Poissulkemisten yleiskatsaus
Microsoft Defender for Endpoint ja Defender for Business sisältävät laajan valikoiman ominaisuuksia kehittyneiden kyberuhkia ehkäisevien, tunnistavien, tutkivien ja niihin reagoivien valmiuksien avulla. Microsoft määrittää tuotteen toimimaan hyvin asennetussa käyttöjärjestelmässä. Muita muutoksia ei tarvitse tehdä. Ennalta määritetyistä asetuksista huolimatta ilmenee joskus odottamattomia toimintoja. Seuraavassa on joitakin esimerkkejä:
- False-positiiviset: Defender for Endpoint tai Microsoft Defender Antivirus voivat havaita tiedostot, kansiot tai prosessit, jotka eivät ole uhka. Nämä entiteetit voidaan estää tai lähettää karanteeniin, vaikka ne eivät olisikaan uhka.
- Suorituskykyongelmat: Järjestelmillä on odottamaton suorituskykyvaikutus käytettäessä Defender for Endpointia
- Sovelluksen yhteensopivuusongelmat: sovelluksissa ilmenee odottamatonta toimintaa käytettäessä Defender for Endpointia
Poissulkemisen luominen on yksi mahdollinen tapa ratkaista tällaisia ongelmia. Voit kuitenkin tehdä usein muitakin toimia. Tämä artikkeli sisältää yleiskatsauksen ilmaisimista ja eriltymistä sekä vaihtoehtoja poissulkemisten luomiseen ja indikaattoreiden sallimiseen.
Huomautus
Ilmaisimen tai poissulkemisen luominen tulee ottaa huomioon vasta sen jälkeen, kun olet ymmärtänyt täysin odottamattoman toiminnan perimmäisen syyn.
Esimerkkejä huomioon otettavat ongelmat ja vaiheet
| Esimerkkiskenaario | Huomioon otettavat vaiheet |
|---|---|
| Epätosi-positiivinen: Entiteetti, kuten tiedosto tai prosessi, havaittiin ja tunnistettiin haitalliseksi, vaikka entiteetti ei ole uhka. | 1. Tarkista ja luokittele hälytykset , jotka on luotu havaitun entiteetin tuloksena. 2. Piilota tunnetun entiteetin ilmoitus. 3. Tarkista tunnistettuun entiteettiin tehdyt korjaustoiminnot . 4. Lähetä false-positiivinen Microsoftille analyysia varten. 5. Määritä ilmaisin tai poissulkeminen entiteetille (vain tarvittaessa). |
|
Suorituskykyongelmia , kuten jokin seuraavista ongelmista: - Järjestelmässä on suuri suoritinkäyttö tai muita suorituskykyongelmia. - Järjestelmässä on muistivuoto-ongelmia. - Sovelluksen lataaminen laitteisiin on hidasta. - Sovelluksen tiedoston avaaminen laitteissa on hidasta. |
1. Kerää Microsoft Defender virustentorjuntaohjelman diagnostiikkatietoja. 2. Jos käytät muuta kuin Microsoftin virustentorjuntaratkaisua, tarkista toimittajalta, onko virustentorjuntatuotteissa tunnettuja ongelmia. 3. Analysoi Microsoftin suojausloki nähdäksesi arvioidun suorituskyvyn vaikutuksen. Jos haluat Microsoft Defender virustentorjuntaan liittyviä suorituskykykohtaisia ongelmia, käytä Microsoft Defender virustentorjuntaohjelman Performance Analyzeria. 4. Määritä Microsoft Defender virustentorjuntaohjelmalle poikkeus (tarvittaessa). 5. Luo ilmaisin Defender for Endpointille (vain tarvittaessa). |
|
Yhteensopivuusongelmia muiden kuin Microsoftin virustentorjuntatuotteiden kanssa. Esimerkki: Defender for Endpoint on riippuvainen laitteiden suojaustietojen päivityksistä riippumatta siitä, onko käytössä Microsoft Defender virustentorjuntaohjelma vai muu kuin Microsoftin virustentorjuntaratkaisu. |
