Définit l'état de chaque règle de Réduction de la Surface d'Attaque (ASR).
Après avoir activé ce paramètre, vous pouvez définir les règles suivantes dans la section Options :
-Bloc : la règle est appliquée
-Mode audit : si la règle entraîne normalement un événement, celle-ci est enregistrée (bien que la règle ne soit pas réellement appliquée)
Inactif : la règle ne sera pas appliquée
-Non configuré : la règle est activée avec les valeurs par défaut
-Avertir : la règle est appliquée et l'utilisateur final peut ignorer le bloc
À moins que la règle ASR ne soit désactivée , un sous-exemple d'événements d'audit est collecté pour les règles de récupération automatique des messages dont la valeur n'est pas configurée.
Activé :
Spécifier l'état de chaque règle ASR dans la section Options pour ce paramètre.
Entrez chaque règle sur une nouvelle ligne sous forme de paire nom-valeur :
-Nom colonne : entrez un ID de règle ASR valide
Colonne valeur : entrez l'ID d'État qui correspond à l'état que vous voulez spécifier pour la règle associée
Les ID d'état suivants sont autorisés dans la colonne valeur :
-1 (bloquer)
-0 (désactivée)
-2 (audit)
-5 (non configuré)
-6 (avertir)
Exemple :
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2
Désactivé :
Aucune règle ASR n'est configurée.
Non configuré :
Même que désactivé.
Vous pouvez exclure des dossiers ou des fichiers dans le paramètre de stratégie de stratégie « exclure les fichiers et les chemins d'accès des règles de Réduction de la Surface d'Attaque ».
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
Value Name | ExploitGuard_ASR_Rules |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |