Ссылка на развертывание правил сокращения направлений атак (СНА)

  • Применяется к: Microsoft Defender for Endpoint Plan 2

Правила сокращения направлений атак (ASR) нацелены на опасное поведение программного обеспечения на устройствах Windows, которое злоумышленники обычно используют с помощью вредоносных программ (например, запуска сценариев, скачивающих файлы, запуска запутанных сценариев и внедрения кода в другие процессы). Дополнительные сведения о правилах ASR см. в статье Общие сведения о правилах сокращения направлений атак (ASR).

Эта статья представляет собой технический справочник по правилам ASR, который содержит следующие сведения:

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Поддержка правил ASR операционной системой

Правила ASR — это Microsoft Defender антивирусная функция, которая доступна в любом выпуске Windows, включающем антивирусную программу Microsoft Defender (например, Windows 11 Домашняя). Правила ASR можно настроить локально с помощью PowerShell или групповая политика.

В следующей таблице описана поддержка операционными системами правил ASR в Microsoft Defender для конечной точки, которая обеспечивает централизованное управление, создание отчетов и оповещений через Microsoft Intune, Microsoft Configuration Manager и портал Microsoft Defender:

Имя правила Windows 11 или более поздней версии Windows 10 Windows Server 2019 или более поздней версии Windows Server 2016* Windows Server 2012 R2*
правила защиты Standard
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство) Y 1709 или более поздней версии Y Windows Server 1803 (SAC) или более поздней версии Y
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows Y 1803 или более поздней версии Да Да Да
Блокировка сохраняемости с помощью подписки на события WMI Y 1903 или более поздней версии Windows Server 1903 (SAC) или более поздней версии Нет Нет
Другие правила ASR
Запретить Adobe Reader создавать дочерние процессы Y 1809 или более поздней версии Да Да Да
Запретить всем приложениям Office создавать дочерние процессы Y 1709 или более поздней версии Да Да Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Y 1709 или более поздней версии Да Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Y 1803 или более поздней версии Да Да Да
Блокировать выполнение потенциально запутывающихся скриптов Y 1709 или более поздней версии Да Да Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Y 1709 или более поздней версии Да Нет Нет
Запрет приложениям Office создавать исполняемое содержимое Y 1709 или более поздней версии Да Да Да
Запрет приложений Office от внедрения кода в другие процессы Y 1709 или более поздней версии Да Да Да
Запретить приложению Office для общения создавать дочерние процессы Y 1709 или более поздней версии Да Да Да
Блокировать создание процессов из команд PSExec и WMI Y 1803 или более поздней версии Да Да Да
Блокировка перезагрузки компьютера в безопасном режиме Y 1709 или более поздней версии Да Да Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Y 1709 или более поздней версии Да Да Да
Блокировать использование скопированных или олицетворенных системных средств Y 1709 или более поздней версии Да Да Да
Блокировать создание WebShell для серверов н/д н/д Только серверы Exchange Только серверы Exchange N
Блокировка вызовов API Win32 из макросов Office Y 1709 или более поздней версии н/д н/д н/д
Использование расширенной защиты от программ-шантажистов Y 1803 или более поздней версии Да Да Да

*Поддерживаемые правила ASR в Windows Server 2016 и Windows Server 2012 R2 требуют подключения с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции Windows Server 2012 R2 и 2016 в современном унифицированном решении.

Поддержка методов развертывания для правил ASR

Хотя Defender для конечной точки поддерживает правила ASR, для развертывания правил на устройствах требуется отдельная служба. Поддерживаемые методы развертывания правил ASR описаны в следующей таблице.

