Общие сведения о правилах сокращения направлений атак (ASR)

Совет

В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центр администрирования Microsoft 365.

Область атаки вашей организации включает все места, где злоумышленник может получить доступ. Дополнительные сведения см. в статье Уменьшение поверхности атаки в Microsoft Defender для конечной точки.

Правила уменьшения поверхности атаки (ASR) в Антивирусе Microsoft Defender нацелены на рискованное поведение программ на устройствах Windows, которое злоумышленники обычно эксплуатируют с помощью вредоносного ПО. Например, вы можете:

  • Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы.
  • Выполнение скрытых или иным образом недоверенных скриптов.
  • Создание дочерних процессов из потенциально уязвимых приложений (например, приложений Office).
  • Внедрение кода в другие процессы.

Хотя допустимые приложения также могут выполнять эти действия, злоумышленники обычно используют вредоносные программы, которые ведут себя так же.

Ознакомьтесь со следующей серией статей, чтобы спланировать, протестировать, реализовать и отслеживать правила ASR:

Правила ASR

Правила ASR группируются в следующие категории:

Доступные правила ASR, соответствующие значения GUID и категории описаны в следующей таблице:

  • Ссылки в именах правил позволяют получить подробные описания правил в справочной статье о правилах ASR .

  • Кроме политик безопасности конечных точек в Microsoft Intune и Microsoft Configuration Manager, все остальные методы конфигурации правил ASR определяют правила по значению GUID.

    Все различия между именами правил ASR между Microsoft Intune и Microsoft Configuration Manager описаны в таблице.

    Совет

    Microsoft Configuration Manager ранее был известен под другими именами:

    • Microsoft System Center Configuration Manager: версии 1511–1906 (с ноября 2015 г. по июль 2019 г.)
    • Microsoft Endpoint Configuration Manager: версии 1910–2211 (декабрь 2019 г. – декабрь 2022 г.)
    • Microsoft Configuration Manager: версия 2303 (апрель 2023 г.) или более поздняя

    Сведения о поддержке и обновлении см. в разделе Обновления и обслуживание для Configuration Manager.

Имя правила в Microsoft Intune Имя правила в Microsoft Configuration Manager GUID Категория
правила защиты Standard
Блокировать использование уязвимых подписанных драйверов в злоумышленных целях (устройство) н/д 56a863a9-875e-4185-98a7-b882c64b5ce5 Разное
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows То же 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Латеральное перемещение & кража учетных данных
Блокировка сохраняемости с помощью подписки на события WMI н/д e6db77e5-3df2-4cf1-b95a-636979351e5b Латеральное перемещение & кража учетных данных
Другие правила ASR
Запретить Adobe Reader создавать дочерние процессы н/д 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Приложения для повышения производительности
Запретить всем приложениям Office создавать дочерние процессы Запретить приложению Office создавать дочерние процессы d4f940ab-401b-4efc-aadc-ad5f3c50688a Приложения для повышения производительности
Блокировка исполняемого содержимого из почтового клиента и веб-почты То же be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Электронная почта
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия. 01443614-cd74-433a-b99e-2ecdc07bfc25 Полиморфные угрозы
Блокировать выполнение потенциально запутывающихся скриптов То же 5beb7efe-fd9a-4556-801d-275e5ffc04cc Скрипт
Блокировать запуск загруженного исполняемого содержимого с помощью JavaScript или VBScript То же d3e037e1-3eb8-44c8-a917-57927947596d Скрипт
Запрет приложениям Office создавать исполняемое содержимое То же 3b576869-a4ec-4529-8536-b80a7769e899 Приложения для повышения производительности
Запрет приложений Office от внедрения кода в другие процессы То же 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Приложения для повышения производительности
Запретить приложению Office для общения создавать дочерние процессы н/д 26190899-1602-49e8-8b27-eb1d0a1ce869 Email, приложения для повышения производительности
Блокировать создание процессов из команд PSExec и WMI н/д d1e49aac-8f56-4280-b9ba-993a6d77406c Латеральное перемещение & кража учетных данных
Блокировка перезагрузки компьютера в безопасном режиме н/д 33ddedf1-c6e0-47cb-833e-de6133960387 Разное
Блокировка недоверенных и неподписанных процессов, выполняемых с USB То же b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Полиморфные угрозы
Блокировать использование скопированных или поддельных системных инструментов н/д c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Разное
Блокировать создание WebShell для серверов н/д a8f5898e-1dc8-49a9-9878-85004b8a61e6 Разное
Блокировка вызовов API Win32 из макросов Office То же 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b Приложения для повышения производительности
Использование расширенной защиты от программ-шантажистов То же c1db55ab-c21a-4637-bb3f-a12568109d35 Полиморфные угрозы

Требования к правилам ASR

Правила ASR требуют, чтобы антивирус Microsoft Defender был основным антивирусным приложением на устройствах Windows:

  • Microsoft Defender антивирусная программа должна быть включена и в активном режиме. В частности, антивирусная программа Microsoft Defender не может находиться в одном из следующих режимов:

    • Пассивный
    • Пассивный режим с системой обнаружения и реагирования на конечных точках (EDR) в режиме блокировки
    • Ограниченное периодическое сканирование (LPS)
    • Выкл.

