Oversigt over udeladelser
Microsoft Defender for Endpoint og Defender til virksomheder omfatter en lang række funktioner til at forhindre, registrere, undersøge og reagere på avancerede cybertrusler. Microsoft forudkonfigurer produktet, så det fungerer godt på det operativsystem, det er installeret på. Der bør ikke være behov for andre ændringer. På trods af forudkonfigurerede indstillinger kan der nogle gange opstå uventede funktionsmåder. Her er nogle eksempler:
- Falske positiver: Filer, mapper eller processer, der faktisk ikke er en trussel, kan registreres som skadelige af Defender for Endpoint eller Microsoft Defender Antivirus. Disse enheder kan blokeres eller sendes i karantæne, selvom de ikke er en trussel.
- Problemer med ydeevnen: Systemer oplever en uventet påvirkning af ydeevnen, når de kører med Defender for Endpoint
- Problemer med programkompatibilitet: Programmer oplever en uventet funktionsmåde, når de kører med Defender for Endpoint
Oprettelse af en udeladelse er en mulig metode til at løse disse typer problemer. Men ofte er der andre trin, du kan tage. Ud over at give et overblik over indikatorer og udeladelser indeholder denne artikel alternativer til oprettelse af udelukkelser og tilladelsesindikatorer.
Bemærk!
Oprettelse af en indikator eller en udeladelse bør kun overvejes, når du har grundigt forstået den egentlige årsag til den uventede funktionsmåde.
Eksempler på problemer og trin, du skal overveje
| Eksempelscenarie | Trin, du skal overveje |
|---|---|
| Falsk positiv: En enhed, f.eks. en fil eller en proces, blev registreret og identificeret som skadelig, selvom enheden ikke er en trussel. | 1. Gennemse og klassificer beskeder , der er genereret som følge af den registrerede enhed. 2. Ignorer en besked for en kendt enhed. 3. Gennemse afhjælpningshandlinger , der er udført for den registrerede enhed. 4. Send falsk positiv til Microsoft til analyse. 5. Definer en indikator eller en udeladelse for enheden (kun hvis det er nødvendigt). |
|
Problemer med ydeevnen , f.eks. et af følgende problemer: – Et system har et højt CPU-forbrug eller andre problemer med ydeevnen. - Et system har problemer med hukommelsesfejl. - En app er langsom at indlæse på enheder. – En app er langsom til at åbne en fil på enheder. |
1. Indsaml diagnosticeringsdata for Microsoft Defender Antivirus. 2. Hvis du bruger en antivirusløsning, der ikke er fra Microsoft, skal du kontakte forhandleren for at få oplysninger om kendte problemer med antivirusprodukter. 3. Gennemse ydelseslogge (se Foretag fejlfinding af problemer med ydeevnen Microsoft Defender Antivirus med WPRUI) for at fastslå den anslåede påvirkning af ydeevnen. Hvis du vil have mere at vide om ydeevnespecifikke problemer, der er relateret til Microsoft Defender Antivirus, skal du bruge Effektivitetsanalyse til Microsoft Defender Antivirus. 4. Definer en udeladelse for Microsoft Defender Antivirus (hvis det er nødvendigt). 5. Opret en indikator for Defender for Endpoint (kun hvis det er nødvendigt). |
|
Kompatibilitetsproblemer med antivirusprodukter, der ikke er fra Microsoft. Eksempel: Defender for Endpoint er afhængig af sikkerhedsintelligensopdateringer til enheder, uanset om de kører Microsoft Defender Antivirus eller en antivirusløsning, der ikke er fra Microsoft. |
1. Hvis du bruger et antivirusprogram, der ikke er fra Microsoft, som din primære antivirus-/antimalwareløsning, skal du angive Microsoft Defender Antivirus til passiv tilstand. 2. Hvis du skifter fra en ikke-Microsoft-antivirus-/antimalwareløsning til Defender for Endpoint, skal du se Skift til Defender for Endpoint. Denne vejledning omfatter: - Udeladelser, som du muligvis skal definere for den ikke-Microsoft-antivirus-/antimalwareløsning. - Udeladelser, som du muligvis skal definere for Microsoft Defender Antivirus, og - Fejlfindingsoplysninger (bare i tilfælde af, at noget går galt under migrering). |
| Kompatibilitet med programmer. Eksempel: Programmer går ned eller oplever uventede funktionsmåder, når en enhed er onboardet til Microsoft Defender for Endpoint. |
Se Adresse uønskede funktionsmåder i Microsoft Defender for Endpoint med udelukkelser, indikatorer og andre teknikker. |
Alternativer til oprettelse af udeladelser og tillade indikatorer
Oprettelse af en udeladelses- eller en tilladelsesindikator opretter et beskyttelsesgab. Disse teknikker bør kun bruges, når du har fundet den egentlige årsag til problemet. Indtil denne bestemmelse er truffet, skal du overveje disse alternativer:
- Send en fil til Microsoft til analyse
- Skjul en besked
Indsendelse af filer til analyse
Hvis du har en fil, som du mener er fejlagtigt registreret som malware (et falsk positivt), eller en fil, som du har mistanke om, kan være malware, selvom den ikke blev registreret (en falsk negativ), kan du sende filen til Microsoft til analyse. Din indsendelse scannes med det samme og gennemgås derefter af Microsofts sikkerhedsanalytikere. Du kan kontrollere status for din indsendelse på siden med indsendelseshistorikken.
