🛡️ Искусство настройки Windows Defender: SmartScreen, правила ASR и защита от эксплуатов для продвинутого пользователя

Когда разговариваем о защите Windows, большинство видят просто включённый антивирус и закрытые двери. На деле всё намного интереснее: современная операционная система работает как слаженный оркестр, где каждый инструмент защиты требует не просто включения, а хирургически точной настройки. Проблема в том, что этот оркестр начинает резать слух, когда защита становится агрессивнее, чем нужно вашей системе.

За годы работы с корпоративной безопасностью я узнал важное правило: заблокированное легальное приложение — это не только потеря производительности, но и постепенное разрушение доверия пользователей к системе защиты. С другой стороны, чрезмерно мягкая конфигурация превращает компьютер в приманку для киберугроз. Золотая середина — вот в чём искусство.

Windows Defender SmartScreen, механизм снижения поверхности атаки (ASR) и защита от эксплуатов составляют мощную триаду встроённой безопасности. Вместе они способны заблокировать 85–95% стандартных атак на поведенческом уровне, без привлечения дополнительных антивирусов. Но для этого нужно понимать, как они работают изнутри, какие ложные срабатывания их ждут и на какие компромиссы придётся пойти между защитой и удобством.

Как это устроено: заглянем под капот

SmartScreen: облачное хранилище репутации на границе системы

SmartScreen работает как трёхуровневый фильтр репутации. Основан на трёх сигналах: хеш файла (алгоритм SHA256), цифровой сертификат издателя и статистика скачиваний по всему миру. Microsoft поддерживает базу данных, в которой — миллиарды файлов.

Когда вы скачиваете программу, срабатывает три проверки подряд:

1. Проверка хеша — система сравнивает уникальный идентификатор файла с облачной базой известных вредоносных программ
2. Проверка сертификата — определяет, подписан ли файл электронным сертификатом издателя, который уже имеет историю репутации
3. Анализ распространённости — оценивает, сколько пользователей по всему миру уже скачали эту программу (чем больше — тем безопаснее)

Результат фильтруется в три категории:

— Проверено и безопасно: известный безопасный файл либо подписан сертификатом с положительной историей — предупреждений нет
— Известная угроза: файл распознан как вредонос — появляется красное окно с блокировкой
— Неизвестное или редкое: новая или малораспространённая программа — синее предупреждение с предложением скачать, только если вы уверены

Важный момент: SmartScreen не защищает от совершенно новых вредоносных программ в первые часы их появления. Он опирается на исторические данные и статистику распространения. Поэтому инструмент, выпущенный на неделю назад, или обновлённая версия программы часто получают статус «неизвестное» на 2–7 дней, пока облачная система накапливает достаточно информации для оценки.

Настройки SmartScreen хранятся в трёх местах реестра в зависимости от контекста:

HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
└─ SmartScreenEnabled (строка либо число)
├─ RequireAdmin = предупреждение с требованием прав администратора
├─ Warn = диалоговое окно без необходимости в админ-правах
└─ Off = функция отключена полностью

HKCU:\Software\Microsoft\Edge\SmartScreenEnabled
└─ SmartScreenEnabled = 1 (функция включена) или 0 (отключена)

HKLM:\SOFTWARE\Policies\Microsoft\Windows\System
└─ EnableSmartScreen (для управления через групповую политику)

Механизм ASR: поведенческий щит против типовых способов атак

Механизм снижения поверхности атаки — это вовсе не традиционный антивирус. Это набор поведенческих правил, которые блокируют определённые технические приёмы, используемые почти во всех семействах вредоносных программ. Microsoft предусмотрел 19 таких правил, разбитых на четыре группы по назначению:

1. Защита документов Microsoft Office (7 правил): блокировка макросов на языке VBA, инъекций кода, создания дочерних процессов из текстовых и табличных редакторов
2. Контроль скачиваний и запуска (4 правила): остановка скачанных из браузеров и почтовых клиентов исполняемых файлов, запуск скриптов из сомнительных источников
3. Создание процессов и горизонтальное движение (4 правила): блокировка инструментов удалённого выполнения команд (PSExec), функций управления системой через WMI, кража данных авторизации из критичных процессов
4. Остальное и защита от шифрующихся вирусов (4 правила): блокировка уязвимых драйверов, незащищённых USB-устройств, программ-шифровщиков, веб-оболочек для взлома

Ключевая особенность: механизм ASR работает на уровне ядра Windows и не зависит от основного антивируса Defender при блокировании, но требует его наличия для режима аудита. Проще говоря, если вы полностью отключили Defender, то и правила ASR перестают работать.

Каждое правило имеет уникальный идентификатор (GUID) и может находиться в четырёх состояниях:

— Не установлено (0): правило неактивно, ничего не происходит
— Аудит (2): система записывает события в логи, но не блокирует
— Предупреждение (6): пользователь видит уведомление, но может продолжить действие
— Блокировка (1): полная остановка без возможности обхода

Защита от эксплуатов: микроархитектурная оборона на уровне памяти

Защита от эксплуатов — это набор из пяти ключевых техник для предотвращения использования уязвимостей, связанных с памятью:

1. Control Flow Guard (CFG): охраняет косвенные вызовы функций от перенаправления при переполнении буфера. Использует специальную таблицу в памяти ядра для проверки корректности адресов вызовов. Влияние на производительность: менее 5% в большинстве приложений.
2. Data Execution Prevention (DEP): запрещает выполнение кода, расположенного в стеках данных и динамической памяти. Включена по умолчанию, критична для защиты.
3. Address Space Layout Randomization (ASLR) в двух вариантах:
   — Нижняя граница ASLR: случайное размещение адресов при загрузке модулей (включена по умолчанию)
   — Обязательная ASLR: экстремально агрессивный вариант, может нарушить работу приложений (отключена по умолчанию)
4. Защита обработчиков структурированных исключений (SEHOP): охраняет структуры обработчиков исключений от перезаписи (включена по умолчанию).
5. Контроль целостности динамической памяти: проверка целостности структур в памяти (включена по умолчанию).

• Поддержите канал T.E.X.H.O Windows & Linux — подпишитесь, ставьте лайки и делитесь этой статьёй с коллегами. Если Вам нравится что мы делаем, рассмотрите возможность поддержки через взносы на развитие канала. Спасибо за внимание к техническому контенту высокого качества!

• 💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰 Или сделать любой перевод по ССЫЛКЕ или QR-коду через СБП. Быстро, безопасно и без комиссии. ( Александр Г. ) Автор канала: "Т.Е.Х.Н.О Windows & Linux".

Стратегия внедрения: от теории к практике

Главное правило: сначала наблюдение, потом блокировка

Первый и самый важный совет из документации Microsoft и опыта сообщества администраторов: переводите правило ASR в режим блокировки только после наблюдения минимум в течение двух недель. В идеале — месяц.

Почему это критично? Потому что приложения постоянно делают неожиданные вещи. К примеру:

— Табличный редактор Excel, открывающийся с расширением Power Query, может косвенно запустить командную строку для работы с внешними источниками данных
— Корпоративные системы используют макросы Office для автоматизации, включая системные вызовы API
— PDF-ридеры запускают дочерние процессы для взаимодействия с внешними обработчиками

Период наблюдения в 2–4 недели покажет вам всё, что нужно. Вы получите записи в журнале событий (Event ID 1121 в режиме аудита и Event ID 1122 в режиме блокировки), которые покажут точные команды и пути, которые были бы заблокированы.

Как развёртывается защита ASR в организациях (проверено на тысячах компьютеров):

Волна 1 (тестирование): 10–50 компьютеров
├─ Все правила в режиме аудита
├─ Период: 2–4 недели
└─ Цель: выявить шумные правила и необходимые исключения

Волна 2 (расширенное тестирование): 200–500 компьютеров
├─ Стабильные правила переходят в режим блокировки
├─ Проблемные остаются в режиме предупреждения или аудита
├─ Период: 2–3 недели
└─ Цель: убедиться в отсутствии критичных конфликтов

Волна 3 (полное развёртывание): 100% компьютеров
├─ Все правила в режиме блокировки или предупреждения
├─ Индивидуальные исключения для каждой группы пользователей
└─ Постоянный мониторинг через портал безопасности

Какие правила включать в первую очередь (практический опыт показывает, что конфликтов почти нет):

