通过

启用攻击面减少规则

  • 适用于: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

攻击面减少规则 有助于防止恶意软件经常滥用以破坏设备和网络的作。 本文介绍如何通过以下方式启用和配置攻击面减少规则:

先决条件

若要使用攻击面减少规则的整个功能集,必须满足以下要求:

  • Microsoft Defender防病毒必须设置为主要防病毒。 它不得在被动模式下运行或被禁用。

  • 实时保护必须启用。

  • 云交付保护 必须启用 (某些规则需要云保护) 。

  • 必须具有 云保护网络连接

  • 建议:Microsoft 365 E5

    虽然攻击面减少规则不需要Microsoft 365 E5许可证,但建议将攻击面减少规则与Microsoft 365 E5许可证 (或类似的许可 SKU) 结合使用,以利用高级管理功能,包括 Defender for Endpoint 中可用的监视、分析和工作流,以及报告和配置功能Microsoft Defender XDR门户中。 虽然 E3 许可证不提供这些高级功能,但对于 E3 许可证,你仍然可以使用事件查看器来查看攻击面减少规则事件。

    如果你有另一个许可证(如 Windows 专业版或不包括高级监视和报告功能的Microsoft 365 E3),则可以在触发攻击面减少规则(例如事件转发) )时在每个终结点生成的事件 (的基础上开发自己的监视和报告工具。

    若要了解有关 Windows 许可的详细信息,请参阅Windows 10许可并获取Windows 10的批量许可指南

支持的操作系统

可以为运行以下任何 Windows 版本的设备设置攻击面减少规则:

注意

仅当 Office 可执行文件安装在系统定义的 %ProgramFiles% 或 %ProgramFiles (大多数系统上 (的 x86) % 目录下时,才会强制实施某些攻击面减少规则,%ProgramFiles% 指向 C:\Program Files) 。 如果 Office 安装在这些系统定义目录之一外的自定义路径中,则这些规则将不适用。 受影响的规则包括:

  • 阻止 Office 通信应用程序创建子进程 (26190899-1602-49e8-8b27-eb1d0a1ce869)
  • 阻止所有 Office 应用程序创建子进程 (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  • 阻止 Office 应用程序将代码注入其他进程 (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)

启用攻击面减少规则

每个攻击面减少规则包含以下四个设置之一:

  • 未配置已禁用:禁用攻击面减少规则
  • 阻止:启用攻击面减少规则
  • 审核:评估攻击面减少规则对组织(如果已启用)的影响
  • 警告:启用攻击面减少规则,但允许最终用户绕过阻止

可以使用以下任一方法启用攻击面减少规则:

建议使用企业级管理,例如Intune或Microsoft Configuration Manager。 企业级管理在启动时会覆盖任何冲突的组策略或 PowerShell 设置。

从攻击面减少规则中排除文件和文件夹

你可以排除文件和文件夹,不受大多数攻击面减少规则的评估。 这意味着,即使攻击面减少规则确定文件或文件夹包含恶意行为,也不会阻止文件运行。

重要

排除文件或文件夹可以严重削弱攻击面减少规则提供的保护。 允许运行排除的文件,并且不会记录任何报告或事件。 如果攻击面减少规则正在检测你认为不应检测到的文件,则应 首先使用审核模式来测试规则。 仅当排除的应用程序或服务启动时,才会应用排除。 例如,如果为已在运行的更新服务添加排除项,则更新服务将继续触发事件,直到该服务停止并重新启动。

添加排除项时,请记住以下几点:

如何处理策略冲突

如果通过 MDM 和 GP 应用了冲突策略,则从 组策略 应用的设置优先。

托管设备的攻击面减少规则支持合并不同策略中的设置的行为,以便为每个设备创建策略超集。 仅合并不冲突的设置,而策略冲突不会添加到规则的超集。 以前,如果两个策略包含单个设置的冲突,则这两个策略被标记为冲突,并且没有部署任何配置文件中的设置。

攻击面减少规则合并行为的工作方式如下:

  • 针对应用规则的每个设备评估以下配置文件中的攻击面减少规则:

    • 设备>配置文件>Endpoint Protection 配置文件>Microsoft Defender攻击防护>攻击面减少。 (请参阅 攻击面减少。)

