Настройка состояния для каждого правила сокращения направлений атак (СНА).
После включения этого параметра можно установить для каждого правила в разделе "Параметры" следующие значения:
- Блокировка: правило будет применяться
- Режим аудита: если в обычном режиме правило вызывает некоторое событие, оно будет записано (хотя правило применяться не будет)
- Выкл.: правило применяться не будет
- Не настроено: правило включено со значениями по умолчанию
- Предупреждение: правило будет применяться, при этом у пользователя будет возможность обойти блокировку
Если правило СНА не отключено, часть событий аудита отбирается для правил СНА со значением "Не настроено".
Включено:
Укажите состояние каждого правила СНА в разделе "Параметры" этой настройки.
Вводите каждое правило с новой строки в виде пары "имя–значение":
- Столбец "Имя": введите действительный ИД правила СНА
- Столбец "Значение": введите ИД состояния, связанного с состоянием, которое вы хотите указать для соответствующего правила
В столбце "Значение" разрешено использовать следующие ИД состояний:
- 1 (Блокировка)
- 0 (Выкл.)
- 2 (Аудит)
- 5 (Не настроено)
- 6 (Предупреждение)
Пример:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2
Отключено:
Правила СНА не будут настроены.
Не настроено:
То же, что "Отключено".
Вы можете исключать папки или файлы при задании параметра групповой политики ""Исключение файлов и путей из правил сокращения направлений атак"".
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
Value Name | ExploitGuard_ASR_Rules |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |