Intune 中的攻击面减少规则概述

---

在本指南中，我们将了解 Intune 中的攻击面减少规则。使用 Intune，你可以为你的组织创建和配置 ASR 规则。让我们看看什么是攻击面减少规则，以及 ASR 可配置规则的列表。

在 Intune (MEM) 中创建的攻击面减少规则适用于 Microsoft Defender for Endpoint Plan 2、Microsoft 365 Defender 和 Microsoft Defender Antivirus。您可以使用 Microsoft Intune 创建许多 ASR 规则示例，我将在本指南中分享 ASR 规则列表。

Microsoft 建议您在审核模式下运行 ASR 规则一小段时间来测试 Intune ASR 规则对您的组织的影响，然后再启用它们。当您在审核模式下运行规则时，您可以识别任何可能被错误阻止的业务线应用程序，并将它们从 ASR 中排除。从一个小型的受控小组开始，以限制潜在的工作中断，然后您可以在整个组织中扩展部署。

减少攻击面是一个复杂的话题，需要考虑很多方面。为了方便起见，我将列出一些用于开始使用 Intune 中的攻击面减少规则的资源。

• 了解并使用攻击面减少功能
• 攻击面减少规则概述
• 规划攻击面减少 (ASR) 规则部署
• 测试攻击面减少 (ASR) 规则
• 启用攻击面减少 (ASR) 规则
• 实施攻击面减少 (ASR) 规则

什么是攻击面？

攻击面是您的组织容易受到网络威胁和攻击的所有地方。 Defender for Endpoint 包含多种功能，可帮助减少攻击面。

您的公司面临网络威胁和攻击的所有点都称为攻击面。 Defender for Endpoint 中的各种功能可能会帮助您减少攻击面。

配置 ASR 功能的方法

配置减少攻击面功能时，您可以从以下几种方法中进行选择：

• Microsoft Endpoint Manager（包括 Microsoft Intune 和配置管理器）
• 组策略
• PowerShell cmdlet

Intune 中的攻击面减少规则是什么？

减少攻击面的措施重点关注恶意软件和恶意软件通常用来感染计算机的操作，例如：Office 应用程序或 Web 邮件中使用的可执行文件和脚本，试图下载或运行混淆的文件。另一个例子是应用程序在正常的日常工作中通常不会启动的可疑脚本行为。

对于 Intune，ASR 规则针对某些软件行为，例如：

• 启动尝试下载或运行文件的可执行文件和脚本
• 运行混淆或其他可疑的脚本
• 应用程序在正常日常工作中通常不会发生的行为

通过减少不同的攻击面，您可以帮助您从一开始就防止攻击发生。查看有关如何使用攻击面减少功能的详细指南。

ASR 规则的操作系统要求

您可以为运行以下任意 Windows 版本和版本的设备设置攻击面减少规则：

• Windows 10 专业版 1709 或更高版本
• Windows 10 企业版，版本 1709 或更高版本
• Windows Server 版本 1803（半年频道）或更高版本
• Windows Server 2022
• Windows 服务器 2019
• Windows 服务器 2016
• Windows Server 2012 R2

ASR 的许可要求

要使用攻击面减少规则的整个功能集，您需要：

• Microsoft Defender 防病毒软件作为主要 AV（实时保护开启）
• 云交付保护开启（某些规则要求如此）
• Windows 10 企业版 E5 或 E3 许可证

攻击面减少规则部署阶段

与任何可能影响您的业务线的新的大规模实施一样，以有条不紊的方式规划和实施非常重要。由于 ASR 规则非常擅长阻止恶意软件，因此需要仔细规划和设置它们，以确保它们最适合客户的独特工作流程。为了使 ASR 规则在您的环境中发挥作用，您需要仔细规划、测试、实施和运行它们。

下图说明了攻击面减少规则的四个部署阶段。

• 第 1 阶段：规划 ASR 规则
• 第 2 阶段：测试攻击面减少 (ASR) 规则
• 第 3 阶段：实施或启用攻击面减少 (ASR) 规则
• 阶段 4：报告 Microsoft Defender for Endpoint ASR 规则并对其进行故障排除

