Jaa


Mukautettujen poikkeusten määrittäminen Microsoft Defender virustentorjuntaohjelmaa varten

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Yleensä sinun ei pitäisi joutua määrittämään poissulkemisia virustentorjuntaa Microsoft Defender varten. Tarvittaessa voit kuitenkin jättää pois tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Microsoft Defender virustentorjuntatarkistuksia. Tällaisia poissulkemisia kutsutaan mukautetuiksi poissulkemisiksi. Tässä artikkelissa kerrotaan, miten voit määrittää Microsoft Defender virustentorjuntaohjelmalle mukautettuja poissulkemisia Microsoft Intune avulla, ja sisältää linkkejä muihin resursseihin, jos haluat lisätietoja.

Mukautetut poikkeukset koskevat ajoitettuja skannauksia, pyydettäessä suoritettavaa tarkistusta sekä aina reaaliaikaista suojausta ja valvontaa. Prosessissa avattujen tiedostojen poissulkemiset koskevat vain reaaliaikaista suojausta.

Vihje

Yksityiskohtainen yleiskatsaus Microsoft Defender virustentorjunnan ja Defender for Endpointin tukahduttamisista, lähettämisistä ja poissulkemisista on artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunta.

Määritä ja vahvista poikkeukset

Varoitus

Käytä Microsoft Defender virustentorjuntalaajennuksia säästeliäästi. Varmista, että tarkistat Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta -artikkelin tiedot.

Jos käytät Microsoft Intune Microsoft Defender virustentorjunnan tai Microsoft Defender for Endpoint hallintaan, määritä poikkeukset seuraavien ohjeiden avulla:

Jos käytät toista työkalua, kuten Configuration Manager tai ryhmäkäytäntö, tai haluat tarkempia tietoja mukautetuista poissulkemisista, tutustu seuraaviin artikkeleihin:

Virustentorjunnan poissulkemisten hallinta Intune (aiemmin luoduissa käytännöissä)

  1. Valitse Microsoft Intune hallintakeskuksessaPäätepisteen suojauksen>virustentorjunta ja valitse sitten olemassa oleva käytäntö. (Jos sinulla ei ole aiemmin luotua käytäntöä tai haluat luoda uuden käytännön, siirry kohtaan Luo uusi virustentorjuntakäytäntö, joka sisältää poissulkemisia Intune.)

  2. Valitse Ominaisuudet ja valitse sitten Määritysasetukset-kohdan vieristä Muokkaa.

  3. Laajenna virustentorjuntaohjelman poissulkemisten Microsoft Defender ja määritä poikkeukset.

    • Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota kukin luettelon tiedostotyyppi toisistaan yksillä tiedostotyypeillä riviä kohden. Lisätietoja on kohdassa ExcludedExtensions.

    • Pois jätetyt polut ovat poissulkemisia, jotka määrität niiden sijainnin (polun) mukaan. Tällaisia poissulkemisia kutsutaan myös tiedosto- ja kansiopoikkeuksi. Erota luettelon jokainen polku yksi polku riviä kohden. Lisätietoja on kohdassa ExcludedPaths.

    • Pois jätetyt prosessit ovat pois jätettyjä tiedostoja, jotka avataan tietyillä prosesseilla. Erota kukin luettelon tiedostotyyppi toisistaan yksillä tiedostotyypeillä riviä kohden. Nämä poikkeukset eivät ole todellisia prosesseja varten. Jos haluat jättää prosesseja pois, voit käyttää tiedostojen ja kansioiden poissulkemisia. Lisätietoja on kohdassa ExcludedProcesses.

  4. Valitse Tarkista + tallenna ja valitse sitten Tallenna.

Luo uusi virustentorjuntakäytäntö, joka sisältää poissulkemisia Intune

  1. Valitse Microsoft Intune hallintakeskuksessaPäätepisteen suojauksen>virustentorjunta>+ Luo käytäntö.

  2. Valitse käyttöympäristö (kuten Windows 10, Windows 11 ja Windows Server).

  3. Valitse Profiili-kohdassaMicrosoft Defender virustentorjunnan poikkeukset ja valitse sitten Luo.

  4. Määritä Luo profiili -vaiheessa profiilin nimi ja kuvaus ja valitse sitten Seuraava.

  5. Määritä Määritysasetukset-välilehdessä virustentorjuntasi poikkeukset ja valitse sitten Seuraava.

    • Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota luettelon jokainen tiedostotyyppi menneellä | . Esimerkiksi lib|obj. Lisätietoja on kohdassa ExcludedExtensions.

    • Pois jätetyt polut ovat poissulkemisia, jotka määrität niiden sijainnin (polun) mukaan. Tällaisia poissulkemisia kutsutaan myös tiedosto- ja kansiopoikkeuksi. Erota luettelon jokainen polku yksi polku riviä kohden. Lisätietoja on kohdassa ExcludedPaths.

    • Pois jätetyt prosessit ovat pois jätettyjä tiedostoja, jotka avataan tietyillä prosesseilla. Erota kukin luettelon tiedostotyyppi toisistaan yksillä tiedostotyypeillä riviä kohden. Nämä poikkeukset eivät ole todellisia prosesseja varten. Jos haluat jättää prosesseja pois, voit käyttää tiedostojen ja kansioiden poissulkemisia. Lisätietoja on kohdassa ExcludedProcesses.

  6. Jos käytät Käyttöaluetunnisteet-välilehdessä käyttöaluetunnisteita organisaatiossasi, määritä käyttöaluetunnisteet luomallesi käytännölle. (Katso käyttöalueen tunnisteet.)

  7. Määritä Määritykset-välilehdessä käyttäjät ja ryhmät, joille käytäntöäsi käytetään, ja valitse sitten Seuraava. (Jos tarvitset apua varausten kanssa, katso Käyttäjä- ja laiteprofiilien määrittäminen Microsoft Intune.)

  8. Tarkista + luo -välilehdessä asetukset ja valitse sitten Luo.

Tärkeät poissulkemisia koskevat seikat

Poissulkemisten määrittäminen vähentää Microsoft Defender virustentorjuntaohjelman tarjoamaa suojausta. Sinun tulee aina arvioida riskit, jotka liittyvät poissulkemisten toteuttamiseen, ja sinun tulisi jättää pois vain tiedostot, joihin olet varma, etteivät ne ole haitallisia.

Poikkeukset vaikuttavat suoraan Microsoft Defender virustentorjuntaohjelman kykyyn estää, korjata tai tarkastaa tapahtumia, jotka liittyvät poissulkemisluetteloon lisättyihin tiedostoihin, kansioihin tai prosesseihin. Mukautetut poikkeukset voivat vaikuttaa ominaisuuksiin, jotka ovat suoraan riippuvaisia virustentorjuntaohjelmasta (kuten suojaus haittaohjelmia vastaan, tiedostojen IOC:t ja varmenteiden IOC:t). Prosessin poissulkemiset vaikuttavat myös verkon suojaukseen ja hyökkäyksen pinnan vähentämissääntöihin. Erityisesti prosessista pois jättäminen missä tahansa ympäristössä aiheuttaa sen, että verkon suojaus- ja hyökkäyspinnan vähentämistoiminnot eivät pysty tarkastamaan liikennettä tai valvomaan sääntöjä kyseiselle prosessille.

Muista seuraavat tärkeät seikat:

  • Poikkeukset ovat teknisesti suojavaje. Harkitse kaikkia vaihtoehtoja, kun määrität poissulkemisia. Katso Lähetykset, tukahduttaminen ja poissulkemiset.

  • Tarkista poikkeukset säännöllisin väliajoin. Tarkista ja ota lievennykset uudelleen käyttöön osana tarkistusprosessiasi.

  • Ihannetapauksessa vältä poissulkemisten määrittämistä pyrkiessäsi olemaan ennakoiva. Älä esimerkiksi jätä pois jotain vain siksi, että uskot sen olevan ongelma tulevaisuudessa. Käytä poissulkemisia vain tietyissä ongelmissa, kuten suorituskykyyn liittyvissä tai sovellusten yhteensopivuudessa, joita poissulkemiset voivat lieventää.

  • Tarkastele ja valvo poissulkemisten luettelosi muutoksia. Tietoturvatiimisi tulee säilyttää konteksti siitä, miksi tietty poissulkeminen lisättiin, jotta vältytään sekaannuksilta myöhemmin. Tietoturvatiimisi pitäisi pystyä antamaan erityisiä vastauksia kysymyksiin siitä, miksi poissulkemisia on olemassa.

Virustentorjunnan poissulkemisten valvonta Exchange-järjestelmissä

Microsoft Exchange on tukenut integrointia haittaohjelmien torjunnan tarkistusliittymän (AMSI) kanssa kesäkuusta 2021 lähtien neljännesvuosittaisen Päivitykset for Exchangeen (katso Windowsin virustentorjuntaohjelmiston suorittaminen Exchange-palvelimilla). Suosittelemme asentamaan nämä päivitykset ja varmistamaan, että AMSI toimii oikein. Katso Microsoft Defender virustentorjunnan suojaustiedot ja tuotepäivitykset.

Monet organisaatiot sulkevat Exchange-hakemistot pois virustentorjuntatarkistuksista suorituskykysyistä. Microsoft suosittelee Exchange-järjestelmien virustentorjuntaan Microsoft Defender poissulkemisten valvontaa ja sen arvioimista, voidaanko poikkeukset poistaa vaikuttamatta ympäristösi suorituskykyyn korkeimman suojaustason varmistamiseksi. Poissulkemisia voidaan hallita käyttämällä ryhmäkäytäntö, PowerShelliä tai järjestelmien hallintatyökaluja, kuten Microsoft Intune.

Jos haluat valvoa Microsoft Defender virustentorjuntaohjelman poissulkemisia Exchange Server, suorita Get-MpPreference-komento laajennetusta PowerShell-kehotteesta. (Katso Get-MpPreference.)

Jos Exchange-prosessien ja -kansioiden poissulkemisia ei voida poistaa, muista, että pikatarkistuksen suorittaminen Microsoft Defender virustentorjunta tarkistaa Exchange-hakemistot ja -tiedostot poikkeuksesta riippumatta.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.