1. Jos käytät virustentorjuntaohjelmana muuta kuin Microsoftin virustentorjuntaohjelmaa, aseta Microsoft Defender virustentorjunta passiivitilaan. 2. Jos olet vaihtamassa ei-Microsoftin virustentorjunta-/haittaohjelmistontorjuntaratkaisusta Defender for Endpointiin, katso Kohta Siirtyminen Defender for Endpointiin. Näitä ohjeita ovat seuraavat: - Poissulkemiset, jotka sinun on ehkä määritettävä muille kuin Microsoftin virustentorjunta- tai haittaohjelmien torjuntaratkaisuille. - Poissulkemiset, jotka sinun on ehkä määritettävä virustentorjuntaa Microsoft Defender varten, ja - Vianmääritystiedot (siltä varalta, että jokin menee vikaan siirrettäessä). |
| Yhteensopivuus sovellusten kanssa. Esimerkki: Sovellukset kaatuvat tai ovat odottamattomassa toiminnassa sen jälkeen, kun laite on otettu Microsoft Defender for Endpoint. |
Katso Ei-toivottujen käyttäytymisten käsitteleminen Microsoft Defender for Endpoint poissulkemisten, ilmaisimien ja muiden tekniikoiden avulla. |
Vaihtoehtoja poissulkemisten ja sallittujen indikaattorien luonnille
Poissulkemisen tai sallitun ilmaisimen luominen luo suojausvajeen. Näitä tekniikoita tulee käyttää vasta ongelman perimmäisen syyn määrittämisen jälkeen. Ennen kuin tämä päätös on tehty, harkitse seuraavia vaihtoehtoja:
- Lähetä tiedosto Microsoftille analyysia varten
- Piilota ilmoitus
Tiedostojen lähettäminen analyysia varten
Jos sinulla on tiedosto, joka on mielestäsi virheellisesti havaittu haittaohjelmaksi (väärä positiivinen) tai tiedosto, jonka epäilet olevan haittaohjelma, vaikka sitä ei olisi havaittu (väärä negatiivinen), voit lähettää tiedoston Microsoftille analyysia varten. Lähetyksesi tarkistetaan välittömästi, ja Microsoftin tietoturva-analyytikot tarkistavat sen. Voit tarkistaa lähetyksesi tilan lähetyshistoriasivulla.
Tiedostojen lähettäminen analyysia varten auttaa vähentämään false-positiivisia ja false-negatiivisia arvoja kaikille asiakkaille. Lisätietoja on seuraavissa artikkeleissa:
- Lähetä tiedostot analyysia varten (kaikkien asiakkaiden käytettävissä)
- Lähetä tiedostoja Defender for Endpointin uuden yhdistetyn lähetysportaalin avulla (saatavilla asiakkaille, joilla on Defender for Endpoint -palvelupaketti 2 tai Microsoft Defender XDR)
Ilmoitusten estäminen
Jos saat Microsoft Defender portaalissa ilmoituksia työkaluista tai prosesseista, joiden tiedät olevan uhka, voit estää ilmoitukset. Jos haluat estää ilmoituksen näyttämisen, luo piilotussääntö ja määritä, mitä toimintoja sille suoritetaan muissa identtisissä ilmoituksista. Voit luoda piilotussääntöjä tietylle ilmoituksille yhdessä laitteessa tai kaikille ilmoituksille, joilla on sama otsikko koko organisaatiossasi.
Lisätietoja on seuraavissa artikkeleissa:
- Piilota ilmoitukset
- Tech Community -blogi: Esittelyssä uusi ilmoitusten estokokemus (Defender for Endpointille)
Poissulkemisten tyypit
On otettava huomioon useita erilaisia poissulkemisia. Jotkin poissulkemiset vaikuttavat useisiin Defender for Endpointin ominaisuuksiin, kun taas muut tyypit koskevat Microsoft Defender virustentorjuntaa.
- Mukautetut poikkeukset: Nämä ovat poissulkemisia, jotka määrität tiettyjä käyttötapauksia tai skenaarioita sekä tiettyjä käyttöjärjestelmiä, kuten Mac, Linux ja Windows, varten.
- Ennalta määritetyt virustentorjuntaan liittyvät poikkeukset: Nämä ovat poissulkemisia, joita sinun ei tarvitse määrittää, kuten automaattiset palvelinroolipoikkeukset ja sisäiset virustentorjuntapoikkeukset. Vaikka sinun ei tarvitse määritellä näitä, on hyödyllistä tietää, mitä ne ovat ja miten ne toimivat.
- Hyökkäyksen pinnan vähentämisen poikkeukset: Nämä ovat poissulkevia, jotta hyökkäyspinnan vähentämistoiminnot eivät estä organisaatiosi ehkä käyttämiä laillisia sovelluksia.
