Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центр администрирования Microsoft 365.
Область атаки вашей организации включает все места, где злоумышленник может получить доступ. Дополнительные сведения см. в статье Уменьшение поверхности атаки в Microsoft Defender для конечной точки.
Правила уменьшения поверхности атаки (ASR) в Антивирусе Microsoft Defender нацелены на рискованное поведение программ на устройствах Windows, которое злоумышленники обычно эксплуатируют с помощью вредоносного ПО. Например, вы можете:
- Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы.
- Выполнение скрытых или иным образом недоверенных скриптов.
- Создание дочерних процессов из потенциально уязвимых приложений (например, приложений Office).
- Внедрение кода в другие процессы.
Хотя допустимые приложения также могут выполнять эти действия, злоумышленники обычно используют вредоносные программы, которые ведут себя так же.
Ознакомьтесь со следующей серией статей, чтобы спланировать, протестировать, реализовать и отслеживать правила ASR:
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечных точек в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка функций Microsoft Defender для конечной точки на iOS
Правила ASR
Правила ASR группируются в следующие категории:
Стандартные правила защиты дают значительные преимущества в области безопасности, поэтому Microsoft рекомендует включать их в режиме Блок без необходимости проводить обширное тестирование. Как правило, эти правила оказывают минимальное или не заметное влияние на пользователей, но существуют исключения:
- Блокировать сохраняемость с помощью подписки на события WMI. Если вы используете Microsoft Configuration Manager для управления устройствами, не используйте другие доступные методы развертывания (например, групповая политика или PowerShell) для активации этого правила в режиме блокировки или предупреждения на устройстве без расширенного тестирования в режиме аудита. Клиент Configuration Manager в значительной степени зависит от WMI.
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows. Если вы включили защиту локального центра безопасности (LSA) (рекомендуется вместе с Credential Guard), это правило будет избыточным.
Другие правила ASR обеспечивают важную защиту, но требуют тестирования в режиме аудита , прежде чем активировать их в режиме блокировки или предупреждения , как описано в руководстве по развертыванию правил сокращения направлений атак.
Доступные правила ASR, соответствующие значения GUID и категории описаны в следующей таблице:
Ссылки в именах правил позволяют получить подробные описания правил в справочной статье о правилах ASR .
Кроме политик безопасности конечных точек в Microsoft Intune и Microsoft Configuration Manager, все остальные методы конфигурации правил ASR определяют правила по значению GUID.
Все различия между именами правил ASR между Microsoft Intune и Microsoft Configuration Manager описаны в таблице.
Совет
Microsoft Configuration Manager ранее был известен под другими именами:
- Microsoft System Center Configuration Manager: версии 1511–1906 (с ноября 2015 г. по июль 2019 г.)
- Microsoft Endpoint Configuration Manager: версии 1910–2211 (декабрь 2019 г. – декабрь 2022 г.)
- Microsoft Configuration Manager: версия 2303 (апрель 2023 г.) или более поздняя
Сведения о поддержке и обновлении см. в разделе Обновления и обслуживание для Configuration Manager.
