启用攻击面减少规则

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

平台

• Windows

攻击面减少规则 有助于防止恶意软件经常滥用以破坏设备和网络的作。

要求

跨 Windows 版本的攻击面减少功能

可以为运行以下任何 Windows 版本的设备设置攻击面减少规则：

• Windows 11 Pro
• Windows 11 企业版
• Windows 10 专业版版本 1709 或更高版本
• Windows 10 企业版版本 1709 或更高版本
• Windows Server版本 1803 (半年频道) 或更高版本
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025

若要使用攻击面减少规则的整个功能集，需要：

• Microsoft Defender防病毒作为主要防病毒。 Microsoft Defender防病毒不能在被动模式下运行或禁用。

• 要启用的实时保护

• 云交付保护 (某些规则需要云保护)

• Cloud Protection 网络连接

• Microsoft 365 E5或 E3 许可证

尽管攻击面减少规则不需要Microsoft 365 E5许可证，但使用 Microsoft 365 E5 许可证，你可以获得高级管理功能，包括 Defender for Endpoint 中可用的监视、分析和工作流，以及 中的报告和配置功能Microsoft Defender XDR门户。 E3 许可证不提供这些高级功能，但你仍然可以使用事件查看器来查看攻击面减少规则事件。

每个攻击面减少规则包含以下四个设置之一：

• 未配置 或 已禁用：禁用攻击面减少规则
• 阻止：启用攻击面减少规则
• 审核：评估攻击面减少规则对组织（如果已启用）的影响
• 警告：启用攻击面减少规则，但允许最终用户绕过阻止

我们建议使用具有Microsoft 365 E5许可证 (或类似许可 SKU) 的攻击面减少规则，以利用 Microsoft Defender for Endpoint ( Defender for Endpoint) 中提供的高级监视和报告功能。 但是，如果你有其他许可证（如 Windows 专业版或不包括高级监视和报告功能的Microsoft 365 E3），则可以在触发攻击面减少规则时在每个终结点生成的事件的基础上开发自己的监视和报告工具， (例如事件转发) 。

可以使用以下任一方法启用攻击面减少规则：

• Microsoft Intune
• 移动设备管理 (MDM)
• Microsoft Configuration Manager
• 组策略 (GP)
• PowerShell

建议使用企业级管理，例如Intune或Microsoft Configuration Manager。 企业级管理在启动时会覆盖任何冲突的组策略或 PowerShell 设置。

从攻击面减少规则中排除文件和文件夹

你可以排除文件和文件夹，不受大多数攻击面减少规则的评估。 这意味着，即使攻击面减少规则确定文件或文件夹包含恶意行为，也不会阻止文件运行。

添加排除项时，请记住以下几点：

• 排除项通常基于单个文件或文件夹 (使用文件夹路径或要) 排除的文件的完整路径。
• 排除路径可以使用环境变量和通配符。 请参阅 在文件名和文件夹路径或扩展名排除列表中使用通配符
• 通过组策略或 PowerShell 部署时，排除项适用于所有攻击面减少规则。 使用Intune，可以配置特定攻击面减少规则的排除。 请参阅 配置每个规则排除的攻击面减少规则。
• 可以通过允许指定的 Defender for Endpoint 文件和证书指示器，基于证书和文件哈希添加排除项。 请参阅 指标概述。

策略冲突

如果通过 MDM 和 GP 应用了冲突策略，则从 组策略 应用的设置优先。

托管设备的攻击面减少规则现在支持合并不同策略中的设置以为每个设备创建策略超集的行为。 仅合并不冲突的设置，而策略冲突不会添加到规则的超集。 以前，如果两个策略包含单个设置的冲突，则这两个策略被标记为冲突，并且没有部署任何配置文件中的设置。

攻击面减少规则合并行为的工作方式如下：

• 针对应用规则的每个设备评估以下配置文件中的攻击面减少规则：

  • 设备>配置文件>Endpoint Protection 配置文件>Microsoft Defender攻击防护>攻击面减少。 (请参阅 攻击面减少。)

  • 终结点安全性>攻击面减少策略>攻击面减少规则。 (请参阅 攻击面减少规则。)

  • 终结点安全性>安全基线>Microsoft Defender ATP 基线>攻击面减少规则。 (请参阅 攻击面减少规则。)

• 没有冲突的设置将添加到设备的超集策略中。

• 当两个或更多策略具有冲突设置时，冲突的设置不会添加到组合策略，而不冲突的设置将添加到适用于设备的超集策略中。

• 仅会保留用于冲突设置的配置。

配置方法

本部分提供以下配置方法的配置详细信息：

• Intune
• Intune中的自定义配置文件
• MDM
• Microsoft Configuration Manager
• 组策略
• PowerShell

