Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Informationen zu Microsoft Defender for Endpoint Regeln zur Verringerung der Angriffsfläche (ASR-Regeln):
- Unterstützte Betriebssystemversionen von ASR-Regeln
- Von ASR-Regeln unterstützte Konfigurationsverwaltungssysteme
- Warnungs- und Benachrichtigungsdetails pro ASR-Regel
- ASR-Regel zu GUID-Matrix
- ASR-Regelmodi
- Beschreibungen pro Regel
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Tipp
Als Ergänzung zu diesem Artikel lesen Sie unseren Microsoft Defender for Endpoint Einrichtungsleitfaden, um sich mit bewährten Methoden vertraut zu machen und wichtige Tools wie die Verringerung der Angriffsfläche und den Schutz der nächsten Generation zu erfahren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden für die automatisierte Einrichtung von Defender für Endpunkt zugreifen.
Voraussetzungen
Unterstützte Betriebssysteme
- Windows
Regeln zur Verringerung der Angriffsfläche nach Typ
Regeln zur Verringerung der Angriffsfläche werden als einer von zwei Typen kategorisiert:
Standard Schutzregeln: Sind die Mindestregelsätze, die Microsoft empfiehlt, immer zu aktivieren, während Sie die Auswirkungen und Konfigurationsanforderungen der anderen ASR-Regeln auswerten. Diese Regeln haben in der Regel minimale bis gar keine spürbaren Auswirkungen auf den Endbenutzer.
Andere Regeln: Regeln, bei denen die dokumentierten Bereitstellungsschritte [Plan > Test (Audit) Enable (Block/Warn-Modi)] > befolgt werden müssen, wie im Bereitstellungsleitfaden für Regeln zur Verringerung der Angriffsfläche dokumentiert.
Die einfachste Methode zum Aktivieren der Standardschutzregeln finden Sie unter Vereinfachte Standardschutzoption.
| ASR-Regelname | Standard Schutz Regel? |
Andere Regel? |
|---|---|---|
| Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern | Ja | |
| Blockieren der Erstellung untergeordneter Prozesse durch Adobe Reader¹ | Ja | |
| Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern | Ja | |
| Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität (lsass.exe)¹ ² | Ja | |
| Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | Ja | |
| Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium. | Ja | |
| Ausführung potenziell verborgener Skripts blockieren | Ja | |
| JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern | Ja | |
| Blockieren der Erstellung ausführbarer Inhalte durch Office-Anwendungen¹ | Ja | |
| Blockieren der Einschleusung von Code in andere Prozesse durch Office-Anwendungen¹ ² | Ja | |
| Blockieren der Office-Kommunikationsanwendung am Erstellen untergeordneter Prozesse¹ | Ja | |
| Persistenz durch WMI-Ereignisabonnement blockieren | Ja | |
| Blockieren von Prozesserstellungen aus PSExec- und WMI-Befehlen¹ | Ja | |
| Neustart des Computers im abgesicherten Modus blockieren | Ja | |
| Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | Ja | |
| Blockieren der Verwendung kopierter oder imitierter Systemtools | Ja | |
| Webshellerstellung für Server blockieren | Ja | |
| Win32-API-Aufrufe von Office-Makros blockieren⁴ | Ja | |
| Erweiterten Schutz vor Ransomware verwenden | Ja |
¹ Diese ASR-Regel berücksichtigt nicht Microsoft Defender Antivirus-Ausschlüsse. Informationen zum Konfigurieren von ASR-Ausschlüssen pro Regel finden Sie unter Konfigurieren der Verringerung der Angriffsfläche pro Regel.
² Diese ASR-Regel berücksichtigt nicht Microsoft Defender for Endpoint Indicators of Compromise (IOC) für Dateien oder Zertifikate.
Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Richtlinienkonfiguration der Intune Angriffsfläche zur Verringerung der Angriffsfläche verfügbar. Die Regel ist jedoch weiterhin vorhanden und steht über andere Methoden zur Verfügung. Beispielsweise Microsoft Defender for Endpoint Sicherheitseinstellungenverwaltung, Konfigurationsdienstanbieter (Configuration Service Provider, CSP), Add-MpPreference oder vorhandene Intune ASR-Richtlinienkonfiguration in Regeln, die vor dem Problem erstellt wurden.
⁴ Diese ASR-Regel berücksichtigt nicht Microsoft Defender for Endpoint Gefährdungsindikatoren (Indicators of Compromise, IOC) für Zertifikate.