Имя правила Intune Диспетчер конфигураций Поставщик служб управления мобильными устройствами Централизованные групповая политика
правила защиты Standard
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство) Да Нет Да Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows Y 1802 или более поздней версии Да Да
Блокировка сохраняемости с помощью подписки на события WMI Да Нет Да Да
Другие правила ASR
Запретить Adobe Reader создавать дочерние процессы Да Нет Да Да
Запретить всем приложениям Office создавать дочерние процессы Y 1710 или более поздней версии Да Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты Y 1710 или более поздней версии Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия[1] Y 1802 или более поздней версии Да Да
Блокировать выполнение потенциально запутывающихся скриптов Y 1710 или более поздней версии Да Да
Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Y 1710 или более поздней версии Да Да
Запрет приложениям Office создавать исполняемое содержимое Y 1710 или более поздней версии Да Да
Запрет приложений Office от внедрения кода в другие процессы Y 1710 или более поздней версии Да Да
Запретить приложению Office для общения создавать дочерние процессы Да Нет Да Да
Блокировать создание процессов из команд PSExec и WMI Да Нет Да Да
Блокировка перезагрузки компьютера в безопасном режиме Да Нет Да Да
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Y 1802 или более поздней версии Да Да
Блокировать использование скопированных или олицетворенных системных средств Да Нет Да Да
Блокировать создание WebShell для серверов Да Нет Да Да
Блокировка вызовов API Win32 из макросов Office Y 1710 или более поздней версии Да Да
Использование расширенной защиты от программ-шантажистов Y 1802 или более поздней версии Да Да

Совет

Правила ASR можно также настроить локально на отдельных устройствах с помощью групповая политика или PowerShell. Все правила ASR поддерживаются обоими методами на локальных устройствах.

1 В настоящее время это правило ASR может быть недоступно в конфигурации политики INTUNE ASR из-за известной серверной проблемы. Но правило доступно с помощью других доступных методов конфигурации политики ASR или в существующих Intune политик ASR, созданных до возникновения проблемы.

Оповещения и уведомления от действий правил ASR

В следующей таблице описаны организационные и локальные оповещения, которые могут создавать активные правила ASR.

  • Значение оповещений EDR указывает, создает ли правило ASR в режиме блокировать или предупреждать оповещения об обнаружении и ответе конечной точки (EDR) в Defender для конечной точки.
  • Значение Уведомления пользователя указывает, поддерживает ли правило ASR всплывающие окна уведомлений пользователей в режиме блокировки или предупреждения (если правило поддерживает режим предупреждения ).
Имя правила Оповещения EDR Пользователь
уведомления
правила защиты Standard
Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство) Нет Да
Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows[¹] Нет Нет
Блокировка сохраняемости с помощью подписки на события WMI Да Да
Другие правила ASR
Запретить Adobe Reader создавать дочерние процессы[2] Да Да
Запретить всем приложениям Office создавать дочерние процессы Нет Да
Блокировка исполняемого содержимого из почтового клиента и веб-почты[2] Да Да
Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Нет Да
Блокировать выполнение потенциально запутывающихся скриптов Да Да
Запретить запуск скачаемого исполняемого содержимого в JavaScript или VBScript[2] Да Да
Запрет приложениям Office создавать исполняемое содержимое Нет Да
Запретить приложениям Office внедрять код в другие процессы[¹] Нет Да
Запретить приложению Office для общения создавать дочерние процессы Нет Да
Блокировать создание процессов из команд PSExec и WMI Нет Да
Блокировка перезагрузки компьютера в безопасном режиме Нет Нет
Блокировка недоверенных и неподписанных процессов, выполняемых с USB Да Да
Блокировать использование скопированных или олицетворенных системных средств Нет Да
Блокировать создание WebShell для серверов Нет Нет
Блокировка вызовов API Win32 из макросов Office Да Нет
Использование расширенной защиты от программ-шантажистов Да Да

¹ Это правило ASR не поддерживает режим предупреждения .

2 Это правило ASR в режиме блокировки или предупреждения имеет следующие дополнительные требования к уровню облачной защиты в Microsoft Defender антивирусной программы:

  • Оповещения EDR создаются только в том случае, если уровень защиты облака на устройстве имеет высокий уровень плюс или Нулевая погрешность.
  • Всплывающие окна уведомлений пользователей создаются только в том случае, если уровень защиты облака на устройстве имеет значение Высокий, Высокий плюс или Нулевой уровень.

Сведения о правиле ASR

правила защиты Standard

Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство)

Локальные приложения с достаточными привилегиями могут использовать уязвимые подписанные драйверы для получения доступа к ядру операционной системы. Уязвимые подписанные драйверы позволяют злоумышленникам отключать или обходить решения безопасности, что в конечном итоге приводит к компрометации системы.

