Поделиться через


Справочник по правилам сокращения направлений атак

Область применения:

Платформ:

  • Windows

В этой статье содержатся сведения о правилах сокращения направлений атак Microsoft Defender для конечной точки (правилах ASR):

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Совет

Чтобы ознакомиться с этой статьей, ознакомьтесь с руководством по настройке Microsoft Defender для конечной точки, чтобы ознакомиться с рекомендациями и узнать о таких важных средствах, как сокращение направлений атак и защита следующего поколения. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке Defender для конечной точки в Центр администрирования Microsoft 365.

Правила сокращения направлений атаки по типу

Правила сокращения направлений атаки классифицируются как один из двух типов:

  • Standard правила защиты. Это минимальный набор правил, которые корпорация Майкрософт рекомендует всегда включать при оценке влияния и конфигурации других правил ASR. Эти правила обычно оказывают минимальное или нет заметного влияния на конечного пользователя.

  • Другие правила: правила, требующие определенной меры выполнения описанных шагов развертывания [Планирование > тестирования (аудита) > Включить (режимы блокировки и предупреждения)], как описано в руководстве по развертыванию правил сокращения направлений атак.

Самый простой способ включения стандартных правил защиты см. в статье Упрощенный стандартный параметр защиты.

Имя правила ASR: Standard правило защиты? Другое правило?
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Да
Запретить Adobe Reader создавать дочерние процессы Да
Запретить всем приложениям Office создавать дочерние процессы Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Да
Блокировать выполнение потенциально запутывающихся скриптов Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Да
Запрет приложениям Office создавать исполняемое содержимое Да
Запрет приложений Office от внедрения кода в другие процессы Да
Запретить приложению Office для общения создавать дочерние процессы Да
Блокировка сохраняемости с помощью подписки на события WMI Да
Блокировать создание процессов из команд PSExec и WMI Да
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия) Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия) Да
Блокировать создание WebShell для серверов Да
Блокировка вызовов API Win32 из макросов Office Да
Использование расширенной защиты от программ-шантажистов Да

Microsoft Defender исключения антивирусной программы и правила ASR

Microsoft Defender исключения антивирусной программы применяются к некоторым возможностям Microsoft Defender для конечной точки, например к некоторым правилам сокращения направлений атак.

Следующие правила ASR НЕ учитывают исключения антивирусной программы Microsoft Defender:

Имя правил ASR:
Запретить Adobe Reader создавать дочерние процессы
Блокировать создание процессов из команд PSExec и WMI
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
Запрет приложениям Office создавать исполняемое содержимое
Запрет приложений Office от внедрения кода в другие процессы
Запретить приложению Office для общения создавать дочерние процессы

Примечание.

Сведения о настройке исключений для каждого правила см. в разделе Настройка исключений правил ASR для каждого правила раздела Тестирование правил сокращения направлений атак.

Правила ASR и индикаторы компрометации Defender для конечных точек (IOC)

Следующие правила ASR НЕ соблюдают Microsoft Defender для конечной точки индикаторов компрометации (МОК):

Имя правила ASR Описание
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Не учитывает показатели компрометации файлов или сертификатов.
Запрет приложений Office от внедрения кода в другие процессы Не учитывает показатели компрометации файлов или сертификатов.
Блокировка вызовов API Win32 из макросов Office Не учитывает показатели компрометации сертификатов.

Операционные системы, поддерживаемые правилами ASR

В следующей таблице перечислены поддерживаемые операционные системы для правил, которые в настоящее время выпущены в общедоступную версию. Правила перечислены в алфавитном порядке в этой таблице.

Примечание.

Если не указано иное, минимальная сборка Windows10 — 1709 (RS3, сборка 16299) или более поздняя; минимальная сборка Windows Server — 1809 или более поздняя. Правила сокращения направлений атак в Windows Server 2012 R2 и Windows Server 2016 доступны для устройств, подключенных с помощью современного унифицированного пакета решений. Дополнительные сведения см. в статье Новые функции Windows Server 2012 R2 и 2016 в современном унифицированном решении.

Имя правила Windows 11
и
Windows 10
Windows Server 2022
и
в Windows Server 2019;
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Да Да Да
версия 1803 (Semi-Annual Enterprise Channel) или более поздняя
Да Да
Запретить Adobe Reader создавать дочерние процессы Y
версия 1809 или более поздняя [3]
Да Да Да Да
Запретить всем приложениям Office создавать дочерние процессы Да Да Да Да Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Y
версия 1803 или более поздняя [3]
Да Да Да Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да Да Да Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Y
версия 1803 или более поздняя [3]
Да Да Да Да
Блокировать выполнение потенциально запутывающихся скриптов Да Да Да Да Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Да Да Да Нет Нет
Запрет приложениям Office создавать исполняемое содержимое Да Да Да Да Да
Запрет приложений Office от внедрения кода в другие процессы Да Да Да Да Да
Запретить приложению Office для общения создавать дочерние процессы Да Да Да Да Да
Блокировка сохраняемости с помощью подписки на события инструментария управления Windows (WMI) Y
версия 1903 (сборка 18362) или более поздняя [3]
Да Да
версия 1903 (сборка 18362) или более поздняя
Нет Нет
Блокировать создание процессов из команд PSExec и WMI Y
версия 1803 или более поздняя [3]
Да Да Да Да
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия) Да Да Да Да Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да Да Да Да Да
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия) Да Да Да Да Да
Блокировать создание WebShell для серверов Нет Да
Только роль Exchange
Y
Только роль Exchange
Y
Только роль Exchange
Y
Только роль Exchange
Блокировка вызовов API Win32 из макросов Office Да Нет Нет Нет Нет
Использование расширенной защиты от программ-шантажистов Y
версия 1803 или более поздняя [3]
Да Да Да Да

(1) Относится к современному единому решению для Windows Server 2012 и 2016. Дополнительные сведения см. в разделе Подключение серверов Windows к службе Defender для конечной точки.

(2) Для Windows Server 2016 и Windows Server 2012 R2 минимальная требуемая версия microsoft Endpoint Configuration Manager — версия 2111.

(3) Версия и номер сборки применяются только к Windows10.

Системы управления конфигурацией, поддерживаемые правилами ASR

Ссылки на сведения о версиях системы управления конфигурацией, указанные в этой таблице, приведены под этой таблицей.

Имя правила Microsoft Intune Microsoft Endpoint Configuration Manager групповая политика[1] PowerShell[1]
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Да Да Да
Запретить Adobe Reader создавать дочерние процессы Да Да Да
Запретить всем приложениям Office создавать дочерние процессы Да Да

CB 1710
Да Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Да Да

CB 1802
Да Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да Да

CB 1710
Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Да Да

CB 1802
Да Да
Блокировать выполнение потенциально запутывающихся скриптов Да Да

CB 1710
Да Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Да Да

CB 1710
Да Да
Запрет приложениям Office создавать исполняемое содержимое Да Да

CB 1710
Да Да
Запрет приложений Office от внедрения кода в другие процессы Да Да

CB 1710
Да Да
Запретить приложению Office для общения создавать дочерние процессы Да Да

CB 1710
Да Да
Блокировка сохраняемости с помощью подписки на события WMI Да Да Да
Блокировать создание процессов из команд PSExec и WMI Да Да Да
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия) Да Да Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да Да

CB 1802
Да Да
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия) Да Да Да
Блокировать создание WebShell для серверов Да Да Да
Блокировка вызовов API Win32 из макросов Office Да Да

CB 1710
Да Да
Использование расширенной защиты от программ-шантажистов Да Да

CB 1802
Да Да

(1) Вы можете настроить правила сокращения направлений атак на основе каждого правила с помощью GUID любого правила.

Сведения об оповещении и уведомлении по правилу ASR

Всплывающие уведомления создаются для всех правил в режиме блокировки. Правила в любом другом режиме не создают всплывающие уведомления.

