Résoudre les problèmes liés aux règles de réduction de la surface d’attaque
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Lorsque vous utilisez des règles de réduction de la surface d’attaque , vous pouvez rencontrer des problèmes, tels que :
- Une règle bloque un fichier, un processus ou effectue une autre action qu’il ne doit pas effectuer (faux positif) ; ou
- Une règle ne fonctionne pas comme décrit ou ne bloque pas un fichier ou un processus qu’elle doit (faux négatif).
Il existe quatre étapes pour résoudre ces problèmes :
- Confirmer les prérequis
- Utiliser le mode audit pour tester la règle
- Ajouter des exclusions pour la règle spécifiée (pour les faux positifs)
- Envoyer les journaux de support
Confirmer les prérequis
Les règles de réduction de la surface d’attaque fonctionnent uniquement sur les appareils avec les conditions suivantes :
- Les appareils s’exécutent Windows 10 Entreprise ou une version ultérieure.
- Les appareils utilisent Microsoft Defender Antivirus comme seule application de protection antivirus. L’utilisation d’une autre application antivirus entraîne la désactivation de Microsoft Defender’antivirus.
- La protection en temps réel est activée.
- Le mode d’audit n’est pas activé. Utilisez stratégie de groupe pour définir la règle
Disabled
sur (valeur :0
) comme décrit dans Activer les règles de réduction de la surface d’attaque.
Si ces conditions préalables sont remplies, passez à l’étape suivante pour tester la règle en mode audit.
Meilleures pratiques lors de la configuration de règles de réduction de la surface d’attaque à l’aide de stratégie de groupe
Lorsque vous configurez les règles de réduction de la surface d’attaque à l’aide de stratégie de groupe, voici quelques bonnes pratiques pour éviter de commettre des erreurs courantes :
Lorsque vous ajoutez le GUID pour les règles de réduction de la surface d’attaque, assurez-vous qu’il n’y a pas de guillemets doubles (comme ceci : « GUID des règles ASR ») au début ou à la fin du GUID.
Assurez-vous qu’il n’y a pas d’espaces au début ou à la fin lors de l’ajout du GUID pour les règles de réduction de la surface d’attaque.
Utiliser le mode audit pour tester la règle
Suivez ces instructions dans Utiliser l’outil de démonstration pour voir comment fonctionnent les règles de réduction de la surface d’attaque afin de tester la règle spécifique avec laquelle vous rencontrez des problèmes.
Activez le mode audit pour la règle spécifique que vous souhaitez tester. Utilisez stratégie de groupe pour définir la règle
Audit mode
sur (valeur :2
) comme décrit dans Activer les règles de réduction de la surface d’attaque. Le mode Audit permet à la règle de signaler le fichier ou le processus, mais de l’exécuter.Effectuez l’activité à l’origine d’un problème. Par exemple, ouvrez le fichier ou exécutez le processus qui doit être bloqué, mais qui est autorisé.
Passez en revue les journaux des événements de la règle de réduction de la surface d’attaque pour voir si la règle bloque le fichier ou le processus si la règle a la valeur
Enabled
.Si une règle ne bloque pas un fichier ou un processus que vous attendez à ce qu’elle bloque, commencez par case activée pour voir si le mode audit est activé. Le mode Audit peut être activé pour tester une autre fonctionnalité, ou par un script PowerShell automatisé, et peut ne pas être désactivé une fois les tests terminés.
Si vous avez testé la règle avec l’outil de démonstration et avec le mode audit, et que les règles de réduction de la surface d’attaque fonctionnent sur des scénarios préconfigurés, mais que la règle ne fonctionne pas comme prévu, passez à l’une des sections suivantes en fonction de votre situation :
- Si la règle de réduction de la surface d’attaque bloque quelque chose qu’elle ne doit pas bloquer (également appelé faux positif), vous pouvez d’abord ajouter une exclusion de règle de réduction de la surface d’attaque.
- Si la règle de réduction de la surface d’attaque ne bloque pas quelque chose qu’elle doit bloquer (également appelé faux négatif), vous pouvez passer immédiatement à la dernière étape, en collectant les données de diagnostic et en nous soumettant le problème.
Ajouter des exclusions pour un faux positif
Si la règle de réduction de la surface d’attaque bloque quelque chose qu’elle ne doit pas bloquer (également appelé faux positif), vous pouvez ajouter des exclusions pour empêcher les règles de réduction de la surface d’attaque d’évaluer les fichiers ou dossiers exclus.
Pour ajouter une exclusion, consultez Personnaliser la réduction de la surface d’attaque.
Importante
Vous pouvez spécifier des fichiers et dossiers individuels à exclure, mais vous ne pouvez pas spécifier de règles individuelles. Cela signifie que tous les fichiers ou dossiers exclus seront exclus de toutes les règles ASR.
Signaler un faux positif ou un faux négatif
Utilisez le formulaire de soumission web Renseignement de sécurité Microsoft pour signaler un faux négatif ou un faux positif pour la protection du réseau. Avec un abonnement Windows E5, vous pouvez également fournir un lien vers n’importe quelle alerte associée.
Collecter des données de diagnostic pour les soumissions de fichiers
Lorsque vous signalez un problème avec les règles de réduction de la surface d’attaque, vous êtes invité à collecter et à envoyer des données de diagnostic qui peuvent être utilisées par les équipes de support technique et d’ingénierie Microsoft pour vous aider à résoudre les problèmes.
Ouvrez l’invite de commandes en tant qu’administrateur et ouvrez le répertoire Windows Defender :
cd "c:\program files\Windows Defender"
Exécutez cette commande pour générer les journaux de diagnostic :
mpcmdrun -getfiles
Par défaut, ils sont enregistrés dans
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab
. Joignez le fichier au formulaire de soumission.
Articles connexes
- Règles de réduction de la surface d’attaque
- Activer les règles de réduction de la surface d’attaque
- Évaluer les règles de réduction de la surface d’attaque
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.