Fejlfinding af regler for reduktion af angrebsoverflade

Gælder for:

• Microsoft Defender for Endpoint plan 1 og 2
• Microsoft Defender XDR

Når du bruger regler for reduktion af angrebsoverfladen , kan du støde på problemer, f.eks.:

• En regel blokerer en fil, proces eller udfører en anden handling, som den ikke skal (falsk positiv). eller
• En regel fungerer ikke som beskrevet, eller blokerer ikke en fil eller proces, som den skal (falsk negativ).

Der er fire trin til fejlfinding af disse problemer:

1. Bekræft forudsætninger
2. Brug overvågningstilstand til at teste reglen
3. Tilføj udeladelser for den angivne regel (for falske positiver)
4. Send supportlogge

Bekræft forudsætninger

Regler for reduktion af angrebsoverfladen fungerer kun på enheder med følgende betingelser:

• Enheder kører Windows 10 Enterprise eller nyere.
• Enheder bruger Microsoft Defender Antivirus som den eneste antivirusbeskyttelsesapp. Brug af en hvilken som helst anden antivirusapp medfører, at Microsoft Defender Antivirus deaktiverer sig selv.
• Beskyttelse i realtid er aktiveret.
• Overvågningstilstand er ikke aktiveret. Brug Gruppepolitik til at angive reglen til Disabled (værdi: 0) som beskrevet i Aktivér regler for reduktion af angrebsoverfladen.

Hvis disse forudsætninger er opfyldt, skal du gå videre til næste trin for at teste reglen i overvågningstilstand.

Bedste praksis ved konfiguration af regler for reduktion af angrebsoverfladen ved hjælp af Gruppepolitik

Når du konfigurerer regler for reduktion af angrebsoverfladen ved hjælp af Gruppepolitik, er der her nogle bedste fremgangsmåder for at undgå almindelige fejl:

1. Sørg for, at når du tilføjer GUID'et for regler for reduktion af angrebsoverfladen, er der ingen dobbelte anførselstegn (f.eks. "ASR Rules GUID") i starten eller slutningen af GUID'et.

2. Sørg for, at der ikke er mellemrum i starten eller slutningen, når du tilføjer GUID'et for regler for reduktion af angrebsoverfladen.

Brug overvågningstilstand til at teste reglen

Følg disse instruktioner i Brug demoværktøjet til at se, hvordan regler for reduktion af angreb fungerer for at teste den specifikke regel, du støder på problemer med.

1. Aktivér overvågningstilstand for den specifikke regel, du vil teste. Brug Gruppepolitik til at angive reglen til Audit mode (værdi: 2) som beskrevet i Aktivér regler for reduktion af angrebsoverfladen. Overvågningstilstand gør det muligt for reglen at rapportere filen eller processen, men tillader, at den kører.

2. Udfør den aktivitet, der forårsager et problem. Du kan f.eks. åbne filen eller køre den proces, der skal blokeres, men som er tilladt.

3. Gennemse hændelsesloggene for reglen for reduktion af angrebsoverfladen for at se, om reglen blokerer filen eller processen, hvis reglen er angivet til Enabled.

Hvis en regel ikke blokerer en fil eller proces, som du forventer, at den skal blokere, skal du først kontrollere, om overvågningstilstand er aktiveret. Overvågningstilstand kan være aktiveret til test af en anden funktion eller af et automatiseret PowerShell-script og deaktiveres muligvis ikke, når testene er fuldført.

Hvis du har testet reglen med demoværktøjet og overvågningstilstanden, og regler for reduktion af angrebsoverfladen fungerer på forudkonfigurerede scenarier, men reglen ikke fungerer som forventet, skal du gå til et af følgende afsnit baseret på din situation:

• Hvis reglen for reduktion af angrebsoverfladen blokerer noget, som den ikke bør blokere (også kendt som falsk positiv), kan du først tilføje en udeladelse af reglen for reduktion af angrebsoverfladen.
• Hvis reglen for reduktion af angrebsoverfladen ikke blokerer noget, som den skal blokere (også kendt som et falsk negativt), kan du fortsætte med det samme til det sidste trin, indsamle diagnosticeringsdata og sende problemet til os.

Tilføj udeladelser for falsk positiv

Hvis reglen for reduktion af angrebsoverfladen blokerer noget, som den ikke bør blokere (også kendt som falsk positiv), kan du tilføje undtagelser for at forhindre, at regler for reduktion af angrebsoverfladen evaluerer de udeladte filer eller mapper.

Hvis du vil tilføje en udeladelse, skal du se Tilpas reduktion af angrebsoverfladen.

Vigtigt!

Du kan angive individuelle filer og mapper, der skal udelades, men du kan ikke angive individuelle regler. Det betyder, at alle filer eller mapper, der er udelukket fra alle ASR-regler.

Rapportér en falsk positiv eller falsk negativ

Brug den Microsoft Sikkerhedsviden webbaserede indsendelsesformular til at rapportere falsk negativ eller falsk positiv til netværksbeskyttelse. Med et Windows E5-abonnement kan du også angive et link til alle tilknyttede beskeder.

Indsaml diagnosticeringsdata til filindsendelser

Når du rapporterer et problem med regler for reduktion af angrebsoverfladen, bliver du bedt om at indsamle og indsende diagnosticeringsdata til Microsofts support- og teknikerteams for at hjælpe med fejlfinding af problemer.

1. Åbn kommandoprompten som administrator, og åbn mappen Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Kør denne kommando for at generere diagnosticeringslogfilerne:

   mpcmdrun -getfiles
   

3. Som standard gemmes de i C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Vedhæft filen til afsendelsesformularen.

Relaterede artikler

• Regler for reduktion af angrebsoverflade
• Aktivér regler for reduktion af angrebsoverflade
• Evaluer regler for reduktion af angrebsoverfladen

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.