Megosztás a következőn keresztül:

Támadásifelület-csökkentési szabályok hibaelhárítása

  • Cikk

Érintett szolgáltatás:

Az első és legpontosabb módszer az, ha helyileg, egy Windows-eszközön ellenőrzi, hogy mely támadásifelület-csökkentési szabályok vannak engedélyezve (és azok konfigurációja) a PowerShell-parancsmagok használatával.

Íme néhány további információforrás, amelyet a Windows kínál a támadásifelület-csökkentési szabályok hatásának és működésének hibaelhárításához.

A támadásifelület-csökkentési szabályok használatakor problémák merülhetnek fel, például:

  • A szabályok blokkolják a fájlokat, feldolgozzák vagy más olyan műveletet hajtanak végre, amelyet nem szabad (hamis pozitív); vagy
  • Egy szabály nem működik a leírt módon, vagy nem tiltja le a fájlokat vagy folyamatokat, amelyeknek hamis negatívnak kell lennie.

A problémák elhárításának négy lépése van:

  1. Erősítse meg az előfeltételeket.
  2. A szabály teszteléséhez használja a naplózási módot.
  3. Kizárások hozzáadása a megadott szabályhoz (hamis pozitív értékek esetén).
  4. Gyűjtse össze és küldje el a támogatási naplókat.

Előfeltételek megerősítése

A támadásifelület-csökkentési szabályok csak az alábbi feltételekkel rendelkező eszközökön működnek:

Ha ezek az előfeltételek teljesülnek, folytassa a következő lépésekkel a szabály naplózási módban történő teszteléséhez.

Ajánlott eljárások a támadásifelület-csökkentési szabályok Csoportházirend használatával történő beállításához

A támadásifelület-csökkentési szabályok Csoportházirend használatával történő beállításakor íme néhány ajánlott eljárás a gyakori hibák elkerüléséhez:

  1. Győződjön meg arról, hogy a támadásifelület-csökkentési szabályok GUID-azonosítójának hozzáadásakor nincsenek dupla idézőjelek (például "ASR-szabályok GUID-azonosítója") a GUID elején vagy végén.

  2. A támadásifelület-csökkentési szabályok GUID-azonosítójának hozzáadásakor győződjön meg arról, hogy nincsenek szóközök az elején vagy végén.

Az aktív szabályok lekérdezése

A támadásifelület-csökkentési szabályok engedélyezésének egyik legegyszerűbb módja a Get-MpPreference PowerShell-parancsmag.

Íme egy példa:

Képernyőkép a get mppreference szkriptről.

Több támadásifelület-csökkentési szabály is aktív, különböző konfigurált műveletekkel.

A támadásifelület-csökkentési szabályokkal kapcsolatos információk kibontásához használhatja a és/vagy AttackSurfaceReductionRules_Actionsa tulajdonságotAttackSurfaceReductionRules_Ids.

Példa:

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids

Képernyőkép a get mpreference (mpreference lekérése) példáról.

Az előző képen a támadásifelület-csökkentési szabályok összes azonosítóját láthatja, amelyek beállítása eltér a 0-tól (nincs konfigurálva).

A következő lépésben felsorolja azokat a tényleges műveleteket (Blokkolás vagy Naplózás), amelyekkel az egyes szabályok konfigurálva lesznek.

Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions

Képernyőkép a get mppreference (mppreference lekérése) példa2-ről.

A szabály tesztelése naplózási módban

Kövesse ezeket az utasításokat A bemutatóeszköz használata című témakörben, amelyből megtudhatja, hogyan működnek a támadásifelület-csökkentési szabályok annak a szabálynak a teszteléséhez, amellyel kapcsolatban problémákat tapasztal.

  1. Engedélyezze a naplózási módot a tesztelni kívánt szabályhoz. A Csoportházirend használatával állítsa a szabályt (érték: 2) értékre Audit mode a Támadásifelület-csökkentési szabályok engedélyezése című szakaszban leírtak szerint. A naplózási mód lehetővé teszi a szabály számára a fájl vagy folyamat jelentését, de lehetővé teszi a futtatását.

  2. Végezze el a problémát okozó tevékenységet. Nyissa meg például a fájlt, vagy futtassa a letiltandó, de engedélyezett folyamatot.