Это правило ASR не позволяет приложениям сохранять на компьютере уязвимые драйверы с подписанными подписями. Это не препятствует загрузке существующих драйверов, уже имеющихся на компьютере.

  • имя Microsoft Intune:Block abuse of exploited vulnerable signed drivers (Device)
  • имя Microsoft Configuration Manager: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Тип действия расширенной охоты:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Зависимости: Нет

Примечание.

Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows

Примечание.

Если вы включили защиту локального центра безопасности (LSA) (рекомендуется вместе с Credential Guard):

  • Это правило ASR не является обязательным.
  • Это правило ASR не обеспечивает дополнительную защиту (правило ASR и защита LSA работают аналогичным образом).
  • Это правило ASR классифицируется как неприменимое в параметрах управления Defender для конечной точки на портале Microsoft Defender.

Это правило ASR помогает предотвратить кражу учетных данных путем блокировки службы подсистемы локального центра безопасности (LSASS). LSASS проверяет подлинность пользователей, которые выполняют вход на компьютерах Windows. Как правило, Credential Guard в Windows предотвращает попытки извлечения учетных данных из LSASS.

Многие процессы делают ненужные вызовы LSASS для получения прав доступа, которые не требуются. Это действие создает значительный шум правила ASR, но не блокирует функциональность. Например, google Chrome обновляет ненужный доступ к LSASS, так как пароли хранятся в LSASS на устройстве. Активация этого правила ASR на устройстве блокирует доступ обновлений Chrome к LSASS, но не блокирует обновление Chrome. Эти события правил ASR хороши, так как процесс обновления программного обеспечения Chrome не должен получать доступ к LSASS.

Сведения о типах прав, которые обычно запрашиваются при вызовах процесса в LSASS, см. в разделе Управление правами на доступ и безопасность процесса.

Некоторые организации не могут включить Credential Guard из-за проблем совместимости с пользовательскими драйверами смарт-карт или другими программами, которые загружаются в LSA. В таких случаях злоумышленники могут использовать такие средства, как Mimikatz, для очистки паролей и хэшей NTLM из LSASS.

Если не удается включить защиту LSA и (или) Credential Guard, это правило можно настроить для обеспечения эквивалентной защиты от вредоносных программ, предназначенных для lsass.exe.

  • имя Microsoft Intune:Block credential stealing from the Windows local security authority subsystem
  • имя Microsoft Configuration Manager:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Тип действия расширенной охоты:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

  • Это правило ASR не поддерживает режим предупреждения .
  • Это правило ASR создает большой объем событий аудита, почти все из которых можно игнорировать, если правило включено в режиме блокировки . Вы можете пропустить оценку режима аудита и перейти к развертыванию режима блокировки. Корпорация Майкрософт рекомендует начать с небольшого набора устройств и постепенно расширяться, чтобы охватить остальные.
  • Это правило ASR подавляет оповещения и всплывающие окна уведомлений пользователей для понятных процессов и повторяющихся действий блокировки.
  • Это правило ASR блокирует доступ к памяти процесса LSASS. Он не блокирует выполнение процессов. Когда это правило ASR блокирует такие процессы, как svchost.exe, это означает, что процесс блокирует доступ к памяти процесса LSASS. Часто можно спокойно игнорировать блокировку этих процессов этим правилом ASR.
  • Некоторые приложения перечисляют все запущенные процессы и пытаются открыть их с исчерпывающими разрешениями. Это правило ASR запрещает действия открытого процесса приложения и записывает сведения в журнал безопасности в Windows Просмотр событий. Это правило может создавать многочисленные шумы. Если у вас есть приложение, которое просто перечисляет LSASS, но не оказывает реального влияния на функциональные возможности, добавлять его в список исключений не нужно. Сама по себе эта запись журнала событий не обязательно указывает на вредоносную угрозу.
  • Это правило ASR имеет проблемы с синхронизацией паролей Quest Dirsync. Дополнительные сведения см. в статье Синхронизация паролей Dirsync не работает при установке Защитника Windows, ошибка: "Сбой VirtualAllocEx: 5" (4253914).
  • Это правило имеет ограниченную поддержку исключений. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.