Indsendelse af filer til analyse hjælper med at reducere falske positiver og falske negativer for alle kunder. Du kan få mere at vide i følgende artikler:
- Send filer til analyse (tilgængelige for alle kunder)
- Indsend filer ved hjælp af den nye portal til samlede indsendelser i Defender for Endpoint (tilgængelig for kunder, der har Defender for Endpoint Plan 2 eller Microsoft Defender XDR)
Undertrykkelse af beskeder
Hvis du får beskeder på Microsoft Defender-portalen for værktøjer eller processer, som du ved ikke er en trussel, kan du undertrykke disse beskeder. Hvis du vil undertrykke en besked, skal du oprette en regel for undertrykkelse og angive, hvilke handlinger der skal udføres for den, på andre identiske beskeder. Du kan oprette undertrykkelsesregler for en bestemt besked på en enkelt enhed eller for alle beskeder, der har samme titel på tværs af organisationen.
Du kan få mere at vide i følgende artikler:
- Skjul beskeder
- Tech Community-blog: Introduktion til den nye oplevelse af undertrykkelse af advarsler (for Defender for Endpoint)
Typer af udeladelser
Der er flere forskellige typer undtagelser, der skal overvejes. Nogle typer udeladelser påvirker flere funktioner i Defender for Endpoint, mens andre typer er specifikke for Microsoft Defender Antivirus.
- Brugerdefinerede udeladelser: Dette er undtagelser, som du definerer for bestemte use cases eller scenarier og for visse operativsystemer, f.eks . Mac, Linux og Windows.
- Forudkonfigurerede antivirusudeladelser: Dette er undtagelser, som du ikke behøver at definere, f.eks . automatiske serverrolleudeladelser og indbyggede antivirusudeladelser. Selvom du ikke behøver at definere disse, er det nyttigt at vide, hvad de er, og hvordan de fungerer.
- Udeladelser af angrebsoverfladen: Dette er undtagelser for at forhindre, at funktioner til reduktion af angrebsoverfladen blokerer legitime programmer, som din organisation kan bruge.
- Udeladelser i automatiseringsmapper: Dette er undtagelser, som du definerer for at forhindre, at automatiserede undersøgelses- og afhjælpningsfunktioner anvendes på bestemte filer eller mapper.
- Kontrollerede mappeadgangsudeladelser: Dette er undtagelser for at give visse apps eller eksekverbare filer adgang til beskyttede mapper.
- Brugerdefinerede afhjælpningshandlinger: Dette er handlinger, som du angiver for Microsoft Defender Antivirus, når visse typer registreringer.
Du kan få mere at vide om indikatorer under Oversigt over indikatorer i Microsoft Defender for Endpoint.
Brugerdefinerede udeladelser
Microsoft Defender for Endpoint giver dig mulighed for at konfigurere brugerdefinerede udeladelser for at optimere ydeevnen og undgå falske positiver. De typer undtagelser, du kan angive, varierer efter Defender for Endpoint-funktioner og efter operativsystemer.