Unterstützte Betriebssysteme für ASR-Regeln
In der folgenden Tabelle sind die unterstützten Betriebssysteme für Regeln aufgeführt, die derzeit für die allgemeine Verfügbarkeit freigegeben sind. Die Regeln sind in dieser Tabelle in alphabetischer Reihenfolge aufgeführt.
Hinweis
Sofern nicht anders angegeben, ist die mindeste Windows 10 Build Version 1709 (RS3, Build 16299) oder höher; die Mindestversion Windows Server Build ist Version 1809 oder höher. Regeln zur Verringerung der Angriffsfläche in Windows Server 2012 R2 und Windows Server 2016 sind für Geräte verfügbar, die mithilfe des modernen einheitlichen Lösungspakets integriert wurden. Weitere Informationen finden Sie unter Neue Windows Server 2012 R2- und 2016-Funktionalität in der modernen einheitlichen Lösung.
*Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Konfiguration der Intune Richtlinie zur Verringerung der Angriffsfläche verfügbar. Die Regel ist jedoch weiterhin vorhanden und steht über andere Methoden zur Verfügung. Beispiel: Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen, Konfigurationsdienstanbieter (Configuration Service Provider, CSP), Add-MpPreference oder vorhandene Intune ASR-Richtlinienkonfiguration in Regeln, die vor dem Problem erstellt wurden).
Hinweis
- Informationen zu Windows Server 2012 R2 und Windows Server 2016 finden Sie unter Onboarding von Windows Server 2016 und Windows Server 2012 R2.
- Wenn Sie Configuration Manager verwenden, ist die mindestens erforderliche Version von Microsoft Endpoint Configuration Manager Version 2111.
Von ASR-Regeln unterstützte Konfigurationsverwaltungssysteme
Links zu Informationen zu Versionen des Konfigurationsverwaltungssystems, auf die in dieser Tabelle verwiesen wird, sind unterhalb dieser Tabelle aufgeführt.
(1) Sie können Regeln zur Verringerung der Angriffsfläche auf Regelbasis konfigurieren, indem Sie die GUID einer beliebigen Regel verwenden.
*Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Konfiguration der Intune Richtlinie zur Verringerung der Angriffsfläche verfügbar. Die Regel ist jedoch weiterhin vorhanden und steht über andere Methoden zur Verfügung. Beispiel: Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen, Konfigurationsdienstanbieter (Configuration Service Provider, CSP), Add-MpPreference oder vorhandene Intune ASR-Richtlinienkonfiguration in Regeln, die vor dem Problem erstellt wurden).
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM ist jetzt Microsoft Configuration Manager.
Warnungs- und Benachrichtigungsdetails pro ASR-Regel
Popupbenachrichtigungen werden für alle Regeln im Blockierungsmodus generiert. Regeln in einem anderen Modus generieren keine Popupbenachrichtigungen.
Für Regeln mit dem angegebenen "Regelzustand" gilt Folgendes:
- ASR-Regeln mit
\ASR Rule, Rule State\Kombinationen werden verwendet, um Warnungen (Popupbenachrichtigungen) auf Microsoft Defender for Endpoint nur für Geräte anzuzeigen, die auf CloudblockebeneHighfestgelegt sind. - Geräte, die nicht auf Cloudblockebene
Highfestgelegt sind, generieren keine Warnungen für KombinationenASR Rule, Rule State. - EDR-Warnungen (Endpoint Detection and Response) werden für ASR-Regeln in den angegebenen Zuständen für Geräte generiert, die auf Cloudblockebene
High+festgelegt sind. - Popupbenachrichtigungen erfolgen nur im Blockmodus und für Geräte, die auf Cloudblockebene
Highfestgelegt sind.
*Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Konfiguration der Intune Richtlinie zur Verringerung der Angriffsfläche verfügbar. Die Regel ist jedoch weiterhin vorhanden und steht über andere Methoden zur Verfügung. Beispiel: Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen, Konfigurationsdienstanbieter (Configuration Service Provider, CSP), Add-MpPreference oder vorhandene Intune ASR-Richtlinienkonfiguration in Regeln, die vor dem Problem erstellt wurden).
ASR-Regel zu GUID-Matrix
| Regelname | Regel-GUID |
|---|---|
| Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Adobe Reader am Erstellen von untergeordneten Prozessen hindern | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Ausführung potenziell verborgener Skripts blockieren | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern | d3e037e1-3eb8-44c8-a917-57927947596d |
| Office-Anwendungen am Erstellen ausführbarer Inhalte hindern | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Persistenz durch WMI-Ereignisabonnement blockieren * Datei- und Ordnerausschlüsse werden nicht unterstützt. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Neustart des Computers im abgesicherten Modus blockieren | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Blockieren der Verwendung kopierter oder imitierter Systemtools | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Webshellerstellung für Server blockieren | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Win32-API-Aufrufe von Office-Makros blockieren | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Erweiterten Schutz vor Ransomware verwenden | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Konfiguration der Intune Richtlinie zur Verringerung der Angriffsfläche verfügbar. Die Regel ist jedoch weiterhin vorhanden und steht über andere Methoden zur Verfügung. Beispiel: Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen, Konfigurationsdienstanbieter (Configuration Service Provider, CSP), Add-MpPreference oder vorhandene Intune ASR-Richtlinienkonfiguration in Regeln, die vor dem Problem erstellt wurden).