    Дополнительные сведения о режимах Microsoft Defender Antivirus см. в статье Как Microsoft Defender Antivirus влияет на функции Defender for Endpoint.

  • Защита в режиме реального времени в антивирусе Microsoft Defender должна быть включена.

  • Облачная защита (также называется Microsoft Advanced Protection Service или MAPS) имеет решающее значение для функциональности правил ASR. Облачная защита повышает стандартную защиту в режиме реального времени и является критически важным компонентом предотвращения нарушений вредоносных программ. Некоторые правила ASR содержат специальные требования к защите, доставляемой из облака для оповещений Endpoint Detection and Response (EDR) в Defender for Endpoint и во всплывающих уведомлениях для пользователей. Дополнительные сведения см. в разделе Оповещения и уведомления в результате действий правил ASR.

    По той же причине ваша среда должна разрешать подключения к облачной службе Microsoft Defender антивирусной программы.

  • Microsoft Defender версии компонентов антивирусной программы должны быть не более чем на две версии старше самой доступной версии:

    • Версия обновления платформы: обновляется ежемесячно.
    • Версия MEngine: обновляется ежемесячно.
    • Аналитика безопасности. Корпорация Майкрософт постоянно обновляет аналитику безопасности (также известные как определения и сигнатуры) для устранения последних угроз и уточнения логики обнаружения.

    Поддержание версий Microsoft Defender Antivirus в актуальном состоянии помогает сократить количество ложных срабатываний правил ASR и улучшить возможности обнаружения Microsoft Defender Antivirus. Дополнительные сведения о текущих версиях и способах обновления различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.

  • Хотя правила ASR не требуют Microsoft 365 E5, корпорация Майкрософт рекомендует использовать возможности безопасности E5 или эквивалентных подписок, чтобы воспользоваться следующими расширенными возможностями управления:

    • Мониторинг, аналитика и рабочие процессы в Defender for Endpoint.
    • Возможности создания отчетов и настройки на портале Microsoft Defender XDR.

    Дополнительные возможности управления недоступны для других лицензий (например, Windows Professional или Microsoft 365 E3). Однако вы можете разработать собственные средства мониторинга и формирования отчетов на основе событий правил ASR, которые регистрируются в средстве просмотра событий Windows на каждом устройстве (например, пересылка событий Windows).

    Дополнительные сведения о лицензировании Windows см. в статье Лицензирование Windows и справочное руководство по корпоративному лицензированию Майкрософт.

Поддерживаемые операционные системы для правил ASR

Правила ASR — это компонент антивирусной программы Microsoft Defender, доступный в любом выпуске Windows, который включает в себя антивирусную программу Microsoft Defender (например, Windows 11 home). Правила ASR можно настроить локально на отдельных устройствах с помощью PowerShell. В выпусках Pro и Enterprise можно также использовать групповую политику.

Централизованное управление, формирование отчетов и оповещения о правилах ASR в Microsoft Defender для конечных точек доступны в следующих выпусках и версиях Windows:

  • Выпуски Pro и Enterprise Windows 10 или более поздней версии.
  • Windows Server 2012 R2 или более поздней версии.
  • Azure Local (прежнее название — Azure Stack HCI) версии 23H2 или более поздней.

Note

Правила ASR — это функция Windows. Они недоступны на устройствах Linux или macOS, даже подключенных к Microsoft Defender для конечной точки.

Дополнительные сведения о поддержке операционной системы см. в разделе Поддержка правил ASR операционной системой.

Режимы для правил ASR

Правило ASR может находиться в одном из следующих режимов, как описано в следующей таблице:

Режим правил Код Описание
Выкл . или
Отключено
0 Правило ASR явно отключено.

Это значение может вызвать конфликты, если одному и тому же устройству назначается одно правило ASR в разных режимах разными политиками.
Блокировать или
Activated
1 Правило ASR включено в режиме блокировки .
Аудит или
Режим аудита
2 Правило ASR включено, как если бы оно работало в режиме Block, но без выполнения каких-либо действий.

