Поделиться через

Обзор исключений

  • Статья

Microsoft Defender для конечной точки и Defender для бизнеса включает широкий спектр возможностей для предотвращения, обнаружения, исследования и реагирования на сложные киберугрозы. Корпорация Майкрософт предварительно настраивает продукт для обеспечения правильной работы в установленной операционной системе. Никаких других изменений не требуется. Несмотря на предварительно настроенные параметры, иногда возникает непредвиденное поведение. Ниже приводятся примеры:

  • Ложные срабатывания. Файлы, папки или процессы, которые на самом деле не являются угрозой, могут быть обнаружены как вредоносные с помощью Defender для конечной точки или антивирусной программы Microsoft Defender. Эти сущности могут быть заблокированы или отправлены в карантин, даже если они не представляют угрозы.
  • Проблемы с производительностью. Системы оказывают непредвиденное влияние на производительность при работе с Defender для конечной точки
  • Проблемы с совместимостью приложений. Приложения сталкиваются с непредвиденным поведением при запуске с помощью Defender для конечной точки

Создание исключения — один из возможных подходов к решению таких проблем. Но часто есть и другие шаги, которые вы можете предпринять. В дополнение к обзору индикаторов и исключений в этой статье содержатся альтернативы созданию исключений и разрешенных индикаторов.

Примечание.

Создание индикатора или исключения следует рассматривать только после тщательного изучения первопричины непредвиденного поведения.

Примеры проблем и шаги для рассмотрения

Пример сценария Действия, которые следует учитывать
Ложноположительный результат. Сущность, например файл или процесс, была обнаружена и идентифицирована как вредоносная, даже если сущность не представляет угрозы. 1. Проверьте и классифицируйте оповещения , созданные в результате обнаруженной сущности.
2. Подавление оповещения для известной сущности.
3. Просмотрите действия по исправлению , предпринятые для обнаруженной сущности.
4. Отправьте ложноположительный результат в корпорацию Майкрософт для анализа.
5. Определите индикатор или исключение для сущности (только при необходимости).
Проблемы с производительностью , такие как одна из следующих проблем:
— Система имеет высокую загрузку ЦП или другие проблемы с производительностью.
— В системе возникают проблемы с утечкой памяти.
— приложение медленно загружается на устройствах.
— Приложение медленно открывает файл на устройствах.		 1. Сбор диагностических данных для Microsoft Defender антивирусной программы.
2. Если вы используете антивирусное решение, отличное от Майкрософт, проверка с поставщиком, чтобы узнать, есть ли известные проблемы с антивирусными продуктами.
3. Проанализируйте журнал защиты Майкрософт , чтобы увидеть предполагаемое влияние на производительность. Для проблем с производительностью, связанных с антивирусной программой Microsoft Defender, используйте анализатор производительности для антивирусной программы Microsoft Defender.
4. Определите исключение для антивирусной программы Microsoft Defender (при необходимости).
5. Создайте индикатор для Defender для конечной точки (только при необходимости).
Проблемы совместимости с антивирусными продуктами сторонних разработчиков.
Пример. Defender для конечной точки использует обновления аналитики безопасности для устройств, независимо от того, работают ли они Microsoft Defender антивирусной программы или антивирусного решения сторонних разработчиков.		 1. Если вы используете антивирусную программу сторонних разработчиков в качестве основного антивирусного или антивредоносного решения, установите Microsoft Defender антивирусную программу в пассивный режим.
2. Если вы переходите с антивирусного или антивредоносного решения сторонних разработчиков на Defender для конечной точки, см . статью Переход на Defender для конечной точки. Это руководство включает:
- Исключения, которые может потребоваться определить для антивирусного или антивредоносного решения сторонних разработчиков;
- Исключения, которые могут потребоваться определить для Microsoft Defender антивирусной программы; и
- Сведения об устранении неполадок (на всякий случай что-то пойдет не так во время миграции).
Совместимость с приложениями.
Пример. Приложения завершаются сбоем или возникают непредвиденные действия после подключения устройства к Microsoft Defender для конечной точки.		 См. статью Устранение нежелательных действий в Microsoft Defender для конечной точки с исключениями, индикаторами и другими методами.

Альтернативы созданию исключений и разрешенных индикаторов

Создание исключения или индикатора разрешения создает пробел в защите. Эти методы следует использовать только после определения первопричины проблемы. До тех пор, пока это решение не будет принято, рассмотрите следующие альтернативы:

  • Отправка файла в Корпорацию Майкрософт для анализа
  • Подавление оповещения

Отправка файлов для анализа

Если у вас есть файл, который, по вашему мнению, ошибочно обнаружен как вредоносная программа (ложноположительный результат), или файл, который, как вы подозреваете, может быть вредоносным, даже если он не был обнаружен (ложноотрицательный), вы можете отправить его в Корпорацию Майкрософт для анализа. Ваша отправка немедленно сканируется, а затем будет проверена аналитиками по безопасности Майкрософт. Вы можете проверка состояние отправки на странице журнала отправки.

Отправка файлов для анализа помогает сократить количество ложных срабатываний и ложноотрицательных результатов для всех клиентов. Дополнительные сведения см. в следующих разделах:

Подавление оповещений

Если на портале Microsoft Defender вы получаете оповещения о средствах или процессах, которые, как вы знаете, на самом деле не представляют угрозы, вы можете отключить эти оповещения. Чтобы подавить оповещение, создайте правило подавления и укажите, какие действия следует выполнить для этого для других идентичных оповещений. Вы можете создать правила подавления для определенного оповещения на одном устройстве или для всех оповещений с одинаковым названием в вашей организации.

Дополнительные сведения см. в следующих разделах:

Типы исключений

Существует несколько различных типов исключений, которые следует учитывать. Некоторые типы исключений влияют на несколько возможностей в Defender для конечной точки, тогда как другие типы относятся к Microsoft Defender антивирусной программы.

Сведения о индикаторах см. в статье Обзор индикаторов в Microsoft Defender для конечной точки.

Пользовательские исключения

Microsoft Defender для конечной точки позволяет настроить настраиваемые исключения, чтобы оптимизировать производительность и избежать ложных срабатываний. Типы исключений, которые можно задать, зависят от возможностей Defender для конечной точки и операционных систем.

В следующей таблице перечислены типы настраиваемых исключений, которые можно определить. Обратите внимание на область для каждого типа исключения.

Типы исключений Scope Варианты использования
Исключения пользовательского Defender для конечной точки антивирусная программа
Правила сокращения направлений атак
Defender для конечной точки
Защита сети		 Файл, папка или процесс идентифицируются как вредоносные, даже если они не представляют угрозы.

Приложение сталкивается с непредвиденной проблемой производительности или совместимости приложений при запуске с Defender для конечной точки
Исключения сокращения направлений атак Defender для конечной точки Правила сокращения направлений атак Правило сокращения направлений атаки приводит к непредвиденному поведению.
Исключения папок автоматизации Defender для конечной точки Автоматическое исследование и реагирование Автоматическое исследование и исправление выполняют действия с файлом, расширением или каталогом, которые должны выполняться вручную.
Исключения доступа к папкам с управлением Defender для конечной точки Контролируемый доступ к папкам Управляемый доступ к папкам блокирует доступ приложения к защищенной папке.
Индикаторы разрешения файлов и сертификатов Defender для конечной точки антивирусная программа
Правила сокращения направлений атак
Контролируемый доступ к папкам		 Файл или процесс, подписанный сертификатом, определяется как вредоносный, даже если это не так.
Индикаторы доменов и URL-адресов и IP-адресов Defender для конечной точки Защита сети
SmartScreen
Фильтрация веб-содержимого		 SmartScreen сообщает о ложном срабатывании.

Вы хотите переопределить блок фильтрации веб-содержимого на определенном сайте.

Примечание.

На защиту сети непосредственно влияют исключения процессов на всех платформах. Исключение процесса в любой ОС (Windows, MacOS, Linux) приводит к тому, что защита сети не может проверять трафик или применять правила для этого конкретного процесса.

Исключения на Mac

Для macOS можно определить исключения, которые применяются к проверкам по запросу, защите в режиме реального времени и мониторингу. Поддерживаемые типы исключений:

  • Расширение файла: исключите все файлы с определенным расширением.
  • Файл. Исключите конкретный файл, определенный по его полному пути.
  • Папка: рекурсивно исключите все файлы из указанной папки.
  • Процесс. Исключите определенный процесс и все файлы, открытые им.

Дополнительные сведения см. в статье Настройка и проверка исключений для Microsoft Defender для конечной точки в macOS.

Исключения в Linux

В Linux можно настроить как антивирусные, так и глобальные исключения.

  • Исключения антивирусной программы. Применяются к проверкам по запросу, защите в режиме реального времени (RTP) и мониторингу поведения (BM).
  • Глобальные исключения. Применяется к защите в режиме реального времени (RTP), мониторингу поведения (BM) и обнаружению и реагированию конечных точек (EDR), остановке всех связанных антивирусных обнаружений и оповещений EDR.