ASR-Regelmodi
| Regelmodus | Code | Beschreibung |
|---|---|---|
| Nicht konfiguriert oder deaktiviert | 0 | Die ASR-Regel ist nicht aktiviert oder deaktiviert. |
| Blockieren | 1 | Die ASR-Regel ist im Blockmodus aktiviert. |
| Überwachung | 2 | Die ASR-Regel wird auf die Auswirkungen auf die Umgebung ausgewertet, wenn sie im Modus Blockieren oder Warn aktiviert ist. |
| Warnen | 6 | Die ASR-Regel ist aktiviert und zeigt dem Benutzer eine Benachrichtigung an, aber der Benutzer kann den Block umgehen. |
Warn ist ein Blocktyp, der Benutzer über ein Warn-Popup vor potenziell riskanten Aktionen warnt. Benutzer können OK auswählen, um den Block zu erzwingen, oder Blockierung aufheben auswählen, um den Block für die nächsten 24 Stunden zu umgehen. Nach 24 Stunden muss der Benutzer den Block erneut zulassen.
Der Warnmodus für ASR-Regeln wird nur in Windows 10 Version 1809 oder höher unterstützt. Ältere Versionen von Windows 10, denen eine Warnmodusregel zugewiesen ist, befinden sich effektiv im Blockmodus.
In PowerShell können Sie eine ASR-Regel im Warnmodus erstellen, indem Sie den Parameter AttackSurfaceReductionRules_Actions mit dem Wert Warnangeben. Zum Beispiel:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Beschreibungen pro Regel
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern
Hinweis
Um Ihre Umgebung vor anfälligen Treibern zu schützen, sollten Sie zunächst die folgenden Methoden implementieren:
- Für Windows 10 oder höher, Windows Server 2016 oder höher, die Microsoft App Control for Business verwenden, sollten Sie standardmäßig alle Treiber blockieren und nur Treiber zulassen, die Sie für notwendig halten und nicht als anfällig bekannt sind.
- Für Windows 8.1 oder älter, Windows Server 2012 R2 oder älter, sollten Sie mit Microsoft AppLocker standardmäßig alle Treiber blockieren und nur Treiber zulassen, die Sie für notwendig halten und nicht als anfällig bekannt sind.
- Für Windows 11 oder höher und Windows Server Core 1809 oder höher oder Windows Server 2019 oder höher sollten Sie auch die Sperrliste für anfällige Microsoft Windows-Treiber aktivieren. Anschließend sollten Sie als weitere Verteidigungsebene diese Regel zur Verringerung der Angriffsfläche aktivieren.
Diese Regel verhindert, dass eine Anwendung einen anfälligen signierten Treiber auf den Datenträger schreibt. Lokale Anwendungen mit ausreichenden Berechtigungen können anfällige signierte Treiber ausnutzen, um Zugriff auf den Kernel zu erhalten. Anfällige signierte Treiber ermöglichen es Angreifern, Sicherheitslösungen zu deaktivieren oder zu umgehen, was schließlich zu einer Kompromittierung des Systems führt.
Die Regel Missbrauch von exploited vulnerablen signierten Treibern blockieren verhindert nicht, dass ein Treiber, der bereits auf dem System vorhanden ist, geladen wird.
Hinweis
Sie können diese Regel mit Intune OMA-URI konfigurieren. Informationen zum Konfigurieren benutzerdefinierter Regeln finden Sie unter Intune OMA-URI. Sie können diese Regel auch mithilfe von PowerShell konfigurieren. Um einen Treiber untersuchen zu lassen, verwenden Sie diese Website, um einen Treiber zur Analyse zu übermitteln.
Intune Name:Block abuse of exploited vulnerable signed drivers
Configuration Manager Name: Noch nicht verfügbar
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Aktionstyp "Erweiterte Suche":
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Adobe Reader am Erstellen von untergeordneten Prozessen hindern
Diese Regel verhindert Angriffe, indem Adobe Reader daran gehindert wird, Prozesse zu erstellen.
