Risolvere i problemi relativi alle regole di riduzione della superficie di attacco
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Quando si usano le regole di riduzione della superficie di attacco , potrebbero verificarsi problemi, ad esempio:
- Una regola blocca un file, un processo o esegue un'altra azione che non deve (falso positivo)
- Una regola non funziona come descritto o non blocca un file o un processo che deve (falso negativo)
Per risolvere questi problemi sono disponibili quattro passaggi:
- Confermare i prerequisiti
- Usare la modalità di controllo per testare la regola
- Aggiungere esclusioni per la regola specificata (per i falsi positivi)
- Inviare i log di supporto
Confermare i prerequisiti
Le regole di riduzione della superficie di attacco funzionano solo nei dispositivi con le condizioni seguenti:
Gli endpoint vengono eseguiti Windows 10 Enterprise o versioni successive.
Gli endpoint usano Microsoft Defender Antivirus come unica app di protezione antivirus. L'uso di qualsiasi altra app antivirus comporta la disabilitazione di Microsoft Defender Antivirus.
La protezione in tempo reale è abilitata.
La modalità di controllo non è abilitata. Usare Criteri di gruppo per impostare la regola su Disabilitato (valore: 0) come descritto in Abilitare le regole di riduzione della superficie di attacco.
Se questi prerequisiti vengono soddisfatti, passare al passaggio successivo per testare la regola in modalità di controllo.
Usare la modalità di controllo per testare la regola
Seguire queste istruzioni in Usare lo strumento demo per vedere come funzionano le regole di riduzione della superficie di attacco per testare la regola specifica con cui si verificano problemi.
Abilitare la modalità di controllo per la regola specifica da testare. Usare Criteri di gruppo per impostare la regola su Modalità di controllo (valore: 2) come descritto in Abilitare le regole di riduzione della superficie di attacco. La modalità di controllo consente alla regola di segnalare il file o il processo, ma consente l'esecuzione.
Eseguire l'attività che causa un problema, ad esempio aprire o eseguire il file o il processo che deve essere bloccato ma consentito.
Esaminare i log eventi delle regole di riduzione della superficie di attacco per verificare se la regola bloccherebbe il file o il processo se la regola fosse impostata su Abilitato.
Se una regola non blocca un file o un processo che si prevede venga bloccato, verificare prima di tutto se la modalità di controllo è abilitata.
La modalità di controllo può essere abilitata per il test di un'altra funzionalità o da uno script di PowerShell automatizzato e potrebbe non essere disabilitata dopo il completamento dei test.
Se la regola è stata testata con lo strumento demo e la modalità di controllo e le regole di riduzione della superficie di attacco funzionano in scenari preconfigurati, ma la regola non funziona come previsto, passare a una delle sezioni seguenti in base alla situazione:
Se la regola di riduzione della superficie di attacco blocca qualcosa che non deve bloccare (noto anche come falso positivo), è prima di tutto possibile aggiungere un'esclusione della regola di riduzione della superficie di attacco.
Se la regola di riduzione della superficie di attacco non blocca qualcosa che deve bloccare (noto anche come falso negativo), è possibile procedere immediatamente all'ultimo passaggio, raccogliendo i dati di diagnostica e inviandoci il problema.
Aggiungere esclusioni per un falso positivo
Se la regola di riduzione della superficie di attacco blocca qualcosa che non deve bloccare (noto anche come falso positivo), è possibile aggiungere esclusioni per impedire alle regole di riduzione della superficie di attacco di valutare i file o le cartelle esclusi.
Per aggiungere un'esclusione, vedere Personalizzare la riduzione della superficie di attacco.
Importante
È possibile specificare singoli file e cartelle da escludere, ma non è possibile specificare singole regole. Ciò significa che tutti i file o le cartelle esclusi verranno esclusi da tutte le regole asr.
Segnalare un falso positivo o un falso negativo
Utilizzare il modulo di invio basato sul Web Intelligence di sicurezza Microsoft per segnalare un falso negativo o un falso positivo per la protezione di rete. Con una sottoscrizione di Windows E5, è anche possibile fornire un collegamento a qualsiasi avviso associato.
Raccogliere dati di diagnostica per gli invii di file
Quando si segnala un problema con le regole di riduzione della superficie di attacco, viene richiesto di raccogliere e inviare dati di diagnostica che possono essere usati dai team di supporto tecnico Microsoft per risolvere i problemi.
Aprire un prompt dei comandi con privilegi elevati e passare alla directory Windows Defender:
cd "c:\program files\Windows Defender"Eseguire questo comando per generare i log di diagnostica:
mpcmdrun -getfilesPer impostazione predefinita, vengono salvati in
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Allegare il file al modulo di invio.
Articoli correlati
- Regole per la riduzione della superficie di attacco
- Abilitare regole per la riduzione della superficie di attacco
- Valutare le regole per la riduzione della superficie di attacco
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per