ASR Rules / Ausnahmen

Last modified by Dimitri Rupp on 2026/06/11 11:20

Attack Surface Reduction Rules

Eine der wichtigisten Regeln für die Endpoint Protection ist die Win_ASR_Default Rule. Diese ist im Endpoint Manager definiert.

Endpoint security - Microsoft Endpoint Manager admin center

1658392346519-579.png

Die gesetzten Security Regeln ziehen ausschließlich auf die dort zugewiesenen Gruppen. 

Es gibt 2 ASR Rules Regeln, einmal die Default Richtlinie und eine No_Fileblock Richtlinie. 

Generell bekommt jeder die Default Richtlinie, sollten jedoch die gesetzen ausnahmen bei jemanden nicht funktionieren. Kann man eine Person in die No_Fileblock Gruppe geben.

Falls durch die ASR Regeln Programme geblockt werden die man freigeben möchte, kann man dies mit einer Exclusion einstellen.

Kontrollieren kann man diese über eine Live Response Session aus dem Security Center, mit folgendem Befehl:

registry "HKLM\Software\Policies\Microsoft\windows defender\policy manager\asronlyexclusions"

1662543447347-179.png

Oder direkt am Client eine Powershell Console öffnen und dort den Befehlt GET_MpPreference eingeben.

Bzw. um alles zu sehen den Befehl:

GET-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions

1662543513699-423.png


Verwandte Themen

Kuratiert — kann direkt im Editor ergänzt werden://

Automatisch vorgeschlagen über gemeinsame Tags (security, anleitung): 


Status: Migriert — Team-Review ausstehend · Owner: (festlegen) · Letzter Review: 2026-06-11