Schadsoftware kann Nutzlasten herunterladen und starten und durch Social Engineering oder Exploits aus Adobe Reader ausbrechen. Indem Adobe Reader daran gehindert wird, untergeordnete Prozesse zu generieren, wird die Verbreitung von Schadsoftware, die versucht, Adobe Reader als Angriffsvektor zu verwenden, verhindert.
Intune Name:Process creation from Adobe Reader (beta)
Configuration Manager Name: Noch nicht verfügbar
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Aktionstyp "Erweiterte Suche":
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
Diese Regel verhindert, dass Office-Apps untergeordnete Prozesse erstellen. Office-Apps umfassen Word, Excel, PowerPoint, OneNote und Access.
Das Erstellen bösartiger untergeordneter Prozesse ist eine gängige Schadsoftwarestrategie. Schadsoftware, die Office als Vektor missbraucht, führt häufig VBA-Makros aus und nutzt Code aus, um weitere Nutzlasten herunterzuladen und auszuführen. Einige legitime Branchenanwendungen können jedoch auch untergeordnete Prozesse für harmlose Zwecke generieren. Beispiel: Erstellen einer Eingabeaufforderung oder Verwenden von PowerShell zum Konfigurieren von Registrierungseinstellungen.
Intune Name:Office apps launching child processes
Configuration Manager Name:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Aktionstyp "Erweiterte Suche":
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
Hinweis
Wenn Sie den LSA-Schutz aktiviert haben, ist diese Regel zur Verringerung der Angriffsfläche nicht erforderlich. Für einen sichereren Status wird auch empfohlen, Credential Guard mit dem LSA-Schutz zu aktivieren.
Wenn der LSA-Schutz aktiviert ist, wird die ASR-Regel in den Defender für Endpunkt-Verwaltungseinstellungen im Microsoft Defender-Portal als nicht zutreffend klassifiziert.
Diese Regel trägt dazu bei, den Diebstahl von Anmeldeinformationen zu verhindern, indem der Lokale Sicherheitsautoritätssubsystemdienst (LSASS) gesperrt wird.
LSASS authentifiziert Benutzer, die sich auf einem Windows-Computer anmelden. Credential Guard unter Windows verhindert normalerweise Versuche, Anmeldeinformationen aus LSASS zu extrahieren. Einige Organisationen können Credential Guard aufgrund von Kompatibilitätsproblemen mit benutzerdefinierten Smartcardtreibern oder anderen Programmen, die in die lokale Sicherheitsautorität (LSA) geladen werden, nicht auf allen Computern aktivieren. In diesen Fällen können Angreifer Tools wie Mimikatz verwenden, um Klartextkennwörter und NTLM-Hashes aus LSASS abzulesen.
Standardmäßig ist der Status dieser Regel auf nicht konfiguriert (deaktiviert) festgelegt. In den meisten Fällen rufen viele Prozesse LSASS auf, um Zugriffsrechte zu erhalten, die nicht benötigt werden. Beispielsweise, wenn der anfängliche Block aus der ASR-Regel zu einem nachfolgenden Aufruf für eine geringere Berechtigung führt, die erfolgreich ist. Informationen zu den Arten von Rechten, die in der Regel bei Prozessaufrufen an LSASS angefordert werden, finden Sie unter Prozesssicherheit und Zugriffsrechte.
Das Aktivieren dieser Regel bietet keinen zusätzlichen Schutz, wenn Sie den LSA-Schutz aktiviert haben, da die ASR-Regel und der LSA-Schutz ähnlich funktionieren. Wenn Sie den LSA-Schutz jedoch nicht aktivieren können, können Sie diese Regel so konfigurieren, dass sie einen gleichwertigen Schutz vor Schadsoftware bietet, die auf abzielt lsass.exe.
Tipp
- ASR-Überwachungsereignisse generieren keine Popupbenachrichtigungen. Die LSASS-ASR-Regel erzeugt eine große Menge von Überwachungsereignissen, von denen fast alle sicher ignoriert werden können, wenn die Regel im Blockmodus aktiviert ist. Sie können die Auswertung des Überwachungsmodus überspringen und mit der Bereitstellung im Blockmodus fortfahren. Wir empfehlen, mit einer kleinen Gruppe von Geräten zu beginnen und schrittweise zu erweitern, um den Rest abzudecken.
- Die Regel ist so konzipiert, dass Blockberichte/Popups für benutzerfreundliche Prozesse unterdrückt werden. Es ist auch so konzipiert, dass Berichte für doppelte Blöcke gelöscht werden. Daher eignet sich die Regel gut für die Aktivierung im Blockmodus, unabhängig davon, ob Popupbenachrichtigungen aktiviert oder deaktiviert sind.
