Windows 11 中的 ASR 规则：配置和优化安全性

在当今世界，哪里 计算机威胁以令人眼花缭乱的速度发展，用强大的系统保护我们的设备已成为当务之急。在此背景下， ASR 规则（攻击面减少规则） en Windows 11 已成为保护计算机和网络免受恶意软件和针对常见漏洞攻击的最有效策略之一。无论您从事 IT 工作，还是希望提升个人或企业设备的安全性， 深入了解这些规则以及如何应用它们可以有效抵御可能的攻击。.

我们将详细介绍 ASR 规则的含义、如何从不同平台（Intune、配置管理器、组策略和 PowerShell）配置它们，以及它们的优势、局限性和最佳实践。您还将学习一些调优和故障排除技巧，以帮助您充分利用它们，最大限度地减少对关键应用程序的影响，并简化任何 IT 部门的日常运营。

Windows 11 中的 ASR 规则是什么？为什么它们如此重要？

该 攻击面减少规则 （攻击面减少规则）是一套集成到 微软后卫 并且易于管理 Intune的 或其他管理工具。其主要目标是 避免恶意软件常用来危害计算机和网络的行为和动作：我们正在讨论阻止可疑脚本、阻止潜在危险文件的运行、控制 Office 应用程序中的宏使用以及限制凭证盗窃尝试。

这些规则不仅可以屏蔽常见漏洞的访问，而且还有助于降低高级攻击、勒索软件和其他复杂威胁的风险。最好的部分是它们高度可定制，允许灵活配置以适应从大型企业到个人用户的各种环境。

在 Windows 11 中，ASR 保护在粒度和可管理性方面达到了新的高度，标志着与以前版本的质的飞跃，并成为任何安全策略的重要组成部分。 网络安全 现代的。

Windows 11 中的许可和要求

在深入研究 ASR 规则的配置和部署之前，有必要了解有关 许可证和先决条件. ASR 规则适用于 Windows 10 和 Windows 11 计算机，但完整规则包只能在企业版（例如 E3 或 E5）上使用。. 如果你有驾照 微软365 E5，您将可以从 Defender for Endpoint 或 Microsoft Defender XDR 门户访问高级监控和分析功能。

但是，即使拥有 Windows Professional 或 Microsoft 365 E3 许可证，您也可以有限地使用 ASR。您可以通过事件查看器查看规则，并开发您自己的监控系统。重要的是 Microsoft Defender防病毒 作为主要的主动解决方案，因为 ASR 规则依赖于其分析引擎来评估可疑行为并阻止它。

配置方法：Intune、Configuration Manager、GPO 和 PowerShell

ASR 规则的优势之一在于其 管理和部署策略的多功能性有多种路线和工具，每种都适合不同的环境和需求：

• Intune的非常适合通过云端管理设备群的公司。它允许您集中配置和分配 ASR 策略，监控其有效性，并在必要时应用调整或排除。
• 配置管理器（SCCM）：适用于大型组织的先进传统解决方案。允许您创建详细的策略，即使在混合或断开连接的环境中也能部署它们。
• 组策略对象 (GPO)：非常适合具有 Active Directory 的环境，允许您在域、组织单位或特定计算机级别定义规则。
• PowerShell的：灵活的选项，允许您从命令行配置、审核甚至调试 ASR 规则。 comandos，非常适合自动化或高级脚本。

每种方法都有其自身的优点和注意事项，但所有 允许您定义每个 ASR 规则的状态：阻止、审核、警告或禁用这可以根据每个组织的需求和风险对安全行为进行绝对控制。

使用 Intune 配置 ASR 规则

Intune 已成为企业现代设备管理的旗舰解决方案，尤其是在 Windows 11 环境中。通过该平台配置 ASR 规则可提供集中、可扩展且易于监控的体验。

首先，访问菜单 端点安全 在 Intune 中选择 减少遭受攻击的表面积您可以创建新策略或编辑现有策略。请确保选择正确的平台 (Windows) 和配置文件 (ASR 规则)。

接下来，您可以选择要应用的规则：

• 阻止可能混淆的脚本的执行
• 防止 Office 应用程序创建子进程 （孩子们）
• 防止使用 Office 宏进行 Win32 API 调用
• 阻止文件执行 电子邮件、网络邮件和设备 USB 不值得信赖
• 防止凭据盗窃和对 LSASS 的攻击
• 控制下载内容中 JavaScript 或 VBScript 的使用
• 停止滥用易受攻击的签名驱动程序

您可以将每个规则自定义为阻止（活动）、审核（仅记录事件）、警告（允许用户绕过阻止）或禁用模式。一旦配置了策略，它就会被分配给相关的设备组。

此外，Intune 还允许 排除可能因误报而受损的文件、路径或应用程序，增加了更多的灵活性。

从 Microsoft 配置管理器 (SCCM) 进行配置

另一种广泛使用的替代方案是 配置管理器尤其是在那些仍然选择本地化或混合管理的公司中。该流程包括访问 资产与合规性 → 端点保护 → Windows Defender的 漏洞防护 并创建漏洞防护策略。

在向导中，选择要激活的 ASR 规则，或者在模式中 阻止或审计完成后，策略将根据企业环境中定义的设备组或集合进行分发。

经常检查 日志 以及 SCCM 生成的报告，以确保规则正确应用并且不会与其他安全配置文件冲突.

组策略：通过 GPO 管理 ASR

该 组策略 在具有 Active Directory 基础结构的环境中，它们仍然是首选路由。一般步骤如下：

• 打开组策略管理控制台 (GPMC)
• 编辑（或创建）新的 GPO 并导航到它 计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒 > Microsoft Defender 漏洞防护 > 减少攻击面
• 启用设置 配置攻击面减少规则
• 通过指示每个规则的 ID 和所需值来设置其状态：“1”表示阻止，“2”表示审核，“6”表示警告，“0”表示禁用
• 可选择配置排除选项 从攻击面减少规则中排除文件和路径

这样获得的控制非常详细，但是 需要仔细维护以避免不同级别的政策之间发生冲突.

