Referenz zu den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)

  • Gilt für:: Microsoft Defender for Endpoint Plan 2

Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) zielen auf riskantes Softwareverhalten auf Windows-Geräten ab, das Angreifer häufig durch Schadsoftware ausnutzen (z. B. Das Starten von Skripts, die Dateien herunterladen, das Ausführen von verschleierten Skripts und das Einfügen von Code in andere Prozesse). Weitere Informationen zu ASR-Regeln finden Sie unter Übersicht über Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR).

Dieser Artikel ist eine technische Referenz für ASR-Regeln, die die folgenden Informationen enthält:

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Betriebssystemunterstützung für ASR-Regeln

ASR-Regeln sind ein Microsoft Defender Antivirus-Feature, das in jeder Edition von Windows verfügbar ist, die Microsoft Defender Antivirus enthält (z. B. Windows 11 Home). Sie können ASR-Regeln lokal mithilfe von PowerShell oder Gruppenrichtlinie konfigurieren.

In der folgenden Tabelle wird die Betriebssystemunterstützung für ASR-Regeln in Microsoft Defender for Endpoint beschrieben, die eine zentralisierte Verwaltung, Berichterstellung und Warnung über Microsoft Intune, Microsoft Configuration Manager und die Microsoft Defender Portal:

Regelname Windows 11 oder höher Windows 10 Windows Server 2019 oder höher Windows Server 2016* Windows Server 2012 R2*
Standard-Schutzregeln
Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) Y 1709 oder höher Y Windows Server 1803 (SAC) oder höher Y
Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität Y 1803 oder höher v v v
Persistenz durch WMI-Ereignisabonnement blockieren Y 1903 oder höher Windows Server 1903 (SAC) oder höher N N
Andere ASR-Regeln
Adobe Reader am Erstellen von untergeordneten Prozessen hindern Y 1809 oder höher v v v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern Y 1709 oder höher v v v
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren Y 1709 oder höher v v v
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium Y 1803 oder höher v v v
Ausführung potenziell verborgener Skripts blockieren Y 1709 oder höher v v v
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern Y 1709 oder höher J N N
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern Y 1709 oder höher v v v
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern Y 1709 oder höher v v v
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern Y 1709 oder höher v v v
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren Y 1803 oder höher v v v
Neustart des Computers im abgesicherten Modus blockieren Y 1709 oder höher v v v
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren Y 1709 oder höher v v v
Blockieren der Verwendung kopierter oder imitierter Systemtools Y 1709 oder höher v v v
Webshellerstellung für Server blockieren n/v n/v Nur Exchange-Server Nur Exchange-Server N
Win32-API-Aufrufe von Office-Makros blockieren Y 1709 oder höher n/v n/v n/v
Erweiterten Schutz vor Ransomware verwenden Y 1803 oder höher v v v

*Unterstützte ASR-Regeln in Windows Server 2016 und Windows Server 2012 R2 erfordern das Onboarding mithilfe des modernen einheitlichen Lösungspakets. Weitere Informationen finden Sie unter Neue Windows Server 2012 R2- und 2016-Funktionalität in der modernen einheitlichen Lösung.

Bereitstellungsmethodenunterstützung für ASR-Regeln

Obwohl Defender für Endpunkt ASR-Regeln unterstützt, benötigen Sie einen separaten Dienst, um die Regeln auf Geräten bereitzustellen. Die unterstützten Methoden zum Bereitstellen von ASR-Regeln werden in der folgenden Tabelle beschrieben.

