Udostępnij za pośrednictwem


Omówienie wykluczeń

Ochrona punktu końcowego w usłudze Microsoft Defender i Defender dla Firm obejmują szeroką gamę możliwości zapobiegania zaawansowanym cyberodzydzy, wykrywania, badania i reagowania na nie. Firma Microsoft wstępnie konfiguruje produkt tak, aby działał dobrze w zainstalowanym systemie operacyjnym. Nie należy wprowadzać żadnych innych zmian. Pomimo wstępnie skonfigurowanych ustawień czasami występują nieoczekiwane zachowania. Oto kilka przykładów:

  • Wyniki fałszywie dodatnie: Pliki, foldery lub procesy, które w rzeczywistości nie są zagrożeniem, mogą zostać wykryte jako złośliwe przez usługę Defender for Endpoint lub program antywirusowy Microsoft Defender. Te jednostki mogą być blokowane lub wysyłane do kwarantanny, nawet jeśli nie są zagrożeniem.
  • Problemy z wydajnością: systemy mają nieoczekiwany wpływ na wydajność podczas uruchamiania z usługą Defender for Endpoint
  • Problemy ze zgodnością aplikacji: aplikacje doświadczają nieoczekiwanego zachowania podczas uruchamiania z usługą Defender for Endpoint

Tworzenie wykluczenia jest jednym z możliwych metod rozwiązywania tego typu problemów. Ale często istnieją inne kroki, które można podjąć. Oprócz zapewnienia przeglądu wskaźników i wykrzykników, ten artykuł zawiera alternatywy dla tworzenia wykluczeń i wskaźników dozwolonych.

Uwaga

Tworzenie wskaźnika lub wykluczenia powinno być brane pod uwagę tylko po dokładnym zrozumieniu głównej przyczyny nieoczekiwanego zachowania.

Przykłady problemów i kroków do rozważenia

Przykładowy scenariusz Kroki, które należy wziąć pod uwagę
Wynik fałszywie dodatni: jednostka, taka jak plik lub proces, została wykryta i zidentyfikowana jako złośliwa, nawet jeśli jednostka nie stanowi zagrożenia. 1. Przejrzyj i zaklasyfikuj alerty , które zostały wygenerowane w wyniku wykrytej jednostki.
2. Pomiń alert dla znanej jednostki.
3. Przejrzyj akcje korygowania , które zostały podjęte dla wykrytej jednostki.
4. Prześlij fałszywie dodatni wynik do firmy Microsoft do analizy.
5. Zdefiniuj wskaźnik lub wykluczenie dla jednostki (tylko w razie potrzeby).
Problemy z wydajnością , takie jak jeden z następujących problemów:
— System ma wysokie użycie procesora CPU lub inne problemy z wydajnością.
- System ma problemy z wyciekiem pamięci.
— Ładowanie aplikacji na urządzeniach jest powolne.
— Aplikacja wolno otwiera plik na urządzeniach.
1. Zbieranie danych diagnostycznych dla programu antywirusowego Microsoft Defender.
2. Jeśli używasz rozwiązania antywirusowego innego niż Microsoft, skontaktuj się z dostawcą, aby sprawdzić, czy istnieją znane problemy z produktami antywirusowymi.
3. Przeanalizuj dziennik ochrony firmy Microsoft , aby zobaczyć szacowany wpływ na wydajność. W przypadku problemów związanych z wydajnością związanych z programem antywirusowym Microsoft Defender użyj analizatora wydajności dla programu antywirusowego Microsoft Defender.
4. Zdefiniuj wykluczenie dla programu antywirusowego Microsoft Defender (w razie potrzeby).
5. Utwórz wskaźnik dla usługi Defender dla punktu końcowego (tylko w razie potrzeby).
Problemy ze zgodnością produktów antywirusowych innych niż Microsoft.
Przykład: usługa Defender for Endpoint opiera się na aktualizacjach analizy zabezpieczeń dla urządzeń, niezależnie od tego, czy są one uruchomione Microsoft Defender program antywirusowy, czy rozwiązanie antywirusowe firmy innej niż Microsoft.
1. Jeśli używasz produktu antywirusowego innego niż Microsoft jako podstawowego rozwiązania antywirusowego/chroniącego przed złośliwym kodem, ustaw Microsoft Defender Antivirus na tryb pasywny.
2. Jeśli przełączasz się z rozwiązania antywirusowego/chroniącego przed złośliwym kodem firmy innej niż Microsoft na usługę Defender for Endpoint, zobacz Przełączanie do usługi Defender for Endpoint. Te wskazówki obejmują:
- Wykluczenia, które może być konieczne do zdefiniowania dla rozwiązania antywirusowego/chroniącego przed złośliwym kodem firmy Microsoft;
- Wykluczenia, które mogą być konieczne do zdefiniowania dla programu antywirusowego Microsoft Defender; i
- Informacje dotyczące rozwiązywania problemów (na wypadek, gdy coś pójdzie nie tak podczas migracji).
Zgodność z aplikacjami.
Przykład: aplikacje ulegają awarii lub występują nieoczekiwane zachowania po dołączeniu urządzenia do Ochrona punktu końcowego w usłudze Microsoft Defender.
Zobacz Rozwiązywanie niechcianych zachowań w Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu wykluczeń, wskaźników i innych technik.

