Die Regeln zur Reduzierung der Angriffsfläche (ASR) so einzurichten, dass sie tatsächlich funktionieren, kann mühsam sein, insbesondere wenn sie zwar aktiviert sind, aber nichts blockieren oder scheinbar komplett unterdrückt werden. Es ist etwas seltsam, aber manchmal sind die Regeln zwar in den Einstellungen aktiviert, aber andere Richtlinien – wie alte Gruppenrichtlinienobjekte (GPOs), Intune-Konfigurationen oder sogar in Konflikt stehende Antiviren-Ausschlüsse – konkurrieren mit ihnen um die Kontrolle. Das führt dazu, dass sie nicht richtig angewendet werden oder, schlimmer noch, kaum Wirkung zeigen. Falls Sie sich fragen, warum die nützlichen Sicherheitsfunktionen nicht greifen, finden Sie hier einige Lösungsansätze, die in realen Umgebungen funktioniert haben.
Wie man Probleme mit den Regeln zur Reduzierung der Angriffsfläche behebt, die nicht angewendet werden oder nicht ordnungsgemäß funktionieren
Auf widersprüchliche Richtlinien prüfen
Das ist der erste Schritt. Windows bezieht Richtlinien oft aus verschiedenen Quellen – wie lokalen Gruppenrichtlinienobjekten (GPOs), Intune-Profilen oder sogar anderen Drittanbieter-Tools –, was zu Konflikten führen kann. Die zuletzt angewendete Richtlinie hat Vorrang, oder sie werden unerwartet zusammengeführt, wodurch die gewünschten Konfigurationen beeinträchtigt werden. Beispielsweise könnte eine Richtlinie die Blockierung aktivieren, während ein anderes GPO angibt, nichts zu erzwingen, sodass nichts passiert. Bei manchen Systemen schlägt dies beim ersten Mal fehl, funktioniert dann aber nach einem Neustart oder einer Aktualisierung, und bei anderen bleibt es so lange problematisch, bis die Konflikte behoben sind.
Um zu sehen, was angewendet wird, öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus:
Get-MpPreference | Select-Object *asr*
Dieser Befehl zeigt die aktuellen Regeln zur Reduzierung der Angriffsfläche und deren Status an. Prüfen Sie die Werte für „AttackSurfaceReductionRules_Ids “ und „AttackSurfaceReductionRules_Actions “.Sind diese auf „Nicht konfiguriert“ oder „Deaktiviert“ gesetzt, ist dies ein Hinweis auf die Ursache. Führen Sie außerdem „rsop.msc“ aus, um die tatsächlich angewendeten Gruppenrichtlinienobjekte (GPOs) anzuzeigen.Überprüfen Sie in Intune unter Endpoint Security > Reduzierung der Angriffsfläche, ob ein anderes Profil Ihre Einstellungen beeinträchtigt oder überschreibt.
Manchmal reichen schon ein paar Anpassungen der Richtlinien oder das Entfernen doppelter Regeln. Denn natürlich muss Windows es *komplizierter* machen als nötig.
Überprüfen Sie die Liste der Ausnahmen der ASR-Regel.
ASR-Regeln verfügen über eine eigene Ausschlussliste, die von den regulären Defender-Ausschlusseinstellungen getrennt ist. Befindet sich ein Prozess, Ordner oder Hash in dieser Liste, ignoriert die Regel die entsprechende Aktivität. Dies kann problematisch werden, wenn Administratoren weit gefasste Ausschlusslisten (z. B.für ganze Laufwerke oder Platzhalter) kopieren und dadurch versehentlich den Schutz beeinträchtigen.Überprüfen Sie diese Liste, falls Regeln nicht wie gewünscht funktionieren.
Laufen:
Get-MpPreference | Select-Object *asr*
Suchen Sie nach den „AttackSurfaceReductionOnlyExclusions “.Falls diese Pfade oder Hashwerte enthalten, gleichen Sie diese mit Ihren Richtlinien ab. Manchmal kann das Löschen oder Einschränken von Ausnahmen – insbesondere weit gefasster – dazu führen, dass die Regeln wieder greifen. Achten Sie jedoch darauf, keine kritischen Prozesse wie wscript.exe oder rundll32.exe auszuschließen.
Nach der Bereinigung sollten die Richtlinien erneut angewendet werden, um zu prüfen, ob sich etwas ändert. Ein Versuch ist es wert, insbesondere da weitreichende Ausschlussklauseln den Sinn der ASR-Regeln im Grunde untergraben.