Для правил с указанным "Состояние правила":

  • Правила ASR с \ASR Rule, Rule State\ сочетаниями используются для отображения оповещений (всплывающих уведомлений) на Microsoft Defender для конечной точки только для устройств на уровне облачного блока "Высокий".
  • Устройства, которые не на высоком уровне блока облака, не создают оповещения для каких-либо ASR Rule, Rule State комбинаций
  • Оповещения EDR создаются для правил ASR в указанных состояниях, для устройств на уровне облачного блока "High+"
  • Всплывающие уведомления происходят только в блочном режиме и для устройств на уровне облачного блока "Высокий"
Имя правила Состояние правила Оповещения EDR Всплывающие уведомления
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами Нет Да
Запретить Adobe Reader создавать дочерние процессы Блокировка Да Да
Запретить всем приложениям Office создавать дочерние процессы Нет Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) Нет Нет
Блокировка исполняемого содержимого из почтового клиента и веб-почты Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Нет Да
Блокировать выполнение потенциально запутывающихся скриптов Аудит или блокировка Y (в блочном режиме)
N (в режиме аудита)
Y (в блочном режиме)
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Блокировка Да Да
Запрет приложениям Office создавать исполняемое содержимое Нет Да
Запрет приложений Office от внедрения кода в другие процессы Нет Да
Запретить приложению Office для общения создавать дочерние процессы Нет Да
Блокировка сохраняемости с помощью подписки на события WMI Аудит или блокировка Y (в блочном режиме)
N (в режиме аудита)
Y (в блочном режиме)
Блокировать создание процессов из команд PSExec и WMI Нет Да
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия) Нет Нет
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Аудит или блокировка Y (в блочном режиме)
N (в режиме аудита)
Y (в блочном режиме)
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия) Нет Нет
Блокировать создание WebShell для серверов Нет Нет
Блокировка вызовов API Win32 из макросов Office Нет Да
Использование расширенной защиты от программ-шантажистов Аудит или блокировка Y (в блочном режиме)
N (в режиме аудита)
Y (в блочном режиме)

Матрица правил ASR для GUID

Имя правила GUID правила
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами 56a863a9-875e-4185-98a7-b882c64b5ce5
Запретить Adobe Reader создавать дочерние процессы 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Запретить всем приложениям Office создавать дочерние процессы d4f940ab-401b-4efc-aadc-ad5f3c50688a
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Блокировка исполняемого содержимого из почтового клиента и веб-почты be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия 01443614-cd74-433a-b99e-2ecdc07bfc25
Блокировать выполнение потенциально запутывающихся скриптов 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript d3e037e1-3eb8-44c8-a917-57927947596d
Запрет приложениям Office создавать исполняемое содержимое 3b576869-a4ec-4529-8536-b80a7769e899
Запрет приложений Office от внедрения кода в другие процессы 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Запретить приложению Office для общения создавать дочерние процессы 26190899-1602-49e8-8b27-eb1d0a1ce869
Блокировка сохраняемости с помощью подписки на события WMI
* Исключения файлов и папок не поддерживаются.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Блокировать создание процессов из команд PSExec и WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия) 33ddedf1-c6e0-47cb-833e-de6133960387
Блокировка недоверенных и неподписанных процессов, выполняемых с USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Блокировать использование скопированных или олицетворенных системных средств (предварительная версия) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Блокировать создание WebShell для серверов a8f5898e-1dc8-49a9-9878-85004b8a61e6
Блокировка вызовов API Win32 из макросов Office 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b
Использование расширенной защиты от программ-шантажистов c1db55ab-c21a-4637-bb3f-a12568109d35

Режимы правил ASR

  • Не настроено или отключить. Состояние, в котором правило ASR не включено или отключено. Код для этого состояния = 0.
  • Блокировать: состояние, в котором включено правило ASR. Код для этого состояния — 1.
  • Аудит. Состояние, в котором правило ASR оценивается на предмет влияния, которое оно окажет на организацию или среду, если оно включено (параметр блокировать или предупреждать). Код для этого состояния — 2.
  • Предупреждать Состояние, в котором правило ASR включено и представляет уведомление конечному пользователю, но позволяет пользователю обойти блокировку. Код для этого состояния — 6.