  3. Tekintse át a támadásifelület-csökkentési szabály eseménynaplóit , és ellenőrizze, hogy a szabály blokkolja-e a fájlt vagy a folyamatot, ha a szabály értékre Enabledvan állítva.

Ha egy szabály nem blokkolja a várt fájlokat vagy folyamatokat, először ellenőrizze, hogy engedélyezve van-e a naplózási mód. Előfordulhat, hogy a naplózási mód engedélyezve van egy másik funkció vagy egy automatizált PowerShell-szkript teszteléséhez, és a tesztek befejezése után nem lesz letiltva.

Ha a szabályt a demó eszközzel és naplózási módban tesztelte, és a támadásifelület-csökkentési szabályok előre konfigurált forgatókönyveken működnek, de a szabály nem a várt módon működik, folytassa az alábbi szakaszok valamelyikével a helyzet alapján:

Blokkolási és naplózási események lekérdezése

A támadásifelület-csökkentési szabályesemények a Windows Defender naplójában tekinthetők meg.

A hozzáféréshez nyissa meg a Windows eseménymegtekintő, és keresse meg az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>Windows Defender>operatív lehetőséget.

Képernyőkép a eseménymegtekintő oldalról.

Kizárások hozzáadása hamis pozitív értékhez

Ha a támadásifelület-csökkentési szabály blokkol valamit, amit nem szabad blokkolnia (más néven hamis pozitív), kizárásokat adhat hozzá, hogy megakadályozza a támadásifelület-csökkentési szabályok kiértékelését a kizárt fájlok vagy mappák esetében.

Kizárás hozzáadásához lásd: Támadásifelület-csökkentés testreszabása.

Fontos

Megadhatja az egyes kizárandó fájlokat és mappákat, de nem adhat meg külön szabályokat. Ez az összes ASR-szabályból kizárt fájlokat vagy mappákat jelenti.

Hamis pozitív vagy hamis negatív jelentés

A Microsoft biztonsági intelligencia webes beküldési űrlap használatával hamis negatív vagy hamis pozitív eredményt jelenthet a hálózatvédelem szempontjából. Windows E5-előfizetéssel a társított riasztásra mutató hivatkozást is megadhat.

Microsoft Defender Kártevőirtó elleni védelem diagnosztikai adatainak gyűjtése a fájlbeküldésekhez

Amikor problémát jelent a támadásifelület-csökkentési szabályokkal kapcsolatban, a rendszer megkéri, hogy gyűjtse és küldje el a diagnosztikai adatokat a Microsoft támogatási és mérnöki csapatainak a problémák elhárításához.

  1. Nyissa meg a parancssort rendszergazdaként, és nyissa meg a Windows Defender könyvtárat:

    cd "c:\program files\Windows Defender"

  2. Futtassa ezt a parancsot a diagnosztikai naplók létrehozásához:

    mpcmdrun -getfiles

  3. Alapértelmezés szerint a rendszer a következőbe menti őket C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab: . Csatolja a fájlt a beküldési űrlaphoz.

A szabályeseményeket a Microsoft Defender Víruskereső nevű dedikált parancssori eszközén keresztül is megtekintheti, *mpcmdrun.exe*amellyel szükség esetén kezelheti és konfigurálhatja a feladatokat, valamint automatizálhatja a feladatokat.

Ez a segédprogram a %ProgramFiles%\Windows Defender\MpCmdRun.exehelyen található. Rendszergazda jogú parancssorból kell futtatnia (azaz Rendszergazda).

A támogatási információk létrehozásához írja be a következőt MpCmdRun.exe -getfiles: . Egy idő után több napló lesz csomagolva egy archívumba (MpSupportFiles.cab), és elérhetővé válik a címen C:\ProgramData\Microsoft\Windows Defender\Support.

Képernyőkép a kártevők elleni védelem naplóiról.

Bontsa ki ezt az archívumot, és számos fájl áll rendelkezésre hibaelhárítási célokra.

A legfontosabb fájlok a következők:

  • MPOperationalEvents.txt: Ez a fájl a Windows Defender operatív naplójának eseménymegtekintő azonos szintű információkat tartalmaz.
  • MPRegistry.txt: Ebben a fájlban elemezheti az összes jelenlegi Windows Defender-konfigurációt, a pillanattól kezdve a támogatási naplók rögzítve lettek.
  • MPLog.txt: Ez a napló részletesebb információkat tartalmaz a Windows Defender összes műveletéről/műveletéről.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.