Intune 中的攻击面减少规则列表

使用 Intune，您可以配置以下攻击面减少 (ASR) 规则并将其部署到您的端点。下表列出了您可以为端点配置的所有 Intune ASR 规则、描述和 GUID。

Intune ASR Rule NameASR Rule DescriptionRule GUIDBlock abuse of exploited vulnerable signed driversThis rule prevents an application from writing a vulnerable signed driver to disk. The vulnerable signed drivers can be exploited by local applications – that have sufficient privileges – to gain access to the kernel eventually leading to system compromise.56a863a9-875e-4185-98a7-b882c64b5ce5Block Adobe Reader from creating child processesThis rule prevents attacks by blocking Adobe Reader from creating processes.7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cBlock all Office applications from creating child processesThis rule blocks Office apps from creating child processes. Office apps include Word, Excel, PowerPoint, OneNote, and Access.d4f940ab-401b-4efc-aadc-ad5f3c50688aBlock credential stealing from the Windows local security authority subsystem (lsass.exe)This ASR rule helps prevent credential stealing by locking down Local Security Authority Subsystem Service (LSASS). LSASS authenticates users who sign in on a Windows computer. Microsoft Defender Credential Guard in Windows normally prevents attempts to extract credentials from LSASS.9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2Block executable content from email client and webmailThis rule blocks the following file types from launching from email opened within the Microsoft Outlook application, or Outlook.com and other popular webmail providersbe9ba2d9-53ea-4cdc-84e5-9b1eeee46550Block executable files from running unless they meet a prevalence, age, or trusted list criterionThis ASR rule blocks executable files, such as .exe, .dll, or .scr, from launching. Thus, launching untrusted or unknown executable files can be risky, as it might not be initially clear if the files are malicious.01443614-cd74-433a-b99e-2ecdc07bfc25Block execution of potentially obfuscated scriptsThis rule detects suspicious properties within an obfuscated script. Malware writers and developers of legitimate software frequently employ script obfuscation to conceal intellectual property or speed up the loading of scripts. In order to make malicious code more difficult to comprehend and prevent it from being closely examined by security tools and humans, malware developers also employ obfuscation.5beb7efe-fd9a-4556-801d-275e5ffc04ccBlock JavaScript or VBScript from launching downloaded executable contentThis ASR rule prevents scripts from launching potentially malicious downloaded content. Malware written in JavaScript or VBScript often acts as a downloader to fetch and launch other malware from the Internet.d3e037e1-3eb8-44c8-a917-57927947596dBlock Office applications from creating executable contentThis rule prevents Office apps, including Word, Excel, and PowerPoint, from creating potentially malicious executable content, by blocking malicious code from being written to disk.3b576869-a4ec-4529-8536-b80a7769e899Block Office applications from injecting code into other processesThis rule blocks code injection attempts from Office apps into other processes. Attackers might attempt to use Office apps to migrate malicious code into other processes through code injection, so the code can masquerade as a clean process.75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Block Office communication application from creating child processesThis rule prevents Outlook from creating child processes, while still allowing legitimate Outlook functions.26190899-1602-49e8-8b27-eb1d0a1ce869Block persistence through WMI event subscription
* File and folder exclusions not supported.This rule prevents malware from abusing WMI to attain persistence on a device.e6db77e5-3df2-4cf1-b95a-636979351e5bBlock process creations originating from PSExec and WMI commandsThis ASR rule blocks processes created through PsExec and WMI from running. Both PsExec and WMI can remotely execute code. There’s a risk of malware abusing functionality of PsExec and WMI for command and control purposes, or to spread an infection throughout an organization’s network.d1e49aac-8f56-4280-b9ba-993a6d77406cBlock untrusted and unsigned processes that run from USBWith this rule, admins can prevent unsigned or untrusted executable files from running from USB removable drives, including SD cards. Blocked file types include executable files (such as .exe, .dll, or .scr)b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4Block Win32 API calls from Office macrosThis rule prevents VBA macros from calling Win32 APIs.92e97fa1-2edf-4476-bdd6-9dd0b4dddc7bUse advanced protection against ransomwareThis rule provides an extra layer of protection against ransomware. It uses both client and cloud heuristics to determine whether a file resembles ransomware.c1db55ab-c21a-4637-bb3f-a12568109d35