Regelname Intune Konfigurations-Manager MDM-CSP Zentralisierte Gruppenrichtlinie
Standard-Schutzregeln
Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) J N J v
Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität Y 1802 oder höher v v
Persistenz durch WMI-Ereignisabonnement blockieren J N J v
Andere ASR-Regeln
Adobe Reader am Erstellen von untergeordneten Prozessen hindern J N J v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern Y 1710 oder höher v v
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren Y 1710 oder höher v v
Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium[1] Y 1802 oder höher v v
Ausführung potenziell verborgener Skripts blockieren Y 1710 oder höher v v
JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern Y 1710 oder höher v v
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern Y 1710 oder höher v v
Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern Y 1710 oder höher v v
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern J N J v
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren J N J v
Neustart des Computers im abgesicherten Modus blockieren J N J v
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren Y 1802 oder höher v v
Blockieren der Verwendung kopierter oder imitierter Systemtools J N J v
Webshellerstellung für Server blockieren J N J v
Win32-API-Aufrufe von Office-Makros blockieren Y 1710 oder höher v v
Erweiterten Schutz vor Ransomware verwenden Y 1802 oder höher v v

Tipp

Sie können ASR-Regeln auch lokal auf einzelnen Geräten mithilfe von Gruppenrichtlinie oder PowerShell konfigurieren. Alle ASR-Regeln werden von beiden Methoden auf lokalen Geräten unterstützt.

1 Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Intune ASR-Richtlinienkonfiguration verfügbar. Die Regel ist jedoch über die anderen verfügbaren ASR-Richtlinienkonfigurationsmethoden oder in vorhandenen Intune ASR-Richtlinien verfügbar, die vor dem Problem erstellt wurden.

Warnungen und Benachrichtigungen von ASR-Regelaktionen

In der folgenden Tabelle werden die organization und lokalen Warnungen beschrieben, die von aktiven ASR-Regeln generiert werden können.

  • Der Wert für EDR-Warnungen gibt an, ob die ASR-Regel im Modus Blockieren oder WarnenEDR-Warnungen (Endpoint Detection and Response) in Defender für Endpunkt generiert.
  • Der Wert Benutzerbenachrichtigungen gibt an, ob die ASR-Regel Popups für Benutzerbenachrichtigungen im Block- oder Warn-Modus unterstützt (wenn die Regel den Warnmodus unterstützt).
Regelname EDR-Warnungen Benutzer
Benachrichtigungen
Standard-Schutzregeln
Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) N J
Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität[¹] N N
Persistenz durch WMI-Ereignisabonnement blockieren v v
Andere ASR-Regeln
Blockieren der Erstellung untergeordneter Prozesse durch Adobe Reader[²] v v
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern N J
Ausführbare Inhalte aus E-Mail-Client und Webmail blockieren[²] v v
Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium N J
Ausführung potenziell verborgener Skripts blockieren v v
Blockieren des Startens heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript[²] v v
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern N J
Blockieren der Einschleusung von Code in andere Prozesse durch Office-Anwendungen[¹] N J
Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern N J
Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren N J
Neustart des Computers im abgesicherten Modus blockieren N N
Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren v v
Blockieren der Verwendung kopierter oder imitierter Systemtools N J
Webshellerstellung für Server blockieren N N
Win32-API-Aufrufe von Office-Makros blockieren J N
Erweiterten Schutz vor Ransomware verwenden v v

¹ Diese ASR-Regel unterstützt den Warnmodus nicht.

² Diese ASR-Regel im Block- oder Warn-Modus hat die folgenden zusätzlichen Anforderungen in der Cloudschutzebene in Microsoft Defender Antivirus:

  • EDR-Warnungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät Hoch plus oder Null toleranz ist.
  • Popups für Benutzerbenachrichtigungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät hoch, hoch plus oder Null toleranz ist.

Details zur ASR-Regel

Standard-Schutzregeln

Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät)

Lokale Apps mit ausreichenden Berechtigungen können anfällige signierte Treiber ausnutzen, um Zugriff auf den Betriebssystemkernels zu erhalten. Anfällige signierte Treiber ermöglichen es Angreifern, Sicherheitslösungen zu deaktivieren oder zu umgehen, was schließlich zu einer Kompromittierung des Systems führt.