PowerShell：高级自动化和控制

对于高级管理员或自动化至关重要的环境， PowerShell 提供了直接从控制台或脚本使用 ASR 规则的可能性您还可以查阅 什么是 secpol.msc 以及它如何帮助安全策略管理？

以下是一些有用命令的示例：

• 启用 ASR 规则:
• Set-MpPreference -AttackSurfaceReductionRules_Ids <ID_de_regla> -AttackSurfaceReductionRules_Actions Enabled
• 在审核模式下激活:
• Add-MpPreference -AttackSurfaceReductionRules_Ids <ID_de_regla> -AttackSurfaceReductionRules_Actions AuditMode
• 排除:
• Add-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Ruta\a\excluir"

例如，这允许 自动激活、审核和调整大量设备的规则，将任务集成到CI/CD流程、部署脚本中，甚至实时管理事件。

每个 ASR 规则可用的状态及其工作方式

每 单独的 ASR 规则 可以根据您想要实现的目标设置为以下状态之一：

• 未配置/已禁用：该规则未应用且未记录相关事件。
• 锁：规则激活，禁止的操作被直接阻止。
• 审计：允许操作，但会记录下来以供日后查看。非常适合在执行规则之前评估影响。
• 警告：规则已应用，但用户会收到警报并可以决定是否继续。

这种灵活性使得 首先在审核模式下部署规则以监控其影响，最大限度地减少中断，然后在微调排除后切换到完全阻止模式。.

Windows 11 中的主要 ASR 规则及其用途

在众多可用规则中，以下规则因其在防止感染和未经授权的访问方面的有效性而脱颖而出：

• 阻止执行可能混淆的脚本：阻止执行通常用于加载恶意软件的可疑脚本。
• 防止 Office 创建子进程：防止Office文档通过启动其他进程生成恶意软件的攻击。
• 限制使用 Win32 API 调用的 Office 宏：特别是防止恶意宏的攻击。
• 阻止执行电子邮件和网络邮件文件：减少您接触电子邮件中受感染的附件或危险链接的机会。
• 防止 LSASS 凭据被盗：保护存储在内存中的凭据并防止攻击者横向移动。
• 阻止从不受信任的 USB 驱动器下载的内容：最大限度地降低外部设备上的恶意软件风险。
• 通过订阅 WMI 事件来防止持久性：阻止高级威胁使用的持久性技术。
• 停止向其他进程注入代码：使得逃避其他安全控制变得困难。
• 防范勒索软件和加密攻击：提高系统对此类事件的恢复能力。

随着 Defender 套件的发展，完整列表可能会发生变化并不断增长，因此建议查阅它以识别新规则及其具体用途。.

排除：如何确保关键应用程序的运行

其中一个主要挑战是 平衡安全性和可操作性有些业务应用程序由于其内部运作，可能会被某些 ASR 规则阻止或产生误报。

为了解决这些问题， 您可以在文件、文件夹甚至特定应用程序级别定义排除。这些排除可以进行管理：

• 从 Intune 中的配置面板，通过导入 CSV 文件，或手动输入路径。
• 使用 SCCM 或 GPO 中的排除设置，其中指定要排除的路径。
• 通过 PowerShell，使用命令 Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<ruta>".

建议您在审核模式下分析哪些应用程序在应用阻止之前会生成事件，以便您可以微调排除并降低阻止合法进程的风险。.

政策冲突与合并：在企业环境中如何运作

在托管环境中，设备从多个来源接收策略是很常见的。 ASR 规则允许合并策略，只要没有冲突。如果两个策略定义了具有不同状态的相同规则，则仅应用最严格的设置，或者在发生冲突时，对于该特定规则，两者都无效。

这种行为旨在 避免不一致并确保环境维持最低级别的安全，即使存在重叠的策略。因此，仔细规划组织内 ASR 策略的层次结构和应用顺序非常重要。

在 Windows 11 中监视和分析 ASR 事件

监控 ASR 规则的有效性与正确配置同样重要。有多种工具和方法可以 检查你的设备上发生了什么:

• 事件查看器：Windows 记录 ASR 相关事件 应用和服务 → Microsoft → Windows → Windows Defender → 操作您可以在此处找到有关触发的规则、阻止和采取的操作的详细日志。
• PowerShell的：您可以使用以下命令检查计算机上的活动规则及其状态 Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids y Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions。此外，您还可以访问
• 将MpCmdRun.exe：运行 MpCmdRun.exe -getfiles 您将在压缩文件中生成日志和当前配置的集合，以便深入检查。
• Microsoft Defender端点：如果您有此解决方案，则 高级狩猎 允许您使用高级查询来分析事件、受影响的文件并大规模关联可疑活动。

持续监控对于识别误报、检测新威胁和调整 ASR 设置且不损失生产力至关重要。.

逐步部署和调整：推荐的最佳实践

安全有效地实施 ASR 规则涉及遵循某些 尽量减少风险的良好做法:

• 始终以审核模式启动这样，您就可以以受控的方式识别哪些应用程序会被规则阻止或影响，并收集至少 30 天的事件。
• 审查规则的影响 在业务应用中，进入阻止模式之前根据需要引入排除。
• 定期更新您的 ASR 配置 随着微软发布新规则或改进现有规则，确保防范新出现的威胁。
• 记录所有排除情况 并向用户告知新的安全措施，请求对可能发生的事件的反馈。
• 使用监控和报告 动态调整设置并纠正可能出现的故障。