Режим предупреждения — это тип блочного режима, который оповещает пользователей о потенциально рискованных действиях. Пользователи могут обойти предупреждающее сообщение о блокировке и разрешить базовое действие. Пользователи могут нажать кнопку ОК , чтобы применить блок, или выбрать параметр обхода — Разблокировать — с помощью всплывающего всплывающего уведомления пользователя, созданного во время блокировки. После разблокировки предупреждения операция разрешается до следующего появления предупреждающего сообщения. В это время пользователю потребуется повторно выполнить действие.

При нажатии кнопки разрешить блок подавляется в течение 24 часов. Через 24 часа пользователю потребуется снова разрешить блокировку. Режим предупреждения для правил ASR поддерживается только для устройств RS5+ (1809+). Если обход назначается правилам ASR на устройствах с более старыми версиями, правило находится в заблокированном режиме.

Вы также можете задать правило в режиме предупреждения с помощью PowerShell, указав значение AttackSurfaceReductionRules_Actions "Предупреждение". Например:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Описания правил

Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами

Это правило не позволяет приложению записывать на диск уязвимый подписанный драйвер. В диком режиме уязвимые подписанные драйверы могут использоваться локальными приложениями, имеющими достаточные привилегии , для получения доступа к ядру. Уязвимые подписанные драйверы позволяют злоумышленникам отключать или обходить решения безопасности, что в конечном итоге приводит к компрометации системы.

Правило блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами не блокирует загрузку драйвера, уже существующего в системе.

Примечание.

Это правило можно настроить с помощью Intune OMA-URI. Сведения о настройке настраиваемых правил см. в Intune OMA-URI. Это правило также можно настроить с помощью PowerShell. Чтобы проверить драйвер, используйте этот веб-сайт для отправки драйвера для анализа.

Имя Intune:Block abuse of exploited vulnerable signed drivers

имя Configuration Manager: пока недоступно

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Тип действия расширенной охоты:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Запретить Adobe Reader создавать дочерние процессы

Это правило предотвращает атаки, блокируя создание процессов в Adobe Reader.

Вредоносная программа может скачивать и запускать полезные данные и вырваться из Adobe Reader с помощью социальной инженерии или эксплойтов. Блокируя создание дочерних процессов Adobe Reader, вредоносные программы, пытающиеся использовать Adobe Reader в качестве вектора атаки, предотвращаются.

имя Intune:Process creation from Adobe Reader (beta)

имя Configuration Manager: пока недоступно

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Тип действия расширенной охоты:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Запретить всем приложениям Office создавать дочерние процессы

Это правило запрещает приложениям Office создавать дочерние процессы. Приложения Office включают Word, Excel, PowerPoint, OneNote и Access.

Создание вредоносных дочерних процессов является распространенной стратегией вредоносных программ. Вредоносная программа, которая использует Office в качестве вектора, часто запускает макросы VBA и использует код для скачивания и попытки запуска дополнительных полезных данных. Однако некоторые законные бизнес-приложения могут также создавать дочерние процессы для неопасных целей; например, создание командной строки или использование PowerShell для настройки параметров реестра.

имя Intune:Office apps launching child processes

имя Configuration Manager:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Тип действия расширенной охоты:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows

Примечание.

Если у вас включена защита LSA и Credential Guard , это правило сокращения направлений атаки не требуется.

Это правило помогает предотвратить кражу учетных данных, заблокируя службу подсистемы локального центра безопасности (LSASS).

