Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
I po pečlivém dodržování průvodce nasazením pravidel omezení potenciální oblasti útoku (ASR) můžete v Microsoft Defender Antivirové ochraně narazit na problémy s pravidly ASR. Příklady:
- Pravidlo ASR blokuje soubor nebo proces nebo provede nějakou jinou akci, kterou by nemělo (falešně pozitivní).
- Pravidlo ASR nefunguje tak, jak je popsáno, nebo neblokuje soubor nebo proces, který by měl (falešně negativní).
Tento článek popisuje kroky, které můžete sami provést při řešení těchto problémů, včetně shromažďování dat k otevření případu podpory u Microsoftu, pokud se vám nedaří problém vyřešit sami. Další informace o pravidlech ASR najdete v tématu Přehled pravidel omezení potenciální oblasti útoku (ASR).
Potvrzení požadavků na pravidlo ASR
Informace o požadavcích na pravidla ASR najdete v tématu Požadavky na pravidla ASR.
Ověření aktivních pravidel a akcí ASR na zařízeních
Spuštěním následujícího příkazu v PowerShellu na zařízení zobrazte stav všech nakonfigurovaných pravidel ASR:
$p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
Příklad výstupu tohoto příkazu může vypadat takto:
Id Action
-- ------
01443614-cd74-433a-b99e-2ecdc07bfc25 2
26190899-1602-49e8-8b27-eb1d0a1ce869 1
3b576869-a4ec-4529-8536-b80a7769e899 1
5beb7efe-fd9a-4556-801d-275e5ffc04cc 1
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 1
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 1
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b 1
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 2
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 1
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 1
c1db55ab-c21a-4637-bb3f-a12568109d35 2
d1e49aac-8f56-4280-b9ba-993a6d77406c 1
d3e037e1-3eb8-44c8-a917-57927947596d 2
d4f940ab-401b-4efc-aadc-ad5f3c50688a 2
e6db77e5-3df2-4cf1-b95a-636979351e5b 1
V tomto příkladu jsou pravidla ASR aktivní v různých režimech zařízení (2 = režim auditování , 1 = režim blokování ).
Poznámka
Pokud jste ke konfiguraci pravidel ASR použili Zásady skupiny, ověřte, že hodnota GUID pravidla ASR neobsahuje žádné další znaky, jako jsou uvozovky nebo mezery.
Přepnutí pravidel ASR s chybným chováním do režimu auditování pro účely testování
Pravidla ASR v režimu auditování neblokují soubory ani procesy, ale zaznamenají se akce, které by pravidlo provedlo v režimu blokování nebo upozornění .
Bez ohledu na to, jakou metodu jste použili k distribuci pravidel ASR do zařízení, použijte stejnou metodu k nastavení problematických pravidel do režimu auditování . Pokyny najdete v tématu Konfigurace pravidel omezení potenciální oblasti útoku.
Tip
Pokud pravidlo ASR už bylo v režimu auditování , vysvětluje to, proč neblokovalo soubory nebo procesy, které jste očekávali, že je blokuje (falešně negativní). Pravidla ASR se můžou omylem dostat do režimu auditování v následujících scénářích:
- Testovali jste jinou funkci a zapomněli jste nastavit pravidlo ASR zpět do režimu blokování nebo upozornění .
- Automatický skript PowerShellu změnil režim pravidla.
Po konfiguraci pravidla v režimu auditování proveďte následující kroky:
Proveďte na zařízení akci, která problém způsobuje. Otevřete například soubor nebo spusťte proces, který není zablokovaný, ale měl by být blokovaný (falešně negativní).
Projděte si aktivitu pravidel ASR.
Konkrétně v Prohlížeči událostí systému Windows filtrujte hodnoty ID událostí podle následujících hodnot v provozním>protokolu aplikací a služebv programu Microsoft>Windows>Defender>:
- Blokové události: 1121
- Události auditu: 1122
- Události přepsání uživatelem v režimu upozornění: 1129
- Změny konfigurace: 5007
Podrobné informace najdete v tématu Zobrazení událostí omezení potenciální oblasti útoku ve Windows Prohlížeč událostí.
Kroky, které je potřeba provést, pokud pravidlo ASR stále nefunguje podle očekávání
Pokud pravidlo ASR stále nefunguje podle očekávání, proveďte jeden z následujících kroků:
- V případě falešně pozitivních výsledků přidejte soubor nebo cestu jako vyloučení do pravidla ASR. Další informace najdete v tématu Vyloučení souborů a složek pro pravidla ASR.
- Pomocí Microsoft Bezpečnostní analýza webového formuláře pro odeslání nahlásíte falešně negativní nebo falešně pozitivní pro pravidla ASR. S předplatným Windows E5 můžete také poskytnout odkaz na všechna přidružená upozornění.
- Když společnosti Microsoft nahlásíte problém s pravidly ASR, musíte shromáždit a odeslat diagnostická data, která vám pomůžou problém vyřešit, jak je popsáno v další části.
Shromažďování diagnostických dat pro podporu Microsoftu
Shromažďování diagnostických dat pomocí nástroje MDE Client Analyzer
Stáhněte MDE Client Analyzer.
Zavřete na zařízení všechny aplikace, které nejsou nezbytné k reprodukci problému.
Spusťte nástroj MDE Client Analyzer s přepínačem
-vmístně nebo pomocí živé odpovědi:C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -vTip
Ujistěte se, že během pokusu o reprodukci probíhá shromažďování protokolů.
Shromažďování diagnostických dat pomocí MpCmdRun
MpCmdRun.exe -GetFiles Pokud chcete ručně vygenerovat soubory protokolu diagnostiky do C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabnástroje , přečtěte si pokyny v tématu Shromažďování diagnostických dat Microsoft Defender Antivirové ochrany.
MpSupportFiles.cab V souboru jsou nejrelevantní následující soubory:
-
MPOperationalEvents.txt: Obsahuje stejnou úroveň informací, které najdete v Prohlížeč událostí pro provozní protokol Microsoft Defender Antivirové ochrany. -
MPRegistry.txt: Analyzujte všechny aktuální konfigurace Microsoft Defender Antivirové ochrany z toho, kdy jste vygenerovali soubor .cab. -
MPLog.txt: Podrobné informace o všech akcích a operacích Microsoft Defender Antivirus.