Sdílet prostřednictvím


Řešení potíží s pravidly omezení potenciální oblasti útoku

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Při použití pravidel omezení potenciální oblasti útoku můžete narazit na problémy, například:

  • Pravidlo blokuje soubor, proces nebo provádí nějakou jinou akci, kterou by nemělo (falešně pozitivní); nebo
  • Pravidlo nefunguje tak, jak je popsáno, nebo neblokuje soubor nebo proces, který by měl (falešně negativní).

Při řešení těchto problémů je potřeba provést čtyři kroky:

  1. Potvrzení požadavků
  2. Použití režimu auditování k otestování pravidla
  3. Přidání vyloučení pro zadané pravidlo (pro falešně pozitivní výsledky)
  4. Odeslání protokolů podpory

Potvrzení požadavků

Pravidla omezení potenciální oblasti útoku fungují jenom na zařízeních s následujícími podmínkami:

Pokud jsou tyto požadavky splněné, přejděte k dalšímu kroku a otestujte pravidlo v režimu auditování.

Osvědčené postupy při nastavování pravidel omezení potenciální oblasti útoku pomocí Zásady skupiny

Při nastavování pravidel omezení potenciální oblasti útoku pomocí Zásady skupiny najdete několik osvědčených postupů, jak se vyhnout běžným chybám:

  1. Ujistěte se, že při přidávání identifikátoru GUID pro pravidla omezení potenciální oblasti útoku nejsou na začátku ani na konci identifikátoru GUID žádné dvojité uvozovky (například GUID pravidel ASR).

  2. Ujistěte se, že při přidávání identifikátoru GUID pro pravidla omezení potenciální oblasti útoku nejsou na začátku ani na konci žádné mezery .

Použití režimu auditování k otestování pravidla

Postupujte podle těchto pokynů v tématu Použití ukázkového nástroje a podívejte se, jak fungují pravidla omezení potenciální oblasti útoku a otestujte konkrétní pravidlo, se kterým máte problémy.

  1. Povolte režim auditování pro konkrétní pravidlo, které chcete testovat. Pomocí Zásady skupiny nastavte pravidlo na Audit mode (hodnota: 2) podle popisu v tématu Povolení pravidel omezení potenciální oblasti útoku. Režim auditování umožňuje pravidlu nahlásit soubor nebo proces, ale umožňuje jeho spuštění.

  2. Proveďte aktivitu, která způsobuje problém. Otevřete například soubor nebo spusťte proces, který by měl být blokovaný, ale je povolený.

  3. Zkontrolujte protokoly událostí pravidla omezení potenciální oblasti útoku a zjistěte, jestli pravidlo neblokuje soubor nebo proces, pokud by bylo pravidlo nastavené na Enabledhodnotu .

    Pokud pravidlo neblokuje soubor nebo proces, u kterého očekáváte, že by mělo blokovat, nejprve zkontrolujte, jestli je povolený režim auditování. Režim auditování může být povolený pro testování jiné funkce nebo automatizovaným skriptem PowerShellu a po dokončení testů nemusí být zakázaný.

Pokud jste pravidlo otestovali pomocí ukázkového nástroje a režimu auditu a pravidla omezení potenciální oblasti útoku fungují v předkonfigurovaných scénářích, ale pravidlo nefunguje podle očekávání, pokračujte na základě vaší situace k některé z následujících částí:

Přidání vyloučení pro falešně pozitivní výsledky

Pokud pravidlo omezení potenciální oblasti útoku blokuje něco, co by blokovat nemělo (označuje se také jako falešně pozitivní), můžete přidat vyloučení, která zabrání pravidlům omezení potenciální oblasti útoku v vyhodnocování vyloučených souborů nebo složek.

Pokud chcete přidat vyloučení, přečtěte si téma Přizpůsobení zmenšení prostoru útoku.

Důležité

Můžete zadat jednotlivé soubory a složky, které mají být vyloučeny, ale nemůžete zadat jednotlivá pravidla. To znamená, že všechny soubory nebo složky, které jsou vyloučené, budou vyloučeny ze všech pravidel ASR.

Nahlásit falešně pozitivní nebo falešně negativní

Pomocí Microsoft Bezpečnostní analýza webového formuláře pro odeslání nahlásíte falešně negativní nebo falešně pozitivní zprávu pro ochranu sítě. S předplatným Windows E5 můžete také poskytnout odkaz na všechna přidružená upozornění.

Shromažďování diagnostických dat pro odesílání souborů

Když nahlásíte problém s pravidly omezení potenciální oblasti útoku, budete požádáni o shromáždění a odeslání diagnostických dat, která můžou týmy podpory a technické týmy Microsoftu použít k řešení problémů.

  1. Otevřete příkazový řádek jako správce a otevřete adresář Programu Windows Defender:

    cd "c:\program files\Windows Defender"
    
  2. Spuštěním tohoto příkazu vygenerujte diagnostické protokoly:

    mpcmdrun -getfiles
    
  3. Ve výchozím nastavení se ukládají do C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Připojte soubor k formuláři pro odeslání.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.