LSASS проверяет подлинность пользователей, которые выполняют вход на компьютере Windows. Microsoft Defender Credential Guard в Windows обычно предотвращает попытки извлечения учетных данных из LSASS. Некоторые организации не могут включить Credential Guard на всех своих компьютерах из-за проблем совместимости с пользовательскими драйверами смарт-карт или другими программами, которые загружаются в локальный центр безопасности (LSA). В таких случаях злоумышленники могут использовать такие средства, как Mimikatz, для очистки паролей и хэшей NTLM из LSASS.

По умолчанию для этого правила задано состояние блокировать. В большинстве случаев многие процессы вызывают LSASS для получения прав доступа, которые не требуются. Например, когда начальный блок из правила ASR приводит к последующему вызову меньшей привилегии, который впоследствии будет успешно выполнен. Сведения о типах прав, которые обычно запрашиваются в вызовах процесса LSASS, см. в разделе Управление правами на доступ и безопасность процесса.

Включение этого правила не обеспечивает дополнительную защиту, если включена защита LSA, так как правила ASR и защита LSA работают аналогичным образом. Однако если защита LSA не может быть включена, это правило можно настроить для обеспечения эквивалентной защиты от вредоносных программ, предназначенных для lsass.exe.

Совет

  1. События аудита ASR не создают всплывающие уведомления. Тем не менее, так как правило ASR LSASS создает большой объем событий аудита, почти все из которых можно игнорировать при включении правила в режиме блокировки, можно пропустить оценку режима аудита и перейти к развертыванию режима блокировки, начиная с небольшого набора устройств и постепенно расширяя все остальные.
  2. Правило предназначено для подавления блокировочных отчетов и всплывающих сообщений для дружественных процессов. Он также предназначен для удаления отчетов о повторяющихся блоках. Таким образом, правило хорошо подходит для включения в режиме блокировки независимо от того, включены или отключены всплывающие уведомления. 
  3. ASR в режиме предупреждения предназначен для представления пользователям всплывающего уведомления о блокировке, включающее кнопку "Разблокировать". Из-за "безопасного и игнорируемого" характера блоков ASR LSASS и их большого объема режим WARN не рекомендуется использовать для этого правила (независимо от того, включены или отключены всплывающие уведомления).

Примечание.

В этом сценарии правило ASR классифицируется как "неприменимое" в параметрах Defender для конечной точки на портале Microsoft Defender. Правило ASR для блокировки кражи учетных данных из подсистемы локального центра безопасности Windows не поддерживает режим WARN. В некоторых приложениях код перечисляет все выполняемые процессы и пытается открыть их с исчерпывающими разрешениями. Это правило запрещает открытое действие процесса приложения и записывает сведения в журнал событий безопасности. Это правило может создавать много шума. Если у вас есть приложение, которое просто перечисляет LSASS, но не оказывает реального влияния на функциональность, нет необходимости добавлять его в список исключений. Сама по себе эта запись журнала событий не обязательно указывает на вредоносную угрозу.

имя Intune:Flag credential stealing from the Windows local security authority subsystem

имя Configuration Manager:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Тип действия расширенной охоты:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Зависимости: антивирусная программа Microsoft Defender

Известные проблемы. Эти приложения и правило "Блокировать кражу учетных данных из подсистемы локального центра безопасности Windows" несовместимы:

Имя приложения Для получения сведений
Quest Dirsync Password Sync Синхронизация паролей Dirsync не работает при установке Защитника Windows, ошибка: "Сбой VirtualAllocEx: 5" (4253914)

Для получения технической поддержки обратитесь к поставщику программного обеспечения.

Блокировка исполняемого содержимого из почтового клиента и веб-почты

Это правило запрещает рассылку электронной почты, открытой в приложении Microsoft Outlook, или Outlook.com и других популярных поставщиков веб-почты распространять следующие типы файлов:

  • Исполняемые файлы (например, .exe, .dll или SCR)
  • Файлы скриптов (например, .ps1 PowerShell, VBS-файлы Visual Basic или JavaScript .js файл)

имя Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

имя Microsoft Configuration Manager:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Тип действия расширенной охоты:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Зависимости: антивирусная программа Microsoft Defender

Примечание.

