Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Windows Server z oprogramowaniem SAP
Dotyczy:
Jeśli Twoja organizacja korzysta z oprogramowania SAP, ważne jest zrozumienie zgodności i obsługi oprogramowania antywirusowego i EDR w Ochrona punktu końcowego w usłudze Microsoft Defender i aplikacji SAP. Ten artykuł ułatwia zrozumienie pomocy technicznej zapewnianej przez oprogramowanie SAP dla rozwiązań zabezpieczeń programu Endpoint Protection, takich jak Defender for Endpoint, oraz sposobu interakcji z aplikacjami SAP.
W tym artykule opisano sposób używania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Windows Server wraz z aplikacjami SAP, takimi jak NetWeaver i S4 Hana, oraz autonomicznymi aparatami SAP, takimi jak LiveCache. W tym artykule skoncentrujemy się na programie antywirusowym i możliwościach EDR w usłudze Defender for Endpoint. Aby zapoznać się ze wszystkimi możliwościami usługi Defender for Endpoint, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender.
Ten artykuł nie obejmuje oprogramowania klienckiego SAP, takiego jak SAPGUI lub program antywirusowy Microsoft Defender na urządzeniach klienckich z systemem Windows.
Zabezpieczenia przedsiębiorstwa i twój zespół SAP Basis
Zabezpieczenia przedsiębiorstwa to rola specjalistyczna, a działania opisane w tym artykule powinny być planowane jako wspólna działalność zespołu ds. zabezpieczeń przedsiębiorstwa i zespołu SAP Basis. Zespół ds. zabezpieczeń przedsiębiorstwa musi koordynować działania z zespołem SAP Basis i wspólnie zaprojektować konfigurację usługi Defender for Endpoint i przeanalizować wszelkie wykluczenia.
Zapoznaj się z omówieniem usługi Defender for Endpoint
Usługa Defender for Endpoint jest składnikiem Microsoft Defender XDR i może być zintegrowana z rozwiązaniem SIEM/SOAR.
Zanim zaczniesz planować lub wdrażać usługę Defender for Endpoint w systemie Windows Server za pomocą oprogramowania SAP, poświęć chwilę na omówienie usługi Defender for Endpoint. Poniższe wideo zawiera omówienie:
Aby uzyskać bardziej szczegółowe informacje na temat usługi Defender for Endpoint i ofert zabezpieczeń firmy Microsoft, zobacz następujące zasoby:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Dokumentacja i szkolenia dotyczące zabezpieczeń firmy Microsoft — dokumentacja zabezpieczeń
Usługa Defender for Endpoint obejmuje możliwości wykraczane poza zakres tego artykułu. W tym artykule skupimy się na dwóch głównych obszarach:
- Ochrona nowej generacji (obejmująca ochronę antywirusową). Ochrona nowej generacji jest produktem antywirusowym, podobnie jak inne rozwiązania antywirusowe dla środowisk systemu Windows.
- Wykrywanie i reagowanie punktów końcowych (EDR). Funkcje EDR wykrywają podejrzane działania i wywołania systemowe oraz zapewniają dodatkową warstwę ochrony przed zagrożeniami, które pomijają ochronę antywirusową.
Firma Microsoft i inni dostawcy oprogramowania zabezpieczającego śledzą zagrożenia i udostępniają informacje o trendach. Aby uzyskać informacje, zobacz Cyberthreats, viruses, and malware - Microsoft Security Intelligence.
Uwaga
Aby uzyskać informacje na temat Microsoft Defender dla oprogramowania SAP w systemie Linux, zobacz Wskazówki dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux for SAP. Usługa Defender for Endpoint w systemie Linux znacznie różni się od wersji systemu Windows.
Instrukcja pomocy technicznej sap w usłudze Defender for Endpoint i innych rozwiązaniach zabezpieczeń
Oprogramowanie SAP udostępnia podstawową dokumentację konwencjonalnych rozwiązań antywirusowych do skanowania plików. Konwencjonalne rozwiązania antywirusowe do skanowania plików porównują sygnatury plików z bazą danych znanych zagrożeń. Po zidentyfikowaniu zainfekowanego pliku oprogramowanie antywirusowe zwykle wysyła alerty i podda go kwarantannie. Mechanizmy i zachowanie rozwiązań antywirusowych do skanowania plików są dość dobrze znane i przewidywalne; W związku z tym obsługa oprogramowania SAP może zapewnić podstawowy poziom obsługi aplikacji SAP, które wchodzą w interakcje z oprogramowaniem antywirusowym do skanowania plików.
Zagrożenia oparte na plikach są teraz tylko jednym z możliwych wektorów złośliwego oprogramowania. Złośliwe oprogramowanie bez plików i złośliwe oprogramowanie, które żyje poza lądem, wysoce polimorficzne zagrożenia, które mutują szybciej niż tradycyjne rozwiązania, mogą nadążyć za atakami obsługiwanymi przez człowieka, które dostosowują się do tego, co przeciwnicy znajdują na urządzeniach, których bezpieczeństwo zostało naruszone. Tradycyjne rozwiązania zabezpieczeń antywirusowych nie wystarczą do powstrzymania takich ataków. Wymagane są funkcje wspierane przez sztuczną inteligencję (AI) i uczenie urządzeń (ML), takie jak blokowanie zachowań i hermetyzacja. Oprogramowanie zabezpieczające, takie jak Defender for Endpoint, ma zaawansowane funkcje ochrony przed zagrożeniami w celu wyeliminowania nowoczesnych zagrożeń.
Usługa Defender for Endpoint stale monitoruje wywołania systemu operacyjnego, takie jak odczyt plików, zapis plików, tworzenie gniazda i inne operacje na poziomie procesu. Czujnik EDR usługi Defender for Endpoint uzyskuje oportunistyczne blokady w lokalnych systemach plików NTFS i dlatego jest mało prawdopodobne, aby wpływał na aplikacje. Blokady oportunistyczne nie są możliwe w zdalnych systemach plików sieciowych. W rzadkich przypadkach blokada może powodować ogólne błędy niespecyficzne, takie jak odmowa dostępu w aplikacjach SAP.
Oprogramowanie SAP nie jest w stanie zapewnić żadnego poziomu obsługi oprogramowania EDR/XDR, takiego jak Microsoft Defender XDR lub Defender for Endpoint. Mechanizmy w takich rozwiązaniach są adaptacyjne; W związku z tym nie są przewidywalne. Ponadto problemy mogą nie być powtarzalne. Gdy problemy są identyfikowane w systemach z zaawansowanymi rozwiązaniami zabezpieczeń, firma SAP zaleca wyłączenie oprogramowania zabezpieczającego, a następnie podjęcie próby odtworzenia problemu. Następnie można zgłaszać zgłoszenie do dostawcy oprogramowania zabezpieczającego.
Aby uzyskać więcej informacji na temat zasad pomocy technicznej sap, zobacz 3356389 — oprogramowanie antywirusowe lub inne oprogramowanie zabezpieczające wpływające na operacje SAP.
Zalecane uwagi dotyczące systemu operacyjnego SAP
Oto lista artykułów sap, których można użyć w razie potrzeby:
- 3356389 — oprogramowanie antywirusowe lub inne oprogramowanie zabezpieczające wpływające na operacje SAP — SAP for Me
- 106267 — oprogramowanie skanera antywirusowego w systemie Windows — SAP for Me
- 690449 — plik blokady buforu transportu (. Lob) pozostaje zablokowany w systemie Windows — SAP for Me
- 2311946 — błędy systemu plików w systemie Windows — SAP for Me
- 2496239 — Oprogramowanie wymuszające okup /złośliwe oprogramowanie w systemie Windows — SAP for Me
- 1497394 — które pliki i katalogi powinny zostać wykluczone ze skanowania antywirusowego dla produktów SAP BusinessObjects Business Intelligence Platform w systemie Windows? - SAP dla mnie
Aplikacje SAP w systemie Windows Server: 10 najważniejszych zaleceń
Ogranicz dostęp do serwerów SAP, zablokuj porty sieciowe i podejmij wszystkie inne typowe środki ochrony zabezpieczeń. Ten pierwszy krok jest niezbędny. Krajobraz zagrożeń ewoluował od wirusów opartych na plikach do złożonych i zaawansowanych zagrożeń bez plików. Akcje, takie jak blokowanie portów i ograniczanie logowania/dostępu do maszyn wirtualnych , nie są już uważane za wystarczające do pełnego wyeliminowania nowoczesnych zagrożeń.
Przed wdrożeniem w systemach produkcyjnych wdróż usługę Defender for Endpoint w systemach nieprodukcyjnych. Wdrażanie usługi Defender for Endpoint bezpośrednio w systemach produkcyjnych bez testowania jest wysoce ryzykowne i może prowadzić do przestojów. Jeśli nie możesz opóźnić wdrażania usługi Defender for Endpoint w systemach produkcyjnych, rozważ tymczasowe wyłączenie ochrony przed naruszeniami i ochrony w czasie rzeczywistym.
Pamiętaj, że ochrona w czasie rzeczywistym jest domyślnie włączona w systemie Windows Server. Jeśli zostaną zidentyfikowane problemy, które mogą być związane z usługą Defender for Endpoint, zaleca się skonfigurowanie wykluczeń i/lub otwarcie zgłoszenia pomocy technicznej za pośrednictwem portalu Microsoft Defender.
Zespół SAP Basis i twój zespół ds. zabezpieczeń współpracują ze sobą we wdrożeniu usługi Defender for Endpoint. Oba zespoły muszą wspólnie utworzyć etapowy plan wdrażania, testowania i monitorowania.
Narzędzia takie jak PerfMon (Windows) umożliwiają utworzenie punktu odniesienia wydajności przed wdrożeniem i aktywowaniem usługi Defender for Endpoint. Porównaj wykorzystanie wydajności przed aktywacją usługi Defender for Endpoint i po jej uaktywnieniu. Zobacz perfmon.
Wdróż najnowszą wersję usługi Defender for Endpoint i użyj najnowszych wersji systemu Windows, najlepiej systemu Windows Server 2019 lub nowszego. Zobacz Minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender.
Skonfiguruj pewne wykluczenia dla programu antywirusowego Microsoft Defender. Obejmują one:
- Pliki danych DBMS, pliki dziennika i pliki tymczasowe, w tym dyski zawierające pliki kopii zapasowej
- Cała zawartość katalogu SAPMNT
- Cała zawartość katalogu SAPLOC
- Cała zawartość katalogu TRANS
- Cała zawartość katalogów dla silników autonomicznych, takich jak TREX
Użytkownicy zaawansowani mogą rozważyć użycie kontekstowych wykluczeń plików i folderów.
Aby uzyskać więcej informacji na temat wykluczeń DBMS, użyj następujących zasobów:
- SQL Server: Konfigurowanie oprogramowania antywirusowego do pracy z SQL Server
- Oracle: How to Configure Anti-Virus on Oracle Database Server (Doc ID 782354.1)
- DB2: Które katalogi DB2 do wykluczenia z oprogramowania antywirusowego systemu Linux (użyj tych samych poleceń w systemie Windows Server)
- SAP ASE: Skontaktuj się z sapem
- MaxDB: Skontaktuj się z sapem
Sprawdź ustawienia usługi Defender dla punktu końcowego. Microsoft Defender program antywirusowy z aplikacjami SAP powinien mieć następujące ustawienia w większości przypadków:
AntivirusEnabled : True
AntivirusSignatureAge : 0
BehaviorMonitorEnabled : True
DefenderSignaturesOutOfDate : False
IsTamperProtected : True
RealTimeProtectionEnabled : True
Użyj narzędzi, takich jak Intune lub zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint, aby skonfigurować usługę Defender dla punktu końcowego. Takie narzędzia mogą pomóc w zapewnieniu, że usługa Defender for Endpoint jest skonfigurowana poprawnie i jednolicie wdrożona.
Aby korzystać z zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint, w portalu Microsoft Defender przejdź doobszaru Zasady zabezpieczeń punktu końcowegozarządzania konfiguracją>punktów końcowych>, a następnie wybierz pozycję Utwórz nowe zasady. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami zabezpieczeń punktu końcowego w Ochrona punktu końcowego w usłudze Microsoft Defender.
Użyj najnowszej wersji usługi Defender for Endpoint. W usłudze Defender for Endpoint w systemie Windows zaimplementowano kilka nowych funkcji, które zostały przetestowane za pomocą systemów SAP. Te nowe funkcje zmniejszają blokowanie i zmniejszają zużycie procesora CPU. Aby uzyskać więcej informacji na temat nowych funkcji, zobacz Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender.
