Partager via


Résoudre les problèmes liés aux règles de réduction de la surface d’attaque

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Lorsque vous utilisez des règles de réduction de la surface d’attaque , vous pouvez rencontrer des problèmes, tels que :

  • Une règle bloque un fichier, un processus ou effectue une autre action qu’il ne doit pas effectuer (faux positif) ; ou
  • Une règle ne fonctionne pas comme décrit ou ne bloque pas un fichier ou un processus qu’elle doit (faux négatif).

Il existe quatre étapes pour résoudre ces problèmes :

  1. Confirmer les prérequis
  2. Utiliser le mode audit pour tester la règle
  3. Ajouter des exclusions pour la règle spécifiée (pour les faux positifs)
  4. Envoyer les journaux de support

Confirmer les prérequis

Les règles de réduction de la surface d’attaque fonctionnent uniquement sur les appareils avec les conditions suivantes :

Si ces conditions préalables sont remplies, passez à l’étape suivante pour tester la règle en mode audit.

Meilleures pratiques lors de la configuration de règles de réduction de la surface d’attaque à l’aide de stratégie de groupe

Lorsque vous configurez les règles de réduction de la surface d’attaque à l’aide de stratégie de groupe, voici quelques bonnes pratiques pour éviter de commettre des erreurs courantes :

  1. Lorsque vous ajoutez le GUID pour les règles de réduction de la surface d’attaque, assurez-vous qu’il n’y a pas de guillemets doubles (comme ceci : « GUID des règles ASR ») au début ou à la fin du GUID.

  2. Assurez-vous qu’il n’y a pas d’espaces au début ou à la fin lors de l’ajout du GUID pour les règles de réduction de la surface d’attaque.

Utiliser le mode audit pour tester la règle

Suivez ces instructions dans Utiliser l’outil de démonstration pour voir comment fonctionnent les règles de réduction de la surface d’attaque afin de tester la règle spécifique avec laquelle vous rencontrez des problèmes.

  1. Activez le mode audit pour la règle spécifique que vous souhaitez tester. Utilisez stratégie de groupe pour définir la règle Audit mode sur (valeur : 2) comme décrit dans Activer les règles de réduction de la surface d’attaque. Le mode Audit permet à la règle de signaler le fichier ou le processus, mais de l’exécuter.

  2. Effectuez l’activité à l’origine d’un problème. Par exemple, ouvrez le fichier ou exécutez le processus qui doit être bloqué, mais qui est autorisé.

  3. Passez en revue les journaux des événements de la règle de réduction de la surface d’attaque pour voir si la règle bloque le fichier ou le processus si la règle a la valeur Enabled.

    Si une règle ne bloque pas un fichier ou un processus que vous attendez à ce qu’elle bloque, commencez par case activée pour voir si le mode audit est activé. Le mode Audit peut être activé pour tester une autre fonctionnalité, ou par un script PowerShell automatisé, et peut ne pas être désactivé une fois les tests terminés.

Si vous avez testé la règle avec l’outil de démonstration et avec le mode audit, et que les règles de réduction de la surface d’attaque fonctionnent sur des scénarios préconfigurés, mais que la règle ne fonctionne pas comme prévu, passez à l’une des sections suivantes en fonction de votre situation :

Ajouter des exclusions pour un faux positif

Si la règle de réduction de la surface d’attaque bloque quelque chose qu’elle ne doit pas bloquer (également appelé faux positif), vous pouvez ajouter des exclusions pour empêcher les règles de réduction de la surface d’attaque d’évaluer les fichiers ou dossiers exclus.

Pour ajouter une exclusion, consultez Personnaliser la réduction de la surface d’attaque.

Importante

Vous pouvez spécifier des fichiers et dossiers individuels à exclure, mais vous ne pouvez pas spécifier de règles individuelles. Cela signifie que tous les fichiers ou dossiers exclus seront exclus de toutes les règles ASR.

Signaler un faux positif ou un faux négatif

Utilisez le formulaire de soumission web Renseignement de sécurité Microsoft pour signaler un faux négatif ou un faux positif pour la protection du réseau. Avec un abonnement Windows E5, vous pouvez également fournir un lien vers n’importe quelle alerte associée.

Collecter des données de diagnostic pour les soumissions de fichiers

Lorsque vous signalez un problème avec les règles de réduction de la surface d’attaque, vous êtes invité à collecter et à envoyer des données de diagnostic qui peuvent être utilisées par les équipes de support technique et d’ingénierie Microsoft pour vous aider à résoudre les problèmes.

  1. Ouvrez l’invite de commandes en tant qu’administrateur et ouvrez le répertoire Windows Defender :

    cd "c:\program files\Windows Defender"
    
  2. Exécutez cette commande pour générer les journaux de diagnostic :

    mpcmdrun -getfiles
    
  3. Par défaut, ils sont enregistrés dans C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Joignez le fichier au formulaire de soumission.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.