שגיאות נפוצות להימנעות בעת הגדרת אי-הכללות
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- האנטי-וירוס של Microsoft Defender
פלטפורמות
- Windows
- macOS
- לינוקס (Linux)
חשוב
הוסף פריטים שאינם נכללים בזהירות. פריטים שאינם נכללים בסריקה של האנטי-וירוס של Microsoft Defender מפחיתים את רמת ההגנה עבור מכשירים.
באפשרותך להגדיר רשימת אי-הכללה עבור פריטים שאינך מעוניין שאנטי-וירוס של Microsoft Defender יסרוק. עם זאת, פריטים שלא נכללו עשויים להכיל איומים שהו להפוך את המכשיר שלך לפגיע. מאמר זה מתאר כמה טעויות נפוצות שעליך להימנע שבהם בעת הגדרת אי-הכללות.
עצה
לפני הגדרת רשימות אי-ההכללה שלך, ראה נקודות חשובות לגבי אי הכללות ועיין במידע המפורט בפריטים שאינם נכללים ב- Microsoft Defender for Endpoint ובאנטי-וירוס של Microsoft Defender.
לא כולל פריטים מהימנים מסוימים
קבצים, סוגי קבצים, תיקיות או תהליכים מסוימים אינם אמורים להיכלל בסריקה למרות שאתה נותן אמון שהם אינם זדוניים. אל תגדיר אי-הכללות עבור מיקומי התיקיות, סיומות הקבצים והתהליכים המפורטים בסעיפים הבאים:
מיקומי תיקיות
חשוב
תיקיות מסוימות אינן אמורות להיכלל הסריקות משום שהן יכולות בסופו של דבר להיות תיקיות שבהן קבצים זדוניים יכולים להישוחרר.
באופן כללי, אל תגדיר אי-הכללות עבור אף אחד ממיקומים התיקיות הבאים:
%systemdrive%
-
C:
,C:\
, אוC:\*
-
%ProgramFiles%\Java
אוC:\Program Files\Java
-
%ProgramFiles%\Contoso\
,C:\Program Files\Contoso\
,%ProgramFiles(x86)%\Contoso\
, אוC:\Program Files (x86)\Contoso\
-
C:\Temp
,C:\Temp\
, אוC:\Temp\*
-
C:\Users\
אוC:\Users\*
-
C:\Users\<UserProfileName>\AppData\Local\Temp\
אוC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
. שים לב לחריגות החשובות הבאות עבור SharePoint:C:\Users\ServiceAccount\AppData\Local\Temp
C:\Users\Default\AppData\Local\Temp
אל תכלול או בעת שימוש בהגנת אנטי-וירוס ברמת הקובץ ב- SharePoint. -
%Windir%\Prefetch
,C:\Windows\Prefetch
,C:\Windows\Prefetch\
, אוC:\Windows\Prefetch\*
-
%Windir%\System32\Spool
אוC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
-
%Windir%\Temp
,C:\Windows\Temp
,C:\Windows\Temp\
, אוC:\Windows\Temp\*
פלטפורמות Linux ו- macOS
באופן כללי, אל תגדיר אי-הכללות עבור מיקומי התיקיות הבאים:
/
-
/bin
או/sbin
/usr/lib
סיומות קבצים
חשוב
סיומות קבצים מסוימות אינן אמורות להיכלל מאחר שהן יכולות להיות סוגי קבצים שנמצאים בשימוש במתקפה.
באופן כללי, אל תגדיר אי-הכללות עבור סיומות הקבצים הבאות:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
-
.ko
או.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
תהליכים
חשוב
תהליכים מסוימים אינם אמורים להיכלל מאחר שהם משמשים במהלך תקיפות.
באופן כללי, אל תגדיר אי-הכללות עבור התהליכים הבאים:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
הערה
באפשרותך לבחור לא לכלול סוגי קבצים, .gif
כגון , .jpg
, .jpeg
, .png
או אם הסביבה שלך כוללת תוכנה מודרנית ומעודכנת עם מדיניות עדכון קפדנית לטיפול בפגיעות.
פלטפורמות Linux ו- macOS
באופן כללי, אל תגדיר אי-הכללות עבור התהליכים הבאים:
bash
java
-
python
וpython3
sh
zsh
שימוש בשם הקובץ ברשימת אי-ההכללה
לתוכנות זדוניות עשוי להיות שם זהה לזה של קובץ שאתה נותן בו אמון וברצונך לא לכלול בסריקה. לכן, כדי להימנע מהכללת תוכנות זדוניות פוטנציאליות בסריקה, השתמש בנתיב מלא אל הקובץ שברצונך לא לכלול במקום להשתמש בשם הקובץ בלבד. לדוגמה, אם ברצונך לא לכלול Filename.exe
בסריקה, השתמש בנתיב המלא לקובץ, כגון C:\program files\contoso\Filename.exe
.
שימוש ברשימת אי-הכללה אחת עבור עומסי עבודה מרובים של שרת
אל תשתמש ברשימת אי-כלילה אחת כדי להגדיר אי-הכללה עבור עומסי עבודה מרובים בשרת. פצל את הפריטים שאינם נכללים עבור עומסי עבודה שונים של יישומים או שירות לרשימות אי-הכללה מרובות. לדוגמה, רשימת אי-ההכללה עבור עומס העבודה של IIS Server חייבת להיות שונה מרשימת אי-ההכללה עבור עומס העבודה של SQL Server.
שימוש במתני סביבה שגויים כתווים כלליים ברשימות אי-הכללה של שם קובץ ותיקיה או סיומת
שירות האנטי-וירוס של Microsoft Defender פועל בהקשר המערכת באמצעות חשבון LocalSystem, כלומר הוא מקבל מידע ממשתנה סביבת המערכת, ולא ממשתנה סביבת המשתמש. השימוש במשתנה סביבה כתו כללי ברשימות אי-הכללה מוגבל למשתנה מערכת ולאלה החלים על תהליכים הפועלים כחשבון NT AUTHORITY\SYSTEM. לכן, אל תשתמש במשתנה סביבת משתמש כתווים כלליים בעת הוספת תיקיות אנטי-וירוס של Microsoft Defender ופריטים שאינם נכללים בתהליך. עיין בטבלה תחת משתני סביבה של מערכת לקבלת רשימה מלאה של משתני סביבת המערכת.
ראה שימוש בתווים כלליים בשם הקובץ ובנתיב התיקיה או ברשימות אי-הכללה של סיומת לקבלת מידע אודות אופן השימוש בתווים כלליים ברשימות אי-הכללה.
למידע נוסף
- פריטים שאינם נכללים ב- Microsoft Defender עבור נקודת קצה והאנטי-וירוס של Microsoft Defender
- קביעת תצורה של אי-הכללות מותאמות אישית עבור האנטי-וירוס של Microsoft Defender
- קביעת תצורה ואימתה של פריטים שאינם נכללים ב- Microsoft Defender עבור נקודת קצה ב- Linux
- קביעת תצורה ואימתה של פריטים שאינם נכללים ב- Microsoft Defender for Endpoint ב- macOS
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור