攻击面减少规则概述

为什么攻击面减少规则很重要

组织的攻击面包括攻击者可能破坏组织设备或网络的所有位置。 减少攻击面意味着保护组织的设备和网络，这会使攻击者执行攻击的方法更少。 在 Microsoft Defender for Endpoint 中配置攻击面减少规则可能会有所帮助！

攻击面减少规则针对某些软件行为，例如：

• 启动尝试下载或运行文件的可执行文件和脚本
• 运行经过模糊处理的脚本或其他可疑脚本
• 执行应用通常不会在日常工作中启动的行为

此类软件行为有时出现在合法的应用程序中。 但是，这些行为通常被视为有风险，因为它们通常被攻击者通过恶意软件滥用。 攻击面减少规则可以限制基于软件的风险行为，并帮助保护组织的安全。

有关如何管理攻击面减少规则的顺序端到端过程，请参阅：

• 攻击面减少规则部署概述
• 规划攻击面减少规则部署
• 测试攻击面减少规则
• 启用攻击面减少规则
• 作攻击面减少规则

先决条件

支持的操作系统

• Windows

部署前评估规则

可以通过在 Microsoft Defender 漏洞管理 中打开该规则的安全建议来评估攻击面减少规则对网络的影响。

在“建议详细信息”窗格中，检查用户影响，以确定你的设备可以接受新策略的百分比，该策略在阻止模式下启用规则，而不会对工作效率产生不利影响。

有关支持的作系统和其他 要求 信息，请参阅“启用攻击面减少规则”一文中的要求。

评估的审核模式

审核模式

使用 审核模式 评估攻击面减少规则在启用后对组织的影响。 首先在审核模式下运行所有规则，以便了解它们如何影响业务线应用程序。 许多业务线应用程序在编写时具有有限的安全问题，它们可能以类似于恶意软件的方式执行任务。

排除项

通过监视审核数据并为必要的应用程序 添加排除 项，可以在不降低工作效率的情况下部署攻击面减少规则。

按规则排除

有关配置每规则排除项的信息，请参阅测试攻击面减少规则一文中标题为“配置每个规则排除的攻击面减少规则”部分。

用户的警告模式

每当攻击面减少规则阻止内容时，用户都会看到一个对话框，指示内容被阻止。 该对话框还为用户提供了取消阻止内容的选项。 然后，用户可以重试其作，作完成。 当用户取消阻止内容时，内容将保持取消阻止状态 24 小时，然后阻止继续。

警告模式可帮助组织制定攻击面减少规则，而不会阻止用户访问执行任务所需的内容。

警告模式正常工作的要求

运行以下 Windows 版本的设备支持警告模式：

• Windows 10 版本 1809 或更高版本
• Windows 11
• Windows Server版本 1809 或更高版本

Microsoft Defender防病毒必须在活动模式下运行实时保护。

此外，请确保已安装Microsoft Defender防病毒和反恶意软件更新。

• 最低平台发布要求： 4.18.2008.9
• 最低引擎发布要求： 1.1.17400.5

有关详细信息和获取更新，请参阅针对Microsoft Defender反恶意软件平台的更新。

不支持警告模式的情况

在 Microsoft Intune 中配置三个攻击面减少规则时，不支持警告模式。 (如果使用 组策略 配置攻击面减少规则，则支持警告模式。) 在 Intune 中配置三个不支持警告模式 Microsoft的规则如下所示：

• 阻止 JavaScript 或 VBScript 启动下载的可执行内容 (GUID d3e037e1-3eb8-44c8-a917-57927947596d)
• 阻止通过 WMI 事件订阅 (GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
• 使用针对勒索软件的高级防护 (GUID c1db55ab-c21a-4637-bb3f-a12568109d35)

