Compartilhar via


Descrição geral das exclusões

Microsoft Defender para Ponto de Extremidade e Defender para Empresas inclui uma vasta gama de capacidades para prevenir, detetar, investigar e responder a ciberameaças avançadas. A Microsoft pré-configura o produto para ter um bom desempenho no sistema operativo que está instalado. Não devem ser necessárias outras alterações. Apesar das definições pré-configuradas, por vezes ocorrem comportamentos inesperados. Aqui estão alguns exemplos:

  • Falsos positivos: os ficheiros, pastas ou processos que não são realmente uma ameaça podem ser detetados como maliciosos pelo Defender para Endpoint ou Microsoft Defender Antivírus. Estas entidades podem ser bloqueadas ou enviadas para quarentena, mesmo que não sejam uma ameaça.
  • Problemas de desempenho: os sistemas têm um impacto inesperado no desempenho ao executar com o Defender para Endpoint
  • Problemas de compatibilidade de aplicações: as aplicações têm um comportamento inesperado ao executar com o Defender para Endpoint

Criar uma exclusão é uma abordagem possível para resolver estes tipos de problemas. Mas muitas vezes há outros passos que pode seguir. Além de fornecer uma descrição geral dos indicadores e exclsuions, este artigo inclui Alternativas à criação de exclusões e indicadores de permissão.

Observação

A criação de um indicador ou uma exclusão só deve ser considerada depois de compreender exaustivamente a causa do comportamento inesperado.

Exemplos de problemas e passos a considerar

Cenário de exemplo Passos a considerar
Falso positivo: uma entidade, como um ficheiro ou um processo, foi detetada e identificada como maliciosa, embora a entidade não seja uma ameaça. 1. Reveja e classifique os alertas que foram gerados como resultado da entidade detetada.
2. Suprimir um alerta para uma entidade conhecida.
3. Reveja as ações de remediação executadas para a entidade detetada.
4. Submeta o falso positivo à Microsoft para análise.
5. Definir um indicador ou uma exclusão para a entidade (apenas se necessário).
Problemas de desempenho , como um dos seguintes problemas:
- Um sistema está a ter uma utilização elevada da CPU ou outros problemas de desempenho.
- Um sistema está a ter problemas de fuga de memória.
- Uma aplicação demora a carregar nos dispositivos.
- Uma aplicação demora a abrir um ficheiro nos dispositivos.
1. Recolha dados de diagnóstico do Antivírus Microsoft Defender.
2. Se estiver a utilizar uma solução antivírus que não seja da Microsoft, marcar com o fornecedor para ver se existem problemas conhecidos com produtos antivírus.
3. Analise o Registo de Proteção da Microsoft para ver o impacto estimado no desempenho. Para problemas específicos de desempenho relacionados com o Antivírus Microsoft Defender, utilize o Analisador de desempenho para Microsoft Defender Antivírus.
4. Defina uma exclusão para Microsoft Defender Antivírus (se necessário).
5. Crie um indicador para o Defender para Endpoint (apenas se necessário).
Problemas de compatibilidade com produtos antivírus não Microsoft.
Exemplo: o Defender para Endpoint baseia-se em atualizações de informações de segurança para dispositivos, quer estejam a executar Microsoft Defender Antivírus ou numa solução antivírus que não seja da Microsoft.
1. Se estiver a utilizar um produto antivírus que não seja da Microsoft como a sua principal solução antivírus/antimalware, defina Microsoft Defender Antivírus para o modo passivo.
2. Se estiver a mudar de uma solução antivírus/antimalware que não seja da Microsoft para o Defender para Endpoint, consulte Mudar para o Defender para Endpoint. Essas orientações incluem:
- Exclusões que poderá ter de definir para a solução antivírus/antimalware não Microsoft;
- Exclusões que poderá ter de definir para Microsoft Defender Antivírus; e
- Informações de resolução de problemas (caso algo corra mal durante a migração).
Compatibilidade com aplicações.
Exemplo: as aplicações estão a falhar ou a ter comportamentos inesperados depois de um dispositivo ser integrado no Microsoft Defender para Ponto de Extremidade.
Veja Abordar comportamentos indesejados em Microsoft Defender para Ponto de Extremidade com exclusões, indicadores e outras técnicas.