Alternatywy dla tworzenia wykluczeń i zezwalania na wskaźniki

Utworzenie wykluczeń lub wskaźnika zezwalania powoduje utworzenie luki w ochronie. Te techniki powinny być używane tylko po określeniu głównej przyczyny problemu. Dopóki nie zostanie podjęta ta decyzja, rozważ następujące alternatywy:

  • Przesyłanie pliku do firmy Microsoft do analizy
  • Pomijanie alertu

Przesyłanie plików do analizy

Jeśli masz plik, który uważasz za niesłusznie wykryty jako złośliwe oprogramowanie (fałszywie dodatni) lub plik, który podejrzewasz, że może być złośliwym oprogramowaniem, mimo że nie został wykryty (fałszywie ujemny), możesz przesłać plik do firmy Microsoft w celu analizy. Przesłane dane zostaną natychmiast zeskanowane, a następnie przejrzane przez analityków zabezpieczeń firmy Microsoft. Możesz sprawdzić stan przesyłania na stronie historii przesyłania.

Przesyłanie plików do analizy pomaga zmniejszyć liczbę wyników fałszywie dodatnich i fałszywie ujemnych dla wszystkich klientów. Aby dowiedzieć się więcej, zobacz następujące artykuły:

Pomijanie alertów

Jeśli w portalu Microsoft Defender są wyświetlane alerty dotyczące narzędzi lub procesów, o których wiesz, że w rzeczywistości nie są zagrożeniem, możesz pominąć te alerty. Aby pominąć alert, należy utworzyć regułę pomijania i określić, jakie akcje należy wykonać w przypadku innych, identycznych alertów. Można utworzyć reguły pomijania dla określonego alertu na jednym urządzeniu lub dla wszystkich alertów, które mają ten sam tytuł w organizacji.

Aby dowiedzieć się więcej, zobacz następujące artykuły:

Typy wykluczeń

Istnieje kilka różnych typów wykluczeń do rozważenia. Niektóre typy wykluczeń mają wpływ na wiele możliwości w usłudze Defender for Endpoint, podczas gdy inne typy są specyficzne dla programu antywirusowego Microsoft Defender.

Aby uzyskać informacje o wskaźnikach, zobacz Omówienie wskaźników w Ochrona punktu końcowego w usłudze Microsoft Defender.

Wykluczenia niestandardowe

Ochrona punktu końcowego w usłudze Microsoft Defender umożliwia konfigurowanie wykluczeń niestandardowych w celu optymalizacji wydajności i uniknięcia wyników fałszywie dodatnich. Typy wykluczeń, które można ustawić, różnią się w zależności od możliwości usługi Defender dla punktów końcowych i systemów operacyjnych.