Diese ASR-Regel verhindert, dass Apps anfällige signierte Treiber auf dem Computer speichern. Es verhindert nicht das Laden vorhandener Treiber, die bereits auf dem Computer vorhanden sind.

  • Microsoft Intune Name:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager Name: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Aktionstyp "Erweiterte Suche":
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Abhängigkeiten: Keine

Hinweis

Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität

Hinweis

Wenn Sie den Schutz der lokalen Sicherheitsautorität (Local Security Authority, LSA) aktiviert haben (empfohlen, zusammen mit Credential Guard):

  • Diese ASR-Regel ist nicht erforderlich.
  • Diese ASR-Regel bietet keinen zusätzlichen Schutz (die ASR-Regel und der LSA-Schutz funktionieren ähnlich).
  • Diese ASR-Regel wird in den Defender für Endpunkt-Verwaltungseinstellungen im Microsoft Defender-Portal als nicht zutreffend klassifiziert.

Diese ASR-Regel trägt dazu bei, den Diebstahl von Anmeldeinformationen zu verhindern, indem der Lokale Sicherheitsautoritätssubsystemdienst (LSASS) gesperrt wird. LSASS authentifiziert Benutzer, die sich auf Windows-Computern anmelden. In der Regel verhindert Credential Guard unter Windows versuche, Anmeldeinformationen aus LSASS zu extrahieren.

Viele Prozesse führen zu unnötigen Aufrufen von LSASS für Zugriffsrechte, die nicht benötigt werden. Diese Aktivität erzeugt erhebliche ASR-Regelgeräusche, blockiert jedoch die Funktionalität nicht. Beispielsweise greifen Google Chrome-Updates unnötigerweise auf LSASS zu, da Kennwörter in LSASS auf dem Gerät gespeichert werden. Wenn Sie diese ASR-Regel auf dem Gerät aktivieren, wird der Zugriff von Chrome-Updates auf LSASS blockiert, die Aktualisierung von Chrome wird jedoch nicht blockiert. Diese ASR-Regelereignisse sind gut, da der Chrome-Softwareupdateprozess nicht auf LSASS zugreifen sollte.

Informationen zu den Arten von Rechten, die in der Regel bei Prozessaufrufen an LSASS angefordert werden, finden Sie unter Prozesssicherheit und Zugriffsrechte.

Einige Organisationen können Credential Guard aufgrund von Kompatibilitätsproblemen mit benutzerdefinierten Smartcardtreibern oder anderen Programmen, die in die LSA geladen werden, nicht aktivieren. In diesen Fällen können Angreifer Tools wie Mimikatz verwenden, um Klartextkennwörter und NTLM-Hashes aus LSASS abzulesen.

Wenn Sie den LSA-Schutz und/oder Credential Guard nicht aktivieren können, können Sie diese Regel konfigurieren, um einen gleichwertigen Schutz vor Schadsoftware bereitzustellen, die auf abzielt lsass.exe.

  • Microsoft Intune Name:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager Name:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Aktionstyp "Erweiterte Suche":
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

