Résoudre les problèmes de règles de réduction de la surface d'attaqueTroubleshoot attack surface reduction rules

S’applique à :Applies to:

Vous souhaitez faire l'expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Lorsque vous utilisez des règles de réduction de la surface d'attaque, vous pouvez être face à des problèmes, tels que :When you use attack surface reduction rules you may run into issues, such as:

  • Une règle bloque un fichier, un processus ou effectue une autre action qu'elle ne devrait pas (faux positif)A rule blocks a file, process, or performs some other action that it shouldn't (false positive)

  • Une règle ne fonctionne pas comme décrit, ou ne bloque pas un fichier ou un processus qu'elle doit (faux négatifs)A rule doesn't work as described, or doesn't block a file or process that it should (false negative)

La résolution de ces problèmes se fait en quatre étapes :There are four steps to troubleshooting these problems:

  1. Confirmer les conditions préalablesConfirm prerequisites

  2. Utiliser le mode audit pour tester la règleUse audit mode to test the rule

  3. Ajouter des exclusions pour la règle spécifiée (pour les faux positifs)Add exclusions for the specified rule (for false positives)

  4. Envoyer les journaux de supportSubmit support logs

Confirmer les conditions préalablesConfirm prerequisites

Les règles de réduction de la surface d'attaque fonctionnent uniquement sur les appareils qui ont les conditions suivantes :Attack surface reduction rules will only work on devices with the following conditions:

Si ces conditions préalables ont toutes été remplies, procédez à l'étape suivante pour tester la règle en mode audit.If these prerequisites have all been met, proceed to the next step to test the rule in audit mode.

Utiliser le mode audit pour tester la règleUse audit mode to test the rule

Vous pouvez consulter le site web de base de test Windows Defender à l'adresse demo.wd.microsoft.com pour vérifier que les règles de réduction de la surface d'attaque fonctionnent généralement pour les scénarios et processus pré-configurés sur un appareil, ou vous pouvez utiliser le mode audit, qui permet aux règles de signaler uniquement.You can visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm attack surface reduction rules are generally working for pre-configured scenarios and processes on a device, or you can use audit mode, which enables rules for reporting only.

Suivez ces instructions dans l'outil de démonstration pour voir comment fonctionnent les règles de réduction de la surface d'attaque afin de tester la règle spécifique avec qui vous rencontrez des problèmes.Follow these instructions in Use the demo tool to see how attack surface reduction rules work to test the specific rule you're encountering problems with.

  1. Activez le mode audit pour la règle spécifique que vous souhaitez tester.Enable audit mode for the specific rule you want to test. Utilisez la stratégie de groupe pour définir la règle sur le mode Audit (valeur : 2), comme décrit dans activer les règles de réduction de la surface d'attaque.Use Group Policy to set the rule to Audit mode (value: 2) as described in Enable attack surface reduction rules. Le mode audit permet à la règle de signaler le fichier ou le processus, tout en lui permettant de s'exécuter.Audit mode allows the rule to report the file or process, but will still allow it to run.

  2. Effectuez l'activité à l'origine d'un problème (par exemple, ouvrir ou exécuter le fichier ou le processus qui doit être bloqué mais qui est autorisé).Perform the activity that is causing an issue (for example, open or execute the file or process that should be blocked but is being allowed).

  3. Consultez les journaux des événements de règle de réduction de la surface d'attaque pour voir si la règle aurait bloqué le fichier ou le processus si la règle avait été définie sur Activé.Review the attack surface reduction rule event logs to see if the rule would have blocked the file or process if the rule had been set to Enabled.

Si une règle ne bloque pas un fichier ou un processus que vous attendez qu'il bloque, vérifiez d'abord si le mode audit est activé.If a rule isn't blocking a file or process that you're expecting it should block, first check if audit mode is enabled.

