Leer en inglés

Compartir a través de

Solución de problemas de reglas de reducción de superficie expuesta a ataques

  • Artículo

Se aplica a:

Al usar reglas de reducción de superficie expuesta a ataques , es posible que se parecen a problemas, como los siguientes:

  • Una regla bloquea un archivo, procesa o realiza alguna otra acción que no debería (falso positivo); o
  • Una regla no funciona como se describe o no bloquea un archivo o proceso que debe (falso negativo).

Hay cuatro pasos para solucionar estos problemas:

  1. Confirmación de los requisitos previos
  2. Uso del modo de auditoría para probar la regla
  3. Agregar exclusiones para la regla especificada (para falsos positivos)
  4. Envío de registros de soporte técnico

Confirmación de los requisitos previos

Las reglas de reducción de superficie expuesta a ataques solo funcionan en dispositivos con las condiciones siguientes:

Si se cumplen estos requisitos previos, continúe con el paso siguiente para probar la regla en modo de auditoría.

Procedimientos recomendados al configurar reglas de reducción de superficie expuesta a ataques mediante directiva de grupo

Al configurar las reglas de reducción de superficie expuesta a ataques mediante directiva de grupo, estos son algunos procedimientos recomendados para evitar cometer errores comunes:

  1. Asegúrese de que al agregar el GUID para las reglas de reducción de la superficie expuesta a ataques, no hay comillas dobles (por ejemplo, "GUID de reglas ASR") al principio o al final del GUID.

  2. Asegúrese de que no haya espacios al principio o al final al agregar el GUID para las reglas de reducción de superficie expuesta a ataques.

Uso del modo de auditoría para probar la regla

Siga estas instrucciones en Uso de la herramienta de demostración para ver cómo funcionan las reglas de reducción de superficie expuesta a ataques para probar la regla específica con la que tiene problemas.

  1. Habilite el modo de auditoría para la regla específica que desea probar. Use directiva de grupo para establecer la regla Audit mode en (valor: 2) como se describe en Habilitar reglas de reducción de superficie expuesta a ataques. El modo auditoría permite que la regla informe del archivo o proceso, pero permite que se ejecute.

  2. Realice la actividad que está causando un problema. Por ejemplo, abra el archivo o ejecute el proceso que debe bloquearse, pero se permite.

  3. Revise los registros de eventos de la regla de reducción de superficie expuesta a ataques para ver si la regla bloquearía el archivo o el proceso si la regla se estableció en Enabled.

Si una regla no bloquea un archivo o proceso que espera que se bloquee, compruebe primero si el modo de auditoría está habilitado. El modo de auditoría puede estar habilitado para probar otra característica o mediante un script de PowerShell automatizado y es posible que no se deshabilite una vez completadas las pruebas.

Si ha probado la regla con la herramienta de demostración y con el modo de auditoría, y las reglas de reducción de la superficie expuesta a ataques funcionan en escenarios preconfigurados, pero la regla no funciona según lo esperado, vaya a cualquiera de las secciones siguientes en función de su situación:

Adición de exclusiones para un falso positivo

Si la regla de reducción de superficie expuesta a ataques bloquea algo que no debe bloquear (también conocido como falso positivo), puede agregar exclusiones para evitar que las reglas de reducción de la superficie expuesta a ataques evalúen los archivos o carpetas excluidos.

Para agregar una exclusión, consulta Personalizar la reducción de la superficie expuesta a ataques.

Importante

Puede especificar archivos y carpetas individuales que se van a excluir, pero no puede especificar reglas individuales. Esto significa que los archivos o carpetas que se excluyen se excluyen de todas las reglas de ASR.

Notificar un falso positivo o un falso negativo

Use el Inteligencia de seguridad de Microsoft formulario de envío basado en web para notificar un falso negativo o falso positivo para la protección de red. Con una suscripción a Windows E5, también puede proporcionar un vínculo a cualquier alerta asociada.

Recopilación de datos de diagnóstico para envíos de archivos

Al notificar un problema con las reglas de reducción de superficie expuesta a ataques, se le pide que recopile y envíe datos de diagnóstico para los equipos de soporte técnico e ingeniería de Microsoft para ayudar a solucionar problemas.

  1. Abra el símbolo del sistema como administrador y abra el directorio de Windows Defender:

    Consola 
    cd "c:\program files\Windows Defender"

  2. Ejecute este comando para generar los registros de diagnóstico:

    Consola 
    mpcmdrun -getfiles

  3. De forma predeterminada, se guardan en C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Adjunte el archivo al formulario de envío.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.