排除概觀
適用於端點的 Microsoft Defender 和 適用於企業的 Defender 包含各種功能,可防止、偵測、調查及回應進階網路威脅。 Microsoft預先設定產品,使其在安裝的作業系統上正常執行。 不需要其他變更。 儘管已預先設定設定,有時還是會發生非預期的行為。 範例如下:
- 誤判:適用於端點的Defender或 Microsoft Defender防病毒軟體可以偵測到實際上不是威脅的檔案、資料夾或進程為惡意。 即使這些實體不是威脅,也可以封鎖或傳送至隔離區。
- 效能問題:使用適用於端點的 Defender 執行時,系統會遇到非預期的效能影響
- 應用程式相容性問題:應用程式在使用適用於端點的Defender執行時遇到非預期的行為
建立排除是解決這類問題的一種可能方法。 但您通常可以採取其他步驟。 除了提供指標和摘要的概觀之外,本文還包含 建立排除專案和允許指標的替代方案。
注意事項
只有在徹底瞭解非預期行為的根本原因之後,才應該考慮建立指標或排除專案。
要考慮的問題和步驟範例
| 案例範例 | 要考慮的步驟 |
|---|---|
| 誤判:偵測到某個實體,例如檔案或進程,並識別為惡意,即使實體不是威脅也一樣。 | 1. 檢閱並分類 因偵測到的實體而產生的警示。 2.隱藏已知實體的 警示 。 3.檢閱針對偵測到的實體所採取的 補救動作 。 4. 將誤判提交至Microsoft 進行分析。 5.只有在必要時,才) 定義實體 (的 指標或排除 專案。 |
|
效能問題 ,例如下列其中一個問題: - 系統有高 CPU 使用量或其他效能問題。 - 系統發生記憶體流失問題。 - 應用程式在裝置上載入的速度很慢。 - 應用程式在裝置上開啟檔案的速度很慢。 |
1.收集 Microsoft Defender 防病毒軟體的診斷數據。 2.如果您使用非Microsoft防病毒軟體解決方案,請 洽詢廠商,以查看防病毒軟體產品是否有任何已知問題。 3. 分析Microsoft保護記錄 ,以查看預估的效能影響。 如需與 Microsoft Defender 防病毒軟體相關的效能特定問題,請使用適用於 Microsoft Defender 防病毒軟體的效能分析器。 4.視需要定義 Microsoft Defender 防病毒軟體 (的排除) 。 5.只有在必要時,才 (建立 適用於端點的Defender 指標) 。 |
| 非Microsoft防病毒軟體產品的相容性問題。 範例:適用於端點的 Defender 依賴裝置的安全情報更新,不論裝置是執行 Microsoft Defender 防病毒軟體或非Microsoft防病毒軟體解決方案。 |
1.如果您使用非Microsoft防病毒軟體產品作為主要防病毒軟體/反惡意代碼解決方案,請將 Microsoft Defender 防病毒軟體設定為被動模式。 2.如果您要從非Microsoft防病毒軟體/反惡意代碼解決方案切換至適用於端點的 Defender,請參閱 切換至適用於端點的 Defender。 此指引包括: - 您可能需要為非Microsoft防病毒軟體/反惡意代碼解決方案定義排除專案; - 您可能需要為 Microsoft Defender 防病毒軟體定義排除專案;以及 - 針對移轉) 時發生錯誤 (信息進行疑難解答。 |
| 與應用程式的相容性。 範例:當裝置上線到 適用於端點的 Microsoft Defender 之後,應用程式會當機或遇到非預期的行為。 |
請參閱使用排除專案、指標和其他技術來解決 適用於端點的 Microsoft Defender 中的不必要行為。 |
建立排除項目和允許指標的替代方案
建立排除或允許指標會建立保護差距。 只有在判斷問題的根本原因之後,才應該使用這些技術。 在做出該判斷之前,請考慮下列替代方案:
- 將檔案提交至Microsoft進行分析
- 隱藏警示
提交檔案以進行分析
如果您認為檔案被錯誤偵測為惡意代碼 (誤判) ,或您懷疑的檔案可能是惡意代碼,即使未偵測到 (誤判) ,您也可以將檔案提交至Microsoft進行分析。 您的提交會立即掃描,然後由Microsoft安全性分析師檢閱。 您可以在提交 歷程記錄頁面上檢查提交狀態。
提交檔案進行分析有助於減少所有客戶的誤判和誤判。 若要深入了解,請參閱下列文章:
- 提交檔案以供 所有客戶 (分析)
- 使用適用於端點的 Defender 中新的統一提交入口網站提交檔案 (適用於具有適用於端點的 Defender 方案 2 或 Microsoft Defender 全面偵測回應)
隱藏警示
如果您在 Microsoft Defender 入口網站中收到您知道並非實際威脅之工具或程式的警示,您可以隱藏這些警示。 若要隱藏警示,您可以建立隱藏規則,並指定要針對其他相同警示採取哪些動作。 您可以針對單一裝置上的特定警示,或針對組織中具有相同標題的所有警示,建立隱藏規則。
若要深入了解,請參閱下列文章:
- 隱藏警示
- 技術社群部落格:介紹 適用於端點的Defender (的新警示歸並體驗)
排除類型
有數種不同類型的排除專案需要考慮。 某些類型的排除會影響適用於端點的 Defender 中的多個功能,而其他類型則是專屬於 Microsoft Defender 防病毒軟體。
- 自定義排除專案:這些是您針對特定使用案例或案例,以及針對某些操作系統所定義的排除專案,例如 Mac、 Linux和 Windows。
- 預先設定的防病毒軟體排除專案:這些是您不需要定義的排除專案,例如 自動伺服器角色排除 和 內建的防病毒軟體排除專案。 雖然您不需要定義這些專案,但瞭解它們是什麼以及其運作方式會很有説明。
- 受攻擊面縮小排除:這些是排除專案,可防止受攻擊面縮小功能封鎖貴組織可能使用的合法應用程式。
- 自動化資料夾排除專案:這些是您定義的排除專案,可防止自動化調查和補救功能套用至特定檔案或資料夾。
- 受控資料夾存取排除:這些是允許特定應用程式或可執行檔存取受保護資料夾的排除專案。
- 自定義補救動作:這些是您在特定類型的偵測時指定 Microsoft Defender 防病毒軟體的動作。
如需指標的相關信息,請參閱 適用於端點的 Microsoft Defender 中的指標概觀。
自定義排除專案
適用於端點的 Microsoft Defender 可讓您設定自定義排除專案,以優化效能並避免誤判。 您可以設定的排除類型會因適用於端點的 Defender 功能和作業系統而有所不同。
下表摘要說明您可以定義的自定義排除類型。 請注意每個排除類型的範圍。
| 排除類型 | 範圍 | 使用案例 |
|---|---|---|
| 適用於端點的自定義Defender排除專案 | 防毒軟體 受攻擊面縮小規則 適用於端點的 Defender 網路保護 |
檔案、資料夾或進程會識別為惡意,即使它不是威脅也一樣。 使用適用於端點的 Defender 執行時,應用程式遇到非預期的效能或應用程式相容性問題 |
| 適用於端點的 Defender 攻擊面縮小排除專案 | 受攻擊面縮小規則 | 受攻擊面縮小規則會造成非預期的行為。 |
| 適用於端點的 Defender 自動化資料夾排除專案 | 自動化調查及回應 | 自動化調查和補救會對應手動完成的檔案、擴展名或目錄採取動作。 |
| 適用於端點的 Defender 受控資料夾存取排除範圍 | 受控資料夾存取權 | 受控資料夾存取權會封鎖應用程式存取受保護的資料夾。 |
| 適用於端點檔案和憑證允許指標的 Defender | 防毒軟體 受攻擊面縮小規則 受控資料夾存取權 |
憑證所簽署的檔案或進程會識別為惡意,即使不是如此也一樣。 |
| 適用於端點網域/URL 和IP位址指標的Defender | 網路保護 SmartScreen Web 內容篩選 |
SmartScreen 會報告誤判。 您想要覆寫特定網站上的 Web 內容篩選區塊。 |
注意事項
網路保護 會直接受到所有平臺上的進程排除項目影響。 任何OS (Windows、MacOS、Linux) 上的進程排除會導致網路保護無法檢查流量或強制執行該特定程序的規則。
Mac 上的排除專案
針對macOS,您可以定義適用於隨選掃描、即時保護和監視的排除專案。 支援的排除類型包括:
- 擴展名:排除具有特定擴展名的所有檔案。
- 檔案:排除依其完整路徑識別的特定檔案。
- 資料夾:以遞歸方式排除指定資料夾下的所有檔案。
- 進程:排除特定進程及其開啟的所有檔案。
如需詳細資訊,請參閱設定和驗證macOS上 適用於端點的 Microsoft Defender排除專案。
Linux 上的排除專案
在 Linux 上,您可以設定防病毒軟體和全域排除專案。
- 防病毒軟體排除專案:適用於隨選掃描、即時保護 (RTP) ,以及行為監視 (BM) 。
- 全域排除:適用於即時保護 (RTP) 、行為監視 (BM) ,以及端點偵測和回應 (EDR) ,停止所有相關聯的防病毒軟體偵測和 EDR 警示。