Обнаружения правил ASR в режиме аудита доступны в следующих расположениях:
Не настроено 5 Правило ASR явно не включено.

Это значение функционально эквивалентно Отключено или Выкл., но без возможности возникновения конфликтов правил.
Предупреждение или
Warning
6 Правило ASR включено, как будто в режиме блокировки , но пользователи могут выбрать Разблокировать во всплывающем окне предупреждения, чтобы обойти блокировку в течение 24 часов. Через 24 часа пользователь должен снова обойти блокировку.

Режим предупреждения поддерживается в Windows 10 версии 1809 (ноябрь 2018 г.) или более поздней. Правила ASR в режиме предупреждения для неподдерживаемых версий Windows фактически находятся в режиме блокировки (обход недоступен).

Режим предупреждения недоступен в Microsoft Configuration Manager.

Режим предупреждения имеет следующие Microsoft Defender требования к версии антивирусной программы:
  • Выпуск платформы: 4.18.2008.9 (август 2020 г.) или более поздней версии.
  • Выпуск обработчика: 1.1.17400.5 (август 2020 г.) или более поздней версии.

Следующие правила ASR не поддерживают режим предупреждения :

Корпорация Майкрософт рекомендует режим блокировки для стандартных правил защиты и первоначальное тестирование в режиме аудита для других правил ASR перед их активацией в режиме блокировать или предупреждать .

Многие бизнес-приложения написаны с ограниченными соображениями безопасности, и они могут действовать таким образом, чтобы они выглядели похожими на вредоносные программы. Отслеживая данные из правил ASR в режиме аудита и добавляя исключения для необходимых приложений, можно развертывать правила ASR без снижения производительности.

Прежде чем включать правила ASR в режиме блокировки , оцените их влияние в режиме аудита и рекомендациях по безопасности. Дополнительные сведения см. в разделе Тестирование правил ASR.

Методы развертывания и настройки правил ASR

Microsoft Defender для конечной точки поддерживает правила ASR, но не включает встроенный метод для развертывания параметров правил ASR на устройствах. Вместо этого вы используете отдельное средство развертывания или управления для создания и распространения политик правил ASR на устройствах. Не все методы развертывания поддерживают каждое правило ASR. Подробные сведения по каждому правилу см. в разделе Поддержка способов развертывания для правил ASR.

В следующей таблице перечислены доступные методы. Подробные инструкции по настройке см. в статье Настройка правил и исключений для сокращения направлений атак (ASR).

Метод Описание
политики безопасности конечных точек Microsoft Intune Рекомендуемый метод для настройки и распространения политик правил ASR на устройствах. Требуется план Microsoft Intune 1 (входит в состав подписок, таких как Microsoft 365 E3, или доступен как отдельная надстройка).
Портал Microsoft Defender Настройте правила и исключения ASR с помощью политик безопасности конечных точек на портале Microsoft Defender, используя те же политики, что и Intune. Полезно при управлении политиками безопасности конечных точек на портале Defender.
Пользовательские профили Microsoft Intune с OMA-URI Альтернативный метод настройки правил ASR в Intune с помощью профилей Open Mobile Alliance — Uniform Resource (OMA-URI).
Любое решение MDM, использующее Policy CSP Используйте поставщик службы конфигурации политик Windows (CSP) с любым решением MDM.
Microsoft Configuration Manager Использует политику антивирусной программы Microsoft Defender в рабочей области Активы и соответствие требованиям.
Групповая политика Используйте централизованную групповую политику для настройки и развертывания правил ASR на устройства, присоединенные к домену. Вы также можете настроить групповая политика локально на отдельных устройствах.
PowerShell Настройте правила ASR локально на отдельных устройствах. PowerShell поддерживает все правила ASR.

Исключения файлов и папок для правил ASR

Важно!

Исключение файлов или папок может значительно снизить защиту правил ASR. Исключенным файлам разрешено запускаться, и никакие отчеты или события, связанные с файлом, не регистрируются. Если правила ASR обнаруживают файлы, которые не должны быть обнаружены, используйте режим аудита для тестирования правила.

Вы можете исключить определенные файлы и папки из оценки правилами ASR. Даже если правило ASR определяет, что файл или папка содержит вредоносное поведение, оно не блокирует запуск исключенных файлов.