- ASR im Warnmodus ist so konzipiert, dass Benutzern eine Block-Popupbenachrichtigung angezeigt wird, die eine Schaltfläche "Blockierung aufheben" enthält. Aufgrund des "sicher zu ignorierenden" Charakters von LSASS-ASR-Blöcken und ihrer großen Menge ist der WARN-Modus für diese Regel nicht ratsam (unabhängig davon, ob Popupbenachrichtigungen aktiviert oder deaktiviert sind).
- Diese Regel soll verhindern, dass die Prozesse auf LSASS.EXE Prozessspeicher zugreifen. Es verhindert nicht, dass sie ausgeführt werden. Wenn Prozesse wie svchost.exe blockiert werden, wird nur der Zugriff auf den LSASS-Prozessspeicher blockiert. So können svchost.exe und andere Prozesse sicher ignoriert werden. Die einzige Ausnahme ist in den folgenden bekannten Problemen.
Hinweis
In diesem Szenario wird die ASR-Regel in den Defender für Endpunkt-Einstellungen im Microsoft Defender-Portal als "nicht zutreffend" klassifiziert.
Die ASR-Regel Block credential stealing from the Windows local security authority subsystem (Asr) blockiert den Warnmodus nicht.
In einigen Apps listet der Code alle ausgeführten Prozesse auf und versucht, sie mit vollständigen Berechtigungen zu öffnen. Diese Regel verweigert die Aktion zum Öffnen des App-Prozesses und protokolliert die Details im Sicherheitsereignisprotokoll. Diese Regel kann zu zahlreichen Rauschen führen. Wenn Sie über eine App verfügen, die LSASS einfach aufzählt, aber keine wirklichen Auswirkungen auf die Funktionalität hat, ist es nicht erforderlich, sie der Ausschlussliste hinzuzufügen. Dieser Ereignisprotokolleintrag an sich weist nicht unbedingt auf eine böswillige Bedrohung hin.
Intune Name:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager Name:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Aktionstyp "Erweiterte Suche":
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Bekannte Probleme: Diese Anwendungen und die Regel "Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität blockieren" sind inkompatibel:
| Name der Anwendung | Weitere Informationen |
|---|---|
| Quest Dirsync Password Sync | Die Dirsync-Kennwortsynchronisierung funktioniert nicht, wenn Windows Defender installiert ist. Fehler: "VirtualAllocEx failed: 5" (4253914) |
Wenden Sie sich für technischen Support an den Softwareherausgeber.
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren
Diese Regel verhindert, dass E-Mails, die in der Microsoft Outlook-Anwendung oder Outlook.com und anderen gängigen Webmailanbietern geöffnet wurden, die folgenden Dateitypen weitergeben:
Ausführbare Dateien (z. B. .exe, .dll oder SCR)
Skriptdateien (z. B. eine PowerShell.ps1-, Visual Basic-VBS- oder JavaScript-.js-Datei)
Archiv Dateien (z. B. .zip und andere)
Intune Name:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager Name:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Aktionstyp "Erweiterte Suche":
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Hinweis
Die Regel Ausführbare Inhalte von E-Mail-Client und Webmail blockieren enthält die folgenden alternativen Beschreibungen, je nachdem, welche Anwendung Sie verwenden:
- Intune (Konfigurationsprofile): Ausführung ausführbarer Inhalte (exe, DLL, ps, js, vbs usw.), die aus E-Mail (Webmail/Mail-Client) gelöscht wurden (keine Ausnahmen).
- Configuration Manager: Herunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren.
- Gruppenrichtlinie: Ausführbare Inhalte aus E-Mail-Client und Webmail blockieren.
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium
Tipp
*Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Konfiguration der Intune Richtlinie zur Verringerung der Angriffsfläche verfügbar. Die Regel ist jedoch weiterhin vorhanden und steht über andere Methoden zur Verfügung. Beispiel: Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen, Konfigurationsdienstanbieter (Configuration Service Provider, CSP), Add-MpPreference oder vorhandene Intune ASR-Richtlinienkonfiguration in Regeln, die vor dem Problem erstellt wurden).
Diese Regel blockiert das Starten ausführbarer Dateien wie .exe, .dll oder .scr. Daher kann das Starten von nicht vertrauenswürdigen oder unbekannten ausführbaren Dateien riskant sein, da es möglicherweise zunächst nicht klar ist, ob die Dateien böswillig sind.
Wichtig
Sie müssen den in der Cloud bereitgestellten Schutz aktivieren , um diese Regel verwenden zu können. Diese Regel verwendet den von der Cloud bereitgestellten Schutz, um die vertrauenswürdige Liste regelmäßig zu aktualisieren. Sie können einzelne Dateien oder Ordner mithilfe von Ordnerpfaden oder vollqualifizierten Ressourcennamen angeben. Außerdem wird die Einstellung ASROnlyPerRuleExclusions unterstützt.
Intune Name:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager Name:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Aktionstyp "Erweiterte Suche":
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz
Ausführung potenziell verborgener Skripts blockieren
Diese Regel erkennt verdächtige Eigenschaften in einem verschleierten Skript.
Hinweis
PowerShell-Skripts werden jetzt für die Regel "Ausführung potenziell verschleierter Skripts blockieren" unterstützt.
Wichtig
Sie müssen den in der Cloud bereitgestellten Schutz aktivieren, um diese Regel verwenden zu können.
Die Skriptverschleierung ist eine gängige Technik, die sowohl Schadsoftwareautoren als auch legitime Anwendungen verwenden, um geistiges Eigentum zu verbergen oder die Ladezeiten von Skripts zu verkürzen. Malware-Autoren verwenden auch Verschleierung, um schädlichen Code schwieriger zu lesen, was die genaue Kontrolle durch Menschen und Sicherheitssoftware erschwert.
Intune Name:Obfuscated js/vbs/ps/macro code
Configuration Manager Name:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Aktionstyp "Erweiterte Suche":
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Abhängigkeiten: Microsoft Defender Antivirus, Anti-Malware Scan Interface (AMSI), Cloudschutz
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
Diese Regel verhindert, dass Skripts potenziell schädliche heruntergeladene Inhalte starten. Schadsoftware, die in JavaScript oder VBScript geschrieben wurde, fungiert häufig als Downloader, um andere Schadsoftware aus dem Internet abzurufen und zu starten. Branchenanwendungen verwenden manchmal Skripts zum Herunterladen und Starten von Installationsprogrammen, obwohl sie nicht häufig verwendet werden.
Intune Name:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager Name:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Aktionstyp "Erweiterte Suche":
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Abhängigkeiten: Microsoft Defender Antivirus, AMSI
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
Diese Regel verhindert, dass Office-Apps, einschließlich Word, Excel und PowerPoint, als Vektor verwendet werden, um schädlichen Code auf dem Datenträger beizubehalten. Schadsoftware, die Office als Vektor missbraucht, kann versuchen, schädliche Komponenten auf einem Datenträger zu speichern, die einen Neustart des Computers überstehen und auf dem System beibehalten würden. Diese Regel schützt gegen diese Persistenztechnik, indem der Zugriff auf den auf den Datenträger geschriebenen Code blockiert wird (Öffnen/Ausführen). Diese Regel blockiert auch die Ausführung nicht vertrauenswürdiger Dateien, die möglicherweise von Office-Makros gespeichert wurden, die in Office-Dateien ausgeführt werden dürfen.
Intune Name:Office apps/macros creating executable content
Configuration Manager Name:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Aktionstyp "Erweiterte Suche":
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Abhängigkeiten: Microsoft Defender Antivirus, RPC
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
Diese Regel blockiert Codeeinschleusungsversuche von Office-Apps in andere Prozesse.
Hinweis
Die ASR-Regel Blockieren, dass Anwendungen Code in andere Prozesse einfügen, unterstützt den WARN-Modus nicht.
Wichtig
Für diese Regel muss Microsoft 365 Apps (Office-Anwendungen) neu gestartet werden, damit die Konfigurationsänderungen wirksam werden.
Angreifer versuchen möglicherweise, Mithilfe von Office-Apps schädlichen Code durch Codeinjektion in andere Prozesse zu migrieren, sodass sich der Code als sauber Prozess tarnen kann. Es gibt keine bekannten legitimen geschäftlichen Zwecke für die Verwendung von Code Injection.
Diese Regel gilt für Word, Excel, OneNote und PowerPoint.
Intune Name:Office apps injecting code into other processes (no exceptions)
Configuration Manager Name:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Aktionstyp "Erweiterte Suche":
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Bekannte Probleme: Diese Anwendungen und die Regel "Office-Anwendungen daran hindern, Code in andere Prozesse einzufügen", sind inkompatibel:
| Name der Anwendung | Weitere Informationen |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | September-2024 (Plattform: 4.18.24090.11 |Engine 1.1.24090.11). |
| Heimdal-Sicherheit | n/v |
Wenden Sie sich für technischen Support an den Softwareherausgeber.