Poniższa tabela zawiera podsumowanie typów wykluczeń niestandardowych, które można zdefiniować. Zanotuj zakres dla każdego typu wykluczenia.

Typy wykluczeń Zakres Przypadki użycia
Wykluczenia usługi Custom Defender dla punktu końcowego Program antywirusowy
Reguły zmniejszania obszaru podatnego na ataki
Ochrona punktu końcowego w usłudze Microsoft Defender
Ochrona sieci
Plik, folder lub proces jest identyfikowany jako złośliwy, mimo że nie stanowi zagrożenia.

Aplikacja napotyka nieoczekiwany problem ze zgodnością wydajności lub aplikacji podczas uruchamiania z usługą Defender dla punktu końcowego
Wykluczenia zmniejszania obszaru ataków w usłudze Defender for Endpoint Reguły zmniejszania obszaru podatnego na ataki Reguła zmniejszania obszaru ataków powoduje nieoczekiwane zachowanie.
Wykluczenia folderów usługi Defender for Endpoint Automation Zautomatyzowane badanie i reagowanie Zautomatyzowane badanie i korygowanie podejmuje działania dotyczące pliku, rozszerzenia lub katalogu, które należy wykonać ręcznie.
Wykluczenia dostępu do folderów kontrolowanych przez usługę Defender for Endpoint Kontrolowany dostęp do folderu Kontrolowany dostęp do folderu blokuje aplikacji dostęp do chronionego folderu.
Defender for Endpoint File and Certificate Allow Indicators Program antywirusowy
Reguły zmniejszania obszaru podatnego na ataki
Kontrolowany dostęp do folderu
Plik lub proces podpisany przez certyfikat jest identyfikowany jako złośliwy nawet za jego pośrednictwem.
Wskaźniki domeny/adresu URL i adresu IP usługi Defender for Endpoint Ochrona sieci
SmartScreen
Filtrowanie zawartości sieci Web
Filtr SmartScreen zgłasza wynik fałszywie dodatni.

Chcesz zastąpić blok filtrowania zawartości sieci Web w określonej witrynie.

Uwaga

Na ochronę sieci mają bezpośredni wpływ wykluczenia procesów na wszystkich platformach. Wykluczenie procesu w dowolnym systemie operacyjnym (Windows, MacOS, Linux) uniemożliwia usłudze Network Protection inspekcję ruchu lub wymuszanie reguł dla tego konkretnego procesu.

Wykluczenia na komputerze Mac

W przypadku systemu macOS można zdefiniować wykluczenia, które mają zastosowanie do skanowania na żądanie, ochrony w czasie rzeczywistym i monitorowania. Obsługiwane typy wykluczeń obejmują:

  • Rozszerzenie pliku: wyklucz wszystkie pliki z określonym rozszerzeniem.
  • Plik: Wyklucz określony plik zidentyfikowany przez jego pełną ścieżkę.
  • Folder: Wyklucz wszystkie pliki w określonym folderze cyklicznie.
  • Proces: Wyklucz określony proces i wszystkie otwarte przez niego pliki.

Aby uzyskać więcej informacji, zobacz Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Wykluczenia w systemie Linux

W systemie Linux można skonfigurować zarówno oprogramowanie antywirusowe, jak i wykluczenia globalne.

  • Wykluczenia oprogramowania antywirusowego: dotyczy skanowania na żądanie, ochrony w czasie rzeczywistym (RTP) i monitorowania zachowania (BM).
  • Wykluczenia globalne: dotyczy ochrony w czasie rzeczywistym (RTP), monitorowania zachowania (BM) oraz wykrywania i reagowania punktów końcowych (EDR), zatrzymując wszystkie skojarzone wykrycia antywirusowe i alerty EDR.

Aby uzyskać więcej informacji, zobacz Konfigurowanie i weryfikowanie wykluczeń usługi Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Wykluczenia w systemie Windows

Microsoft Defender program antywirusowy można skonfigurować tak, aby wykluczał kombinacje procesów, plików i rozszerzeń z zaplanowanych skanów, skanów na żądanie i ochrony w czasie rzeczywistym. Zobacz Konfigurowanie wykluczeń niestandardowych dla programu antywirusowego Microsoft Defender.

