Problemen oplossen met regels voor het verminderen van kwetsbaarheid voor aanvallen

Van toepassing op:

• Microsoft Defender voor Eindpunt Abonnement 1 en 2
• Microsoft Defender XDR

Wanneer u regels voor het verminderen van kwetsbaarheid voor aanvallen gebruikt , kunt u problemen tegenkomen, zoals:

• Een regel blokkeert een bestand, proces of voert een andere actie uit die niet moet worden gebruikt (fout-positief); of
• Een regel werkt niet zoals beschreven of blokkeert een bestand of proces niet dat het moet (fout-negatief).

Er zijn vier stappen om deze problemen op te lossen:

1. Vereisten bevestigen
2. De controlemodus gebruiken om de regel te testen
3. Uitsluitingen toevoegen voor de opgegeven regel (voor fout-positieven)
4. Ondersteuningslogboeken verzenden

Vereisten bevestigen

Regels voor het verminderen van kwetsbaarheid voor aanvallen werken alleen op apparaten met de volgende voorwaarden:

• Apparaten worden uitgevoerd Windows 10 Enterprise of hoger.
• Apparaten gebruiken Microsoft Defender Antivirus als de enige antivirus-app. Het gebruik van een andere antivirus-app zorgt ervoor dat Microsoft Defender Antivirus zichzelf uitschakelt.
• Realtime-beveiliging is ingeschakeld.
• Controlemodus is niet ingeschakeld. Gebruik groepsbeleid om de regel in te stellen op Disabled (waarde: 0) zoals beschreven in Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.

Als aan deze vereisten wordt voldaan, gaat u verder met de volgende stap om de regel in de controlemodus te testen.

Aanbevolen procedures bij het instellen van regels voor het verminderen van kwetsbaarheid voor aanvallen met behulp van groepsbeleid

Bij het instellen van de regels voor het verminderen van kwetsbaarheid voor aanvallen met behulp van groepsbeleid, volgen hier enkele aanbevolen procedures om veelvoorkomende fouten te voorkomen:

1. Zorg ervoor dat er bij het toevoegen van de GUID voor regels voor het verminderen van kwetsbaarheid voor aanvallen geen dubbele aanhalingstekens (zoals deze: 'ASR Rules GUID') aan het begin of aan het einde van de GUID staan.

2. Zorg ervoor dat er geen spaties zijn aan het begin of aan het einde bij het toevoegen van de GUID voor regels voor het verminderen van kwetsbaarheid voor aanvallen.

De controlemodus gebruiken om de regel te testen

Volg deze instructies in Het demoprogramma gebruiken om te zien hoe regels voor het verminderen van kwetsbaarheid voor aanvallen werken om de specifieke regel te testen waarmee u problemen ondervindt.

1. Schakel de controlemodus in voor de specifieke regel die u wilt testen. Gebruik groepsbeleid om de regel in te stellen op Audit mode (waarde: 2) zoals beschreven in Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen. In de controlemodus kan de regel het bestand of proces rapporteren, maar kan deze worden uitgevoerd.

2. Voer de activiteit uit die een probleem veroorzaakt. Open bijvoorbeeld het bestand of voer het proces uit dat moet worden geblokkeerd, maar wel is toegestaan.

3. Bekijk de gebeurtenislogboeken van de regel voor het verminderen van kwetsbaarheid voor aanvallen om te zien of de regel het bestand of proces blokkeert als de regel is ingesteld op Enabled.

Als een regel een bestand of proces dat u verwacht niet blokkeert, controleert u eerst of de controlemodus is ingeschakeld. De controlemodus is mogelijk ingeschakeld voor het testen van een andere functie of door een geautomatiseerd PowerShell-script en kan mogelijk niet worden uitgeschakeld nadat de tests zijn voltooid.

Als u de regel hebt getest met het demoprogramma en met de controlemodus en regels voor het verminderen van kwetsbaarheid voor aanvallen werken aan vooraf geconfigureerde scenario's, maar de regel niet werkt zoals verwacht, gaat u verder met een van de volgende secties op basis van uw situatie:

• Als de regel voor het verminderen van kwetsbaarheid voor aanvallen iets blokkeert dat niet mag worden geblokkeerd (ook wel een fout-positief genoemd), kunt u eerst een regel voor het verminderen van de kwetsbaarheid voor aanvallen toevoegen.
• Als de regel voor het verminderen van kwetsbaarheid voor aanvallen niet iets blokkeert dat moet worden geblokkeerd (ook wel een fout-negatief genoemd), kunt u onmiddellijk doorgaan met de laatste stap, waarbij u diagnostische gegevens verzamelt en het probleem naar ons verzendt.

Uitsluitingen toevoegen voor een fout-positief

Als de regel voor het verminderen van kwetsbaarheid voor aanvallen iets blokkeert dat niet mag worden geblokkeerd (ook wel fout-positief genoemd), kunt u uitsluitingen toevoegen om te voorkomen dat regels voor het verminderen van kwetsbaarheid voor aanvallen de uitgesloten bestanden of mappen evalueren.

Als u een uitsluiting wilt toevoegen, raadpleegt u Kwetsbaarheid voor aanvallen aanpassen.

Belangrijk

U kunt afzonderlijke bestanden en mappen opgeven die moeten worden uitgesloten, maar u kunt geen afzonderlijke regels opgeven. Dit betekent dat alle bestanden of mappen die zijn uitgesloten, worden uitgesloten van alle ASR-regels.

Een fout-positief of fout-negatief melden

Gebruik het Microsoft-beveiligingsinformatie webformulier om een fout-negatief of fout-positief voor netwerkbeveiliging te melden. Met een Windows E5-abonnement kunt u ook een koppeling naar een bijbehorende waarschuwing opgeven.

Diagnostische gegevens verzamelen voor bestandsinzendingen

Wanneer u een probleem meldt met regels voor het verminderen van kwetsbaarheid voor aanvallen, wordt u gevraagd om diagnostische gegevens te verzamelen en in te dienen voor ondersteunings- en technische teams van Microsoft om problemen op te lossen.

1. Open de opdrachtprompt als beheerder en open de map Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Voer deze opdracht uit om de diagnostische logboeken te genereren:

   mpcmdrun -getfiles
   

3. Standaard worden ze opgeslagen in C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Voeg het bestand toe aan het inzendingsformulier.

Verwante artikelen

• Regels voor kwetsbaarheid voor aanvallen verminderen
• Regels voor het verminderen van aanvalsoppervlakken inschakelen
• Regels voor het verminderen van kwetsbaarheid voor aanvallen evalueren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.