קביעת תצורה של אי-הכללות מותאמות אישית עבור Microsoft Defender אנטי-וירוס

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• האנטי-וירוס של Microsoft Defender

פלטפורמות

• Windows

באופן כללי, אין צורך להגדיר פריטים שאינם נכללים ב- Microsoft Defender אנטי-וירוס. עם זאת, במידת הצורך, באפשרותך לא לכלול קבצים, תיקיות, תהליכים וקבצים שנפתחו על-ידי תהליך Microsoft Defender אנטי-וירוס. סוגי אי-הכללות אלה נקראים אי-הכללות מותאמות אישית. מאמר זה מתאר כיצד להגדיר אי-הכללות מותאמות אישית עבור Microsoft Defender אנטי-Microsoft Intune עם נתונים וכולל קישורים למשאבים אחרים לקבלת מידע נוסף.

אי הכללות מותאמות אישית חלות על סריקות מתוזמנות, סריקות לפי דרישה והגנה וניטור בזמן אמת. פריטים שאינם נכללים בקבצים שנפתחו באמצעות תהליך חלים רק על הגנה בזמן אמת.

עצה

לקבלת סקירה מפורטת של דיכויים, הגשות ופריטים שאינם נכללים באנטי-וירוס של Microsoft Defender ו- Defender for Endpoint, ראה אי-הכללות עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס.

קבע תצורה ואמת אי-הכללות

זהירות

השתמש Microsoft Defender אנטי-וירוס לעתים רחוקות. הקפד לסקור את המידע תחת ניהול פריטים שאינם נכללים עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס.

אם אתה משתמש ב- Microsoft Intune כדי לנהל Microsoft Defender או Microsoft Defender עבור נקודת קצה, השתמש בהליכים הבאים כדי להגדיר אי-הכללות:

• ניהול אי-הכללות של אנטי Intune (עבור פריטי מדיניות קיימים)
• Create מדיניות אנטי-וירוס חדשה עם פריטים שאינם נכללים Intune

אם אתה משתמש בכלי אחר, כגון Configuration Manager או מדיניות קבוצתית, או אם ברצונך לקבל מידע מפורט יותר אודות אי-הכללות מותאמות אישית, עיין במאמרים הבאים:

• קביעת תצורה ואימתה של פריטים שאינם נכללים בהתבסס על סיומת הקובץ ומיקום התיקיה
• קביעת תצורה של אי-הכללות עבור קבצים שנפתחים על-ידי תהליכים

ניהול אי-הכללות של אנטי Intune (עבור פריטי מדיניות קיימים)

1. במרכז הניהול Microsoft Intune, בחר אנטי-וירוס לאבטחת>נקודות קצה ולאחר מכן בחר מדיניות קיימת. (אם אין לך מדיניות קיימת, או אם ברצונך ליצור מדיניות חדשה, דלג אל Create אנטי-וירוס חדשה עם פריטים שאינם נכללים ב- Intune.)

2. בחר מאפיינים, ולצד הגדרות תצורה, בחר ערוך.

3. הרחב את Microsoft Defender של אנטי-וירוס ולאחר מכן ציין את הפריטים שלא ייכללו.

   • סיומות לא נכללות הן פריטים שאינם נכללים שאתה מגדיר לפי סיומת סוג קובץ. סיומות אלה חלות על כל שם קובץ בעל הסיומת המוגדרת ללא נתיב הקובץ או התיקיה. יש להפריד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: lib|obj לקבלת מידע נוסף, ראה ExcludedExtensions.
   • נתיבים שלא נכללו הם אי-הכללות שאתה מגדיר לפי המיקום שלהם (נתיב). סוגים אלה של אי-הכללות ידועים גם כפריטים שאינם נכללים בקובץ ובתיקיה. הפרד כל נתיב ברשימה באמצעות | תו. לדוגמה: C:\Example|C:\Example1 לקבלת מידע נוסף, ראה ExcludedPaths.
   • תהליכים לא נכללים אינם נכללים בקבצים שנפתחים על-ידי תהליכים מסוימים. הפרד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: C:\Example. exe|C:\Example1.exe אי-הכללות אלה אינן עבור התהליכים בפועל. כדי לא לכלול תהליכים, באפשרותך להשתמש בפריטים שאינם נכללים בקובץ ובתיקיה. לקבלת מידע נוסף, ראה לא נכללProcesses.

4. בחר סקירה + שמירה ולאחר מכן בחר שמור.

Create מדיניות אנטי-וירוס חדשה עם פריטים שאינם נכללים Intune

1. במרכז הניהול של Microsoft Intune, בחראנטי-וירוס של אבטחת נקודת>קצה>+ Create מדיניות.

2. בחר פלטפורמה (כגון Windows 10, Windows 11 ו- Windows Server).

3. עבור פרופיל, בחר Microsoft Defender אנטי-וירוס שאינם נכללים ולאחר מכן בחר Create.

4. בשלב Create, ציין שם ותיאור עבור הפרופיל ולאחר מכן בחר הבא.

5. בכרטיסיה הגדרות תצורה, ציין את הפריטים שאינם נכללים באנטי-וירוס ולאחר מכן בחר הבא.

   • סיומות לא נכללות הן פריטים שאינם נכללים שאתה מגדיר לפי סיומת סוג קובץ. סיומות אלה חלות על כל שם קובץ בעל הסיומת המוגדרת ללא נתיב הקובץ או התיקיה. הפרד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: lib|obj לקבלת מידע נוסף, ראה ExcludedExtensions.
   • נתיבים שלא נכללו הם אי-הכללות שאתה מגדיר לפי המיקום שלהם (נתיב). סוגים אלה של אי-הכללות ידועים גם כפריטים שאינם נכללים בקובץ ובתיקיה. הפרד כל נתיב ברשימה באמצעות | תו. לדוגמה: C:\Example|C:\Example1 לקבלת מידע נוסף, ראה ExcludedPaths.
   • תהליכים לא נכללים אינם נכללים בקבצים שנפתחים על-ידי תהליכים מסוימים. הפרד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: C:\Example. exe|C:\Example1.exe אי-הכללות אלה אינן עבור התהליכים בפועל. כדי לא לכלול תהליכים, באפשרותך להשתמש בפריטים שאינם נכללים בקובץ ובתיקיה. לקבלת מידע נוסף, ראה לא נכללProcesses.

6. בכרטיסיה תגיות טווח , אם אתה משתמש בתגיות טווח בארגון שלך, ציין תגי טווח עבור המדיניות שאתה יוצר. (ראה תגי טווח.)

7. בכרטיסיה מטלות , ציין את המשתמשים והקבוצות שלהם יש להחיל את המדיניות שלך ולאחר מכן בחר הבא. (אם אתה זקוק לעזרה עם מטלות, ראה הקצאת פרופילי משתמשים ומכשירים ב- Microsoft Intune.)

8. בכרטיסיה סקירה + יצירה, סקור את ההגדרות ולאחר מכן בחר Create.

נקודות חשובות לגבי אי הכללות

הגדרת פריטים שאינם נכללים מורידה את ההגנה המוצעת על-ידי Microsoft Defender אנטי-וירוס. עליך תמיד להעריך את הסיכונים המשויכים ליישום פריטים שאינם נכללים, ועליך לכלול רק קבצים שאתה בטוח שהם לא זדוניים.

פריטים שאינם נכללים ישירות משפיעים על היכולת של תוכנת האנטי Microsoft Defender Antivirus לחסום, לעדכן או לבדוק אירועים הקשורים לקבצים, לתיקיות או לתהליכים שנוספים לרשימת הפריטים שלא ייכללו. אי-הכללות מותאמות אישית יכולות להשפיע על תכונות התלויות ישירות במנוע האנטי-וירוס (כגון הגנה מפני תוכנות זדוניות, רכיבי IOC של קבצים ו- IOCs של אישורים). אי-הכללות בתהליך משפיעות גם על חוקי ההגנה על הרשת ועל הפחתת פני השטח של ההתקפה. באופן ספציפי, אי הכללה של תהליך בכל פלטפורמה גורמת להגנה על הרשת ול- ASR לא להיות מסוגלים לבדוק את התעבורה או לאכוף כללים עבור תהליך ספציפי זה.

