Problemen met regels voor het verminderen van aanvallen oplossenTroubleshoot attack surface reduction rules

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

Wanneer u de surface reduction-regels voor aanvallen gebruikt, kunnen er problemen zijn, zoals:When you use attack surface reduction rules you may run into issues, such as:

  • Een regel blokkeert een bestand, proces of voert een andere actie uit die niet mag worden uitgevoerd (onwaar positief)A rule blocks a file, process, or performs some other action that it shouldn't (false positive)

  • Een regel werkt niet zoals beschreven, of blokkeert geen bestand of proces dat moet worden gebruikt (onwaar negatief)A rule doesn't work as described, or doesn't block a file or process that it should (false negative)

Er zijn vier stappen om deze problemen op te lossen:There are four steps to troubleshooting these problems:

  1. Vereisten bevestigenConfirm prerequisites

  2. Controlemodus gebruiken om de regel te testenUse audit mode to test the rule

  3. Uitsluitingen toevoegen voor de opgegeven regel (voor onwaar-positieven)Add exclusions for the specified rule (for false positives)

  4. Ondersteuningslogboeken verzendenSubmit support logs

Vereisten bevestigenConfirm prerequisites

Surface Reduction-regels voor aanvallen werken alleen op apparaten met de volgende voorwaarden:Attack surface reduction rules will only work on devices with the following conditions:

Als aan deze vereisten is voldaan, gaat u verder met de volgende stap om de regel in de auditmodus te testen.If these prerequisites have all been met, proceed to the next step to test the rule in audit mode.

Controlemodus gebruiken om de regel te testenUse audit mode to test the rule

U kunt de website van Windows Defender Test ground bij demo.wd.microsoft.com bezoeken om te bevestigen dat regels voor het verminderen van aanvallen over het algemeen werken voor vooraf geconfigureerde scenario's en processen op een apparaat, of u kunt de auditmodus gebruiken, zodat alleen regels kunnen worden gemeld.You can visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm attack surface reduction rules are generally working for pre-configured scenarios and processes on a device, or you can use audit mode, which enables rules for reporting only.

Volg deze instructies in Het demoprogramma gebruiken om te zien hoe regels voor het verminderen van aanvallen werken om de specifieke regel te testen waarmee u problemen ondervindt.Follow these instructions in Use the demo tool to see how attack surface reduction rules work to test the specific rule you're encountering problems with.

  1. Schakel de auditmodus in voor de specifieke regel die u wilt testen.Enable audit mode for the specific rule you want to test. Gebruik Groepsbeleid om de regel in te stellen op de auditmodus (waarde: 2) zoals beschreven in Regels voor het inschakelen van de surface reduction van aanvallen.Use Group Policy to set the rule to Audit mode (value: 2) as described in Enable attack surface reduction rules. Met de controlemodus kan de regel het bestand of proces rapporteren, maar kan deze nog steeds worden uitgevoerd.Audit mode allows the rule to report the file or process, but will still allow it to run.

  2. Voer de activiteit uit die een probleem veroorzaakt (bijvoorbeeld het bestand of proces openen of uitvoeren dat moet worden geblokkeerd, maar wordt toegestaan).Perform the activity that is causing an issue (for example, open or execute the file or process that should be blocked but is being allowed).

  3. Bekijk de gebeurtenislogboeken van de attack surface reduction rule om te zien of de regel het bestand of proces zou hebben geblokkeerd als de regel was ingesteld op Ingeschakeld.Review the attack surface reduction rule event logs to see if the rule would have blocked the file or process if the rule had been set to Enabled.

Als een regel een bestand of proces dat u verwacht, niet blokkeert, controleert u eerst of de auditmodus is ingeschakeld.If a rule isn't blocking a file or process that you're expecting it should block, first check if audit mode is enabled.

De auditmodus is mogelijk ingeschakeld voor het testen van een andere functie, of door een geautomatiseerd PowerShell-script, en is mogelijk niet uitgeschakeld nadat de tests zijn voltooid.Audit mode may have been enabled for testing another feature, or by an automated PowerShell script, and may not have been disabled after the tests were completed.