Для исключения файлов и папок из правил ASR можно использовать следующие методы:

Применение различных типов исключений для правил ASR приведено в следующей таблице:

Имя правила Учитывает файл MDAV и
исключения папок
Учитывает глобальное автоматическое распознавание речи
Исключения
Учитывает правило ASR
Исключения
Учитывает IoCs для
файлы
Учитывает IoCs для
Сертификаты
правила защиты Standard
Блокировать использование уязвимых подписанных драйверов, используемых в атаках (Устройство) Да Да Да Да Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows N Да Да N N
Блокировка сохраняемости с помощью подписки на события WMI N Да Да N N
Другие правила ASR
Запретить Adobe Reader создавать дочерние процессы N Да Да Да Да
Запретить всем приложениям Office создавать дочерние процессы Да Да Да Да Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да Да Да Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Да Да Да Да Да
Блокировать выполнение потенциально запутывающихся скриптов Да Да Да Да Да
Блокировать запуск загруженного исполняемого содержимого с помощью JavaScript или VBScript Да Да Да Да Да
Запрет приложениям Office создавать исполняемое содержимое N Да Да Да Да
Запрет приложений Office от внедрения кода в другие процессы N Да Да N N
Запретить приложению Office для общения создавать дочерние процессы N Да Да Да Да
Блокировать создание процессов из команд PSExec и WMI N Да Да Да Да
Блокировка перезагрузки компьютера в безопасном режиме Да Да Да Да Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да Да Да Да Да
Блокировать использование скопированных или поддельных системных инструментов Да Да Да Да Да
Блокировать создание WebShell для серверов Да Да Да Да Да
Блокировка вызовов API Win32 из макросов Office Да Да Да Да N
Использование расширенной защиты от программ-шантажистов Да Да Да Да Да

При добавлении исключений учитывайте следующие моменты:

  • Пути исключения могут использовать переменные среды и подстановочные знаки. Дополнительные сведения см. в разделе Подстановочные знаки в исключениях Microsoft Defender Antivirus.

    Совет

    Не используйте переменные пользовательской среды в качестве подстановочных знаков в исключениях папок и процессов. В качестве подстановочных знаков используйте только следующие типы переменных среды:

    • Системные переменные среды.
    • Переменные среды, применяемые к процессам, выполняющимся в качестве учетной записи NT AUTHORITY\SYSTEM.

    Список системных переменных среды см. в разделе Системные переменные среды.

    • Подстановочные знаки не могут указывать букву диска.
    • Чтобы исключить несколько папок в пути, используйте несколько экземпляров \*\ для указания нескольких вложенных папок. Например, c:\Folder\*\*\Test.
    • Microsoft Configuration Manager поддерживает подстановочные знаки (* или ?).
    • Чтобы исключить файл, содержащий случайные символы (например, из автоматического создания файла), используйте ? символ . Например, C:\Folder\fileversion?.docx.
  • Исключения применяются только при запуске приложения или службы. Например, если добавить исключение для уже запущенной службы обновлений, служба обновлений продолжит активировать обнаружение правил ASR до перезапуска службы.

Конфликты политик в правилах ASR

Если одному и тому же устройству назначены две разные политики правил ASR, возможные конфликты могут возникнуть на основе следующих элементов:

  • Назначаются ли одни и те же правила ASR в разных режимах.
  • Имеется ли управление конфликтами.
  • Является ли результат ошибкой.

Неконфликтные правила ASR не приводят к ошибкам. Применяется первое правило, а последующие неконфликтные правила объединяются в политику.

Если решение для управления мобильными устройствами (MDM) и Group Policy применяют разные параметры правил ASR к одному и тому же устройству, приоритет имеют параметры Group Policy.

Сведения о том, как обрабатываются конфликты параметров правил ASR для доступных методов развертывания в Microsoft Intune, см. в разделе Устройства, управляемые Intune.

Уведомления и оповещения для правил ASR

Когда на устройстве активируется правило ASR в режиме блокировки или предупреждения , на устройстве отображается уведомление. Вы можете настроить сведения в уведомлениях. Дополнительные сведения см. в разделе Настройка контактных данных в приложении "Безопасность Windows".

Оповещения Endpoint Detection and Response (EDR) в Defender for Endpoint создаются при срабатывании поддерживаемых правил ASR.

Подробные сведения о функциях уведомлений и оповещений см. в разделе Оповещения и уведомления от действий правил ASR.

Чтобы просмотреть активность оповещений ASR на портале Microsoft Defender и на устройствах в Просмотре событий Windows, см. статью Мониторинг активности правил уменьшения поверхности атаки (ASR).

Отслеживайте действия правила ASR

Полные сведения см. в разделе Мониторинг действия правила сокращения направлений атак (ASR).