🔴 Высокий приоритет — можно переводить в режим блокировки сразу:

— Блокировка неподписанных USB-устройств и программ с них (GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4) — 18 месяцев внедрения, ноль критичных инцидентов
— Блокировка эксплуатации известных уязвимостей в подписанных драйверах (GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5) — стандартное правило, одобренное Microsoft
— Применение расширенной защиты от программ-шифровщиков (GUID: c1db55ab-c21a-4637-bb3f-a12568109d35) — облачный анализ поведения

🟡 Средний приоритет — начать с предупреждений, потом перейти на блокировку:

— Блокировка выполнения потенциально замаскированных скриптов (GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc) — требует облачной защиты, может конфликтовать с легальными инструментами
— Блокировка исполняемых файлов из электронной почты и веб-почты (GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550) — конфликтует с архиваторами и загрузчиками
— Блокировка создания дочерних процессов всеми программами Office (GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a) — много исключений для корпоративных приложений

🟠 Низкий приоритет — требуют тщательного анализа перед внедрением:

— Блокировка инъекций кода из Office в другие процессы (GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84) — несовместимо с программами для управления привилегиями (Avecto Privilege Guard) и некоторыми инструментами безопасности
— Блокировка запуска исполняемых файлов с низкой популярностью (GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25) — разработчикам нужны исключения для частных инструментов

Исключения для конкретных правил: точность вместо полного отключения

Не все правила поддерживают стандартные исключения через Defender. Вот список правил, которые игнорируют обычные исключения Defender:

— Блокировка создания дочерних процессов Adobe Reader
— Блокировка процессов из инструментов PSExec и управления через WMI
— Блокировка кражи данных авторизации из системных процессов
— Блокировка создания исполняемого содержимого Office
— Блокировка инъекций кода из Office
— Блокировка создания дочерних процессов приложениями связи Office

Для этих правил используются исключения по отдельному правилу в Intune или групповой политике:

# Через PowerShell (управление на одном компьютере)
Add-MpPreference `
-AttackSurfaceReductionOnlyExclusions "C:\Program Files\YourApp\app.exe" `
-AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a `
-AttackSurfaceReductionRules_Actions Block

В облачной системе управления процесс отличается: создаёте отдельную политику с более высоким приоритетом (через теги области), где указываете исключения для конкретных приложений или групп пользователей.

Пошаговые инструкции для опытных пользователей

Включение SmartScreen через реестр

Вариант 1: включить с режимом предупреждения (рекомендуется для большинства)

@echo off
REM Требуется запуск с правами администратора
REM Это включает SmartScreen с диалоговым окном для файлов Windows

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" ^
/v SmartScreenEnabled /t REG_SZ /d "Warn" /f

REM Для браузера Edge (отдельный параметр)
reg add "HKCU\Software\Microsoft\Edge" ^
/v SmartScreenEnabled /t REG_DWORD /d 1 /f

REM Применение изменений групповой политики
gpupdate /force

echo SmartScreen включен в режиме предупреждения

Вариант 2: максимальная защита с требованием прав администратора

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" ^
/v SmartScreenEnabled /t REG_SZ /d "RequireAdmin" /f

Вариант 3: отключение (не рекомендуется, требуется только в специальных случаях)

REM Отключение на уровне системы
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" ^
/v SmartScreenEnabled /t REG_SZ /d "Off" /f

REM Отключение в браузере Edge
reg delete "HKCU\Software\Microsoft\Edge\SmartScreenEnabled" /f

REM Отключение через групповую политику (для доменных сетей)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" ^
/v EnableSmartScreen /t REG_DWORD /d 0 /f

Включение правил ASR через PowerShell

Базовый набор в режиме наблюдения (не блокирует, только записывает события)