Alternativas à criação de exclusões e indicadores de permissão

Criar uma exclusão ou um indicador de permissão cria uma lacuna de proteção. Estas técnicas só devem ser utilizadas depois de determinar a causa principal do problema. Até que essa determinação seja feita, considere estas alternativas:

  • Submeter um ficheiro à Microsoft para análise
  • Suprimir um alerta

Submeter ficheiros para análise

Se tiver um ficheiro que considere que foi detetado incorretamente como software maligno (um falso positivo) ou um ficheiro que suspeita ser software maligno, mesmo que não tenha sido detetado (um falso negativo), pode submeter o ficheiro à Microsoft para análise. A sua submissão é analisada imediatamente e, em seguida, será revista pelos analistas de segurança da Microsoft. Pode marcar a status da sua submissão na página do histórico de submissões.

Submeter ficheiros para análise ajuda a reduzir falsos positivos e falsos negativos para todos os clientes. Para saber mais, veja estes artigos:

Suprimir alertas

Se estiver a receber alertas no portal do Microsoft Defender para ferramentas ou processos que sabe que não são realmente uma ameaça, pode suprimir esses alertas. Para suprimir um alerta, crie uma regra de supressão e especifique que ações tomar para esse alerta noutros alertas idênticos. Pode criar regras de supressão para um alerta específico num único dispositivo ou para todos os alertas que tenham o mesmo título na sua organização.

Para saber mais, veja estes artigos:

Tipos de exclusões

Existem vários tipos diferentes de exclusões a considerar. Alguns tipos de exclusões afetam múltiplas capacidades no Defender para Endpoint, enquanto outros tipos são específicos Microsoft Defender Antivírus.

Para obter informações sobre indicadores, veja Descrição geral dos indicadores no Microsoft Defender para Ponto de Extremidade.

Exclusões personalizadas

Microsoft Defender para Ponto de Extremidade permite-lhe configurar exclusões personalizadas para otimizar o desempenho e evitar falsos positivos. Os tipos de exclusões que pode definir variam consoante as capacidades do Defender para Endpoint e os sistemas operativos.

A tabela seguinte resume os tipos de exclusões personalizadas que pode definir. Tenha em atenção o âmbito de cada tipo de exclusão.

Tipos de exclusão Escopo Casos de uso
Exclusões personalizadas do Defender para Ponto Final Antivírus
Regras de redução de superfície de ataque
Pilot Defender para Ponto de Extremidade
Proteção de Rede
Um ficheiro, pasta ou processo é identificado como malicioso, mesmo que não seja uma ameaça.

Uma aplicação encontra um problema de compatibilidade de aplicações ou desempenho inesperado ao executar com o Defender para Endpoint
Exclusões de redução da superfície de ataque do Defender para Endpoint Regras de redução de superfície de ataque Uma regra de redução da superfície de ataque causa um comportamento inesperado.
Exclusões de pastas de automatização do Defender para Endpoint Investigação e resposta automatizadas A investigação e a remediação automatizadas tomam medidas num ficheiro, extensão ou diretório que deve ser feito manualmente.
Exclusões de acesso a pastas controladas pelo Defender para Endpoint Acesso a pastas controladas O acesso controlado a pastas impede que uma aplicação aceda a uma pasta protegida.
Indicadores de Permissão de Certificado e Ficheiro do Defender para Ponto Final Antivírus
Regras de redução de superfície de ataque
Acesso a pastas controladas
Um ficheiro ou processo assinado por um certificado é identificado como malicioso, mesmo que não o seja.
Indicadores de Domínio/URL e endereço IP do Defender para Ponto Final Proteção de Rede
SmartScreen
Filtragem de Conteúdo Web
O SmartScreen comunica um falso positivo.