如需詳細資訊,請參閱設定及驗證 Linux 上適用於端點的 Microsoft Defender 排除項目。
Windows 上的排除專案
Microsoft Defender 可將防病毒軟體設定為從排程掃描、隨選掃描和實時保護中排除進程、檔案和擴充功能的組合。 請參閱設定 Microsoft Defender 防病毒軟體的自定義排除專案。
如需有助於將保護差距降至最低的更細微控制,請考慮使用 內容檔案和進程排除專案。
防病毒軟體預先設定的排除專案
這些排除類型是在 Microsoft Defender 防病毒軟體的 適用於端點的 Microsoft Defender 中預先設定。
| 排除類型 | 組態 | 描述 |
|---|---|---|
| 自動 Microsoft Defender 防病毒軟體排除專案 | 自動 | Windows Server 中伺服器角色和功能的自動排除。 當您在 Windows Server 2016 或更新版本上安裝角色時,Microsoft Defender 防病毒軟體會包含伺服器角色的自動排除專案,以及安裝角色時新增的任何檔案。 這些排除範圍僅適用於 Windows Server 2016 和更新版本上的作用中角色。 |
| 內建 Microsoft Defender 防病毒軟體排除專案 | 自動 | Microsoft Defender 防病毒軟體包含所有 Windows 版本上作業系統檔案的內建排除專案。 |
自動伺服器角色排除
自動伺服器角色排除包括 Windows Server 2016 和更新版本中伺服器角色和功能的排除專案。 這些排除專案不會由 即時保護 掃描,但仍受限於 快速、完整或隨選的防病毒軟體掃描。
範例包含:
- 檔案復寫服務 (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS 伺服器
- 列印伺服器
- 網頁伺服器
- Windows Server Update Services
- ...和更多。
注意事項
Windows Server 2012 R2 不支援伺服器角色的自動排除。 針對執行 Windows Server 2012 R2 且已安裝 Active Directory 網域服務 (AD DS) 伺服器角色的伺服器,必須手動指定域控制器的排除專案。 請參閱 Active Directory 排除專案。
如需詳細資訊,請參閱 自動排除伺服器角色。
內建防病毒軟體排除專案
內建防病毒軟體排除專案包括所有 Windows (版本上 Microsoft Defender 防病毒軟體排除的特定操作系統檔案,包括 Windows 10、Windows 11 和 Windows Server) 。
範例包含:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update 檔案
- Windows 安全性 檔案
- 還有更多。
隨著威脅環境的變更,Windows 中的內建排除專案清單會保持在最新狀態。 若要深入瞭解這些排除專案,請參閱 Microsoft Defender Windows Server 上的防病毒軟體排除專案:內建排除專案。
受攻擊面縮小排除專案
受攻擊面縮小規則 (也稱為 ASR 規則,) 以特定軟體行為為目標,例如:
- 啟動嘗試下載或執行檔案的可執行檔和指令碼
- 執行看似模糊化或可疑的腳本
- 執行應用程式通常不會在一般日常工作期間起始的行為
有時候,合法的應用程式會展現可能遭到受攻擊面縮小規則封鎖的軟體行為。 如果是在您的組織中發生,您可以定義特定檔案和資料夾的排除專案。 這類排除專案會套用至所有受攻擊面縮小規則。 請參閱 啟用受攻擊面縮小規則。
注意事項
受攻擊面縮小規則接受進程排除專案,但並非所有受攻擊面縮小規則都接受 Microsoft Defender 防病毒軟體排除專案。 請參閱受攻擊面縮小規則參考 - Microsoft Defender 防病毒軟體排除專案和 ASR 規則。
自動化資料夾排除專案
自動化資料夾排除專案適用於適用於端點的Defender中的 自動化調查和補救 ,其設計目的是檢查警示並立即採取行動來解決偵測到的缺口。 當警示觸發並執行自動化調查時,系統會針對每個調查證據 (達到「惡意」、「可疑」或「找不到任何威脅」的決策) 。 根據 自動化層級 和其他安全性設定,補救動作可能會自動發生,或只有在安全性作業小組核准時才會發生。