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern
Diese Regel verhindert, dass Outlook untergeordnete Prozesse erstellt und gleichzeitig legitime Outlook-Funktionen zulässt. Diese Regel schützt vor Social Engineering-Angriffen und verhindert, dass Code ausgenutzt wird, um Sicherheitsrisiken in Outlook zu missbrauchen. Es schützt auch vor Outlook-Regeln und Formular-Exploits , die Angreifer verwenden können, wenn die Anmeldeinformationen eines Benutzers kompromittiert werden.
Intune Name:Process creation from Office communication products (beta)
Configuration Manager Name: Nicht verfügbar
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Aktionstyp "Erweiterte Suche":
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Persistenz durch WMI-Ereignisabonnement blockieren
Diese Regel verhindert, dass Schadsoftware WMI missbraucht, um Persistenz auf einem Gerät zu erhalten.
Dateilose Bedrohungen verwenden verschiedene Taktiken, um versteckt zu bleiben und somit zu vermeiden, im Dateisystem sichtbar zu sein, und um regelmäßige Ausführungskontrolle zu erhalten. Einige Bedrohungen können das WMI-Repository und das Ereignismodell missbrauchen, um versteckt zu bleiben.
Hinweis
Wenn Sie Configuration Manager (CM, früher als MEMCM oder SCCM bezeichnet) mit CcmExec.exe (SCCM-Agent) verwenden, empfehlen wir die Ausführung im Überwachungsmodus für mindestens 60 Tage.
Sobald Sie bereit sind, in den Blockmodus zu wechseln, stellen Sie sicher, dass Sie die entsprechenden ASR-Regeln bereitstellen, und berücksichtigen Sie dabei alle erforderlichen Regelausschlüsse.
Intune Name:Persistence through WMI event subscription
Configuration Manager Name: Nicht verfügbar
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Aktionstyp "Erweiterte Suche":
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Abhängigkeiten: Microsoft Defender Antivirus, RPC
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren
Diese Regel blockiert die Ausführung von Prozessen, die über PsExec und WMI erstellt wurden. Sowohl PsExec als auch WMI können Code remote ausführen. Es besteht das Risiko, dass Schadsoftware die Funktionalität von PsExec und WMI zu Befehls- und Steuerungszwecken missbraucht oder eine Infektion im Netzwerk eines organization verbreitet.
Warnung
Verwenden Sie diese Regel nur, wenn Sie Ihre Geräte mit Intune oder einer anderen MDM-Lösung verwalten. Diese Regel ist mit der Verwaltung über Microsoft Endpoint Configuration Manager nicht kompatibel, da diese Regel WMI-Befehle blockiert, die Configuration Manager Client verwendet, um ordnungsgemäß zu funktionieren.
Intune Name:Process creation from PSExec and WMI commands
Configuration Manager Name: Nicht zutreffend
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Aktionstyp "Erweiterte Suche":
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Neustart des Computers im abgesicherten Modus blockieren
Diese Regel verhindert die Ausführung bestimmter Befehle, um Computer im abgesicherten Modus neu zu starten. Im abgesicherten Modus sind viele Sicherheitsprodukte entweder deaktiviert oder funktionieren in einer begrenzten Kapazität. Dieser Effekt ermöglicht es Angreifern, Manipulationsbefehle weiter zu starten oder alle Dateien auf dem Computer auszuführen und zu verschlüsseln. Diese Regel blockiert den Missbrauch des abgesicherten Modus, indem häufig missbrauchte Befehle wie bcdedit und bootcfg daran gehindert werden, Computer im abgesicherten Modus neu zu starten. Auf den abgesicherten Modus kann weiterhin manuell über die Windows-Wiederherstellungsumgebung zugegriffen werden.
Intune Name:Block rebooting machine in Safe Mode
Configuration Manager Name: Noch nicht verfügbar
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Aktionstyp "Erweiterte Suche":
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Abhängigkeiten: Microsoft Defender Antivirus
Hinweis
Derzeit erkennt das Bedrohungs- und Sicherheitsrisikomanagement diese Regel nicht, sodass sie im Bericht zur Verringerung der Angriffsfläche als "Nicht zutreffend" angezeigt wird.
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
Mit dieser Regel können Administratoren verhindern, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien von USB-Wechseldatenträgern ausgeführt werden, einschließlich SD-Karten. Zu den blockierten Dateitypen gehören ausführbare Dateien (z. B. .exe, .dll oder .scr).
Wichtig
Diese Regel blockiert Dateien, die vom USB auf das Laufwerk kopiert werden, wenn sie auf dem Laufwerk ausgeführt werden sollen.
