ASR Rules / Ausnahmen

Version 2.1 by Dimitri Rupp on 2026/06/11 11:09
Warning
For security reasons, the document is displayed in restricted mode as it is not the current version. There may be differences and errors due to this.

Attack Surface Reduction Rules

Eine der wichtigisten Regeln für die Endpoint Protection ist die Win_ASR_Default Rule. Diese ist im Endpoint Manager definiert.

Endpoint security - Microsoft Endpoint Manager admin center

1658392346519-579.png

Die gesetzten Security Regeln ziehen ausschließlich auf die dort zugewiesenen Gruppen. 

Es gibt 2 ASR Rules Regeln, einmal die Default Richtlinie und eine No_Fileblock Richtlinie. 

Generell bekommt jeder die Default Richtlinie, sollten jedoch die gesetzen ausnahmen bei jemanden nicht funktionieren. Kann man eine Person in die No_Fileblock Gruppe geben.

Falls durch die ASR Regeln Programme geblockt werden die man freigeben möchte, kann man dies mit einer Exclusion einstellen.

Kontrollieren kann man diese über eine Live Response Session aus dem Security Center, mit folgendem Befehl:

registry "HKLM\Software\Policies\Microsoft\windows defender\policy manager\asronlyexclusions"

1662543447347-179.png

Oder direkt am Client eine Powershell Console öffnen und dort den Befehlt GET_MpPreference eingeben.

Bzw. um alles zu sehen den Befehl:

GET-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions

1662543513699-423.png


Verwandte Themen

Kuratiert — kann direkt im Editor ergänzt werden://

Failed to execute the [velocity] macro. Cause: [The execution of the [velocity] script macro is not allowed in [xwiki:IT-Wiki.Makros.Verwandte-Themen.WebHome]. Check the rights of its last author or the parameters if it's rendered from another script.]. Click on this message for details.


Status: Migriert — Team-Review ausstehend · Owner: (festlegen) · Letzter Review: 2026-06-11