I følgende tabel opsummeres typer af brugerdefinerede udeladelser, som du kan definere. Bemærk omfanget for hver udeladelsestype.
| Udeladelsestyper | Omfanget | Use cases |
|---|---|---|
| Brugerdefineret defender for slutpunktudeladelser | Antivirus Regler for reduktion af angrebsoverflade Defender for Endpoint Netværksbeskyttelse |
En fil, mappe eller proces identificeres som skadelig, selvom det ikke er en trussel. Et program støder på et uventet problem med ydeevne eller programkompatibilitet, når der køres med Defender for Endpoint |
| Undtagelser for overfladereduktion af slutpunktsangreb ved hjælp af Defender for Endpoint | Regler for reduktion af angrebsoverflade | En regel for reduktion af angrebsoverfladen forårsager uventet funktionsmåde. |
| Undtagelser for automation-mapper i Defender for Endpoint | Automatiseret undersøgelse og svar | Automatiseret undersøgelse og afhjælpning udfører handlinger på en fil, et filtypenavn eller en mappe, der skal udføres manuelt. |
| Defender for Endpoint-styrede mappeadgangsudeladelser | Styret mappeadgang | Adgang til en kontrolleret mappe blokerer et program fra at få adgang til en beskyttet mappe. |
| Defender for Endpoint File and Certificate Allow Indicators | Antivirus Regler for reduktion af angrebsoverflade Styret mappeadgang |
En fil eller proces, der er signeret af et certifikat, identificeres som skadelig, selvom den ikke er. |
| Defender for Endpoint Domain/URL og IP Address Indicators | Netværksbeskyttelse SmartScreen Filtrering af webindhold |
SmartScreen rapporterer en falsk positiv. Du vil tilsidesætte en blokering for filtrering af webindhold på et bestemt websted. |
Bemærk!
Netværksbeskyttelse påvirkes direkte af procesudeladelser på alle platforme. En procesudeladelse på et operativsystem (Windows, MacOS, Linux) resulterer i, at Netværksbeskyttelse forhindres i at inspicere trafik eller gennemtvinge regler for den pågældende specifikke proces.
Undtagelser på Mac
I forbindelse med macOS kan du definere undtagelser, der gælder for on-demand-scanninger, beskyttelse i realtid og overvågning. De understøttede udeladelsestyper omfatter:
- Filtypenavn: Udelad alle filer med et bestemt filtypenavn.
- Fil: Udelad en bestemt fil, der er identificeret af den fulde sti.
- Mappe: Udelad alle filer under en angivet mappe rekursivt.
- Proces: Udelad en bestemt proces og alle filer, der er åbnet af den.
Du kan få flere oplysninger under Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på macOS.
Undtagelser på Linux
På Linux kan du konfigurere både antivirus og globale undtagelser.
- Antivirusudeladelser: Anvend på on-demand-scanninger, RTP (real-time protection) og BM (behavior monitoring).
- Globale udeladelser: Anvend på realtidsbeskyttelse (RTP), overvågning af funktionsmåde (BM) og EDR (endpoint detection and response), stop alle tilknyttede antivirusregistreringer og EDR-beskeder.
Du kan finde flere oplysninger under Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på Linux.
Undtagelser i Windows
Microsoft Defender Antivirus kan konfigureres til at udelade kombinationer af processer, filer og udvidelser fra planlagte scanninger, efter behovsscanninger og beskyttelse i realtid. Se Konfigurer brugerdefinerede udeladelser for Microsoft Defender Antivirus.
Hvis du vil have mere detaljeret kontrol, der hjælper med at minimere huller i beskyttelsen, kan du overveje at bruge kontekstafhængige fil- og procesudeladelser.
Forudkonfigurerede udelukkelser fra antivirus
Disse udeladelsestyper er forudkonfigureret i Microsoft Defender for Endpoint til Microsoft Defender Antivirus.
| Udeladelsestyper | Konfiguration | Beskrivelse |
|---|---|---|
| Automatiske Microsoft Defender Antivirus-udeladelser | Automatisk | Automatiske udeladelser for serverroller og funktioner i Windows Server. Når du installerer en rolle på Windows Server 2016 eller nyere, indeholder Microsoft Defender Antivirus automatiske udeladelser for serverrollen og eventuelle filer, der tilføjes under installationen af rollen. Disse udeladelser gælder kun for aktive roller på Windows Server 2016 og nyere. |
| Indbyggede Microsoft Defender Antivirus-undtagelser | Automatisk | Microsoft Defender Antivirus indeholder indbyggede undtagelser for operativsystemfiler på alle versioner af Windows. |
Automatiske udeladelser af serverroller
Automatiske udeladelser af serverroller omfatter udeladelser for serverroller og funktioner i Windows Server 2016 og nyere. Disse undtagelser scannes ikke af beskyttelse i realtid , men er stadig underlagt hurtig, fuld eller on-demand-antivirusscanninger.