Als u de regel hebt getest met het demoprogramma en met de auditmodus en de regels voor de beperking van de aanvalsoppervlakken werken aan vooraf geconfigureerde scenario's, maar de regel werkt niet zoals verwacht, gaat u naar een van de volgende secties op basis van uw situatie:If you've tested the rule with the demo tool and with audit mode, and attack surface reduction rules are working on pre-configured scenarios, but the rule isn't working as expected, proceed to either of the following sections based on your situation:

  1. Als de surface reduction-regel voor aanvallen iets blokkeert dat niet mag worden geblokkeerd (ook wel een onwaar positief genoemd), kunt u eerst een uitsluitingsregel voor de beperking van het oppervlak van de aanval toevoegen.If the attack surface reduction rule is blocking something that it shouldn't block (also known as a false positive), you can first add an attack surface reduction rule exclusion.

  2. Als de surface reduction-regel van de aanval niet iets blokkeert dat moet worden geblokkeerd (ook wel een onwaar negatief genoemd), kunt u direct verdergaan met de laatste stap, diagnostische gegevens verzamelen en het probleem bij ons indienen.If the attack surface reduction rule isn't blocking something that it should block (also known as a false negative), you can proceed immediately to the last step, collecting diagnostic data and submitting the issue to us.

Uitsluitingen toevoegen voor een onwaar positiefAdd exclusions for a false positive

Als de surface reduction-regel van de aanval iets blokkeert dat niet mag worden geblokkeerd (ook wel een onwaar positief genoemd), kunt u uitsluitingen toevoegen om te voorkomen dat regels voor het verminderen van aanvallen de uitgesloten bestanden of mappen evalueren.If the attack surface reduction rule is blocking something that it shouldn't block (also known as a false positive), you can add exclusions to prevent attack surface reduction rules from evaluating the excluded files or folders.

Zie Surface reduction aanpassen om een uitsluiting toe te voegen.To add an exclusion, see Customize Attack surface reduction.

Belangrijk

U kunt afzonderlijke bestanden en mappen opgeven die moeten worden uitgesloten, maar u kunt geen afzonderlijke regels opgeven.You can specify individual files and folders to be excluded, but you cannot specify individual rules. Dit betekent dat alle bestanden of mappen die zijn uitgesloten, worden uitgesloten van alle ASR-regels.This means any files or folders that are excluded will be excluded from all ASR rules.

Een onwaar positief of onwaar negatief rapporterenReport a false positive or false negative

Gebruik het Windows Defender webinzendingsformulier voor Beveiligingsinformatie om een onwaar negatief of onwaar positief voor netwerkbeveiliging te melden.Use the Windows Defender Security Intelligence web-based submission form to report a false negative or false positive for network protection. Met een Windows E5-abonnement kunt u ook een koppeling naar een bijbehorende waarschuwing geven.With a Windows E5 subscription, you can also provide a link to any associated alert.

Diagnostische gegevens verzamelen voor bestandsinzendingenCollect diagnostic data for file submissions

Wanneer u een probleem rapporteert met regels voor het verminderen van de surface attack, wordt u gevraagd diagnostische gegevens te verzamelen en in te dienen die kunnen worden gebruikt door ondersteunings- en technische teams van Microsoft om problemen op te lossen.When you report a problem with attack surface reduction rules, you're asked to collect and submit diagnostic data that can be used by Microsoft support and engineering teams to help troubleshoot issues.

  1. Open een opdrachtprompt met verhoogde opdracht en wijzig de Windows Defender adreslijst:Open an elevated command prompt and change to the Windows Defender directory:

    cd "c:\program files\windows defender"
    
  2. Voer deze opdracht uit om de diagnostische logboeken te genereren:Run this command to generate the diagnostic logs:

    mpcmdrun -getfiles
    
  3. Standaard worden ze opgeslagen in C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab .By default, they're saved to C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Voeg het bestand toe aan het inzendingsformulier.Attach the file to the submission form.