Poissulkemisten hallinnan viite
Jokainen Defender for Endpoint -versio tarjoaa poissulkemisten hallinnan tuettujen hallintatyökalujen kautta. Tässä artikkelissa on yhteenveto siitä, miten voit määrittää poissulkemisia eri hallintatyökaluilla.
Windows-laitteiden poissulkemisten hallinta
Seuraavassa taulukossa näytetään, mitä poissulkemistyyppejä kukin hallintatyökalu tukee. Taulukossa käytetään tiettyjä lyhenteitä:
- "Custom AV" viittaa mukautettuihin virustentorjuntaan.
- "Vain ASR" tarkoittaa vain hyökkäyspinnan vähentämisominaisuuksien poissulkemisia.
- "ASR per rule" tarkoittaa hyökkäyksen pinnan vähentämistä säännön mukaan.
- CFA tarkoittaa valvotun kansion käyttöä
- Automaatio tarkoittaa kansion poissulkemisia automatisoidussa tutkimuksessa & korjaamisessa.
- "Poista automaattinen käytöstä" tarkoittaa automaattisen virustentorjunnan poissulkemisten poistamista käytöstä Windows Server 2016:ssa ja sitä uudemmissa versioissa.
| Johtaminen | Mukautettu AV | Vain ASR | ASR per sääntö | CFA | Automaatio | Poista automaattinen käytöstä |
|---|---|---|---|---|---|---|
| Defender Portal |
|
|
|
|
|
|
| Intune |
|
|
|
|
|
|
| MDM CSP |
|
|
|
|
|
|
| PowerShell |
|
|
|
|
|
|
| GPO |
|
|
|
|
|
|
| WMI |
|
|
|
|
|
|
| Configuration Manager |
|
|
|
|
|
|
Microsoft Defender portaali
Monia poissulkemisia voidaan hallita Microsoft Defender portaalissa.
| Poissulkemistyyppi | Ohjeet |
|---|---|
| Mukautetun virustentorjunnan poikkeukset | 1. Siirry Microsoft Defender portaalissa kohtaan Päätepisteiden määritysten>hallinnan>päätepisteen suojauskäytännöt>Windowsin käytännöt. 2. Valitse Luo uusi käytäntö. 3. Valitse käyttöympäristöä varten Windows 10, Windows 11 ja Windows Server. 4. Valitse malli ja määritä poikkeukset. Sekä Microsoft Defender virustentorjuntaan liittyvät poikkeukset ettäMicrosoft Defender virustentorjunta tukevat mukautettuja virustentorjuntapoikkeuksia. |
| Hyökkäyspinnan pienentäminen vain poissulkemiset | 1. Siirry Microsoft Defender portaalissa kohtaan Päätepisteiden määritysten>hallinnan>päätepisteen suojauskäytännöt>Windowsin käytännöt. 2. Valitse Luo uusi käytäntö 3. Valitse käyttöympäristöä varten Windows 10, Windows 11 ja Windows Server. 4. Valitse Attack Surface Reduction Rules -malli. 5. Vieritä alaspäin kohtaan Attack Surface Reduction Only Exclusions ja määritä poikkeukset. |
| Hyökkäyspinnan pienentämissääntö säännön poissulkemista kohti | 1. Siirry Microsoft Defender portaalissa kohtaan Päätepisteiden määritysten>hallinnan>päätepisteen suojauskäytännöt>Windowsin käytännöt. 2. Valitse Luo uusi käytäntö 3. Valitse käyttöympäristöä varten Windows 10, Windows 11 ja Windows Server. 4. Valitse Attack Surface Reduction Rules -malli. 5. Vieritä alaspäin kohtaan sääntöä luodaksesi poikkeuksen. 6. Muuta se ei ole määritetty -arvoksi Block,Audit tai Warn. 7. Määritä ohitettava polku valitsemalla Lisää . |
| Valvotun kansion käytön estäminen | 1. Siirry Microsoft Defender portaalissa kohtaan Päätepisteiden määritysten>hallinnan>päätepisteen suojauskäytännöt>Windowsin käytännöt. 2. Valitse Luo uusi käytäntö 3. Valitse käyttöympäristöä varten Windows 10, Windows 11 ja Windows Server. 4. Valitse Attack Surface Reduction Rules -malli. 5. Vieritä alaspäin kohtaan Hallittujen kansioiden käytön sallitut sovellukset ja määritä haluamasi käyttöoikeudet. |
| Automaatiokansion poikkeukset | 1. Siirry Microsoft Defender portaalissakohtaan Asetukset>Päätepisteet>Säännöt>Automaatiokansion poikkeukset 2. Valitse Uusi kansio, joka sisältää poikkeuksen , ja määritä poikkeukset. |
| Automaattisen virustentorjunnan poikkeukset | Ei tueta Microsoft Defender-portaalissa. |
Huomautus
IP Address Exclusionsei voi määrittää Microsoft Defender portaalissa.
