Poissulkemisten yleiskatsaus
Koskee seuraavia:
- Microsoft Defenderin virustentorjunta
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Huomautus
Microsoftin MVP:nä Fabian Bader on osallistunut tähän artikkeliin ja antanut siitä materiaalista palautetta.
Microsoft Defender for Endpoint sisältää useita erilaisia ominaisuuksia kehittyneiden kyberuhkia ehkäisevien, havaittujen, tutkivien ja niihin reagoivien valmiuksien avulla. Nämä ominaisuudet sisältävät seuraavan sukupolven suojauksen (joka sisältää Microsoft Defender virustentorjunnan).
Kuten minkä tahansa päätepisteen suojauksen tai virustentorjuntaratkaisun kohdalla, Defender for Endpoint tai Microsoft Defender virustentorjunta voi havaita tiedostoja, kansioita tai prosesseja, jotka eivät todellisuudessa ole uhka. Nämä entiteetit voidaan estää tai lähettää karanteeniin, vaikka ne eivät oikeasti ole uhka.
Tässä artikkelissa kerrotaan erilaisista poissulkemisista, joita voidaan määrittää, tai toiminnoista, jotka voidaan suorittaa Defender for Endpointille ja Microsoft Defender Virustentorjuntaan näiden tilanteiden hallitsemiseksi.
Varoitus
Poissulkemisten määrittäminen vähentää Defenderin päätepisteelle ja Microsoft Defender virustentorjuntaohjelmalle tarjoamaa suojaustasoa. Käytä poissulkemisia viimeisenä keinona ja varmista, että määrität vain tarpeelliset poikkeukset. Tarkista poikkeukset säännöllisesti ja poista ne, joita et enää tarvitse. Katso Tärkeitä kohtia poissulkemisista ja yleisistä virheistä.
Poissulkemisten tyypit
Seuraavassa taulukossa on yhteenveto Defender for Endpointin ja Microsoft Defender antivirusin eri poissulkemistyypeistä ja toiminnoista. Saat lisätietoja valitsemalla kunkin tyypin.
Vihje
- Defender for Endpoint Plan 1 on saatavilla erillisenä suunnitelmana, ja se sisältyy Microsoft 365 E3.
- Defender for Endpoint Plan 2 on saatavilla erillisenä suunnitelmana, ja se sisältyy Microsoft 365 E5.
- Jos sinulla on Microsoft 365 E3 tai E5, muista määrittää Defender for Endpoint -ominaisuudet.
Poissulkemistyypit | Määritykset | Kuvaus |
---|---|---|
Automaattisen Microsoft Defender virustentorjunnan poikkeukset | Automaattinen | Windows Serverin palvelinroolien ja ominaisuuksien automaattiset poikkeukset. Kun asennat roolin Windows Server 2016:ssa tai uudemmassa, Microsoft Defender virustentorjunta sisältää palvelinroolin automaattiset poikkeukset ja tiedostot, jotka lisätään roolia asennettaessa. Huomautus: aktiivisille rooleille Windows Server 2016:ssa ja sitä uudemmissa versioissa. |
Virustentorjuntaan Microsoft Defender sisältyvät poikkeukset | Automaattinen | Microsoft Defender virustentorjunta sisältää sisäänrakennettuja poissulkemisia käyttöjärjestelmätiedostoille kaikissa Windows-versioissa. |
Mukautetun Microsoft Defender virustentorjunnan poikkeukset | Asiakas | Voit lisätä poikkeuksen tiedostoon, kansioon tai prosessiin, joka on havaittu ja tunnistettu haitalliseksi, vaikka se ei ole uhka. Pois jätetyt tiedostot, kansiot tai prosessit ohitetaan ajoitettujen tarkistusten, pyydettäessä tehtävien tarkistusten ja reaaliaikaisen suojauksen avulla. |
Defender for Endpoint attack surface reduction exclusions | Asiakas | Jos hyökkäyksen pinnan reducion-säännöt aiheuttavat selittämätöntä käyttäytymistä organisaatiossasi, voit määrittää tiettyjen tiedostojen ja kansioiden poikkeukset. Tällaisia poissulkemisia sovelletaan kaikkiin hyökkäyksen pintaan vähentämissääntöihin. |
