Problemen oplossen met regels voor het verminderen van kwetsbaarheid voor aanvallen
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Wanneer u regels voor het verminderen van kwetsbaarheid voor aanvallen gebruikt , kunt u problemen tegenkomen, zoals:
- Een regel blokkeert een bestand, proces of voert een andere actie uit die niet mag (fout-positief)
- Een regel werkt niet zoals beschreven of blokkeert een bestand of proces dat moet worden gebruikt (fout-negatief)
Er zijn vier stappen om deze problemen op te lossen:
- Vereisten bevestigen
- De controlemodus gebruiken om de regel te testen
- Uitsluitingen toevoegen voor de opgegeven regel (voor fout-positieven)
- Ondersteuningslogboeken verzenden
Vereisten bevestigen
Regels voor het verminderen van kwetsbaarheid voor aanvallen werken alleen op apparaten met de volgende voorwaarden:
Eindpunten worden uitgevoerd Windows 10 Enterprise of hoger.
Eindpunten gebruiken Microsoft Defender Antivirus als de enige antivirus-app. Het gebruik van een andere antivirus-app zorgt ervoor dat Microsoft Defender Antivirus zichzelf uitschakelt.
Realtime-beveiliging is ingeschakeld.
Controlemodus is niet ingeschakeld. Gebruik groepsbeleid om de regel in te stellen op Uitgeschakeld (waarde: 0), zoals beschreven in Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.
Als aan deze vereisten wordt voldaan, gaat u verder met de volgende stap om de regel in de controlemodus te testen.
De controlemodus gebruiken om de regel te testen
Volg deze instructies in Het demoprogramma gebruiken om te zien hoe regels voor het verminderen van kwetsbaarheid voor aanvallen werken om de specifieke regel te testen waarmee u problemen ondervindt.
Schakel de controlemodus in voor de specifieke regel die u wilt testen. Gebruik groepsbeleid om de regel in te stellen op Controlemodus (waarde: 2), zoals beschreven in Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen. In de controlemodus kan de regel het bestand of proces rapporteren, maar kan deze worden uitgevoerd.
Voer de activiteit uit die een probleem veroorzaakt (bijvoorbeeld het bestand of proces openen of uitvoeren dat moet worden geblokkeerd, maar is toegestaan).
Bekijk de gebeurtenislogboeken van de regel voor het verminderen van kwetsbaarheid voor aanvallen om te zien of de regel het bestand of proces blokkeert als de regel is ingesteld op Ingeschakeld.
Als een regel een bestand of proces dat u verwacht niet blokkeert, controleert u eerst of de controlemodus is ingeschakeld.
De controlemodus is mogelijk ingeschakeld voor het testen van een andere functie of door een geautomatiseerd PowerShell-script en kan mogelijk niet worden uitgeschakeld nadat de tests zijn voltooid.
Als u de regel hebt getest met het demoprogramma en met de controlemodus en regels voor het verminderen van kwetsbaarheid voor aanvallen werken aan vooraf geconfigureerde scenario's, maar de regel niet werkt zoals verwacht, gaat u verder met een van de volgende secties op basis van uw situatie:
Als de regel voor het verminderen van kwetsbaarheid voor aanvallen iets blokkeert dat niet mag worden geblokkeerd (ook wel een fout-positief genoemd), kunt u eerst een regel voor het verminderen van de kwetsbaarheid voor aanvallen toevoegen.
Als de regel voor het verminderen van kwetsbaarheid voor aanvallen niet iets blokkeert dat moet worden geblokkeerd (ook wel een fout-negatief genoemd), kunt u onmiddellijk doorgaan met de laatste stap, waarbij u diagnostische gegevens verzamelt en het probleem naar ons verzendt.
Uitsluitingen toevoegen voor een fout-positief
Als de regel voor het verminderen van kwetsbaarheid voor aanvallen iets blokkeert dat niet mag worden geblokkeerd (ook wel fout-positief genoemd), kunt u uitsluitingen toevoegen om te voorkomen dat regels voor het verminderen van kwetsbaarheid voor aanvallen de uitgesloten bestanden of mappen evalueren.
Zie Kwetsbaarheid voor aanvallen aanpassen om een uitsluiting toe te voegen.
Belangrijk
U kunt afzonderlijke bestanden en mappen opgeven die moeten worden uitgesloten, maar u kunt geen afzonderlijke regels opgeven. Dit betekent dat alle bestanden of mappen die zijn uitgesloten, worden uitgesloten van alle ASR-regels.
Een fout-positief of fout-negatief melden
Gebruik het Microsoft-beveiligingsinformatie webformulier om een fout-negatief of fout-positief voor netwerkbeveiliging te melden. Met een Windows E5-abonnement kunt u ook een koppeling naar een bijbehorende waarschuwing opgeven.
Diagnostische gegevens verzamelen voor bestandsinzendingen
Wanneer u een probleem meldt met regels voor het verminderen van kwetsbaarheid voor aanvallen, wordt u gevraagd om diagnostische gegevens te verzamelen en in te dienen die kunnen worden gebruikt door ondersteunings- en technische teams van Microsoft om problemen op te lossen.
Open een opdrachtprompt met verhoogde bevoegdheid en ga naar de map Windows Defender:
cd "c:\program files\Windows Defender"Voer deze opdracht uit om de diagnostische logboeken te genereren:
mpcmdrun -getfilesStandaard worden ze opgeslagen in
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Voeg het bestand toe aan het inzendingsformulier.
Verwante artikelen
- Regels voor kwetsbaarheid voor aanvallen verminderen
- Regels voor het verminderen van aanvalsoppervlakken inschakelen
- Regels voor het verminderen van kwetsbaarheid voor aanvallen evalueren
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor