Regeln zur Verringerung der Angriffsfläche konfigurieren


Legen Sie den Zustand der einzelnen Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) fest.

Nach dem Aktivieren dieser Einstellung können Sie die einzelnen Regeln im Abschnitt "Optionen" wie folgt festlegen:
– Blockieren: Die Regel wird angewendet.
– Überwachungsmodus: Wenn die Regel normalerweise ein Ereignis auslösen würde, wird sie aufgezeichnet (obwohl die Regel tatsächlich nicht angewendet wird).
– Aus: Die Regel wird nicht angewendet.

Aktiviert:
Geben Sie den Zustand der einzelnen ASR-Regeln im Abschnitt "Optionen" für diese Einstellung an.
Geben Sie jede Regel als Name/Wert-Paar in eine neue Zeile ein:
– Namensspalte: Geben Sie eine gültige ID für die ASR-Regel ein.
– Wertespalte: Geben Sie die Status-ID ein, die sich auf den Zustand bezieht, den Sie für die zugeordnete Regel angeben möchten.

Die folgenden Status-IDs sind in der Wertespalte zulässig:
– 1 (Blockieren)
– 0 (Aus)
– 2 (Überwachen)

Beispiel:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2

Deaktiviert:
Es werden keine ASR-Regeln konfiguriert.

Nicht konfiguriert:
Identisch mit "Deaktiviert".

Sie können Ordner oder Dateien in der Gruppenrichtlinieneinstellung "Dateien und Pfade aus Regeln zur Verringerung der Angriffsfläche ausschließen" ausschließen.

Unterstützt auf: Mindestens Windows Server, Windows 10, Version 1709

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
Value NameExploitGuard_ASR_Rules
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Zustand für jede ASR-Regel festlegen:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules
Value Name{number}
Value TypeREG_SZ
Default Value

windowsdefender.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)