减少攻击面规则有助于防止恶意软件经常用恶意代码感染计算机的行为。您可以为运行Windows 10版本1709和1803或更高版本，Windows Server版本1803（半年通道）或更高版本或Windows Server 2019的计算机设置减少攻击面的规则。

要使用减少攻击面规则的整个功能集，您需要Windows 10企业版许可证。使用Windows E5许可证，您可以获得高级管理功能，包括Microsoft Defender Advanced Threat Protection中可用的监视，分析和工作流，以及Microsoft 365安全中心中的报告和配置功能。E3许可证不提供这些高级功能，但是您可以使用事件查看器查看减少攻击面的规则事件。

减少攻击面的规则针对恶意软件和恶意应用通常用来感染计算机的行为，包括：

Office应用程序或Web邮件中尝试下载或运行文件的可执行文件和脚本

模糊或其他可疑脚本

应用在正常的日常工作中通常不会启动的行为

如果启用了减少攻击面的规则，则可以使用审核模式来评估它如何影响您的组织。最好先在审核模式下运行所有规则，以便您了解它们对业务线应用程序的影响。许多业务线应用程序在编写时就只考虑了有限的安全性，它们可能执行类似于恶意软件的任务。通过监视审核数据并添加必要应用程序的排除项，您可以部署减少攻击面的规则而不会影响生产力。

触发的规则会在设备上显示通知。您可以使用公司详细信息和联系信息来自定义通知。该通知还会显示在Microsoft Defender安全中心和Microsoft 365安全中心中。

有关配置攻击面减少规则的信息，请参阅启用攻击面减少规则。

在Microsoft Defender安全中心中查看减少攻击面的事件

Microsoft Defender ATP作为警报调查方案的一部分，提供了有关事件和阻止的详细报告。

您可以通过使用高级搜索来查询Microsoft Defender ATP数据。如果使用审核模式，则可以使用高级搜索来了解减少攻击面的规则如何影响您的环境。

这是一个示例查询：

库斯托

复制

DeviceEvents

| where ActionType startswith 'Asr'

在Windows Event Viewer中查看减少攻击面的事件

您可以查看Windows事件日志，以查看减少攻击面规则时创建的事件：

下载评估包，并将文件cfa-events.xml解压缩到计算机上易于访问的位置。

在“开始”菜单中键入“ 事件查看器 ”以打开Windows事件查看器。

单击导入自定义视图...在左侧面板上，下操作。

从文件提取位置选择文件cfa-events.xml。或者，直接复制XML。

单击确定。

这将创建一个自定义视图，该视图进行过滤以仅显示以下与受控文件夹访问相关的事件：

表格1

活动编号描述

5007设置更改时的事件

1121规则以阻止模式触发时的事件

1122在审核模式下触发规则时的事件

事件日志中的减少攻击面事件的“引擎版本”是由Microsoft Defender ATP而不是操作系统生成的。Microsoft Defender ATP与Windows 10集成在一起，因此此功能在所有安装了Windows 10的计算机上均可使用。

减少攻击面的规则

以下各节介绍了15种减少攻击面的规则。下表显示了它们的相应GUID，如果您通过组策略或PowerShell配置规则，则可以使用它们。如果使用Microsoft Endpoint Configuration Manager或Microsoft Intune，则不需要GUID：

表2

规则名称图形用户界面文件和文件夹排除

阻止来自电子邮件客户端和Webmail的可执行内容BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550支持的

阻止所有Office应用程序创建子进程D4F940AB-401B-4EFC-AADC-AD5F3C50688A支持的

阻止Office应用程序创建可执行内容3B576869-A4EC-4529-8536-B80A7769E899支持的

阻止Office应用程序将代码注入其他进程75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84支持的

阻止java script或VBScript启动下载的可执行内容D3E037E1-3EB8-44C8-A917-57927947596D不支持

阻止执行可能被混淆的脚本5BEB7EFE-FD9A-4556-801D-275E5FFC04CC支持的

阻止来自Office宏的Win32 API调用92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B支持的

阻止可执行文件运行，除非它们符合普遍性，年龄或受信任的列表条件01443614-cd74-433a-b99e-2ecdc07bfc25支持的

使用高级防御勒索软件c1db55ab-c21a-4637-bb3f-a12568109d35支持的

阻止从Windows本地安全授权子系统（lsass.exe）窃取凭据9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2支持的

阻止源自PSExec和WMI命令的流程创建d1e49aac-8f56-4280-b9ba-993a6d77406c不支持

阻止从USB运行的不受信任和未签名的进程b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4支持的

阻止Office通信应用程序创建子进程26190899-1602-49e8-8b27-eb1d0a1ce869支持的

阻止Adobe Reader创建子进程7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c支持的

通过WMI事件订阅阻止持久性e6db77e5-3df2-4cf1-b95a-636979351e5b不支持

每个规则描述均指示该规则适用于哪些应用程序或文件类型。通常，Office应用程序的规则仅适用于Word，Excel，PowerPoint和OneNote，或者适用于Outlook。除非另有说明，否则减少攻击面的规则不适用于任何其他Office应用程序。

阻止来自电子邮件客户端和Webmail的可执行内容

此规则阻止以下文件类型从Microsoft Outlook或Outlook.com中的电子邮件以及其他流行的Webmail提供程序启动：

可执行文件（例如.exe，.dll或.scr）

脚本文件（例如PowerShell .ps，VisualBasic .vbs或java script .js文件）

在以下情况中引入了此规则：Windows 10 1709，Windows Server 1809，Windows Server 2019，Microsoft Endpoint Configuration Manager CB 1710

Intune名称：从电子邮件（Webmail /邮件客户端）中删除的可执行内容（exe，dll，ps，js，vbs等）的执行（无例外）

Microsoft Endpoint Configuration Manager名称：阻止来自电子邮件客户端和Webmail的可执行内容

向导：BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

阻止所有Office应用程序创建子进程

此规则阻止Office应用创建子进程。这包括Word，Excel，PowerPoint，OneNote和Access。

这是一种典型的恶意软件行为，尤其是使用VBA宏并利用代码下载并尝试运行其他有效负载的滥用Office作为向量的恶意软件。某些合法的业务应用程序也可能会使用类似的行为，包括生成命令提示符或使用PowerShell配置注册表设置。

在以下情况中引入了此规则：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名称：Office应用程序启动子进程

配置管理器名称：阻止Office应用程序创建子进程

GUID：D4F940AB-401B-4EFC-AADC-AD5F3C50688A

阻止Office应用程序创建可执行内容

此规则通过阻止将恶意代码写入磁盘来防止Office应用程序（包括Word，Excel和PowerPoint）创建潜在的恶意可执行内容。

滥用Office作为媒介的恶意软件可能会尝试脱离Office并将恶意组件保存到磁盘。这些恶意组件将在计算机重新启动后幸存下来并保留在系统上。因此，该规则防御了常见的持久性技术。

该规则引入于：Windows 10 1709，Windows Server 1809，Windows Server 2019，SCCM CB 1710

Intune名称：Office应用程序/宏创建可执行内容

SCCM名称：阻止Office应用程序创建可执行内容

GUID：3B576869-A4EC-4529-8536-B80A7769E899

阻止Office应用程序将代码注入其他进程

攻击者可能试图使用Office应用程序通过代码注入将恶意代码迁移到其他进程，因此代码可能伪装成干净的进程。此规则阻止将代码从Office应用程序注入尝试到其他进程。使用代码注入没有已知的合法商业目的。

此规则适用于Word，Excel和PowerPoint。

在以下情况中引入了此规则：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名称：Office应用程序将代码注入其他进程（无例外）

配置管理器名称：阻止Office应用程序将代码注入其他进程

GUID：75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

阻止java script或VBScript启动下载的可执行内容

恶意软件通常使用java script和VBScript脚本启动其他恶意应用程序。

用java script或VBS编写的恶意软件通常充当下载程序，以从Internet提取并启动其他本机有效负载。此规则可防止脚本启动下载的内容，从而有助于防止恶意使用脚本来传播恶意软件并感染计算机。这不是常见的业务用途，但是业务应用程序有时会使用脚本来下载和启动安装程序。

重要

文件和文件夹排除不适用于此减少攻击面的规则。

在以下情况中引入了此规则：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名称：执行从Internet下载的有效负载的js / vbs（无例外）

配置管理器名称：阻止java script或VBScript启动下载的可执行内容

GUID：D3E037E1-3EB8-44C8-A917-57927947596D

阻止执行可能被混淆的脚本

脚本混淆是恶意软件作者和合法应用程序用来隐藏知识产权或减少脚本加载时间的常用技术。此规则检测混淆脚本中的可疑属性。

在以下情况中引入了此规则：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名称：混淆的js / vbs / ps /宏代码

配置管理器名称：阻止执行可能被混淆的脚本。

GUID：5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

阻止来自Office宏的Win32 API调用

Office VBA提供了使用Win32 API调用的功能，恶意代码可能会滥用这些调用。大多数组织不使用此功能，但仍可能依赖使用其他宏功能。此规则使您可以防止在VBA宏中使用Win32 API，从而减少了攻击面。

在以下情况中引入了此规则：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名称：Win32从Office宏代码导入

配置管理器名称：阻止来自Office宏的Win32 API调用

GUID：92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

阻止可执行文件运行，除非它们符合普遍性，年龄或受信任的列表条件

该规则阻止以下文件类型的启动，除非它们符合流行程度或年龄标准，或者位于受信任列表或排除列表中：

可执行文件（例如.exe，.dll或.scr）

注意

您必须启用云交付保护才能使用此规则。

重要

除非具有GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 的普遍性，年龄或受信任列表条件，否则禁止运行可执行文件规则由Microsoft拥有，并且未由管理员指定。它使用云提供的保护来定期更新其可信列表。

您可以指定单个文件或文件夹（使用文件夹路径或完全限定的资源名称），但不能指定适用于哪些规则或排除项。

在以下情况中引入了此规则：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名称：不符合普遍性，年龄或受信任列表条件的可执行文件。