- Automaatiokansiopoikkeukset: Nämä ovat poissulkemisia, jotka määrität, jotta automaattisia tutkimus- ja korjaustoimintoja ei sovelleta tiettyihin tiedostoihin tai kansioihin.
- Ohjatun kansion käytön poissulkemiset: Nämä ovat poissulkevia, jotta tietyt sovellukset tai suoritettavat tiedostot voivat käyttää suojattuja kansioita.
- Mukautetut korjaustoiminnot: Nämä ovat toimintoja, jotka määrität virustentorjunta-Microsoft Defender tietyntyyppisille tunnistuksille.
Lisätietoja ilmaisimista on kohdassa Yleiskatsaus Microsoft Defender for Endpoint ilmaisimista.
Mukautetut poikkeukset
Microsoft Defender for Endpoint avulla voit määrittää mukautettuja poissulkemisia suorituskyvyn optimoimiseksi ja false-positiivisten välttämiseksi. Määrittämäsi poissulkemistyypit vaihtelevat Defenderin päätepisteen ominaisuuksien ja käyttöjärjestelmien mukaan.
Seuraavassa taulukossa on yhteenveto mukautettujen poissulkemisten tyypeistä, jotka voit määrittää. Huomaa kunkin poissulkemistyypin laajuus.
| Poissulkemistyypit | Laajuus | Käyttötapaukset |
|---|---|---|
| Mukautettu defender päätepisteen poissulkemisille | Virustorjunta Hyökkäyspinta-alan rajoittamissäännöt Defender for Endpoint Verkon suojaus |
Tiedosto, kansio tai prosessi tunnistetaan haitalliseksi, vaikka se ei olisikaan uhka. Sovellus kohtaa odottamattoman suorituskykyongelman tai sovelluksen yhteensopivuusongelman käytettäessä Defender for Endpointia |
| Defender for Endpoint attack surface reduction exclusions | Hyökkäyspinta-alan rajoittamissäännöt | Hyökkäyspinnan pienentämissääntö aiheuttaa odottamatonta toimintaa. |
| Defender for Endpoint Automation Folder exclusions | Automatisoitu tutkimus ja reagointi | Automatisoitu tutkimus ja korjaus ryhtyvät toimiin tiedostolle, tiedostotunnistelle tai hakemistolle, joka tulee tehdä manuaalisesti. |
| Defender for Endpointin ohjaaman kansion käytön poikkeukset | Hallittu kansion käyttö | Valvotun kansion käyttö estää sovellusta käyttämästä suojattua kansiota. |
| Defender for Endpoint File and Certificate Allow Indicators | Virustorjunta Hyökkäyspinta-alan rajoittamissäännöt Hallittu kansion käyttö |
Varmenteen allekirjoittama tiedosto tai prosessi tunnistetaan haitallisiksi, vaikka se ei olisikaan. |
| Defender for Endpoint Domain/URL ja IP-osoiteilmaisimet | Verkon suojaus SmartScreen Verkkosisällön suodatus |
SmartScreen raportoi positiivisen epätosi-arvon. Haluat ohittaa verkkosisällön suodatuslohkon tietyssä sivustossa. |
Huomautus
Verkon suojaukseen vaikuttavat suoraan prosessien poikkeukset kaikissa ympäristöissä. Prosessipoikkeus mistä tahansa käyttöjärjestelmästä (Windows, MacOS, Linux) estää verkkosuojausta tarkistamasta liikennettä tai pakottamasta sääntöjä kyseiselle prosessille.
Poikkeukset Macissa
MacOS:ssä voit määrittää poikkeukset, jotka koskevat pyydettäessä suoritettavia skannauksia, reaaliaikaista suojausta ja valvontaa. Tuettuja poissulkemistyyppejä ovat seuraavat:
- Tiedostotunniste: Jätä pois kaikki tiedostot, joilla on tietty tunniste.
- Tiedosto: Jätä pois tietty tiedosto, jonka koko polku määrittää.
- Kansio: Jätä kaikki määritetyn kansion alla olevat tiedostot pois rekursiivisesti.
- Prosessi: Jätä pois tietty prosessi ja kaikki sen avaamat tiedostot.
Lisätietoja on ohjeaiheessa Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen macOS:ssä.
Poissulkemiset Linuxissa
Linuxissa voit määrittää sekä virustentorjunnan että yleiset poikkeukset.
