Fejlfinding af regler for reduktion af angrebsoverflade

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Når du bruger regler for reduktion af angrebsoverfladen , kan du støde på problemer, f.eks.:

  • En regel blokerer en fil, proces eller udfører en anden handling, som den ikke skal (falsk positiv)
  • En regel fungerer ikke som beskrevet, eller blokerer ikke en fil eller proces, som den skal (falsk negativ)

Der er fire trin til fejlfinding af disse problemer:

  1. Bekræft forudsætninger
  2. Brug overvågningstilstand til at teste reglen
  3. Tilføj udeladelser for den angivne regel (for falske positiver)
  4. Send supportlogge

Bekræft forudsætninger

Regler for reduktion af angrebsoverfladen fungerer kun på enheder med følgende betingelser:

Hvis alle disse forudsætninger er opfyldt, skal du gå videre til næste trin for at teste reglen i overvågningstilstand.

Brug overvågningstilstand til at teste reglen

Følg disse instruktioner i Brug demoværktøjet til at se, hvordan regler for reduktion af angreb fungerer for at teste den specifikke regel, du støder på problemer med.

  1. Aktivér overvågningstilstand for den specifikke regel, du vil teste. Brug Gruppepolitik til at angive reglen til Overvågningstilstand (værdi: 2) som beskrevet i Aktivér regler for reduktion af angrebsoverfladen. Overvågningstilstand gør det muligt for reglen at rapportere filen eller processen, men tillader stadig, at den kører.

  2. Udfør den aktivitet, der forårsager et problem (f.eks. åbn eller udfør den fil eller proces, der skal blokeres, men som er tilladt).

  3. Gennemse hændelsesloggene for reglen for reduktion af angrebsoverfladen for at se, om reglen ville have blokeret filen eller processen, hvis reglen var angivet til Aktiveret.

Hvis en regel ikke blokerer en fil eller proces, som du forventer, at den skal blokere, skal du først kontrollere, om overvågningstilstand er aktiveret.

Overvågningstilstanden kan være blevet aktiveret til test af en anden funktion eller af et automatiseret PowerShell-script, og den er muligvis ikke blevet deaktiveret, efter at testene er fuldført.

Hvis du har testet reglen med demoværktøjet og med overvågningstilstand, og regler for reduktion af angrebsoverfladen fungerer på forudkonfigurerede scenarier, men reglen ikke fungerer som forventet, skal du gå til et af følgende afsnit baseret på din situation:

  1. Hvis reglen for reduktion af angrebsoverfladen blokerer noget, som den ikke bør blokere (også kendt som falsk positiv), kan du først tilføje en udeladelse af reglen for reduktion af angrebsoverfladen.

  2. Hvis reglen for reduktion af angrebsoverfladen ikke blokerer noget, som den skal blokere (også kendt som et falsk negativt), kan du fortsætte med det samme til det sidste trin, indsamle diagnosticeringsdata og sende problemet til os.

Tilføj udeladelser for falsk positiv

Hvis reglen for reduktion af angrebsoverfladen blokerer noget, som den ikke bør blokere (også kendt som falsk positiv), kan du tilføje undtagelser for at forhindre, at regler for reduktion af angrebsoverfladen evaluerer de udeladte filer eller mapper.

Hvis du vil tilføje en udeladelse, skal du se Tilpas overfladereduktion af angreb.

Vigtigt!

Du kan angive individuelle filer og mapper, der skal udelades, men du kan ikke angive individuelle regler. Det betyder, at alle filer eller mapper, der udelades, udelades fra alle ASR-regler.

Rapportér en falsk positiv eller falsk negativ

Brug den webbaserede indsendelsesformular til Windows Defender Security Intelligence til at rapportere falsk negativ eller falsk positiv til netværksbeskyttelse. Med et Windows E5-abonnement kan du også angive et link til alle tilknyttede beskeder.

Indsaml diagnosticeringsdata til filindsendelser

Når du rapporterer et problem med regler for reduktion af angrebsoverfladen, bliver du bedt om at indsamle og indsende diagnosticeringsdata, der kan bruges af Microsoft support- og teknikerteams til at foretage fejlfinding af problemer.

  1. Åbn en kommandoprompt med administratorrettigheder, og skift til mappen Windows Defender:

    cd "c:\program files\windows defender"
    
  2. Kør denne kommando for at generere diagnosticeringslogfilerne:

    mpcmdrun -getfiles
    
  3. Som standard gemmes de i C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Vedhæft filen til afsendelsesformularen.