Solucionar de problemas de reglas de reducción de la superficie expuesta a ataques (ASR)

  • Se aplica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Incluso después de seguir cuidadosamente la guía de implementación de las reglas de reducción de la superficie expuesta a ataques (ASR), es posible que siga teniendo problemas con las reglas de ASR en Microsoft Defender Antivirus. Por ejemplo:

  • Una regla ASR bloquea un archivo o proceso, o realiza alguna otra acción que no debería (falso positivo).
  • Una regla asr no funciona como se describe o no bloquea un archivo o proceso que debe (falso negativo).

En este artículo se describen los pasos que puede seguir para solucionar los problemas, incluida la recopilación de datos para abrir un caso de soporte técnico con Microsoft si no puede solucionarlo usted mismo. Para obtener más información sobre las reglas de ASR, consulte Introducción a las reglas de reducción de superficie expuesta a ataques (ASR).

Confirmación de los requisitos previos de la regla ASR

Para conocer los requisitos de reglas de ASR, consulte Requisitos de las reglas de ASR.

Comprobación de las reglas y acciones de ASR activas en los dispositivos

Ejecute el siguiente comando en PowerShell en el dispositivo para ver el estado de todas las reglas de ASR configuradas:

$p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

La salida de ejemplo de este comando podría ser similar a la siguiente:

Id                                   Action
--                                   ------
01443614-cd74-433a-b99e-2ecdc07bfc25      2
26190899-1602-49e8-8b27-eb1d0a1ce869      1
3b576869-a4ec-4529-8536-b80a7769e899      1
5beb7efe-fd9a-4556-801d-275e5ffc04cc      1
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84      1
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c      1
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b      1
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2      2
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4      1
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550      1
c1db55ab-c21a-4637-bb3f-a12568109d35      2
d1e49aac-8f56-4280-b9ba-993a6d77406c      1
d3e037e1-3eb8-44c8-a917-57927947596d      2
d4f940ab-401b-4efc-aadc-ad5f3c50688a      2
e6db77e5-3df2-4cf1-b95a-636979351e5b      1

En este ejemplo, las reglas de ASR están activas en diferentes modos en el dispositivo (2 = modo auditoría , 1 = modo de bloque ).

Nota:

Si usó directiva de grupo para configurar reglas ASR, compruebe que no haya caracteres adicionales como comillas o espacios en el valor de GUID de regla de ASR.

Cambio de reglas de ASR de comportamiento erróneo al modo auditoría para pruebas

Las reglas de ASR en el modo auditoría no bloquean archivos ni procesos, pero se registran las acciones que la regla habría realizado en el modo Bloquear o Advertir .

Sea cual sea el método que usó para distribuir reglas ASR a los dispositivos, use ese mismo método para establecer las reglas problemáticas en modo auditoría . Para obtener instrucciones, consulte Configuración de reglas de reducción de superficie expuesta a ataques.

Sugerencia

Si la regla ASR ya estaba en modo auditoría , eso explica por qué no estaba bloqueando los archivos o procesos que esperaba que se bloquearan (falso negativo). Las reglas de ASR pueden entrar accidentalmente en el modo auditoría en los siguientes escenarios:

  • Estaba probando otra característica y olvidó volver a establecer la regla ASR en el modo Bloquear o Advertir .
  • Un script de PowerShell automatizado cambió el modo de regla.

Después de configurar la regla en modo auditoría , siga estos pasos:

  1. Realice la acción en el dispositivo que provoca el problema. Por ejemplo, abra el archivo o ejecute el proceso que no está bloqueado, pero que debe bloquearse (falso negativo).

  2. Revise la actividad de regla de ASR.

    En concreto, filtre los valores de Id. de evento en el Visor de eventos de Windows por los siguientes valores en el registrooperativo de > Registros de aplicaciones y serviciosdeMicrosoft>Windows>Defender>:

    • Eventos de bloque: 1121
    • Eventos de auditoría: 1122
    • Eventos de invalidación de usuario en modo de advertencia: 1129
    • Cambios de configuración: 5007

    Para obtener información detallada, consulta Ver eventos de reducción de superficie expuesta a ataques en Windows Visor de eventos.

    Captura de pantalla de la página de Visor de eventos.

Pasos que se deben seguir si la regla asr sigue sin funcionar según lo esperado

Si la regla ASR sigue sin funcionar según lo esperado, realice uno de los pasos siguientes:

Recopilación de datos de diagnóstico para el soporte técnico de Microsoft

Recopilación de datos de diagnóstico con el analizador de cliente de MDE

  1. Descargue el analizador de cliente de MDE.

  2. Cierre las aplicaciones del dispositivo que no sean esenciales para reproducir el problema.

  3. Ejecute la MDE Client Analyzer con el -v modificador localmente o mediante Live Response:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -v

    Sugerencia

    Asegúrese de que la recopilación de registros tiene lugar durante el intento de reproducción.

Recopilación de datos de diagnóstico con MpCmdRun

Para usar MpCmdRun.exe -GetFiles para generar manualmente los archivos de registro de diagnóstico en C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab, consulte las instrucciones de Recopilación de datos de diagnóstico Microsoft Defender Antivirus.

En el MpSupportFiles.cab archivo, los siguientes archivos son más relevantes:

  • MPOperationalEvents.txt: contiene el mismo nivel de información que se encuentra en Visor de eventos para el registro operativo Microsoft Defender Antivirus.
  • MPRegistry.txt: analice todas las configuraciones actuales Microsoft Defender Antivirus desde el momento en que generó el archivo .cab.
  • MPLog.txt: información detallada sobre todas las acciones y operaciones de Microsoft Defender Antivirus.

Contenido relacionado

  • Last updated on