Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wenn Sie Regeln zur Verringerung der Angriffsfläche verwenden, können Probleme auftreten, z. B.:

• Eine Regel blockiert eine Datei, einen Prozess oder führt eine andere Aktion aus, die sie nicht tun sollte (falsch positiv).
• Eine Regel funktioniert nicht wie beschrieben oder blockiert keine Datei oder einen Prozess, die sie verwenden sollte (falsch negativ).

Es gibt vier Schritte, um diese Probleme zu beheben:

1. Bestätigen der Voraussetzungen
2. Verwenden des Überwachungsmodus zum Testen der Regel
3. Hinzufügen von Ausschlüssen für die angegebene Regel (für falsch positive Ergebnisse)
4. Übermitteln von Supportprotokollen

Bestätigen der Voraussetzungen

Regeln zur Verringerung der Angriffsfläche funktionieren nur auf Geräten mit den folgenden Bedingungen:

• Endpunkte werden Windows 10 Enterprise oder höher ausgeführt.

• Endpunkte verwenden Microsoft Defender Antivirus als einzige Antivirenschutz-App. Die Verwendung einer anderen Antiviren-App führt dazu, dass Microsoft Defender Antivirus sich selbst deaktiviert.

• Echtzeitschutz ist aktiviert.

• Der Überwachungsmodus ist nicht aktiviert. Verwenden Sie Gruppenrichtlinie, um die Regel auf Deaktiviert (Wert: 0) festzulegen, wie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche beschrieben.

Wenn diese Voraussetzungen erfüllt sind, fahren Sie mit dem nächsten Schritt fort, um die Regel im Überwachungsmodus zu testen.

Verwenden des Überwachungsmodus zum Testen der Regel

Befolgen Sie diese Anweisungen unter Verwenden des Demotools, um zu sehen, wie Regeln zur Verringerung der Angriffsfläche funktionieren , um die spezifische Regel zu testen, bei der Probleme auftreten.

1. Aktivieren Sie den Überwachungsmodus für die bestimmte Regel, die Sie testen möchten. Verwenden Sie Gruppenrichtlinie, um die Regel auf überwachungsmodus (Wert: 2) festzulegen, wie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche beschrieben. Im Überwachungsmodus kann die Regel die Datei oder den Prozess melden, aber sie kann ausgeführt werden.

2. Führen Sie die Aktivität aus, die ein Problem verursacht (z. B. die Datei oder den Prozess öffnen oder ausführen, die blockiert werden soll, aber zugelassen wird).

3. Überprüfen Sie die Ereignisprotokolle der Regel zur Verringerung der Angriffsfläche , um festzustellen, ob die Regel die Datei oder den Prozess blockieren würde, wenn die Regel auf Aktiviert festgelegt wäre.

Wenn eine Regel eine Datei oder einen Prozess nicht blockiert, deren Blockierung Sie erwarten, überprüfen Sie zunächst, ob der Überwachungsmodus aktiviert ist.

Der Überwachungsmodus kann zum Testen eines anderen Features oder durch ein automatisiertes PowerShell-Skript aktiviert werden und nach Abschluss der Tests möglicherweise nicht deaktiviert werden.

Wenn Sie die Regel mit dem Demotool und dem Überwachungsmodus getestet haben und Die Regeln zur Verringerung der Angriffsfläche in vorkonfigurierten Szenarien funktionieren, die Regel jedoch nicht wie erwartet funktioniert, fahren Sie je nach Situation mit einem der folgenden Abschnitte fort:

1. Wenn die Regel zur Verringerung der Angriffsfläche etwas blockiert, das nicht blockiert werden sollte (auch als falsch positiv bezeichnet), können Sie zuerst eine Regel zur Verringerung der Angriffsfläche hinzufügen.

2. Wenn die Regel zur Verringerung der Angriffsfläche nicht etwas blockiert, das sie blockieren sollte (auch als falsch negativ bezeichnet), können Sie sofort mit dem letzten Schritt fortfahren, Diagnosedaten sammeln und das Problem an uns übermitteln.

Hinzufügen von Ausschlüssen für ein falsch positives Ergebnis

Wenn die Regel zur Verringerung der Angriffsfläche etwas blockiert, das nicht blockiert werden sollte (auch als falsch positiv bezeichnet), können Sie Ausschlüsse hinzufügen, um zu verhindern, dass Regeln zur Verringerung der Angriffsfläche die ausgeschlossenen Dateien oder Ordner auswerten.

Informationen zum Hinzufügen eines Ausschlusses finden Sie unter Anpassen der Verringerung der Angriffsfläche.

Wichtig

Sie können einzelne Dateien und Ordner angeben, die ausgeschlossen werden sollen, aber Sie können keine einzelnen Regeln angeben. Dies bedeutet, dass alle Dateien oder Ordner, die ausgeschlossen sind, von allen ASR-Regeln ausgeschlossen werden.

Melden eines falsch positiven oder falsch negativen Werts

Verwenden Sie das Microsoft Security Intelligence webbasierten Übermittlungsformular, um ein falsch negatives oder falsch positives Für den Netzwerkschutz zu melden. Mit einem Windows E5-Abonnement können Sie auch einen Link zu jeder zugehörigen Warnung bereitstellen.

Sammeln von Diagnosedaten für Dateiübermittlungen

Wenn Sie ein Problem mit Regeln zur Verringerung der Angriffsfläche melden, werden Sie aufgefordert, Diagnosedaten zu sammeln und zu übermitteln, die von Microsoft-Support- und Entwicklungsteams verwendet werden können, um Probleme zu beheben.

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und wechseln Sie zum Verzeichnis Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Führen Sie den folgenden Befehl aus, um die Diagnoseprotokolle zu generieren:

   mpcmdrun -getfiles
   

3. Standardmäßig werden sie unter C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabgespeichert. Fügen Sie die Datei an das Übermittlungsformular an.

Verwandte Artikel

• Regeln zur Verringerung der Angriffsfläche
• Aktivieren der Regeln zur Verringerung der Angriffsfläche
• Auswerten der Regeln zur Verringerung der Angriffsfläche

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.