Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft 365 Defender

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wenn Sie Regeln zur Verringerung der Angriffsfläche verwenden, treten möglicherweise Probleme auf, z. B.:

• Eine Regel blockiert eine Datei, einen Prozess oder führt eine andere Aktion aus, die sie nicht sollte (falsch positiv)
• Eine Regel funktioniert nicht wie beschrieben oder blockiert keine Datei oder einen Prozess, die sie sollte (falsch negativ).

Es gibt vier Schritte, um diese Probleme zu beheben:

1. Bestätigen der Voraussetzungen
2. Verwenden des Überwachungsmodus zum Testen der Regel
3. Hinzufügen von Ausschlüssen für die angegebene Regel (für falsch positive Ergebnisse)
4. Übermitteln von Supportprotokollen

Bestätigen der Voraussetzungen

Regeln zur Verringerung der Angriffsfläche funktionieren nur auf Geräten mit den folgenden Bedingungen:

• Endpunkte werden Windows 10 Enterprise Version 1709 (auch als Fall Creators Update bezeichnet) ausgeführt.

• Endpunkte verwenden Microsoft Defender Antivirus als einzige Antiviren-Schutz-App. Die Verwendung einer anderen Antiviren-App bewirkt, dass Microsoft Defender Antivirus sich selbst deaktiviert.

• Der Echtzeitschutz ist aktiviert.

• Der Überwachungsmodus ist nicht aktiviert. Verwenden Sie Gruppenrichtlinie, um die Regel auf "Deaktiviert" (Wert: 0) festzulegen, wie unter "Regeln zur Verringerung der Angriffsfläche aktivieren" beschrieben.

Wenn diese Voraussetzungen erfüllt sind, fahren Sie mit dem nächsten Schritt fort, um die Regel im Überwachungsmodus zu testen.

Verwenden des Überwachungsmodus zum Testen der Regel

Befolgen Sie diese Anweisungen unter Verwenden des Demotools, um zu sehen, wie Regeln zur Verringerung der Angriffsfläche funktionieren , um die spezifische Regel zu testen, mit der Sie Probleme haben.

1. Aktivieren Sie den Überwachungsmodus für die bestimmte Regel, die Sie testen möchten. Verwenden Sie Gruppenrichtlinie, um die Regel auf den Überwachungsmodus (Wert: 2) festzulegen, wie unter Regeln zur Verringerung der Angriffsfläche beschrieben. Der Überwachungsmodus ermöglicht der Regel, die Datei oder den Prozess zu melden, lässt aber weiterhin die Ausführung zu.

2. Führen Sie die Aktivität aus, die ein Problem verursacht (z. B. öffnen oder führen Sie die Datei oder den Prozess aus, die blockiert werden soll, aber zulässig ist).

3. Überprüfen Sie die Ereignisprotokolle der Regel zur Verringerung der Angriffsfläche , um festzustellen, ob die Regel die Datei oder den Prozess blockiert hätte, wenn die Regel auf "Aktiviert" festgelegt wurde.

Wenn eine Regel eine Datei oder einen Prozess, von dem Sie erwarten, dass sie blockiert werden soll, nicht blockiert, überprüfen Sie zuerst, ob der Überwachungsmodus aktiviert ist.

Der Überwachungsmodus wurde möglicherweise zum Testen eines anderen Features oder durch ein automatisiertes PowerShell-Skript aktiviert und wurde nach Abschluss der Tests möglicherweise nicht deaktiviert.

Wenn Sie die Regel mit dem Demotool und mit dem Überwachungsmodus getestet haben und Regeln zur Verringerung der Angriffsfläche in vorkonfigurierten Szenarien arbeiten, die Regel jedoch nicht wie erwartet funktioniert, fahren Sie basierend auf Ihrer Situation mit einem der folgenden Abschnitte fort:

1. Wenn die Regel zur Verringerung der Angriffsfläche etwas blockiert, das nicht blockiert werden sollte (auch als falsch positives Ergebnis bezeichnet), können Sie zuerst einen Ausschluss einer Regel zur Verringerung der Angriffsfläche hinzufügen.

2. Wenn die Regel zur Verringerung der Angriffsfläche etwas nicht blockiert, das blockiert werden soll (auch als falsch negativ bezeichnet), können Sie sofort mit dem letzten Schritt fortfahren, Diagnosedaten sammeln und das Problem an uns übermitteln.

Hinzufügen von Ausschlüssen für ein falsch positives Ergebnis

Wenn die Regel zur Verringerung der Angriffsfläche etwas blockiert, das nicht blockiert werden sollte (auch als falsch positives Ergebnis bezeichnet), können Sie Ausschlüsse hinzufügen, um zu verhindern, dass Regeln zur Verringerung der Angriffsfläche die ausgeschlossenen Dateien oder Ordner auswerten.

Informationen zum Hinzufügen eines Ausschlusses finden Sie unter Anpassen der Verringerung der Angriffsfläche.

Wichtig

Sie können einzelne Dateien und Ordner angeben, die ausgeschlossen werden sollen, aber sie können keine einzelnen Regeln angeben. Dies bedeutet, dass alle ausgeschlossenen Dateien oder Ordner von allen ASR-Regeln ausgeschlossen werden.

Melden eines falsch positiven oder falsch negativen Ergebnisses

Verwenden Sie das webbasierte Übermittlungsformular Windows Defender Security Intelligence, um ein falsch negatives oder falsch positives Ergebnis für den Netzwerkschutz zu melden. Mit einem Windows E5-Abonnement können Sie auch einen Link zu allen zugehörigen Warnungen bereitstellen.

Sammeln von Diagnosedaten für Dateiübermittlungen

Wenn Sie ein Problem mit Regeln zur Verringerung der Angriffsfläche melden, werden Sie aufgefordert, Diagnosedaten zu sammeln und zu übermitteln, die von Microsoft-Support- und Entwicklungsteams zur Behandlung von Problemen verwendet werden können.

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und wechseln Sie zum Windows Defender Verzeichnis:

   cd "c:\program files\windows defender"
   

2. Führen Sie diesen Befehl aus, um die Diagnoseprotokolle zu generieren:

   mpcmdrun -getfiles
   

3. Standardmäßig werden sie in C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabgespeichert. Fügen Sie die Datei an das Übermittlungsformular an.

Verwandte Artikel

• Regeln zur Verringerung der Angriffsfläche
• Aktivieren der Regeln zur Verringerung der Angriffsfläche
• Auswerten der Regeln zur Verringerung der Angriffsfläche