Правило Блокировать исполняемое содержимое из почтового клиента и веб-почты имеет следующие альтернативные описания в зависимости от используемого приложения:

  • Intune (профили конфигурации). Выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. д.), удаленного из электронной почты (webmail/mail client) (без исключений).
  • Configuration Manager: блокировать скачивание исполняемого содержимого из клиентов электронной почты и веб-почты.
  • групповая политика. Блокировка исполняемого содержимого из почтового клиента и веб-почты.

Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия

Это правило блокирует запуск исполняемых файлов, таких как .exe, .dll или SCR. Таким образом, запуск ненадежных или неизвестных исполняемых файлов может быть рискованным, так как изначально может быть неясным, если файлы являются вредоносными.

Важно!

Чтобы использовать это правило, необходимо включить облачную защиту . Правило Блокировать выполнение исполняемых файлов, если они не соответствуют критерию распространенности, возраста или списка доверия с GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 принадлежат корпорации Майкрософт и не указаны администраторами. Это правило использует облачную защиту для регулярного обновления списка доверенных. Вы можете указать отдельные файлы или папки (используя пути к папкам или полные имена ресурсов), но нельзя указать, к каким правилам или исключениям применяются.

имя Intune:Executables that don't meet a prevalence, age, or trusted list criteria

имя Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Тип действия расширенной охоты:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Зависимости: антивирусная программа Microsoft Defender, защита от облака

Блокировать выполнение потенциально запутывающихся скриптов

Это правило обнаруживает подозрительные свойства в запутанном скрипте.

Примечание.

Скрипты PowerShell теперь поддерживаются для правила "Блокировать выполнение потенциально скрытых скриптов".

Важно!

Чтобы использовать это правило, необходимо включить облачную защиту.

Запутывание скриптов — это распространенный метод, который авторы вредоносных программ и законные приложения используют для скрытия интеллектуальной собственности или уменьшения времени загрузки скриптов. Авторы вредоносных программ также используют маскировку, чтобы сделать вредоносный код более трудным для чтения, что препятствует тщательному контролю со стороны людей и программного обеспечения безопасности.

имя Intune:Obfuscated js/vbs/ps/macro code

имя Configuration Manager:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Тип действия расширенной охоты:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Зависимости: Microsoft Defender антивирусная программа, интерфейс проверки вредоносных программ (AMSI)

Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript

Это правило не позволяет скриптам запускать потенциально вредоносное скачаемое содержимое. Вредоносная программа, написанная на JavaScript или VBScript, часто выступает в качестве загрузчика для получения и запуска других вредоносных программ из Интернета. Хотя бизнес-приложения не распространены, иногда используют скрипты для скачивания и запуска установщиков.

имя Intune:js/vbs executing payload downloaded from Internet (no exceptions)

имя Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Тип действия расширенной охоты:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Зависимости: антивирусная программа Microsoft Defender, AMSI

Запрет приложениям Office создавать исполняемое содержимое

Это правило запрещает приложениям Office, включая Word, Excel и PowerPoint, создавать потенциально вредоносное исполняемое содержимое, блокируя запись вредоносного кода на диск. Вредоносная программа, которая злоупотребляет Office в качестве вектора, может попытаться выйти из Office и сохранить вредоносные компоненты на диске. Эти вредоносные компоненты выживут после перезагрузки компьютера и сохранятся в системе. Таким образом, это правило защищает от общего метода сохраняемости. Это правило также блокирует выполнение ненадежных файлов, которые могли быть сохранены макросами Office, которые могут выполняться в файлах Office.

имя Intune:Office apps/macros creating executable content

имя Configuration Manager:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Тип действия расширенной охоты:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Зависимости: антивирусная программа Microsoft Defender, RPC

Запрет приложений Office от внедрения кода в другие процессы

Это правило блокирует попытки внедрения кода из приложений Office в другие процессы.

Примечание.

