Konfigurowanie wykluczeń niestandardowych dla programu antywirusowego Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Program antywirusowy Microsoft Defender

Platformy

• System Windows

Ogólnie rzecz biorąc, nie należy definiować wykluczeń dla programu antywirusowego Microsoft Defender. Jednak w razie potrzeby można wykluczyć pliki, foldery, procesy i pliki otwierane przez proces z skanowania programu antywirusowego Microsoft Defender. Te typy wykluczeń są nazywane wykluczeniami niestandardowymi. W tym artykule opisano sposób definiowania niestandardowych wykluczeń dla programu antywirusowego Microsoft Defender za pomocą Microsoft Intune i zawiera linki do innych zasobów, aby uzyskać więcej informacji.

Wykluczenia niestandardowe mają zastosowanie do zaplanowanych skanów, skanów na żądanie oraz zawsze włączonej ochrony i monitorowania w czasie rzeczywistym. Wykluczenia dla plików otwartych przez proces mają zastosowanie tylko do ochrony w czasie rzeczywistym.

Porada

Aby uzyskać szczegółowe omówienie pomijania, przesyłania i wykluczeń w programie antywirusowym Microsoft Defender i usłudze Defender for Endpoint, zobacz Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender.

Konfiguruj i weryfikuj wykluczenia

Uwaga

Oszczędnie używaj rozszerzeń programu antywirusowego Microsoft Defender. Zapoznaj się z informacjami w temacie Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender.

Jeśli używasz Microsoft Intune do zarządzania programem antywirusowym Microsoft Defender lub Ochrona punktu końcowego w usłudze Microsoft Defender, użyj następujących procedur, aby zdefiniować wykluczenia:

• Zarządzanie wykluczeniami oprogramowania antywirusowego w usłudze Intune (dla istniejących zasad)
• Tworzenie nowych zasad ochrony antywirusowej z wykluczeniami w usłudze Intune

Jeśli używasz innego narzędzia, takiego jak Configuration Manager lub zasady grupy, lub chcesz uzyskać bardziej szczegółowe informacje na temat wykluczeń niestandardowych, zobacz następujące artykuły:

• Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu
• Konfigurowanie wykluczeń dla plików otwieranych przez procesy

Zarządzanie wykluczeniami oprogramowania antywirusowego w usłudze Intune (dla istniejących zasad)

1. W centrum administracyjnym Microsoft Intune wybierz pozycjęProgram antywirusowyzabezpieczeń> punktu końcowego, a następnie wybierz istniejące zasady. (Jeśli nie masz istniejących zasad lub chcesz utworzyć nowe zasady, przejdź do pozycji Utwórz nowe zasady antywirusowe z wykluczeniami w usłudze Intune).

2. Wybierz pozycję Właściwości, a następnie obok pozycji Ustawienia konfiguracji wybierz pozycję Edytuj.

3. Rozwiń węzeł Microsoft Defender Wykluczenia antywirusowe, a następnie określ wykluczenia.

   • Wykluczone rozszerzenia to wykluczenia definiowane przez rozszerzenie typu pliku. Te rozszerzenia dotyczą dowolnej nazwy pliku, która ma zdefiniowane rozszerzenie bez ścieżki pliku lub folderu. Rozdzielać każdy typ pliku na liście musi być oddzielony znakiem | . Na przykład lib|obj. Aby uzyskać więcej informacji, zobacz ExcludedExtensions.
   • Wykluczone ścieżki to wykluczenia definiowane przez ich lokalizację (ścieżkę). Te typy wykluczeń są również nazywane wykluczeniami plików i folderów. Oddziel każdą ścieżkę na liście znakiem | . Na przykład C:\Example|C:\Example1. Aby uzyskać więcej informacji, zobacz ExcludedPaths (Wykluczone ścieżki).
   • Wykluczone procesy to wykluczenia dla plików otwieranych przez niektóre procesy. Rozdziel każdy typ pliku na liście znakiem | . Na przykład C:\Example. exe|C:\Example1.exe. Te wykluczenia nie są przeznaczone dla rzeczywistych procesów. Aby wykluczyć procesy, można użyć wykluczeń plików i folderów. Aby uzyskać więcej informacji, zobacz ExcludedProcesses.

4. Wybierz pozycję Przeglądanie i zapisywanie, a następnie wybierz pozycję Zapisz.

Tworzenie nowych zasad ochrony antywirusowej z wykluczeniami w usłudze Intune

1. W centrum administracyjnym Microsoft Intune wybierz pozycjęProgram antywirusowy>zabezpieczeń> punktu końcowego+ Utwórz zasady.

2. Wybierz platformę (taką jak Windows 10, Windows 11 i Windows Server).

3. W obszarze Profil wybierz pozycję Microsoft Defender Wykluczenia programu antywirusowego, a następnie wybierz pozycję Utwórz.

4. W kroku Tworzenie profilu określ nazwę i opis profilu, a następnie wybierz pozycję Dalej.

5. Na karcie Ustawienia konfiguracji określ wykluczenia programu antywirusowego, a następnie wybierz pozycję Dalej.

   • Wykluczone rozszerzenia to wykluczenia definiowane przez rozszerzenie typu pliku. Te rozszerzenia dotyczą dowolnej nazwy pliku, która ma zdefiniowane rozszerzenie bez ścieżki pliku lub folderu. Rozdziel każdy typ pliku na liście znakiem | . Na przykład lib|obj. Aby uzyskać więcej informacji, zobacz ExcludedExtensions.
   • Wykluczone ścieżki to wykluczenia definiowane przez ich lokalizację (ścieżkę). Te typy wykluczeń są również nazywane wykluczeniami plików i folderów. Oddziel każdą ścieżkę na liście znakiem | . Na przykład C:\Example|C:\Example1. Aby uzyskać więcej informacji, zobacz ExcludedPaths (Wykluczone ścieżki).
   • Wykluczone procesy to wykluczenia dla plików otwieranych przez niektóre procesy. Rozdziel każdy typ pliku na liście znakiem | . Na przykład C:\Example. exe|C:\Example1.exe. Te wykluczenia nie są przeznaczone dla rzeczywistych procesów. Aby wykluczyć procesy, można użyć wykluczeń plików i folderów. Aby uzyskać więcej informacji, zobacz ExcludedProcesses.

6. Na karcie Tagi zakresu , jeśli używasz tagów zakresu w organizacji, określ tagi zakresu dla utworzonych zasad. (Zobacz tagi zakresu).

7. Na karcie Przypisania określ użytkowników i grupy, do których mają być stosowane zasady, a następnie wybierz pozycję Dalej. (Jeśli potrzebujesz pomocy dotyczącej przypisań, zobacz Przypisywanie profilów użytkowników i urządzeń w Microsoft Intune).

8. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Ważne kwestie dotyczące wykluczeń

Definiowanie wykluczeń obniża ochronę oferowaną przez program antywirusowy Microsoft Defender. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i wykluczać tylko pliki, które są pewne, że nie są złośliwe.

Wykluczenia bezpośrednio wpływają na możliwość blokowania, korygowania lub inspekcji zdarzeń związanych z plikami, folderami lub procesami dodanymi do listy wykluczeń przez program antywirusowy Microsoft Defender. Wykluczenia niestandardowe mogą mieć wpływ na funkcje, które są bezpośrednio zależne od aparatu antywirusowego (takie jak ochrona przed złośliwym oprogramowaniem, operacjami we/wy plików i certyfikatami IOCs). Wykluczenia procesów mają również wpływ na reguły ochrony sieci i zmniejszania obszaru podatnego na ataki. W szczególności wykluczenie procesu na dowolnej platformie powoduje, że ochrona sieci i usługa ASR nie mogą sprawdzać ruchu ani wymuszać reguł dla tego konkretnego procesu.

Podczas definiowania wykluczeń należy pamiętać o następujących kwestiach:

• Wykluczenia są technicznie luką w ochronie. Podczas definiowania wykluczeń rozważ wszystkie opcje. Zobacz Przesyłanie, pomijanie i wykluczenia.

• Okresowo przeglądaj wykluczenia. Ponowne sprawdzanie i ponowne wymuszanie środków zaradczych w ramach procesu przeglądu.

• Najlepiej unikać definiowania wykluczeń w celu proaktywnego działania. Na przykład nie wykluczaj czegoś tylko dlatego, że uważasz, że może to być problem w przyszłości. Wykluczeń należy używać tylko w przypadku określonych problemów, takich jak problemy dotyczące wydajności lub zgodności aplikacji, które mogą uniknąć wykluczenia.

• Przejrzyj i przeprowadź inspekcję zmian na liście wykluczeń. Twój zespół ds. zabezpieczeń powinien zachować kontekst dotyczący przyczyny dodania określonego wykluczenia, aby uniknąć nieporozumień później. Twój zespół ds. zabezpieczeń powinien mieć możliwość udzielenia konkretnych odpowiedzi na pytania dotyczące przyczyn istnienia wykluczeń.

Inspekcja wykluczeń programu antywirusowego w systemach programu Exchange

Program Microsoft Exchange obsługuje integrację z interfejsem skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI) od Aktualizacje kwartalnego z czerwca 2021 r. dla programu Exchange (zobacz Uruchamianie oprogramowania antywirusowego systemu Windows na serwerach Exchange). Zdecydowanie zaleca się zainstalowanie tych aktualizacji i upewnienie się, że interfejs AMSI działa prawidłowo. Zobacz Microsoft Defender Analiza zabezpieczeń oprogramowania antywirusowego i aktualizacje produktów.

Wiele organizacji wyklucza katalogi programu Exchange ze skanowania antywirusowego ze względu na wydajność. Firma Microsoft zaleca przeprowadzanie inspekcji wykluczeń programu antywirusowego Microsoft Defender w systemach programu Exchange oraz ocenę, czy wykluczenia można usunąć bez wpływu na wydajność w środowisku, aby zapewnić najwyższy poziom ochrony. Wykluczeniami można zarządzać przy użyciu zasady grupy, programu PowerShell lub narzędzi do zarządzania systemami, takich jak Microsoft Intune.

Aby przeprowadzić inspekcję wykluczeń programu antywirusowego Microsoft Defender Exchange Server, uruchom polecenie Get-MpPreference z wiersza polecenia programu PowerShell z podwyższonym poziomem uprawnień. (Zobacz Get-MpPreference).

Jeśli nie można usunąć wykluczeń dla procesów i folderów programu Exchange, pamiętaj, że uruchomienie szybkiego skanowania w programie Microsoft Defender Program antywirusowy skanuje katalogi i pliki programu Exchange, niezależnie od wykluczeń.

Zobacz też

• Microsoft Defender wykluczeń programu antywirusowego w Windows Server 2016 i nowszych wersjach
• Typowe błędy, których należy unikać podczas definiowania wykluczeń
• Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
• Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
• Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.