# Требуется PowerShell 5.0 и выше с правами администратора

# Проверка текущего состояния
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

# Этап 1: включаем основные правила в режиме наблюдения
# Это безопасно для всех систем, ничего не блокирует

$AuditRules = @(
"d4f940ab-401b-4efc-aadc-ad5f3c50688a", # Все программы Office
"d3e037e1-3eb8-44c8-a917-57927947596d", # JS и VBScript скрипты
"5beb7efe-fd9a-4556-801d-275e5ffc04cc", # Замаскированные скрипты
"be9ba2d9-53ea-4cdc-84e5-9b1eeee46550", # Файлы из почты
"92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b", # API вызовы из Office
"c1db55ab-c21a-4637-bb3f-a12568109d35" # Защита от вирусов-шифровщиков
)

foreach ($RuleGuid in $AuditRules) {
Add-MpPreference `
-AttackSurfaceReductionRules_Ids $RuleGuid `
-AttackSurfaceReductionRules_Actions AuditMode
Write-Host "Правило $RuleGuid переведено в режим наблюдения"
}

# Этап 2: анализируем события в течение 2–4 недель
# Запускайте эту команду регулярно для отслеживания
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" `
-FilterXPath "*[System[EventID=1121]]" `
-ErrorAction SilentlyContinue |
Select-Object TimeCreated, @{n="IDПравила";e={$_.Properties[2].Value}},
@{n="Процесс";e={$_.Properties[4].Value}} |
Sort-Object TimeCreated -Descending |
Group-Object IDПравила -NoElement |
Sort-Object Count -Descending

Переключение в режим блокировки (после 2–4 недель наблюдения)

# Этап 3: на основе анализа логов переводим «чистые» правила в блокировку

# Правила с минимальными конфликтами (сразу в блокировку)
$BlockRulesImmediate = @(
"b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4", # Блокировка USB
"56a863a9-875e-4185-98a7-b882c64b5ce5", # Уязвимые драйверы
"c1db55ab-c21a-4637-bb3f-a12568109d35" # Защита от вирусов
)

foreach ($RuleGuid in $BlockRulesImmediate) {
Set-MpPreference `
-AttackSurfaceReductionRules_Ids $RuleGuid `
-AttackSurfaceReductionRules_Actions Block
Write-Host "Правило $RuleGuid переведено в режим блокировки"
}

# Правила с высокой вероятностью конфликтов — режим предупреждения
# Пользователь видит уведомление, но может продолжить действие
$WarnRules = @(
"d4f940ab-401b-4efc-aadc-ad5f3c50688a", # Дочерние процессы Office
"92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b" # API вызовы из Office
)

foreach ($RuleGuid in $WarnRules) {
Add-MpPreference `
-AttackSurfaceReductionRules_Ids $RuleGuid `
-AttackSurfaceReductionRules_Actions Warn
Write-Host "Правило $RuleGuid переведено в режим предупреждения"
}

Добавление исключений для конкретного правила

# Если офисное приложение создаёт дочерний процесс для легитимной цели
# Добавляем исключение для конкретного файла

Add-MpPreference `
-AttackSurfaceReductionOnlyExclusions `
@(
"C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE",
"C:\Program Files (x86)\YourApp\Integration.exe"
) `
-AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a

# Проверка текущих исключений
Get-MpPreference | Select-Object AttackSurfaceReductionOnlyExclusions

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и профессионалов.

Присоединяйся прямо сейчас.

Настройка защиты от эксплуатов: сохранение функциональности

# Узнаём текущие параметры
Get-ProcessMitigation -System | Select-Object ProcessMitigation,
CFG, DEP, ASLR, SEHOP,
HeapIntegrityValidation

# Рекомендуемые системные параметры (осторожный подход)
# На обычной системе Windows 10/11 Pro или Enterprise

Set-ProcessMitigation -System `
-Enable CFG, # Охрана косвенных вызовов функций
DEP, # Запрет на выполнение кода из памяти данных
SEHOP, # Защита обработчиков исключений
BottomUpASLR # Случайное размещение в памяти

# НЕ включаем: обязательную ASLR — может сломать приложения

# Проверка применения
Get-ProcessMitigation -System | Format-Table ProcessMitigation, CFG, DEP, ASLR, SEHOP

Если приложение конфликтует с защитой (требуется отключение для одного приложения)

# Отключаем защиту Control Flow Guard только для проблемного приложения
# Остальные системные защиты остаются активными

Set-ProcessMitigation -Name "problematic_app.exe" `
-Disable CFG

# Но сохраняем остальное
Set-ProcessMitigation -Name "problematic_app.exe" `
-Enable DEP, ASLR, SEHOP

# Проверка применения
Get-ProcessMitigation -Name "problematic_app.exe" |
Select-Object ProcessMitigation, CFG, DEP, ASLR, SEHOP

