Problemen oplossen met regels voor het verminderen van kwetsbaarheid voor aanvallen

Van toepassing op:

• Microsoft Defender voor Eindpunt Abonnement 1 en 2
• Microsoft Defender XDR

De eerste en meest directe manier is om lokaal op een Windows-apparaat te controleren welke regels voor het verminderen van kwetsbaarheid voor aanvallen zijn ingeschakeld (en hun configuratie) is met behulp van de PowerShell-cmdlets.

Hier volgen enkele andere informatiebronnen die Windows biedt om de impact en werking van regels voor het verminderen van kwetsbaarheid voor aanvallen op te lossen.

Wanneer u regels voor het verminderen van kwetsbaarheid voor aanvallen gebruikt , kunt u problemen tegenkomen, zoals:

• Een regel blokkeert een bestand, proces of voert een andere actie uit die niet moet worden gebruikt (fout-positief); of
• Een regel werkt niet zoals beschreven of blokkeert een bestand of proces niet dat het moet (fout-negatief).

Er zijn vier stappen om deze problemen op te lossen:

1. Bevestig de vereisten.
2. Gebruik de controlemodus om de regel te testen.
3. Uitsluitingen toevoegen voor de opgegeven regel (voor fout-positieven).
4. Ondersteuningslogboeken verzamelen en verzenden.

Vereisten bevestigen

Regels voor het verminderen van kwetsbaarheid voor aanvallen werken alleen op apparaten met de volgende voorwaarden:

• Apparaten worden uitgevoerd Windows 10 Enterprise of hoger.
• Apparaten gebruiken Microsoft Defender Antivirus als de enige antivirus-app. Het gebruik van een andere antivirus-app zorgt ervoor dat Microsoft Defender Antivirus zichzelf uitschakelt.
• Realtime-beveiliging is ingeschakeld.
• Controlemodus is niet ingeschakeld. Gebruik groepsbeleid om de regel in te stellen op Disabled (waarde: 0) zoals beschreven in Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.

Als aan deze vereisten wordt voldaan, gaat u verder met de volgende stap om de regel in de controlemodus te testen.

Aanbevolen procedures bij het instellen van regels voor het verminderen van kwetsbaarheid voor aanvallen met behulp van groepsbeleid

Bij het instellen van de regels voor het verminderen van kwetsbaarheid voor aanvallen met behulp van groepsbeleid, volgen hier enkele aanbevolen procedures om veelvoorkomende fouten te voorkomen:

1. Zorg ervoor dat er bij het toevoegen van de GUID voor regels voor het verminderen van kwetsbaarheid voor aanvallen geen dubbele aanhalingstekens (zoals deze: 'ASR Rules GUID') aan het begin of aan het einde van de GUID staan.

2. Zorg ervoor dat er geen spaties zijn aan het begin of aan het einde bij het toevoegen van de GUID voor regels voor het verminderen van kwetsbaarheid voor aanvallen.

Query's uitvoeren welke regels actief zijn

Een van de eenvoudigste manieren om te bepalen of regels voor het verminderen van kwetsbaarheid voor aanvallen al zijn ingeschakeld, is via een PowerShell-cmdlet, Get-MpPreference.

Hier volgt een voorbeeld:

Er zijn meerdere regels voor het verminderen van kwetsbaarheid voor aanvallen actief, met verschillende geconfigureerde acties.

Als u informatie over regels voor het verminderen van kwetsbaarheid voor aanvallen wilt uitbreiden, kunt u de eigenschappen AttackSurfaceReductionRules_Ids en/of AttackSurfaceReductionRules_Actionsgebruiken.

Voorbeeld:

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids

In de voorgaande afbeelding ziet u alle id's voor regels voor het verminderen van kwetsbaarheid voor aanvallen die een andere instelling hebben dan 0 (Niet geconfigureerd).

De volgende stap is het weergeven van de werkelijke acties (Blokkeren of Controleren) waarmee elke regel is geconfigureerd.

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions

De controlemodus gebruiken om de regel te testen

Volg deze instructies in Het demoprogramma gebruiken om te zien hoe regels voor het verminderen van kwetsbaarheid voor aanvallen werken om de specifieke regel te testen waarmee u problemen ondervindt.

1. Schakel de controlemodus in voor de specifieke regel die u wilt testen. Gebruik groepsbeleid om de regel in te stellen op Audit mode (waarde: 2) zoals beschreven in Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen. In de controlemodus kan de regel het bestand of proces rapporteren, maar kan deze worden uitgevoerd.

2. Voer de activiteit uit die een probleem veroorzaakt. Open bijvoorbeeld het bestand of voer het proces uit dat moet worden geblokkeerd, maar wel is toegestaan.

3. Bekijk de gebeurtenislogboeken van de regel voor het verminderen van kwetsbaarheid voor aanvallen om te zien of de regel het bestand of proces blokkeert als de regel is ingesteld op Enabled.

Als een regel een bestand of proces dat u verwacht niet blokkeert, controleert u eerst of de controlemodus is ingeschakeld. De controlemodus is mogelijk ingeschakeld voor het testen van een andere functie of door een geautomatiseerd PowerShell-script en kan mogelijk niet worden uitgeschakeld nadat de tests zijn voltooid.