Intune Name:Untrusted and unsigned processes that run from USB
Configuration Manager Name:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Aktionstyp "Erweiterte Suche":
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Abhängigkeiten: Microsoft Defender Antivirus
Blockieren der Verwendung kopierter oder imitierter Systemtools
Diese Regel blockiert die Verwendung ausführbarer Dateien, die als Kopien von Windows-Systemtools identifiziert werden. Diese Dateien sind entweder Duplikate oder Betrüger der ursprünglichen Systemtools. Einige böswillige Programme versuchen möglicherweise, Windows-Systemtools zu kopieren oder die Identität zu annehmen, um erkennungs- oder berechtigungserheben zu vermeiden. Das Zulassen solcher ausführbaren Dateien kann zu potenziellen Angriffen führen. Diese Regel verhindert die Weitergabe und Ausführung solcher Duplikate und Betrüger der Systemtools auf Windows-Computern.
Intune Name:Block use of copied or impersonated system tools
Configuration Manager Name: Noch nicht verfügbar
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Aktionstyp "Erweiterte Suche":
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Abhängigkeiten: Microsoft Defender Antivirus
Hinweis
Derzeit erkennt das Bedrohungs- und Sicherheitsrisikomanagement diese Regel nicht, sodass sie im Bericht zur Verringerung der Angriffsfläche als "Nicht zutreffend" angezeigt wird.
Webshellerstellung für Server blockieren
Diese Regel blockiert die Erstellung von Webshellskripts auf Microsoft Server, Exchange-Rolle. Ein Webshellskript ist ein gestaltetes Skript, mit dem ein Angreifer den kompromittierten Server steuern kann.
Eine Webshell kann Funktionen wie das Empfangen und Ausführen bösartiger Befehle, das Herunterladen und Ausführen bösartiger Dateien, das Stehlen und Exfiltrieren von Anmeldeinformationen und vertraulichen Informationen sowie das Identifizieren potenzieller Ziele umfassen.
Intune Name:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Abhängigkeiten: Microsoft Defender Antivirus
Hinweis
Wenn Sie ASR-Regeln mit Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen verwalten, müssen Sie die Einstellung Webshellerstellung für Server blockieren wie Not Configured in Gruppenrichtlinie oder anderen lokalen Einstellungen konfigurieren. Wenn diese Regel auf einen anderen Wert (z Enabled . B. oder Disabled) festgelegt ist, kann dies zu Konflikten führen und verhindern, dass die Richtlinie über die Verwaltung von Sicherheitseinstellungen ordnungsgemäß angewendet wird.
Derzeit erkennt das Bedrohungs- und Sicherheitsrisikomanagement diese Regel nicht, sodass sie im Bericht zur Verringerung der Angriffsfläche als "Nicht zutreffend" angezeigt wird.
Win32-API-Aufrufe von Office-Makros blockieren
Diese Regel verhindert, dass VBA-Makros Win32-APIs aufrufen. Office VBA aktiviert Win32-API-Aufrufe. Schadsoftware kann diese Funktion missbrauchen, z. B. das Aufrufen von Win32-APIs, um schädlichen Shellcode zu starten , ohne etwas direkt auf den Datenträger zu schreiben. Die meisten Organisationen verlassen sich nicht auf die Möglichkeit, Win32-APIs in ihrem täglichen Betrieb aufzurufen, auch wenn sie Makros auf andere Weise verwenden.
Intune Name:Win32 imports from Office macro code
Configuration Manager Name:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Aktionstyp "Erweiterte Suche":
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Abhängigkeiten: Microsoft Defender Antivirus, AMSI
Erweiterten Schutz vor Ransomware verwenden
Diese Regel bietet eine zusätzliche Schutzebene vor Ransomware. Es verwendet sowohl Client- als auch Cloudhuristik, um zu bestimmen, ob eine Datei Ransomware ähnelt. Diese Regel blockiert keine Dateien, die mindestens eines der folgenden Merkmale aufweisen:
- Es wird festgestellt, dass die Datei in der Microsoft-Cloud unharmlos ist.
- Die Datei ist eine gültige signierte Datei.
- Die Datei ist weit verbreitet genug, um nicht als Ransomware betrachtet zu werden.
Die Regel neigt dazu, auf der Seite der Vorsicht zu irren, um Ransomware zu verhindern.
Hinweis
Sie müssen den in der Cloud bereitgestellten Schutz aktivieren , um diese Regel verwenden zu können.
Intune Name:Advanced ransomware protection
Configuration Manager Name:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Aktionstyp "Erweiterte Suche":
AsrRansomwareAuditedAsrRansomwareBlocked
Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz
Siehe auch
Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche
Planen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche
Operationalisieren von Regeln zur Verringerung der Angriffsfläche
Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.