Resolver problemas de regras de redução da superfície de ataque
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Quando utiliza regras de redução da superfície de ataque , poderá deparar-se com problemas, tais como:
- Uma regra bloqueia um ficheiro, processo ou efetua outra ação que não deve (falso positivo); ou
- Uma regra não funciona conforme descrito ou não bloqueia um ficheiro ou processo que deve (falso negativo).
Existem quatro passos para resolver estes problemas:
- Confirmar pré-requisitos
- Utilizar o modo de auditoria para testar a regra
- Adicionar exclusões para a regra especificada (para falsos positivos)
- Submeter registos de suporte
Confirmar pré-requisitos
As regras de redução da superfície de ataque só funcionam em dispositivos com as seguintes condições:
- Os dispositivos estão a ser executados Windows 10 Enterprise ou posterior.
- Os dispositivos estão a utilizar Microsoft Defender Antivírus como a única aplicação de proteção antivírus. A utilização de qualquer outra aplicação antivírus faz com que Microsoft Defender Antivírus se desative.
- A proteção em tempo real está ativada.
- O modo de auditoria não está ativado. Utilize Política de Grupo para definir a regra como
Disabled(valor:0) conforme descrito em Ativar regras de redução da superfície de ataque.
Se estes pré-requisitos forem cumpridos, avance para o passo seguinte para testar a regra no modo de auditoria.
Melhores práticas ao configurar regras de redução da superfície de ataque com Política de Grupo
Ao configurar as regras de redução da superfície de ataque através de Política de Grupo, seguem-se algumas melhores práticas para evitar cometer erros comuns:
Certifique-se de que, ao adicionar o GUID para regras de redução da superfície de ataque, não existem aspas duplas (como: "GUID das Regras do ASR") no início ou no final do GUID.
Certifique-se de que não existem espaços no início ou no fim ao adicionar o GUID para regras de redução da superfície de ataque.
Utilizar o modo de auditoria para testar a regra
Siga estas instruções em Utilizar a ferramenta de demonstração para ver como funcionam as regras de redução da superfície de ataque para testar a regra específica com a qual está a ter problemas.
Ative o modo de auditoria para a regra específica que pretende testar. Utilize Política de Grupo para definir a regra como
Audit mode(valor:2) conforme descrito em Ativar regras de redução da superfície de ataque. O modo de auditoria permite que a regra comunique o ficheiro ou processo, mas permite que seja executado.Efetue a atividade que está a causar um problema. Por exemplo, abra o ficheiro ou execute o processo que deve ser bloqueado, mas é permitido.
Reveja os registos de eventos da regra de redução da superfície de ataque para ver se a regra bloquearia o ficheiro ou o processo se a regra estivesse definida como
Enabled.Se uma regra não estiver a bloquear um ficheiro ou processo que espera que seja bloqueado, primeiro marcar para ver se o modo de auditoria está ativado. O modo de auditoria pode ser ativado para testar outra funcionalidade ou por um script automatizado do PowerShell e pode não ser desativado após a conclusão dos testes.
Se testou a regra com a ferramenta de demonstração e com o modo de auditoria, e as regras de redução da superfície de ataque estão a funcionar em cenários pré-configurados, mas a regra não está a funcionar conforme esperado, avance para qualquer uma das seguintes secções com base na sua situação:
- Se a regra de redução da superfície de ataque estiver a bloquear algo que não deve bloquear (também conhecido como falso positivo), primeiro pode adicionar uma exclusão da regra de redução da superfície de ataque.
- Se a regra de redução da superfície de ataque não estiver a bloquear algo que deve bloquear (também conhecido como falso negativo), pode avançar imediatamente para o último passo, recolher dados de diagnóstico e submeter-nos o problema.
Adicionar exclusões para um falso positivo
Se a regra de redução da superfície de ataque estiver a bloquear algo que não deve bloquear (também conhecido como falso positivo), pode adicionar exclusões para impedir que as regras de redução da superfície de ataque avaliem os ficheiros ou pastas excluídos.
Para adicionar uma exclusão, veja Personalizar a redução da superfície de ataque.
Importante
Pode especificar ficheiros e pastas individuais a serem excluídos, mas não pode especificar regras individuais. Isto significa que todos os ficheiros ou pastas excluídos serão excluídos de todas as regras do ASR.
Reportar um falso positivo ou falso negativo
Utilize o Inteligência de Segurança da Microsoft formulário de submissão baseado na Web para comunicar um falso negativo ou falso positivo para proteção de rede. Com uma subscrição do Windows E5, também pode fornecer uma ligação para qualquer alerta associado.
Recolher dados de diagnóstico para submissões de ficheiros
Quando comunica um problema com as regras de redução da superfície de ataque, é-lhe pedido que recolha e submeta dados de diagnóstico que podem ser utilizados pelas equipas de suporte e engenharia da Microsoft para ajudar a resolver problemas.
Abra a Linha de Comandos como administrador e abra o diretório do Windows Defender:
cd "c:\program files\Windows Defender"Execute este comando para gerar os registos de diagnóstico:
mpcmdrun -getfilesPor predefinição, são guardados em
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Anexe o ficheiro ao formulário de submissão.
Artigos relacionados
- Regras da redução da superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Avaliar as regras da redução da superfície de ataque
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.