Правило ASR блокировать внедрение кода приложений в другие процессы не поддерживает режим WARN.

Важно!

Это правило требует перезапуска Приложения Microsoft 365 (приложения Office), чтобы изменения конфигурации вступили в силу.

Злоумышленники могут попытаться использовать приложения Office для переноса вредоносного кода в другие процессы путем внедрения кода, чтобы код мог маскироваться как чистый процесс. Нет известных законных бизнес-целей для использования внедрения кода.

Это правило применяется к Word, Excel, OneNote и PowerPoint.

имя Intune:Office apps injecting code into other processes (no exceptions)

имя Configuration Manager:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Тип действия расширенной охоты:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Зависимости: антивирусная программа Microsoft Defender

Известные проблемы. Эти приложения и правило "Запретить приложениям Office внедрять код в другие процессы" несовместимы:

Имя приложения Для получения сведений
Avecto (BeyondTrust) Privilege Guard Сентябрь 2024 г. (платформа: 4.18.24090.11 | Двигатель 1.1.24090.11).
Безопасность Хеймдала н/д

Для получения технической поддержки обратитесь к поставщику программного обеспечения.

Запретить приложению Office для общения создавать дочерние процессы

Это правило запрещает Outlook создавать дочерние процессы, но по-прежнему разрешает допустимые функции Outlook. Это правило защищает от атак социальной инженерии и предотвращает использование кода от злоупотребления уязвимостями в Outlook. Он также защищает от правил и форм Outlook, которые злоумышленники могут использовать при компрометации учетных данных пользователя.

Примечание.

Это правило блокирует подсказки политики защиты от потери данных и подсказки в Outlook. Это правило применяется только к Outlook и Outlook.com.

имя Intune:Process creation from Office communication products (beta)

имя Configuration Manager: Недоступно

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Тип действия расширенной охоты:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировка сохраняемости с помощью подписки на события WMI

Это правило не дает вредоносным программам использовать инструментарий WMI для сохранения на устройстве.

Важно!

Исключения файлов и папок не применяются к этому правилу сокращения направлений атак.

Бесфайловые угрозы реализуют различные тактики, чтобы оставаться скрытыми, избегать обнаружения в файловой системе и иметь возможность периодически выполняться. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.

Примечание.

Если CcmExec.exe на устройстве обнаружен (агент SCCM), правило ASR классифицируется как "неприменимое" в параметрах Defender для конечной точки на портале Microsoft Defender.

имя Intune:Persistence through WMI event subscription

имя Configuration Manager: Недоступно

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Тип действия расширенной охоты:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Зависимости: антивирусная программа Microsoft Defender, RPC

Блокировать создание процессов из команд PSExec и WMI

Это правило блокирует выполнение процессов, созданных с помощью PsExec и WMI . Как PsExec, так и WMI могут удаленно выполнять код. Существует риск того, что вредоносные программы злоупотребляют функциями PsExec и WMI для целей управления и управления, а также для распространения инфекции по сети организации.

Предупреждение

Используйте это правило, только если вы управляете устройствами с помощью Intune или другого решения MDM. Это правило несовместимо с управлением через конечную точку Майкрософт Configuration Manager, так как оно блокирует команды WMI, которые Configuration Manager клиент использует для правильной работы.

имя Intune:Process creation from PSExec and WMI commands

имя Configuration Manager: неприменимо

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Тип действия расширенной охоты:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировка перезагрузки компьютера в безопасном режиме (предварительная версия)

Это правило запрещает выполнение команд для перезапуска компьютеров в безопасном режиме. Безопасный режим — это режим диагностики, который загружает только основные файлы и драйверы, необходимые для запуска Windows. Однако в безопасном режиме многие продукты безопасности либо отключены, либо работают в ограниченной емкости, что позволяет злоумышленникам запускать команды незаконного изменения или просто выполнять и шифровать все файлы на компьютере. Это правило блокирует такие атаки, не позволяя процессам перезапускать компьютеры в безопасном режиме.

