设置每个攻击面减少(ASR)规则的状态。
启用此设置后,你可以在"选项"部分将每个规则设置为以下各项:
- 阻止: 将应用规则
- 审核模式: 如果规则正常地触发事件,则事件将被记录(虽然实际上将不应用规则)
- 关闭: 将不应用规则
启用:
在"选项"部分下面为此设置指定每个 ASR 规则的状态。
以名称-值对形式在一个新行中输入各个规则:
- 名称列: 输入有效的 ASR 规则 ID
- 值列: 输入与要为关联规则指定的状态相关的状态 ID
值列中允许使用以下状态 ID:
- 1 (阻止)
- 0 (关闭)
- 2 (审核)
示例:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2
禁用:
将不配置 ASR 规则。
未配置:
与"禁用"相同。
你可以在"从攻击面减少规则中排除文件和路径"GP 设置中排除文件夹或文件。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
Value Name | ExploitGuard_ASR_Rules |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |