マイクロソフトディフェンダーは、サードパーティのアンチウイルスを使用している間も、ガード攻撃対象領域削減ルール(asr)を悪用しますか?

tutu_31 受付中最終更新日:2022-06-14 01:50

それとも冗長ですか?そうでない場合は、これがセキュリティを強化するためのオプションであると便利です.

返信リスト(回答:7)

3 #

GregCar 2022-03-16 03:20

そのため、「少なくとも」エクスプロイト保護はサードパーティのアンチウイルスで機能すると言いました.
さらに質問がある場合は、エンタープライズフォーラムではないため、前述のフォーラムの1つで質問してください.

応答3# ->にスキップ
2 #
tutu 2022-03-16 10:03
私は「エクスプロイト保護」ではなく「攻撃対象領域削減ルール(ASR)」について質問していました.これらは2つの異なるものです.提供したリンクによると、ASRはサードパーティのアンチウイルスでは機能しません.

応答2# ->にスキップ
1 #
LamKen1 2022-03-18 07:16
こんにちはツツ、
「バッチスクリプトの駆除」に取り組んでいるWindowsユーザーとして、ASRおよびASRルールは有効にした場合にのみアクティブになると思います.個人的には、Powershellを介してそれらを有効にします.あなたはそれらを有効にすることができます Microsoft Intune、モバイルデバイス管理(MDM)、 Microsoft Endpoint Configuration Manager、グループポリシーとパワーシェルによると攻撃対象領域の削減ルールを有効にするMicrosoftのドキュメント.ASRをアクティブ化した方法を教えてください.これにより、ASRが正しく機能しているかどうかを確認できる場合があります.以下に、Powershellメソッドを示します.
によると攻撃対象領域削減ルールは、Microsoftによるドキュメントを参照しています、Powershellを管理者として実行し、以下の行を入力してすべてのASRルールをアクティブにします.値を6に設定しました.これは、ルールに違反した場合に「警告、ユーザーアクションが確認されるのを待つ」ことを意味します.ルールの機能と価値の詳細については、ドキュメントをお読みください.また、理解できない場合は、さらに質問してください.
add-mppreference-AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids be9ba2d9-53ea-4cdc-84e5-9b1eeee46550-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 5beb7efe-fd9a-4556-801d-275e5ffc04cc-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids d3e037e1-3eb8-44c8-a917-57927947596d-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 3b576869-a4ec-4529-8536-b80a7769e899-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b-AttackSurfaceReductionRules_Actions 6; add-mppreference-AttackSurfaceReductionRules_Ids c1db55ab-c21a-4637-bb3f-a12568109d35-AttackSurfaceReductionRules_Actions 6; pause
ASRおよびASRルールが機能しているかどうかを確認するには、PowershellがAdminとして実行されたときにGet-MpPreferenceと入力し、AttackSurfaceReductionRules_ActionsおよびAttackSurfaceReductionRules_Idsの後に値があるかどうかを確認します.強い>
ASRが気に入らない場合は、Remove-MpPreferenceを使用して削除できます.すべてを、管理者として実行されているPowerShellにコピーするだけです.
remove-mppreference-AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a-AttackSurfaceReductionRules_Actions 6;remove-mppreference-AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids be9ba2d9-53ea-4cdc remove-mppreference-AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids 5beb7efe-fd9a-4556-801d-275e5ffc04cc-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids d3e037e1-3eb8-44c8-a917-57927947596d-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids 3b576869-a4ec-4529-8536-b80a7769e899-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b-AttackSurfaceReductionRules_Actions 6; remove-mppreference-AttackSurfaceReductionRules_Ids c1db55ab-c21a-4637-bb3f-a12568109d35-AttackSurfaceReductionRules_Actions 6; pause
編集:Windows Defenderを無効にしなかった場合は、ASRルールが機能しているはずです.Malwarebytesをインストールしてテストしました.PowerShellを使用してASRルールをアクティブ化した後、Word.exeにリンクを投稿しました.上記のPowerShellスクリプトに含まれているルールの1つは、Officeで子プロセスを作成するリンクを開くときに警告することであり、警告しました.ただし、あなたは私よりもASRルールの経験が豊富なようです.そのため、すべてのASRルールが機能するとは限りません.それに応じて、テストします.

6 #

RobKoch 2022-03-15 14:12

グレッグがそのMicrosoftDocsリファレンスですでに推測しているように、エクスプロイト保護機能は実際にはWindows 10または11自体のパットですが、これらの最新のWindowsオペレーティングシステムにバンドルされている他の多くのセキュリティ機能と同様に、Windowsセキュリティインターフェイスはこれらはすべて、多くの場合、半関連のセキュリティ構成のみが見つかります.

そのドキュメントドキュメントはMicrosoft365に関連していますが、エクスプロイト保護はWindows自体の一部になったため、スタンドアロンのコンシューマーデバイス用にWindowsセキュリティ内で構成することもできます.実際、何かを変更した場合、何かを台無しにする可能性が高くなります.

WindowsDefenderの新しいエクスプロイト保護の仕組みと構成方法

実際、ほとんどの場合、エクスプロイト保護を構成する必要はまったくありません.これらの設定は、保護が一部のApplicationに干渉し、エクスプロイト保護自体の通常の動作に影響を与えない場合にのみ変更を許可するために存在するためです.

置き換えられた以前のEMETツールキットとは異なり、エクスプロイト保護はオペレーティングシステムに直接統合され、構成オプションは、すでに述べたように、Applicationの競合が発生した場合に必要となる可能性のある例外を許可するためにのみ追加されました.

ロブ

応答6# ->にスキップ
4 #
tutu 2022-03-15 21:20
デフォルトのエクスプロイト保護設定がすべてではありません. 1つのASRルールは、WMIによる子プロセスの作成をブロックしますが、サードパーティのアンチウイルスを使用している場合、これは機能しません. これは、wmic.exeおよびWmiPrvSE.exeのカスタム「エクスプロイト保護」パラメーターを使用して手動で行うことができます.これは、WMIではデフォルトで有効になっていません.

7 #

GregCar 2022-03-15 12:02

このMicrosoftドキュメントによると、少なくともエクスプロイト保護はサードパーティのウイルス対策ソリューションで機能します.
https://docs.Microsoft.com/ja-jp/Microsoft-365/....
これはエンタープライズソリューションであるため、さらに質問がある場合は、ITプロフェッショナル向けの姉妹フォーラムであるQ&Aフォーラムで質問してください. https://docs.Microsoft.com/ja-jp/answers/index.... Microsoftコミュニティは、厳密には最終消費者向けのフォーラムです.
同様に良い(そして時には忙しい)ITProフォーラムもここにあります:
https://www.techrepublic.com/forums/ https://www.spiceworks.com/
お役に立てば幸いです.

応答7# ->にスキップ
5 #
tutu 2022-03-15 21:29
ご返信ありがとうございます.共有したリンクによると、攻撃対象領域削減ルール(ASR)にはDefenderアンチウイルスが必要であり、サードパーティのアンチウイルスが有効になっている場合は実行されません. サードパーティのウイルス対策ソフトウェアで機能する「エクスプロイト保護」について言及していました.
「攻撃対象領域の削減ルールマルウェアの阻止に役立つインテリジェントなルールを使用して、Applicationの脆弱性(攻撃対象領域)を削減します(Microsoft Defender Antivirusが必要です).」