режим для одного или нескольких правил ASR, указав каждый GUID правила и его требуемое действие:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>
  • Set-MpPreferenceзаменяет все существующие правила и соответствующие им режимы на указанные значения. Чтобы отобразить правила ASR, настроенные на устройстве вместе с назначенными действиями, выполните следующую команду:

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
    

    Чтобы добавить новые правила и соответствующие им режимы, не затрагивая существующие значения, используйте командлет Add-MpPreference . Чтобы удалить указанные правила и соответствующие им режимы, не затрагивая другие существующие значения, используйте командлет Remove-MpPreference . Синтаксис команды идентичен для трех командлетов.

  • Значения GUID для правил ASR доступны в разделе Правила ASR.

  • Допустимые значения для параметра AttackSurfaceReductionRules_Actions :

    • 0 или Disabled
    • 1 или Enabled (режим блокировки )
    • 2или AuditModeAudit
    • 5 или NotConfigured
    • 6 или Warn

В следующем примере используется Set-MpPreference настройка четырех правил ASR в одной команде, настройка каждого правила в другом режиме (включено, отключено или AuditMode):

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Настройка исключений глобальных правил ASR в PowerShell

На целевом устройстве используйте следующий синтаксис команды PowerShell в сеансе PowerShell с повышенными привилегиями для добавления, обновления или удаления исключений путей, которые применяются ко всем правилам ASR:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"
  • Set-MpPreferenceзаменяет все существующие исключения правил ASR на указанные значения. Чтобы отобразить исключения правил ASR, настроенные на устройстве, выполните следующую команду:

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
    

    Чтобы добавить новые исключения, не затрагивая существующие значения, используйте командлет Add-MpPreference . Чтобы удалить указанные исключения, не затрагивая другие значения, используйте командлет Remove-MpPreference . Синтаксис команды идентичен для трех командлетов.

    Следующий пример исключает папку () и определенный исполняемый файл (C:\Data\TestC:\Data\LOBApp\app1.exe) из всех правил ASR на устройстве:

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"