Quer substituir um bloco de Filtragem de Conteúdo Web num site específico.

Observação

A proteção de rede é diretamente afetada pelas exclusões de processos em todas as plataformas. Uma exclusão de processos em qualquer SO (Windows, MacOS, Linux) resulta em impedir que a Proteção de Rede inspecione o tráfego ou aplique regras para esse processo específico.

Exclusões no Mac

Para macOS, pode definir exclusões que se aplicam a análises a pedido, proteção em tempo real e monitorização. Os tipos de exclusão suportados incluem:

  • Extensão de ficheiro: exclua todos os ficheiros com uma extensão específica.
  • Ficheiro: exclua um ficheiro específico identificado pelo caminho completo.
  • Pasta: exclua todos os ficheiros numa pasta especificada de forma recursiva.
  • Processo: exclua um processo específico e todos os ficheiros abertos pelo mesmo.

Para obter mais informações, veja Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no macOS.

Exclusões no Linux

No Linux, pode configurar exclusões antivírus e globais.

  • Exclusões de antivírus: aplique-se a análises a pedido, proteção em tempo real (RTP) e monitorização de comportamento (BM).
  • Exclusões globais: aplique a proteção em tempo real (RTP), monitorização de comportamento (BM) e deteção e resposta de pontos finais (EDR), parando todas as deteções de antivírus associadas e alertas EDR.

Para mais informações, confira Configurar e validar exclusões no Microsoft Defender para Ponto de Extremidade no Linux.

Exclusões no Windows

Microsoft Defender o Antivírus pode ser configurado para excluir combinações de processos, ficheiros e extensões de análises agendadas, análises a pedido e proteção em tempo real. Veja Configurar exclusões personalizadas para o Antivírus Microsoft Defender.

Para um controlo mais granular que ajuda a minimizar as lacunas de proteção, considere utilizar exclusões de processos e ficheiros contextuais.

Exclusões pré-configuradas do antivírus

Estes tipos de exclusão estão pré-configurados no Microsoft Defender para Ponto de Extremidade para o Antivírus Microsoft Defender.

Tipos de exclusão Configuração Descrição
Exclusões automáticas do Antivírus de Microsoft Defender Automático Exclusões Automáticas para funções de servidor e funcionalidades no Windows Server. Quando instala uma função no Windows Server 2016 ou posterior, Microsoft Defender Antivírus inclui exclusões automáticas para a função de servidor e quaisquer ficheiros adicionados durante a instalação da função.
Estas exclusões destinam-se apenas a funções ativas no Windows Server 2016 e posterior.
Exclusões incorporadas do Antivírus do Microsoft Defender Automático Microsoft Defender Antivírus inclui exclusões incorporadas para ficheiros do sistema operativo em todas as versões do Windows.

Exclusões automáticas de funções de servidor

As exclusões automáticas de funções de servidor incluem exclusões para funções de servidor e funcionalidades no Windows Server 2016 e posterior. Estas exclusões não são analisadas pela proteção em tempo real , mas ainda estão sujeitas a análises antivírus rápidas, completas ou a pedido.

Os exemplos incluem:

  • Serviço de Replicação de Ficheiros (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • Servidor DNS
  • Servidor de Impressão
  • Servidor Web
  • Windows Server Update Services
  • ... e muito mais.

Observação

As exclusões automáticas para funções de servidor não são suportadas no Windows Server 2012 R2. Para servidores com Windows Server 2012 R2 com a função de servidor Active Directory Domain Services (AD DS) instalada, as exclusões para controladores de domínio têm de ser especificadas manualmente. Veja Exclusões do Active Directory.

Para obter mais informações, veja Exclusões automáticas de funções de servidor.