Defender for Endpoint Indicators | Asiakas | Voit määrittää entiteeteille tiettyjä toimintoja sisältäviä ilmaisimia, kuten tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita ja varmenteita. Kun määrität ilmaisimet, voit määrittää esimerkiksi "Salli", jossa Defender for Endpoint ei estä tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita tai varmenteita, joissa on Salli-ilmaisimet. |
Defender for Endpointin ohjaaman kansion käytön poikkeukset | Asiakas | Voit sallia suojattujen kansioiden käyttämisen tietyille sovelluksille tai allekirjoitetuille tiedostoille määrittämällä poissulkemisia. |
Defender for Endpoint Automation Folder exclusions | Asiakas | Defender for Endpointin automatisoitu tutkinta ja korjaus tutkii hälytyksiä ja ryhtyy välittömiin toimiin havaittujen rikkomusten automaattiseksi ratkaisemiseksi. Voit määrittää tietyn hakemiston kansioita, tiedostotunnisteita ja tiedostonimiä, jotka jätetään pois automatisoiduista tutkimus- ja korjaustoiminnoista. |
Huomautus
Microsoft Defender virustentorjuntaa koskevat poikkeukset voivat koskea virustentorjuntatarkistuksia ja/tai reaaliaikaista suojausta.
Huomautus
Defender for Endpointin palvelupaketti 1:n ja 2:n erilliset versiot eivät sisällä palvelimen käyttöoikeuksia. Jos haluat käyttää perehdytyspalvelimia, tarvitset toisen käyttöoikeuden, kuten Microsoft Defender for Endpoint palvelimille tai Microsoft Defender palvelimelle palvelupaketti 1 tai 2. Lisätietoja on artikkelissa Defender for Endpointin käyttöönotto Windows Serverissä.
Jos käytät Microsoft Defender for Business pientä tai keskisuurta yritystä, saat Microsoft Defender for Business servers.|
Seuraavissa osioissa kuvataan näitä poissulkemisia yksityiskohtaisemmin.
Automaattiset poikkeukset
Automaattiset poikkeukset (joita kutsutaan myös automaattisiksi palvelinroolien poissulkemisiksi) sisältävät poikkeuksia Windows Serverin palvelinrooleille ja -ominaisuuksille. Näitä poissulkemisia ei tarkastetaan reaaliaikaisen suojauksen avulla, mutta ne tarkistetaan edelleen nopeasti, kokonaan tai tarvittaessa.
Esimerkkeinä:
- Tiedostojen replikointipalvelu (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS-palvelin
- Tulostuspalvelin
- WWW-palvelin
- Windows Server Update Services
- ... ja paljon muuta.
Huomautus
Palvelinroolien automaattisia poissulkemisia ei tueta Windows Server 2012 R2:ssa. Jos palvelimeen on asennettu Windows Server 2012 R2, johon on asennettu Active Directory -toimialueen palvelut (AD DS) -palvelinrooli, toimialueen ohjauskoneiden poikkeukset on määritettävä manuaalisesti. Katso Active Directoryn poikkeukset.
Lisätietoja on kohdassa Automaattisen palvelimen roolin poikkeukset.
Sisäänrakennetut poikkeukset
Sisäiset poikkeukset sisältävät tiettyjä käyttöjärjestelmätiedostoja, jotka Microsoft Defender virustentorjuntaohjelma jättää pois kaikissa Windowsin versioissa (mukaan lukien Windows 10, Windows 11 ja Windows Server).
Esimerkkeinä:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%allusersprofile%\NTUser.pol
- Windows Update tiedostot
- Windowsin suojaus tiedostot
- ... ja paljon muuta.
Luettelo Windowsin sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa. Lisätietoja näistä poissulkemisista on artikkelissa Microsoft Defender virustentorjunnan poikkeukset Windows Serverissä: Sisäiset poikkeukset.
Mukautetut poikkeukset
Mukautetut poikkeukset sisältävät määrittämäsi tiedostot ja kansiot. Tiedostojen, kansioiden ja prosessien poikkeukset ohitetaan ajoitetussa tarkistuksessa, pyydettäessä tehtävässä tarkistuksessa ja reaaliaikaisessa suojauksessa. Prosessissa avattujen tiedostojen poissulkemisia ei tarkastetaan reaaliaikaisen suojauksen avulla, mutta ne tarkistetaan edelleen nopeasti, kokonaan tai tarvittaessa.
Mukautetut korjaustoiminnot
Kun Microsoft Defender virustentorjuntaohjelma havaitsee mahdollisen uhan tarkistuksen suorittamisen aikana, se yrittää korjata tai poistaa havaitun uhan. Voit määrittää mukautettuja korjaustoimintoja määrittääksesi, miten Microsoft Defender virustentorjuntaohjelman tulisi vastata tiettyihin uhkiin, tulisiko palautuspiste luoda ennen korjaamista ja milloin uhat tulisi poistaa. Määritä korjaustoiminnot Microsoft Defender virustentorjunnan tunnistuksia varten.
Hyökkäyksen pinnan vähentämisen poikkeukset
Hyökkäyksen pinnan pienentämissäännöt (tunnetaan myös nimellä ASR-säännöt) kohdistuvat tiettyihin ohjelmistoihin, kuten:
- Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
- Käynnissä komentosarjoja, jotka vaikuttavat hämärtyneiltä tai muuten epäilyttäviltä
- Toiminnot, joita sovellukset eivät yleensä aloita normaalin päivittäisen työn aikana
Joskus lailliset sovellukset osoittavat ohjelmistotoimintaa, joka voidaan estää hyökkäyspinnan vähentämissäännöillä. Jos tämä tapahtuu organisaatiossasi, voit määrittää poissulkemisia tietyille tiedostoille ja kansioille. Tällaisia poissulkemisia sovelletaan kaikkiin hyökkäyksen pintaan vähentämissääntöihin. Katso Hyökkäysalueen pienentämissääntöjen käyttöönotto.
Huomaa myös, että vaikka useimmat ASR-sääntöjen poikkeukset ovat riippumattomia Microsoft Defender virustentorjuntaan, jotkin ASR-säännöt noudattavat joitakin Microsoft Defender virustentorjunnan poissulkemisia. Katso Hyökkäyspinnan pienentämissääntöjen viitetiedot – Microsoft Defender virustentorjunnan poikkeukset ja ASR-säännöt.
Defender for Endpoint -ilmaisimet
Voit määrittää entiteeteille tiettyjä toimintoja sisältäviä ilmaisimia , kuten tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita ja varmenteita. Defender for Endpointissa ilmaisimia kutsutaan kompromissiindikaattoreiksi (IOC) ja harvemmin mukautetuiksi ilmaisimina. Kun määrität ilmaisimet, voit määrittää jonkin seuraavista toiminnoista:
Allow – Defender for Endpoint ei estä tiedostoja, IP-osoitteita, URL-osoitteita/toimialueita tai varmenteita, joissa on Salli-ilmaisimet. (Käytä tätä toimintoa harkiten.)
Valvonta – Valvontailmaisimia sisältäviä tiedostoja, IP-osoitteita ja URL-osoitteita/toimialueita seurataan, ja kun käyttäjät käyttävät niitä, Microsoft Defender portaalissa luodaan tietoilmoituksia.
Block and Remediate – Block- ja Remediate-ilmaisimia käyttävät tiedostot tai varmenteet estetään ja asetetaan karanteeniin, kun niitä havaitaan.
Block Execution – IP-osoitteet ja URL-osoitteet/toimialueet, joissa on suorituksen estoilmaisimet, on estetty. Käyttäjät eivät voi käyttää näitä sijainteja.
Warn – IP-osoitteet ja URL-osoitteet/toimialueet, joissa on Varoita-ilmaisimet, aiheuttavat varoitussanoman, kun käyttäjä yrittää käyttää kyseisiä sijainteja. Käyttäjät voivat ohittaa varoituksen ja siirtyä IP-osoitteeseen tai URL-osoitteeseen/toimialueeseen.
Tärkeää
Vuokraajassa voi olla enintään 15 000 ilmaisinta.