- Virustentorjuntaan liittyvät poikkeukset: Käytä pyydettäessä suoritettavaan tarkistukseen, reaaliaikaiseen suojaukseen (RTP) ja toiminnan valvontaan (BM).
- Yleiset poikkeukset: Sovella reaaliaikaiseen suojaukseen (RTP), toiminnan valvontaan (BM) sekä päätepisteiden tunnistamiseen ja vastaukseen (EDR), mikä pysäyttää kaikki liittyvät virustentorjuntatunnistukset ja EDR-hälytykset.
Lisätietoja on ohjeaiheessa Linuxin Microsoft Defender for Endpointin poisjättöjen määrittäminen ja vahvistaminen.
Poikkeukset Windowsissa
Microsoft Defender virustentorjunta voidaan määrittää sulkemaan pois prosessien, tiedostojen ja laajennusten yhdistelmät ajoitetussa tarkistuksessa, pyydettäessä suoritettavissa tarkistuksissa ja reaaliaikaisessa suojauksessa. Katso Mukautettujen poikkeusten määrittäminen Microsoft Defender virustentorjuntaa varten.
Jos haluat enemmän hajautettua hallintaa, joka auttaa minimoimaan suojauspuutteita, harkitse tilannekohtaisten tiedosto- ja prosessipoikkeamien käyttöä.
Virustentorjunnan ennalta määritetyt poikkeukset
Nämä poissulkemistyypit on esimääritetty Microsoft Defender for Endpoint Microsoft Defender virustentorjuntaa varten.
| Poissulkemistyypit | Määritykset | Kuvaus |
|---|---|---|
| Automaattisen Microsoft Defender virustentorjunnan poikkeukset | Automaattinen | Windows Serverin palvelinroolien ja ominaisuuksien automaattiset poikkeukset. Kun asennat roolin Windows Server 2016:ssa tai uudemmassa, Microsoft Defender virustentorjunta sisältää palvelinroolin automaattiset poikkeukset ja tiedostot, jotka lisätään roolia asennettaessa. Nämä poikkeukset koskevat vain aktiivisia rooleja Windows Server 2016:ssa ja sitä uudemmissa versioissa. |
| Virustentorjuntaan Microsoft Defender sisältyvät poikkeukset | Automaattinen | Microsoft Defender virustentorjunta sisältää käyttöjärjestelmätiedostojen sisäiset poikkeukset kaikissa Windows-versioissa. |
Automaattisen palvelinroolin poikkeukset
Automaattiset palvelinroolipoikkeukset sisältävät palvelinroolien ja -ominaisuuksien poissulkemisia Windows Server 2016:ssa ja sitä uudemmissa versioissa. Näitä poissulkemisia ei tarkastetaan reaaliaikaisen suojauksen avulla, mutta ne tarkistetaan edelleen nopeasti, kokonaan tai tarvittaessa.
Esimerkkeinä:
- Tiedostojen replikointipalvelu (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS-palvelin
- Tulostuspalvelin
- WWW-palvelin
- Windows Server Update Services
- ... ja paljon muuta.
Huomautus
Palvelinroolien automaattisia poissulkemisia ei tueta Windows Server 2012 R2:ssa. Jos palvelimeen on asennettu Windows Server 2012 R2, johon on asennettu Active Directory -toimialueen palvelut (AD DS) -palvelinrooli, toimialueen ohjauskoneiden poikkeukset on määritettävä manuaalisesti. Katso Active Directoryn poikkeukset.
Lisätietoja on kohdassa Automaattisen palvelimen roolin poikkeukset.
Sisäänrakennetun virustentorjunnan poikkeukset
Sisäiset virustentorjuntaohjelman poikkeukset sisältävät tiettyjä käyttöjärjestelmätiedostoja, jotka Microsoft Defender virustentorjuntaohjelma jättää pois kaikissa Windows-versioissa (mukaan lukien Windows 10, Windows 11 ja Windows Server).
Esimerkkeinä:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update tiedostot
- Windowsin suojaus tiedostot
- ... ja paljon muuta.
Luettelo Windowsin sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa. Lisätietoja näistä poissulkemisista on artikkelissa Microsoft Defender virustentorjunnan poikkeukset Windows Serverissä: Sisäiset poikkeukset.