Exclusões de antivírus incorporadas

As exclusões de antivírus incorporadas incluem determinados ficheiros do sistema operativo que são excluídos pelo Antivírus Microsoft Defender em todas as versões do Windows (incluindo Windows 10, Windows 11 e Windows Server).

Os exemplos incluem:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • Windows Update ficheiros
  • Segurança do Windows ficheiros
  • ... e muito mais.

A lista de exclusões incorporadas no Windows é mantida atualizada à medida que o panorama das ameaças muda. Para saber mais sobre estas exclusões, veja Microsoft Defender Exclusões antivírus no Windows Server: Exclusões incorporadas.

Exclusões de redução da superfície de ataque

As regras de redução da superfície de ataque (também conhecidas como regras ASR) visam determinados comportamentos de software, tais como:

  • Iniciar ficheiros executáveis e scripts que tentam transferir ou executar ficheiros
  • Executar scripts que parecem estar ocultados ou suspeitos
  • Executar comportamentos que as aplicações normalmente não iniciam durante o trabalho normal do dia-a-dia

Por vezes, as aplicações legítimas apresentam comportamentos de software que podem ser bloqueados por regras de redução da superfície de ataque. Se isso estiver a ocorrer na sua organização, pode definir exclusões para determinados ficheiros e pastas. Estas exclusões são aplicadas a todas as regras de redução da superfície de ataque. Consulte Ativar regras de redução da superfície de ataque.

Observação

As regras de redução da superfície de ataque honram as exclusões do processo, mas nem todas as regras de redução da superfície de ataque honram Microsoft Defender exclusões antivírus. Veja Referência das regras de redução da superfície de ataque - Microsoft Defender Exclusões de antivírus e regras ASR.

Exclusões de pastas de automatização

As exclusões de pastas de automatização aplicam-se à investigação e remediação automatizadas no Defender para Endpoint, que foi concebida para examinar alertas e tomar medidas imediatas para resolve falhas detetadas. À medida que os alertas são acionados e uma investigação automatizada é executada, é alcançado um veredicto (Malicioso, Suspeito ou Nenhuma ameaça encontrada) para cada prova investigada. Consoante o nível de automatização e outras definições de segurança, as ações de remediação podem ocorrer automaticamente ou apenas após aprovação pela sua equipa de operações de segurança.

Pode especificar pastas, extensões de ficheiros num diretório específico e nomes de ficheiros a serem excluídos das capacidades de investigação e remediação automatizadas. Estas exclusões de pastas de automatização aplicam-se a todos os dispositivos integrados no Defender para Endpoint. Estas exclusões ainda estão sujeitas a análises antivírus.

Para obter mais informações, veja Gerir exclusões de pastas de automatização.

Exclusões de acesso controlado a pastas

O acesso controlado a pastas monitoriza as aplicações relativamente a atividades que são detetadas como maliciosas e protege o conteúdo de determinadas pastas (protegidas) em dispositivos Windows. O acesso controlado a pastas permite que apenas as aplicações fidedignas acedam a pastas protegidas, como pastas de sistema comuns (incluindo setores de arranque) e outras pastas que especificar. Pode permitir que determinadas aplicações ou executáveis assinados acedam a pastas protegidas ao definir exclusões.

Para obter mais informações, veja Personalizar o acesso controlado a pastas.

Ações de remediação personalizadas

Quando Microsoft Defender Antivírus deteta uma potencial ameaça durante a execução de uma análise, tenta remediar ou remover a ameaça detetada. Pode definir ações de remediação personalizadas para configurar a forma como Microsoft Defender Antivírus deve lidar com determinadas ameaças, se um ponto de restauro deve ser criado antes da remediação e quando as ameaças devem ser removidas.

Para obter mais informações, veja Configure remediation actions for Microsoft Defender Antivirus detections (Configurar ações de remediação para deteções de antivírus Microsoft Defender).