Überprüfen Sie, ob der Cloud-basierte Schutz aktiviert ist.
Viele moderne ASR-Regeln sind für schnelle Erkennungen auf einen Cloud-basierten Dienst angewiesen – in diesem Fall Microsoft MAPS (Microsoft Active Protection Service).Ist dieser Dienst nicht aktiviert, werden die Regeln mitunter nicht ausgelöst oder reagieren nur verzögert, was zu Verwirrung darüber führen kann, ob sie funktionieren. Dies gilt insbesondere für Regeln, die auf Echtzeit-Ergebnissen aus der Cloud basieren.
Überprüfen Sie dies über die Windows-Sicherheits-App:
- Gehen Sie zu Viren- und Bedrohungsschutz > Einstellungen für Viren- und Bedrohungsschutz > Einstellungen verwalten
- Stellen Sie sicher, dass Cloudbasierter Schutz und Automatische Probenübermittlung aktiviert sind.
Stellen Sie in Ihrer Verwaltungskonsole (z. B.Intune oder Gruppenrichtlinienobjekt) sicher, dass Richtlinien den Cloudschutz nicht deaktivieren. Manchmal wird eine Option oder Einstellung versehentlich deaktiviert – wahrscheinlich, weil ein Systemadministrator versucht hat, Leistungsprobleme oder Fehlalarme zu beheben. Ohne Cloudverbindung verlieren ASR-Regeln jedoch einen Großteil ihrer Wirksamkeit.
Neustart und Überprüfung der Dienststatus
Ein Neustart klingt zwar selbstverständlich, ist aber manchmal die Lösung. Nach der Anwendung neuer Richtlinien benötigen einige Dienste einen Neustart, um die neuen Konfigurationen zu laden.Öffnen Sie services.msc und überprüfen Sie, ob der Microsoft Defender Antivirus-Dienst ausgeführt wird und auf Automatisch eingestellt ist. Wenn er beendet oder deaktiviert ist, werden die Regeln nicht angewendet – und das kann die Ursache sein.
Führen Sie nach dem Neustart einen kurzen Test durch: Können die Regeln ausgelöst werden? Führen Sie beispielsweise eine bekannte Testdatei aus oder versuchen Sie, ein Skript zu starten, das eine bestimmte ASR-Regel auslösen soll (z. B.die Regel „Ausführbare Inhalte in E-Mails und Webmail blockieren“).Falls dies nicht funktioniert, überprüfen Sie den Status von Defender und des Sicherheitscenters. Manchmal löst es das Problem bereits, wenn die Dienste ordnungsgemäß initialisiert werden.
Spezialtipp: Beheben Sie die Blockierung des USB-Druckers/Geräts.
Wenn Sie versuchen, einen bestimmten Drucker oder ein USB-Gerät auf die Whitelist zu setzen, die ASR-Regeln es aber weiterhin blockieren, liegt das wahrscheinlich an der speziellen Regel „Nicht vertrauenswürdige und unsignierte Prozesse von USB blockieren“.Diese Regel ignoriert allgemeine Ausnahmen und prüft die Gerätequelle selbst, nicht nur den Dateipfad. Daher reicht es möglicherweise nicht aus, einen Ordner oder Prozess zu den Ausnahmen hinzuzufügen.
Stattdessen müssen Sie präzise Pfade oder Registrierungseinträge direkt in Ihre ASR-Richtlinie einfügen – entweder über Intune oder Gruppenrichtlinien – und diese auf das jeweilige Gerät oder die jeweilige App abzielen. Beachten Sie, dass die Änderung dieser Regeln den Schutz verringert, wenn sie nicht sorgfältig durchgeführt wird. Prüfen Sie daher genau, welche Dateipfade oder Hashwerte zulässig sind.
Und übrigens, es lohnt sich, das zuerst auf einem Rechner zu testen, denn diese Regel kann *nervig* sein – manchmal blockiert sie sogar legitime Inhalte, selbst nach den Ausnahmen.
Letztendlich geht es bei der Behebung von ASR-Regelproblemen oft darum, mehrere Ebenen von Richtlinien, Ausnahmen und Diensten aufzulösen und dem System manchmal einen Neustart zu ermöglichen. Denn natürlich muss Windows die Dinge unnötig verkomplizieren.