Konfigurer Attack Surface Reduction-regler


Angi tilstand for hver ASR-regel (Attack Surface Reduction).

Etter at du har aktivert denne innstillingen, kan du angi hver regel til følgende i alternativer-delen:
- Blokker: regelen vil bli brukt
- Overvåkingsmodus: Hvis regelen vanligvis fører til en hendelse, den vil bli tatt opp (selv om regelen ikke vil bli brukt)
- Av: regelen vil ikke bli aktivert
- Ikke konfigurert: regelen aktiveres med standardverdier
- Advarsel: regelen vil bli brukt, og sluttbrukeren vil ha mulighet til å omgå blokkeringen

Med mindre ASR-regelen er deaktivert blir et undereksempel på overvåkingshendelser hentet for ASR-regler der verdien ikke er konfigurert.

Aktivert:
Angi statusen for hver ASR-regel under Alternativer-delen for denne innstillingen.
Skriv inn alle reglene på en ny linje som navn/verdi-par:
- Navnekolonne: Skriv inn en gyldig ASR-regel-ID
- Verdikolonne: Skriv inn status-ID-en som er forbundet med statusen du vil angi for den tilknyttede regelen

Følgende status-ID-er tillates under Verdikolonnen:
- 1 (Blokkere)
- 0 (Av)
- 2 (Revisjon)
- 5 (Ikke konfigurert)
- 6 (Advarsel)


Eksempel :
XXXXXXXX-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
XXXXXXXX-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
XXXXXXXX-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2

Deaktivert:
Ingen ASR-regler vil bli konfigurert.

Ikke konfigurert:
Samme som deaktivert.

Du kan utelate mapper eller filer i GP-innstillingen ""Ekskludere filer og baner fra angrepsoverflate"".

Støttes av: Minst Windows Server eller Windows 10 versjon 1709

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
Value NameExploitGuard_ASR_Rules
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Angi statusen for hver ASR-regel:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules
Value Name{number}
Value TypeREG_SZ
Default Value

windowsdefender.admx

Administrative maler (datamaskiner)

Administrative maler (brukere)