配置攻击面减少规则


设置每个攻击面减少(ASR)规则的状态。

启用此设置后,你可以在"选项"部分将每个规则设置为以下各项:
- 阻止: 将应用规则
- 审核模式: 如果规则正常地触发事件,则事件将被记录(虽然实际上将不应用规则)
- 关闭: 将不应用规则

启用:
在"选项"部分下面为此设置指定每个 ASR 规则的状态。
以名称-值对形式在一个新行中输入各个规则:
- 名称列: 输入有效的 ASR 规则 ID
- 值列: 输入与要为关联规则指定的状态相关的状态 ID

值列中允许使用以下状态 ID:
- 1 (阻止)
- 0 (关闭)
- 2 (审核)

示例:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2

禁用:
将不配置 ASR 规则。

未配置:
与"禁用"相同。

你可以在"从攻击面减少规则中排除文件和路径"GP 设置中排除文件夹或文件。

支持的平台: 至少为 Windows Server、Windows 10 版本 1709

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
Value NameExploitGuard_ASR_Rules
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

为每个 ASR 规则设置状态:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules
Value Name{number}
Value TypeREG_SZ
Default Value

windowsdefender.admx

管理模板(计算机)

管理模板(用户)