Konfigurace vlastních vyloučení pro Microsoft Defender Antivirus

  • Článek

Platí pro:

Platformy

  • Windows

Obecně platí, že byste neměli definovat vyloučení pro Microsoft Defender Antivirus. V případě potřeby ale můžete vyloučit soubory, složky, procesy a procesy otevřené soubory z Microsoft Defender antivirových kontrol. Tyto typy vyloučení se označují jako vlastní vyloučení. Tento článek popisuje, jak definovat vlastní vyloučení pro Microsoft Defender Antivirus s Microsoft Intune, a obsahuje odkazy na další zdroje informací.

Vlastní vyloučení se vztahují na plánované kontroly, kontroly na vyžádání a ochranu a monitorování v reálném čase. Vyloučení souborů otevřených procesem platí jenom pro ochranu v reálném čase.

Tip

Podrobný přehled potlačení, odesílání a vyloučení v Microsoft Defender Antivirus a Defender for Endpoint najdete v tématu Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Konfigurace a ověření vyloučení

Upozornění

Používejte rozšíření Microsoft Defender Antivirus střídmě. Nezapomeňte si projít informace v tématu Správa vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Pokud ke správě Microsoft Defender Antivirové ochrany nebo Microsoft Defender for Endpoint používáte Microsoft Intune, použijte k definování vyloučení následující postupy:

Pokud používáte jiný nástroj, například Configuration Manager nebo Zásady skupiny, nebo potřebujete podrobnější informace o vlastních vyloučeních, přečtěte si tyto články:

Správa vyloučení antivirového softwaru v Intune (pro stávající zásady)

  1. V Centru pro správu Microsoft Intune zvolteAntivirová ochrana zabezpečení >koncového bodua pak vyberte existující zásadu. (Pokud nemáte existující zásadu nebo chcete vytvořit novou zásadu, přejděte na Create nové antivirové zásady s vyloučeními v Intune.)

  2. Zvolte Vlastnosti a vedle nastavení konfigurace zvolte Upravit.

  3. Rozbalte Microsoft Defender Vyloučení antivirové ochrany a pak zadejte vyloučení.

    • Vyloučené přípony jsou vyloučení, která definujete podle přípony typu souboru. Tyto přípony platí pro všechny názvy souborů, které mají definovanou příponu bez cesty k souboru nebo složky. Jednotlivé typy souborů v seznamu musí být oddělené znakem | . Například: lib|obj. Další informace najdete v tématu ExcludedExtensions.
    • Vyloučené cesty jsou vyloučení, která definujete podle jejich umístění (cesty). Tyto typy vyloučení se také označují jako vyloučení souborů a složek. Jednotlivé cesty v seznamu oddělte znakem | . Například: C:\Example|C:\Example1. Další informace najdete v tématu ExcludedPaths.
    • Vyloučené procesy jsou vyloučení pro soubory, které jsou otevřeny určitými procesy. Jednotlivé typy souborů v seznamu oddělte znakem | . Například: C:\Example. exe|C:\Example1.exe. Tato vyloučení se netýknou skutečných procesů. Pokud chcete vyloučit procesy, můžete použít vyloučení souborů a složek. Další informace najdete v tématu ExcludedProcesses.

  4. Zvolte Zkontrolovat a uložit a pak zvolte Uložit.

Create nové antivirové zásady s vyloučeními v Intune

  1. V Centru pro správu Microsoft Intune zvolte Endpoint security>Antivirus>+ Create Zásady.

  2. Vyberte platformu (například Windows 10, Windows 11 a Windows Server).

  3. V části Profil vyberte Microsoft Defender Vyloučení antivirové ochrany a pak zvolte Create.

  4. V kroku Create profilu zadejte název a popis profilu a pak zvolte Další.

  5. Na kartě Nastavení konfigurace zadejte vyloučení antivirové ochrany a pak zvolte Další.

    • Vyloučené přípony jsou vyloučení, která definujete podle přípony typu souboru. Tyto přípony platí pro všechny názvy souborů, které mají definovanou příponu bez cesty k souboru nebo složky. Jednotlivé typy souborů v seznamu oddělte znakem | . Například: lib|obj. Další informace najdete v tématu ExcludedExtensions.
    • Vyloučené cesty jsou vyloučení, která definujete podle jejich umístění (cesty). Tyto typy vyloučení se také označují jako vyloučení souborů a složek. Jednotlivé cesty v seznamu oddělte znakem | . Například: C:\Example|C:\Example1. Další informace najdete v tématu ExcludedPaths.
    • Vyloučené procesy jsou vyloučení pro soubory, které jsou otevřeny určitými procesy. Jednotlivé typy souborů v seznamu oddělte znakem | . Například: C:\Example. exe|C:\Example1.exe. Tato vyloučení se netýknou skutečných procesů. Pokud chcete vyloučit procesy, můžete použít vyloučení souborů a složek. Další informace najdete v tématu ExcludedProcesses.

  6. Pokud ve vaší organizaci používáte značky oboru, zadejte na kartě Značky oboru pro zásady, které vytváříte. (Viz Značky oboru.)

  7. Na kartě Přiřazení zadejte uživatele a skupiny, na které se vaše zásady mají použít, a pak zvolte Další. (Pokud potřebujete pomoc s přiřazeními, přečtěte si článek Přiřazení profilů uživatelů a zařízení v Microsoft Intune.)

  8. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak zvolte Create.

Důležité body týkající se vyloučení

Definováním vyloučení snížíte ochranu, kterou Microsoft Defender Antivirus nabízí. Vždy byste měli vyhodnotit rizika spojená s implementací vyloučení a vyloučit pouze soubory, u kterých jste si jistí, že nejsou škodlivé.

Vyloučení mají přímý vliv na schopnost Microsoft Defender Antivirové ochrany blokovat, opravovat nebo kontrolovat události související se soubory, složkami nebo procesy, které jsou přidány do seznamu vyloučení. Vlastní vyloučení můžou mít vliv na funkce, které jsou přímo závislé na antivirovém modulu (například ochrana před malwarem, vstupně-výstupní operace souborů a vstupně-výstupní operace certifikátů). Vyloučení procesů mají také vliv na ochranu sítě a pravidla omezení potenciální oblasti útoku. Konkrétně vyloučení procesů na jakékoli platformě způsobí, že ochrana sítě a ASR nebudou moct kontrolovat provoz nebo vynucovat pravidla pro tento konkrétní proces.

Při definování vyloučení mějte na paměti následující body:

  • Vyloučení představují technicky mezeru v ochraně. Při definování vyloučení zvažte všechny možnosti. Viz Odeslání, potlačení a vyloučení.

  • Pravidelně kontrolujte vyloučení. V rámci procesu kontroly znovu zkontrolujte a znovu vynucujte zmírnění rizik.

  • V ideálním případě se vyhněte definování vyloučení ve snaze být proaktivní. Nevylučujte například něco jenom proto, že si myslíte, že to může být v budoucnu problém. Vyloučení používejte pouze pro konkrétní problémy, například problémy související s výkonem nebo kompatibilitou aplikací, které by vyloučení mohla zmírnit.

  • Zkontrolujte a auditujte změny seznamu vyloučení. Váš bezpečnostní tým by měl zachovat kontext týkající se důvodu přidání určitého vyloučení, aby nedocházelo k nejasnostem později. Váš bezpečnostní tým by měl být schopný poskytnout konkrétní odpovědi na otázky týkající se toho, proč existují vyloučení.

Audit vyloučení antivirového softwaru v systémech Exchange

Microsoft Exchange podporuje integraci s rozhraním AMSI (Antimalware Scan Interface) od čtvrtletního Aktualizace exchange z června 2021 (viz Spuštění antivirového softwaru windows na serverech Exchange). Důrazně doporučujeme tyto aktualizace nainstalovat a ujistit se, že AMSI funguje správně. Viz Microsoft Defender Antivirová ochrana a aktualizace produktů.

Řada organizací vylučuje adresáře Exchange z antivirových kontrol z důvodů výkonu. Společnost Microsoft doporučuje auditování Microsoft Defender vyloučení antivirové ochrany v systémech Exchange a posouzení, zda je možné vyloučení odebrat, aniž by to mělo vliv na výkon ve vašem prostředí, aby se zajistila nejvyšší úroveň ochrany. Vyloučení je možné spravovat pomocí Zásady skupiny, PowerShellu nebo nástrojů pro správu systémů, jako je Microsoft Intune.

Pokud chcete auditovat vyloučení Microsoft Defender antivirové ochrany na Exchange Server, spusťte příkaz Get-MpPreference z příkazového řádku PowerShellu se zvýšenými oprávněními. (Viz Get-MpPreference.)

Pokud u procesů a složek Exchange není možné odebrat vyloučení, mějte na paměti, že spuštěním rychlé kontroly v Microsoft Defender Antivirus prohledáte adresáře a soubory Exchange bez ohledu na vyloučení.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.