您可以指定資料夾、特定目錄中的擴展名,以及要從自動化調查和補救功能中排除的檔名。 這類自動化資料夾排除專案適用於已上線至適用於端點的Defender的所有裝置。 這些排除專案仍受限於防病毒軟體掃描。
如需詳細資訊,請 參閱管理自動化資料夾排除專案。
受控資料夾存取排除專案
受控資料夾存取權 會監視應用程式中偵測到惡意的活動,並保護 Windows 裝置上特定 (受保護) 資料夾的內容。 受控資料夾存取只允許受信任的應用程式存取受保護的資料夾,例如一般系統資料夾 (包括開機扇區) 以及您指定的其他資料夾。 您可以藉由定義排除專案,允許特定應用程式或已簽署的可執行檔存取受保護的資料夾。
如需詳細資訊,請參閱 自定義受控資料夾存取權。
自定義補救動作
當 Microsoft Defender 防病毒軟體在執行掃描時偵測到潛在威脅時,會嘗試補救或移除偵測到的威脅。 您可以定義自定義補救動作,以設定 Microsoft Defender 防病毒軟體應如何解決特定威脅、是否應在補救之前建立還原點,以及何時應移除威脅。
如需詳細資訊,請參閱設定 Microsoft Defender 防病毒軟體偵測的補救動作。
如何評估排除專案和指標
大部分的組織都有數種不同類型的排除和指標,可判斷使用者是否能夠存取及使用檔案或程式。 排除專案和指標會以特定順序處理,以便 有系統地處理原則衝突。
以下為運作方式:
如果 Windows Defender 應用程控和 AppLocker 不允許偵測到的檔案/進程,則會予以封鎖。 否則,它會繼續 Microsoft Defender 防病毒軟體。
如果偵測到的檔案/進程不是排除 Microsoft Defender 防病毒軟體的一部分,則會遭到封鎖。 否則,適用於端點的 Defender 會檢查檔案/進程的自定義指標。
如果偵測到的檔案/進程具有封鎖或警告指標,則會採取該動作。 否則,允許檔案/進程,並繼續依受攻擊面縮小規則、受控資料夾存取權和SmartScreen保護進行評估。
如果偵測到的檔案/進程未遭到受攻擊面縮小規則、受控資料夾存取或SmartScreen保護封鎖,則會繼續 Microsoft Defender防病毒軟體。
如果 Microsoft Defender 防病毒軟體不允許偵測到的檔案/進程,則會根據其威脅標識符來檢查動作。
如何處理原則衝突
在適用於端點的 Defender 指標發生衝突的情況下,以下是預期的情況:
如果有衝突的檔案指標,則會套用使用最安全哈希的指標。 例如,SHA256 的優先順序高於SHA-1,其優先順序高於MD5。
如果有衝突的 URL 指標,則會使用更嚴格的指標。 針對 Microsoft Defender SmartScreen,會套用使用最長 URL 路徑的指標。 例如,
www.dom.ain/admin/優先權高於www.dom.ain。 (網路保護 適用於網域,而不是 domain.)如果具有不同動作的檔案或進程有類似的指標,則以特定裝置群組為範圍的指標優先於以所有裝置為目標的指標。
自動化調查和補救如何搭配指標運作
適用於端點的 Defender 中的自動化調查和補救功能會先決定每個辨識項的決策,然後根據適用於端點的 Defender 指標採取動作。 因此,檔案/程式可能會得到「良好」的決策 (這表示找不到任何威脅) ,而且如果該動作有指標,仍會遭到封鎖。 同樣地,實體可能會收到「不正確」 (的判斷,這表示它判斷為惡意) ,如果有該動作的指標,仍可允許。
如需詳細資訊,請參閱 自動化調查和補救和指標。
其他伺服器工作負載和排除專案
如果您的組織使用其他伺服器工作負載,例如 Exchange Server、SharePoint Server 或 SQL Server,請記住,只有內建的伺服器角色 (可能是您稍後在 Windows Server 上安裝) 軟體的必要條件,才會由自動伺服器角色排除功能排除 (,而且只有在使用其默認安裝位置) 時才會排除。 如果您停用自動排除專案,您可能需要為這些其他工作負載定義防病毒軟體排除專案,或針對所有工作負載定義防病毒軟體排除專案。
以下是一些技術檔範例,可識別並實作您需要的排除專案:
根據您使用的專案,您可能需要參閱該伺服器工作負載的檔。
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。