Eksempler omfatter:
- Filreplikeringstjeneste (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS-server
- Udskriftsserver
- Webserver
- Windows Server Update Services
- ... og meget mere.
Bemærk!
Automatiske udeladelser for serverroller understøttes ikke på Windows Server 2012 R2. For servere, der kører Windows Server 2012 R2 med serverrollen Active Directory-domæneservices (AD DS) installeret, skal udeladelser for domænecontrollere angives manuelt. Se Active Directory-udeladelser.
Du kan få flere oplysninger under Automatiske udeladelser af serverroller.
Indbyggede antivirusudeladelser
Indbyggede antivirusudeladelser omfatter visse operativsystemfiler, der er udelukket af Microsoft Defender Antivirus på alle versioner af Windows (herunder Windows 10, Windows 11 og Windows Server).
Eksempler omfatter:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update filer
- Windows Sikkerhed filer
- ... og meget mere.
Listen over indbyggede undtagelser i Windows holdes opdateret, efterhånden som trusselslandskabet ændres. Hvis du vil vide mere om disse undtagelser, skal du se Microsoft Defender Antivirus-udeladelser på Windows Server: Indbyggede undtagelser.
Udeladelser fra angrebsoverfladen
Regler for reduktion af angrebsoverfladen (også kendt som ASR-regler) er rettet mod visse softwarefunktioner, f.eks.:
- Start af eksekverbare filer og scripts, der forsøger at downloade eller køre filer
- Kørsel af scripts, der synes at være tilsløret eller på anden måde mistænkelig
- Udførelse af funktionsmåder, som apps normalt ikke initierer under normalt dag-til-dag-arbejde
Nogle gange udviser legitime programmer softwarefunktioner, der kan blokeres af regler for reduktion af angrebsoverfladen. Hvis det sker i din organisation, kan du definere undtagelser for visse filer og mapper. Sådanne undtagelser anvendes på alle regler for reduktion af angrebsoverfladen. Se Aktivér regler for reduktion af angrebsoverflade.
Bemærk!
Regler for reduktion af angrebsoverfladen ærer procesudeladelser, men ikke alle regler for reduktion af angrebsoverfladen ærer Microsoft Defender Antivirus-udelukkelser. Se Reference til regler for reduktion af angrebsoverfladen – Microsoft Defender Antivirus-undtagelser og ASR-regler.
Udeladelser i Automation-mapper
Udeladelser i automatiseringsmapper gælder for automatiseret undersøgelse og afhjælpning i Defender for Endpoint, som er designet til at undersøge beskeder og straks træffe foranstaltninger til at løse registrerede brud. Når beskeder udløses, og der køres en automatisk undersøgelse, nås der en dom (Ondsindet, Mistænkelig eller Ingen trusler) for hvert bevis, der undersøges. Afhængigt af automatiseringsniveauet og andre sikkerhedsindstillinger kan afhjælpningshandlinger forekomme automatisk eller kun efter godkendelse af dit team for sikkerhedshandlinger.
Du kan angive mapper, filtypenavne i en bestemt mappe og filnavne, der skal udelades fra automatiserede undersøgelses- og afhjælpningsfunktioner. Sådanne udeladelser af automatiseringsmapper gælder for alle enheder, der er onboardet til Defender for Endpoint. Disse undtagelser er stadig underlagt antivirusscanninger.
Du kan få flere oplysninger under Administrer udeladelser i automatiseringsmapper.
Undtagelser for kontrolleret mappeadgang
Adgang til kontrollerede mapper overvåger apps til aktiviteter, der registreres som skadelige, og beskytter indholdet af visse (beskyttede) mapper på Windows-enheder. Kontrolleret mappeadgang giver kun apps, der er tillid til, adgang til beskyttede mapper, f.eks. almindelige systemmapper (herunder startsektorer) og andre mapper, du angiver. Du kan give visse apps eller signerede eksekverbare filer adgang til beskyttede mapper ved at definere udeladelser.
Du kan få flere oplysninger under Tilpas kontrolleret mappeadgang.
Brugerdefinerede afhjælpningshandlinger
Når Microsoft Defender Antivirus registrerer en potentiel trussel under kørsel af en scanning, forsøger den at afhjælpe eller fjerne den registrerede trussel. Du kan definere brugerdefinerede afhjælpningshandlinger for at konfigurere, hvordan Microsoft Defender Antivirus skal håndtere visse trusler, om der skal oprettes et gendannelsespunkt, før der afhjælpes, og hvornår trusler skal fjernes.
Du kan få flere oplysninger under Konfigurer afhjælpningshandlinger for Microsoft Defender Antivirus-registreringer.
Sådan evalueres udeladelser og indikatorer
De fleste organisationer har flere forskellige typer undtagelser og indikatorer til at bestemme, om brugerne skal have adgang til og bruge en fil eller proces. Udeladelser og indikatorer behandles i en bestemt rækkefølge, så politikkonflikter håndteres systematisk.
Sådan fungerer det:
Hvis en registreret fil/proces ikke er tilladt af Windows Defender Application Control og AppLocker, blokeres den. Ellers fortsætter den til Microsoft Defender Antivirus.
Hvis den registrerede fil/proces ikke er en del af en udeladelse for Microsoft Defender Antivirus, blokeres den. Ellers kontrollerer Defender for Endpoint en brugerdefineret indikator for filen/processen.
Hvis den registrerede fil/proces har en blok- eller advarselsindikator, udføres denne handling. Ellers er filen/processen tilladt og fortsætter til evaluering ved hjælp af regler for reduktion af angrebsoverfladen, kontrolleret mappeadgang og SmartScreen-beskyttelse.
Hvis den registrerede fil/proces ikke blokeres af regler for reduktion af angrebsoverfladen, kontrolleret mappeadgang eller SmartScreen-beskyttelse, fortsætter den til Microsoft Defender Antivirus.
Hvis den registrerede fil/proces ikke er tilladt af Microsoft Defender Antivirus, kontrolleres det for en handling baseret på dens trussels-id.
Sådan håndteres politikkonflikter
I tilfælde, hvor der er konflikt mellem Defender for Endpoint-indikatorer, kan du forvente følgende:
Hvis der er modstridende filindikatorer, anvendes den indikator, der bruger den mest sikre hash. SHA256 har f.eks. forrang over SHA-1, som har forrang over MD5.
Hvis der er modstridende URL-indikatorer, bruges den strengere indikator. For Microsoft Defender SmartScreen anvendes en indikator, der bruger den længste URL-sti. Har f.eks
www.dom.ain/admin/. forrang fremwww.dom.ainfor . Netværksbeskyttelse gælder for domæner i stedet for undersider i et domæne.Hvis der er lignende indikatorer for en fil eller proces, der har forskellige handlinger, har indikatoren, der er begrænset til en bestemt enhedsgruppe, forrang over en indikator, der er målrettet alle enheder.
Sådan fungerer automatiseret undersøgelse og afhjælpning sammen med indikatorer
Automatiserede undersøgelses- og afhjælpningsfunktioner i Defender for Endpoint bestemmer først en dom for hvert bevis og foretager derefter en handling, der afhænger af Defender for Endpoint-indikatorer. En fil/proces kan således få en dom over "god" (hvilket betyder, at der ikke blev fundet nogen trusler) og stadig blokeres, hvis der er en indikator med denne handling. På samme måde kan en enhed få en dom over "dårlig" (hvilket betyder, at den er bestemt til at være ondsindet) og stadig være tilladt, hvis der er en indikator med denne handling.
Du kan få flere oplysninger under Automatiseret undersøgelse, afhjælpning og indikatorer.
Andre serverarbejdsbelastninger og udeladelser
Hvis din organisation bruger andre serverarbejdsbelastninger, f.eks. Exchange Server, SharePoint Server eller SQL Server, skal du være opmærksom på, at kun indbyggede serverroller (som kan være forudsætninger for software, du installerer senere) på Windows Server udelades af funktionen automatiske udeladelser af serverroller (og kun, når de bruger deres standardinstallationsplacering). Du skal sandsynligvis definere antivirusudeladelser for disse andre arbejdsbelastninger eller for alle arbejdsbelastninger, hvis du deaktiverer automatiske undtagelser.
Her er nogle eksempler på teknisk dokumentation til at identificere og implementere de undtagelser, du har brug for:
- Kørsel af antivirussoftware på Exchange Server
- Mapper, der skal udelades fra antivirusscanninger på SharePoint Server
- Valg af antivirussoftware til SQL Server
Afhængigt af hvad du bruger, skal du muligvis se dokumentationen for den pågældende serverarbejdsbelastning.
Se også
- Adresser almindelige falsk-positive scenarier med udeladelser
- Konfigurer udeladelser for Microsoft Defender Antivirus
- Almindelige fejl, der skal undgås, når du definerer udeladelser
- Oversigt over indikatorer i Microsoft Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.