使用排除專案、指標和其他技術來解決 適用於端點的 Microsoft Defender 中的不必要行為

適用於端點的 Defender 的主要功能是防止和偵測惡意進程和檔案的存取。 適用於端點的 Defender 旨在讓組織中的人員不受威脅保護，同時依預設保有生產力的安全性設定和原則。 有時候，可能會發生不必要的行為，例如：

• 誤判：誤判是當偵測到檔案或進程等實體並識別為惡意時，即使實體不是威脅也一樣
• 效能不佳：啟用適用於端點的Defender特定功能時，應用程式會遇到效能問題
• 應用程式不相容：啟用適用於端點的Defender的特定功能時，應用程式無法正常運作

本文說明如何解決這些類型的垃圾行為，並包含一些範例案例。

注意事項

只有在徹底瞭解非預期行為的根本原因之後，才應該考慮建立指標或排除專案。

如何使用適用於端點的Defender解決不必要的行為

概括而言，在適用於端點的Defender中解決垃圾行為的一般程式如下：

1. 識別造成不必要行為的功能。 您必須知道在適用於端點的Defender中，Microsoft Defender 防病毒軟體、端點偵測和回應、受攻擊面縮小、受控資料夾存取等設定是否不正確。 您可以在 Microsoft Defender 入口網站或裝置上使用資訊來判斷。

   位置	處理方式
   Microsoft Defender 入口網站	採取下列一或多個動作，以協助識別發生的情況： - 調查警示 - 使用進階搜捕 - 檢視報表
   在裝置上	請採取下列一或多個步驟來識別問題： - 使用效能分析器工具 - 檢閱事件記錄檔和錯誤碼 - 檢查您的保護歷程記錄

2. 根據您在上一個步驟中的結果，您可能會採取下列一或多個動作：

   • 隱藏 Microsoft Defender 入口網站中的警示
   • 定義自定義補救動作
   • 將檔案提交至Microsoft進行分析
   • 定義 Microsoft Defender 防病毒軟體的排除專案
   • 建立適用於端點的Defender指標

   請記住，竄改保護會影響是否可以修改或新增排除專案。 請參閱 開啟竄改保護時會發生什麼情況。

3. 確認您的變更已解決此問題。

不想要的行為範例

本節包含數個範例案例，可使用排除專案和指標來解決。 如需排除專案的詳細資訊，請參閱 排除概觀。

應用程式執行時，Microsoft Defender 防病毒軟體偵測到應用程式

在此案例中，每當使用者執行特定應用程式時，Microsoft Defender 防病毒軟體偵測到應用程式成為潛在威脅。

如何解決：建立 適用於端點的 Microsoft Defender 的「允許」指標。 例如，您可以為檔案建立「允許」指標，例如可執行檔。 請參閱 建立檔案的指標。

應用程式執行時，Microsoft Defender 防病毒軟體偵測到自定義的自我簽署應用程式

在此案例中，Microsoft Defender 防病毒軟體偵測到自定義應用程式為潛在威脅。 應用程式會定期更新，並且自我簽署。

如何解決：建立憑證或檔案的「允許」指標。 請參閱下列文章：

• 根據憑證建立指標
• 建立檔案的指示器

自訂應用程式會存取一組在應用程式執行時偵測為惡意的檔案類型

在此案例中，自定義應用程式會存取一組檔類型，而且每當應用程式執行時，Microsoft Defender 防病毒軟體就會偵測到該集合為惡意。

如何觀察：當應用程式執行時，Microsoft Defender 防病毒軟體偵測為行為監視偵測。

如何解決：定義 Microsoft Defender 防病毒軟體的排除範圍，例如可能包含通配符的檔案或路徑排除。 或定義自定義檔案路徑排除。 請參閱下列文章：

• 解決適用於端點的 Microsoft Defender 中的誤判/漏報
• 根據擴展名和資料夾位置來設定和驗證排除專案

Microsoft Defender 防病毒軟體偵測到應用程式為「行為」偵測

在此案例中，Microsoft Defender 防病毒軟體偵測到應用程式，因為特定行為，即使應用程式不是威脅也一樣。

如何解決：定義進程排除。 請參閱下列文章：

• 根據擴展名和資料夾位置來設定和驗證排除專案
• 設定由進程開啟之檔案的排除專案

(PUA) ，應用程式會被視為潛在的垃圾應用程式

在此案例中，會將應用程式偵測為 PUA，而您想要允許它執行。

如何解決：定義應用程式的排除範圍。 請參閱下列文章：

• 排除來自 PUA 保護的檔案
• 根據擴展名和資料夾位置來設定和驗證排除專案

應用程式遭到封鎖而無法寫入受保護的資料夾

在此案例中，合法的應用程式會遭到封鎖，無法寫入受受控制資料夾存取權保護的資料夾。

如何尋址：將應用程式新增至受控資料夾存取權的「允許」清單。 請參閱 允許特定應用程式變更受控制的資料夾。

Microsoft Defender 防病毒軟體偵測到第三方應用程式為惡意應用程式

在此案例中，Microsoft Defender 防病毒軟體偵測到不是威脅的第三方應用程式，並識別為惡意應用程式。

如何解決：將應用程式提交至Microsoft進行分析。 請參閱 如何將檔案提交至Microsoft進行分析。

適用於端點的Defender不正確地偵測到應用程式並識別為惡意應用程式

在此案例中，適用於端點的Defender中的受攻擊面縮小規則會偵測到合法的應用程式並識別為惡意應用程式。 每當使用者使用應用程式時，受攻擊面縮小規則、 封鎖 JavaScript 或 VBScript 啟動下載的可執行檔內容都會封鎖應用程式和任何下載的內容。

如何解決：

1. 在 Microsoft Defender 入口網站中，移至 [報告]。 在 [ 報告] 底下，選取 [安全性報告]。

2. 向下捲動至裝置以尋找受攻擊面縮小卡片。 如需詳細資訊，請參閱 受攻擊面縮小規則報告。

3. 使用資訊來識別要排除的檔案和資料夾位置。

4. 新增排除專案。 請參閱 根據擴展名和資料夾位置設定和驗證排除專案。

Word 包含啟動其他應用程式之巨集的範本會遭到封鎖

在此案例中，每當用戶開啟使用Microsoft Word 包含巨集的範本所建立的檔，而且這些巨集會啟動其他應用程式時，攻擊面縮小規則會封鎖來自 Office 巨集的 Win32 API 呼叫Microsoft Word。

如何解決：

1. 在 Microsoft Defender 入口網站中，移至 [報告]。 在 [ 報告] 底下，選取 [安全性報告]。

2. 向下捲動至裝置以尋找受攻擊面縮小卡片。 如需詳細資訊，請參閱 受攻擊面縮小規則報告。

3. 使用資訊來識別要排除的檔案和資料夾位置。

4. 新增排除專案。 請參閱 根據擴展名和資料夾位置設定和驗證排除專案。

另請參閱

• 排除概觀
• 管理排除範圍參考