排除项概述
Microsoft Defender for Endpoint和Defender 商业版包括各种功能,用于预防、检测、调查和响应高级网络威胁。 Microsoft预配置产品,使其在已安装的操作系统上表现良好。 无需进行其他更改。 尽管预先配置了设置,但有时也会发生意外行为。 下面是一些示例:
- 误报:Defender for Endpoint 或 Microsoft Defender 防病毒可能会将实际不是威胁的文件、文件夹或进程检测为恶意。 这些实体可以阻止或发送到隔离区,即使它们不是威胁。
- 性能问题:使用 Defender for Endpoint 运行时,系统遇到意外的性能影响
- 应用程序兼容性问题:使用 Defender for Endpoint 运行时,应用程序遇到意外行为
创建排除是解决这些类型问题的一种可能方法。 但通常还可以采取其他步骤。 除了提供指标和排他性概述外,本文还包括 创建排除项和允许指标的替代项。
注意
只有在彻底了解意外行为的根本原因后,才应考虑创建指示器或排除项。
要考虑的问题和步骤示例
| 示例方案 | 要考虑的步骤 |
|---|---|
| 误报:实体(如文件或进程)被检测到并标识为恶意,即使该实体不是威胁。 | 1. 查看并分类 由于检测到的实体而生成的警报。 2.取消已知实体的 警报 。 3. 查看为检测到的实体采取的 修正操作 。 4. 将误报提交到Microsoft 进行分析。 5. 仅在必要时) 为实体 (定义指示器或排除 项。 |
|
性能问题 ,例如以下问题之一: - 系统 CPU 使用率较高或其他性能问题。 - 系统存在内存泄漏问题。 - 应用在设备上加载速度较慢。 - 应用在设备上打开文件的速度较慢。 |
1. 收集Microsoft Defender防病毒的诊断数据。 2.如果使用非Microsoft防病毒解决方案,检查供应商,了解防病毒产品是否存在任何已知问题。 3. 分析Microsoft保护日志 以查看估计的性能影响。 对于与 Microsoft Defender 防病毒相关的特定于性能的问题,请使用适用于 Microsoft Defender 防病毒的性能分析器。 4. 如有必要,) 为Microsoft Defender防病毒 (定义排除项。 5. 仅在必要时) 为 Defender for Endpoint (创建指示器 。 |
| 非Microsoft防病毒产品的兼容性问题。 示例:Defender for Endpoint 依赖于设备的安全智能更新,无论它们是运行Microsoft Defender防病毒解决方案还是非Microsoft防病毒解决方案。 |
1. 如果使用非Microsoft防病毒产品作为主要防病毒/反恶意软件解决方案,请将Microsoft Defender防病毒设置为被动模式。 2. 如果要从非Microsoft防病毒/反恶意软件解决方案切换到 Defender for Endpoint,请参阅 切换到 Defender for Endpoint。 本指南包括: - 可能需要为非Microsoft防病毒/反恶意软件解决方案定义的排除项; - 可能需要为防病毒Microsoft Defender定义的排除项;以及 - 故障排除信息 (迁移) 时出现问题。 |
| 与应用程序的兼容性。 示例:设备载入Microsoft Defender for Endpoint后,应用程序崩溃或遇到意外行为。 |
请参阅使用排除项、指示器和其他技术解决Microsoft Defender for Endpoint中不需要的行为。 |
创建排除项和允许指示器的替代方法
创建排除项或允许指示器会创建保护差距。 只有在确定问题的根本原因后,才应使用这些技术。 在做出该决定之前,请考虑以下替代方法:
- 将文件提交到Microsoft进行分析
- 禁止显示警报
提交文件进行分析
如果你认为某个文件被错误地检测为恶意软件 (误报) ,或者你怀疑该文件可能是恶意软件,即使它未检测到 (假负) ,则可以将该文件提交到 Microsoft 进行分析。 系统会立即扫描提交,然后由Microsoft安全分析师审查。 可以在提交历史记录页上检查提交状态。
提交文件进行分析有助于减少所有客户的误报和误报。 若要了解详细信息,请参阅以下文章:
- 提交 可供所有客户) 分析 (文件