Дополнительные сведения см. в статье Настройка и проверка исключений Microsoft Defender для конечной точки в Linux.

Исключения в Windows

Microsoft Defender антивирусную программу можно настроить так, чтобы исключить сочетания процессов, файлов и расширений из запланированных проверок, проверок по запросу и защиты в режиме реального времени. См. раздел Настройка настраиваемых исключений для антивирусной программы Microsoft Defender.

Для более детального управления, помогающего свести к минимуму пробелы в защите, рассмотрите возможность использования исключений контекстных файлов и процессов.

Предварительно настроенные исключения антивирусной программы

Эти типы исключений предварительно настроены в Microsoft Defender для конечной точки для антивирусной программы Microsoft Defender.

Типы исключений Конфигурация Описание
Автоматические исключения антивирусной программы Microsoft Defender Автоматически Автоматическое исключение для ролей и компонентов сервера в Windows Server. При установке роли на Windows Server 2016 или более поздней версии антивирусная программа Microsoft Defender включает автоматические исключения для роли сервера и всех файлов, добавляемых при установке роли.
Эти исключения доступны только для активных ролей в Windows Server 2016 и более поздних версий.
Встроенные исключения антивирусной программы Microsoft Defender Автоматически антивирусная программа Microsoft Defender включает встроенные исключения для файлов операционной системы во всех версиях Windows.

Исключения автоматических ролей сервера

Автоматические исключения роли сервера включают исключения для ролей и компонентов сервера в Windows Server 2016 и более поздних версий. Эти исключения не проверяются защитой в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.

Вот некоторые примеры.

  • Служба репликации файлов (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS-сервер
  • Сервер печати
  • Веб-сервер
  • Службы Windows Server Update Services
  • ... и многое другое.

Примечание.

Автоматические исключения для ролей сервера не поддерживаются в Windows Server 2012 R2. Для серверов, работающих Windows Server 2012 R2 с установленной ролью сервера доменные службы Active Directory (AD DS), исключения для контроллеров домена необходимо указывать вручную. См. раздел Исключения Active Directory.

Дополнительные сведения см. в разделе Исключения автоматических ролей сервера.

Встроенные исключения антивирусной программы

Встроенные исключения антивирусной программы включают определенные файлы операционной системы, которые исключаются антивирусной программой Microsoft Defender во всех версиях Windows (включая Windows 10, Windows 11 и Windows Server).

Вот некоторые примеры.

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • файлы клиентский компонент Центра обновления Windows
  • файлы Безопасность Windows
  • другое.

Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. Дополнительные сведения об этих исключениях см. в статье Microsoft Defender исключения антивирусной программы в Windows Server: встроенные исключения.

Исключения сокращения направлений атак

Правила сокращения направлений атак (также известные как правила ASR) предназначены для определенного поведения программного обеспечения, например:

  • Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы
  • Выполнение скриптов, которые кажутся скрытыми или иным образом подозрительными
  • Поведение, которое приложения обычно не инициируют во время обычной повседневной работы

Иногда допустимые приложения демонстрируют поведение программного обеспечения, которое может быть заблокировано правилами сокращения направлений атак. Если это происходит в вашей организации, вы можете определить исключения для определенных файлов и папок. Такие исключения применяются ко всем правилам сокращения направлений атак. См . раздел Включение правил сокращения направлений атак.

Примечание.

Правила сокращения направлений атаки учитывают исключения процессов, но не все правила сокращения направлений атаки учитывают исключения Microsoft Defender антивирусной программы. См. статью Справочник по правилам сокращения направлений атак Microsoft Defender исключения антивирусной программы и правила ASR.

Исключения папок службы автоматизации

Исключения папок автоматизации применяются к автоматическому исследованию и исправлению в Defender для конечной точки, который предназначен для изучения оповещений и принятия немедленных мер для устранения обнаруженных нарушений. По мере активации оповещений и выполнения автоматического расследования для каждого исследуемого доказательства выдается вердикт (вредоносный, подозрительный или угрозы не найдены). В зависимости от уровня автоматизации и других параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения вашей группой по операциям безопасности.

Вы можете указать папки, расширения файлов в определенном каталоге и имена файлов, которые будут исключены из возможностей автоматического исследования и исправления. Такие исключения папок автоматизации применяются ко всем устройствам, подключенным к Defender для конечной точки. Эти исключения по-прежнему подлежат проверке антивирусной программой.

Дополнительные сведения см. в разделе Управление исключениями папок автоматизации.

