Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Testdateien, Skripts und Verfahren, um Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) in Microsoft Defender for Endpoint zu veranschaulichen.
ASR-Regeln zielen auf riskantes Softwareverhalten auf Windows-Geräten ab, das Angreifer häufig durch Schadsoftware ausnutzen (z. B. Das Starten von Skripts, die Dateien herunterladen, das Ausführen von verschleierten Skripts und das Einfügen von Code in andere Prozesse). Weitere Informationen zu ASR-Regeln finden Sie unter Übersicht über Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR).
Voraussetzungen
- Windows 10 Version 1709 (Oktober 2017) oder höher.
- Windows Server 2012 R2 oder höher.
- Windows Server 2012 R2 und Windows Server 2016 erfordern die Funktionalität in der modernen einheitlichen Lösung.
- Azure Local Betriebssystemversion 23H2 oder höher (früher als Azure Stack hyperkonvergente Infrastruktur (HCI) bezeichnet.
- Herunterladen und Extrahieren der PowerShell-Skripts zur Verringerung der Angriffsfläche
PowerShell-Befehle
Um alle verfügbaren ASR-Regeln zu aktivieren, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus (ein PowerShell-Fenster, das Sie geöffnet haben, nachdem Sie Als Administrator ausführen ausgewählt haben):
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode
Die Namen der ASR-Regel und die zugehörigen GUID-Werte sind im Abschnitt Testdateien aufgeführt.
Überprüfen der Konfiguration
Führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus, um den Status von ASR-Regeln zu überprüfen:
$p = Get-MpPreference
$ids = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)
for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
[pscustomobject]@{
RuleId = $ids[$i]
Action = $actions[$i]
}
}
Die verfügbaren Regelzustände werden in der folgenden Tabelle beschrieben:
| Modus | Text Wert |
Numeric Wert |
|---|---|---|
| Aus | Deaktiviert | 0 |
| Aktiviert im Blockierungsmodus | Enabled | 1 |
| Aktiviert im Überwachungsmodus | AuditMode | 2 |
| Nicht konfiguriert | NotConfigured | 5 |
| Aktiviert im Warnmodus | Warnen | 6 |
Testdateien
In der folgenden Tabelle werden die NAMEN der ASR-Regel den entsprechenden GUID-Werten zugeordnet.
Tipp
Regelnamenlinks sind Links zu verfügbaren Testdateien. Einige Testdateien enthalten mehrere Exploits, die mehrere ASR-Regeln auslösen.
GUID-Wertlinks sind Links zu den Regeldetails.
Szenarien
Setup
Führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus, um die Ausführungsrichtlinie auf Unrestricted festzulegen:
Set-ExecutionPolicy UnrestrictedLaden Sie dieses Setupskript herunter, extrahieren Sie es, und führen Sie es aus.
Alternativ können Sie stattdessen die folgenden manuellen Schritte ausführen:
- Erstellen Sie den Ordner C:\Demo.
- Speichern Sie diese sauber Datei in C:\Demo.
- Aktivieren Sie alle Regeln mithilfe des PowerShell-Befehls.
Szenario 1: Verringerung der Angriffsfläche blockiert eine Testdatei mit mehreren Sicherheitsrisiken
- Aktivieren Sie alle Regeln im Blockmodus mit dem PowerShell-Befehl.
- Laden Sie die Testdateien/-dokumente herunter, und öffnen Sie sie. Wenn Sie dazu aufgefordert werden, aktivieren Sie die Bearbeitung und den Inhalt.
Erwartetes Ergebnis:
Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.
Szenario 2: ASR-Regel blockiert die Testdatei mit der entsprechenden Sicherheitsanfälligkeit
Konfigurieren Sie die einzelne Regel, die Sie testen möchten. Um beispielsweise die Regel Alle Office-Anwendungen am Erstellen untergeordneter Prozesse blockieren zu aktivieren, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus:
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions EnabledLaden Sie die Testdatei/das Dokument für die Regel herunter, die Sie testen möchten, und öffnen Sie sie. Wenn Sie dazu aufgefordert werden, aktivieren Sie die Bearbeitung und den Inhalt. Zum Beispiel:
Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
Erwartetes Ergebnis:
Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.
Szenario 3: ASR-Regel verhindert, dass nicht vertrauenswürdige Dateien von USB-Laufwerken ausgeführt werden
Tipp
Diese ASR-Regel ist in Windows 10 Version 1709 (Oktober 2017) oder höher verfügbar.
Aktivieren Sie die Regel Nicht vertrauenswürdige und nicht signierte Prozesse blockieren, die über USB ASR ausgeführt werden, indem Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten ausführen:
Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions EnabledLaden Sie die folgende Datei auf ein USB-Laufwerk herunter (direkt oder kopieren Sie sie auf das USB-Laufwerk, nachdem Sie sie an anderer Stelle heruntergeladen haben):
Führen Sie die Datei auf dem USB-Laufwerk aus.
Erwartetes Ergebnis:
Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.
Szenario 4: Was würde ohne Verringerung der Angriffsfläche passieren?
Deaktivieren Sie alle Regeln zur Verringerung der Angriffsfläche mithilfe des PowerShell-Befehls im Abschnitt Bereinigen .
Laden Sie eine beliebige Testdatei/ein beliebiges Dokument herunter. Wenn Sie dazu aufgefordert werden, aktivieren Sie die Bearbeitung und den Inhalt.
Erwartetes Ergebnis:
- Die Dateien in C:\Demo sind verschlüsselt, und Sie sollten eine Warnmeldung erhalten.
- Führen Sie die Testdatei erneut aus, um die Dateien zu entschlüsseln.
Bereinigen
Laden Sie dieses sauber Skript herunter, extrahieren Sie es, und führen Sie es aus.
Alternativ können Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten ausführen, um alle ASR-Regeln zu deaktivieren:
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled
Bereinigen Sie die C:\Demo-Verschlüsselung , indem Sie die Verschlüsselungs-/Entschlüsselungsdatei ausführen.