Lisätietoja:
- Microsoft Defender virustentorjunnan hallinta Microsoft Defender for Endpoint suojausasetusten hallinnan avulla
- Lisää automaattiset kansiopoikkeukset
Intune
Monia poissulkemisia voidaan hallita Microsoft Intune hallintakeskuksessa.
| Poissulkemistyyppi | Ohjeet |
|---|---|
| Mukautettu virustentorjunta ei ole mukana | 1. Siirry Intune hallintakeskuksessakohtaanKotipäätepisteen> suojauksen >virustentorjunta. 2. Valitse Luo käytäntö. 3. Valitse Käyttöympäristöä varten Windows. 4. Valitse malli. Sekä Microsoft Defender virustentorjuntaan liittyvät poikkeukset että Microsoft Defender virustentorjunta tukevat mukautettuja virustentorjunnan poissulkemisia |
| Hyökkäyspinnan pienentämissääntö vain poissulkevat | 1. Siirry Intune hallintakeskuksessakohtaanAloituspäätepisteen> suojaus >Hyökkäyspinnan pienentäminen. 2. Valitse Luo käytäntö. 3. Valitse Käyttöympäristöä varten Windows. 4. Valitse Profiili-kohdassaHyökkäyspinnan vähentämissäännöt. 5. Vieritä Määritysasetukset-kohdassa alaspäin kohtaan Attack Surface Reduction Only Exclusions. |
| Hyökkäyspinnan pienentäminen sääntökohtaisia poissulkemisia | 1. Siirry Intune hallintakeskuksessakohtaanAloituspäätepisteen> suojaus >Hyökkäyspinnan pienentäminen. 2. Valitse Luo käytäntö. 3. Valitse Käyttöympäristöä varten Windows. 4. Valitse Profiili-kohdassaHyökkäyspinnan vähentämissäännöt. 5. Vieritä Määritysasetukset-kohdassa alaspäin kohtaan sääntö, joka luo poikkeuksen. 6. Muuta arvoksi Not configuredBlock,Audit tai Warn. 7. Valitse Lisää , jos haluat määrittää, mikä polku jätetään pois. |
| Valvotun kansion käytön estäminen | 1. Siirry Intune hallintakeskuksessakohtaanAloituspäätepisteen> suojaus >Hyökkäyspinnan pienentäminen. 2. Valitse Luo käytäntö. 3. Valitse Käyttöympäristöä varten Windows. 4. Valitse Profiili-kohdassaHyökkäyspinnan vähentämissäännöt. 5. Vieritä Määritysasetukset-kohdassa alaspäin kohtaan Hallittujen kansioiden käyttö sallitut sovellukset. |
| Automaatiokansion poikkeukset | Ei tuettu |
| Automaattisen virustentorjunnan poikkeukset | Ei tueta Intune hallintakeskuksessa. |
Lisätietoja:
- Luo uusi virustentorjuntakäytäntö, joka sisältää poissulkemisia Intune
- Virustentorjunnan poissulkemisten hallinta Intune (aiemmin luoduissa käytännöissä)
- Hyökkäyspinnan säännönkohtaisen vähentämisen poissulkemisten määrittäminen
MDM CSP
| Poissulkemistyyppi | OMA-URI |
|---|---|
| Mukautettu virustentorjunta ei ole poissulkeva: Poissuljettuprosessit |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses |
| Mukautettu virustentorjunta ei ole poissulkeva: Poissuljettuja tiloja |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths |
| Mukautettu virustentorjunta ei ole poissulkeva: Pois jäljet |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions |
| Hyökkäyspinnan pienentäminen vain poissulkemiset: AttackSurfaceReductionOnlyExclusions |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions |
| Kansion käytön estäminen: ControlledFolderAccessAllowedApplications |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications |
Lisätietoja:
- Defender CSP
- Defender Policy CSP
- Windows-asiakaslaitteiden mukautettujen asetusten käyttäminen Intune
PowerShell
Käytä Set-MpPreferenceDefenderin PowerShell-moduulia tai Get-MpPreference käytä sitä siinä.