- 使用 Defender for Endpoint 中新的统一提交门户提交文件 (提供给拥有 Defender for Endpoint 计划 2 或Microsoft Defender XDR)
禁止显示警报
如果在Microsoft Defender门户中收到你知道实际上不是威胁的工具或进程的警报,则可以禁止显示这些警报。 若要禁止显示警报,请创建一个抑制规则,并指定要针对其他相同警报执行的操作。 可以为单个设备上的特定警报或组织中具有相同标题的所有警报创建抑制规则。
若要了解详细信息,请参阅以下文章:
排除项的类型
需要考虑几种不同类型的排除项。 某些类型的排除会影响 Defender for Endpoint 中的多个功能,而其他类型特定于 Microsoft Defender 防病毒。
- 自定义排除项:这些是针对特定用例或方案以及某些操作系统(如 Mac、 Linux 和 Windows)定义的排除项。
- 预配置的防病毒排除项:这些是无需定义的排除项,例如 自动服务器角色排除 和 内置防病毒排除。 即使你不必定义这些内容,但了解它们是什么及其工作原理也很有帮助。
- 攻击面减少排除:这些排除项用于防止攻击面减少功能阻止组织可能正在使用的合法应用程序。
- 自动化文件夹排除:这些是你定义的排除项,用于防止自动调查和修正功能应用于特定文件或文件夹。
- 受控文件夹访问排除项:这些是允许某些应用或可执行文件访问受保护文件夹的排除项。
- 自定义修正操作:某些类型的检测时,这些操作是为Microsoft Defender防病毒指定的操作。
有关指示器的信息,请参阅Microsoft Defender for Endpoint中的指示器概述。
自定义排除项
Microsoft Defender for Endpoint允许配置自定义排除项,以优化性能并避免误报。 可设置的排除类型因 Defender for Endpoint 功能和操作系统而异。
下表汇总了可以定义的自定义排除项的类型。 请注意每个排除类型的范围。
| 排除类型 | 范围 | 用例 |
|---|---|---|
| 自定义 Defender for Endpoint 排除项 | 防病毒 攻击面减少规则 Defender for Endpoint 网络保护 |
文件、文件夹或进程被标识为恶意,即使它不是威胁。 使用 Defender for Endpoint 运行时,应用程序遇到意外的性能或应用程序兼容性问题 |
| Defender for Endpoint 攻击面减少排除项 | 攻击面减少规则 | 攻击面减少规则会导致意外行为。 |
| Defender for Endpoint 自动化文件夹排除项 | 自动调查和响应 | 自动调查和修正对应手动完成的文件、扩展名或目录执行操作。 |
| Defender for Endpoint 受控文件夹访问排除项 | 文件夹限制访问 | 受控文件夹访问阻止应用程序访问受保护的文件夹。 |
| Defender for Endpoint 文件和证书允许指示器 | 防病毒 攻击面减少规则 文件夹限制访问 |
由证书签名的文件或进程被标识为恶意,即使不是。 |
| Defender for Endpoint 域/URL 和 IP 地址指示器 | 网络保护 SmartScreen Web 内容筛选 |
SmartScreen 报告误报。 你想要替代特定网站上的 Web 内容筛选块。 |
注意
网络保护 会受到所有平台上的进程排除的直接影响。 任何 OS (Windows、MacOS、Linux) 的进程排除会导致网络保护无法检查流量或强制实施该特定进程的规则。
Mac 上的排除项
对于 macOS,可以定义适用于按需扫描、实时保护和监视的排除项。 支持的排除类型包括:
- 文件扩展名:排除具有特定扩展名的所有文件。
- 文件:排除由其完整路径标识的特定文件。
- 文件夹:以递归方式排除指定文件夹下的所有文件。
- 进程:排除特定进程及其打开的所有文件。
有关详细信息,请参阅配置和验证 macOS 上Microsoft Defender for Endpoint的排除项。
Linux 上的排除项
在 Linux 上,可以配置防病毒和全局排除项。
- 防病毒排除:适用于按需扫描、实时保护 (RTP) ,以及行为监视 (BM) 。