Metodologia wdrażania
Zarówno oprogramowanie SAP, jak i firma Microsoft nie zalecają wdrażania usługi Defender for Endpoint w systemie Windows bezpośrednio we wszystkich systemach deweloperskich, qas i produkcyjnych jednocześnie i/lub bez starannego testowania i monitorowania. Klienci, którzy wdrożyli usługę Defender for Endpoint i inne podobne oprogramowanie w niekontrolowany sposób bez odpowiedniego testowania, doświadczyli przestoju systemu.
Usługa Defender for Endpoint w systemie Windows oraz wszelkie inne zmiany oprogramowania lub konfiguracji należy najpierw wdrożyć w systemach deweloperskich, zweryfikować je w usłudze QAS, a dopiero następnie wdrożyć w środowiskach produkcyjnych.
Użycie narzędzi, takich jak zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint w celu wdrożenia usługi Defender for Endpoint w całym środowisku SAP bez testowania, może powodować przestoje.
Poniżej przedstawiono listę elementów, które należy sprawdzić:
Wdróż usługę Defender for Endpoint z włączoną ochroną przed naruszeniami. Jeśli wystąpią problemy, włącz tryb rozwiązywania problemów, wyłącz ochronę przed naruszeniami, wyłącz ochronę w czasie rzeczywistym i skonfiguruj zaplanowane skanowanie.
Wyklucz pliki DBMS i pliki wykonywalne zgodnie z zaleceniami dostawcy usługi DBMS.
Analizowanie katalogów SAPMNT, SAP TRANS_DIR, Spool i Job Log. Jeśli istnieje więcej niż 100 000 plików, rozważ archiwizowanie w celu zmniejszenia liczby plików.
Potwierdź limity wydajności i limity przydziału udostępnionego systemu plików używanego w systemie SAPMNT. Źródłem udziału SMB może być urządzenie NetApp, dysk udostępniony systemu Windows Server lub Azure Files SMB.
Skonfiguruj wykluczenia, aby wszystkie serwery aplikacji SAP nie skanują jednocześnie udziału SAPMNT, ponieważ mogą przeciążyć udostępniony serwer magazynu.
Ogólnie rzecz biorąc, pliki interfejsu hosta na dedykowanym serwerze plików innych niż SAP. Pliki interfejsu są rozpoznawane jako wektor ataku. Na tym dedykowanym serwerze plików należy aktywować ochronę w czasie rzeczywistym. Serwery SAP Nigdy nie powinny być używane jako serwery plików dla plików interfejsu.
Uwaga
Niektóre duże systemy SAP mają ponad 20 serwerów aplikacji SAP, z których każdy ma połączenie z tym samym udziałem SMB SAPMNT. 20 serwerów aplikacji jednocześnie skanujących ten sam serwer SMB może przeciążyć serwer SMB. Zaleca się wykluczenie oprogramowania SAPMNT z regularnych skanów.
Ważne ustawienia konfiguracji dla usługi Defender for Endpoint w systemie Windows Server z oprogramowaniem SAP
Zapoznaj się z omówieniem Ochrona punktu końcowego w usłudze Microsoft Defender. W szczególności zapoznaj się z informacjami na temat ochrony nowej generacji i EDR.
Uwaga
Termin Defender jest czasami używany do odwoływania się do całego zestawu produktów i rozwiązań. Zobacz Co to jest Microsoft Defender XDR?. W tym artykule skoncentrujemy się na programie antywirusowym i możliwościach EDR w usłudze Defender for Endpoint.
Sprawdź stan programu antywirusowego Microsoft Defender. Otwórz wiersz polecenia i uruchom następujące polecenia programu PowerShell:
Get-MpComputerStatus, w następujący sposób:
Get-MpPreference |Select-Object -Property DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting
Oczekiwane dane wyjściowe dla
Get-MpComputerStatus
:DisableCpuThrottleOnIdleScans : True DisableRealtimeMonitoring : False DisableScanningMappedNetworkDrivesForFullScan : True DisableScanningNetworkFiles : False ExclusionPath : <<configured exclusions will show here>> MAPSReporting : 2
Get-MpPreference, w następujący sposób:
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled
Oczekiwane dane wyjściowe dla
Get-MpPreference
:AMRunningMode : Normal AntivirusEnabled : True BehaviorMonitorEnabled : True IsTamperProtected : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : True
Sprawdź stan EDR. Otwórz wiersz polecenia, a następnie uruchom następujące polecenie:
PS C:\Windows\System32> Get-Service -Name sense | FL *
Powinny zostać wyświetlone dane wyjściowe podobne do następującego fragmentu kodu:
Name : sense RequiredServices : {} CanPauseAndContinue : False CanShutdown : False CanStop : False DisplayName : Windows Defender Advanced Threat Protection Service DependentServices : {} MachineName : . ServiceName : sense ServicesDependedOn : {} ServiceHandle : Status : Running ServiceType : Win32OwnProcess StartType : Automatic Site : Container :
Wartości, które chcesz zobaczyć, to
Status: Running
iStartType: Automatic
.Aby uzyskać więcej informacji na temat danych wyjściowych, zobacz Przeglądanie zdarzeń i błędów przy użyciu Podgląd zdarzeń.