Aby uzyskać bardziej szczegółową kontrolę, która pomaga zminimalizować luki w ochronie, rozważ użycie wykluczeń plików kontekstowych i procesów.

Wstępnie skonfigurowane wykluczenia programu antywirusowego

Te typy wykluczeń są wstępnie skonfigurowane w Ochrona punktu końcowego w usłudze Microsoft Defender dla programu antywirusowego Microsoft Defender.

Typy wykluczeń Konfiguracja Opis
Automatyczne wykluczenia programu antywirusowego Microsoft Defender Automatyczne Automatyczne wykluczenia dla ról i funkcji serwera w systemie Windows Server. Podczas instalowania roli w Windows Server 2016 lub nowszym program antywirusowy Microsoft Defender obejmuje automatyczne wykluczenia roli serwera i wszystkich plików dodanych podczas instalowania roli.
Te wykluczenia dotyczą tylko aktywnych ról w Windows Server 2016 i nowszych.
Wbudowane wykluczenia programu antywirusowego Microsoft Defender Automatyczne program antywirusowy Microsoft Defender zawiera wbudowane wykluczenia dla plików systemu operacyjnego we wszystkich wersjach systemu Windows.

Automatyczne wykluczenia roli serwera

Automatyczne wykluczenia ról serwera obejmują wykluczenia dla ról i funkcji serwera w Windows Server 2016 i nowszych. Te wykluczenia nie są skanowane przez ochronę w czasie rzeczywistym , ale nadal podlegają szybkim, pełnym lub na żądanie skanom antywirusowym.

Na przykład:

  • Usługa replikacji plików (FRS)
  • Funkcja Hyper-V
  • SYSVOL
  • Active Directory
  • Serwer DNS
  • Serwer wydruku
  • Serwer sieci Web
  • Windows Server Update Services
  • ... i nie tylko.

Uwaga

Automatyczne wykluczenia dla ról serwera nie są obsługiwane w Windows Server 2012 R2. W przypadku serwerów z uruchomioną Windows Server 2012 R2 z zainstalowaną rolą serwera Active Directory Domain Services (AD DS) wykluczenia dla kontrolerów domeny należy określić ręcznie. Zobacz Wykluczenia usługi Active Directory.

Aby uzyskać więcej informacji, zobacz Automatyczne wykluczenia ról serwera.

Wbudowane wykluczenia oprogramowania antywirusowego

Wbudowane wykluczenia antywirusowe obejmują niektóre pliki systemu operacyjnego wykluczone przez program antywirusowy Microsoft Defender we wszystkich wersjach systemu Windows (w tym Windows 10, Windows 11 i Windows Server).

Na przykład:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • pliki Windows Update
  • pliki Zabezpieczenia Windows
  • ... i nie tylko.

Lista wbudowanych wykluczeń w systemie Windows jest aktualizowana wraz ze zmianą krajobrazu zagrożeń. Aby dowiedzieć się więcej na temat tych wykluczeń, zobacz Microsoft Defender Wykluczenia programu antywirusowego w systemie Windows Server: wbudowane wykluczenia.

Wykluczenia zmniejszania obszaru ataków

Reguły zmniejszania obszaru ataków (znane również jako reguły środowiska ASR) dotyczą pewnych zachowań oprogramowania, takich jak:

  • Uruchamianie plików wykonywalnych i skryptów, które próbują pobrać lub uruchomić pliki
  • Uruchamianie skryptów, które wydają się być zaciemnione lub w inny sposób podejrzane
  • Wykonywanie zachowań, których aplikacje zwykle nie inicjują podczas normalnej codziennej pracy

Czasami uzasadnione aplikacje wykazują zachowania oprogramowania, które mogą być blokowane przez reguły zmniejszania obszaru podatnego na ataki. Jeśli ma to miejsce w organizacji, możesz zdefiniować wykluczenia dla niektórych plików i folderów. Takie wykluczenia są stosowane do wszystkich reguł zmniejszania obszaru podatnego na ataki. Zobacz Włączanie reguł zmniejszania obszaru ataków.