Hyökkäyksen pinnan vähentämisen poikkeukset
Hyökkäyksen pinnan pienentämissäännöt (tunnetaan myös nimellä ASR-säännöt) kohdistuvat tiettyihin ohjelmistoihin, kuten:
- Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
- Käynnissä komentosarjoja, jotka vaikuttavat hämärtyneiltä tai muuten epäilyttäviltä
- Toiminnot, joita sovellukset eivät yleensä aloita normaalin päivittäisen työn aikana
Joskus lailliset sovellukset osoittavat ohjelmistotoimintaa, joka voidaan estää hyökkäyspinnan vähentämissäännöillä. Jos tämä tapahtuu organisaatiossasi, voit määrittää poissulkemisia tietyille tiedostoille ja kansioille. Tällaisia poissulkemisia sovelletaan kaikkiin hyökkäyksen pintaan vähentämissääntöihin. Katso Hyökkäysalueen pienentämissääntöjen käyttöönotto.
Huomautus
Attack surface reduction rules honor process exclusions, but not all attack surface reduction rules honor Microsoft Defender Antivirus exclusions. Katso Hyökkäyspinnan pienentämissääntöjen viitetiedot – Microsoft Defender virustentorjunnan poikkeukset ja ASR-säännöt.
Automaatiokansion poikkeukset
Automaatiokansion poikkeukset koskevat automaattista tutkintaa ja korjausta Defender for Endpointissa, joka on suunniteltu tutkimaan hälytyksiä ja ryhtymään välittömiin toimiin havaittujen rikkomusten ratkaisemiseksi. Kun hälytyksiä käynnistetään ja automatisoitu tutkimus suoritetaan, jokaisesta tutkituista todisteista tehdään tuomio (Haitta, Epäilyttävä tai Ei uhkia). Automaatiotasosta ja muista suojausasetuksista riippuen korjaustoiminnot voidaan suorittaa automaattisesti tai vain suojaustoimintatiimin hyväksynnän jälkeen.
Voit määrittää tietyn hakemiston kansioita, tiedostotunnisteita ja tiedostonimiä, jotka jätetään pois automatisoiduista tutkimus- ja korjaustoiminnoista. Tällaiset automaatiokansion poikkeukset koskevat kaikkia laitteita, jotka on otettu käyttöön Defender for Endpointissa. Nämä poikkeukset ovat edelleen virustentorjuntatarkistusten alaisia.
Lisätietoja on kohdassa Automaatiokansion poissulkemisten hallinta.
Valvotun kansion käytön poikkeukset
Valvotun kansion käyttö valvoo sovelluksia toiminnoille, jotka havaitaan haitallisiksi, ja suojaa tiettyjen (suojattujen) kansioiden sisällön Windows-laitteissa. Valvotun kansion käyttö sallii vain luotettavien sovellusten käyttää suojattuja kansioita, kuten yleisiä järjestelmäkansioita (mukaan lukien käynnistyssektorit) ja muita määrittämiäsi kansioita. Voit sallia suojattujen kansioiden käyttämisen tietyille sovelluksille tai allekirjoitetuille tiedostoille määrittämällä poissulkemisia.
Lisätietoja on kohdassa Hallitsemien kansioiden käyttöoikeuksien mukauttaminen.
Mukautetut korjaustoiminnot
Kun Microsoft Defender virustentorjuntaohjelma havaitsee mahdollisen uhan tarkistuksen suorittamisen aikana, se yrittää korjata tai poistaa havaitun uhan. Voit määrittää mukautettuja korjaustoimintoja määrittääksesi, miten Microsoft Defender virustentorjuntaohjelman tulisi vastata tiettyihin uhkiin, tulisiko palautuspiste luoda ennen korjaamista ja milloin uhat tulisi poistaa.
Lisätietoja on artikkelissa Korjaustoimintojen määrittäminen Microsoft Defender virustentorjuntaan.
Miten poissulkemisia ja indikaattoreita arvioidaan
Useimmissa organisaatioissa on useita erilaisia poissulkemisia ja ilmaisimia, joiden avulla voidaan määrittää, pitäisikö käyttäjien käyttää tiedostoa tai prosessia. Poissulkemiset ja indikaattorit käsitellään tietyssä järjestyksessä, jotta käytäntöristiriidat käsitellään järjestelmällisesti.
Näin se toimii:
Jos Windows Defenderin sovellusohjausobjekti ja AppLocker eivät salli havaittua tiedostoa/prosessia, se on estetty. Muussa tapauksessa virustentorjunta Microsoft Defender.
