Poissulkemisten yleiskatsaus

Koskee seuraavia:

• Microsoft Defenderin virustentorjunta
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Huomautus

Microsoftin MVP:nä Fabian Bader on osallistunut tähän artikkeliin ja antanut siitä materiaalista palautetta.

Microsoft Defender for Endpoint sisältää useita erilaisia ominaisuuksia kehittyneiden kyberuhkia ehkäisevien, havaittujen, tutkivien ja niihin reagoivien valmiuksien avulla. Nämä ominaisuudet sisältävät seuraavan sukupolven suojauksen (joka sisältää Microsoft Defender virustentorjunnan).

Kuten minkä tahansa päätepisteen suojauksen tai virustentorjuntaratkaisun kohdalla, Defender for Endpoint tai Microsoft Defender virustentorjunta voi havaita tiedostoja, kansioita tai prosesseja, jotka eivät todellisuudessa ole uhka. Nämä entiteetit voidaan estää tai lähettää karanteeniin, vaikka ne eivät oikeasti ole uhka.

Tässä artikkelissa kerrotaan erilaisista poissulkemisista, joita voidaan määrittää, tai toiminnoista, jotka voidaan suorittaa Defender for Endpointille ja Microsoft Defender Virustentorjuntaan näiden tilanteiden hallitsemiseksi.

Varoitus

Poissulkemisten määrittäminen vähentää Defenderin päätepisteelle ja Microsoft Defender virustentorjuntaohjelmalle tarjoamaa suojaustasoa. Käytä poissulkemisia viimeisenä keinona ja varmista, että määrität vain tarpeelliset poikkeukset. Tarkista poikkeukset säännöllisesti ja poista ne, joita et enää tarvitse. Katso Tärkeitä kohtia poissulkemisista ja yleisistä virheistä.

Poissulkemisten tyypit

Seuraavassa taulukossa on yhteenveto Defender for Endpointin ja Microsoft Defender antivirusin eri poissulkemistyypeistä ja toiminnoista. Saat lisätietoja valitsemalla kunkin tyypin.

Vihje

• Defender for Endpoint Plan 1 on saatavilla erillisenä suunnitelmana, ja se sisältyy Microsoft 365 E3.
• Defender for Endpoint Plan 2 on saatavilla erillisenä suunnitelmana, ja se sisältyy Microsoft 365 E5.
• Jos sinulla on Microsoft 365 E3 tai E5, muista määrittää Defender for Endpoint -ominaisuudet.

Poissulkemistyypit	Määritykset	Kuvaus
Automaattisen Microsoft Defender virustentorjunnan poikkeukset	Automaattinen	Windows Serverin palvelinroolien ja ominaisuuksien automaattiset poikkeukset. Kun asennat roolin Windows Server 2016:ssa tai uudemmassa, Microsoft Defender virustentorjunta sisältää palvelinroolin automaattiset poikkeukset ja tiedostot, jotka lisätään roolia asennettaessa. Huomautus: aktiivisille rooleille Windows Server 2016:ssa ja sitä uudemmissa versioissa.
Virustentorjuntaan Microsoft Defender sisältyvät poikkeukset	Automaattinen	Microsoft Defender virustentorjunta sisältää sisäänrakennettuja poissulkemisia käyttöjärjestelmätiedostoille kaikissa Windows-versioissa.
Mukautetun Microsoft Defender virustentorjunnan poikkeukset	Asiakas	Voit lisätä poikkeuksen tiedostoon, kansioon tai prosessiin, joka on havaittu ja tunnistettu haitalliseksi, vaikka se ei ole uhka. Pois jätetyt tiedostot, kansiot tai prosessit ohitetaan ajoitettujen tarkistusten, pyydettäessä tehtävien tarkistusten ja reaaliaikaisen suojauksen avulla.
Defender for Endpoint attack surface reduction exclusions	Asiakas	Jos hyökkäyksen pinnan reducion-säännöt aiheuttavat selittämätöntä käyttäytymistä organisaatiossasi, voit määrittää tiettyjen tiedostojen ja kansioiden poikkeukset. Tällaisia poissulkemisia sovelletaan kaikkiin hyökkäyksen pintaan vähentämissääntöihin.
Defender for Endpoint Indicators	Asiakas	Voit määrittää entiteeteille tiettyjä toimintoja sisältäviä ilmaisimia, kuten tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita ja varmenteita. Kun määrität ilmaisimet, voit määrittää esimerkiksi "Salli", jossa Defender for Endpoint ei estä tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita tai varmenteita, joissa on Salli-ilmaisimet.
Defender for Endpointin ohjaaman kansion käytön poikkeukset	Asiakas	Voit sallia suojattujen kansioiden käyttämisen tietyille sovelluksille tai allekirjoitetuille tiedostoille määrittämällä poissulkemisia.
Defender for Endpoint Automation Folder exclusions	Asiakas	Defender for Endpointin automatisoitu tutkinta ja korjaus tutkii hälytyksiä ja ryhtyy välittömiin toimiin havaittujen rikkomusten automaattiseksi ratkaisemiseksi. Voit määrittää tietyn hakemiston kansioita, tiedostotunnisteita ja tiedostonimiä, jotka jätetään pois automatisoiduista tutkimus- ja korjaustoiminnoista.

Huomautus

Microsoft Defender virustentorjuntaa koskevat poikkeukset voivat koskea virustentorjuntatarkistuksia ja/tai reaaliaikaista suojausta.

Huomautus

Defender for Endpointin palvelupaketti 1:n ja 2:n erilliset versiot eivät sisällä palvelimen käyttöoikeuksia. Jos haluat käyttää perehdytyspalvelimia, tarvitset toisen käyttöoikeuden, kuten Microsoft Defender for Endpoint palvelimille tai Microsoft Defender palvelimelle palvelupaketti 1 tai 2. Lisätietoja on artikkelissa Defender for Endpointin käyttöönotto Windows Serverissä.

Jos käytät Microsoft Defender for Business pientä tai keskisuurta yritystä, saat Microsoft Defender for Business servers.|

Seuraavissa osioissa kuvataan näitä poissulkemisia yksityiskohtaisemmin.

Automaattiset poikkeukset

Automaattiset poikkeukset (joita kutsutaan myös automaattisiksi palvelinroolien poissulkemisiksi) sisältävät poikkeuksia Windows Serverin palvelinrooleille ja -ominaisuuksille. Näitä poissulkemisia ei tarkastetaan reaaliaikaisen suojauksen avulla, mutta ne tarkistetaan edelleen nopeasti, kokonaan tai tarvittaessa.

Esimerkkeinä:

• Tiedostojen replikointipalvelu (FRS)
• Hyper-V
• SYSVOL
• Active Directory
• DNS-palvelin
• Tulostuspalvelin
• WWW-palvelin
• Windows Server Update Services
• ... ja paljon muuta.

Huomautus

Palvelinroolien automaattisia poissulkemisia ei tueta Windows Server 2012 R2:ssa. Jos palvelimeen on asennettu Windows Server 2012 R2, johon on asennettu Active Directory -toimialueen palvelut (AD DS) -palvelinrooli, toimialueen ohjauskoneiden poikkeukset on määritettävä manuaalisesti. Katso Active Directoryn poikkeukset.

Lisätietoja on kohdassa Automaattisen palvelimen roolin poikkeukset.

Sisäänrakennetut poikkeukset

Sisäiset poikkeukset sisältävät tiettyjä käyttöjärjestelmätiedostoja, jotka Microsoft Defender virustentorjuntaohjelma jättää pois kaikissa Windowsin versioissa (mukaan lukien Windows 10, Windows 11 ja Windows Server).

Esimerkkeinä:

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %allusersprofile%\NTUser.pol
• Windows Update tiedostot
• Windowsin suojaus tiedostot
• ... ja paljon muuta.

Luettelo Windowsin sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa. Lisätietoja näistä poissulkemisista on artikkelissa Microsoft Defender virustentorjunnan poikkeukset Windows Serverissä: Sisäiset poikkeukset.

Mukautetut poikkeukset

Mukautetut poikkeukset sisältävät määrittämäsi tiedostot ja kansiot. Tiedostojen, kansioiden ja prosessien poikkeukset ohitetaan ajoitetussa tarkistuksessa, pyydettäessä tehtävässä tarkistuksessa ja reaaliaikaisessa suojauksessa. Prosessissa avattujen tiedostojen poissulkemisia ei tarkastetaan reaaliaikaisen suojauksen avulla, mutta ne tarkistetaan edelleen nopeasti, kokonaan tai tarvittaessa.

Mukautetut korjaustoiminnot

Kun Microsoft Defender virustentorjuntaohjelma havaitsee mahdollisen uhan tarkistuksen suorittamisen aikana, se yrittää korjata tai poistaa havaitun uhan. Voit määrittää mukautettuja korjaustoimintoja määrittääksesi, miten Microsoft Defender virustentorjuntaohjelman tulisi vastata tiettyihin uhkiin, tulisiko palautuspiste luoda ennen korjaamista ja milloin uhat tulisi poistaa. Määritä korjaustoiminnot Microsoft Defender virustentorjunnan tunnistuksia varten.

Hyökkäyksen pinnan vähentämisen poikkeukset

Hyökkäyksen pinnan pienentämissäännöt (tunnetaan myös nimellä ASR-säännöt) kohdistuvat tiettyihin ohjelmistoihin, kuten:

• Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
• Käynnissä komentosarjoja, jotka vaikuttavat hämärtyneiltä tai muuten epäilyttäviltä
• Toiminnot, joita sovellukset eivät yleensä aloita normaalin päivittäisen työn aikana

Joskus lailliset sovellukset osoittavat ohjelmistotoimintaa, joka voidaan estää hyökkäyspinnan vähentämissäännöillä. Jos tämä tapahtuu organisaatiossasi, voit määrittää poissulkemisia tietyille tiedostoille ja kansioille. Tällaisia poissulkemisia sovelletaan kaikkiin hyökkäyksen pintaan vähentämissääntöihin. Katso Hyökkäysalueen pienentämissääntöjen käyttöönotto.

Huomaa myös, että vaikka useimmat ASR-sääntöjen poikkeukset ovat riippumattomia Microsoft Defender virustentorjuntaan, jotkin ASR-säännöt noudattavat joitakin Microsoft Defender virustentorjunnan poissulkemisia. Katso Hyökkäyspinnan pienentämissääntöjen viitetiedot – Microsoft Defender virustentorjunnan poikkeukset ja ASR-säännöt.

Defender for Endpoint -ilmaisimet

Voit määrittää entiteeteille tiettyjä toimintoja sisältäviä ilmaisimia , kuten tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita ja varmenteita. Defender for Endpointissa ilmaisimia kutsutaan kompromissiindikaattoreiksi (IOC) ja harvemmin mukautetuiksi ilmaisimina. Kun määrität ilmaisimet, voit määrittää jonkin seuraavista toiminnoista:

• Allow – Defender for Endpoint ei estä tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita tai varmenteita, joissa on Salli-ilmaisimet. (Käytä tätä toimintoa harkiten.)

• Valvonta – Valvontailmaisimia sisältäviä tiedostoja, IP-osoitteita ja URL-osoitteita/toimialueita seurataan, ja kun käyttäjät käyttävät niitä, Microsoft Defender portaalissa luodaan tietoilmoituksia.

• Block and Remediate – Block- ja Remediate-ilmaisimia käyttävät tiedostot tai varmenteet estetään ja asetetaan karanteeniin, kun niitä havaitaan.

• Block Execution – IP-osoitteet ja URL-osoitteet/toimialueet, joissa on suorituksen estoilmaisimet, on estetty. Käyttäjät eivät voi käyttää näitä sijainteja.

• Warn – IP-osoitteet ja URL-osoitteet/toimialueet, joissa on Varoita-ilmaisimet, aiheuttavat varoitussanoman, kun käyttäjä yrittää käyttää kyseisiä sijainteja. Käyttäjät voivat ohittaa varoituksen ja siirtyä IP-osoitteeseen tai URL-osoitteeseen/toimialueeseen.

Tärkeää

Vuokraajassa voi olla enintään 15 000 ilmaisinta.

Seuraavassa taulukossa on yhteenveto IoC-tyypeistä ja käytettävissä olevista toiminnoista:

Ilmaisimen tyyppi	Käytettävissä olevat toiminnot
Tiedostot	-Sallia -Tilintarkastus -Varoittaa - Lohkon suorittaminen - lohko ja korjaus
IP-osoitteet ja URL-osoitteet/toimialueet	-Sallia -Tilintarkastus -Varoittaa - Lohkon suorittaminen
Todistukset	-Sallia - lohko ja korjaus

Vihje

Seuraavista resursseista on lisätietoja ilmaisimista:

• Ilmaisimien luominen
• Luo ilmaisimia tiedostoille
• Ip-osoitteiden ja URL-osoitteiden/toimialueiden ilmaisimien luominen
• Varmenteisiin perustuvien ilmaisimien luominen
• Ilmaisimien hallinta

Valvotun kansion käytön poikkeukset

Valvotun kansion käyttö valvoo sovelluksia toiminnoille, jotka havaitaan haitallisiksi, ja suojaa tiettyjen (suojattujen) kansioiden sisällön Windows-laitteissa. Valvotun kansion käyttö sallii vain luotettavien sovellusten käyttää suojattuja kansioita, kuten yleisiä järjestelmäkansioita (mukaan lukien käynnistyssektorit) ja muita määrittämiäsi kansioita. Voit sallia suojattujen kansioiden käyttämisen tietyille sovelluksille tai allekirjoitetuille tiedostoille määrittämällä poissulkemisia. Katso Hallitsemien kansioiden käyttöoikeuksien mukauttaminen.

Automaatiokansion poikkeukset

Automaatiokansion poikkeukset koskevat automaattista tutkintaa ja korjausta Defender for Endpointissa, joka on suunniteltu tutkimaan hälytyksiä ja ryhtymään välittömiin toimiin havaittujen rikkomusten ratkaisemiseksi. Kun hälytyksiä käynnistetään ja automatisoitu tutkimus suoritetaan, jokaisesta tutkituista todisteista tehdään tuomio (Haitta, Epäilyttävä tai Ei uhkia). Automaatiotasosta ja muista suojausasetuksista riippuen korjaustoiminnot voidaan suorittaa automaattisesti tai vain suojaustoimintatiimin hyväksynnän jälkeen.

Voit määrittää tietyn hakemiston kansioita, tiedostotunnisteita ja tiedostonimiä, jotka jätetään pois automatisoiduista tutkimus- ja korjaustoiminnoista. Tällaiset automaatiokansion poikkeukset koskevat kaikkia laitteita, jotka on otettu käyttöön Defender for Endpointissa. Nämä poikkeukset ovat edelleen virustentorjuntatarkistusten alaisia. Katso Automaatiokansion poissulkemisten hallinta.

Miten poissulkemisia ja indikaattoreita arvioidaan

Useimmissa organisaatioissa on useita erilaisia poissulkemisia ja ilmaisimia, joiden avulla voidaan määrittää, pitäisikö käyttäjien käyttää tiedostoa tai prosessia. Poissulkemiset ja indikaattorit käsitellään tietyssä järjestyksessä, jotta käytäntöristiriidat käsitellään järjestelmällisesti.

Seuraavassa kuvassa on yhteenveto siitä, miten poissulkemiset ja ilmaisimet käsitellään Defenderin päätepisteen ja Microsoft Defender virustentorjuntaohjelmassa:

Näin se toimii:

1. Jos Windows Defenderin sovellusohjausobjekti ja AppLocker eivät salli havaittua tiedostoa/prosessia, se on estetty. Muussa tapauksessa virustentorjunta Microsoft Defender.

2. Jos tunnistettu tiedosto tai prosessi ei ole osa Microsoft Defender virustentorjunnan poissulkemista, se on estetty. Muussa tapauksessa Defender for Endpoint tarkistaa tiedoston/prosessin mukautetun ilmaisimen.

3. Jos havaitussa tiedostossa/prosessissa on Block- tai Warn-ilmaisin, tämä toiminto suoritetaan. Muussa tapauksessa tiedosto/prosessi sallitaan, ja sitä arvioidaan hyökkäyksen pinnanvähennyssääntöjen, valvotun kansion käytön ja SmartScreen-suojauksen avulla.

4. Jos hyökkäysalueen pienentämissäännöt, valvotun kansion käyttö tai SmartScreen-suojaus eivät estä havaittua tiedostoa/prosessia, virustentorjunta Microsoft Defender.

5. Jos Microsoft Defender virustentorjunta ei salli tunnistettua tiedostoa/prosessia, se tarkistaa toiminnon uhkatunnuksen perusteella.

Käytäntöristiriitojen käsittelytapa

Jos Defender for Endpoint -ilmaisimet ovat ristiriidassa, seuraavat ovat odotettavissa:

• Jos tiedostoilmaisimet ovat ristiriitaisia, käytetään suojatuinta hajautusarvoa käyttävää ilmaisinta. Esimerkiksi SHA256 on etusijalla SHA-1:een nähden, joka on etusijalla MD5:een nähden.

• Jos URL-ilmaisimet ovat ristiriitaisia, käytetään tiukempaa ilmaisinta. SmartScreenin Microsoft Defender käytetään ilmaisinta, joka käyttää pisintä URL-polkua. Esimerkiksi etusija www.dom.ain/admin/www.dom.ainon . (Verkon suojaus koskee toimialueita toimialueiden alisivujen sijaan.)

• Jos tiedostolla tai prosessilla on samankaltaisia ilmaisimia, joilla on eri toimintoja, tiettyyn laiteryhmään suodatettu ilmaisin on etusijalla ilmaisimeen nähden, joka kohdistuu kaikkiin laitteisiin.

Miten automatisoitu tutkimus ja korjaus toimivat indikaattorien kanssa

Defender for Endpointin automaattiset tutkimus- ja korjaustoiminnot määrittävät ensin tuomion kullekin todisteelle ja ryhtyvät sitten toimiin Defender for Endpoint -ilmaisimien mukaan. Näin ollen tiedosto/prosessi voi saada tuomion "hyvä" (mikä tarkoittaa, että uhkia ei löytynyt) ja silti estetään, jos kyseisessä toiminnossa on ilmaisin. Samoin entiteetti voi saada tuomion "huonosta" (mikä tarkoittaa, että se on määritetty haitallisiksi) ja silti sallittu, jos kyseisessä toiminnossa on ilmaisin.

Seuraavassa kaaviossa näytetään, miten automatisoitu tutkimus ja korjaus toimivat ilmaisimien kanssa:

Muut palvelimen kuormitukset ja poikkeukset

Jos organisaatiosi käyttää muita palvelinkuormituksia, kuten Exchange Server, SharePoint Serveriä tai SQL Server, ota huomioon, että vain sisäiset palvelinroolit (jotka saattavat olla myöhemmin asennetun ohjelmiston edellytyksiä) jätetään pois automaattisen poikkeuksen toiminnosta (ja vain käytettäessä niiden oletusasennussijaintia). Sinun on todennäköisesti määritettävä virustentorjuntaa koskevat poikkeukset näille muille kuormituksille tai kaikille kuormituksille, jos poistat automaattiset poikkeukset käytöstä.

Seuraavassa on joitakin esimerkkejä teknisistä ohjeista, joiden avulla voit tunnistaa ja toteuttaa tarvitsemasi poikkeukset:

• Suoritetaan virustentorjuntaohjelmistoa Exchange Server
• Kansiot, jotka jätetään pois virustentorjuntatarkisuksista SharePoint Serverissä
• SQL Server virustentorjuntaohjelman valitseminen

Riippuen siitä, mitä käytät, sinun on ehkä tutustuttava kyseisen palvelimen kuormituksen dokumentaatioon.

Vihje

Suorituskykyvihje Eri tekijöistä johtuen Microsoft Defender virustentorjuntaohjelma, kuten muutkin virustentorjuntaohjelmat, voivat aiheuttaa suorituskykyongelmia päätepistelaitteissa. Joissakin tapauksissa sinun on ehkä hienosäädettävä Microsoft Defender virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:

• Tärkeimmät skannausaikaan vaikuttavat polut
• Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
• Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
• Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
• Yhdistelmät, kuten:
  • ylimmät tiedostot laajennusta kohti
  • ylimmät polut laajennusta kohti
  • parhaat prosessit polkua kohti
  • suosituimmat tarkistukset tiedostoa kohden
  • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Lähetykset, tukahduttaminen ja poissulkemiset
• Tärkeät poissulkemisia koskevat seikat
• Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.