# Возврат к стандартным настройкам для приложения
Remove-ProcessMitigation -Name "problematic_app.exe" -Disable *

Производительность и отслеживание

Не превратите логи в помойку: практические цифры

Главная опасность при включении всех защит — это огромное количество событий в логах. Правила ASR в режиме наблюдения генерируют тысячи записей в день на активной системе. Это приводит к замедлению открытия логов (если просматривать вручную), раздуванию системы логирования (если отправляете в центральное хранилище) и путанице в анализе (слишком много одинаковых событий).

Реальные цифры:

— Обычный компьютер с 50 активными программами генерирует 50–200 событий ASR в день в режиме наблюдения
— При переводе в режим блокировки количество событий падает в 10–100 раз (большинство успешных операций не оставляет записей)
— Защита Control Flow Guard нагружает процессор на 2–3% на обычных компьютерах, на 5% на вычислительных серверах

Как проверить влияние на производительность:

# Снимаем исходное значение нагрузки на процессор
$Baseline = Get-Counter '\Processor(_Total)\% Processor Time' -SampleInterval 1 -MaxSamples 60 |
Measure-Object -Property CookedValue -Average | Select-Object Average

# После включения защит ждём час и снимаем новое значение
$Protected = Get-Counter '\Processor(_Total)\% Processor Time' -SampleInterval 1 -MaxSamples 60 |
Measure-Object -Property CookedValue -Average | Select-Object Average

$Impact = (($Protected.Average - $Baseline.Average) / $Baseline.Average) * 100
Write-Host "Влияние на производительность: $Impact%"

# Если больше 10% — проблема в приложении или неверной настройке

Типичные проблемы и как их решить

Excel не открывает Power Query → Правило ASR блокирует запуск cmd.exe из-под Excel → Добавить excel.exe в исключения или выбрать режим предупреждения

«Неизвестный издатель» для подписанной программы → Сертификат новый (менее 7 дней) либо ошибка отображения → Проверить свойства файла; подождать неделю; переустановить программу

Удаляются ярлыки программ (ошибка January 2023) → Конфликт правила ASR с обновлением системы защиты → Обновить систему защиты до версии 1.381.2164.0 или перевести правило в режим наблюдения

Приложение с ошибкой при защите CFG → Программа использует косвенные вызовы функций неправильным способом → Отключить CFG только для этой программы: Set-ProcessMitigation -Name "app.exe" -Disable CFG

Высокая нагрузка на процессор → Огромное количество блокируемых событий, каждый блок требует логирования → Перевести несколько правил в режим наблюдения; найти и исключить главный источник событий

Как читать логи и находить источники проблем:

# Получаем все события блокировок ASR (Event ID 1122)
$AsrBlockEvents = Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" `
-FilterXPath "*[System[EventID=1122]]" `
-MaxEvents 1000 -ErrorAction SilentlyContinue

# Группируем по правилам и процессам, выявляем главные источники
$AsrBlockEvents |
Select-Object @{n="Правило";e={$_.Properties[2].Value}},
@{n="Процесс";e={$_.Properties[4].Value}},
@{n="КомандаЗапуска";e={$_.Properties[5].Value}} |
Group-Object Правило, Процесс |
Sort-Object Count -Descending |
Select-Object Name, Count -First 20 |
Format-Table -AutoSize

# Если один процесс занимает больше 80% всех блокировок —
# это либо потенциально вредоносное ПО, либо приложение, нуждающееся в исключении

Реальные вопросы и честные ответы

Вопрос 1: у нас есть корпоративная система, которая открывает Excel с VBA-макросом, вызывающим командную строку для синхронизации с базой данных. Правило ASR блокирует это. Что делать?

Это классический случай. Вариантов три:

1. Режим предупреждения (лучший вариант): правило показывает уведомление, но пользователь может разрешить действие один раз в день.

Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a `
-AttackSurfaceReductionRules_Actions Warn

1. Исключение по файлу: исключаем конкретный синхронизационный инструмент.