  • Diese ASR-Regel unterstützt den Warnmodus nicht.
  • Diese ASR-Regel erzeugt eine große Menge von Überwachungsereignissen, von denen fast alle sicher ignoriert werden können, wenn die Regel im Blockmodus aktiviert ist. Sie können die Auswertung des Überwachungsmodus überspringen und mit der Bereitstellung im Blockmodus fortfahren. Microsoft empfiehlt, mit einer kleinen Gruppe von Geräten zu beginnen und schrittweise zu erweitern, um den Rest abzudecken.
  • Diese ASR-Regel unterdrückt Warnungen und Benutzerbenachrichtigungs-Popups für benutzerfreundliche Prozesse und doppelte Blockaktionen.
  • Diese ASR-Regel blockiert den Zugriff auf den LSASS-Prozessspeicher. Die Ausführung von Prozessen wird nicht blockiert. Wenn diese ASR-Regel Prozesse wie svchost.exeblockiert, bedeutet dies, dass der Prozess nicht auf den LSASS-Prozessspeicher zugreifen kann. Häufig können Sie das Blockieren dieser Prozesse durch diese ASR-Regel ignorieren.
  • Einige Apps führen alle ausgeführten Prozesse auf und versuchen, sie mit vollständigen Berechtigungen zu öffnen. Diese ASR-Regel verweigert die geöffneten Prozessaktionen der App und zeichnet die Details im Sicherheitsprotokoll in Windows Ereignisanzeige auf. Diese Regel kann zu zahlreichen Rauschen führen. Wenn Sie über eine App verfügen, die LSASS einfach aufzählt, aber keine wirklichen Auswirkungen auf die Funktionalität hat, ist es nicht erforderlich, sie der Ausschlussliste hinzuzufügen. Dieser Ereignisprotokolleintrag an sich weist nicht unbedingt auf eine böswillige Bedrohung hin.
  • Diese ASR-Regel hat Probleme mit der Quest Dirsync-Kennwortsynchronisierung. Weitere Informationen finden Sie unter Dirsync Password Sync isn't working when Windows Defender isn't working, error: "VirtualAllocEx failed: 5" (4253914).
  • Diese Regel verfügt über eingeschränkte Ausschlussunterstützung. Weitere Informationen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

Persistenz durch WMI-Ereignisabonnement blockieren

Diese ASR-Regel verhindert, dass Schadsoftware WMI missbraucht, um Persistenz auf Geräten zu erhalten.

Dateilose Bedrohungen verwenden verschiedene Taktiken, um verborgen zu bleiben, nicht im Dateisystem zu sehen und regelmäßige Kontrolle zu erlangen. Einige Bedrohungen können das WMI-Repository und das Ereignismodell missbrauchen, um versteckt zu bleiben.

  • Microsoft Intune Name:Block persistence through WMI event subscription
  • Microsoft Configuration Manager Name: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Aktionstyp "Erweiterte Suche":
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus, RPC

Hinweis

  • Diese Regel wird nicht unterstützt, wenn sie über Microsoft Intune für Windows Server 2012 R2 oder Windows Server 2016 mithilfe der modernen einheitlichen Lösung bereitgestellt wird.
  • Wenn Sie Microsoft Configuration Manager verwenden, empfiehlt Microsoft umfangreiche Tests dieser ASR-Regel im Überwachungsmodus, bevor Sie mit dem Blockierungsmodus fortfahren. Der Konfigurations-Manager-Client basiert stark auf WMI.
  • Diese Regel verfügt über eingeschränkte Ausschlussunterstützung. Weitere Informationen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

Andere ASR-Regeln

Adobe Reader am Erstellen von untergeordneten Prozessen hindern

Diese ASR-Regel verhindert Angriffe, indem adobe Reader daran gehindert wird, Prozesse zu erstellen.

Schadsoftware kann Nutzlasten herunterladen und starten und durch Social Engineering oder Exploits aus Adobe Reader ausbrechen. Indem Adobe Reader daran gehindert wird, untergeordnete Prozesse zu generieren, wird die Verbreitung von Schadsoftware, die versucht, Adobe Reader als Angriffsvektor zu verwenden, verhindert.

  • Microsoft Intune Name:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager Name: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Aktionstyp "Erweiterte Suche":
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

  • Diese Regel verfügt über eingeschränkte Ausschlussunterstützung. Weitere Informationen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.
  • Diese ASR-Regel im Block- oder Warn-Modus weist zusätzliche Anforderungen in der Cloudschutzebene in Microsoft Defender Antivirus auf:
    • EDR-Warnungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät Hoch plus oder Null toleranz ist.
    • Popups für Benutzerbenachrichtigungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät hoch, hoch plus oder Null toleranz ist.

Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern

Diese Regel verhindert, dass Office-Apps untergeordnete Prozesse erstellen. Office-Apps umfassen Word, Excel, PowerPoint, OneNote und Access.