    • 终结点安全性>攻击面减少策略>攻击面减少规则。 (请参阅 攻击面减少规则。)

    • 终结点安全性>安全基线>Microsoft Defender ATP 基线>攻击面减少规则。 (请参阅 攻击面减少规则。)

  • 没有冲突的设置将添加到设备的超集策略中。

  • 当两个或更多策略具有冲突设置时,冲突的设置不会添加到组合策略,而不冲突的设置将添加到适用于设备的超集策略中。

  • 仅会保留用于冲突设置的配置。

配置方法

本部分提供以下配置方法的配置详细信息:

以下启用攻击面减少规则的过程包括有关如何排除文件和文件夹的说明。

Intune

重要

如果在 Windows Server 2012 R2 上使用 Intune,并且Windows Server 2016新式统一解决方案,则需要将以下攻击面减少规则Not Configured设置为 ,因为这些 OS 版本不支持这些规则。 否则,包含针对 Windows Server 2012 R2 或Windows Server 2016的任何规则的策略将无法应用:

终结点安全策略 (首选)

  1. 选择 “终结点安全>攻击面减少”。 选择现有的攻击面减少规则或创建新规则。 若要创建新配置文件,请选择“ 创建策略 ”并输入此配置文件的信息。 对于 “配置文件类型”,请选择“ 攻击面减少规则”。 如果选择了现有配置文件,请选择 “属性” ,然后选择 “设置”。

  2. “配置设置 ”窗格中,选择“ 攻击面减少 ”,然后选择每个攻击面减少规则所需的设置。

  3. “需要保护的其他文件夹列表”、“有权访问受保护文件夹的应用列表”和“从攻击面减少规则中排除文件和路径”下,输入单个文件和文件夹。

    还可以选择“ 导入 ”以导入包含要从攻击面减少规则中排除的文件和文件夹的 CSV 文件。 CSV 文件中的每一行的格式应如下所示:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. 在三个配置窗格中选择“ 下一步 ”,如果正在创建新策略,请选择“ 创建 ”或“ 保存” (如果正在编辑现有策略)。

注意

在最新的Intune界面中,配置文件位于“设备>配置文件”下。
早期版本的Intune在“设备配置>配置文件”下显示此内容。
如果未看到旧说明中写的“配置文件”,请在“设备”菜单下查找 “配置文件 ”。

设备配置文件 (备选项 1)

  1. 选择“设备配置文件>”。 选择现有终结点保护配置文件或创建一个新配置文件。 若要创建新配置文件,请选择“ 创建配置文件 ”并输入此配置文件的信息。 对于 “配置文件类型”,请选择“ 终结点保护”。 如果选择了现有配置文件,请选择 “属性” ,然后选择 “设置”。

  2. “终结点保护 ”窗格中,选择“ Windows Defender 攻击防护”,然后选择“ 攻击面减少”。 为每个攻击面减少规则选择所需的设置。

  3. “攻击面减少例外”下,输入单个文件和文件夹。 还可以选择“ 导入 ”以导入包含要从攻击面减少规则中排除的文件和文件夹的 CSV 文件。 CSV 文件中的每一行的格式应如下所示:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. 在三个配置窗格中选择 “确定 ”。 然后,如果要创建新的终结点保护文件,请选择“ 创建 ”;如果要编辑现有终结点保护文件,请选择 “保存 ”。

Intune (替代方案 2) 中的自定义配置文件

可以使用 Microsoft Intune OMA-URI 来配置自定义攻击面减少规则。 以下过程使用规则 阻止滥用被利用的易受攻击的已签名驱动程序 的示例。

  1. 打开Microsoft Intune管理中心。 在 “主页 ”菜单中,单击“ 设备”,选择“ 配置文件”,然后单击“ 创建配置文件”。

    Microsoft Intune管理中心门户中的“创建配置文件”页。

  2. “创建配置文件”的以下两个下拉列表中,选择以下项:

    • “平台”中,选择“Windows 10及更高版本”。
    • “配置文件类型”中,选择“ 模板”。
    • 如果已通过终结点安全性设置了攻击面减少规则,请在 “配置文件类型”中选择“ 设置目录”。

  3. 选择“ 自定义”,然后选择“ 创建”。

    Microsoft Intune管理中心门户中的规则配置文件属性。

  4. 此时会打开“自定义模板”工具,以执行步骤 1“基本信息”。 在 “1 基本信息”中,在 “名称”中,键入模板的名称,在 “说明” 中,可以键入描述 (可选) 。

    Microsoft Intune管理中心门户中的基本属性

  5. 单击下一个。 步骤 2 配置设置随即 打开。 对于“OMA-URI 设置”,请单击“ 添加”。 现在会显示两个选项: “添加”“导出”。

    显示Microsoft Intune管理中心门户中的配置设置的屏幕截图。

  6. 再次单击“ 添加 ”。 此时会打开 “添加行 OMA-URI 设置 ”。 在 “添加行”中,填写以下信息:

    1. “名称”中,键入规则的名称。

    2. “说明”中,键入简短说明。

    3. OMA-URI 中,键入或粘贴要添加的规则的特定 OMA-URI 链接。 请参阅本文中的 MDM 部分,了解要用于此示例规则的 OMA-URI。 有关攻击面减少规则 GUID,请参阅 按规则说明

    4. “数据类型”中,选择“ 字符串”。

    5. “值”中,键入或粘贴 GUID 值、 \= 符号和不带空格的 State 值, (GUID=StateValue) :

      • 0:禁用 (禁用攻击面减少规则)
      • 1:阻止 (启用攻击面减少规则)
      • 2:审核 (评估攻击面减少规则对组织的影响(如果已启用)
      • 6:警告 (启用攻击面减少规则,但允许最终用户绕过阻止)

      Microsoft Intune管理中心门户中的 OMA URI 配置。

  7. 选择“保存”“添加行 ”关闭。 在 “自定义”中,选择“ 下一步”。 在步骤 3 范围标记中,范围标记是可选的。 执行下列操作之一:

    • 选择 “选择作用域标记”,选择范围标记 (可选) ,然后选择“ 下一步”。
    • 或选择“ 下一步”

  8. 在步骤 4 的“分配”中,在“ 包含的组”中,对于要应用此规则的组,请从以下选项中进行选择:

    • 添加组
    • 添加所有用户
    • 添加所有设备

    Microsoft Intune管理中心门户中的分配

  9. “排除的组”中,选择要从此规则中排除的任何组,然后选择“ 下一步”。

  10. 在步骤 5 适用于以下设置的 适用性规则 中,执行以下作:

  11. “规则”中,选择“如果为”分配配置文件“或”不分配配置文件”。

  12. “属性”中,选择要应用此规则的属性。

  13. “值”中,输入适用的值或值范围。

    Microsoft Intune管理中心门户中的适用性规则。

  14. 选择 下一步。 在步骤 6“查看 + 创建”中,查看已选择和输入的设置和信息,然后选择“ 创建”。

    显示Microsoft Intune管理中心门户中的“查看和创建”选项的屏幕截图。

规则处于活动状态,并在几分钟内生效。

注意

在冲突处理方面,如果为设备分配了两个不同的攻击面减少策略,则可能发生潜在的策略冲突,具体取决于是否为规则分配了不同的状态、冲突管理是否到位以及结果是否为错误。 非冲突规则不会导致错误,并且正确应用此类规则。 应用第一个规则,后续的不冲突规则将合并到策略中。

MDM

使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 配置服务提供程序 (CSP) 单独启用和设置每个规则的模式。

下面是一个参考示例,使用 攻击面减少规则引用的 GUID 值。

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

在审核模式下启用 (阻止) 、禁用、警告或启用的值包括:

  • 0:禁用 (禁用攻击面减少规则)
  • 1:阻止 (启用攻击面减少规则)
  • 2:审核 (评估攻击面减少规则对组织的影响(如果启用)
  • 6:警告 (启用攻击面减少规则,但允许最终用户绕过阻止) 。 警告模式适用于大多数攻击面减少规则。

