ASR Rules / Ausnahmen

Version 1.1 by Dimitri Rupp on 2026/07/08 13:06

🛡️ ASR Rules / Ausnahmen

Information

Thema: Attack Surface Reduction (ASR) Rules in Microsoft Defender for Endpoint — Konfiguration, Ausnahmen und Kontrolle.

Überblick

Eine der wichtigsten Regeln für die Endpoint Protection ist die Win_ASR_Default-Rule. Sie ist im Endpoint Manager definiert.

Endpoint security — Microsoft Endpoint Manager admin center

1658392346519-579.png

Die gesetzten Security-Regeln ziehen ausschließlich auf die dort zugewiesenen Gruppen.

Es gibt zwei ASR-Rules-Richtlinien: die Default-Richtlinie und eine No_Fileblock-Richtlinie. Grundsätzlich bekommt jeder die Default-Richtlinie. Sollten die gesetzten Ausnahmen bei jemandem nicht funktionieren, kann man die Person in die No_Fileblock-Gruppe geben.

Ausnahmen (Exclusions)

Falls die ASR-Regeln Programme blockieren, die man freigeben möchte, lässt sich das über eine Exclusion einstellen.

Kontrollieren kann man diese über eine Live Response Session aus dem Security Center mit folgendem Befehl:

registry "HKLM\Software\Policies\Microsoft\windows defender\policy manager\asronlyexclusions"

1662543447347-179.png

Oder direkt am Client eine PowerShell-Konsole öffnen und dort Get-MpPreference eingeben. Um alle ASR-Ausnahmen zu sehen:

Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions

1662543513699-423.png