在 Intune 中创建攻击面减少规则

在 Intune 中创建新 ASR 规则的过程涉及以下步骤：

• 登录 Microsoft Endpoint Manager 管理中心。
• 选择端点安全，然后选择减少攻击面。
• 现在单击“创建策略”按钮来创建 ASR 规则。

在创建配置文件窗口中，您有两个选择平台的选项。

• Windows 10 及更高版本
• Windows 10 及更高版本 (ConfigMgr)

选择Windows 10 及更高版本作为平台。

对于配置文件，选择攻击面减少规则，然后单击创建。

使用 MEM 配置 ASR 规则 |因图恩

您可以使用 Microsoft Endpoint Manager (MEM | Intune) Endpoint Security 通过以下步骤配置自定义 ASR 规则。

1. 在“创建配置文件”页面上，单击“基本信息”选项卡，然后输入要配置的攻击面减少规则的配置文件名称和说明。单击下一步。

2. 在配置设置选项卡上，您将找到可以配置的 ASR 规则列表。每个 ASR 规则都有 4 种模式可供选择：

• 未配置或禁用：ASR规则尚未启用或已禁用的状态。该状态的代码=0。
• 阻止：启用 ASR 规则的状态。该状态的代码是1。
• 审核：评估 ASR 规则在启用（设置为阻止或警告）时对组织或环境产生的影响的状态。该状态的代码是2。
• 警告：启用 ASR 规则并向最终用户提供通知，但允许最终用户绕过阻止的状态。该状态的代码是 6。

在配置设置标签中的攻击面减少规则下，将所有规则设置为审核模式。当您最初在 Intune 中配置新的 ASR 规则时，建议您使用审核模式对其进行测试。测试攻击面减少 (ASR) 规则可帮助您在启用任何规则之前确定规则是否会阻碍业务线运营。

在接下来的步骤中，选择范围标签，您可以在其中将标签信息添加到特定设备。在分配选项卡上，您可以将配置文件“部署”或“分配”给您的用户或设备组。在查看 + 创建窗格中查看您的设置。点击创建以应用规则。

最后，端点安全 | 中列出了 ASR 规则的新攻击面减少策略。攻击面减少。您可以选择 ASR 规则并根据需要进行任何修改。

测试攻击面减少规则并排除故障

使用 Intune 完全部署攻击面减少 (ASR) 规则后，您必须制定适当的流程来监视、排除故障并响应 ASR 相关活动。

有两种方法可以分析 ADR 规则和报告详细信息：

• 了解 Microsoft 365 Defender 门户中的攻击面减少规则报告页面：如果你有 E5 订阅并使用 Microsoft Defender for Endpoint，则可以获得包含 ASR 规则事件、阻止和警告的详细报告。
• 使用 Windows 事件查看器：要查看本应被阻止的应用程序，请启动事件查看器并在 Microsoft-Windows-Windows Defender/Operational 中筛选事件 ID 1121日志。下表列出了可用于 ASR 故障排除的所有网络保护事件。

5007

设置更改时的事件

1121

当攻击面减少规则在块模式下触发时发生的事件

1122

在审核模式下触发攻击面减少规则时发生的事件

阅读下一步

• 在 Microsoft Intune 中注册 iOS iPadOS 设备
• Intune 服务版本号、更新和新功能
• 删除 Intune 中的配置配置文件
• 轻松导出 Intune 设备配置文件
• 在 Windows 设备上手动同步 Intune 策略