Add-MpPreference -AttackSurfaceReductionOnlyExclusions `
"C:\AppData\YourLob\DatabaseSync.exe" `
-AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a

1. Отключение для группы: если это нужно только 5% пользователей, создаём отдельную политику управления только для них.

Вопрос 2: мы развернули SmartScreen, но пользователи не могут установить новое программное обеспечение в течение недели. Как это работает?

SmartScreen использует двухуровневую систему оценки:

— Первый уровень (сертификат издателя): если программа подписана сертификатом, имеющим положительную историю, разрешается сразу
— Второй уровень (хеш файла): для новых программ без репутации сертификата SmartScreen ждёт, пока пройдёт минимум 2–7 дней (Microsoft собирает статистику скачиваний), облачная лаборатория выполнит тестирование и минимум 1000 пользователей скачает файл

Решение: разработчики должны подписать приложение сертификатом авторитетного издателя (DigiCert, Sectigo, GlobalSign). Сертификат накапливает репутацию в течение месяца, а любые файлы, подписанные этим сертификатом, получают зелёный свет через несколько часов.

Для корпоративных приложений можно отключить SmartScreen для доверенных источников:

SmartScreenForTrustedDownloadsEnabled = 0

Вопрос 3: после обновления Defender приложения работают медленнее. Это защита от эксплуатов?

Простой способ проверить:

# Сохраняем текущие настройки на случай отката
Get-ProcessMitigation -System | Export-Clixml "C:\backup\exploit_protection.xml"

# Отключаем всю защиту
Set-ProcessMitigation -System -Disable *

# Проверяем производительность в течение часа
# Если вернулось в норму — защита была причиной

# Восстанавливаем из резервной копии
Import-Clixml "C:\backup\exploit_protection.xml" | Set-ProcessMitigation

Если это действительно защита, найдём конкретное приложение:

# Отключаем Control Flow Guard (самая затратная защита)
Set-ProcessMitigation -System -Disable CFG

# Если помогло, отключаем CFG только для проблемных программ
Set-ProcessMitigation -Name "slowapp.exe" -Disable CFG

Вопрос 4: нужно полностью отключить SmartScreen в компании. Как сделать без переустановки системы?

В Windows 11 это упростилось. Для SmartScreen используем групповую политику:

# Локальное отключение
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" `
/v EnableSmartScreen /t REG_DWORD /d 0 /f

# Отключение в браузере Edge
reg add "HKCU\Software\Policies\Microsoft\Edge" `
/v SmartScreenEnabled /t REG_DWORD /d 0 /f

# Для доменных сетей используем групповую политику
gpupdate /force

Вопрос 5: можно ли создать список разрешённых приложений, чтобы ASR их не трогал?

Частично да, но это сложнее, чем хотелось бы. У правил ASR нет встроенного режима «только разрешённые». Варианты:

— Исключения по правилам — исключаем конкретные файлы для каждого правила
— Режим наблюдения — оставляем правило в наблюдении, логируем события, но не блокируем
— Режим предупреждения — показываем уведомление, пользователь может разрешить
— Microsoft Defender Application Control (WDAC) — полноценный механизм разрешений, но требует Windows Enterprise и сложнее в использовании

Вопрос 6: SmartScreen блокирует наше программное обеспечение как вредоносное. Это ошибка?

Возможны несколько сценариев:

1. Приложение совсем новое (менее 7 дней, нулевая распространённость) — статус «неизвестное»
2. Новый сертификат издателя (менее месяца) — ещё не накопил репутацию
3. Частые обновления — каждая новая версия означает новый хеш и новую проверку
4. Истинная ошибка в фильтре — редко, но возможно

Как решить:

— Подпишите приложение авторитетным сертификатом (не самоподписанным)
— Загрузите файл на VirusTotal для проверки другими антивирусами
— Если это истинная ошибка, отправьте на переанализ в Microsoft

Как вернуть всё обратно, если что-то пошло не так

Рано или поздно конфигурация может сломаться. Вот чек-лист для аварийного восстановления.

