הדפדפן הזה אינו נתמך עוד.
שדרג ל- Microsoft Edge כדי לנצל את התכונות, עדכוני האבטחה והתמיכה הטכנית העדכניים ביותר.
Microsoft Defender עבור נקודת קצה ו- Defender for Business כוללות מגוון רחב של יכולות כדי למנוע, לזהות, לחקור ולהגיב לאיומי סייבר מתקדמים. Microsoft מגדירה מראש את המוצר כך שביצועים תקין במערכת ההפעלה שבה הוא מותקן. אין צורך בשינויים אחרים. למרות ההגדרות שתצורתן תקבעה מראש, מתרחשים לעתים אופני פעולה בלתי צפויים. להלן כמה דוגמאות:
יצירת אי הכללה היא גישה אפשרית אחת לטפל בסוגי בעיות אלה. עם זאת, לעתים קרובות יש שלבים אחרים שניתן לבצע. בנוסף לאספקת מבט כולל על מחוונים ופריטים שאינם נכללים, מאמר זה כולל חלופות ליצירת פריטים שאינם נכללים ולאפשר מחוונים.
הערה
יצירת מחוון או אי הכללה יש לשקול רק לאחר הבנה יסודית של סיבת הבסיס של אופן הפעולה הבלתי צפוי.
| תרחיש לדוגמה | שלבים שיש לשקול |
|---|---|
| חיובית מוטעית: ישות, כגון קובץ או תהליך, זוהתה וזיהתה זד זדונית, למרות שהישות אינה מהווה איום. | 1. סקור וסווג התראות שנוצרו כתוצאה מהישות שזוהתה. 2. העלם התראה עבור ישות ידועה. 3. סקור פעולות תיקון שבוצעו עבור הישות שזוהתה. 4. שלח ל- Microsoft תוצאות חיוביות מוטעות לצורך ניתוח. 5. הגדר מחוון או אי-הכללה עבור הישות (רק במידת הצורך). |
|
בעיות ביצועים כגון אחת מהבעיות הבאות: - מערכת נתקלה בשימוש גבוה ב- CPU או בבעיות ביצועים אחרות. מערכת נתקלה בבעיות בדליפת זיכרון. - טעינה איטית של אפליקציה במכשירים. - אפליקציה פתוחה באיטיות עם קובץ במכשירים. |
1. אסוף נתוני אבחון עבור Microsoft Defender האנטי-וירוס. 2. אם אתה משתמש בפתרון אנטי-וירוס שאינו של Microsoft, בדוק עם הספק אם קיימים בעיות ידועות במוצרי אנטי-וירוס. 3. סקור את יומני הביצועים (ראה פתרון בעיות Microsoft Defender אנטי-וירוס עם WPRUI) כדי לקבוע את השפעת הביצועים המשוערת. עבור בעיות ספציפיות לביצועים הקשורות לאנטי Microsoft Defender אנטי-וירוס, השתמש במנתח הביצועים עבור Microsoft Defender אנטי-וירוס. 4. הגדר אי הכללה עבור אנטי Microsoft Defender אנטי-וירוס (במידת הצורך). 5. צור מחוון עבור Defender עבור נקודת קצה (רק במידת הצורך). |
|
בעיות תאימות עם מוצרי אנטי-וירוס שאינם של Microsoft. דוגמה: Defender for Endpoint מסתמך על עדכוני בינת אבטחה עבור מכשירים, בין אם הם Microsoft Defender אנטי-וירוס או פתרון אנטי-וירוס שאינו של Microsoft. |
1. אם אתה משתמש במוצר אנטי-וירוס שאינו של Microsoft כפתרון אנטי-וירוס/נגד תוכנות זדוניות הראשי שלך, הגדר Microsoft Defender אנטי-וירוס למצב פאסיבי. 2. אם אתה עובר מפתרון אנטי-וירוס/נגד תוכנות זדוניות שאינו של Microsoft ל- Defender for Endpoint, ראה ביצוע המעבר אל Defender for Endpoint. הדרכה זו כוללת: - ייתכן שיהיה עליך להגדיר אי-הכללות עבור פתרון האנטי-וירוס/נגד תוכנות זדוניות שאינו של Microsoft; - ייתכן שיהיה עליך להגדיר פריטים שאינם נכללים עבור האנטי Microsoft Defender אנטי-וירוס; וגם - מידע לפתרון בעיות (למקרה שמשהו ישתבש במהלך ההעברה). |
| תאימות ליישומים. דוגמה: Applications are crashing or experiencing unexpected behaviors after a device is onboarded to Microsoft Defender עבור נקודת קצה. |
ראה טופלו אופני פעולה לא רצויים Microsoft Defender עבור נקודת קצה עם פריטים שאינם נכללים, מחוונים וטכניקות אחרות. |
יצירת אי הכללה או מחוון התרה יוצרת מרווח הגנה. יש להשתמש בטכניקות אלה רק לאחר קביעת סיבת הבסיס של הבעיה. עד שקבעה זו תקבע, שקול את החלופות הבאות:
אם יש לך קובץ שללדעתך זוהה באופן שגוי כתוכנות זדוניות (חיובית מוטעית), או קובץ שאתה חושד שהוא תוכנה זדונית למרות שהוא לא זוהה (תוצאה שלילית מוטעית), באפשרותך לשלוח את הקובץ ל- Microsoft לצורך ניתוח. ההגשה שלך נסרקת באופן מיידי, ולאחר מכן תיעיין באנליסטים האבטחה של Microsoft. תוכל לבדוק את מצב ההגשה בדף היסטוריית ההגשה.