以下启用攻击面减少规则的过程包括有关如何排除文件和文件夹的说明。

Intune

• 通过 Windows Management Instrumentation (WMI) 事件订阅阻止持久性
• 阻止 JavaScript 或 VBScript 启动下载的可执行内容
• 阻止来自 Office 宏的 Win32 API 调用
• 阻止为服务器创建 Webshell，Windows Server 2012 R2 不支持此作，但在Windows Server 2016上受支持。 它仅适用于 Exchange 服务器角色。

终结点安全策略 (首选)

1. 选择 “终结点安全>攻击面减少”。 选择现有的攻击面减少规则或创建新规则。 若要创建新配置文件，请选择“ 创建策略 ”并输入此配置文件的信息。 对于 “配置文件类型”，请选择“ 攻击面减少规则”。 如果选择了现有配置文件，请选择 “属性” ，然后选择 “设置”。

2. 在 “配置设置 ”窗格中，选择“ 攻击面减少 ”，然后选择每个攻击面减少规则所需的设置。

3. 在“需要保护的其他文件夹列表”、“有权访问受保护文件夹的应用列表”和“从攻击面减少规则中排除文件和路径”下，输入单个文件和文件夹。

   还可以选择“ 导入 ”以导入包含要从攻击面减少规则中排除的文件和文件夹的 CSV 文件。 CSV 文件中的每一行的格式应如下所示：

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 在三个配置窗格中选择“ 下一步 ”，如果正在创建新策略，请选择“ 创建 ”或“ 保存” （如果正在编辑现有策略）。

设备配置文件 (备选项 1)

1. 选择“设备配置文件>”。 选择现有终结点保护配置文件或创建一个新配置文件。 若要创建新配置文件，请选择“ 创建配置文件 ”并输入此配置文件的信息。 对于 “配置文件类型”，请选择“ 终结点保护”。 如果选择了现有配置文件，请选择 “属性” ，然后选择 “设置”。

2. 在 “终结点保护 ”窗格中，选择“ Windows Defender 攻击防护”，然后选择“ 攻击面减少”。 为每个攻击面减少规则选择所需的设置。

3. 在 “攻击面减少例外”下，输入单个文件和文件夹。 还可以选择“ 导入 ”以导入包含要从攻击面减少规则中排除的文件和文件夹的 CSV 文件。 CSV 文件中的每一行的格式应如下所示：

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 在三个配置窗格中选择 “确定 ”。 然后，如果要创建新的终结点保护文件，请选择“ 创建 ”;如果要编辑现有终结点保护文件，请选择 “保存 ”。

Intune (替代方案 2) 中的自定义配置文件

可以使用 Microsoft Intune OMA-URI 来配置自定义攻击面减少规则。 以下过程使用规则 阻止滥用被利用的易受攻击的已签名驱动程序 的示例。

1. 打开Microsoft Intune管理中心。 在 “主页 ”菜单中，单击“ 设备”，选择“ 配置文件”，然后单击“ 创建配置文件”。

   

2. 在 “创建配置文件”的以下两个下拉列表中，选择以下项：

   • 在“平台”中，选择“Windows 10及更高版本”。
   • 在 “配置文件类型”中，选择“ 模板”。
   • 如果已通过终结点安全性设置了攻击面减少规则，请在 “配置文件类型”中选择“ 设置目录”。

3. 选择“ 自定义”，然后选择“ 创建”。

   

4. 此时会打开“自定义模板”工具，以执行步骤 1“基本信息”。 在 “1 基本信息”中，在 “名称”中，键入模板的名称，在 “说明” 中，可以键入描述 (可选) 。

   

5. 单击下一个。 步骤 2 配置设置随即 打开。 对于“OMA-URI 设置”，请单击“ 添加”。 现在会显示两个选项： “添加” 和 “导出”。

   

6. 再次单击“ 添加 ”。 此时会打开 “添加行 OMA-URI 设置 ”。 在 “添加行”中，填写以下信息：

   1. 在 “名称”中，键入规则的名称。

   2. 在 “说明”中，键入简短说明。

   3. 在 OMA-URI 中，键入或粘贴要添加的规则的特定 OMA-URI 链接。 请参阅本文中的 MDM 部分，了解要用于此示例规则的 OMA-URI。 有关攻击面减少规则 GUID，请参阅 按规则说明。

   4. 在 “数据类型”中，选择“ 字符串”。

   5. 在 “值”中，键入或粘贴 GUID 值、 \= 符号和不带空格的 State 值， (GUID=StateValue) ：

      • 0：禁用 (禁用攻击面减少规则)
      • 1：阻止 (启用攻击面减少规则)
      • 2：审核 (评估攻击面减少规则对组织的影响（如果已启用)
      • 6：警告 (启用攻击面减少规则，但允许最终用户绕过阻止)

   

7. 选择“保存”。 “添加行 ”关闭。 在 “自定义”中，选择“ 下一步”。 在步骤 3 范围标记中，范围标记是可选的。 执行下列操作之一：

   • 选择 “选择作用域标记”，选择范围标记 (可选) ，然后选择“ 下一步”。
   • 或选择“ 下一步”

8. 在步骤 4 的“分配”中，在“ 包含的组”中，对于要应用此规则的组，请从以下选项中进行选择：

   • 添加组
   • 添加所有用户
   • 添加所有设备

   

9. 在 “排除的组”中，选择要从此规则中排除的任何组，然后选择“ 下一步”。

10. 在步骤 5 适用于以下设置的 适用性规则 中，执行以下作：

11. 在“规则”中，选择“如果为”分配配置文件“或”不分配配置文件”。

12. 在 “属性”中，选择要应用此规则的属性。

13. 在 “值”中，输入适用的值或值范围。

11. 选择 下一步。 在步骤 6“查看 + 创建”中，查看已选择和输入的设置和信息，然后选择“ 创建”。

规则处于活动状态，并在几分钟内生效。

MDM

使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 配置服务提供程序 (CSP) 单独启用和设置每个规则的模式。

下面是一个参考示例，使用 攻击面减少规则引用的 GUID 值。

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

在审核模式下启用 (阻止) 、禁用、警告或启用的值包括：

• 0：禁用 (禁用攻击面减少规则)
• 1：阻止 (启用攻击面减少规则)
• 2：审核 (评估攻击面减少规则对组织的影响（如果启用)
• 6：警告 (启用攻击面减少规则，但允许最终用户绕过阻止) 。 警告模式适用于大多数攻击面减少规则。

使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 配置服务提供程序 (CSP) 添加排除项。

示例：

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Microsoft Configuration Manager

1. 在“Microsoft Configuration Manager”中，转到“资产和符合性>终结点保护>”“Windows Defender 攻击防护”。

2. 选择“ 开始>创建攻击防护策略”。

3. 输入名称和说明，选择“ 攻击面减少”，然后选择“ 下一步”。

4. 选择将阻止或审核作的规则，然后选择“ 下一步”。

5. 查看设置，然后选择“ 下一步 ”以创建策略。

6. 创建策略后，选择“关闭”。

组策略

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择编辑。

2. 在 策略管理编辑器中， 计算机配置 并选择 管理模板。

3. 将树展开到 Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少。

4. 选择 “配置攻击面减少规则 ”，然后选择“ 已启用”。 然后，可以在“选项”部分中为每个规则设置单独的状态。 选择“ 显示...” ，并在 “值名称 ”列中输入规则 ID，并在 “值 ”列中输入所选状态，如下所示：

   • 0：禁用 (禁用攻击面减少规则)
   • 1：阻止 (启用攻击面减少规则)
   • 2：审核 (评估攻击面减少规则对组织的影响（如果启用)
   • 6：警告 (启用攻击面减少规则，但允许最终用户绕过阻止)

   

5. 若要从攻击面减少规则中排除文件和文件夹，请选择“ 从攻击面减少规则中排除文件和路径 ”设置，并将选项设置为 “已启用”。 选择“ 显示 ”，并在 “值名称 ”列中输入每个文件或文件夹。 在每个项的“值”列中输入 0。

   警告

   不要使用引号，因为 “值名称 ”列或“ 值 ”列不支持引号。 规则 ID 不应有任何前导空格或尾随空格。

PowerShell

1. 在“开始”菜单中键入“PowerShell”，右键单击“Windows PowerShell”，并选择“以管理员身份运行”。

2. 键入以下 cmdlet 之一。 有关详细信息（例如规则 ID），请参阅 攻击面减少规则参考。

   任务	PowerShell cmdlet
   启用攻击面减少规则	Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   在审核模式下启用攻击面减少规则	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   在警告模式下启用攻击面减少规则	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
   启用攻击面减少 阻止滥用被利用的易受攻击的已签名驱动程序	Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
   关闭攻击面减少规则	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

   重要

   必须为每个规则单独指定状态，但可以在逗号分隔的列表中组合规则和状态。

   在以下示例中，启用前两个规则，禁用第三个规则，在审核模式下启用第四个规则： Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

   还可以使用 Add-MpPreference PowerShell 谓词向现有列表添加新规则。

   警告

   Set-MpPreference 覆盖现有规则集。 如果要添加到现有集，请改用 Add-MpPreference 。 可以使用 获取规则及其当前状态 Get-MpPreference的列表。

3. 若要从攻击面减少规则中排除文件和文件夹，请使用以下 cmdlet：

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

   继续使用 Add-MpPreference -AttackSurfaceReductionOnlyExclusions 向列表添加更多文件和文件夹。

   重要

   使用 Add-MpPreference 将应用追加或添加到列表。 Set-MpPreference使用 cmdlet 将覆盖现有列表。

相关内容

• 攻击面减少规则参考
• 评估攻击面减少
• 关于攻击面减少的常见问题解答