Устранение неполадок с правилами сокращения направлений атак

При использовании правил сокращения направлений атаки могут возникнуть проблемы. Например, вы можете:

• Правило блокирует файл или процесс или выполняет какое-либо другое действие, которое не должно быть (ложноположительное срабатывание).
• Правило не работает, как описано, или не блокирует файл или процесс, которые оно должно (ложноотрицательный).

Чтобы устранить эти проблемы, выполните следующие действия.

1. Подтвердите предварительные требования.
2. Используйте режим аудита для тестирования правила.
3. Добавьте исключения для указанного правила (для ложноположительных результатов).
4. Сбор и отправка журналов поддержки.

Подтверждение предварительных требований

Правила сокращения направлений атак активны и работают на устройствах, которые отвечают следующим условиям:

• Windows 10 Корпоративная или более поздней версии.
• Microsoft Defender Антивирусная программа является единственным активным приложением для защиты от вирусов. Microsoft Defender антивирусная программа отключается, если на устройстве установлено какое-либо другое антивирусное приложение.
• Включена защита в режиме реального времени .
• Правила уменьшения направлений атак на устройстве находятся в одном из следующих режимов:
  • Режим блокировки .
  • Режим предупреждения .
  • Не настроено или отключено.

Если эти предварительные требования выполнены, перейдите к следующему шагу, чтобы протестировать правило в режиме аудита.

Проверка значений идентификаторов правила в групповой политике

Если вы использовали групповую политику для настройки правил сокращения направлений атак, убедитесь, что в значении ИДЕНТИФИКАТОРа GUID отсутствуют дополнительные символы, такие как кавычки или пробелы.

Дополнительные сведения о настройке правил сокращения направлений атак в групповой политике см. в статье Включение правил сокращения направлений атаки с помощью групповой политики.

Проверка активных правил и действий на устройстве

Выполните следующую команду в PowerShell, чтобы просмотреть состояние всех настроенных правил сокращения направлений атак на устройстве:

$p=Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

Пример выходных данных этой команды может выглядеть следующим образом:

Id                                   Action
--                                   ------
01443614-cd74-433a-b99e-2ecdc07bfc25      2
26190899-1602-49e8-8b27-eb1d0a1ce869      1
3b576869-a4ec-4529-8536-b80a7769e899      1
5beb7efe-fd9a-4556-801d-275e5ffc04cc      1
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84      1
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c      1
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b      1
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2      2
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4      1
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550      1
c1db55ab-c21a-4637-bb3f-a12568109d35      2
d1e49aac-8f56-4280-b9ba-993a6d77406c      1
d3e037e1-3eb8-44c8-a917-57927947596d      2
d4f940ab-401b-4efc-aadc-ad5f3c50688a      2
e6db77e5-3df2-4cf1-b95a-636979351e5b      1

В этом примере отображаемые правила активны в разных режимах (2 = режим аудита , 1 = режим блокировки ).

Проверка правил проблем в режиме аудита

Режим аудита не блокирует файлы или процессы, определенные правилом сокращения направлений атак, но регистрирует обнаружение. Следуйте приведенным ниже инструкциям из раздела Использование демонстрационного средства, чтобы узнать, как работают правила сокращения направлений атак , чтобы протестировать конкретное правило, с которыми у вас возникли проблемы:

1. Включите режим аудита для правила. Используйте групповую политику, чтобы задать для режима правила значение 2, как описано в разделе Включение правил сокращения направлений атак.

2. Выполните действие, которое вызывает проблему. Например, откройте файл или запустите процесс, который не заблокирован, но должен быть заблокирован (ложноотрицательный).

3. Просмотрите журналы событий правила уменьшения направлений атак , чтобы узнать, были ли заблокированы файл или процесс, если бы правило находилось в режиме блокировки .

Если правило не блокирует файл или процесс, который вы ожидаете заблокировать, убедитесь, что правило не в режиме аудита . Правило может находиться в режиме аудита в следующих сценариях:

• Вы тестировали другую функцию.
• Автоматический сценарий PowerShell для правила был установлен в режим аудита .
• Вы забыли отключить правило или включить его в режиме блокировки после завершения теста.

Если вы выполнили тесты в этом разделе и правило по-прежнему не работает должным образом, перейдите к одному из следующих разделов этой статьи:

• Ложноположительный результат (хорошие файлы заблокированы): добавьте исключения для ложноположительного срабатывания.
• Ложноотрицательный результат (разрешены недопустимые файлы): соберите диагностические данные и сообщите о проблеме в корпорацию Майкрософт.

Просмотр событий блокировки и аудита в Windows Просмотр событий

События правил сокращения направлений атаки можно просмотреть в области Защитника Windows Просмотр событий Windows.

1. Откройте Просмотр событий. Например, вы можете:

   1. Откройте меню Пуск и введите event.
   2. Выберите результат Просмотр событий.

2. В дереве консоли средства просмотра событий перейдите в раздел Приложения и службы Журналы>Майкрософт>Windows>Defender>Для работы.

3. В области сведений в разделе Operational можно отфильтровать записи для событий правил уменьшения направлений атак, используя следующие значения идентификаторов событий **:

   • События блокировки: 1121, 1126, 1131, 1133
   • События аудита: 1122, 1125, 1132, 1134
   • События переопределения пользователя в режиме предупреждения: 1129
   • Изменения конфигурации сокращения направлений атак: 5007

Добавление исключений для ложноположительных срабатываний

Если правило сокращения направлений атаки блокирует то, что не должно блокироваться, можно добавить исключения для безопасного списка исключенных файлов или папок.

Сведения о добавлении исключения см . в статье Настройка сокращения направлений атак.

Сообщить о ложноположительных или ложноотрицательных результатах

Используйте веб-форму отправки портал для обнаружения угроз (Microsoft), чтобы сообщить о ложноотрицательном или ложном срабатывании для защиты сети. С помощью подписки Windows E5 можно также указать ссылку на любое связанное оповещение.

Сбор диагностических данных

Когда вы сообщаете о проблеме, связанной с правилами сокращения направлений атак, необходимо собрать и отправить диагностические данные для групп поддержки и инженеров Майкрософт, чтобы устранить неполадки.

Сбор диагностических данных с помощью клиентского анализатора MDE

1. Скачайте анализатор клиента MDE.

2. Закройте все приложения, которые не необходимы для воспроизведения проблемы, а затем запустите MDE клиентского анализатора локально или с помощью динамического ответа.

   Совет

   Убедитесь, что сбор журналов выполняется во время попытки воспроизведения.

3. Запустите клиентский анализатор MDE с помощью -v параметров:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -v
   

Сбор диагностических данных с помощью MpCmdRun

Сведения о MpCmdRun.exe -GetFiles том, как вручную создать файлы журнала диагностики в C:\ProgramData\Майкрософт\Windows Defender\Support\MpSupportFiles.cab, см. в разделе Сбор диагностических данных Microsoft Defender антивирусной программы.

MpSupportFiles.cab В файле наиболее релевантными являются следующие файлы:

• MPOperationalEvents.txt: содержит тот же уровень информации, что и в Просмотр событий для операционного журнала Защитника Windows.
• MPRegistry.txt: анализ всех текущих конфигураций Защитника Windows с момента создания файла .cab.
• MPLog.txt: подробные сведения обо всех действиях и операциях Защитника Windows.

Статьи по теме

• Правила сокращения направлений атак
• Включить правила сокращения направлений атак
• Оценка правил сокращения направлений атак