| Имя правила в Microsoft Intune | Имя правила в Microsoft Configuration Manager | GUID | Категория |
|---|---|---|---|
| правила защиты Standard | |||
| Блокировать использование уязвимых подписанных драйверов в злоумышленных целях (устройство) | н/д | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Разное |
| Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows | То же | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Латеральное перемещение & кража учетных данных |
| Блокировка сохраняемости с помощью подписки на события WMI | н/д | e6db77e5-3df2-4cf1-b95a-636979351e5b | Латеральное перемещение & кража учетных данных |
| Другие правила ASR | |||
| Запретить Adobe Reader создавать дочерние процессы | н/д | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Приложения для повышения производительности |
| Запретить всем приложениям Office создавать дочерние процессы | Запретить приложению Office создавать дочерние процессы | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Приложения для повышения производительности |
| Блокировка исполняемого содержимого из почтового клиента и веб-почты | То же | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | Электронная почта |
| Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия | Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия. | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Полиморфные угрозы |
| Блокировать выполнение потенциально запутывающихся скриптов | То же | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Скрипт |
| Блокировать запуск загруженного исполняемого содержимого с помощью JavaScript или VBScript | То же | d3e037e1-3eb8-44c8-a917-57927947596d | Скрипт |
| Запрет приложениям Office создавать исполняемое содержимое | То же | 3b576869-a4ec-4529-8536-b80a7769e899 | Приложения для повышения производительности |
| Запрет приложений Office от внедрения кода в другие процессы | То же | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Приложения для повышения производительности |
| Запретить приложению Office для общения создавать дочерние процессы | н/д | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, приложения для повышения производительности |
| Блокировать создание процессов из команд PSExec и WMI | н/д | d1e49aac-8f56-4280-b9ba-993a6d77406c | Латеральное перемещение & кража учетных данных |
| Блокировка перезагрузки компьютера в безопасном режиме | н/д | 33ddedf1-c6e0-47cb-833e-de6133960387 | Разное |
| Блокировка недоверенных и неподписанных процессов, выполняемых с USB | То же | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Полиморфные угрозы |
| Блокировать использование скопированных или поддельных системных инструментов | н/д | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Разное |
| Блокировать создание WebShell для серверов | н/д | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Разное |
| Блокировка вызовов API Win32 из макросов Office | То же | 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b | Приложения для повышения производительности |
| Использование расширенной защиты от программ-шантажистов | То же | c1db55ab-c21a-4637-bb3f-a12568109d35 | Полиморфные угрозы |
Требования к правилам ASR
Правила ASR требуют, чтобы антивирус Microsoft Defender был основным антивирусным приложением на устройствах Windows:
Microsoft Defender антивирусная программа должна быть включена и в активном режиме. В частности, антивирусная программа Microsoft Defender не может находиться в одном из следующих режимов:
- Пассивный
- Пассивный режим с системой обнаружения и реагирования на конечных точках (EDR) в режиме блокировки
- Ограниченное периодическое сканирование (LPS)
- Выкл.
Дополнительные сведения о режимах Microsoft Defender Antivirus см. в статье Как Microsoft Defender Antivirus влияет на функции Defender for Endpoint.
Защита в режиме реального времени в антивирусе Microsoft Defender должна быть включена.
Облачная защита (также называется Microsoft Advanced Protection Service или MAPS) имеет решающее значение для функциональности правил ASR. Облачная защита повышает стандартную защиту в режиме реального времени и является критически важным компонентом предотвращения нарушений вредоносных программ. Некоторые правила ASR содержат специальные требования к защите, доставляемой из облака для оповещений Endpoint Detection and Response (EDR) в Defender for Endpoint и во всплывающих уведомлениях для пользователей. Дополнительные сведения см. в разделе Оповещения и уведомления в результате действий правил ASR.
По той же причине ваша среда должна разрешать подключения к облачной службе Microsoft Defender антивирусной программы.
Microsoft Defender версии компонентов антивирусной программы должны быть не более чем на две версии старше самой доступной версии:
- Версия обновления платформы: обновляется ежемесячно.
- Версия MEngine: обновляется ежемесячно.
- Аналитика безопасности. Корпорация Майкрософт постоянно обновляет аналитику безопасности (также известные как определения и сигнатуры) для устранения последних угроз и уточнения логики обнаружения.
Поддержание версий Microsoft Defender Antivirus в актуальном состоянии помогает сократить количество ложных срабатываний правил ASR и улучшить возможности обнаружения Microsoft Defender Antivirus. Дополнительные сведения о текущих версиях и способах обновления различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.
Хотя правила ASR не требуют Microsoft 365 E5, корпорация Майкрософт рекомендует использовать возможности безопасности E5 или эквивалентных подписок, чтобы воспользоваться следующими расширенными возможностями управления:
- Мониторинг, аналитика и рабочие процессы в Defender for Endpoint.
- Возможности создания отчетов и настройки на портале Microsoft Defender XDR.
Дополнительные возможности управления недоступны для других лицензий (например, Windows Professional или Microsoft 365 E3). Однако вы можете разработать собственные средства мониторинга и формирования отчетов на основе событий правил ASR, которые регистрируются в средстве просмотра событий Windows на каждом устройстве (например, пересылка событий Windows).
Дополнительные сведения о лицензировании Windows см. в статье Лицензирование Windows и справочное руководство по корпоративному лицензированию Майкрософт.