Примечание.

Сейчас эта возможность доступна в предварительной версии. В процессе разработки находятся дополнительные обновления для повышения эффективности.

Имя Intune:[PREVIEW] Block rebooting machine in Safe Mode

имя Configuration Manager: пока недоступно

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Тип действия расширенной охоты:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Зависимости: антивирусная программа Microsoft Defender

Блокировка недоверенных и неподписанных процессов, выполняемых с USB

С помощью этого правила администраторы могут запретить запуск неподписанных или недоверенных исполняемых файлов со съемных USB-дисков, включая SD-карты. К заблокированным типам файлов относятся исполняемые файлы (например, .exe, .dll или SCR).

Важно!

Файлы, скопированные с USB на диск, будут заблокированы этим правилом, если и когда оно будет выполнено на диске.

имя Intune:Untrusted and unsigned processes that run from USB

имя Configuration Manager:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Тип действия расширенной охоты:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Зависимости: антивирусная программа Microsoft Defender

Блокировать использование скопированных или олицетворенных системных средств (предварительная версия)

Это правило блокирует использование исполняемых файлов, которые определены как копии системных средств Windows. Эти файлы являются либо дубликатами, либо импонаторами исходных системных средств. Некоторые вредоносные программы могут пытаться копировать или олицетворять системные средства Windows, чтобы избежать обнаружения или получения привилегий. Разрешение таких исполняемых файлов может привести к потенциальным атакам. Это правило предотвращает распространение и выполнение таких дубликатов и самозваников системных средств на компьютерах Windows.

Примечание.

Сейчас эта возможность доступна в предварительной версии. В процессе разработки находятся дополнительные обновления для повышения эффективности.

Имя Intune:[PREVIEW] Block use of copied or impersonated system tools

имя Configuration Manager: пока недоступно

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Тип действия расширенной охоты:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Зависимости: антивирусная программа Microsoft Defender

Блокировать создание WebShell для серверов

Это правило блокирует создание скрипта веб-оболочки в Microsoft Server с ролью Exchange. Скрипт веб-оболочки — это специально созданный скрипт, который позволяет злоумышленнику контролировать скомпрометированный сервер. Веб-оболочка может включать такие функции, как получение и выполнение вредоносных команд, скачивание и выполнение вредоносных файлов, кража и извлечение учетных данных и конфиденциальной информации, определение потенциальных целевых объектов и т. д.

имя Intune:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Зависимости: антивирусная программа Microsoft Defender

Блокировка вызовов API Win32 из макросов Office

Это правило запрещает макросам VBA вызывать API Win32. Office VBA включает вызовы API Win32. Вредоносные программы могут злоупотреблять этой возможностью, например вызывать API Win32 для запуска вредоносного кода оболочки , не записывая ничего непосредственно на диск. Большинство организаций не полагаются на возможность вызова API Win32 в повседневной работе, даже если они используют макросы другими способами.

имя Intune:Win32 imports from Office macro code

имя Configuration Manager:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Тип действия расширенной охоты:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Зависимости: антивирусная программа Microsoft Defender, AMSI

Использование расширенной защиты от программ-шантажистов

Это правило обеспечивает дополнительный уровень защиты от программ-шантажистов. Он использует клиентская и облачная эвристика, чтобы определить, похож ли файл на программу-шантажист. Это правило не блокирует файлы с одной или несколькими из следующих характеристик:

  • Файл уже найден невредимым в облаке Майкрософт.
  • Файл является допустимым подписанным файлом.
  • Файл достаточно распространен, чтобы его нельзя было считать программой-шантажистом.

Правило имеет тенденцию к забвениям на стороне осторожности для предотвращения программ-шантажистов.

Примечание.

Чтобы использовать это правило, необходимо включить облачную защиту .

имя Intune:Advanced ransomware protection

имя Configuration Manager:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Тип действия расширенной охоты:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Зависимости: антивирусная программа Microsoft Defender, защита от облака

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.