Das Erstellen bösartiger untergeordneter Prozesse ist eine gängige Schadsoftwarestrategie. Schadsoftware, die Office als Vektor missbraucht, führt häufig VBA-Makros aus und nutzt Code aus, um weitere Nutzlasten herunterzuladen und auszuführen. Einige legitime Branchen-Apps können jedoch auch untergeordnete Prozesse für harmlose Zwecke generieren. Beispiel: Erstellen einer Eingabeaufforderung oder Verwenden von PowerShell zum Konfigurieren von Registrierungseinstellungen.

  • Microsoft Intune Name:Block all Office applications from creating child processes
  • Microsoft Configuration Manager Name:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Aktionstyp "Erweiterte Suche":
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

Diese Regel wird nur erzwungen, wenn Office an den Speicherorten %ProgramFiles% oder %ProgramFiles(x86)% installiert ist (standardmäßig C:\Program Files und C:\Program Files (x86)).

Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren

Diese Regel verhindert, dass E-Mails, die mit Microsoft Outlook, Outlook.com und anderen beliebten Webmailanbietern geöffnet wurden, die folgenden Dateitypen weitergeben:

  • Ausführbare Dateien (z. B. .exe, .dll oder .scr).

  • Skriptdateien (z. B. .ps1, VBS oder .js).

  • Archiv Dateien (z. B. .zip).

  • Microsoft Intune Name:Block executable content from email client and webmail

  • Microsoft Configuration Manager Name:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Aktionstyp "Erweiterte Suche":

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

  • Diese ASR-Regel im Block- oder Warn-Modus weist zusätzliche Anforderungen in der Cloudschutzebene in Microsoft Defender Antivirus auf:
    • EDR-Warnungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät Hoch plus oder Null toleranz ist.
    • Popups für Benutzerbenachrichtigungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät hoch, hoch plus oder Null toleranz ist.
  • Diese ASR-Regel enthält die folgenden alternativen Beschreibungen:
    • Intune (Konfigurationsprofile):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Konfigurations-Manager:Block executable content download from email and webmail clients
    • Gruppenrichtlinie:Block executable content from email client and webmail

Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium

Tipp

Derzeit ist diese ASR-Regel aufgrund eines bekannten Back-End-Problems möglicherweise nicht in der Intune ASR-Richtlinienkonfiguration verfügbar. Die Regel ist jedoch über die anderen verfügbaren ASR-Richtlinienkonfigurationsmethoden oder in vorhandenen Intune ASR-Richtlinien verfügbar, die vor dem Problem erstellt wurden.

Diese ASR-Regel blockiert das Starten ausführbarer Dateien (z. B. .exe, .dll oder .scr). Das Starten nicht vertrauenswürdiger oder unbekannter ausführbarer Dateien kann riskant sein, da zunächst nicht klar ist, ob die Dateien böswillig sind.

  • Microsoft Intune Name:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager Name:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Aktionstyp "Erweiterte Suche":
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz

Hinweis

Ausführung potenziell verborgener Skripts blockieren

Diese ASR-Regel erkennt verdächtige Eigenschaften in einem verschleierten Skript.

Die Skriptverschleierung ist eine gängige Technik, die sowohl Schadsoftwareautoren als auch legitime Anwendungen verwenden, um geistiges Eigentum zu verbergen oder die Ladezeiten von Skripts zu verkürzen. Malware-Autoren verwenden auch Verschleierung, um schädlichen Code schwieriger zu lesen, was die genaue Kontrolle durch Menschen und Sicherheitssoftware erschwert.

  • Microsoft Intune Name:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager Name:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Aktionstyp "Erweiterte Suche":
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus, Antimalware Scan Interface (AMSI), Cloud Protection

Hinweis

JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern

Diese ASR-Regel verhindert, dass Skripts potenziell schädliche heruntergeladene Inhalte starten. Schadsoftware, die in JavaScript oder VBScript geschrieben wurde, fungiert häufig als Downloader, um andere Schadsoftware aus dem Internet abzurufen und zu starten. Branchen-Apps verwenden manchmal Skripts, um Installationsprogramme herunterzuladen und zu starten.

  • Microsoft Intune Name:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager Name:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Aktionstyp "Erweiterte Suche":
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus, Antimalware Scan Interface (AMSI)

Hinweis

  • Diese Regel wird nicht unterstützt, wenn sie über Microsoft Intune für Windows Server 2012 R2 oder Windows Server 2016 mithilfe der modernen einheitlichen Lösung bereitgestellt wird.

  • Diese ASR-Regel im Block- oder Warn-Modus weist zusätzliche Anforderungen in der Cloudschutzebene in Microsoft Defender Antivirus auf:

    • EDR-Warnungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät Hoch plus oder Null toleranz ist.
    • Popups für Benutzerbenachrichtigungen werden nur generiert, wenn die Cloudschutzebene auf dem Gerät hoch, hoch plus oder Null toleranz ist.

Office-Anwendungen am Erstellen ausführbarer Inhalte hindern

Diese ASR-Regel verhindert, dass Office-Apps (z. B. Word, Excel und PowerPoint) als Vektor zum Speichern schädlicher Komponenten auf dem Datenträger verwendet werden. Diese schädlichen Komponenten können einen Computerneustart überstehen und auf dem System bestehen bleiben. Diese Regel schützt gegen diese Persistenztechnik durch:

  • Blockieren des Zugriffs (Open/Execute) auf den Code, der auf den Datenträger geschrieben wird.

  • Blockieren der Ausführung von nicht vertrauenswürdigen Dateien, die von Office-Makros gespeichert werden und in Office-Dateien ausgeführt werden dürfen.

  • Microsoft Intune Name:Block Office applications from creating executable content

  • Microsoft Configuration Manager Name:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Aktionstyp "Erweiterte Suche":

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Abhängigkeiten: Microsoft Defender Antivirus, RPC

Hinweis

Diese Regel verfügt über eingeschränkte Ausschlussunterstützung. Weitere Informationen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

Diese ASR-Regel ist vom Installationsspeicherort von Office nicht betroffen.

Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern

Diese ASR-Regel blockiert Codeeinschleusungsversuche von Office-Apps in andere Prozesse. Angreifer versuchen möglicherweise, Mithilfe von Office-Apps schädlichen Code durch Codeinjektion in andere Prozesse zu migrieren, sodass sich der Code als sauber Prozess tarnen kann. Es gibt keine bekannten legitimen geschäftlichen Zwecke für die Verwendung von Code Injection.

  • Microsoft Intune Name:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager Name:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Aktionstyp "Erweiterte Suche":
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

  • Diese ASR-Regel unterstützt den Warnmodus nicht.
  • Diese ASR-Regel gilt für Word, Excel, OneNote und PowerPoint.
  • Diese ASR-Regel erfordert einen Neustart Microsoft 365 Apps (Office-Anwendungen), damit die Konfigurationsänderungen wirksam werden.
  • Diese Regel verfügt über eingeschränkte Ausschlussunterstützung. Weitere Informationen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.
  • Diese ASR-Regel ist mit den folgenden Apps nicht kompatibel:
  • Diese ASR-Regel wird nur erzwungen, wenn Office an den Speicherorten %ProgramFiles% oder %ProgramFiles(x86)% installiert ist (standardmäßig C:\Program Files und C:\Program Files (x86)).

Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern

Diese ASR-Regel verhindert, dass Outlook untergeordnete Prozesse erstellt und gleichzeitig legitime Outlook-Funktionen zulässt. Diese ASR-Regel schützt vor:

  • Social Engineering-Angriffe und verhindern, dass Code ausgenutzt wird, um Sicherheitsrisiken in Outlook zu missbrauchen.

  • Outlook-Regeln und -Formulare exploits , die Angreifer nutzen können, wenn die Anmeldeinformationen eines Benutzers kompromittiert werden.

  • Microsoft Intune Name:Block Office communication application from creating child processes

  • Microsoft Configuration Manager Name: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Aktionstyp "Erweiterte Suche":

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

Diese Regel verfügt über eingeschränkte Ausschlussunterstützung. Weitere Informationen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

Diese Regel wird nur erzwungen, wenn Office an den Speicherorten %ProgramFiles% oder %ProgramFiles(x86)% installiert ist (standardmäßig C:\Program Files und C:\Program Files (x86)).

Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren

Wichtig

Wenn Sie Microsoft Configuration Manager verwenden, verwenden Sie keine anderen verfügbaren Bereitstellungsmethoden, um diese Regel auf verwalteten Geräten zu aktivieren. Der Konfigurations-Manager-Client basiert stark auf WMI.

Diese ASR-Regel blockiert die Ausführung von Prozessen, die über PsExec und WMI erstellt wurden. PsExec und WMI können Code remote ausführen. Schadsoftware kann PsExec und WMI für Befehle und Steuerungen oder zur Verbreitung von Netzwerkinfektionen verwenden.

  • Microsoft Intune Name:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager Name: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Aktionstyp "Erweiterte Suche":
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

Diese Regel verfügt über eingeschränkte Ausschlussunterstützung. Weitere Informationen finden Sie unter Datei- und Ordnerausschlüsse für ASR-Regeln.

Neustart des Computers im abgesicherten Modus blockieren

Diese ASR-Regel verhindert, dass häufig missbrauchte Befehle wie bcdedit und bootcfg windows-Computer im abgesicherten Modus neu gestartet werden. Im abgesicherten Modus werden viele Sicherheitsprodukte deaktiviert oder mit eingeschränkter Funktionalität ausgeführt. Im abgesicherten Modus können Angreifer weitere Manipulationsbefehle starten oder alle Dateien auf dem Computer ausführen und verschlüsseln.

Auf den abgesicherten Modus kann weiterhin manuell über die Windows-Wiederherstellungsumgebung zugegriffen werden.

  • Microsoft Intune Name:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager Name: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Aktionstyp "Erweiterte Suche":
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

Derzeit erkennt Microsoft Defender Vulnerability Management diese Regel nicht. Im Bericht zu Den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) wird diese Regel als Nicht zutreffend angezeigt.

Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren

Diese ASR-Regel verhindert, dass nicht signierte oder nicht vertrauenswürdige ausführbare Dateien (z. B. .exe, .dll oder .scr) von USB-Wechseldatenträgern ausgeführt werden, einschließlich SD-Karten.

Diese ASR-Regel verhindert nicht, dass die Dateien vom USB-Laufwerk auf den Datenträger kopiert werden. Es blockiert die Ausführung der kopierten Dateien vom Datenträger.

  • Microsoft Intune Name:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager Name:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Aktionstyp "Erweiterte Suche":
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus

Blockieren der Verwendung kopierter oder imitierter Systemtools

Diese ASR-Regel blockiert die Weitergabe und Verwendung ausführbarer Dateien, die als Kopien (Duplikate oder Betrüger) von Windows-Systemtools identifiziert werden. Einige böswillige Programme versuchen möglicherweise, Windows-Systemtools zu kopieren oder die Identität zu annehmen, um erkennungs- oder berechtigungserheben zu vermeiden. Das Zulassen solcher ausführbaren Dateien kann zu potenziellen Angriffen führen.

  • Microsoft Intune Name:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager Name: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Aktionstyp "Erweiterte Suche":
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

Derzeit erkennt Microsoft Defender Vulnerability Management diese Regel nicht. Im Bericht zu Den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) wird diese Regel als Nicht zutreffend angezeigt.

Webshellerstellung für Server blockieren

Diese ASR-Regel blockiert die Erstellung von Webshellskripts auf Windows-Servern, auf denen Microsoft Exchange ausgeführt wird. Ein Webshellskript ist ein gestaltetes Skript, mit dem ein Angreifer den kompromittierten Server steuern kann. Ein Webshellskript kann die folgenden Funktionen enthalten:

  • Empfangen und Ausführen schädlicher Befehle.

  • Laden Sie schädliche Dateien herunter, und führen Sie sie aus.

  • Stehlen und exfiltrieren Sie Anmeldeinformationen und vertrauliche Informationen.

  • Identifizieren sie potenzielle Ziele.

  • Microsoft Intune Name:Block Webshell creation for Servers

  • Microsoft Configuration Manager Name: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Aktionstyp der erweiterten Suche: n/a

  • Abhängigkeiten: Microsoft Defender Antivirus

Hinweis

  • Diese Regel wird nicht unterstützt, wenn sie über Microsoft Intune für Windows Server 2012 R2 oder Windows Server 2016 mithilfe der modernen einheitlichen Lösung bereitgestellt wird.
  • Wenn Sie ASR-Regeln in Microsoft Defender for Endpoint verwalten, konfigurieren Sie diese ASR nicht in Gruppenrichtlinie oder anderen lokalen Einstellungen (übernehmen Sie den Wert ).Not Configured Jeder andere Wert (z. B. oder Disabled) kann Konflikte verursachen und verhindern, Enabled dass die Regel ordnungsgemäß angewendet wird.
  • Derzeit erkennt Microsoft Defender Vulnerability Management diese Regel nicht. Im Bericht zu Den Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) wird diese Regel als Nicht zutreffend angezeigt.

Win32-API-Aufrufe von Office-Makros blockieren

Office Visual Basic for Applications (VBA) aktiviert Win32-API-Aufrufe. Diese ASR-Regel verhindert, dass VBA-Makros Win32-APIs aufrufen. Schadsoftware kann diese Funktion missbrauchen, z. B. das Aufrufen von Win32-APIs, um schädlichen Shellcode zu starten , ohne etwas direkt auf den Datenträger zu schreiben.

Die meisten Organisationen benötigen keine Win32-API-Aufrufe von VBA-Makros, auch wenn sie Makros auf andere Weise verwenden.

  • Microsoft Intune Name:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager Name:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Aktionstyp "Erweiterte Suche":
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus, Antimalware Scan Interface (AMSI)

Erweiterten Schutz vor Ransomware verwenden

Hinweis

Diese ASR-Regel bietet eine zusätzliche Schutzebene vor Ransomware. Es verwendet sowohl Client- als auch Cloudhuristik, um zu bestimmen, ob eine Datei Ransomware ähnelt. Diese Regel blockiert keine Dateien, die mindestens eines der folgenden Merkmale aufweisen:

  • Es wird festgestellt, dass die Datei in der Microsoft-Cloud unharmlos ist.
  • Die Datei ist eine gültige signierte Datei.
  • Die Datei ist weit verbreitet genug, um nicht als Ransomware betrachtet zu werden.

Diese Regel blockiert nicht nur Dateien mit einem schlechten Ruf. Stattdessen irrt die Regel auf der Seite der Vorsicht und blockiert auch Dateien , die noch keinen positiven Ruf haben. In der Regel lösen sich Blöcke für gutartige, unbekannte Dateien durch diese Regel schließlich von selbst auf. Die Reputations- und Vertrauenswerte der Datei steigen inkrementell an, wenn die nicht problematische Nutzung zunimmt.

Wenn Blöcke mit gutartigen, unbekannten Dateien nicht rechtzeitig aufgelöst werden, können Sie einen Asr-Regelausschluss pro ASR für diese Regel konfigurieren oder die Aktion Zulassen für einen Indikator der Kompromittierung (IoC) verwenden.

  • Microsoft Intune Name:Use advanced protection against ransomware
  • Microsoft Configuration Manager Name:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Aktionstyp "Erweiterte Suche":
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Abhängigkeiten: Microsoft Defender Antivirus, Cloudschutz

Verwandte Inhalte

  • Last updated on