Seuraavassa taulukossa on yhteenveto IoC-tyypeistä ja käytettävissä olevista toiminnoista:
Ilmaisimen tyyppi | Käytettävissä olevat toiminnot |
---|---|
Tiedostot | -Sallia -Tilintarkastus -Varoittaa - Lohkon suorittaminen - lohko ja korjaus |
IP-osoitteet ja URL-osoitteet/toimialueet | -Sallia -Tilintarkastus -Varoittaa - Lohkon suorittaminen |
Todistukset | -Sallia - lohko ja korjaus |
Vihje
Seuraavista resursseista on lisätietoja ilmaisimista:
Valvotun kansion käytön poikkeukset
Valvotun kansion käyttö valvoo sovelluksia toiminnoille, jotka havaitaan haitallisiksi, ja suojaa tiettyjen (suojattujen) kansioiden sisällön Windows-laitteissa. Valvotun kansion käyttö sallii vain luotettavien sovellusten käyttää suojattuja kansioita, kuten yleisiä järjestelmäkansioita (mukaan lukien käynnistyssektorit) ja muita määrittämiäsi kansioita. Voit sallia suojattujen kansioiden käyttämisen tietyille sovelluksille tai allekirjoitetuille tiedostoille määrittämällä poissulkemisia. Katso Hallitsemien kansioiden käyttöoikeuksien mukauttaminen.
Automaatiokansion poikkeukset
Automaatiokansion poikkeukset koskevat automaattista tutkintaa ja korjausta Defender for Endpointissa, joka on suunniteltu tutkimaan hälytyksiä ja ryhtymään välittömiin toimiin havaittujen rikkomusten ratkaisemiseksi. Kun hälytyksiä käynnistetään ja automatisoitu tutkimus suoritetaan, jokaisesta tutkituista todisteista tehdään tuomio (Haitta, Epäilyttävä tai Ei uhkia). Automaatiotasosta ja muista suojausasetuksista riippuen korjaustoiminnot voidaan suorittaa automaattisesti tai vain suojaustoimintatiimin hyväksynnän jälkeen.
Voit määrittää tietyn hakemiston kansioita, tiedostotunnisteita ja tiedostonimiä, jotka jätetään pois automatisoiduista tutkimus- ja korjaustoiminnoista. Tällaiset automaatiokansion poikkeukset koskevat kaikkia laitteita, jotka on otettu käyttöön Defender for Endpointissa. Nämä poikkeukset ovat edelleen virustentorjuntatarkistusten alaisia. Katso Automaatiokansion poissulkemisten hallinta.
Miten poissulkemisia ja indikaattoreita arvioidaan
Useimmissa organisaatioissa on useita erilaisia poissulkemisia ja ilmaisimia, joiden avulla voidaan määrittää, pitäisikö käyttäjien käyttää tiedostoa tai prosessia. Poissulkemiset ja indikaattorit käsitellään tietyssä järjestyksessä, jotta käytäntöristiriidat käsitellään järjestelmällisesti.
Seuraavassa kuvassa on yhteenveto siitä, miten poissulkemiset ja ilmaisimet käsitellään Defenderin päätepisteen ja Microsoft Defender virustentorjuntaohjelmassa:
Näin se toimii:
Jos Windows Defenderin sovellusohjausobjekti ja AppLocker eivät salli havaittua tiedostoa/prosessia, se on estetty. Muussa tapauksessa virustentorjunta Microsoft Defender.
Jos tunnistettu tiedosto tai prosessi ei ole osa Microsoft Defender virustentorjunnan poissulkemista, se on estetty. Muussa tapauksessa Defender for Endpoint tarkistaa tiedoston/prosessin mukautetun ilmaisimen.
Jos havaitussa tiedostossa/prosessissa on Block- tai Warn-ilmaisin, tämä toiminto suoritetaan. Muussa tapauksessa tiedosto/prosessi sallitaan, ja sitä arvioidaan hyökkäyksen pinnanvähennyssääntöjen, valvotun kansion käytön ja SmartScreen-suojauksen avulla.
Jos hyökkäysalueen pienentämissäännöt, valvotun kansion käyttö tai SmartScreen-suojaus eivät estä havaittua tiedostoa/prosessia, virustentorjunta Microsoft Defender.
Jos Microsoft Defender virustentorjunta ei salli tunnistettua tiedostoa/prosessia, se tarkistaa toiminnon uhkatunnuksen perusteella.
Käytäntöristiriitojen käsittelytapa
Jos Defender for Endpoint -ilmaisimet ovat ristiriidassa, seuraavat ovat odotettavissa:
Jos tiedostoilmaisimet ovat ristiriitaisia, käytetään suojatuinta hajautusarvoa käyttävää ilmaisinta. Esimerkiksi SHA256 on etusijalla SHA-1:een nähden, joka on etusijalla MD5:een nähden.
Jos URL-ilmaisimet ovat ristiriitaisia, käytetään tiukempaa ilmaisinta. SmartScreenin Microsoft Defender käytetään ilmaisinta, joka käyttää pisintä URL-polkua. Esimerkiksi etusija
www.dom.ain/admin/
www.dom.ain
on . (Verkon suojaus koskee toimialueita toimialueiden alisivujen sijaan.)Jos tiedostolla tai prosessilla on samankaltaisia ilmaisimia, joilla on eri toimintoja, tiettyyn laiteryhmään suodatettu ilmaisin on etusijalla ilmaisimeen nähden, joka kohdistuu kaikkiin laitteisiin.
Miten automatisoitu tutkimus ja korjaus toimivat indikaattorien kanssa
Defender for Endpointin automaattiset tutkimus- ja korjaustoiminnot määrittävät ensin tuomion kullekin todisteelle ja ryhtyvät sitten toimiin Defender for Endpoint -ilmaisimien mukaan. Näin ollen tiedosto/prosessi voi saada tuomion "hyvä" (mikä tarkoittaa, että uhkia ei löytynyt) ja silti estetään, jos kyseisessä toiminnossa on ilmaisin. Samoin entiteetti voi saada tuomion "huonosta" (mikä tarkoittaa, että se on määritetty haitallisiksi) ja silti sallittu, jos kyseisessä toiminnossa on ilmaisin.
Seuraavassa kaaviossa näytetään, miten automatisoitu tutkimus ja korjaus toimivat ilmaisimien kanssa:
Muut palvelimen kuormitukset ja poikkeukset
Jos organisaatiosi käyttää muita palvelinkuormituksia, kuten Exchange Server, SharePoint Serveriä tai SQL Server, ota huomioon, että vain sisäiset palvelinroolit (jotka saattavat olla myöhemmin asennetun ohjelmiston edellytyksiä) jätetään pois automaattisen poikkeuksen toiminnosta (ja vain käytettäessä niiden oletusasennussijaintia). Sinun on todennäköisesti määritettävä virustentorjuntaa koskevat poikkeukset näille muille kuormituksille tai kaikille kuormituksille, jos poistat automaattiset poikkeukset käytöstä.
Seuraavassa on joitakin esimerkkejä teknisistä ohjeista, joiden avulla voit tunnistaa ja toteuttaa tarvitsemasi poikkeukset:
- Suoritetaan virustentorjuntaohjelmistoa Exchange Server
- Kansiot, jotka jätetään pois virustentorjuntatarkisuksista SharePoint Serverissä
- SQL Server virustentorjuntaohjelman valitseminen
Riippuen siitä, mitä käytät, sinun on ehkä tutustuttava kyseisen palvelimen kuormituksen dokumentaatioon.
Vihje
Suorituskykyvihje Eri tekijöistä johtuen Microsoft Defender virustentorjuntaohjelma, kuten muutkin virustentorjuntaohjelmat, voivat aiheuttaa suorituskykyongelmia päätepistelaitteissa. Joissakin tapauksissa sinun on ehkä hienosäädettävä Microsoft Defender virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:
- Tärkeimmät skannausaikaan vaikuttavat polut
- Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
- Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
- Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
- Yhdistelmät, kuten:
- ylimmät tiedostot laajennusta kohti
- ylimmät polut laajennusta kohti
- parhaat prosessit polkua kohti
- suosituimmat tarkistukset tiedostoa kohden
- suosituimmat tarkistukset tiedostoa kohti prosessia kohti
Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Lähetykset, tukahduttaminen ja poissulkemiset
- Tärkeät poissulkemisia koskevat seikat
- Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.