Risolvere i problemi relativi alle regole di riduzione della superficie di attacco

Si applica a:

• Microsoft Defender per endpoint Piano 1 e 2
• Microsoft Defender XDR

Quando si usano le regole di riduzione della superficie di attacco , potrebbero verificarsi problemi, ad esempio:

• Una regola blocca un file, un processo o esegue un'altra azione che non deve (falso positivo); o
• Una regola non funziona come descritto o non blocca un file o un processo che deve (falso negativo).

Per risolvere questi problemi sono disponibili quattro passaggi:

1. Confermare i prerequisiti
2. Usare la modalità di controllo per testare la regola
3. Aggiungere esclusioni per la regola specificata (per i falsi positivi)
4. Inviare i log di supporto

Confermare i prerequisiti

Le regole di riduzione della superficie di attacco funzionano solo nei dispositivi con le condizioni seguenti:

• I dispositivi vengono eseguiti Windows 10 Enterprise o versioni successive.
• I dispositivi usano Microsoft Defender Antivirus come unica app di protezione antivirus. L'uso di qualsiasi altra app antivirus comporta la disabilitazione di Microsoft Defender Antivirus.
• La protezione in tempo reale è abilitata.
• La modalità di controllo non è abilitata. Usare Criteri di gruppo per impostare la regola Disabled su (valore: 0) come descritto in Abilitare le regole di riduzione della superficie di attacco.

Se questi prerequisiti vengono soddisfatti, passare al passaggio successivo per testare la regola in modalità di controllo.

Procedure consigliate per la configurazione di regole di riduzione della superficie di attacco con Criteri di gruppo

Quando si configurano le regole di riduzione della superficie di attacco usando Criteri di gruppo, ecco alcune procedure consigliate per evitare errori comuni:

1. Assicurarsi che quando si aggiunge il GUID per le regole di riduzione della superficie di attacco, all'inizio o alla fine del GUID non siano presenti virgolette doppie (ad esempio: "GUID regole ASR").

2. Assicurarsi che non siano presenti spazi all'inizio o alla fine quando si aggiunge il GUID per le regole di riduzione della superficie di attacco.

Usare la modalità di controllo per testare la regola

Seguire queste istruzioni in Usare lo strumento demo per vedere come funzionano le regole di riduzione della superficie di attacco per testare la regola specifica con cui si verificano problemi.

1. Abilitare la modalità di controllo per la regola specifica da testare. Usare Criteri di gruppo per impostare la regola Audit mode su (valore: 2) come descritto in Abilitare le regole di riduzione della superficie di attacco. La modalità di controllo consente alla regola di segnalare il file o il processo, ma consente l'esecuzione.

2. Eseguire l'attività che causa un problema. Ad esempio, aprire il file o eseguire il processo che deve essere bloccato, ma è consentito.

3. Esaminare i log eventi delle regole di riduzione della superficie di attacco per verificare se la regola bloccherebbe il file o il processo se la regola fosse impostata su Enabled.

Se una regola non blocca un file o un processo che si prevede venga bloccato, verificare prima di tutto se la modalità di controllo è abilitata. La modalità di controllo può essere abilitata per il test di un'altra funzionalità o da uno script di PowerShell automatizzato e potrebbe non essere disabilitata dopo il completamento dei test.

Se la regola è stata testata con lo strumento demo e la modalità di controllo e le regole di riduzione della superficie di attacco funzionano in scenari preconfigurati, ma la regola non funziona come previsto, passare a una delle sezioni seguenti in base alla situazione:

• Se la regola di riduzione della superficie di attacco blocca qualcosa che non deve bloccare (noto anche come falso positivo), è prima di tutto possibile aggiungere un'esclusione della regola di riduzione della superficie di attacco.
• Se la regola di riduzione della superficie di attacco non blocca qualcosa che deve bloccare (noto anche come falso negativo), è possibile procedere immediatamente all'ultimo passaggio, raccogliendo i dati di diagnostica e inviandoci il problema.

Aggiungere esclusioni per un falso positivo

Se la regola di riduzione della superficie di attacco blocca qualcosa che non deve bloccare (noto anche come falso positivo), è possibile aggiungere esclusioni per impedire alle regole di riduzione della superficie di attacco di valutare i file o le cartelle esclusi.

Per aggiungere un'esclusione, vedere Personalizzare la riduzione della superficie di attacco.

Importante

È possibile specificare singoli file e cartelle da escludere, ma non è possibile specificare singole regole. Ciò significa che tutti i file o le cartelle esclusi sono esclusi da tutte le regole asr.

Segnalare un falso positivo o un falso negativo

Utilizzare il modulo di invio basato sul Web Intelligence di sicurezza Microsoft per segnalare un falso negativo o un falso positivo per la protezione di rete. Con una sottoscrizione di Windows E5, è anche possibile fornire un collegamento a qualsiasi avviso associato.

Raccogliere dati di diagnostica per gli invii di file

Quando si segnala un problema con le regole di riduzione della superficie di attacco, viene chiesto di raccogliere e inviare dati di diagnostica per il supporto tecnico Microsoft e i team di progettazione per risolvere i problemi.

1. Aprire il prompt dei comandi come amministratore e aprire la directory di Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Eseguire questo comando per generare i log di diagnostica:

   mpcmdrun -getfiles
   

3. Per impostazione predefinita, vengono salvati in C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Allegare il file al modulo di invio.

Articoli correlati

• Regole per la riduzione della superficie di attacco
• Abilitare regole per la riduzione della superficie di attacco
• Valutare le regole per la riduzione della superficie di attacco

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.