Экстренное отключение проблемного правила

Если одно правило сломало систему:

# Немедленно отключаем проблемное правило
Add-MpPreference `
-AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b `
-AttackSurfaceReductionRules_Actions Disabled

# Или переводим в режим наблюдения (если не хочется полностью отключать)
Add-MpPreference `
-AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b `
-AttackSurfaceReductionRules_Actions AuditMode

# Проверяем статус
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

Отключение всех правил ASR сразу

# Если нужен полный откат
@(
"56a863a9-875e-4185-98a7-b882c64b5ce5",
"7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c",
"d4f940ab-401b-4efc-aadc-ad5f3c50688a",
"9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2",
"be9ba2d9-53ea-4cdc-84e5-9b1eeee46550",
"01443614-cd74-433a-b99e-2ecdc07bfc25",
"5beb7efe-fd9a-4556-801d-275e5ffc04cc",
"d3e037e1-3eb8-44c8-a917-57927947596d",
"3b576869-a4ec-4529-8536-b80a7769e899",
"75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84",
"26190899-1602-49e8-8b27-eb1d0a1ce869",
"e6db77e5-3df2-4cf1-b95a-636979351e5b",
"d1e49aac-8f56-4280-b9ba-993a6d77406c",
"33ddedf1-c6e0-47cb-833e-de6133960387",
"b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4",
"c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb",
"a8f5898e-1dc8-49a9-9878-85004b8a61e6",
"92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b",
"c1db55ab-c21a-4637-bb3f-a12568109d35"
) | ForEach-Object {
Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions Disabled
}

Write-Host "Все правила отключены"

Восстановление защиты от эксплуатов

# Если сохранили настройки:
Set-ProcessMitigation -File "C:\Path\To\ep-reset.xml"

# Если восстанавливаем с нуля — включаем стандартные системные защиты:
Set-ProcessMitigation -System `
-Enable CFG, DEP, SEHOP, BottomUpASLR

Включение SmartScreen обратно

REM Если отключили и нужно включить

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" ^
/v SmartScreenEnabled /t REG_SZ /d "Warn" /f

reg add "HKCU\Software\Microsoft\Edge" ^
/v SmartScreenEnabled /t REG_DWORD /d 1 /f

gpupdate /force

Итоговый чек-лист

Неделя 1: подготовка

✅ Включить SmartScreen в режиме предупреждения
✅ Включить все правила ASR в режиме наблюдения
✅ Убедиться в стандартных параметрах защиты от эксплуатов
✅ Сохранить резервную копию реестра и конфигурации Defender
✅ Начать сбор логов

Недели 2–4: анализ

✅ Анализировать события ASR
✅ Выявить приложения с большим числом событий
✅ Разделить правила на стабильные и проблемные
✅ Создать список исключений
✅ Протестировать на 10–50 компьютерах

Недели 5–6: постепенное внедрение

✅ Перевести стабильные правила в режим блокировки
✅ Оставить проблемные в режиме предупреждения
✅ Расширить до 200–500 компьютеров
✅ Собрать обратную связь пользователей

Неделя 7 и далее: полное развёртывание

✅ 100% компьютеров в защищённом режиме
✅ Настроить мониторинг
✅ Установить SLA для новых исключений (менее 24 часов)
✅ Ежемесячный аудит и оптимизация

Три главных вывода

Первое: режим наблюдения — это не предосторожность, это математика. Неделю аудита можно отработать в несколько часов откатов.

Второе: исключение конкретного приложения лучше, чем отключение целого правила. Вместо полного отключения рассмотрите исключение узко специфичного процесса.

Третье: эти три защиты вместе мощнее, чем каждая по отдельности. SmartScreen ловит репутацию, ASR блокирует типовые техники, Exploit Protection охраняет память. Вместе они покрывают почти все векторы атак на современном компьютере.

Правильно настроенная защита Defender способна заменить дорогостоящие корпоративные решения, потому что встроена в систему и не требует агента. Но нужны время, внимательность и понимание того, как это работает.

#defender #windows11 #antivirus #security #realtimeprotection #cloudprotection #exclusions #threatprotection #ransomwareprotection #controlledfolderaccess #group_policy #intune #devicegroup #region_moscow #region_spb #region_novosibirsk #device_laptop #device_pc #device_server #os_23h2 #os_ltsc #department_it #department_marketing #department_hr #department_buhgalteria #security_high #security_medium #security_low #endpointprotection #windowsdefenderui