שליחת קבצים לניתוח מסייעת להפחית תוצאות חיוביות מוטעות ושליליות מוטעות עבור כל הלקוחות. לקבלת מידע נוסף, עיין במאמרים הבאים:
אם אתה מקבל התראות בפורטל Microsoft Defender עבור כלים או תהליכים שאתה יודע שהם למעשה לא מהווה איום, באפשרותך להעלים התראות אלה. כדי להעלים התראה, עליך ליצור כלל דיכוי ולציין אילו פעולות יש לבצע עבורה בהתראות זהות אחרות. באפשרותך ליצור כללי דיכוי עבור התראה ספציפית במכשיר יחיד, או עבור כל ההתראות עם אותה כותרת ברחבי הארגון.
לקבלת מידע נוסף, עיין במאמרים הבאים:
יש כמה סוגים שונים של אי-הכללות שיש לשקול. סוגים מסוימים של אי-הכללות משפיעים על יכולות מרובות ב- Defender for Endpoint, בעוד שהסוגים האחרים ספציפיים Microsoft Defender אנטי-וירוס.
לקבלת מידע אודות מחוונים, ראה מבט כולל על מחוונים Microsoft Defender עבור נקודת קצה.
Microsoft Defender עבור נקודת קצה מאפשר לך לקבוע תצורה של אי-הכללות מותאמות אישית כדי למטב את הביצועים ולהימנע מתוצאות חיוביות מוטעות. סוגי אי-ההכללה שניתן להגדיר משתנים בהתאם ליכולות של Defender for Endpoint ולמערכות הפעלה.
הטבלה הבאה מסכמת סוגים של אי-כלילה מותאמים אישית שבאפשרותך להגדיר. שים לב לטווח עבור כל סוג אי-הכללה.
| סוגי אי-הכללה | היקף | מקרי שימוש |
|---|---|---|
| פריטים שאינם נכללים ב- Defender מותאם אישית עבור נקודות קצה | אנטי-וירוס כללים לצמצום שטח תקיפה Defender עבור Endpoint הגנת רשת |
קובץ, תיקיה או תהליך מזוהים כס זדוניים, למרות שהוא אינו מהווה איום. יישום נתקל בבעיית תאימות לא צפויה של ביצועים או יישומים בעת הפעלת Defender for Endpoint |
| אי הכללות של הפחתת שטח התקיפה של Defender for Endpoint | כללים לצמצום שטח תקיפה | כלל הפחתת פני השטח של ההתקפה גורם לאופן פעולה בלתי צפוי. |
| פריטים שאינם נכללים בתיקיה של אוטומציה של Defender for Endpoint | חקירה ותגובה אוטומטיים | חקירה ותיקון אוטומטיים נבצע פעולה בקובץ, בסיומת או במדריך כתובות שיש לבצע באופן ידני. |
| פריטים שאינם נכללים בגישה מבוקרת לתיקיה ב- Defender for Endpoint | גישה מבוקרת לתיקיה | גישה מבוקרת לתיקיות חוסמת את הגישה של יישום לתיקיה מוגנת. |
| Defender for Endpoint File and Certificate Allow Indicators | אנטי-וירוס כללים לצמצום שטח תקיפה גישה מבוקרת לתיקיה |
קובץ או תהליך החתימה על-ידי אישור מזוהים כס זדוניים גם באמצעותם. |
| Defender for Endpoint Domain/URL and IP address Indicators | הגנת רשת מסנן SmartScreen סינון תוכן אינטרנט |
SmartScreen מדווח על תוצאה חיובית מוטעית. ברצונך לעקוף בלוק של סינון תוכן אינטרנט באתר ספציפי. |
הערה
הגנה על הרשת מושפעת ישירות מהכללים של התהליך בכל הפלטפורמות. אי הכללה של תהליך בכל מערכת הפעלה (Windows, MacOS, Linux) גורמת למניעת הגנה על הרשת לבדוק תעבורה או לאכוף כללים עבור תהליך ספציפי זה.