זכור את הנקודות הבאות כאשר אתה מ להגדיר פריטים שאינם נכללים:

• אי הכללות הן פער הגנה מבחינה טכנית. שקול את כל האפשרויות שלך בעת הגדרת אי-הכללות. ראה הגשות, דיכויים ופריטים שאינם נכללים.

• סקור פריטים שאינם נכללים מעת לעת. בדיקה מחדש של צמצום סיכונים ואכוף אותם מחדש כחלק מתהליך הסקירה.

• מומלץ להימנע מהכללה של פריטים שאינם נכללים בניסיון להיות פרואקטיבי. לדוגמה, אל תכלול משהו רק משום שאתה חושב שייתכן שיש בעיה בעתיד. השתמש בפריטים שאינם נכללים רק עבור בעיות ספציפיות, כגון אלה הקשורות לביצועים או לתאימות יישומים שעלולות להפחית אי הכללות.

• סקור ובצע ביקורת על שינויים ברשימת הפריטים שלא ייכללו. צוות האבטחה שלך צריך לשמור על ההקשר כדי לתאר מדוע נוספה אי הכללה מסוימת כדי למנוע בלבול בשלב מאוחר יותר. צוות האבטחה שלך אמור להיות מסוגל לספק תשובות ספציפיות לשאלות לגבי הסיבה לכך שקיימות אי-הכללות.

ביקורת אי-הכללות של אנטי-וירוס במערכות Exchange

Microsoft Exchange תומך בשילוב עם ממשק הסריקה נגד תוכנות זדוניות (AMSI) מאז יוני 2021, עדכון רבעוני עדכונים עבור Exchange (ראה הפעלת תוכנת אנטי-וירוס של Windows בשרתי Exchange). מומלץ מאוד להתקין עדכונים אלה ולהוודא ש- AMSI פועל כראוי. ראה Microsoft Defender אנטי-וירוס עדכוני אבטחה ומוצר.

ארגונים רבים אינם כוללים את ספריות Exchange בסריקה של אנטי-וירוס מסיבות של ביצועים. Microsoft ממליצה לבצע ביקורת Microsoft Defender אנטי-וירוס במערכות Exchange ולהעריך אם ניתן להסיר פריטים שאינם נכללים מבלי להשפיע על הביצועים בסביבה שלך כדי להבטיח את רמת ההגנה הגבוהה ביותר. ניתן לנהל פריטים שאינם נכללים באמצעות מדיניות קבוצתית, PowerShell או כלי ניהול מערכות כגון Microsoft Intune.

כדי Microsoft Defender את הפריטים שאינם נכללים באנטי-Exchange Server, הפעל את הפקודה Get-MpPreference משורת הפקודה של PowerShell עם הרשאות מלאות. (ראה Get-MpPreference.)

אם לא ניתן להסיר פריטים שאינם נכללים עבור התהליכים והתיקיות של Exchange, זכור שהפעלת סריקה מהירה ב- Microsoft Defender Antivirus סורקת את הספריות והקבצים של Exchange, ללא קשר לפריטים שאינם נכללים.

למידע נוסף

• Microsoft Defender אנטי-וירוס לא נכללים ב- Windows Server 2016 ואילך
• שגיאות נפוצות להימנעות בעת הגדרת אי-הכללות
• פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים
• קביעת תצורה ואימתה של אי-הכללות עבור Microsoft Defender עבור נקודת קצה ב- Linux
• קביעת תצורה ואימתה של אי-הכללות עבור Microsoft Defender עבור נקודת קצה ב- macOS

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.