Uwaga

Reguły zmniejszania obszaru ataków honorują wykluczenia procesów, ale nie wszystkie reguły zmniejszania obszaru ataków uwzględniają Microsoft Defender wykluczeń programu antywirusowego. Zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki — Microsoft Defender wykluczenia programu antywirusowego i reguły usługi ASR.

Wykluczenia folderów usługi Automation

Wykluczenia folderów usługi Automation mają zastosowanie do zautomatyzowanego badania i korygowania w usłudze Defender for Endpoint, która została zaprojektowana w celu zbadania alertów i podjęcia natychmiastowych działań w celu rozwiązania wykrytych naruszeń. Po wyzwoleniu alertów i uruchomieniu zautomatyzowanego badania zostanie osiągnięty werdykt (Złośliwy, Podejrzany lub Nie znaleziono zagrożeń) dla każdego badanego dowodu. W zależności od poziomu automatyzacji i innych ustawień zabezpieczeń akcje korygowania mogą być wykonywane automatycznie lub tylko po zatwierdzeniu przez zespół ds. operacji zabezpieczeń.

Możesz określić foldery, rozszerzenia plików w określonym katalogu i nazwy plików, które mają zostać wykluczone z możliwości zautomatyzowanego badania i korygowania. Takie wykluczenia folderów automatyzacji mają zastosowanie do wszystkich urządzeń dołączonych do usługi Defender for Endpoint. Te wykluczenia nadal podlegają skanom antywirusowym.

Aby uzyskać więcej informacji, zobacz Zarządzanie wykluczeniami folderów automatyzacji.

Wykluczenia dostępu do folderów kontrolowanych

Kontrolowany dostęp do folderów monitoruje aplikacje pod kątem działań wykrytych jako złośliwe i chroni zawartość niektórych (chronionych) folderów na urządzeniach z systemem Windows. Kontrolowany dostęp do folderów umożliwia tylko zaufanym aplikacjom dostęp do chronionych folderów, takich jak typowe foldery systemowe (w tym sektory rozruchu) i inne określone foldery. Możesz zezwolić niektórym aplikacjom lub podpisanym plikom wykonywalnym na dostęp do chronionych folderów, definiując wykluczenia.

Aby uzyskać więcej informacji, zobacz Dostosowywanie kontrolowanego dostępu do folderów.

Niestandardowe akcje korygowania

Gdy program antywirusowy Microsoft Defender wykryje potencjalne zagrożenie podczas skanowania, podejmie próbę skorygowania lub usunięcia wykrytego zagrożenia. Można zdefiniować niestandardowe akcje korygowania, aby skonfigurować sposób, w jaki program antywirusowy Microsoft Defender powinien rozwiązywać problemy z pewnymi zagrożeniami, czy należy utworzyć punkt przywracania przed korygowaniem i kiedy należy usunąć zagrożenia.

Aby uzyskać więcej informacji, zobacz Konfigurowanie akcji korygowania dla wykrywania Microsoft Defender antywirusowego.

Sposób oceniania wykluczeń i wskaźników

Większość organizacji ma kilka różnych typów wykluczeń i wskaźników, aby określić, czy użytkownicy powinni mieć dostęp do pliku lub procesu i korzystać z niego. Wykluczenia i wskaźniki są przetwarzane w określonej kolejności, tak aby konflikty zasad były systematycznie obsługiwane.

Oto jak to działa:

  1. Jeśli wykryty plik/proces nie jest dozwolony przez kontrolkę aplikacji usługi Windows Defender i funkcję AppLocker, jest zablokowany. W przeciwnym razie przechodzi do programu antywirusowego Microsoft Defender.