Блокировка сохраняемости с помощью подписки на события WMI

Это правило ASR предотвращает злоупотребление WMI вредоносными программами для получения сохраняемости на устройствах.

Угрозы без файлов используют различные тактики, чтобы оставаться скрытыми, чтобы избежать появления в файловой системе и получать периодический контроль. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.

  • имя Microsoft Intune:Block persistence through WMI event subscription
  • имя Microsoft Configuration Manager: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Тип действия расширенной охоты:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Зависимости: антивирусная программа Microsoft Defender, RPC

Примечание.

  • Это правило не поддерживается при развертывании через Microsoft Intune для Windows Server 2012 R2 или Windows Server 2016 с помощью современного унифицированного решения.
  • Если вы используете Microsoft Configuration Manager, корпорация Майкрософт рекомендует тщательно протестировать это правило ASR в режиме аудита, прежде чем переходить к режиму блокировки. Клиент Configuration Manager в значительной степени зависит от WMI.
  • Это правило имеет ограниченную поддержку исключений. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.

Другие правила ASR

Запретить Adobe Reader создавать дочерние процессы

Это правило ASR предотвращает атаки, блокируя создание процессов в Adobe Reader.

Вредоносная программа может скачивать и запускать полезные данные и вырваться из Adobe Reader с помощью социальной инженерии или эксплойтов. Запретив Adobe Reader создавать дочерние процессы, вредоносная программа, которая пытается использовать Adobe Reader в качестве вектора атаки, не распространяется.

  • имя Microsoft Intune:Block Adobe Reader from creating child processes
  • имя Microsoft Configuration Manager: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Тип действия расширенной охоты:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

  • Это правило имеет ограниченную поддержку исключений. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.
  • Это правило ASR в режиме блокировки или предупреждения имеет дополнительные требования на уровне облачной защиты в Microsoft Defender антивирусной программы:
    • Оповещения EDR создаются только в том случае, если уровень защиты облака на устройстве имеет высокий уровень плюс или Нулевая погрешность.
    • Всплывающие окна уведомлений пользователей создаются только в том случае, если уровень защиты облака на устройстве имеет значение Высокий, Высокий плюс или Нулевой уровень.

Запретить всем приложениям Office создавать дочерние процессы

Это правило запрещает приложениям Office создавать дочерние процессы. Приложения Office включают Word, Excel, PowerPoint, OneNote и Access.

Создание вредоносных дочерних процессов является распространенной стратегией вредоносных программ. Вредоносная программа, которая использует Office в качестве вектора, часто запускает макросы VBA и использует код для скачивания и попытки запуска дополнительных полезных данных. Однако некоторые допустимые бизнес-приложения также могут создавать дочерние процессы в неопасных целях. Например, создание командной строки или использование PowerShell для настройки параметров реестра.

  • имя Microsoft Intune:Block all Office applications from creating child processes
  • имя Microsoft Configuration Manager:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Тип действия расширенной охоты:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

Это правило применяется только в том случае, если Office установлен в %ProgramFiles% расположениях или %ProgramFiles(x86)% (по умолчанию и C:\Program FilesC:\Program Files (x86)).

Блокировка исполняемого содержимого из почтового клиента и веб-почты

Это правило запрещает рассылку следующих типов файлов электронной почты, открытой с помощью Microsoft Outlook, Outlook.com и других популярных поставщиков веб-почты:

  • Исполняемые файлы (например, .exe, .dll или SCR).

  • Файлы скриптов (например, .ps1, VBS или .js).

  • Архив файлы (например, .zip).