- 全局排除:适用于实时保护 (RTP) 、行为监视 (BM) ,以及终结点检测和响应 (EDR) ,停止所有相关防病毒检测和 EDR 警报。
有关详细信息,请参阅 并验证 Microsoft Defender for Endpoint 在Linux上的排除。
Windows 上的排除项
可以将Microsoft Defender防病毒配置为从计划扫描、按需扫描和实时保护中排除进程、文件和扩展的组合。 请参阅配置 Microsoft Defender 防病毒的自定义排除项。
若要实现更精细的控制,以帮助最大程度地减少保护差距,请考虑使用 上下文文件和进程排除项。
防病毒预配置排除项
这些排除类型在 Microsoft Defender 防病毒的 Microsoft Defender for Endpoint 中预配置。
| 排除类型 | 配置 | 说明 |
|---|---|---|
| 自动Microsoft Defender防病毒排除项 | 自动 | Windows Server 中服务器角色和功能的自动排除项。 在 Windows Server 2016 或更高版本上安装角色时,Microsoft Defender防病毒包括服务器角色的自动排除项,以及安装角色时添加的任何文件。 这些排除项仅适用于Windows Server 2016及更高版本上的活动角色。 |
| 内置Microsoft Defender防病毒排除项 | 自动 | Microsoft Defender防病毒包括所有版本的 Windows 上的操作系统文件的内置排除项。 |
自动服务器角色排除
自动服务器角色排除包括Windows Server 2016及更高版本中的服务器角色和功能的排除项。 这些排除项不会通过 实时保护 进行扫描,但仍会受到 快速、完整或按需防病毒扫描的影响。
示例包括:
- 文件复制服务 (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS 服务器
- 打印服务器
- Web 服务器
- Windows Server Update Services
- ...等等。
注意
Windows Server 2012 R2 不支持自动排除服务器角色。 对于运行 Windows Server 2012 R2 且安装了 Active Directory 域服务 (AD DS) 服务器角色的服务器,必须手动指定域控制器的排除项。 请参阅 Active Directory 排除项。
有关详细信息,请参阅 自动服务器角色排除。
内置防病毒排除项
内置防病毒排除项包括所有版本的 Windows ((包括Windows 10、Windows 11和 Windows Server) )上Microsoft Defender防病毒排除的某些操作系统文件。
示例包括:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows 更新文件
- Windows 安全中心文件
- ...等等。
随着威胁形势的变化,Windows 中的内置排除项列表会保持最新。 若要了解有关这些排除项的详细信息,请参阅 Windows Server 上的Microsoft Defender防病毒排除项:内置排除项。
攻击面减少排除项
攻击面减少规则 (也称为 ASR 规则) 针对特定的软件行为,例如:
- 启动尝试下载或运行文件的可执行文件和脚本
- 运行看似模糊或可疑的脚本
- 执行应用通常不会在日常工作中启动的行为
有时,合法应用程序表现出可能被攻击面减少规则阻止的软件行为。 如果组织中发生此情况,则可以为某些文件和文件夹定义排除项。 此类排除项适用于所有攻击面减少规则。 请参阅 启用攻击面减少规则。
注意
攻击面减少规则遵循进程排除,但并非所有攻击面减少规则都遵循防病毒排除Microsoft Defender。 请参阅攻击面减少规则参考 - Microsoft Defender防病毒排除项和 ASR 规则。
自动化文件夹排除
自动化文件夹排除适用于 Defender for Endpoint 中的 自动调查和修正 ,该调查旨在检查警报并立即采取措施解决检测到的违规问题。 触发警报并运行自动调查时,将针对所调查的每个证据 (恶意、可疑或未发现威胁) 做出判决。 根据 自动化级别 和其他安全设置,修正操作可以自动执行,或者仅在安全运营团队批准后执行。
可以指定要从自动调查和修正功能中排除的文件夹、特定目录中的文件扩展名和文件名。 此类自动化文件夹排除项适用于载入到 Defender for Endpoint 的所有设备。 这些排除项仍受防病毒扫描的约束。
有关详细信息,请参阅 管理自动化文件夹排除项。
受控文件夹访问排除项
受控文件夹访问 监视应用,以监视被检测为恶意的活动,并保护 Windows 设备上某些 (受保护的) 文件夹的内容。 受控文件夹访问仅允许受信任的应用访问受保护的文件夹,例如常见系统文件夹 (包括启动扇区) 和指定的其他文件夹。 可以通过定义排除项来允许某些应用或已签名的可执行文件访问受保护的文件夹。
有关详细信息,请参阅 自定义受控文件夹访问权限。
自定义修正操作
当Microsoft Defender防病毒在运行扫描时检测到潜在威胁时,它会尝试修正或删除检测到的威胁。 可以定义自定义修正操作,以配置Microsoft Defender防病毒应如何处理某些威胁、是否应在修正前创建还原点以及何时应删除威胁。
有关详细信息,请参阅配置Microsoft Defender防病毒检测的修正操作。
如何评估排除项和指示器
大多数组织都有几种不同类型的排除项和指示器,用于确定用户是否能够访问和使用文件或进程。 排除项和指标按特定顺序处理,以便 系统地处理策略冲突。
以下是相应的工作方式:
如果 Windows Defender 应用程序控件和 AppLocker 不允许检测到的文件/进程,则会阻止它。 否则,它会继续Microsoft Defender防病毒。
如果检测到的文件/进程不是Microsoft Defender防病毒排除的一部分,则会阻止它。 否则,Defender for Endpoint 会检查文件/进程的自定义指示器。
如果检测到的文件/进程具有“阻止”或“警告”指示器,则执行该操作。 否则,允许文件/进程,然后通过攻击面减少规则、受控文件夹访问和 SmartScreen 保护继续进行评估。
如果检测到的文件/进程没有受到攻击面减少规则、受控文件夹访问或 SmartScreen 保护的阻止,它会继续Microsoft Defender防病毒。
如果Microsoft Defender防病毒不允许检测到的文件/进程,则会根据其威胁 ID 检查操作。
如何处理策略冲突
如果 Defender for Endpoint 指示器发生冲突,以下是预期结果:
如果存在冲突的文件指示器,则会应用使用最安全哈希的指示器。 例如,SHA256 优先于 SHA-1,后者优先于 MD5。
如果 URL 指示器存在冲突,则使用更严格的指示器。 对于 Microsoft Defender SmartScreen,将应用使用最长 URL 路径的指示器。 例如,
www.dom.ain/admin/优先于www.dom.ain。 (网络保护 适用于域,而不是域内的子页。)如果文件或进程存在具有不同操作的类似指示器,则作用域为特定设备组的指示器优先于面向所有设备的指示器。
自动调查和修正如何与指示器配合使用
Defender for Endpoint 中的自动调查和修正功能首先确定每条证据的判决,然后根据 Defender for Endpoint 指标采取操作。 因此,文件/进程可能会得到“良好” (这意味着) 未发现威胁,如果存在该操作的指示器,则仍会被阻止。 同样,实体可能会得到“坏” (这意味着它被确定为恶意) ,如果存在该操作的指标,则仍被允许。
有关详细信息,请参阅 自动调查和修正和指标。
其他服务器工作负载和排除项
如果您的组织正在使用其他服务器工作负载(例如Exchange Server、SharePoint Server 或SQL Server),请记住,只有内置服务器角色 (可能是你在 Windows Server 上安装) 软件的先决条件,才会被自动服务器角色排除功能 (,并且仅在使用其默认安装位置) 时。 可能需要为这些其他工作负载定义防病毒排除项,如果禁用自动排除,则为所有工作负载定义防病毒排除项。
下面是一些用于标识和实现所需排除项的技术文档示例:
根据所使用的内容,可能需要参考该服务器工作负载的文档。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。