  2. Jeśli wykryty plik/proces nie jest częścią wykluczenia dla programu antywirusowego Microsoft Defender, zostanie zablokowany. W przeciwnym razie usługa Defender dla punktu końcowego sprawdza, czy nie ma niestandardowego wskaźnika dla pliku/procesu.

  3. Jeśli wykryty plik/proces ma wskaźnik Blokuj lub Ostrzegaj, ta akcja jest podejmowana. W przeciwnym razie plik/proces jest dozwolony i przechodzi do oceny przez reguły zmniejszania obszaru ataków, kontrolowany dostęp do folderów i ochronę filtru SmartScreen.

  4. Jeśli wykryty plik/proces nie zostanie zablokowany przez reguły zmniejszania obszaru ataków, kontrolowany dostęp do folderów lub ochronę filtru SmartScreen, przejdzie on do programu antywirusowego Microsoft Defender.

  5. Jeśli wykryty plik/proces nie jest dozwolony przez program antywirusowy Microsoft Defender, jest on sprawdzany pod kątem akcji na podstawie jego identyfikatora zagrożenia.

Jak są obsługiwane konflikty zasad

W przypadkach, gdy wskaźniki usługi Defender for Endpoint powodują konflikt, oto czego można się spodziewać:

  • Jeśli występują sprzeczne wskaźniki plików, zostanie zastosowany wskaźnik, który używa najbezpieczniejszego skrótu. Na przykład sha256 ma pierwszeństwo przed SHA-1, który ma pierwszeństwo przed MD5.

  • Jeśli występują sprzeczne wskaźniki adresu URL, używany jest bardziej rygorystyczny wskaźnik. W przypadku Microsoft Defender filtru SmartScreen jest stosowany wskaźnik, który używa najdłuższej ścieżki adresu URL. Na przykład www.dom.ain/admin/ ma pierwszeństwo www.dom.ainprzed . (Ochrona sieci dotyczy domen, a nie podstron w domenie).

  • Jeśli istnieją podobne wskaźniki dla pliku lub procesu, które mają różne akcje, wskaźnik ograniczony do określonej grupy urządzeń ma pierwszeństwo przed wskaźnikiem przeznaczonym dla wszystkich urządzeń.

Jak zautomatyzowane badanie i korygowanie działa ze wskaźnikami

Funkcje zautomatyzowanego badania i korygowania w usłudze Defender for Endpoint najpierw określają werdykt dla każdego dowodu, a następnie podejmują działania w zależności od wskaźników usługi Defender for Endpoint. W związku z tym plik/proces może uzyskać werdykt "dobry" (co oznacza, że nie znaleziono żadnych zagrożeń) i nadal być zablokowany, jeśli istnieje wskaźnik z tej akcji. Podobnie, jednostka może uzyskać werdykt "zły" (co oznacza, że jest zdecydowany na złośliwy) i nadal być dozwolone, jeśli istnieje wskaźnik z tej akcji.

Aby uzyskać więcej informacji, zobacz zautomatyzowane badanie, korygowanie i wskaźniki.

Inne obciążenia i wykluczenia serwera

Jeśli organizacja korzysta z innych obciążeń serwera, takich jak Exchange Server, SharePoint Server lub SQL Server, należy pamiętać, że tylko wbudowane role serwera (które mogą być wymaganiami wstępnymi dotyczącymi oprogramowania instalowanego później) w systemie Windows Server są wykluczane przez funkcję automatycznych wykluczeń ról serwera (i tylko w przypadku korzystania z ich domyślnej lokalizacji instalacji). Prawdopodobnie konieczne będzie zdefiniowanie wykluczeń ochrony antywirusowej dla tych innych obciążeń lub dla wszystkich obciążeń, jeśli wyłączysz automatyczne wykluczenia.

Poniżej przedstawiono kilka przykładów dokumentacji technicznej w celu zidentyfikowania i zaimplementowania wymaganych wykluczeń:

W zależności od tego, czego używasz, może być konieczne skorzystanie z dokumentacji dla tego obciążenia serwera.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.