עבור macOS, באפשרותך להגדיר אי-הכללות החלות על סריקות לפי דרישה, הגנה בזמן אמת וניטור. סוגי אי-ההכללה הנתמכים כוללים:
לקבלת מידע נוסף, ראה קביעת תצורה ואי-אימות של פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה ב- macOS.
ב- Linux, באפשרותך להגדיר הן את האנטי-וירוס והן את אי-ההכללה הגלובלית.
למידע נוסף, ראה קביעת תצורה ואימות של פריטים לא כלולים עבור Microsoft Defender עבור נקודת קצה ב- Linux.
Microsoft Defender להגדיר את האנטי-וירוס כך שלא יכלול שילובים של תהליכים, קבצים והרחבות בסריקה מתוזמנת, סריקות לפי דרישה והגנה בזמן אמת. ראה קביעת תצורה של אי-הכללות מותאמות אישית עבור Microsoft Defender אנטי-וירוס.
לקבלת שליטה פרטנית יותר שמסייעת למזער את פערי ההגנה, שקול להשתמש בהכללות הקשריות של קבצים ותהליך.
סוגי אי-הכללה אלה מוגדרים מראש ב- Microsoft Defender עבור נקודת קצה עבור Microsoft Defender אנטי-וירוס.
| סוגי אי-הכללה | תצורה | תיאור |
|---|---|---|
| אי-הכללות Microsoft Defender אנטי-וירוס אוטומטי | אוטומטי | אי הכללות אוטומטיות עבור תפקידים ותכונות של שרתים Windows Server. בעת התקנת תפקיד ב- Windows Server 2016 ואילך, האנטי-וירוס של Microsoft Defender כולל אי-הכללות אוטומטיות עבור תפקיד השרת וכל הקבצים שנוספים בעת התקנת התפקיד. פריטים שאינם נכללים אלה מיועדים רק לתפקידים פעילים ב- Windows Server 2016 ואילך. |
| אי-הכללות Microsoft Defender אנטי-וירוס מוכללות | אוטומטי | Microsoft Defender האנטי-וירוס כולל אי-הכללות מוכללות עבור קבצי מערכת ההפעלה בכל הגירסאות של Windows. |
אי-הכללות אוטומטיות של תפקידי שרת כוללות אי-הכללות עבור תפקידים ותכונות שרת ב- Windows Server 2016 ואילך. פריטים שאינם נכללים אלה אינם נסרקים על-ידי הגנה בזמן אמת, אך הם עדיין כפופים לסריקה מהירה, מלאה או לפי דרישה של אנטי-וירוס.
הדוגמאות כוללות:
הערה
אי הכללות אוטומטיות עבור תפקידי שרת אינן נתמכות ב- Windows Server 2012 R2. עבור שרתים שבהם Windows Server 2012 R2 עם תפקיד שרת Active Directory Domain Services (AD DS) מותקנים, יש לציין אי-הכללה עבור בקרי תחום באופן ידני. ראה פריטים שאינם נכללים ב- Active Directory.
לקבלת מידע נוסף, ראה אי-הכללות אוטומטיות של תפקידי שרת.
אי-הכללות מוכללות של אנטי-וירוס כוללות קבצים מסוימים של מערכת ההפעלה שאינם נכללים ב- Microsoft Defender Antivirus בכל הגירסאות של Windows (כולל Windows 10, Windows 11 ו- Windows Server).
הדוגמאות כוללות:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.polרשימת אי-ההכללות המוכללות ב- Windows מעודכנת ככל שהאיום משתנה לרוחב. לקבלת מידע נוסף על פריטים שאינם נכללים אלה, ראה Microsoft Defender אנטי-וירוס Windows Server: אי-הכללות מוכללות.
כללי הפחתת פני השטח של ההתקפה (שנקראים גם כללי ASR) ממוקדים אופני פעולה מסוימים של תוכנה, כגון:
לעתים, אפליקציות לגיטימיות מציגות אופני פעולה של תוכנה שעלולים להיחסם על-ידי כללי צמצום פני השטח של ההתקפה. אם זה קורה בארגון שלך, באפשרותך להגדיר אי-הכללות עבור קבצים ותיקיות מסוימים. אי הכללות כאלה חלות על כל כללי ההפחתה של משטח ההתקפה. ראה הפעלת כללי צמצום פני השטח של ההתקפה.
הערה
כללים הפחתת פני השטח התקפה מכבדים אי הכללות בתהליך, אך לא כל כללי הפחתת פני השטח ההתקפה מכבדים את Microsoft Defender אנטי וירוס ההכללות. ראה חומר עזר בנושא כללי צמצום שטח תקיפה - Microsoft Defender של אנטי-וירוס וכללי ASR.
פריטים שאינם נכללים בתיקיה אוטומציה חלים על חקירה ותיקון אוטומטיים ב- Defender for Endpoint, המיועד לבחון התראות ולבצע פעולה מיידית כדי לפתור הפרות שזוהו. כאשר מופעלות התראות, וחקירה אוטומטית מופעלת, ניתן להגיע לפסק דין (זדוני, חשוד או לא נמצא איומים) עבור כל פיסת ראיה הנחקרת. בהתאם לרמת האוטומציה ולהגדרות אבטחה אחרות, פעולות תיקון יכולות להתרחש באופן אוטומטי או רק בעת אישור של צוות פעולות האבטחה שלך.
באפשרותך לציין תיקיות, סיומות קבצים במדריך כתובות ספציפי ושמות קבצים שלא ייכללו ביכולות חקירה ותיקון אוטומטיות. אי הכללות כאלה של תיקיית אוטומציה חלות על כל המכשירים המחוברים ל- Defender for Endpoint. אי-הכללות אלה עדיין כפופות לסריקה של האנטי-וירוס.
לקבלת מידע נוסף, ראה ניהול אי-הכללות של תיקיית אוטומציה.
גישה מבוקרת לתיקיות מנטרת אפליקציות לפעילויות שזוהו כברירת מחדל ומגנה על התוכן של תיקיות מסוימות (מוגנות) במכשירי Windows. גישה מבוקרת לתיקיות מאפשרת רק ליישומים מהימנים לגשת לתיקיות מוגנות, כגון תיקיות מערכת נפוצות (כולל סקטורי אתחול) ותיקיות אחרות שאתה מציין. באפשרותך לאפשר לאפליקציות מסוימות או קבצי הפעלה חתומים לגשת לתיקיות מוגנות על-ידי הגדרת פריטים שאינם נכללים.
לקבלת מידע נוסף, ראה התאמה אישית של גישה מבוקרת לתיקיה.
כאשר Microsoft Defender האנטי-וירוס מזהה איום פוטנציאלי בעת הפעלת סריקה, הוא מנסה לעדכן או להסיר את האיום שזוהה. באפשרותך להגדיר פעולות תיקון מותאמות אישית כדי לקבוע את האופן שבו האנטי Microsoft Defender Antivirus אמור לטפל באיומים מסוימים, אם יש ליצור נקודת שחזור לפני התיקון ומתי יש להסיר איומים.
לקבלת מידע נוסף, ראה קביעת תצורה של פעולות תיקון עבור Microsoft Defender אנטי-וירוס.
לרוב הארגונים יש מספר סוגים שונים של אי-הכללות ומחוונים כדי לקבוע אם המשתמשים יוכלו לגשת לקובץ או לתהליך ולהשתמש בהם. אי הכללות ומחוונים מעובדים בסדר מסוים כך שהתנגשויות מדיניות מטופלות באופן שיטתי.
כך זה עובד:
אם קובץ/תהליך שזוהו אינם מותרים על-ידי בקרת האפליקציות של Windows Defender ו- AppLocker, הם נחסמים. אחרת, הוא ממשיך ל- Microsoft Defender האנטי-וירוס.
אם הקובץ/התהליך שזוהה אינו מהווה חלק מהכללה של אנטי Microsoft Defender אנטי-וירוס, הוא חסום. אחרת, Defender for Endpoint מחפש מחוון מותאם אישית עבור הקובץ/התהליך.
