Mukautettujen poikkeusten määrittäminen Microsoft Defender virustentorjuntaohjelmaa varten

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Yleensä sinun ei pitäisi joutua määrittämään poissulkemisia virustentorjuntaa Microsoft Defender varten. Tarvittaessa voit kuitenkin jättää pois tiedostoja, kansioita, prosesseja ja prosessin avaamia tiedostoja Microsoft Defender virustentorjuntatarkistuksia. Tällaisia poissulkemisia kutsutaan mukautetuiksi poissulkemisiksi. Tässä artikkelissa kerrotaan, miten voit määrittää Microsoft Defender virustentorjuntaohjelmalle mukautettuja poissulkemisia Microsoft Intune avulla, ja sisältää linkkejä muihin resursseihin, jos haluat lisätietoja.

Mukautetut poikkeukset koskevat ajoitettuja skannauksia, pyydettäessä suoritettavaa tarkistusta sekä aina reaaliaikaista suojausta ja valvontaa. Prosessissa avattujen tiedostojen poissulkemiset koskevat vain reaaliaikaista suojausta.

Vihje

Yksityiskohtainen yleiskatsaus Microsoft Defender virustentorjunnan ja Defender for Endpointin tukahduttamisista, lähettämisistä ja poissulkemisista on artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunta.

Määritä ja vahvista poikkeukset

Varoitus

Käytä Microsoft Defender virustentorjuntalaajennuksia säästeliäästi. Varmista, että tarkistat Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta -artikkelin tiedot.

Jos käytät Microsoft Intune Microsoft Defender virustentorjunnan tai Microsoft Defender for Endpoint hallintaan, määritä poikkeukset seuraavien ohjeiden avulla:

• Virustentorjunnan poissulkemisten hallinta Intune (aiemmin luoduissa käytännöissä)
• Create uuden virustentorjuntakäytännön, joka sisältää poissulkemisia Intune

Jos käytät toista työkalua, kuten Configuration Manager tai ryhmäkäytäntö, tai haluat tarkempia tietoja mukautetuista poissulkemisista, tutustu seuraaviin artikkeleihin:

• Määritä ja vahvista poissulkemiset tiedostotunnisteen ja kansion sijainnin perusteella
• Prosessien avaamien tiedostojen poissulkemisten määrittäminen

Virustentorjunnan poissulkemisten hallinta Intune (aiemmin luoduissa käytännöissä)

1. Valitse Microsoft Intune hallintakeskuksessaPäätepisteen suojauksen>virustentorjunta ja valitse sitten olemassa oleva käytäntö. (Jos sinulla ei ole aiemmin luotua käytäntöä tai haluat luoda uuden käytännön, siirry Create uusi virustentorjuntakäytäntö, joka sisältää poissulkemiset Intune.)

2. Valitse Ominaisuudet ja valitse sitten Määritysasetukset-kohdan vieristä Muokkaa.

3. Laajenna virustentorjuntaohjelman poissulkemisten Microsoft Defender ja määritä poikkeukset.

   • Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota kukin luettelon tiedostotyyppi toisistaan menneellä | . Esimerkiksi lib|obj. Lisätietoja on kohdassa ExcludedExtensions.
   • Pois jätetyt polut ovat poissulkemisia, jotka määrität niiden sijainnin (polun) mukaan. Tällaisia poissulkemisia kutsutaan myös tiedosto- ja kansiopoikkeuksi. Erota luettelon jokainen polku menneellä | . Esimerkiksi C:\Example|C:\Example1. Lisätietoja on kohdassa ExcludedPaths.
   • Pois jätetyt prosessit ovat pois jätettyjä tiedostoja, jotka avataan tietyillä prosesseilla. Erota luettelon jokainen tiedostotyyppi menneellä | . Esimerkiksi C:\Example. exe|C:\Example1.exe. Nämä poikkeukset eivät ole todellisia prosesseja varten. Jos haluat jättää prosesseja pois, voit käyttää tiedostojen ja kansioiden poissulkemisia. Lisätietoja on kohdassa ExcludedProcesses.

4. Valitse Tarkista + tallenna ja valitse sitten Tallenna.

Create uuden virustentorjuntakäytännön, joka sisältää poissulkemisia Intune

1. Valitse Microsoft Intune hallintakeskuksessaPäätepisteen suojauksen>virustentorjunta>+ Create Käytäntö.

2. Valitse käyttöympäristö (kuten Windows 10, Windows 11 ja Windows Server).

3. Valitse Profiili-kohdassaMicrosoft Defender virustentorjunnan poikkeukset ja valitse sitten Create.

4. Määritä Create profiilivaiheessa profiilin nimi ja kuvaus ja valitse sitten Seuraava.

5. Määritä Määritysasetukset-välilehdessä virustentorjuntasi poikkeukset ja valitse sitten Seuraava.

   • Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota luettelon jokainen tiedostotyyppi menneellä | . Esimerkiksi lib|obj. Lisätietoja on kohdassa ExcludedExtensions.
   • Pois jätetyt polut ovat poissulkemisia, jotka määrität niiden sijainnin (polun) mukaan. Tällaisia poissulkemisia kutsutaan myös tiedosto- ja kansiopoikkeuksi. Erota luettelon jokainen polku menneellä | . Esimerkiksi C:\Example|C:\Example1. Lisätietoja on kohdassa ExcludedPaths.
   • Pois jätetyt prosessit ovat pois jätettyjä tiedostoja, jotka avataan tietyillä prosesseilla. Erota luettelon jokainen tiedostotyyppi menneellä | . Esimerkiksi C:\Example. exe|C:\Example1.exe. Nämä poikkeukset eivät ole todellisia prosesseja varten. Jos haluat jättää prosesseja pois, voit käyttää tiedostojen ja kansioiden poissulkemisia. Lisätietoja on kohdassa ExcludedProcesses.

6. Jos käytät Käyttöaluetunnisteet-välilehdessä käyttöaluetunnisteita organisaatiossasi, määritä käyttöaluetunnisteet luomallesi käytännölle. (Katso käyttöalueen tunnisteet.)

7. Määritä Määritykset-välilehdessä käyttäjät ja ryhmät, joille käytäntöäsi käytetään, ja valitse sitten Seuraava. (Jos tarvitset apua varausten kanssa, katso Käyttäjä- ja laiteprofiilien määrittäminen Microsoft Intune.)

8. Tarkista + luo -välilehdessä asetukset ja valitse sitten Create.

Tärkeät poissulkemisia koskevat seikat

Poissulkemisten määrittäminen vähentää Microsoft Defender virustentorjuntaohjelman tarjoamaa suojausta. Sinun tulee aina arvioida riskit, jotka liittyvät poissulkemisten toteuttamiseen, ja sinun tulisi jättää pois vain tiedostot, joihin olet varma, etteivät ne ole haitallisia.

Poikkeukset vaikuttavat suoraan Microsoft Defender virustentorjuntaohjelman kykyyn estää, korjata tai tarkastaa tapahtumia, jotka liittyvät poissulkemisluetteloon lisättyihin tiedostoihin, kansioihin tai prosesseihin. Mukautetut poikkeukset voivat vaikuttaa ominaisuuksiin, jotka ovat suoraan riippuvaisia virustentorjuntaohjelmasta (kuten suojaus haittaohjelmia vastaan, tiedostojen IOC:t ja varmenteiden IOC:t). Prosessin poissulkemiset vaikuttavat myös verkon suojaukseen ja hyökkäyksen pinnan vähentämissääntöihin. Erityisesti prosessista pois jättäminen missä tahansa ympäristössä aiheuttaa sen, että verkkosuojaus ja ASR eivät voi tarkastaa liikennettä tai valvoa sääntöjä kyseiselle prosessille.

Pidä seuraavat asiat mielessä, kun määrität poissulkemisia:

• Poikkeukset ovat teknisesti suojavaje. Harkitse kaikkia vaihtoehtoja, kun määrität poissulkemisia. Katso Lähetykset, tukahduttaminen ja poissulkemiset.

• Tarkista poikkeukset säännöllisin väliajoin. Tarkista ja ota lievennykset uudelleen käyttöön osana tarkistusprosessiasi.

• Ihannetapauksessa vältä poissulkemisten määrittämistä pyrkiessäsi olemaan ennakoiva. Älä esimerkiksi jätä pois jotain vain siksi, että uskot sen olevan ongelma tulevaisuudessa. Käytä poissulkemisia vain tietyissä ongelmissa, kuten suorituskykyyn liittyvissä tai sovellusten yhteensopivuudessa, joita poissulkemiset voivat lieventää.

• Tarkastele ja valvo poissulkemisten luettelosi muutoksia. Tietoturvatiimisi tulee säilyttää konteksti siitä, miksi tietty poissulkeminen lisättiin, jotta vältytään sekaannuksilta myöhemmin. Tietoturvatiimisi pitäisi pystyä antamaan erityisiä vastauksia kysymyksiin siitä, miksi poissulkemisia on olemassa.

Virustentorjunnan poissulkemisten valvonta Exchange-järjestelmissä

Microsoft Exchange on tukenut integrointia haittaohjelmien torjunnan tarkistusliittymän (AMSI) kanssa kesäkuusta 2021 lähtien neljännesvuosittaisen Päivitykset for Exchangeen (katso Windowsin virustentorjuntaohjelmiston suorittaminen Exchange-palvelimilla). Suosittelemme asentamaan nämä päivitykset ja varmistamaan, että AMSI toimii oikein. Katso Microsoft Defender virustentorjunnan suojaustiedot ja tuotepäivitykset.

Monet organisaatiot sulkevat Exchange-hakemistot pois virustentorjuntatarkistuksista suorituskykysyistä. Microsoft suosittelee Exchange-järjestelmien virustentorjuntaan Microsoft Defender poissulkemisten valvontaa ja sen arvioimista, voidaanko poikkeukset poistaa vaikuttamatta ympäristösi suorituskykyyn korkeimman suojaustason varmistamiseksi. Poissulkemisia voidaan hallita käyttämällä ryhmäkäytäntö, PowerShelliä tai järjestelmien hallintatyökaluja, kuten Microsoft Intune.

Jos haluat valvoa Microsoft Defender virustentorjuntaohjelman poissulkemisia Exchange Server, suorita Get-MpPreference-komento laajennetusta PowerShell-kehotteesta. (Katso Get-MpPreference.)

Jos Exchange-prosessien ja -kansioiden poissulkemisia ei voida poistaa, muista, että pikatarkistuksen suorittaminen Microsoft Defender virustentorjunta tarkistaa Exchange-hakemistot ja -tiedostot poikkeuksesta riippumatta.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Microsoft Defender virustentorjuntaa koskevat poikkeukset Windows Server 2016:ssa ja uudemmissa versioissa
• Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä
• Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
• Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen Linuxissa
• Microsoft Defender for Endpoint poissulkemisten määrittäminen ja vahvistaminen macOS:ssä

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.