  • имя Microsoft Intune:Block executable content from email client and webmail

  • имя Microsoft Configuration Manager:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Тип действия расширенной охоты:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

  • Это правило ASR в режиме блокировки или предупреждения имеет дополнительные требования на уровне облачной защиты в Microsoft Defender антивирусной программы:
    • Оповещения EDR создаются только в том случае, если уровень защиты облака на устройстве имеет высокий уровень плюс или Нулевая погрешность.
    • Всплывающие окна уведомлений пользователей создаются только в том случае, если уровень защиты облака на устройстве имеет значение Высокий, Высокий плюс или Нулевой уровень.
  • Это правило ASR имеет следующие альтернативные описания:
    • Intune (профили конфигурации):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Configuration Manager:Block executable content download from email and webmail clients
    • групповая политика:Block executable content from email client and webmail

Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия

Совет

В настоящее время это правило ASR может быть недоступно в конфигурации политики ASR Intune из-за известной серверной проблемы. Но правило доступно с помощью других доступных методов конфигурации политики ASR или в существующих Intune политик ASR, созданных до возникновения проблемы.

Это правило ASR блокирует запуск исполняемых файлов (например, .exe, .dll или SCR). Запуск ненадежных или неизвестных исполняемых файлов может быть рискованным, так как изначально не ясно, являются ли эти файлы вредоносными.

  • имя Microsoft Intune:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • имя Microsoft Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Тип действия расширенной охоты:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Зависимости: антивирусная программа Microsoft Defender, облачная защита

Примечание.

Блокировать выполнение потенциально запутывающихся скриптов

Это правило ASR обнаруживает подозрительные свойства в запутанном скрипте.

Запутывание скриптов — это распространенный метод, который авторы вредоносных программ и законные приложения используют для скрытия интеллектуальной собственности или уменьшения времени загрузки скриптов. Авторы вредоносных программ также используют маскировку, чтобы сделать вредоносный код более трудным для чтения, что препятствует тщательному контролю со стороны людей и программного обеспечения безопасности.

  • имя Microsoft Intune:Block execution of potentially obfuscated scripts
  • имя Microsoft Configuration Manager:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Тип действия расширенной охоты:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Зависимости: Microsoft Defender антивирусная программа, интерфейс проверки антивредоносного ПО (AMSI), защита от облака

Примечание.

Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript

Это правило ASR не позволяет скриптам запускать потенциально вредоносное скачаемое содержимое. Вредоносная программа, написанная на JavaScript или VBScript, часто выступает в качестве загрузчика для получения и запуска других вредоносных программ из Интернета. Хотя бизнес-приложения не распространены, иногда используют скрипты для скачивания и запуска установщиков.

  • имя Microsoft Intune:Block JavaScript or VBScript from launching downloaded executable content
  • имя Microsoft Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Тип действия расширенной охоты:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Зависимости: Microsoft Defender антивирусная программа, интерфейс проверки вредоносных программ (AMSI)

Примечание.

  • Это правило не поддерживается при развертывании через Microsoft Intune для Windows Server 2012 R2 или Windows Server 2016 с помощью современного унифицированного решения.

  • Это правило ASR в режиме блокировки или предупреждения имеет дополнительные требования на уровне облачной защиты в Microsoft Defender антивирусной программы:

    • Оповещения EDR создаются только в том случае, если уровень защиты облака на устройстве имеет высокий уровень плюс или Нулевая погрешность.
    • Всплывающие окна уведомлений пользователей создаются только в том случае, если уровень защиты облака на устройстве имеет значение Высокий, Высокий плюс или Нулевой уровень.

Запрет приложениям Office создавать исполняемое содержимое

Это правило ASR запрещает использование приложений Office (например, Word, Excel и PowerPoint) в качестве вектора для сохранения вредоносных компонентов на диске. Эти вредоносные компоненты могут выдержать перезагрузку компьютера и сохраниться в системе. Это правило защищает от этого метода сохраняемости следующим образом:

  • Блокировка доступа (открытие и выполнение) к коду, записанному на диск.

  • Блокировка выполнения ненадежных файлов, сохраненных макросами Office, которые могут выполняться в файлах Office.

  • имя Microsoft Intune:Block Office applications from creating executable content

  • имя Microsoft Configuration Manager:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Тип действия расширенной охоты:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Зависимости: антивирусная программа Microsoft Defender, RPC

Примечание.

Это правило имеет ограниченную поддержку исключений. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.

Это правило ASR не влияет на расположение установки Office.

Запрет приложений Office от внедрения кода в другие процессы

Это правило ASR блокирует попытки внедрения кода из приложений Office в другие процессы. Злоумышленники могут попытаться использовать приложения Office для переноса вредоносного кода в другие процессы путем внедрения кода, чтобы код мог маскироваться как чистый процесс. Нет известных законных бизнес-целей для использования внедрения кода.

  • имя Microsoft Intune:Block Office applications from injecting code into other processes
  • имя Microsoft Configuration Manager:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Тип действия расширенной охоты:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

  • Это правило ASR не поддерживает режим предупреждения .
  • Это правило ASR применяется к Word, Excel, OneNote и PowerPoint.
  • Это правило ASR требует перезапуска Приложения Microsoft 365 (приложений Office), чтобы изменения конфигурации вступили в силу.
  • Это правило имеет ограниченную поддержку исключений. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.
  • Это правило ASR несовместимо со следующими приложениями:
  • Это правило ASR применяется только в том случае, если Office установлен в %ProgramFiles% расположениях или %ProgramFiles(x86)% (по умолчанию и C:\Program FilesC:\Program Files (x86)).

Запретить приложению Office для общения создавать дочерние процессы

Это правило ASR запрещает Outlook создавать дочерние процессы, но по-прежнему разрешает допустимые функции Outlook. Это правило ASR защищает от:

  • Социальная инженерия атакует и предотвращает использование кода от злоупотребления уязвимостями в Outlook.

  • Правила и формы Outlook используют эксплойты , которые злоумышленники могут использовать при компрометации учетных данных пользователя.

  • имя Microsoft Intune:Block Office communication application from creating child processes

  • имя Microsoft Configuration Manager: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Тип действия расширенной охоты:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

Это правило имеет ограниченную поддержку исключений. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.

Это правило применяется только в том случае, если Office установлен в %ProgramFiles% расположениях или %ProgramFiles(x86)% (по умолчанию и C:\Program FilesC:\Program Files (x86)).

Блокировать создание процессов из команд PSExec и WMI

Важно!

Если вы используете Microsoft Configuration Manager, не используйте другие доступные методы развертывания для включения этого правила на управляемых устройствах. Клиент Configuration Manager в значительной степени зависит от WMI.

Это правило ASR блокирует выполнение процессов, созданных с помощью PsExec и WMI . PsExec и WMI могут удаленно выполнять код. Вредоносные программы могут использовать PsExec и WMI для команд и управления, а также для распространения сетевых инфекций.

  • имя Microsoft Intune:Block process creations originating from PSExec and WMI commands
  • имя Microsoft Configuration Manager: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Тип действия расширенной охоты:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

Это правило имеет ограниченную поддержку исключений. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.

Блокировка перезагрузки компьютера в безопасном режиме

Это правило ASR предотвращает часто злоупотребляющие команды, такие как bcdedit и bootcfg , перезапуск компьютеров Windows в безопасном режиме. В безопасном режиме многие продукты безопасности отключены или работают с ограниченной функциональностью. Безопасный режим позволяет злоумышленникам запускать команды незаконного изменения или выполнять и шифровать все файлы на компьютере.

Безопасный режим по-прежнему доступен вручную из среды восстановления Windows.

  • имя Microsoft Intune:Block rebooting machine in Safe Mode
  • имя Microsoft Configuration Manager: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Тип действия расширенной охоты:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

В настоящее время Управление уязвимостями Microsoft Defender не распознает это правило. В отчете о правилах сокращения направлений атаки (ASR) это правило отображается как неприменимое.

Блокировка недоверенных и неподписанных процессов, выполняемых с USB

Это правило ASR запрещает запуск неподписанных или недоверенных исполняемых файлов (например, .exe, .dll или SCR) со съемных usb-дисков, включая SD-карты.

Это правило ASR не блокирует копирование файлов с USB-диска на диск. Он блокирует запуск скопированных файлов с диска.