אם הקובץ/התהליך שזוהה כולל מחוון בלוק או אזהרה, פעולה זו תינקט. אחרת, הקובץ/התהליך מותרים, והמשך להערכה על-ידי כללי הפחתת פני השטח של ההתקפה, גישה מבוקרת לתיקיה והגנת SmartScreen.
אם התהליך/הקובץ שזוהה אינו חסום על-ידי כללים להפחתת פני השטח של ההתקפה, גישה מבוקרת לתיקיה או הגנה של SmartScreen, הוא ממשיך לפעול Microsoft Defender אנטי-וירוס.
אם הקובץ/התהליך שזוהו אינם מותרים על-ידי Microsoft Defender,המערכת בודקת אם יש פעולה המבוססת על מזהה האיום שלה.
במקרים שבהם מחווני Defender for Endpoint מתנגשים, אלה המקרים הצפויים:
אם קיימים מחווני קובץ מתנגשים, המחוון המשתמש ב- Hash המאובטח ביותר מוחל. לדוגמה, SHA256 מקבל קדימות על-פני SHA-1, אשר מקבלת קדימות על-פני MD5.
אם קיימים מחווני כתובת URL מתנגשים, נעשה שימוש מחוון קפדני יותר. עבור Microsoft Defender SmartScreen, מוחל מחוון המשתמש בנתיב כתובת ה- URL הארוך ביותר. לדוגמה, www.dom.ain/admin/ מקבלת קדימות על-פני www.dom.ain. (הגנת רשת חלה על תחומים, ולא על עמודי משנה בתוך תחום.)
אם קיימים מחוונים דומים עבור קובץ או תהליך בעלי פעולות שונות, המחוון המסוקף לקבוצת מכשירים מסוימת מקבל עדיפות על-פני מחוון שמסמן את כל המכשירים.
יכולות חקירה ותיקון אוטומטיות ב- Defender for Endpoint קובעות תחילה קביעת דין עבור כל פיסת ראיה, ולאחר מכן נבצע פעולה בהתאם למחווני Defender for Endpoint. לפיכך, קובץ/תהליך יכול לקבל את גזר הדין של "good" (כלומר לא נמצאו איומים) ועדיין להיות חסום אם קיים מחוון עם פעולה זו. באופן דומה, ישות יכולה לקבל גזר דין של "רע" (כלומר, היא נקבעת זד זדונית) ועדיין להיות מותרת אם קיים מחוון עם פעולה זו.
לקבלת מידע נוסף, ראה חקירה ותיקון אוטומטיים ומחוונים.
אם הארגון שלך משתמש בהמסכי עבודה אחרים של שרתים, כגון Exchange Server, SharePoint Server או SQL Server, זכור שרק תפקידי שרת מוכללים (שעשויים להיות דרישות מוקדמות עבור תוכנה שאתה מתקין מאוחר יותר) ב- Windows Server אינם נכללים בתכונה אי הכללה אוטומטית של תפקידי שרת (ורק בעת שימוש במיקום ההתקנה המוגדר כברירת מחדל). ייתכן שתצטרך להגדיר אי-הכללות של אנטי-וירוס עבור עומסי עבודה אחרים אלה, או עבור כל עומסי העבודה אם תבטל אי-הכללות אוטומטיות.
להלן כמה דוגמאות לתיעוד טכני כדי לזהות וליישם את הפריטים שאינם נכללים הדרושים לך:
בהתאם לפריטים שבהם אתה משתמש, ייתכן שיהיה עליך לעיין בתיעוד של עומס העבודה של שרת זה.
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
הדרכה
מודול
Configure for alerts and detections in Microsoft Defender for Endpoint - Training
Configure for alerts and detections in Microsoft Defender for Endpoint
אישור
Microsoft Certified: Security Operations Analyst Associate - Certifications
Дослідіть, виконайте пошук і пом'якшення загроз за допомогою Microsoft Sentinel, Microsoft Defender для хмари та Microsoft 365 Defender.
תיעוד
Exclude files from Microsoft Defender Antivirus scans based on their file extension, file name, or location.
Managing exclusions reference - Microsoft Defender for Endpoint
This article describes various ways to manage exclusions for Defender for Endpoint and Microsoft Defender Antivirus
Contextual file and folder exclusions - Microsoft Defender for Endpoint
Describes the contextual file and folder exclusions capability for Microsoft Defender Antivirus on Windows. This capability allows you to be more specific when you define under which context Microsoft Defender Antivirus shouldn't scan a file or folder, by applying restrictions