Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche

Gilt für:

• Microsoft Defender for Endpoint Plan 1 und 2
• Microsoft Defender XDR

Wenn Sie Regeln zur Verringerung der Angriffsfläche verwenden, können Probleme auftreten, z. B.:

• Eine Regel blockiert eine Datei, einen Prozess oder führt eine andere Aktion aus, die sie nicht tun sollte (falsch positiv); oder
• Eine Regel funktioniert nicht wie beschrieben oder blockiert keine Datei oder einen Prozess, die sie verwenden sollte (falsch negativ).

Es gibt vier Schritte, um diese Probleme zu beheben:

1. Bestätigen der Voraussetzungen
2. Verwenden des Überwachungsmodus zum Testen der Regel
3. Hinzufügen von Ausschlüssen für die angegebene Regel (für falsch positive Ergebnisse)
4. Übermitteln von Supportprotokollen

Bestätigen der Voraussetzungen

Regeln zur Verringerung der Angriffsfläche funktionieren nur auf Geräten mit den folgenden Bedingungen:

• Geräte werden Windows 10 Enterprise oder höher ausgeführt.
• Geräte verwenden Microsoft Defender Antivirus als einzige Antivirenschutz-App. Die Verwendung einer anderen Antiviren-App führt dazu, dass Microsoft Defender Antivirus sich selbst deaktiviert.
• Echtzeitschutz ist aktiviert.
• Der Überwachungsmodus ist nicht aktiviert. Verwenden Sie Gruppenrichtlinie, um die Regel auf (Wert: 0) festzulegen Disabled , wie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche beschrieben.

Wenn diese Voraussetzungen erfüllt sind, fahren Sie mit dem nächsten Schritt fort, um die Regel im Überwachungsmodus zu testen.

Bewährte Methoden beim Einrichten von Regeln zur Verringerung der Angriffsfläche mithilfe von Gruppenrichtlinie

Beim Einrichten der Regeln zur Verringerung der Angriffsfläche mithilfe von Gruppenrichtlinie finden Sie hier einige bewährte Methoden, um häufige Fehler zu vermeiden:

1. Stellen Sie sicher, dass beim Hinzufügen der GUID für Regeln zur Verringerung der Angriffsfläche keine doppelten Anführungszeichen (wie hier: "ASR-Regel-GUID") am Anfang oder am Ende der GUID vorhanden sind.

2. Stellen Sie sicher, dass am Anfang oder am Ende keine Leerzeichen vorhanden sind, wenn Sie die GUID für Regeln zur Verringerung der Angriffsfläche hinzufügen.

Verwenden des Überwachungsmodus zum Testen der Regel

Befolgen Sie diese Anweisungen unter Verwenden des Demotools, um zu sehen, wie Regeln zur Verringerung der Angriffsfläche funktionieren , um die spezifische Regel zu testen, bei der Probleme auftreten.

1. Aktivieren Sie den Überwachungsmodus für die bestimmte Regel, die Sie testen möchten. Verwenden Sie Gruppenrichtlinie, um die Regel auf (Wert: 2) festzulegen Audit mode , wie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche beschrieben. Im Überwachungsmodus kann die Regel die Datei oder den Prozess melden, aber sie kann ausgeführt werden.

2. Führen Sie die Aktivität aus, die ein Problem verursacht. Öffnen Sie beispielsweise die Datei, oder führen Sie den Prozess aus, der blockiert werden soll, aber zulässig ist.

3. Überprüfen Sie die Ereignisprotokolle der Regel zur Verringerung der Angriffsfläche , um festzustellen, ob die Regel die Datei oder den Prozess blockieren würde, wenn die Regel auf Enabledfestgelegt wäre.

Wenn eine Regel eine Datei oder einen Prozess nicht blockiert, deren Blockierung Sie erwarten, überprüfen Sie zunächst, ob der Überwachungsmodus aktiviert ist. Der Überwachungsmodus kann zum Testen eines anderen Features oder durch ein automatisiertes PowerShell-Skript aktiviert werden und nach Abschluss der Tests möglicherweise nicht deaktiviert werden.

Wenn Sie die Regel mit dem Demotool und dem Überwachungsmodus getestet haben und Die Regeln zur Verringerung der Angriffsfläche in vorkonfigurierten Szenarien funktionieren, die Regel jedoch nicht wie erwartet funktioniert, fahren Sie je nach Situation mit einem der folgenden Abschnitte fort:

• Wenn die Regel zur Verringerung der Angriffsfläche etwas blockiert, das nicht blockiert werden sollte (auch als falsch positiv bezeichnet), können Sie zuerst eine Regel zur Verringerung der Angriffsfläche hinzufügen.
• Wenn die Regel zur Verringerung der Angriffsfläche nicht etwas blockiert, das sie blockieren sollte (auch als falsch negativ bezeichnet), können Sie sofort mit dem letzten Schritt fortfahren, Diagnosedaten sammeln und das Problem an uns übermitteln.

Hinzufügen von Ausschlüssen für ein falsch positives Ergebnis

Wenn die Regel zur Verringerung der Angriffsfläche etwas blockiert, das nicht blockiert werden sollte (auch als falsch positiv bezeichnet), können Sie Ausschlüsse hinzufügen, um zu verhindern, dass Regeln zur Verringerung der Angriffsfläche die ausgeschlossenen Dateien oder Ordner auswerten.

Informationen zum Hinzufügen eines Ausschlusses finden Sie unter Anpassen der Verringerung der Angriffsfläche.

Wichtig

Sie können einzelne Dateien und Ordner angeben, die ausgeschlossen werden sollen, aber Sie können keine einzelnen Regeln angeben. Dies bedeutet, dass alle Dateien oder Ordner, die ausgeschlossen sind, von allen ASR-Regeln ausgeschlossen werden.

Melden eines falsch positiven oder falsch negativen Werts

Verwenden Sie das Microsoft Security Intelligence webbasierten Übermittlungsformular, um ein falsch negatives oder falsch positives Für den Netzwerkschutz zu melden. Mit einem Windows E5-Abonnement können Sie auch einen Link zu jeder zugehörigen Warnung bereitstellen.

Sammeln von Diagnosedaten für Dateiübermittlungen

Wenn Sie ein Problem mit Regeln zur Verringerung der Angriffsfläche melden, werden Sie aufgefordert, Diagnosedaten für Microsoft-Support- und -Entwicklungsteams zu sammeln und zu übermitteln, um Probleme zu beheben.

1. Öffnen Sie die Eingabeaufforderung als Administrator, und öffnen Sie das Windows Defender-Verzeichnis:

   cd "c:\program files\Windows Defender"
   

2. Führen Sie den folgenden Befehl aus, um die Diagnoseprotokolle zu generieren:

   mpcmdrun -getfiles
   

3. Standardmäßig werden sie unter C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabgespeichert. Fügen Sie die Datei an das Übermittlungsformular an.

Verwandte Artikel

• Regeln zur Verringerung der Angriffsfläche
• Aktivieren der Regeln zur Verringerung der Angriffsfläche
• Auswerten der Regeln zur Verringerung der Angriffsfläche

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.