Rozwiązywanie problemów z regułami zmniejszania powierzchni ataków

Dotyczy:

Chcesz mieć dostęp do usługi Defender dla punktu końcowego? Zarejestruj się, aby korzystać z bezpłatnej wersji próbnej.

Podczas używania reguł zmniejszania powierzchni ataków mogą wystąpić problemy, takie jak:

  • Reguła blokuje plik, proces lub wykonuje inną akcję, która nie powinna (wynik fałszywie dodatni)
  • Reguła nie działa zgodnie z opisem ani nie blokuje pliku lub procesu, który powinien (wynik fałszywie ujemny)

Rozwiązywanie tych problemów można rozwiązać w czterech krokach:

  1. Potwierdź wymagania wstępne
  2. Testowanie reguły przy użyciu trybu inspekcji
  3. Dodawanie wykluczeń określonej reguły (dla wyników fałszywie dodatnich)
  4. Przesyłanie dzienników pomocy technicznej

Potwierdź wymagania wstępne

Reguły zmniejszania powierzchni ataków będą działać tylko na urządzeniach z następującymi warunkami:

Jeśli wszystkie te wymagania wstępne zostały spełnione, przejdź do następnego kroku w celu przetestowania reguły w trybie inspekcji.

Testowanie reguły przy użyciu trybu inspekcji

Możesz odwiedzić witrynę internetową testów Windows Defender w witrynie demo.wd.microsoft.com, aby sprawdzić, czy reguły ograniczania powierzchni ataków na ogół działają dla wstępnie skonfigurowanych procesów i scenariuszy na urządzeniu, lub możesz użyć trybu inspekcji, który umożliwia raportowanie tylko reguł.

Uwaga

Witryna pokazowa usługi Defender for Endpoint w demo.wd.microsoft.com jest przestarzała i zostanie usunięta w przyszłości.

Postępuj zgodnie z tymi instrukcjami w używanie narzędzia pokazowego , aby zobaczyć, jak działają reguły ograniczania powierzchni ataków, aby przetestować określoną regułę, z jaką napotykasz problemy.

  1. Włącz tryb inspekcji dla określonej reguły, którą chcesz przetestować. Użyj zasady grupy, aby ustawić dla reguły tryb inspekcji (wartość**: 2**), jak opisano w tece Włączanie reguł zmniejszania powierzchni ataków. Tryb inspekcji umożliwia reguła zgłaszanie pliku lub procesu, ale nadal pozwala na jego uruchamianie.

  2. Wykonywanie czynności powodującej problem (na przykład otwarcie lub wykonanie pliku lub procesu, który powinien zostać zablokowany, ale jest dozwolony).

  3. Przejrzyj dzienniki zdarzeń ograniczania powierzchni ataków, aby sprawdzić, czy reguła nie zablokowałaby pliku lub procesu, jeśli dla reguły ustawiono opcję Włączone.

Jeśli reguła nie blokuje pliku ani procesu, który powinien zostać zablokowany, najpierw sprawdź, czy jest włączony tryb inspekcji.

Być może tryb inspekcji został włączony do testowania innej funkcji lub przez zautomatyzowany skrypt programu PowerShell i mógł nie zostać wyłączony po ukończeniu testów.

Jeśli przetestowano regułę za pomocą narzędzia pokazowego i trybu inspekcji, a reguły ograniczania powierzchni ataków działają we wstępnie skonfigurowanych scenariuszach, ale reguła nie działa zgodnie z oczekiwaniami, przejdź do jednej z poniższych sekcji w zależności od sytuacji:

  1. Jeśli reguła ograniczania powierzchni ataków blokuje element, który nie powinien być blokowany (nazywany również wynikami fałszywie dodatnimi), możesz najpierw dodać wykluczenie reguły ograniczania powierzchni ataków.

  2. Jeśli reguła zmniejszania powierzchni ataków nie blokuje czegoś, co powinna zablokować (znana również jako wynik fałszywie ujemny), możesz przejść od razu do ostatniego kroku, zbierając dane diagnostyczne i przesyłając problem do nas.

Dodawanie wykluczeń dla wyników fałszywie dodatnich

Jeśli reguła ograniczania powierzchni ataków blokuje coś, co nie powinno być blokowane (nazywane również wynikami fałszywie dodatnimi), możesz dodać wykluczenia, aby zapobiec ocenianiu wykluczanych plików lub folderów przez reguły ograniczania powierzchni ataków.

Aby dodać wykluczenie, zobacz Dostosowywanie zmniejszania powierzchni ataków.

Ważne

Można określać poszczególne pliki i foldery do wykluczenia, ale nie można określać poszczególnych reguł. Oznacza to, że wszelkie pliki i foldery wykluczonych zostaną wykluczone ze wszystkich reguł asr.

Zgłaszanie wyników fałszywie dodatnich lub ujemnych

Formularz przesyłania Windows Defender analizy zabezpieczeń sieci Web służy do zgłaszania wyników fałszywie ujemnych lub fałszywie dodatnich w celu ochrony sieci. W przypadku Windows E5 możesz także podać link do dowolnego skojarzonego alertu.

Zbieranie danych diagnostycznych dla przesyłania plików

Podczas zgłaszania problemu związanego z regułami zmniejszania powierzchni ataków pojawia się prośba o zbieranie i przesyłanie danych diagnostycznych, które mogą być używane przez zespoły pomocy technicznej i inżynierów firmy Microsoft w celu rozwiązywania problemów.

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i zmień go na Windows Defender wiersza:

    cd "c:\program files\windows defender"
    
  2. Uruchom to polecenie, aby wygenerować dzienniki diagnostyczne:

    mpcmdrun -getfiles
    
  3. Domyślnie są one zapisywane w C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Dołącz plik do formularza przesyłania.