針對受攻擊面縮小規則進行疑難排解

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

當您使用 受攻擊面縮小規則 時,可能會遇到問題,例如:

  • 規則會封鎖檔案、處理或執行一些不應 (誤判) 的其他動作
  • 規則無法如所述運作,或不會封鎖應該 (誤判)

針對這些問題進行疑難排解有四個步驟:

  1. 確認必要條件
  2. 使用稽核模式來測試規則
  3. 針對誤判的指定規則 (新增排除)
  4. 提交支援記錄

確認必要條件

受攻擊面縮小規則僅適用于具有下列條件的裝置:

如果這些必要條件都已符合,請繼續進行下一個步驟,以在稽核模式中測試規則。

使用稽核模式來測試規則

請遵循 使用示範工具中的這些指示,查看受攻擊面縮小規則如何運作 ,以測試您遇到問題的特定規則。

  1. 針對您想要測試的特定規則啟用稽核模式。 使用群組原則將規則設定為稽核模式 (值:2) ,如啟用受攻擊面縮小規則中所述。 稽核模式可讓規則報告檔案或進程,但仍允許它執行。

  2. 執行造成問題的活動 (例如,開啟或執行應該封鎖但允許) 的檔案或進程。

  3. 檢閱受攻擊面縮小規則事件記錄 檔,以查看規則是否已將規則設定為 [已 啟用] 封鎖檔案或進程。

如果規則未封鎖您預期應該封鎖的檔案或程式,請先檢查是否已啟用稽核模式。

稽核模式可能已啟用測試另一項功能或自動化 PowerShell 腳本,而且可能尚未在測試完成之後停用。

如果您已使用示範工具和稽核模式測試規則,且受攻擊面縮小規則正在預先設定的案例中運作,但規則未如預期般運作,請根據您的情況繼續進行下列其中一節:

  1. 如果受攻擊面縮小規則封鎖不應封鎖 (也稱為誤判) ,您可以 先新增受攻擊面縮小規則排除

  2. 如果受攻擊面縮小規則並未封鎖應該封鎖 (也稱為誤判) ,您可以立即繼續進行最後一個步驟, 收集診斷資料並將問題提交給我們

新增誤判的排除專案

如果受攻擊面縮小規則封鎖不應封鎖 (也稱為誤判) ,您可以新增排除專案,以防止受攻擊面縮小規則評估排除的檔案或資料夾。

若要新增排除專案,請參閱 自訂受攻擊面縮小

重要事項

您可以指定要排除的個別檔案和資料夾,但無法指定個別規則。 這表示所有 ASR 規則都會排除排除的任何檔案或資料夾。

回報誤判或誤判

使用Windows Defender Security Intelligence Web 型提交表單來報告網路保護的誤判或誤判。 透過 Windows E5 訂用帳戶,您也可以 提供任何相關聯警示的連結

收集檔案提交的診斷資料

當您回報受攻擊面縮小規則的問題時,系統會要求您收集並提交診斷資料,Microsoft 支援和工程小組可以使用這些資料來協助疑難排解問題。

  1. 開啟提升許可權的命令提示字元,並變更為Windows Defender目錄:

    cd "c:\program files\windows defender"
    
  2. 執行此命令以產生診斷記錄:

    mpcmdrun -getfiles
    
  3. 根據預設,它們會儲存至 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab 。 將檔案附加至提交表單。