Felsöka minskningsregler för attackytorTroubleshoot attack surface reduction rules

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

När du använder minskningsregler för attackytan kan du få problem, till exempel:When you use attack surface reduction rules you may run into issues, such as:

  • En regel blockerar en fil, en process eller utför någon annan åtgärd som den inte ska utföra (falsk positiv inställning)A rule blocks a file, process, or performs some other action that it shouldn't (false positive)

  • En regel fungerar inte enligt beskrivningen eller blockerar inte en fil eller process som den ska (falskt negativt)A rule doesn't work as described, or doesn't block a file or process that it should (false negative)

Det finns fyra steg för att felsöka dessa problem:There are four steps to troubleshooting these problems:

  1. Bekräfta förutsättningarnaConfirm prerequisites

  2. Använda granskningsläge för att testa regelnUse audit mode to test the rule

  3. Lägga till undantag för den angivna regeln (för falska positiva resultat)Add exclusions for the specified rule (for false positives)

  4. Skicka supportloggarSubmit support logs

Bekräfta förutsättningarnaConfirm prerequisites

Minskning av attackytan fungerar bara på enheter med följande villkor:Attack surface reduction rules will only work on devices with the following conditions:

Om samtliga krav har uppfyllts går du vidare till nästa steg och testar regeln i granskningsläge.If these prerequisites have all been met, proceed to the next step to test the rule in audit mode.

Använda granskningsläge för att testa regelnUse audit mode to test the rule

Du kan besöka webbplatsen med Windows Defender Test på demo.wd.microsoft.com för att bekräfta att minskningsregler för attackytor vanligtvis fungerar för förkonfigurerade scenarier och processer på en enhet, eller så kan du använda granskningsläge, vilket endast tillåter rapporteringsregler.You can visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm attack surface reduction rules are generally working for pre-configured scenarios and processes on a device, or you can use audit mode, which enables rules for reporting only.

Följ de här anvisningarna i Använd demoverktyget för att se hur minskningsregler för attackytor fungerar för att testa den specifika regel som du stöter på problem med.Follow these instructions in Use the demo tool to see how attack surface reduction rules work to test the specific rule you're encountering problems with.

  1. Aktivera granskningsläge för den regel som du vill testa.Enable audit mode for the specific rule you want to test. Använd grupprincip för att ställa in regeln på Granskningsläge (värde: 2) enligt beskrivningen i Aktivera minskningsregler för attackytan.Use Group Policy to set the rule to Audit mode (value: 2) as described in Enable attack surface reduction rules. Granskningsläget tillåter att regeln rapporterar filen eller processen, men den kan fortfarande köras.Audit mode allows the rule to report the file or process, but will still allow it to run.

  2. Utföra den aktivitet som orsakar ett problem (öppna eller kör till exempel den fil eller process som ska blockeras men som tillåts).Perform the activity that is causing an issue (for example, open or execute the file or process that should be blocked but is being allowed).

  3. Granska händelseloggarna för att minska attackytan för att se om regeln skulle ha blockerat filen eller processen om regeln hade angetts till Aktiverad.Review the attack surface reduction rule event logs to see if the rule would have blocked the file or process if the rule had been set to Enabled.

Om en regel inte blockerar en fil eller process som du förväntar dig bör den blockeras, kontrollerar du först om granskningsläge är aktiverat.If a rule isn't blocking a file or process that you're expecting it should block, first check if audit mode is enabled.

Granskningsläge kan ha aktiverats för testning av en annan funktion eller av ett automatiserat PowerShell-skript och kan ha inaktiverats när testerna har slutförts.Audit mode may have been enabled for testing another feature, or by an automated PowerShell script, and may not have been disabled after the tests were completed.

Om du har testat regeln med demoverktyget och med granskningsläge och minskningsregler för attackytor arbetar på förkonfigurerade scenarier, men regeln inte fungerar som förväntat, går du till något av följande avsnitt beroende på din situation:If you've tested the rule with the demo tool and with audit mode, and attack surface reduction rules are working on pre-configured scenarios, but the rule isn't working as expected, proceed to either of the following sections based on your situation:

  1. Om minskningsregeln för attackytan blockerar något som den inte borde blockera (kallas även falsk positiv inställning) kan du först lägga till en exkluderingsregel för attackytan.If the attack surface reduction rule is blocking something that it shouldn't block (also known as a false positive), you can first add an attack surface reduction rule exclusion.

  2. Om minskningsregeln för attackytan inte blockerar något som den ska blockera (kallas även falskt negativt) kan du fortsätta direkt till det sista steget, samla in diagnostikdata och skicka problemet till oss.If the attack surface reduction rule isn't blocking something that it should block (also known as a false negative), you can proceed immediately to the last step, collecting diagnostic data and submitting the issue to us.

Lägga till undantag för falska positiva resultatAdd exclusions for a false positive

Om minskningsregeln för attackytan blockerar något som den inte borde blockera (kallas även falsk positiv inställning) kan du lägga till undantag för att förhindra minskningsregler för attackytan från att utvärdera de undantagna filerna eller mapparna.If the attack surface reduction rule is blocking something that it shouldn't block (also known as a false positive), you can add exclusions to prevent attack surface reduction rules from evaluating the excluded files or folders.

Mer information om hur du lägger till ett undantag finns i Anpassa minskning av attackytan.To add an exclusion, see Customize Attack surface reduction.

Viktigt

Du kan ange att enskilda filer och mappar ska undantas, men du kan inte ange enskilda regler.You can specify individual files and folders to be excluded, but you cannot specify individual rules. Det innebär att filer eller mappar som är undantagna undantas från alla ASR-regler.This means any files or folders that are excluded will be excluded from all ASR rules.

Rapportera ett falskt positivt eller falskt negativt värdeReport a false positive or false negative

Använd det webbaserade insändningsformuläret i Windows Defender Security Intelligence om du vill rapportera ett falskt negativt eller falskt värde för nätverksskydd.Use the Windows Defender Security Intelligence web-based submission form to report a false negative or false positive for network protection. Med en Windows E5-prenumeration kan du också skicka en länk till eventuell associerad avisering.With a Windows E5 subscription, you can also provide a link to any associated alert.

Samla in diagnostikdata för inskickade filerCollect diagnostic data for file submissions

När du rapporterar ett problem med minskningsregler för attackytan uppmanas du att samla in och skicka in diagnostikdata som kan användas av Microsofts support- och teknikteam för att felsöka problem.When you report a problem with attack surface reduction rules, you're asked to collect and submit diagnostic data that can be used by Microsoft support and engineering teams to help troubleshoot issues.

  1. Öppna en upphöjd kommandotolk och ändra till Windows Defender-katalogen:Open an elevated command prompt and change to the Windows Defender directory:

    cd "c:\program files\windows defender"
    
  2. Kör det här kommandot för att generera diagnostikloggarna:Run this command to generate the diagnostic logs:

    mpcmdrun -getfiles
    
  3. Som standard sparas de i C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab .By default, they're saved to C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Bifoga filen i inskickat formulär.Attach the file to the submission form.