Egyéni kizárások konfigurálása Microsoft Defender víruskeresőhöz

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender víruskereső

Platformok

• A Windows

Általánosságban elmondható, hogy nem kell kizárásokat meghatároznia Microsoft Defender víruskeresőhöz. Szükség esetén azonban kizárhat fájlokat, mappákat, folyamatokat és megnyitott fájlokat Microsoft Defender víruskereső vizsgálatból. Az ilyen típusú kizárásokat egyéni kizárásoknak nevezzük. Ez a cikk bemutatja, hogyan definiálhat egyéni kizárásokat Microsoft Defender víruskeresőhöz Microsoft Intune, és további információkért más erőforrásokra mutató hivatkozásokat tartalmaz.

Az egyéni kizárások az ütemezett vizsgálatokra, az igény szerinti vizsgálatokra, valamint a mindig valós idejű védelemre és monitorozásra vonatkoznak. A folyamat által megnyitott fájlokra vonatkozó kizárások csak a valós idejű védelemre vonatkoznak.

Tipp

A Microsoft Defender víruskereső és a Végponthoz készült Defender letiltásainak, beküldéseinek és kizárásainak részletes áttekintéséért lásd: Kizárások Végponthoz készült Microsoft Defender és Microsoft Defender víruskeresőhöz.

Kivételek konfigurálása és érvényesítése

Figyelem!

Használjon Microsoft Defender víruskereső bővítményeket takarékosan. Mindenképpen tekintse át az Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásainak kezelése című témakört.

Ha Microsoft Intune használ Microsoft Defender víruskereső vagy Végponthoz készült Microsoft Defender kezelésére, a kizárások meghatározásához kövesse az alábbi eljárásokat:

• A víruskereső kizárásainak kezelése a Intune-ben (meglévő szabályzatok esetén)
• új víruskereső szabályzat Létrehozás kizárásokkal a Intune

Ha más eszközt, például Configuration Manager vagy Csoportházirend használ, vagy ha részletesebb információkat szeretne kapni az egyéni kizárásokról, tekintse meg az alábbi cikkeket:

• Kizárások konfigurálása és ellenőrzése a fájlkiterjesztés és a mappa helye alapján
• Folyamatok által megnyitott fájlok kizárásainak konfigurálása

A víruskereső kizárásainak kezelése a Intune-ben (meglévő szabályzatok esetén)

1. A Microsoft Intune Felügyeleti központban válassza a Végpontbiztonság>víruskereső lehetőséget, majd válasszon ki egy meglévő szabályzatot. (Ha nem rendelkezik meglévő szabályzattal, vagy új szabályzatot szeretne létrehozni, ugorjon az új víruskereső szabályzat Létrehozás a Intune kivételekkel.)

2. Válassza a Tulajdonságok lehetőséget, majd a Konfigurációs beállítások mellett válassza a Szerkesztés lehetőséget.

3. Bontsa ki Microsoft Defender Víruskereső kizárások elemet, majd adja meg a kizárásokat.

   • A kizárt bővítmények fájltípus-kiterjesztéssel definiált kizárások. Ezek a kiterjesztések minden olyan fájlnévre vonatkoznak, amelynek a fájlelérési útja vagy mappája nélkül van megadva a megadott kiterjesztés. A lista minden fájltípusát el kell különíteni egy | karakterrel. Használja például a lib|obj címet. További információ: ExcludedExtensions.
   • A kizárt elérési utak a helyük (elérési út) alapján meghatározott kizárások. Ezeket a kizárási típusokat fájl- és mappakizárásoknak is nevezik. A lista minden elérési útját különítse el egy | karakterrel. Használja például a C:\Example|C:\Example1 címet. További információ: ExcludedPaths.
   • A kizárt folyamatok bizonyos folyamatok által megnyitott fájlok kizárásai. A lista minden fájltípusát különítse el egy | karakterrel. Használja például a C:\Example. exe|C:\Example1.exe címet. Ezek a kizárások nem a tényleges folyamatokhoz tartoznak. A folyamatok kizárásához fájl- és mappakizárásokat használhat. További információ: ExcludedProcesses.

4. Válassza a Véleményezés + mentés, majd a Mentés lehetőséget.

új víruskereső szabályzat Létrehozás kizárásokkal a Intune

1. A Microsoft Intune Felügyeleti központban válassza az Endpoint Security>Antivirus>+ Létrehozás Policy lehetőséget.

2. Válasszon platformot (például Windows 10, Windows 11 és Windows Server).

3. A Profil mezőben válassza Microsoft Defender Víruskereső kizárások lehetőséget, majd válassza a Létrehozás lehetőséget.

4. A profil Létrehozás lépésben adja meg a profil nevét és leírását, majd válassza a Tovább gombot.

5. A Konfigurációs beállítások lapon adja meg a víruskereső kizárásait, majd válassza a Tovább gombot.

   • A kizárt bővítmények fájltípus-kiterjesztéssel definiált kizárások. Ezek a kiterjesztések minden olyan fájlnévre vonatkoznak, amelynek a fájlelérési útja vagy mappája nélkül van megadva a megadott kiterjesztés. A lista minden fájltípusát különítse el egy | karakterrel. Használja például a lib|obj címet. További információ: ExcludedExtensions.
   • A kizárt elérési utak a helyük (elérési út) alapján meghatározott kizárások. Ezeket a kizárási típusokat fájl- és mappakizárásoknak is nevezik. A lista minden elérési útját különítse el egy | karakterrel. Használja például a C:\Example|C:\Example1 címet. További információ: ExcludedPaths.
   • A kizárt folyamatok bizonyos folyamatok által megnyitott fájlok kizárásai. A lista minden fájltípusát különítse el egy | karakterrel. Használja például a C:\Example. exe|C:\Example1.exe címet. Ezek a kizárások nem a tényleges folyamatokhoz tartoznak. A folyamatok kizárásához fájl- és mappakizárásokat használhat. További információ: ExcludedProcesses.

6. Ha a hatókörcímkéket a szervezetében használja, a Hatókörcímkék lapon adja meg a létrehozott szabályzat hatókörcímkéinek megadását. (Lásd: Hatókörcímkék.)

7. A Hozzárendelések lapon adja meg azokat a felhasználókat és csoportokat, akikre alkalmazni szeretné a szabályzatot, majd válassza a Tovább gombot. (Ha segítségre van szüksége a hozzárendelésekkel kapcsolatban, olvassa el a Felhasználói és eszközprofilok hozzárendelése a Microsoft Intune-ben című témakört.)

8. A Véleményezés + létrehozás lapon tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Fontos szempontok a kizárásokról

A kizárások meghatározása csökkenti a Microsoft Defender Víruskereső által nyújtott védelmet. Mindig értékelje ki a kizárások implementálásával járó kockázatokat, és csak olyan fájlokat zárjon ki, amelyek biztosan nem rosszindulatúak.

A kizárások közvetlenül befolyásolják az Microsoft Defender víruskereső azon képességét, hogy letiltsa, kijavítsa vagy megvizsgálja a kizárási listához hozzáadott fájlokhoz, mappákhoz vagy folyamatokhoz kapcsolódó eseményeket. Az egyéni kizárások hatással lehetnek a víruskereső motortól közvetlenül függő funkciókra (például a kártevők elleni védelemre, a fájl IOK-jaira és a tanúsítvány-IOK-okra). A folyamatkizárások a hálózatvédelmet és a támadásifelület-csökkentési szabályokat is érintik. Konkrétan egy folyamatkizárás bármely platformon azt eredményezi, hogy a hálózatvédelem és az ASR nem tudja megvizsgálni a forgalmat, és nem kényszeríthet szabályokat az adott folyamathoz.

A kizárások meghatározásakor tartsa szem előtt az alábbi szempontokat:

• A kizárások gyakorlatilag védelmi hiányosságot jelentenek. A kizárások meghatározásakor vegye figyelembe az összes lehetőséget. Lásd: Beküldések, mellőzések és kizárások.

• Rendszeresen tekintse át a kizárásokat. A felülvizsgálati folyamat részeként ellenőrizze újra és kényszerítse újra a kockázatcsökkentéseket.

• Ideális esetben kerülje a kizárások meghatározását a proaktív próbálkozások során. Ne zárjon ki például valamit csak azért, mert úgy gondolja, hogy ez problémát jelenthet a jövőben. Csak bizonyos problémákhoz használjon kizárásokat, például olyan teljesítmény- vagy alkalmazáskompatibilitási problémákhoz, amelyeket a kizárások mérsékelhetnek.

• A kizárási lista módosításainak áttekintése és naplózása. A biztonsági csapatnak meg kell őriznie a kontextust azzal kapcsolatban, hogy miért lett hozzáadva egy bizonyos kizárás, hogy később elkerülhesse a félreértéseket. A biztonsági csapatnak konkrét válaszokat kell tudnia adni a kizárások okaival kapcsolatos kérdésekre.

Víruskereső kizárásainak naplózása Exchange-rendszereken

A Microsoft Exchange 2021 júniusa óta támogatja az integrációt a kártevőirtó vizsgálati felülettel (AMSI) az Exchange-hez készült negyedéves Frissítések óta (lásd: Windows víruskereső szoftver futtatása Exchange-kiszolgálókon). Erősen ajánlott telepíteni ezeket a frissítéseket, és meggyőződni arról, hogy az AMSI megfelelően működik. Lásd: Microsoft Defender víruskereső biztonsági intelligenciája és termékfrissítései.

Számos szervezet kizárja az Exchange-címtárakat a víruskereső vizsgálatokból teljesítménybeli okokból. A Microsoft javasolja az Exchange-rendszereken Microsoft Defender víruskereső kizárásainak naplózását, valamint annak felmérését, hogy a kizárások eltávolíthatók-e anélkül, hogy ez hatással lenne a környezet teljesítményére a legmagasabb szintű védelem biztosítása érdekében. A kizárások a Csoportházirend, a PowerShell vagy a Microsoft Intune rendszerfelügyeleti eszközökkel kezelhetők.

Ha Microsoft Defender víruskereső kizárásait szeretné naplózni egy Exchange Server, futtassa a Get-MpPreference parancsot egy emelt szintű PowerShell-parancssorból. (Lásd: Get-MpPreference.)

Ha az Exchange-folyamatok és -mappák kizárásai nem távolíthatók el, ne feledje, hogy a Microsoft Defender víruskeresőben végzett gyorsvizsgálat a kizárásoktól függetlenül megvizsgálja az Exchange-könyvtárakat és -fájlokat.

Lásd még

• Microsoft Defender víruskereső kizárásai Windows Server 2016 és újabb verziókban
• Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor
• A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
• Kizárások konfigurálása és érvényesítése a Linuxon futó Végponthoz készült Microsoft Defender esetében
• Kizárások konfigurálása és érvényesítése a macOS-en Végponthoz készült Microsoft Defender esetén

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.