Upewnij się, że program antywirusowy Microsoft Defender jest aktualny. Najlepszym sposobem na upewnienie się, że ochrona antywirusowa jest aktualna, jest użycie Windows Update. Jeśli wystąpią problemy lub wystąpi błąd, skontaktuj się z zespołem ds. zabezpieczeń.
Aby uzyskać więcej informacji na temat aktualizacji, zobacz Microsoft Defender Analiza zabezpieczeń programu antywirusowego i aktualizacje produktów.
Upewnij się, że monitorowanie zachowania jest włączone. Po włączeniu ochrony przed naruszeniami monitorowanie zachowania jest domyślnie włączone. Użyj domyślnej konfiguracji włączonej ochrony przed naruszeniami, włączonego monitorowania zachowania i włączonego monitorowania w czasie rzeczywistym, chyba że zostanie zidentyfikowany konkretny problem.
Aby uzyskać więcej informacji, zobacz Wbudowana ochrona pomaga chronić przed oprogramowaniem wymuszającym okup.
Upewnij się, że ochrona w czasie rzeczywistym jest włączona. Bieżącą rekomendacją dla usługi Defender for Endpoint w systemie Windows jest włączenie skanowania w czasie rzeczywistym z włączoną ochroną przed naruszeniami, włączonym monitorowaniem zachowania i włączonym monitorowaniem w czasie rzeczywistym, chyba że zostanie zidentyfikowany konkretny problem.
Aby uzyskać więcej informacji, zobacz Wbudowana ochrona pomaga chronić przed oprogramowaniem wymuszającym okup.
Należy pamiętać, jak skany działają z udziałami sieciowymi. Domyślnie składnik programu antywirusowego Microsoft Defender w systemie Windows skanuje udostępnione systemy plików sieciowych SMB (na przykład udział
\\server\smb-share
systemu Windows Server lub udział NetApp), gdy te pliki są dostępne dla procesów.Usługa Defender for Endpoint EDR w systemie Windows może skanować udostępnione systemy plików sieciowych SMB. Czujnik EDR skanuje niektóre pliki, które są identyfikowane jako interesujące dla analizy EDR podczas operacji modyfikowania, usuwania i przenoszenia plików.
Usługa Defender for Endpoint w systemie Linux nie skanuje systemów plików NFS podczas zaplanowanych skanów.
Rozwiązywanie problemów z kondycją lub niezawodnością wykrywania. Aby rozwiązać takie problemy, użyj narzędzia Defender for Endpoint Client Analyzer. Analizator klienta usługi Defender for Endpoint może być przydatny podczas diagnozowania problemów z kondycją czujnika lub niezawodnością na dołączonych urządzeniach z systemem Windows, Linux lub macOS. Pobierz najnowszą wersję analizatora klienta usługi Defender for Endpoint tutaj: https://aka.ms/MDEAnalyzer.
Otwórz zgłoszenie do pomocy technicznej , jeśli potrzebujesz pomocy. Zobacz Kontakt z pomocą techniczną Ochrona punktu końcowego w usłudze Microsoft Defender.
Jeśli używasz produkcyjnych maszyn wirtualnych SAP z Microsoft Defender for Cloud, pamiętaj, że usługa Defender for Cloud wdraża rozszerzenie Defender for Endpoint na wszystkich maszynach wirtualnych. Jeśli maszyna wirtualna nie jest dołączona do usługi Defender for Endpoint, może być używana jako wektor ataku. Jeśli potrzebujesz więcej czasu na przetestowanie usługi Defender pod kątem punktu końcowego przed przejściem do środowiska produkcyjnego, skontaktuj się z pomocą techniczną.