此外，在运行旧版 Windows 的设备上不支持警告模式。 在这些情况下，配置为在警告模式下运行的攻击面减少规则在块模式下运行。

通知和警报

每当触发攻击面减少规则时，设备上会显示通知。 你可以使用公司的详细信息和联系人信息自定义通知。

此外，当触发某些攻击面减少规则时，将生成警报。

可以在Microsoft Defender门户中查看通知和生成的任何警报。

有关通知和警报功能的特定详细信息，请参阅攻击面减少规则参考一文中的按规则警报和通知详细信息。

高级搜寻和攻击面减少事件

可以使用高级搜寻来查看攻击面减少事件。 为了简化传入数据量，只有每小时的唯一进程才能通过高级搜寻查看。 攻击面减少事件的时间是该事件在一小时内首次出现的时间。

例如，假设 10 台设备在下午 2：00 发生攻击面减少事件。 假设第一个事件发生在 2：15，最后一个事件发生在 2：45。 使用高级搜寻，你会看到该事件的一个实例 (，即使它实际发生在 10 台设备) ，其时间戳是下午 2：15。

有关高级搜寻的详细信息，请参阅 使用高级搜寻主动搜寻威胁。

跨 Windows 版本的攻击面减少功能

可以为运行以下任何 Windows 版本的设备设置攻击面减少规则：

• Windows 10 专业版版本 1709 或更高版本

• Windows 10 企业版版本 1709 或更高版本

• Windows 11 专业版版本 21H2 或更高版本

• Windows 11 企业版版本 21H2 或更高版本

• Windows Server版本 1803 (半年频道) 或更高版本

• Windows Server 2025

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

• Azure Stack HCI OS 版本 23H2 及更高版本

  注意

  Windows Server 2016和Windows Server 2012 R2 必须按照载入Windows Server 2012 R2 中的说明并Windows Server 2016Microsoft Defender for Endpoint使此功能正常工作。

虽然攻击面减少规则不需要 Windows E5 许可证，但如果拥有 Windows E5，则可获得高级管理功能。 高级功能 - 仅在 Windows E5 中可用 - 包括：S

• Defender for Endpoint 中提供的监视、分析和工作流
• Microsoft Defender XDR中的报告和配置功能。

这些高级功能不适用于 Windows 专业版或 Windows E3 许可证。 但是，如果确实拥有这些许可证，则可以使用事件查看器和Microsoft Defender防病毒日志来查看攻击面减少规则事件。

在Microsoft Defender门户中查看攻击面减少事件

Defender for Endpoint 提供事件和块的详细报告，作为警报调查方案的一部分。

可以使用高级搜寻在 Microsoft Defender XDR 中查询 Defender for Endpoint 数据。

示例查询如下：

DeviceEvents
| where ActionType startswith 'Asr'

查看 Windows 事件查看器中的攻击面减少事件

可以查看 Windows 事件日志，以查看攻击面减少规则生成的事件：

1. 下载 评估包 并将文件 cfa-events.xml 提取到设备上易于访问的位置。

2. 在“开始”菜单中输入单词“事件查看器”以打开 Windows 事件查看器。

3. 在 “作”下，选择“ 导入自定义视图...”。

4. 选择从中提取文件 cfa-events.xml 。 或者， 直接复制 XML。

5. 选择“确定”。

   可以创建自定义视图，该视图筛选事件以仅显示以下事件，所有这些事件都与受控文件夹访问相关：

   事件 ID	描述
   5007	更改设置时的事件
   1121	在阻止模式下触发规则时的事件
   1122	在审核模式下触发规则时发生的事件

Defender for Endpoint 生成事件日志中列出的“引擎版本”，用于减少攻击面。 作系统不会生成此版本。 Defender for Endpoint 与 Windows 10 和 Windows 11 集成，因此此功能适用于所有安装了Windows 10或Windows 11的设备。

另请参阅

• 攻击面减少规则部署概述
• 规划攻击面减少规则部署
• 测试攻击面减少规则
• 启用攻击面减少规则
• 作攻击面减少规则
• 攻击面减少规则报告
• Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项