Als u de regel hebt getest met het demo-hulpprogramma en met de controlemodus en regels voor het verminderen van kwetsbaarheid voor aanvallen werken aan vooraf geconfigureerde scenario's, maar de regel niet werkt zoals verwacht, gaat u verder met een van de volgende secties op basis van uw situatie:

• Als de regel voor het verminderen van kwetsbaarheid voor aanvallen iets blokkeert dat niet mag worden geblokkeerd (ook wel een fout-positief genoemd), kunt u eerst een regel voor het verminderen van de kwetsbaarheid voor aanvallen toevoegen.
• Als de regel voor het verminderen van kwetsbaarheid voor aanvallen niet iets blokkeert dat moet worden geblokkeerd (ook wel een fout-negatief genoemd), kunt u onmiddellijk doorgaan met de laatste stap, waarbij u diagnostische gegevens verzamelt en het probleem naar ons verzendt.

Blokkerings- en controle-gebeurtenissen opvragen

Regelgebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen kunnen worden bekeken in het Windows Defender-logboek.

Open Windows Logboeken en blader naar Logboeken > voor toepassingen en servicesMicrosoft>Windows>Defender>Operationeel om deze te openen.

Uitsluitingen toevoegen voor een fout-positief

Als de regel voor het verminderen van kwetsbaarheid voor aanvallen iets blokkeert dat niet mag worden geblokkeerd (ook wel fout-positief genoemd), kunt u uitsluitingen toevoegen om te voorkomen dat regels voor het verminderen van kwetsbaarheid voor aanvallen de uitgesloten bestanden of mappen evalueren.

Als u een uitsluiting wilt toevoegen, raadpleegt u Kwetsbaarheid voor aanvallen aanpassen.

Belangrijk

U kunt afzonderlijke bestanden en mappen opgeven die moeten worden uitgesloten, maar u kunt geen afzonderlijke regels opgeven. Dit betekent alle bestanden of mappen die zijn uitgesloten van alle ASR-regels.

Een fout-positief of fout-negatief melden

Gebruik het Microsoft-beveiligingsinformatie webformulier om een fout-negatief of fout-positief voor netwerkbeveiliging te melden. Met een Windows E5-abonnement kunt u ook een koppeling naar een bijbehorende waarschuwing opgeven.

Diagnostische gegevens van Microsoft Defender AntimalwareBeveiliging verzamelen voor bestandsinzendingen

Wanneer u een probleem meldt met regels voor het verminderen van kwetsbaarheid voor aanvallen, wordt u gevraagd om diagnostische gegevens te verzamelen en in te dienen voor ondersteunings- en technische teams van Microsoft om problemen op te lossen.

De MDE Client Analyzer gebruiken

1. Download de MDE Client Analyzer.

2. Voer de MDE Client Analyzer uit met behulp van Live Response of lokaal.

   Tip

   Zorg ervoor dat logboekverzameling plaatsvindt tijdens de reproductiepoging. Sluit ook toepassingen die niet essentieel zijn voor het reproduceren van het probleem.

3. Voer de MDE Client Analyzer uit met de -v schakelopties:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -v
   

Handmatig proces

1. Open de opdrachtprompt als beheerder en open de map Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Voer deze opdracht uit om de diagnostische logboeken te genereren:

   mpcmdrun -getfiles
   

3. Standaard worden ze opgeslagen in C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Voeg het bestand toe aan het inzendingsformulier.

U kunt regelgebeurtenissen ook bekijken via het toegewezen opdrachtregelprogramma Microsoft Defender Antivirus, *mpcmdrun.exe*genaamd , dat kan worden gebruikt voor het beheren en configureren en automatiseren van taken indien nodig.

U vindt dit hulpprogramma in %ProgramFiles%\Windows Defender\MpCmdRun.exe. U moet deze uitvoeren vanaf een opdrachtprompt met verhoogde bevoegdheid (dat wil gezegd, uitvoeren als Beheer).

Als u de ondersteuningsgegevens wilt genereren, typt u MpCmdRun.exe -getfiles. Na een tijdje worden verschillende logboeken verpakt in een archief (MpSupportFiles.cab) en beschikbaar gemaakt op C:\ProgramData\Microsoft\Windows Defender\Support.

Pak dat archief uit en u hebt veel bestanden beschikbaar voor probleemoplossingsdoeleinden.

De meest relevante bestanden zijn als volgt:

• MPOperationalEvents.txt: dit bestand bevat hetzelfde informatieniveau als in Logboeken voor het operationele logboek van Windows Defender.
• MPRegistry.txt: In dit bestand kunt u alle huidige Windows Defender-configuraties analyseren, vanaf het moment dat de ondersteuningslogboeken zijn vastgelegd.
• MPLog.txt: dit logboek bevat uitgebreide informatie over alle acties/bewerkingen van Windows Defender.

Verwante artikelen

• Regels voor kwetsbaarheid voor aanvallen verminderen
• Regels voor het verminderen van aanvalsoppervlakken inschakelen
• Regels voor het verminderen van kwetsbaarheid voor aanvallen evalueren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.