Támadásifelület-csökkentési szabályok hibaelhárítása

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A támadásifelület-csökkentési szabályok használatakor problémák merülhetnek fel, például:

• A szabályok blokkolják a fájlokat, feldolgozzák vagy más olyan műveletet hajtanak végre, amelyet nem szabad (hamis pozitív); vagy
• Egy szabály nem működik a leírt módon, vagy nem tiltja le a fájlokat vagy folyamatokat, amelyeknek hamis negatívnak kell lennie.

A problémák elhárításának négy lépése van:

1. Előfeltételek megerősítése
2. A szabály tesztelése naplózási módban
3. Kizárások hozzáadása a megadott szabályhoz (hamis pozitív értékek esetén)
4. Támogatási naplók elküldése

Előfeltételek megerősítése

A támadásifelület-csökkentési szabályok csak az alábbi feltételekkel rendelkező eszközökön működnek:

• Az eszközök Windows 10 Enterprise vagy újabb verziót futtatnak.
• Az eszközök az Microsoft Defender Víruskeresőt használják egyedüli víruskereső védelmi alkalmazásként. Ha bármilyen más víruskereső alkalmazást használ, az Microsoft Defender víruskereső letiltja magát.
• A valós idejű védelem engedélyezve van.
• A naplózási mód nincs engedélyezve. A Csoportházirend használatával állítsa a szabályt (érték: 0) értékre Disabled a Támadásifelület-csökkentési szabályok engedélyezése című szakaszban leírtak szerint.

Ha ezek az előfeltételek teljesülnek, folytassa a következő lépésekkel a szabály naplózási módban történő teszteléséhez.

Ajánlott eljárások a támadásifelület-csökkentési szabályok Csoportházirend használatával történő beállításához

A támadásifelület-csökkentési szabályok Csoportházirend használatával történő beállításakor íme néhány ajánlott eljárás a gyakori hibák elkerüléséhez:

1. Győződjön meg arról, hogy a támadásifelület-csökkentési szabályok GUID-azonosítójának hozzáadásakor nincsenek dupla idézőjelek (például "ASR-szabályok GUID-azonosítója") a GUID elején vagy végén.

2. A támadásifelület-csökkentési szabályok GUID-azonosítójának hozzáadásakor győződjön meg arról, hogy nincsenek szóközök az elején vagy végén.

A szabály tesztelése naplózási módban

Kövesse ezeket az utasításokat A bemutatóeszköz használata című témakörben, amelyből megtudhatja, hogyan működnek a támadásifelület-csökkentési szabályok annak a szabálynak a teszteléséhez, amellyel kapcsolatban problémákat tapasztal.

1. Engedélyezze a naplózási módot a tesztelni kívánt szabályhoz. A Csoportházirend használatával állítsa a szabályt (érték: 2) értékre Audit mode a Támadásifelület-csökkentési szabályok engedélyezése című szakaszban leírtak szerint. A naplózási mód lehetővé teszi a szabály számára a fájl vagy folyamat jelentését, de lehetővé teszi a futtatását.

2. Végezze el a problémát okozó tevékenységet. Nyissa meg például a fájlt, vagy futtassa a letiltandó, de engedélyezett folyamatot.

3. Tekintse át a támadásifelület-csökkentési szabály eseménynaplóit , és ellenőrizze, hogy a szabály blokkolja-e a fájlt vagy a folyamatot, ha a szabály értékre Enabledvan állítva.

   Ha egy szabály nem blokkolja a várt fájlokat vagy folyamatokat, először ellenőrizze, hogy engedélyezve van-e a naplózási mód. Előfordulhat, hogy a naplózási mód engedélyezve van egy másik funkció vagy egy automatizált PowerShell-szkript teszteléséhez, és a tesztek befejezése után nem lesz letiltva.

Ha tesztelte a szabályt a demóeszközzel és a naplózási móddal, és a támadásifelület-csökkentési szabályok előre konfigurált forgatókönyveken működnek, de a szabály nem a várt módon működik, folytassa az alábbi szakaszok valamelyikével a helyzet alapján:

• Ha a támadásifelület-csökkentési szabály blokkol valamit, amit nem szabad blokkolnia (más néven hamis pozitív), először hozzáadhat egy támadásifelület-csökkentési szabály kizárását.
• Ha a támadásifelület-csökkentési szabály nem blokkolja azt, amit blokkolnia kell (más néven hamis negatív), azonnal továbbléphet az utolsó lépésre, diagnosztikai adatokat gyűjthet, és elküldheti nekünk a problémát.

Kizárások hozzáadása hamis pozitív értékhez

Ha a támadásifelület-csökkentési szabály blokkol valamit, amit nem szabad blokkolnia (más néven hamis pozitív), kizárásokat adhat hozzá, hogy megakadályozza a támadásifelület-csökkentési szabályok kiértékelését a kizárt fájlok vagy mappák esetében.

Kizárás hozzáadásához lásd: Támadásifelület-csökkentés testreszabása.

Fontos

Megadhatja az egyes kizárandó fájlokat és mappákat, de nem adhat meg egyedi szabályokat. Ez azt jelenti, hogy minden kizárt fájl vagy mappa ki lesz zárva az összes ASR-szabályból.

Hamis pozitív vagy hamis negatív jelentés

A Microsoft biztonsági intelligencia webes beküldési űrlap használatával hamis negatív vagy hamis pozitív eredményt jelenthet a hálózatvédelem szempontjából. Windows E5-előfizetéssel a társított riasztásra mutató hivatkozást is megadhat.

Diagnosztikai adatok gyűjtése a fájlbeküldésekhez

Amikor problémát jelent a támadásifelület-csökkentési szabályokkal kapcsolatban, a rendszer arra kéri, hogy gyűjtse össze és küldje el azokat a diagnosztikai adatokat, amelyeket a Microsoft támogatási és mérnöki csapatai felhasználhatnak a problémák elhárításához.

1. Nyissa meg a parancssort rendszergazdaként, és nyissa meg a Windows Defender könyvtárat:

   cd "c:\program files\Windows Defender"
   

2. Futtassa ezt a parancsot a diagnosztikai naplók létrehozásához:

   mpcmdrun -getfiles
   

3. Alapértelmezés szerint a rendszer a következőbe menti őket C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab: . Csatolja a fájlt a beküldési űrlaphoz.

Kapcsolódó cikkek

• Támadásifelület-csökkentési szabályok
• Támadásifelület-csökkentési szabályok engedélyezése
• Támadásifelület-csökkentési szabályok kiértékelése

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.