| Poissulkemistyyppi | Lippu | Kuvaus |
|---|---|---|
| Mukautettu virustentorjunta ei ole mukana | ExclusionIpAddress |
IP-osoitteet, jotka jätetään pois ajoitetusta ja reaaliaikaisessa skannauksesta |
| Mukautettu virustentorjunta ei ole mukana | ExclusionPath |
Tiedostopolut, jotka jätetään pois ajoitetusta ja reaaliaikaisessa skannauksesta |
| Mukautettu virustentorjunta ei ole mukana | ExclusionProcess |
Näiden prosessien avaamat tiedostot eivät sisälly ajoitettuun ja reaaliaikaiseen skannaukseen |
| Mukautettu virustentorjunta ei ole mukana | ExclusionExtension |
Tiedostotunnisteet, kuten obj tai lib, jotka eivät sisälly ajoitettuun, mukautettuun ja reaaliaikaiseen skannaukseen |
| Hyökkäyspinnan pienentäminen vain poissulkeva | AttackSurfaceReductionOnlyExclusions |
Määrittää pois jätettävien tiedostojen ja polkujen |
| Hyökkäyspinnan pienentäminen sääntökohtaisesti, poissulkeminen | N/A | Ei tuettu |
| Ohjatun kansion käyttöpoikkeus | ControlledFolderAccessAllowedApplications |
Määrittää sovellukset, jotka voivat tehdä muutoksia valvotuissa kansioissa |
| Automaatiokansion poikkeukset | N/A | Ei tuettu |
| Automaattisen virustentorjunnan poikkeukset (Käytettävissä vain Windows Server 2016:ssa ja uudemmissa versioissa) |
DisableAutoExclusions |
Poista käytöstä automaattiset virustentorjuntapoikkeukset |
ryhmäkäytäntö objekti (GPO)
| Poissulkemistyyppi | Sijainnin määrittäminen | Viittaus |
|---|---|---|
| Mukautettu virustentorjuntapoikkeaminen - Polku | Windowsin osat>Microsoft Defender Virustentorjunta>Poissulkemisten>polun poikkeukset | Katso Kansion tai tiedostotunnisteen poissulkemisten määrittäminen ryhmäkäytäntö avulla |
| Mukautetut virustentorjunnan poikkeukset - Prosessi | Windowsin osat>Microsoft Defender Virustentorjunta>Poissulkemisten>prosessipoikkeukset | Katso Käytä ryhmäkäytäntö, jos haluat sulkea pois tiedostot, jotka on avattu määritetyillä prosesseilla skannauksista |
| Attack Surface Reduction vain poissulkevat | Windowsin osat>Microsoft Defender virustentorjunta>Microsoft Defender Hyökkäyssuojan>pinnan pienentäminen>Sulje tiedostoja ja polkuja hyökkäysalueen pienentämissäännöistä | Näytä ryhmäkäytäntö |
| Hyökkäyspinnan pienentämissääntö säännön poissulkemista kohti | Ei tuettu | |
| Automaattisen virustentorjunnan poikkeukset | Windowsin osat>Microsoft Defender virustentorjunnan>poikkeukset>käytössä | Katso Käytä ryhmäkäytäntö poistaaksesi käytöstä automaattiset määritykset -luettelon Windows Server 2016:ssa, Windows Server 2019:ssä ja Windows Server 2022:ssa |
| Automaatiokansion poikkeukset | Ei tuettu | |
| Hallitun kansion käytön poikkeukset | Windowsin osat>Microsoft Defender virustentorjunta>Windows Defender Exploit Guardin>ohjaama kansion käyttö>Määritä sallitut sovellukset | Katso Tiettyjen sovellusten salliminen ryhmäkäytännön avulla |
Windows Management Instrumentation (WMI)
| Poissulkemistyyppi | Ominaisuus |
|---|---|
| Mukautettu virustentorjuntapoikkeaminen - Polku | ExclusionPath |
| Mukautettu virustentorjunta ei ole mukana - Laajennus | ExclusionExtension |
| Mukautettu virustentorjuntaohjelman poissulkeminen - Prosessi | ExclusionProcess |
| Attack Surface Reduction vain poissulkevat | Ei tuettu |
| Hyökkäyspinnan pienentämissääntö säännön poissulkemista kohti | Ei tuettu |
| Automaattisen virustentorjunnan poikkeukset | DisableAutoExclusions |
| Hallitun kansion käytön poikkeukset | Ei tuettu |
| Automaatiokansion poikkeukset | Ei tuettu |
Lisätietoja:
Configuration Manager
| Poissulkemistyyppi | Viittaus |
|---|---|
| Mukautettu virustentorjunta ei ole mukana | Katso poissulkemisasetukset |
| Attack Surface Reduction vain poissulkevat | Näytä Microsoft Configuration Manager |
| Hyökkäyspinnan pienentämissääntö säännön poissulkemista kohti | Ei tuettu |
| Hallitun kansion käytön poikkeukset | Näytä Microsoft Configuration Manager |
| Automaatiokansion poikkeukset | Ei tuettu |
Linuxin poissulkemisten hallinta
Voit jättää pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointista Linuxissa.
Katso Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen Linuxissa.
MacOS:n poissulkemisten hallinta
Voit sulkea pois tiettyjä tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Defender for Endpointista Mac-skannauksissa.
Katso Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen macOS:ssä.