配置管理器名称：阻止可执行文件运行，除非它们符合普遍性，期限或受信任的列表条件

GUID：01443614-cd74-433a-b99e-2ecdc07bfc25

使用高级防御勒索软件

该规则为抵御勒索软件提供了额外的保护。它扫描进入系统的可执行文件，以确定它们是否可信。如果文件与勒索软件极为相似，则此规则将阻止它们运行，除非它们位于受信任的列表或排除列表中。

注意

您必须启用云交付保护才能使用此规则。

在以下情况中引入了此规则：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名称：高级勒索软件防护

配置管理器名称：使用高级防御勒索软件

GUID：c1db55ab-c21a-4637-bb3f-a12568109d35

阻止从Windows本地安全授权子系统（lsass.exe）窃取凭据

本地安全机构子系统服务（LSASS）对登录Windows计算机的用户进行身份验证。Windows 10中的Microsoft Defender凭据保护通常会阻止尝试从LSASS中提取凭据。但是，由于自定义智能卡驱动程序或加载到本地安全机构（LSA）的其他程序的兼容性问题，某些组织无法在所有计算机上启用Credential Guard。在这种情况下，攻击者可以使用Mimikatz之类的工具从LSASS抓取明文密码和NTLM哈希。该规则通过锁定LSASS来帮助减轻这种风险。

注意

在某些应用中，代码枚举了所有正在运行的进程，并尝试以详尽的权限打开它们。该规则拒绝应用程序的进程打开操作，并将详细信息记录到安全事件日志中。这个规则会产生很多噪音。如果您的应用程序枚举了LSASS，则需要将其添加到排除列表中。就其本身而言，此事件日志条目不一定表示恶意威胁。

在以下情况中引入了此规则：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名称：标记从Windows本地安全机构子系统窃取的凭据

配置管理器名称：阻止从Windows本地安全授权子系统窃取凭据

GUID：9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

阻止源自PSExec和WMI命令的流程创建

该规则阻止运行通过PsExec和WMI命令的进程，以防止执行可能传播恶意软件攻击的远程代码。

重要

文件和文件夹排除不适用于此攻击面减少规则。

警告

仅在使用Intune或其他MDM解决方案管理设备时，才使用此规则。此规则与通过Microsoft Endpoint Configuration Manager进行的管理不兼容，因为此规则会阻止Configuration Manager客户端正常使用的WMI命令。

在以下情况中引入了此规则：Windows 10 1803，Windows Server 1809，Windows Server 2019

Intune名称：通过PSExec和WMI命令创建进程

配置管理器名称：不适用

GUID：d1e49aac-8f56-4280-b9ba-993a6d77406c

阻止从USB运行的不受信任和未签名的进程

使用此规则，管理员可以阻止未签名或不受信任的可执行文件从USB可移动驱动器（包括SD卡）运行。被阻止的文件类型包括：

可执行文件（例如.exe，.dll或.scr）

脚本文件（例如PowerShell .ps，VisualBasic .vbs或java script .js文件）

在以下情况中引入了此规则：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名称：从USB运行的不受信任和未签名的进程

配置管理器名称：阻止从USB运行的不受信任和未签名的进程

GUID：b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

阻止Office通信应用程序创建子进程

此规则可防止Outlook创建子进程。它可以抵御社会工程学攻击，并防止漏洞利用代码滥用Outlook中的漏洞。为实现此目的，该规则可防止启动其他有效负载，同时仍允许合法的Outlook功能。它还可以防止Outlook规则和形式的攻击，攻击者可以在用户的凭据被泄露时使用这些攻击。

注意

此规则仅适用于Outlook和Outlook.com。

在以下情况中引入了此规则：Windows 10 1809，Windows Server 1809，Windows Server 2019

Intune名称：从Office通信产品（测试版）创建流程

配置管理器名称：尚不可用

GUID：26190899-1602-49e8-8b27-eb1d0a1ce869

阻止Adobe Reader创建子进程

通过社会工程或漏洞利用，恶意软件可以下载并启动其他有效负载，并脱离Adobe Reader。该规则通过阻止Adobe Reader创建其他进程来防止此类攻击。

在以下情况中引入了此规则：Windows 10 1809，Windows Server 1809，Windows Server 2019

Intune名称：从Adobe Reader（测试版）创建流程

配置管理器名称：尚不可用

GUID：7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

通过WMI事件订阅阻止持久性

无文件威胁使用各种策略来保持隐藏状态，以避免在文件系统中被看到，并获得定期执行控制。某些威胁可能会滥用WMI存储库和事件模型以使其保持隐藏状态。使用此规则，管理员可以防止滥用WMI的威胁持续存在并隐藏在WMI存储库中。

引入了以下规则：Windows 10 1903，Windows Server 1903

Intune名称：通过WMI事件订阅阻止持久性

配置管理器名称：尚不可用

GUID：e6db77e5-3df2-4cf1-b95a-636979351e5b