Поддерживаемые операционные системы для правил ASR
Правила ASR — это компонент антивирусной программы Microsoft Defender, доступный в любом выпуске Windows, который включает в себя антивирусную программу Microsoft Defender (например, Windows 11 home). Правила ASR можно настроить локально на отдельных устройствах с помощью PowerShell. В выпусках Pro и Enterprise можно также использовать групповую политику.
Централизованное управление, формирование отчетов и оповещения о правилах ASR в Microsoft Defender для конечных точек доступны в следующих выпусках и версиях Windows:
- Выпуски Pro и Enterprise Windows 10 или более поздней версии.
- Windows Server 2012 R2 или более поздней версии.
- Azure Local (прежнее название — Azure Stack HCI) версии 23H2 или более поздней.
Note
Правила ASR — это функция Windows. Они недоступны на устройствах Linux или macOS, даже подключенных к Microsoft Defender для конечной точки.
Дополнительные сведения о поддержке операционной системы см. в разделе Поддержка правил ASR операционной системой.
Режимы для правил ASR
Правило ASR может находиться в одном из следующих режимов, как описано в следующей таблице:
| Режим правил | Код | Описание |
|---|---|---|
|
Выкл . или Отключено |
0 | Правило ASR явно отключено. Это значение может вызвать конфликты, если одному и тому же устройству назначается одно правило ASR в разных режимах разными политиками. |
|
Блокировать или Activated |
1 | Правило ASR включено в режиме блокировки . |
|
Аудит или Режим аудита |
2 | Правило ASR включено, как если бы оно работало в режиме Block, но без выполнения каких-либо действий. Обнаружения правил ASR в режиме аудита доступны в следующих расположениях:
|
| Не настроено | 5 | Правило ASR явно не включено. Это значение функционально эквивалентно Отключено или Выкл., но без возможности возникновения конфликтов правил. |
|
Предупреждение или Warning |
6 | Правило ASR включено, как будто в режиме блокировки , но пользователи могут выбрать Разблокировать во всплывающем окне предупреждения, чтобы обойти блокировку в течение 24 часов. Через 24 часа пользователь должен снова обойти блокировку. Режим предупреждения поддерживается в Windows 10 версии 1809 (ноябрь 2018 г.) или более поздней. Правила ASR в режиме предупреждения для неподдерживаемых версий Windows фактически находятся в режиме блокировки (обход недоступен). Режим предупреждения недоступен в Microsoft Configuration Manager. Режим предупреждения имеет следующие Microsoft Defender требования к версии антивирусной программы:
Следующие правила ASR не поддерживают режим предупреждения : |
Корпорация Майкрософт рекомендует режим блокировки для стандартных правил защиты и первоначальное тестирование в режиме аудита для других правил ASR перед их активацией в режиме блокировать или предупреждать .
Многие бизнес-приложения написаны с ограниченными соображениями безопасности, и они могут действовать таким образом, чтобы они выглядели похожими на вредоносные программы. Отслеживая данные из правил ASR в режиме аудита и добавляя исключения для необходимых приложений, можно развертывать правила ASR без снижения производительности.
Прежде чем включать правила ASR в режиме блокировки , оцените их влияние в режиме аудита и рекомендациях по безопасности. Дополнительные сведения см. в разделе Тестирование правил ASR.
Методы развертывания и настройки правил ASR
Microsoft Defender для конечной точки поддерживает правила ASR, но не включает встроенный метод для развертывания параметров правил ASR на устройствах. Вместо этого вы используете отдельное средство развертывания или управления для создания и распространения политик правил ASR на устройствах. Не все методы развертывания поддерживают каждое правило ASR. Подробные сведения по каждому правилу см. в разделе Поддержка способов развертывания для правил ASR.
В следующей таблице перечислены доступные методы. Подробные инструкции по настройке см. в статье Настройка правил и исключений для сокращения направлений атак (ASR).
| Метод | Описание |
|---|---|
| политики безопасности конечных точек Microsoft Intune | Рекомендуемый метод для настройки и распространения политик правил ASR на устройствах. Требуется план Microsoft Intune 1 (входит в состав подписок, таких как Microsoft 365 E3, или доступен как отдельная надстройка). |
| Портал Microsoft Defender | Настройте правила и исключения ASR с помощью политик безопасности конечных точек на портале Microsoft Defender, используя те же политики, что и Intune. Полезно при управлении политиками безопасности конечных точек на портале Defender. |
| Пользовательские профили Microsoft Intune с OMA-URI | Альтернативный метод настройки правил ASR в Intune с помощью профилей Open Mobile Alliance — Uniform Resource (OMA-URI). |
| Любое решение MDM, использующее Policy CSP | Используйте поставщик службы конфигурации политик Windows (CSP) с любым решением MDM. |
| Microsoft Configuration Manager | Использует политику антивирусной программы Microsoft Defender в рабочей области Активы и соответствие требованиям. |
| Групповая политика | Используйте централизованную групповую политику для настройки и развертывания правил ASR на устройства, присоединенные к домену. Вы также можете настроить групповая политика локально на отдельных устройствах. |
| PowerShell | Настройте правила ASR локально на отдельных устройствах. PowerShell поддерживает все правила ASR. |
Исключения файлов и папок для правил ASR
Важно!
Исключение файлов или папок может значительно снизить защиту правил ASR. Исключенным файлам разрешено запускаться, и никакие отчеты или события, связанные с файлом, не регистрируются. Если правила ASR обнаруживают файлы, которые не должны быть обнаружены, используйте режим аудита для тестирования правила.
Вы можете исключить определенные файлы и папки из оценки правилами ASR. Даже если правило ASR определяет, что файл или папка содержит вредоносное поведение, оно не блокирует запуск исключенных файлов.
Для исключения файлов и папок из правил ASR можно использовать следующие методы:
исключения антивирусной программы Microsoft Defender. Эти исключения учитываются не во всех правилах ASR. Дополнительные сведения об исключениях в Microsoft Defender Antivirus см. в разделе Исключения в Microsoft Defender Antivirus.
Совет
Все правила ASR учитывают исключения для process в Microsoft Defender Antivirus.
Исключения глобальных правил ASR. Эти исключения применяются ко всем правилам ASR. Все методы настройки правил ASR также поддерживают настройку глобальных исключений правил ASR.
Исключения для отдельных правил ASR: Выборочно назначайте разные исключения для разных правил ASR. Только следующие методы конфигурации правил ASR также поддерживают настройку исключений для каждого правила ASR:
- групповая политика (и соответствующие параметры реестра)
- Политики безопасности конечных точек в Microsoft Intune.
- Политики безопасности конечных точек на портале Microsoft Defender
Индикаторы компрометации (IoCs). Большинство правил ASR учитывают ioCs для заблокированных файлов и заблокированных сертификатов. Дополнительные сведения о ioCs см. в статье Общие сведения о индикаторах в Microsoft Defender для конечной точки.
Применение различных типов исключений для правил ASR приведено в следующей таблице:
| Имя правила | Учитывает файл MDAV и исключения папок |
Учитывает глобальное автоматическое распознавание речи Исключения |
Учитывает правило ASR Исключения |
Учитывает IoCs для файлы |
Учитывает IoCs для Сертификаты |
|---|---|---|---|---|---|
| правила защиты Standard | |||||
| Блокировать использование уязвимых подписанных драйверов, используемых в атаках (Устройство) | Да | Да | Да | Да | Да |
| Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows | N | Да | Да | N | N |
| Блокировка сохраняемости с помощью подписки на события WMI | N | Да | Да | N | N |
| Другие правила ASR | |||||
| Запретить Adobe Reader создавать дочерние процессы | N | Да | Да | Да | Да |
| Запретить всем приложениям Office создавать дочерние процессы | Да | Да | Да | Да | Да |
| Блокировка исполняемого содержимого из почтового клиента и веб-почты | Да | Да | Да | Да | Да |
| Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия | Да | Да | Да | Да | Да |
| Блокировать выполнение потенциально запутывающихся скриптов | Да | Да | Да | Да | Да |
| Блокировать запуск загруженного исполняемого содержимого с помощью JavaScript или VBScript | Да | Да | Да | Да | Да |
| Запрет приложениям Office создавать исполняемое содержимое | N | Да | Да | Да | Да |
| Запрет приложений Office от внедрения кода в другие процессы | N | Да | Да | N | N |
| Запретить приложению Office для общения создавать дочерние процессы | N | Да | Да | Да | Да |
| Блокировать создание процессов из команд PSExec и WMI | N | Да | Да | Да | Да |
| Блокировка перезагрузки компьютера в безопасном режиме | Да | Да | Да | Да | Да |
| Блокировка недоверенных и неподписанных процессов, выполняемых с USB | Да | Да | Да | Да | Да |
| Блокировать использование скопированных или поддельных системных инструментов | Да | Да | Да | Да | Да |
| Блокировать создание WebShell для серверов | Да | Да | Да | Да | Да |
| Блокировка вызовов API Win32 из макросов Office | Да | Да | Да | Да | N |
| Использование расширенной защиты от программ-шантажистов | Да | Да | Да | Да | Да |
При добавлении исключений учитывайте следующие моменты:
Пути исключения могут использовать переменные среды и подстановочные знаки. Дополнительные сведения см. в разделе Подстановочные знаки в исключениях Microsoft Defender Antivirus.
Совет
Не используйте переменные пользовательской среды в качестве подстановочных знаков в исключениях папок и процессов. В качестве подстановочных знаков используйте только следующие типы переменных среды:
- Системные переменные среды.
- Переменные среды, применяемые к процессам, выполняющимся в качестве учетной записи NT AUTHORITY\SYSTEM.
Список системных переменных среды см. в разделе Системные переменные среды.
- Подстановочные знаки не могут указывать букву диска.
- Чтобы исключить несколько папок в пути, используйте несколько экземпляров
\*\для указания нескольких вложенных папок. Например,c:\Folder\*\*\Test. - Microsoft Configuration Manager поддерживает подстановочные знаки (
*или?). - Чтобы исключить файл, содержащий случайные символы (например, из автоматического создания файла), используйте
?символ . Например,C:\Folder\fileversion?.docx.
Исключения применяются только при запуске приложения или службы. Например, если добавить исключение для уже запущенной службы обновлений, служба обновлений продолжит активировать обнаружение правил ASR до перезапуска службы.
Конфликты политик в правилах ASR
Если одному и тому же устройству назначены две разные политики правил ASR, возможные конфликты могут возникнуть на основе следующих элементов:
- Назначаются ли одни и те же правила ASR в разных режимах.
- Имеется ли управление конфликтами.
- Является ли результат ошибкой.
Неконфликтные правила ASR не приводят к ошибкам. Применяется первое правило, а последующие неконфликтные правила объединяются в политику.
Если решение для управления мобильными устройствами (MDM) и Group Policy применяют разные параметры правил ASR к одному и тому же устройству, приоритет имеют параметры Group Policy.
Сведения о том, как обрабатываются конфликты параметров правил ASR для доступных методов развертывания в Microsoft Intune, см. в разделе Устройства, управляемые Intune.
Уведомления и оповещения для правил ASR
Когда на устройстве активируется правило ASR в режиме блокировки или предупреждения , на устройстве отображается уведомление. Вы можете настроить сведения в уведомлениях. Дополнительные сведения см. в разделе Настройка контактных данных в приложении "Безопасность Windows".
Оповещения Endpoint Detection and Response (EDR) в Defender for Endpoint создаются при срабатывании поддерживаемых правил ASR.
Подробные сведения о функциях уведомлений и оповещений см. в разделе Оповещения и уведомления от действий правил ASR.
Чтобы просмотреть активность оповещений ASR на портале Microsoft Defender и на устройствах в Просмотре событий Windows, см. статью Мониторинг активности правил уменьшения поверхности атаки (ASR).
Отслеживайте действия правила ASR
Полные сведения см. в разделе Мониторинг действия правила сокращения направлений атак (ASR).
Связанные материалы
- Руководство по развертыванию правил уменьшения поверхности атаки (ASR)
- Спланируйте развертывание правил уменьшения поверхности атаки (ASR)
- Проверьте развертывание правил уменьшения поверхности атаки (ASR)
- Включить правила уменьшения поверхности атаки (ASR)
- Управление развертыванием правил сокращения направлений атак (ASR) и мониторинг их
- Мониторинг действия правила сокращения направлений атак (ASR)
- Отчет о правилах сокращения направлений атак (ASR)
- Исключения для Microsoft Defender для конечной точки и антивируса Microsoft Defender