使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 配置服务提供程序 (CSP) 添加排除项。

示例:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

注意

请务必输入不带空格的 OMA-URI 值。

Microsoft Configuration Manager

  1. 在“Microsoft Configuration Manager”中,转到“资产和符合性>终结点保护>”“Windows Defender 攻击防护”。

  2. 选择“ 开始>创建攻击防护策略”。

  3. 输入名称和说明,选择“ 攻击面减少”,然后选择“ 下一步”。

  4. 选择将阻止或审核作的规则,然后选择“ 下一步”。

  5. 查看设置,然后选择“ 下一步 ”以创建策略。

  6. 创建策略后,选择“关闭”。

警告

在服务器 OS 版本上,攻击面减少的适用性存在一个已知问题,该版本标记为合规,而没有任何实际强制措施。 目前,没有为修复此问题的日期定义发布日期。

重要

如果在设备上使用设置为 true 的“禁用管理员合并”,并且使用以下任何工具/方法,则添加 ASR 规则每个规则排除项或本地 ASR 规则排除项不适用。

  • Defender for Endpoint 安全设置管理 (禁用本地管理员合并)
  • Intune (禁用本地管理员合并)
  • Defender CSP (DisableLocalAdminMerge)
  • 组策略 (为列表配置本地管理员合并行为) 若要修改此行为,需要将“禁用管理员合并”更改为 false

组策略

警告

如果使用Intune、Configuration Manager或其他企业级管理平台管理计算机和设备,则管理软件在启动时会覆盖任何冲突的组策略设置。

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择编辑

  2. 策略管理编辑器中, 计算机配置 并选择 管理模板

  3. 将树展开到 Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少

  4. 选择 “配置攻击面减少规则 ”,然后选择“ 已启用”。 然后,可以在“选项”部分中为每个规则设置单独的状态。 选择“ 显示...” ,并在 “值名称 ”列中输入规则 ID,并在 “值 ”列中输入所选状态,如下所示:

    • 0:禁用 (禁用攻击面减少规则)
    • 1:阻止 (启用攻击面减少规则)
    • 2:审核 (评估攻击面减少规则对组织的影响(如果启用)
    • 6:警告 (启用攻击面减少规则,但允许最终用户绕过阻止)

    组策略中的攻击面减少规则

  5. 若要从攻击面减少规则中排除文件和文件夹,请选择“ 从攻击面减少规则中排除文件和路径 ”设置,并将选项设置为 “已启用”。 选择“ 显示 ”,并在 “值名称 ”列中输入每个文件或文件夹。 在每个项的“值”列中输入 0

    警告

    不要使用引号,因为 “值名称 ”列或“ ”列不支持引号。 规则 ID 不应有任何前导空格或尾随空格。

注意

从Windows 10版本 20H1 开始,Microsoft将 Windows Defender 防病毒 重命名为Microsoft Defender防病毒。 早期 Windows 版本上的组策略路径仍可能引用 Windows Defender 防病毒,而较新的版本显示Microsoft Defender防病毒。 这两个名称引用相同的策略位置。

PowerShell

警告

如果使用Intune、Configuration Manager或其他企业级管理平台管理计算机和设备,则管理软件在启动时会覆盖任何冲突的 PowerShell 设置。

  1. 在“开始”菜单中键入“PowerShell”,右键单击“Windows PowerShell”,并选择“以管理员身份运行”。

  2. 键入以下 cmdlet 之一。 有关详细信息(例如规则 ID),请参阅 攻击面减少规则参考

    任务 PowerShell cmdlet
    启用攻击面减少规则 Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    在审核模式下启用攻击面减少规则 Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    在警告模式下启用攻击面减少规则 Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    启用攻击面减少 阻止滥用被利用的易受攻击的已签名驱动程序 Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    关闭攻击面减少规则 Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    重要

    必须为每个规则单独指定状态,但可以在逗号分隔的列表中组合规则和状态。

    在以下示例中,启用前两个规则,禁用第三个规则,在审核模式下启用第四个规则: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    还可以使用 Add-MpPreference PowerShell 谓词向现有列表添加新规则。

    警告

    Set-MpPreference 覆盖现有规则集。 如果要添加到现有集,请改用 Add-MpPreference 。 可以使用 获取规则及其当前状态 Get-MpPreference的列表。

  3. 若要从攻击面减少规则中排除文件和文件夹,请使用以下 cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    继续使用 Add-MpPreference -AttackSurfaceReductionOnlyExclusions 向列表添加更多文件和文件夹。

    重要

    使用 Add-MpPreference 将应用追加或添加到列表。 Set-MpPreference使用 cmdlet 将覆盖现有列表。

相关内容

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender for Endpoint 技术社区

  • Last updated on