針對受攻擊面縮小規則進行疑難解答

適用於：

• 適用於端點的 Microsoft Defender方案 1 和 2
• Microsoft Defender XDR

當您使用 受攻擊面縮小規則 時，可能會遇到問題，例如：

• 規則會封鎖檔案、處理或執行一些不應 (誤判) 的其他動作;或
• 規則無法如所述運作，或不會封鎖應該 (誤判) 的檔案或程式。

針對這些問題進行疑難解答有四個步驟：

1. 確認必要條件
2. 使用稽核模式來測試規則
3. 針對誤判的指定規則 (新增排除)
4. 提交支持記錄

確認必要條件

受攻擊面縮小規則只適用於具有下列條件的裝置：

• 裝置 Windows 10 企業版 或更新版本執行。
• 裝置使用 Microsoft Defender 防病毒軟體作為唯一的防病毒軟體保護應用程式。 使用任何其他防病毒軟體應用程式會導致 Microsoft Defender 防病毒軟體自行停用。
• 已啟用即時保護。
• 未啟用稽核模式。 使用 群組原則 將規則設定為 Disabled (值： 0) 如啟用受攻擊面縮小規則中所述。

如果符合這些必要條件，請繼續進行下一個步驟，以在稽核模式中測試規則。

使用 群組原則 設定受攻擊面縮小規則的最佳做法

使用 群組原則 設定受攻擊面縮小規則時，以下是一些避免發生常見錯誤的最佳做法：

1. 請確定在新增受攻擊面縮小規則的 GUID 時， 沒有任何雙引號 (如下：「ASR 規則 GUID」) 在 GUID 的開頭或結尾。

2. 新增受攻擊面縮小規則的 GUID 時，請確定開頭或結尾 沒有空 格。

使用稽核模式來測試規則

請遵循 使用示範工具中的這些指示，查看受攻擊面縮小規則如何運作 ，以測試您遇到問題的特定規則。

1. 針對您想要測試的特定規則啟用稽核模式。 使用 群組原則 將規則設定為 Audit mode (值： 2) 如啟用受攻擊面縮小規則中所述。 稽核模式可讓規則報告檔案或程式，但允許它執行。

2. 執行造成問題的活動。 例如，開啟檔案或執行應該封鎖但允許的進程。

3. 檢閱受攻擊面縮小規則事件記錄 檔，以查看規則是否會封鎖檔案或處理程式，是否將規則設定為 Enabled。

如果規則未封鎖您預期應該封鎖的檔案或程式，請先檢查稽核模式是否已啟用。 稽核模式可能會啟用以測試另一項功能，或透過自動化PowerShell腳本，而且可能無法在測試完成之後停用。

如果您已使用示範工具和稽核模式測試規則，且受攻擊面縮小規則正在預先設定的案例中運作，但規則未如預期般運作，請根據您的情況繼續進行下列其中一節：

• 如果受攻擊面縮小規則封鎖不應封鎖 (也稱為誤判) ，您可以 先新增受攻擊面縮小規則排除。
• 如果受攻擊面縮小規則未封鎖應該封鎖 (也稱為誤判) ，您可以立即繼續進行最後一個步驟， 收集診斷數據並將問題提交給我們。

新增誤判的排除專案

如果受攻擊面縮小規則封鎖不應封鎖 (也稱為誤判) ，您可以新增排除專案，以防止受攻擊面縮小規則評估排除的檔案或資料夾。

若要新增排除專案，請參閱 自定義受攻擊面縮小。

重要事項

您可以指定要排除的個別檔案和資料夾，但無法指定個別規則。 這表示所有 ASR 規則都會排除任何排除的檔案或資料夾。

回報誤判或誤判

使用 Microsoft 安全情報 網頁型提交窗體來回報網路保護的誤判或誤判。 透過 Windows E5 訂用帳戶，您也可以 提供任何相關聯警示的連結。

收集檔案提交的診斷數據

當您回報受攻擊面縮小規則的問題時，系統會要求您收集並提交診斷數據，以供Microsoft支援和工程小組協助疑難解答問題。

1. 以系統管理員身分開啟命令提示字元，然後開啟 Windows Defender 目錄：

   cd "c:\program files\Windows Defender"
   

2. 執行此指令以產生診斷記錄：

   mpcmdrun -getfiles
   

3. 根據預設，它們會儲存至 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab。 將檔案附加至提交表單。

相關文章

• 受攻擊面縮小規則
• 啟用受攻擊面縮小規則
• 評估受攻擊面縮小規則

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。