Felsöka minskningsregler för attackytor
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
När du använder minskningsregler för attackytan kan du få problem, till exempel:
- En regel blockerar en fil, en process eller utför någon annan åtgärd som den inte ska utföra (falsk positiv inställning)
- En regel fungerar inte enligt beskrivningen eller blockerar inte en fil eller process som den ska (falskt negativt)
Det finns fyra steg för att felsöka dessa problem:
- Bekräfta förutsättningarna
- Använda granskningsläge för att testa regeln
- Lägga till undantag för den angivna regeln (för falska positiva resultat)
- Skicka supportloggar
Bekräfta förutsättningarna
Minskning av attackytan fungerar bara på enheter med följande villkor:
Slutpunkter körs från Windows 10 Enterprise, version 1709 (kallas även Fall Creators Update).
Slutpunkter använder Microsoft Defender Antivirus den enda antivirusskyddsappen. Om du använder ett annat antivirusprogram inaktiveras Microsoft Defender Antivirus av sig själv.
Realtidsskydd är aktiverat.
Granskningsläget är inte aktiverat. Använd grupprincip för att ställa in regeln på Inaktiverad (värde: 0) enligt beskrivningen i Aktivera minskningsregler för attackytan.
Om samtliga krav har uppfyllts går du vidare till nästa steg och testar regeln i granskningsläge.
Använda granskningsläge för att testa regeln
Du kan besöka webbplatsen för Windows Defender Test på demo.wd.microsoft.com för att bekräfta att minskningsregler för attackytor vanligtvis fungerar för förkonfigurerade scenarier och processer på en enhet, eller så kan du använda granskningsläge, vilket endast tillåter rapporteringsregler.
Följ de här anvisningarna i Använd demoverktyget för att se hur minskningsregler för attackytor fungerar för att testa den specifika regel som du stöter på problem med.
Aktivera granskningsläge för den regel som du vill testa. Använd grupprincip för att ställa in regeln på Granskningsläge (värde : 2) enligt beskrivningen i Aktivera minskningsregler för attackytan. Granskningsläget tillåter att regeln rapporterar filen eller processen, men den kan fortfarande köras.
Utföra den aktivitet som orsakar ett problem (öppna eller kör till exempel den fil eller process som ska blockeras men som tillåts).
Granska händelseloggarna för att minska attackytan för att se om regeln skulle ha blockerat filen eller processen om regeln hade angetts till Aktiverad.
Om en regel inte blockerar en fil eller process som du förväntar dig bör den blockeras, kontrollerar du först om granskningsläge är aktiverat.
Granskningsläge kan ha aktiverats för testning av en annan funktion eller av ett automatiserat PowerShell-skript och kan ha inaktiverats när testerna har slutförts.
Om du har testat regeln med demoverktyget och med granskningsläge och minskningsregler för attackytor arbetar på förkonfigurerade scenarier, men regeln inte fungerar som förväntat, går du till något av följande avsnitt beroende på din situation:
Om minskningsregeln för attackytan blockerar något som det inte borde blockera (kallas även falskt positivt) kan du först lägga till en uteslutningsregel för minskning av attackytan.
Om minskningsregeln för attackytan inte blockerar något som det borde blockera (kallas även falskt negativt) kan du fortsätta direkt till det sista steget, samla in diagnostikdata och skicka problemet till oss.
Lägga till undantag för falska positiva resultat
Om minskningsregeln för attackytan blockerar något som den inte borde blockera (kallas även falsk positiv inställning) kan du lägga till undantag för att förhindra minskningsregler för attackytan från att utvärdera de undantagna filerna eller mapparna.
Mer information om hur du lägger till ett undantag finns i Anpassa minskning av attackytan.
Viktigt
Du kan ange att enskilda filer och mappar ska undantas, men du kan inte ange enskilda regler. Det innebär att filer eller mappar som är undantagna undantas från alla ASR-regler.
Rapportera ett falskt positivt eller falskt negativt värde
Använd det Windows Defender webbaserade insändningsformuläret för säkerhetsintelligens om du vill rapportera ett falskt negativt eller falskt positivt resultat för nätverksskydd. Med en Windows E5-prenumeration kan du också skicka en länk till alla associerade aviseringar.
Samla in diagnostikdata för inskickade filer
När du rapporterar ett problem med minskningsregler för attackytan uppmanas du att samla in och skicka in diagnostikdata som kan användas av Microsofts support- och teknikteam för att felsöka problem.
Öppna en upphöjd kommandotolk och ändra i Windows Defender katalog:
cd "c:\program files\windows defender"Kör det här kommandot för att generera diagnostikloggarna:
mpcmdrun -getfilesSom standard sparas de i
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Bifoga filen i inskickat formulär.