ASR oder Attack Surface Reduction ist Teil von Microsoft's Antwort auf einige bekannte Angriffe. Man kann diese als GPO definieren und damit MS Defender weiter stärken.
Stetig Aktualisiert
Eine Warnung direkt am Beginn - Microsoft hat bereits bewiesen, dass sie den Regelpool stetig erweitern, daher achte auf den Stand der hier statisch hinterlegten Regeln und lese bei Bedarf auf der Seite von Microsoft nochmal nach [1] :)
Wie aktiviere ich ASR?
Zuerst benötigen wir gpedit.msc als Administrator (einfach mit Win+R starten).
Die Regel befindet sich unter: Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Exploit Guard > Attack Surface Reduction > Configure Attack Surface Reduction rules.
Es gibt verschiedene Betriebsmodi, die je nach Wert eine Verarbeitungsart darstellen:
- 0: Deaktiviert
- 1: Aktiv und blockiert
- 2: Auditiert - vermeldet als Event und blockiert
- 6: Blockiert, lässt aber User bei Bedarf Ausnahmen setzen (funktioniert mMn. noch nicht korrekt)
Hier aktivieren wir mit "Enabled" die Regel und beginnen mit der Definition unter "Show...":
| Key aka Value Name |
Value |
|---|---|
| Block abuse of exploited vulnerable signed drivers | |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 | 1 |
| Block Adobe Reader from creating child processes | |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | 1 |
| Block all Office applications from creating child processes | |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a | 1 |
| Block credential stealing from the Windows local security authority subsystem (lsass.exe) | |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | 1 |
| Block executable content from email client and webmail | |
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | 1 |
| Block executable files from running unless they meet a prevalence, age, or trusted list criterion | |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 | 1 |
| Block execution of potentially obfuscated scripts | |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc | 1 |
| Block JavaScript or VBScript from launching downloaded executable content | |
| d3e037e1-3eb8-44c8-a917-57927947596d | 1 |
| Block Office applications from creating executable content | |
| 3b576869-a4ec-4529-8536-b80a7769e899 | 1 |
| Block Office applications from injecting code into other processes | |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | 1 |
| Block Office communication application from creating child processes | |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 | 1 |
| Block persistence through WMI event subscription * File and folder exclusions not supported. |
|
| e6db77e5-3df2-4cf1-b95a-636979351e5b | 1 |
| Block process creations originating from PSExec and WMI commands | |
| d1e49aac-8f56-4280-b9ba-993a6d77406c | 1 |
| Block rebooting machine in Safe Mode (preview) | |
| 33ddedf1-c6e0-47cb-833e-de6133960387 | 1 |
| Block untrusted and unsigned processes that run from USB | |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | 1 |
| Block use of copied or impersonated system tools (preview) | |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | 1 |
| Block Webshell creation for Servers | |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 | 1 |
| Block Win32 API calls from Office macros | |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | 1 |
| Use advanced protection against ransomware | |
| c1db55ab-c21a-4637-bb3f-a12568109d35 | 1 |
Stand: Q1'2024
Viel Spaß mit den funktionierenden GPO Ausnahmen ;)
-Arty
Kommentare
Kommentar veröffentlichen