פתרון בעיות בכללי צמצום פני השטח של ההתקפה

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

כאשר אתה משתמש בכללי הפחתת פני השטח של ההתקפה, אתה עשוי להיתקל בבעיות, כגון:

• כלל חוסם קובץ, מעבד או מבצע פעולה אחרת שלא אמורה להיות לו (חיובית מוטעית)
• כלל אינו פועל כמתואר, או אינו חוסם קובץ או תהליך אמורה להיות (שלילית מוטעית)

קיימים ארבעה שלבים לפתרון בעיות אלה:

1. אשר דרישות מוקדמות
2. שימוש במצב ביקורת כדי לבדוק את הכלל
3. הוספת אי-הכללות עבור הכלל שצוין (עבור תוצאות חיוביות מוטעות)
4. שלח יומני תמיכה

אשר דרישות מוקדמות

כללים להקטנת פני השטח של ההתקפה פועלים רק במכשירים עם התנאים הבאים:

• נקודות קצה פועלות Windows 10 Enterprise ואילך.

• נקודות קצה משתמשות ב- Microsoft Defender האנטי-וירוס כיישום היחיד להגנה על אנטי-וירוס. השימוש בכל אפליקציית אנטי-וירוס אחרת גורם Microsoft Defender האנטי-וירוס להפוך את עצמו ללא זמין.

• הגנה בזמן אמת זמינה.

• מצב ביקורת אינו זמין. השתמש מדיניות קבוצתית כדי להגדיר את הכלל כלא זמין (ערך: 0) כמתואר במאמר הפיכת כללי צמצום פני השטח של ההתקפה לזמינים.

אם דרישות מוקדמות אלה קיימות, המשך לשלב הבא כדי לבדוק את הכלל במצב ביקורת.

שימוש במצב ביקורת כדי לבדוק את הכלל

בצע הוראות אלה במאמר שימוש בכלי ההדגמה כדי לראות כיצד פועלים כללי הפחתת פני השטח לתקיפה כדי לבדוק את הכלל הספציפי שבו אתה נתקל בבעיות.

1. הפוך מצב ביקורת לזמין עבור הכלל הספציפי שברצונך לבדוק. השתמש מדיניות קבוצתית כדי להגדיר את הכלל למצב ביקורת (ערך: 2) כמתואר בהאפשרות כללי צמצום פני השטח של ההתקפה. מצב ביקורת מאפשר לכלל לדווח על הקובץ או התהליך, אך מאפשר לו לפעול.

2. בצע את הפעילות הגורמת לבעיה (לדוגמה, פתח או בצע את הקובץ או התהליך שיש לחסום אך מותר).

3. סקור את יומני האירועים של כלל ההפחתת פני השטח של התקיפה כדי לראות אם הכלל חוסם את הקובץ או התהליך אם הכלל הוגדר כזמין.

אם כלל אינו חוסם קובץ או תהליך שאתה מצפה לחסום, בדוק תחילה אם מצב ביקורת זמין.

ייתכן שמצב ביקורת זמין לבדיקת תכונה אחרת, או באמצעות קובץ Script אוטומטי של PowerShell, וייתכן שלא יהיה זמין לאחר השלמת הבדיקות.

אם בדקת את הכלל עם כלי ההדגמה ובמצב ביקורת, וכללי הפחתת השטח של ההתקפה עובדים על תרחישים שתצורתם תצורתם תקבעה מראש, אך הכלל אינו פועל כצפוי, המשך אל אחד מהסעיפים הבאים בהתאם למצבך:

1. אם כלל ההפחתת פני השטח של ההתקפה חוסם משהו שהוא לא אמור לחסום (המכונה גם חיובית מוטעית), באפשרותך להוסיף תחילה אי הכללה של כלל הפחתת פני השטח של ההתקפה.

2. אם כלל ההפחתת פני השטח של ההתקפה אינו חוסם משהו שהוא צריך לחסום (המכונה גם "שלילי מוטעה"), תוכל להמשיך מיד לשלב האחרון, לאסוף נתוני אבחון ולשלוח לנו את הבעיה.

הוספת אי-הכללות עבור חיובית מוטעית

אם כלל ההפחתת פני השטח של ההתקפה חוסם משהו שהוא לא אמור לחסום (המכונה גם 'חיובי מוטעה'), באפשרותך להוסיף אי-הכללות כדי למנוע מכללי הפחתת שטח ההתקפה לבצע הערכה של הקבצים או התיקיות שלא נכללו.

כדי להוסיף אי הכללה, ראה התאמה אישית של הפחתת פני השטח של ההתקפה.

חשוב

באפשרותך לציין קבצים ותיקיות בודדים שלא ייכללו, אך לא ניתן לציין כללים בודדים. משמעות הדבר היא שכל הקבצים או התיקיות שלא ייכללו לא ייכללו בכל כללי ה- ASR.

דיווח על תוצאה חיובית מוטעית או שלילית מוטעית

השתמש בטופס בינת אבטחה של Microsoft מבוסס האינטרנט כדי לדווח על תוצאה שלילית מוטעית או חיובית מוטעית עבור הגנת רשת. עם מנוי Windows E5, באפשרותך גם לספק קישור לכל התראה משויכת.

איסוף נתוני אבחון עבור שליחת קבצים

כאשר אתה מדווח על בעיה בכללי הפחתת פני השטח של ההתקפה, אתה מתבקש לאסוף ולשלוח נתוני אבחון שניתן להשתמש בהם על-ידי צוותי התמיכה וההנדסה של Microsoft כדי לעזור בפתרון בעיות.

1. פתח שורת פקודה עם הרשאות מלאות ושנה Windows Defender הכתובות:

   cd "c:\program files\Windows Defender"
   

2. הפעל פקודה זו כדי ליצור את יומני האבחון:

   mpcmdrun -getfiles
   

3. כברירת מחדל, הם נשמרים ב- C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. צרף את הקובץ לטופס ההגשה.

מאמרים קשורים

• כללים לצמצום שטח תקיפה
• אפשר כללי צמצום פני השטח של ההתקפה
• הערכת כללי צמצום פני השטח של ההתקפה

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.