Le mode audit a peut-être été activé pour tester une autre fonctionnalité, ou par un script PowerShell automatisé, et n'a peut-être pas été désactivé une fois les tests terminés.Audit mode may have been enabled for testing another feature, or by an automated PowerShell script, and may not have been disabled after the tests were completed.

Si vous avez testé la règle avec l'outil de démonstration et avec le mode audit, et que les règles de réduction de la surface d'attaque fonctionnent sur des scénarios pré-configurés, mais que la règle ne fonctionne pas comme prévu, vous devez passer à l'une des sections suivantes en fonction de votre situation :If you've tested the rule with the demo tool and with audit mode, and attack surface reduction rules are working on pre-configured scenarios, but the rule isn't working as expected, proceed to either of the following sections based on your situation:

  1. Si la règle de réduction de la surface d'attaque bloque quelque chose qu'elle ne doit pas bloquer (également appelé faux positif), vous pouvez d'abord ajouter une exclusion de règle de réduction de la surface d'attaque.If the attack surface reduction rule is blocking something that it shouldn't block (also known as a false positive), you can first add an attack surface reduction rule exclusion.

  2. Si la règle de réduction de la surface d'attaque ne bloque pas quelque chose qu'elle doit bloquer (également appelé faux négatif), vous pouvez passer immédiatement à la dernière étape, en collectant des données de diagnosticet en nous envoyant le problème.If the attack surface reduction rule isn't blocking something that it should block (also known as a false negative), you can proceed immediately to the last step, collecting diagnostic data and submitting the issue to us.

Ajouter des exclusions pour un faux positifAdd exclusions for a false positive

Si la règle de réduction de la surface d'attaque bloque quelque chose qu'elle ne doit pas bloquer (également appelé faux positif), vous pouvez ajouter des exclusions pour empêcher les règles de réduction de la surface d'attaque d'évaluer les fichiers ou dossiers exclus.If the attack surface reduction rule is blocking something that it shouldn't block (also known as a false positive), you can add exclusions to prevent attack surface reduction rules from evaluating the excluded files or folders.

Pour ajouter une exclusion, voir Personnaliser la réduction de la surface d'attaque.To add an exclusion, see Customize Attack surface reduction.

Important

Vous pouvez spécifier des fichiers et dossiers individuels à exclure, mais vous ne pouvez pas spécifier des règles individuelles.You can specify individual files and folders to be excluded, but you cannot specify individual rules. Cela signifie que tous les fichiers ou dossiers exclus seront exclus de toutes les règles de la asr.This means any files or folders that are excluded will be excluded from all ASR rules.

Signaler un faux positif ou un faux négatifReport a false positive or false negative

Utilisez le Windows Defender d'envoi web Security Intelligence pour signaler un faux négatif ou un faux positif pour la protection du réseau.Use the Windows Defender Security Intelligence web-based submission form to report a false negative or false positive for network protection. Avec un abonnement Windows E5, vous pouvez également fournir un lien vers n'importe quelle alerte associée.With a Windows E5 subscription, you can also provide a link to any associated alert.

Collecter des données de diagnostic pour les soumissions de fichiersCollect diagnostic data for file submissions

Lorsque vous signalez un problème avec les règles de réduction de la surface d'attaque, vous êtes invité à collecter et soumettre des données de diagnostic qui peuvent être utilisées par le support microsoft et les équipes d'ingénierie pour vous aider à résoudre les problèmes.When you report a problem with attack surface reduction rules, you're asked to collect and submit diagnostic data that can be used by Microsoft support and engineering teams to help troubleshoot issues.

  1. Ouvrez une invite de commandes avec élévation de élévation de Windows Defender répertoire :Open an elevated command prompt and change to the Windows Defender directory:

    cd "c:\program files\windows defender"
    
  2. Exécutez cette commande pour générer les journaux de diagnostic :Run this command to generate the diagnostic logs:

    mpcmdrun -getfiles
    
  3. Par défaut, ils sont enregistrés dans C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab .By default, they're saved to C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Joignez le fichier au formulaire d'envoi.Attach the file to the submission form.