Como as exclusões e os indicadores são avaliados

A maioria das organizações tem vários tipos diferentes de exclusões e indicadores para determinar se os utilizadores devem conseguir aceder e utilizar um ficheiro ou processo. As exclusões e os indicadores são processados por uma ordem específica para que os conflitos de política sejam tratados sistematicamente.

Veja como funciona:

  1. Se um ficheiro/processo detetado não for permitido pelo Controlo de Aplicações do Windows Defender e pelo AppLocker, este será bloqueado. Caso contrário, avança para Microsoft Defender Antivírus.

  2. Se o ficheiro/processo detetado não fizer parte de uma exclusão do Antivírus Microsoft Defender, será bloqueado. Caso contrário, o Defender para Endpoint verifica a existência de um indicador personalizado para o ficheiro/processo.

  3. Se o ficheiro/processo detetado tiver um indicador Bloquear ou Avisar, essa ação é efetuada. Caso contrário, o ficheiro/processo é permitido e avança para a avaliação por regras de redução da superfície de ataque, acesso controlado a pastas e proteção SmartScreen.

  4. Se o ficheiro/processo detetado não for bloqueado por regras de redução da superfície de ataque, acesso controlado a pastas ou proteção SmartScreen, avança para Microsoft Defender Antivírus.

  5. Se o ficheiro/processo detetado não for permitido pelo Antivírus Microsoft Defender, é verificada uma ação com base no respetivo ID de ameaça.

Como os conflitos de políticas são tratados

Nos casos em que os indicadores do Defender para Endpoint entram em conflito, eis o que esperar:

  • Se existirem indicadores de ficheiros em conflito, é aplicado o indicador que utiliza o hash mais seguro. Por exemplo, SHA256 tem precedência sobre SHA-1, que tem precedência sobre MD5.

  • Se existirem indicadores de URL em conflito, será utilizado o indicador mais rigoroso. Para Microsoft Defender SmartScreen, é aplicado um indicador que utiliza o caminho de URL mais longo. Por exemplo, www.dom.ain/admin/ tem precedência sobre www.dom.ain. (A proteção de rede aplica-se a domínios, em vez de subpáginas num domínio.)

  • Se existirem indicadores semelhantes para um ficheiro ou processo com ações diferentes, o indicador que está no âmbito de um grupo de dispositivos específico tem precedência sobre um indicador que visa todos os dispositivos.

Como funciona a investigação e a remediação automatizadas com indicadores

As capacidades automatizadas de investigação e remediação no Defender para Endpoint determinam primeiro um veredicto para cada prova e, em seguida, tomam uma ação consoante os indicadores do Defender para Endpoint. Assim, um ficheiro/processo poderia obter um veredicto de "bom" (o que significa que não foram encontradas ameaças) e ainda ser bloqueado se houver um indicador com essa ação. Da mesma forma, uma entidade pode obter um veredicto de "mau" (o que significa que está determinada como maliciosa) e ainda ser permitida se houver um indicador com essa ação.

Para obter mais informações, veja investigação e remediação automatizadas e indicadores.

Outras cargas de trabalho e exclusões do servidor

Se a sua organização estiver a utilizar outras cargas de trabalho de servidor, como Exchange Server, SharePoint Server ou SQL Server, tenha em atenção que apenas as funções de servidor incorporadas (que podem ser pré-requisitos para o software que instalar mais tarde) no Windows Server são excluídas pela funcionalidade de exclusões automáticas de funções de servidor (e apenas quando utilizar a localização de instalação predefinida). Provavelmente, terá de definir exclusões antivírus para estas outras cargas de trabalho ou para todas as cargas de trabalho se desativar as exclusões automáticas.

Eis alguns exemplos de documentação técnica para identificar e implementar as exclusões de que precisa:

Consoante o que estiver a utilizar, poderá ter de consultar a documentação dessa carga de trabalho do servidor.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.