  • имя Microsoft Intune:Block untrusted and unsigned processes that run from USB
  • имя Microsoft Configuration Manager:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Тип действия расширенной охоты:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Зависимости: антивирусная программа Microsoft Defender

Блокировать использование скопированных или олицетворенных системных средств

Это правило ASR блокирует распространение и использование исполняемых файлов, определенных как копии (дубликаты или самозванки) системных средств Windows. Некоторые вредоносные программы могут попытаться скопировать или олицетворить системные средства Windows, чтобы избежать обнаружения или получения привилегий. Разрешение таких исполняемых файлов может привести к потенциальным атакам.

  • имя Microsoft Intune:Block use of copied or impersonated system tools
  • имя Microsoft Configuration Manager: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Тип действия расширенной охоты:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

В настоящее время Управление уязвимостями Microsoft Defender не распознает это правило. В отчете о правилах сокращения направлений атаки (ASR) это правило отображается как неприменимое.

Блокировать создание WebShell для серверов

Это правило ASR блокирует создание скриптов веб-оболочки на серверах Windows под управлением Microsoft Exchange. Скрипт веб-оболочки — это созданный скрипт, который позволяет злоумышленнику контролировать скомпрометированный сервер. Скрипт веб-оболочки может включать следующие функции:

  • Получение и выполнение вредоносных команд.

  • Скачивание и запуск вредоносных файлов.

  • Украсть и эксфильтровать учетные данные и конфиденциальную информацию.

  • Определение потенциальных целевых объектов.

  • имя Microsoft Intune:Block Webshell creation for Servers

  • имя Microsoft Configuration Manager: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Тип действия расширенной охоты: n/a

  • Зависимости: антивирусная программа Microsoft Defender

Примечание.

  • Это правило не поддерживается при развертывании через Microsoft Intune для Windows Server 2012 R2 или Windows Server 2016 с помощью современного унифицированного решения.
  • Если вы управляете правилами ASR в Microsoft Defender для конечной точки, не настраивайте эту ASR в групповая политика или других локальных параметрах (оставьте значение Not Configured). Любое другое значение (например, Enabled или Disabled) может вызвать конфликты и помешать правильному применению правила.
  • В настоящее время Управление уязвимостями Microsoft Defender не распознает это правило. В отчете о правилах сокращения направлений атаки (ASR) это правило отображается как неприменимое.

Блокировка вызовов API Win32 из макросов Office

Office Visual Basic для приложений (VBA) включает вызовы API Win32. Это правило ASR запрещает макросам VBA вызывать API Win32. Вредоносные программы могут злоупотреблять этой возможностью, например вызывать API Win32 для запуска вредоносного кода оболочки , не записывая ничего непосредственно на диск.

Большинству организаций не требуются вызовы API Win32 из макросов VBA, даже если они используют макросы другими способами.

  • имя Microsoft Intune:Block Win32 API calls from Office macros
  • имя Microsoft Configuration Manager:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Тип действия расширенной охоты:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Зависимости: Microsoft Defender антивирусная программа, интерфейс проверки вредоносных программ (AMSI)

Использование расширенной защиты от программ-шантажистов

Примечание.

Это правило ASR обеспечивает дополнительный уровень защиты от программ-шантажистов. Он использует клиентская и облачная эвристика, чтобы определить, похож ли файл на программу-шантажист. Это правило не блокирует файлы с одной или несколькими из следующих характеристик:

  • В облаке Майкрософт файл оказался невредимым.
  • Файл является допустимым подписанным файлом.
  • Файл достаточно распространен, чтобы его нельзя было считать программой-шантажистом.

Это правило не просто блокирует файлы с плохой репутацией. Вместо этого правило забвещает на стороне осторожности, а также блокирует файлы , которые еще не имеют положительной репутации. Как правило, блоки на неопасных, неизвестных файлах по этому правилу в конечном итоге разрешаются сами. Значения репутации и доверия файла постепенно увеличиваются по мере увеличения использования, не являющегося проблематичным.

Если блоки для неопасных неизвестных файлов не разрешаются своевременно, можно настроить исключение правила ASR для этого правила или использовать действие Разрешить для индикатора компрометации (IoC).

  • имя Microsoft Intune:Use advanced protection against ransomware
  • имя Microsoft Configuration Manager:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Тип действия расширенной охоты:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Зависимости: антивирусная программа Microsoft Defender, облачная защита

Связанные материалы

  • Last updated on