Jos tunnistettu tiedosto tai prosessi ei ole osa Microsoft Defender virustentorjunnan poissulkemista, se on estetty. Muussa tapauksessa Defender for Endpoint tarkistaa tiedoston/prosessin mukautetun ilmaisimen.
Jos havaitussa tiedostossa/prosessissa on Block- tai Warn-ilmaisin, tämä toiminto suoritetaan. Muussa tapauksessa tiedosto/prosessi sallitaan, ja sitä arvioidaan hyökkäyksen pinnanvähennyssääntöjen, valvotun kansion käytön ja SmartScreen-suojauksen avulla.
Jos hyökkäysalueen pienentämissäännöt, valvotun kansion käyttö tai SmartScreen-suojaus eivät estä havaittua tiedostoa/prosessia, virustentorjunta Microsoft Defender.
Jos Microsoft Defender virustentorjunta ei salli tunnistettua tiedostoa/prosessia, se tarkistaa toiminnon uhkatunnuksen perusteella.
Käytäntöristiriitojen käsittelytapa
Jos Defender for Endpoint -ilmaisimet ovat ristiriidassa, seuraavat ovat odotettavissa:
Jos tiedostoilmaisimet ovat ristiriitaisia, käytetään suojatuinta hajautusarvoa käyttävää ilmaisinta. Esimerkiksi SHA256 on etusijalla SHA-1:een nähden, joka on etusijalla MD5:een nähden.
Jos URL-ilmaisimet ovat ristiriitaisia, käytetään tiukempaa ilmaisinta. SmartScreenin Microsoft Defender käytetään ilmaisinta, joka käyttää pisintä URL-polkua. Esimerkiksi etusija
www.dom.ain/admin/www.dom.ainon . (Verkon suojaus koskee toimialueita toimialueiden alisivujen sijaan.)Jos tiedostolla tai prosessilla on samankaltaisia ilmaisimia, joilla on eri toimintoja, tiettyyn laiteryhmään suodatettu ilmaisin on etusijalla ilmaisimeen nähden, joka kohdistuu kaikkiin laitteisiin.
Miten automatisoitu tutkimus ja korjaus toimivat indikaattorien kanssa
Defender for Endpointin automaattiset tutkimus- ja korjaustoiminnot määrittävät ensin tuomion kullekin todisteelle ja ryhtyvät sitten toimiin Defender for Endpoint -ilmaisimien mukaan. Näin ollen tiedosto/prosessi voi saada tuomion "hyvä" (mikä tarkoittaa, että uhkia ei löytynyt) ja silti estetään, jos kyseisessä toiminnossa on ilmaisin. Samoin entiteetti voi saada tuomion "huonosta" (mikä tarkoittaa, että se on määritetty haitallisiksi) ja silti sallittu, jos kyseisessä toiminnossa on ilmaisin.
Lisätietoja on kohdassa Automaattinen tutkimus ja korjaukset sekä indikaattorit.
Muut palvelimen kuormitukset ja poikkeukset
Jos organisaatiosi käyttää muita palvelinkuormituksia, kuten Exchange Server, SharePoint Serveriä tai SQL Server, muista, että vain sisäiset palvelinroolit (jotka voivat olla myöhemmin asennetun ohjelmiston edellytyksiä) jätetään pois automaattisen palvelinroolin poissulkemisominaisuuden vuoksi (ja vain käytettäessä niiden oletusasennussijaintia). Sinun on todennäköisesti määritettävä virustentorjuntaa koskevat poikkeukset näille muille kuormituksille tai kaikille kuormituksille, jos poistat automaattiset poikkeukset käytöstä.
Seuraavassa on joitakin esimerkkejä teknisistä ohjeista, joiden avulla voit tunnistaa ja toteuttaa tarvitsemasi poikkeukset:
- Suoritetaan virustentorjuntaohjelmistoa Exchange Server
- Kansiot, jotka jätetään pois virustentorjuntatarkisuksista SharePoint Serverissä
- SQL Server virustentorjuntaohjelman valitseminen
Riippuen siitä, mitä käytät, sinun on ehkä tutustuttava kyseisen palvelimen kuormituksen dokumentaatioon.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Käsittele yleisiä epätosipositiivisia tilanteita, joissa on poissulkemisia
- Microsoft Defender virustentorjunnan poissulkemisten määrittäminen
- Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä
- Yleiskatsaus ilmaisimista Microsoft Defender for Endpoint
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.