Исключения управляемого доступа к папкам

Контролируемый доступ к папкам отслеживает действия, обнаруженные приложениями как вредоносные, и защищает содержимое определенных (защищенных) папок на устройствах Windows. Контролируемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам, таким как общие системные папки (включая загрузочные секторы) и другие указанные папки. Вы можете разрешить определенным приложениям или подписанным исполняемым файлам доступ к защищенным папкам, определив исключения.

Дополнительные сведения см. в разделе Настройка управляемого доступа к папкам.

Пользовательские действия по исправлению

Когда антивирусная программа Microsoft Defender обнаруживает потенциальную угрозу во время проверки, она пытается устранить обнаруженную угрозу. Вы можете определить настраиваемые действия по исправлению, чтобы настроить, как Microsoft Defender Антивирусная программа должна устранять определенные угрозы, следует ли создавать точку восстановления перед исправлением и когда следует удалять угрозы.

Дополнительные сведения см. в разделе Настройка действий по исправлению для обнаружения Microsoft Defender антивирусной программы.

Как оцениваются исключения и индикаторы

Большинство организаций имеют несколько различных типов исключений и индикаторов, чтобы определить, должны ли пользователи иметь доступ к файлу или процессу и использовать их. Исключения и индикаторы обрабатываются в определенном порядке, чтобы конфликты политик обрабатывались систематически.

Вот как это работает:

  1. Если обнаруженный файл или процесс не разрешен элементом управления приложениями в Защитнике Windows и AppLocker, он блокируется. В противном случае выполняется Microsoft Defender антивирусная программа.

  2. Если обнаруженный файл или процесс не является частью исключения для антивирусной программы Microsoft Defender, они блокируются. В противном случае Defender для конечной точки проверяет наличие пользовательского индикатора для файла или процесса.

  3. Если обнаруженный файл или процесс имеет индикатор Блокировать или Предупредить, выполняется это действие. В противном случае файл и процесс разрешены, и он переходит к оценке с помощью правил сокращения направлений атак, управляемого доступа к папкам и защиты SmartScreen.

  4. Если обнаруженный файл или процесс не заблокирован правилами сокращения направлений атаки, управляемым доступом к папкам или защитой SmartScreen, он переходит к Microsoft Defender антивирусной программы.

  5. Если обнаруженный файл или процесс не разрешен Microsoft Defender Антивирусная программа, проверяется действие на основе идентификатора угрозы.

Как обрабатываются конфликты политик

В случаях, когда индикаторы Defender для конечной точки конфликтуют, вот что следует ожидать:

  • При наличии конфликтующих индикаторов файлов применяется индикатор, использующий наиболее безопасный хэш. Например, SHA256 имеет приоритет над SHA-1, который имеет приоритет над MD5.

  • Если есть конфликтующие индикаторы URL-адресов, используется более строгий индикатор. Для Microsoft Defender SmartScreen применяется индикатор, использующий самый длинный URL-путь. Например, www.dom.ain/admin/ имеет приоритет над www.dom.ain. (Защита сети применяется к доменам, а не к вложенным страницам в домене.)

  • Если для файла или процесса существуют аналогичные индикаторы, которые имеют разные действия, индикатор, ограниченный определенной группой устройств, имеет приоритет над индикатором, предназначенным для всех устройств.

Как автоматизированное исследование и исправление работает с индикаторами

Возможности автоматического исследования и исправления в Defender для конечной точки сначала определяют вердикт по каждому элементу доказательства, а затем принимают меры в зависимости от индикаторов Defender для конечной точки. Таким образом, файл или процесс может получить вердикт "хорошо" (что означает, что угрозы не найдены) и по-прежнему заблокированы, если есть индикатор с этим действием. Аналогичным образом, сущность может получить вердикт "плохой" (что означает, что она определена как вредоносная) и по-прежнему может быть разрешена, если есть индикатор с этим действием.

Дополнительные сведения см. в статье Автоматическое исследование, исправление и индикаторы.

Другие серверные рабочие нагрузки и исключения

Если ваша организация использует другие серверные рабочие нагрузки, такие как Exchange Server, SharePoint Server или SQL Server, помните, что только встроенные роли сервера (которые могут быть необходимыми для программного обеспечения, которое будет установлено позже) на Windows Server исключаются функцией автоматического исключения ролей сервера (и только при использовании расположения установки по умолчанию). При отключении автоматических исключений, скорее всего, потребуется определить исключения антивирусной программы для этих других рабочих нагрузок или для всех рабочих нагрузок.

Ниже приведены некоторые примеры технической документации для определения и реализации необходимых исключений:

В зависимости от того, что вы используете, может потребоваться обратиться к документации по этой рабочей нагрузке сервера.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.