解决攻击面减少 (ASR) 规则

即使你仔细遵循了 ASR) 规则部署指南 (攻击面减少，你仍可能会遇到Microsoft Defender防病毒中的 ASR 规则问题。 例如：

• ASR 规则阻止文件或进程，或者执行一些其他操作，它不应 (误报) 。
• ASR 规则不按所述工作，或者不会阻止应 (假负) 的文件或进程。

本文介绍可自行解决问题的步骤，包括收集数据以在无法自行修复问题时使用Microsoft打开支持案例。 有关 ASR 规则的详细信息，请参阅 攻击面减少 (ASR) 规则概述。

确认 ASR 规则先决条件

有关 ASR 规则要求，请参阅 ASR 规则的要求。

验证设备上的活动 ASR 规则和操作

在设备的 PowerShell 中运行以下命令，查看所有配置的 ASR 规则的状态：

$p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

此命令的示例输出可能如下所示：

Id                                   Action
--                                   ------
01443614-cd74-433a-b99e-2ecdc07bfc25      2
26190899-1602-49e8-8b27-eb1d0a1ce869      1
3b576869-a4ec-4529-8536-b80a7769e899      1
5beb7efe-fd9a-4556-801d-275e5ffc04cc      1
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84      1
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c      1
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b      1
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2      2
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4      1
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550      1
c1db55ab-c21a-4637-bb3f-a12568109d35      2
d1e49aac-8f56-4280-b9ba-993a6d77406c      1
d3e037e1-3eb8-44c8-a917-57927947596d      2
d4f940ab-401b-4efc-aadc-ad5f3c50688a      2
e6db77e5-3df2-4cf1-b95a-636979351e5b      1

在此示例中， ASR 规则 在设备上的 不同模式下 处于活动状态， (2 = 审核 模式，1 = 块 模式) 。

注意

如果使用组策略配置 ASR 规则，请验证 ASR 规则 GUID 值中没有额外的字符（如引号或空格）。

将行为不当的 ASR 规则切换到用于测试的审核模式

审核模式下的 ASR 规则不会阻止文件或进程，但会记录规则在“阻止”或“警告”模式下执行的操作。

无论使用何种方法将 ASR 规则分发到设备，都使用相同的方法将有问题的规则设置为 “审核 ”模式。 有关说明，请参阅 配置攻击面减少规则。

提示

如果 ASR 规则已处于 “审核 ”模式，这解释了为什么它不会阻止你期望阻止 (假负) 的文件或进程。 在以下情况下，ASR 规则可能会意外进入 审核 模式：

• 你正在测试另一项功能，忘记将 ASR 规则重新设置为 “阻止 ”或 “警告” 模式。
• 自动 PowerShell 脚本更改了规则模式。

在 审核 模式下配置规则后，请执行以下步骤：

1. 在导致问题的设备上执行操作。 例如，打开文件或运行未阻止但应 (false 负) 阻止的进程。

2. 查看 ASR 规则活动。

   具体而言，在 Windows 事件查看器中，按 WindowsDefender>操作日志Microsoft应用程序和服务日志>>>中的以下值筛选事件 ID 值：

   • 阻止事件：1121
   • 审核事件：1122
   • 警告模式下的用户重写事件：1129
   • 配置更改：5007

   有关详细信息，请参阅查看 Windows 事件查看器中的攻击面减少事件。

   

ASR 规则仍无法按预期工作时要执行的步骤

如果 ASR 规则仍无法按预期工作，请执行以下步骤之一：

• 对于误报，请将文件或路径添加为 ASR 规则的排除项。 有关详细信息，请参阅 ASR 规则的文件和文件夹排除项。
• 使用基于 web 的Microsoft 安全智能提交表单报告 ASR 规则的误报或误报。 使用 Windows E5 订阅，还可以 提供指向任何关联警报的链接。
• 向Microsoft报告涉及 ASR 规则的问题时，需要收集并提交诊断数据，以帮助排查问题，如下一部分所述。

收集Microsoft支持的诊断数据

使用 MDE 客户端分析器收集诊断数据

1. 下载MDE客户端分析器。

2. 关闭设备上对重现问题不是必需的任何应用。

3. 使用-v本地开关或使用实时响应运行 MDE 客户端分析器：

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -v
   

   提示

   确保在复制尝试期间进行日志收集。

使用 MpCmdRun 收集诊断数据

若要使用 MpCmdRun.exe -GetFiles 手动将诊断日志文件生成到 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab，请参阅收集Microsoft Defender防病毒诊断数据中的说明。

在 文件中 MpSupportFiles.cab ，以下文件最相关：

• MPOperationalEvents.txt：包含在 Microsoft Defender 防病毒操作日志的 事件查看器 中找到的相同级别的信息。
• MPRegistry.txt：分析生成 .cab 文件时的所有当前Microsoft Defender防病毒配置。
• MPLog.txt：有关Microsoft Defender防病毒的所有操作和操作的详细信息。

相关内容

• 配置攻击面减少 (ASR) 规则和异常
• (ASR) 规则活动监视攻击面减少