設定攻擊面減少規則


設定每個受攻擊面縮小 (ASR) 規則的狀態。

啟用此設定後,您可以在 [選項] 區段將每個規則設定成下列內容:
- 封鎖: 將套用規則
- 稽核模式: 如果規則在正常狀況下會引發事件,則將予以記錄 (但並沒有實際套用規則)
- 關閉: 將不會套用規則
- 未設定: 將使用預設值啟用規則
- 警告: 將會套用規則,而使用者可以選擇略過封鎖

除非停用 ASR 規則,為 ASR 規則收集稽核事件的子樣本將為未設定的值。

啟用:
在此設定的 [選項] 區段下指定每個 ASR 規則的狀態。
以名稱值組的形式在新的一行輸入每個規則:
- 名稱欄: 輸入有效的 ASR 規則識別碼
- 值欄: 輸入與您要針對相關規則指定之狀態相關的狀態識別碼

值欄底下允許下列狀態識別碼:
- 1 (封鎖)
- 0 (關閉)
- 2 (稽核)
- 5 (未設定)
- 6 (警告)


範例:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2

停用:
未設定任何 ASR 規則。

未設定:
與停用相同。

您可以排除「排除受攻擊面縮小規則的檔案和路徑」GP 設定中的資料夾或檔案。

支援的作業系統: 至少需要 Windows Server、Windows 10 版本 1709

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
Value NameExploitGuard_ASR_Rules
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

設定每項 ASR 規則的狀態:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules
Value Name{number}
Value TypeREG_SZ
Default Value

windowsdefender.admx

系統管理範本 (電腦)

系統管理範本 (使用者)