Direkt zum Hauptbereich

ASR GPO Regeldefinition

Du willst zu Hause, beim Laptop deiner Großeltern oder in einem Unternehmen ASR-Regeln implementieren? Hier bist du richtig!

ASR oder Attack Surface Reduction ist Teil von Microsoft's Antwort auf einige bekannte Angriffe. Man kann diese als GPO definieren und damit MS Defender weiter stärken.



Stetig Aktualisiert

Eine Warnung direkt am Beginn - Microsoft hat bereits bewiesen, dass sie den Regelpool stetig erweitern, daher achte auf den Stand der hier statisch hinterlegten Regeln und lese bei Bedarf auf der Seite von Microsoft nochmal nach [1] :)

 

Wie aktiviere ich ASR?

Zuerst benötigen wir gpedit.msc als Administrator (einfach mit Win+R starten).

Die Regel befindet sich unter: Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Exploit Guard > Attack Surface Reduction > Configure Attack Surface Reduction rules.

Es gibt verschiedene Betriebsmodi, die je nach Wert eine Verarbeitungsart darstellen:

  • 0: Deaktiviert
  • 1: Aktiv und blockiert
  • 2: Auditiert - vermeldet als Event und blockiert
  • 6: Blockiert, lässt aber User bei Bedarf Ausnahmen setzen (funktioniert mMn. noch nicht korrekt) 

 

Hier aktivieren wir mit "Enabled" die Regel und beginnen mit der Definition unter "Show...":

Key aka Value Name
Value
Block abuse of exploited vulnerable signed drivers
56a863a9-875e-4185-98a7-b882c64b5ce5 1
Block Adobe Reader from creating child processes
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 1
Block all Office applications from creating child processes
d4f940ab-401b-4efc-aadc-ad5f3c50688a 1
Block credential stealing from the Windows local security authority subsystem (lsass.exe)
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 1
Block executable content from email client and webmail
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 1
Block executable files from running unless they meet a prevalence, age, or trusted list criterion
01443614-cd74-433a-b99e-2ecdc07bfc25 1
Block execution of potentially obfuscated scripts
5beb7efe-fd9a-4556-801d-275e5ffc04cc 1
Block JavaScript or VBScript from launching downloaded executable content
d3e037e1-3eb8-44c8-a917-57927947596d 1
Block Office applications from creating executable content
3b576869-a4ec-4529-8536-b80a7769e899 1
Block Office applications from injecting code into other processes
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 1
Block Office communication application from creating child processes
26190899-1602-49e8-8b27-eb1d0a1ce869 1
Block persistence through WMI event subscription
* File and folder exclusions not supported.

e6db77e5-3df2-4cf1-b95a-636979351e5b 1
Block process creations originating from PSExec and WMI commands
d1e49aac-8f56-4280-b9ba-993a6d77406c 1
Block rebooting machine in Safe Mode (preview)
33ddedf1-c6e0-47cb-833e-de6133960387 1
Block untrusted and unsigned processes that run from USB
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 1
Block use of copied or impersonated system tools (preview)
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb 1
Block Webshell creation for Servers
a8f5898e-1dc8-49a9-9878-85004b8a61e6 1
Block Win32 API calls from Office macros
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b 1
Use advanced protection against ransomware
c1db55ab-c21a-4637-bb3f-a12568109d35 1

Stand: Q1'2024


Viel Spaß mit den funktionierenden GPO Ausnahmen ;)

-Arty

Kommentare

Beliebte Posts aus diesem Blog

Wieso Mirrors Edge mein Lieblingsspiel ist

Ich möchte zuerst mit einem kurzen Auffrischkurs für dich über Mirrors Edge beginnen, denn die Wahrscheinlichkeit, dass du davon gehört, geschweige denn es gespielt hast, ist leider schwindend gering..

Google verlangsamt Firefox auf Youtube

Du nutzt Firefox und YouTube lädt seit kurzem irgendwie länger? Wie wär's, wenn wir das wieder korrigieren?