Wiki source code of ASR Rules / Ausnahmen

Version 3.1 by Dimitri Rupp on 2026/07/08 13:06

Show last authors
1 {{box cssClass="floatinginfobox" title="**Auf dieser Seite**"}}
2 {{toc/}}
3 {{/box}}
4
5 = 🛡️ ASR Rules / Ausnahmen =
6
7 {{info}}
8 **Thema:** Attack Surface Reduction (ASR) Rules in Microsoft Defender for Endpoint — Konfiguration, Ausnahmen und Kontrolle.
9 {{/info}}
10
11 == Überblick ==
12
13 Eine der wichtigsten Regeln für die Endpoint Protection ist die **Win_ASR_Default**-Rule. Sie ist im Endpoint Manager definiert.
14
15 [[Endpoint security — Microsoft Endpoint Manager admin center>>https://endpoint.microsoft.com/?ref=AdminCenter#blade/Microsoft_Intune_Workflows/SecurityManagementMenu/overview]]
16
17 [[image:1658392346519-579.png]]
18
19 Die gesetzten Security-Regeln ziehen ausschließlich auf die dort zugewiesenen Gruppen.
20
21 Es gibt zwei ASR-Rules-Richtlinien: die **Default**-Richtlinie und eine **No_Fileblock**-Richtlinie. Grundsätzlich bekommt jeder die Default-Richtlinie. Sollten die gesetzten Ausnahmen bei jemandem nicht funktionieren, kann man die Person in die **No_Fileblock**-Gruppe geben.
22
23 == Ausnahmen (Exclusions) ==
24
25 Falls die ASR-Regeln Programme blockieren, die man freigeben möchte, lässt sich das über eine **Exclusion** einstellen.
26
27 Kontrollieren kann man diese über eine **Live Response Session** aus dem Security Center mit folgendem Befehl:
28
29 {{code}}
30 registry "HKLM\Software\Policies\Microsoft\windows defender\policy manager\asronlyexclusions"
31 {{/code}}
32
33 [[image:1662543447347-179.png]]
34
35 Oder direkt am Client eine PowerShell-Konsole öffnen und dort ##Get-MpPreference## eingeben. Um alle ASR-Ausnahmen zu sehen:
36
37 {{code language="powershell"}}
38 Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions
39 {{/code}}
40
41 [[image:1662543513699-423.png]]