Przydatne polecenia: Ochrona punktu końcowego w usłudze Microsoft Defender z oprogramowaniem SAP w systemie Windows Server
W poniższych sekcjach opisano sposób potwierdzania lub konfigurowania ustawień punktu końcowego usługi Defender przy użyciu programu PowerShell i wiersza polecenia:
Ręczne aktualizowanie definicji programu antywirusowego Microsoft Defender
Użyj Windows Update lub uruchom następujące polecenie:
PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate
Powinny zostać wyświetlone dane wyjściowe podobne do następującego fragmentu kodu:
Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>
Inną opcją jest użycie tego polecenia:
PS C:\Program Files\Windows Defender> Update-MpSignature
Aby uzyskać więcej informacji na temat tych poleceń, zobacz następujące zasoby:
Określanie, czy funkcja EDR w trybie bloku jest włączona
Funkcja EDR w trybie bloku zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy program antywirusowy Microsoft Defender nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. Możesz określić, czy funkcja EDR w trybie bloku jest włączona, uruchamiając następujące polecenie:
Get-MPComputerStatus|select AMRunningMode
Istnieją dwa tryby: tryb normalny i pasywny. Testowanie w systemach SAP odbywało się tylko w AMRunningMode = Normal
przypadku systemów SAP.
Aby uzyskać więcej informacji na temat tego polecenia, zobacz Get-MpComputerStatus.
Konfigurowanie wykluczeń programu antywirusowego
Przed skonfigurowaniem wykluczeń upewnij się, że zespół SAP Basis koordynuje działania z zespołem ds. zabezpieczeń. Wykluczenia należy skonfigurować centralnie, a nie na poziomie maszyny wirtualnej. Wykluczenia, takie jak udostępniony system plików SAPMNT, należy wykluczyć za pośrednictwem zasad przy użyciu portalu administracyjnego Intune.
Aby wyświetlić wykluczenia, użyj następującego polecenia:
Get-MpPreference | Select-Object -Property ExclusionPath
Aby uzyskać więcej informacji na temat tego polecenia, zobacz Get-MpComputerStatus.
Aby uzyskać więcej informacji na temat wykluczeń, zobacz następujące zasoby:
- Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
- Konfigurowanie wykluczeń niestandardowych dla programu antywirusowego Microsoft Defender
- Kontekstowe wykluczenia plików i folderów
Konfigurowanie wykluczeń EDR
Nie zaleca się wykluczania plików, ścieżek ani procesów z EDR, ponieważ takie wykluczenia obejmują ochronę przed nowoczesnymi zagrożeniami niefiltrowanymi. W razie potrzeby otwórz przypadek pomocy technicznej z pomoc techniczna firmy Microsoft za pośrednictwem portalu Microsoft Defender, określając pliki wykonywalne i/lub ścieżki do wykluczenia. Zobacz Kontakt z pomocą techniczną Ochrona punktu końcowego w usłudze Microsoft Defender.
Całkowite wyłączenie usługi Defender dla punktu końcowego w systemie Windows na potrzeby testowania
Uwaga
Nie zaleca się wyłączania oprogramowania zabezpieczającego, chyba że nie ma alternatywy do rozwiązania lub wyizolowania problemu.
Usługa Defender for Endpoint powinna być skonfigurowana z włączoną ochroną przed naruszeniami . Aby tymczasowo wyłączyć usługę Defender dla punktu końcowego w celu izolowania problemów, użyj trybu rozwiązywania problemów.
Aby zamknąć różne podkomponenty rozwiązania antywirusowego Microsoft Defender, uruchom następujące polecenia:
Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled
Aby uzyskać więcej informacji na temat tych poleceń, zobacz Set-MpPreference.
Ważna
Nie można wyłączyć podskładników EDR na urządzeniu. Jedynym sposobem wyłączenia EDR jest odłączenie urządzenia.
Aby wyłączyć ochronę dostarczaną w chmurze (Microsoft Advanced Protection Service lub MAPS), uruchom następujące polecenia:
PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled
Aby uzyskać więcej informacji na temat ochrony dostarczanej w chmurze, zobacz następujące zasoby:
- Ochrona w chmurze i program antywirusowy Microsoft Defender
- Ochrona w chmurze i przesyłanie przykładowe w programie antywirusowym Microsoft Defender (jeśli rozważasz, czy używać automatycznego przesyłania przykładów z zasadami zabezpieczeń)