Поделиться через


Обзор исключений

Область применения:

Примечание.

Как MVP Microsoft , Фабиан Бадер внес свой вклад в эту статью и предоставил материалы для этой статьи.

Microsoft Defender для конечной точки включает широкий спектр возможностей по предотвращению, обнаружению, расследованию и реагированию на сложные киберугрозы. Эти возможности включают защиту нового поколения (которая включает в себя Microsoft Defender антивирусную программу).

Как и в случае с любой защитой конечных точек или антивирусным решением, иногда файлы, папки или процессы, которые на самом деле не являются угрозой, могут быть обнаружены как вредоносные с помощью Defender для конечной точки или антивирусной программы Microsoft Defender. Эти сущности могут быть заблокированы или отправлены в карантин, даже если они на самом деле не представляют угрозы.

В этой статье описываются различные типы исключений, которые можно определить, или действия, которые можно выполнить для Defender для конечной точки и Microsoft Defender антивирусной программы для управления этими ситуациями.

Предостережение

Определение исключений снижает уровень защиты, предоставляемой Defender для конечной точки и антивирусной Microsoft Defender. Используйте исключения в крайнем случае и обязательно определите только необходимые исключения. Периодически проверяйте исключения и удаляйте ненужные. См. раздел Важные моменты об исключениях и распространенных ошибках, которые следует избежать.

Типы исключений

В следующей таблице перечислены различные типы исключений и возможности в Defender для конечной точки и антивирусной Microsoft Defender. Выберите каждый тип, чтобы просмотреть дополнительные сведения о нем.

Совет

Типы исключений Конфигурация Описание
Автоматические исключения антивирусной программы Microsoft Defender Автоматически Автоматическое исключение для ролей и компонентов сервера в Windows Server. При установке роли на Windows Server 2016 или более поздней версии антивирусная программа Microsoft Defender включает автоматические исключения для роли сервера и всех файлов, добавляемых при установке роли.
Примечание. Для активных ролей в Windows Server 2016 и более поздних версий.
Встроенные исключения антивирусной программы Microsoft Defender Автоматически антивирусная программа Microsoft Defender включает встроенные исключения для файлов операционной системы во всех версиях Windows.
Настраиваемые исключения антивирусной программы Microsoft Defender Клиент Вы можете добавить исключение для файла, папки или процесса, которые были обнаружены и определены как вредоносные, даже если это не является угрозой. Файлы, папки или процессы, которые вы исключите, будут пропущены с помощью запланированных проверок, проверок по запросу и защиты в режиме реального времени.
Исключения сокращения направлений атак Defender для конечной точки Клиент Если правила сокращения направлений атаки приводят к неизведанному поведению в организации, можно определить исключения для определенных файлов и папок. Такие исключения применяются ко всем правилам сокращения направлений атак.
Индикаторы Defender для конечной точки Клиент Вы можете определить индикаторы с помощью определенных действий для сущностей, таких как файлы, IP-адреса, URL-адреса, домены и сертификаты. При определении индикаторов можно указать такие действия, как "Разрешить", где Defender для конечной точки не будет блокировать файлы, IP-адреса, URL-адреса или домены или сертификаты с индикаторами разрешения.
Исключения доступа к папкам с управлением Defender для конечной точки Клиент Вы можете разрешить определенным приложениям или подписанным исполняемым файлам доступ к защищенным папкам, определив исключения.
Исключения папок автоматизации Defender для конечной точки Клиент Автоматическое исследование и исправление в Defender для конечной точки проверяет оповещения и принимает немедленные меры для автоматического устранения обнаруженных нарушений. Вы можете указать папки, расширения файлов в определенном каталоге и имена файлов, которые будут исключены из возможностей автоматического исследования и исправления.

Примечание.

Microsoft Defender исключения антивирусной программы могут применяться к антивирусной проверке и (или) к защите в режиме реального времени.

Примечание.

Автономные версии Defender для конечной точки плана 1 и плана 2 не включают серверные лицензии. Для подключения серверов требуется другая лицензия, например Microsoft Defender для конечной точки для серверов или Microsoft Defender для серверов плана 1 или 2. Дополнительные сведения см. в статье Подключение Defender для конечной точки Windows Server.

Если вы являетесь малым или средним бизнесом, использующим Microsoft Defender для бизнеса, вы можете получить Microsoft Defender для бизнеса - серверы.|

Эти исключения подробно описаны в следующих разделах.

Автоматические исключения

Автоматические исключения (также называемые исключениями автоматических ролей сервера) включают исключения для ролей и компонентов сервера в Windows Server. Эти исключения не проверяются защитой в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.

Вот некоторые примеры.

  • Служба репликации файлов (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS-сервер
  • Сервер печати
  • Веб-сервер
  • Службы Windows Server Update Services
  • ... и многое другое.

Примечание.

Автоматические исключения для ролей сервера не поддерживаются в Windows Server 2012 R2. Для серверов, работающих Windows Server 2012 R2 с установленной ролью сервера доменные службы Active Directory (AD DS), исключения для контроллеров домена необходимо указывать вручную. См. раздел Исключения Active Directory.

Дополнительные сведения см. в разделе Исключения автоматических ролей сервера.

Встроенные исключения

Встроенные исключения включают определенные файлы операционной системы, которые исключаются антивирусной программой Microsoft Defender во всех версиях Windows (включая Windows 10, Windows 11 и Windows Server).

Вот некоторые примеры.

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • файлы клиентский компонент Центра обновления Windows
  • файлы Безопасность Windows
  • другое.

Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. Дополнительные сведения об этих исключениях см. в статье Microsoft Defender исключения антивирусной программы в Windows Server: встроенные исключения.

Пользовательские исключения

Пользовательские исключения включают указанные файлы и папки. Исключения для файлов, папок и процессов будут пропущены с помощью запланированных проверок, проверок по запросу и защиты в режиме реального времени. Исключения для файлов, открытых для процесса, не будут проверяться с помощью защиты в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.

Пользовательские действия по исправлению

Когда антивирусная программа Microsoft Defender обнаруживает потенциальную угрозу во время проверки, она пытается устранить обнаруженную угрозу. Вы можете определить настраиваемые действия по исправлению, чтобы настроить, как Microsoft Defender Антивирусная программа должна устранять определенные угрозы, следует ли создавать точку восстановления перед исправлением и когда следует удалять угрозы. Настройте действия по исправлению для обнаружения Microsoft Defender антивирусной программы.

Исключения сокращения направлений атак

Правила сокращения направлений атак (также известные как правила ASR) предназначены для определенного поведения программного обеспечения, например:

  • Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы
  • Выполнение скриптов, которые кажутся скрытыми или иным образом подозрительными
  • Поведение, которое приложения обычно не инициируют во время обычной повседневной работы

Иногда допустимые приложения демонстрируют поведение программного обеспечения, которое может быть заблокировано правилами сокращения направлений атак. Если это происходит в вашей организации, вы можете определить исключения для определенных файлов и папок. Такие исключения применяются ко всем правилам сокращения направлений атак. См . раздел Включение правил сокращения направлений атак.

Кроме того, обратите внимание, что хотя большинство исключений правил ASR не зависят от исключений антивирусной программы Microsoft Defender, некоторые правила ASR учитывают некоторые исключения Microsoft Defender антивирусной программы. См. статью Справочник по правилам сокращения направлений атак Microsoft Defender исключения антивирусной программы и правила ASR.

Индикаторы Defender для конечной точки

Вы можете определить индикаторы с помощью определенных действий для сущностей, таких как файлы, IP-адреса, URL-адреса, домены и сертификаты. В Defender для конечной точки индикаторы называются индикаторами компрометации (IoCs), а реже — пользовательскими индикаторами. При определении индикаторов можно указать одно из следующих действий:

  • Разрешить — Defender для конечной точки не будет блокировать файлы, IP-адреса, URL-адреса или домены или сертификаты с индикаторами разрешения. (Используйте это действие с осторожностью.)

  • Аудит — файлы, IP-адреса, URL-адреса и домены с помощью индикаторов аудита отслеживаются, а при доступе к ним пользователям на портале Microsoft Defender создаются информационные оповещения.

  • Блокировка и исправление — файлы или сертификаты с индикаторами Block и Remediate блокируются и помещаются в карантин при обнаружении.

  • Выполнение блока — IP-адреса и URL-адреса/домены с индикаторами выполнения блокируются. Пользователи не могут получить доступ к этим расположениям.

  • Предупреждать . IP-адреса и URL-адреса и домены с индикаторами Предупреждения приводят к отображению предупреждающего сообщения, когда пользователь пытается получить доступ к этим расположениям. Пользователи могут обойти предупреждение и перейти к IP-адресу или URL-адресу или домену.

Важно!

В клиенте может быть до 15 000 индикаторов.

В следующей таблице перечислены типы IoC и доступные действия.

Тип индикатора Доступные действия
Файлы -Разрешать
-Ревизия
-Предупреждать
— Блочное выполнение
— Блокировка и исправление
IP-адреса и URL-адреса/домены -Разрешать
-Ревизия
-Предупреждать
— Блочное выполнение
Сертификаты -Разрешать
— Блокировка и исправление

Исключения управляемого доступа к папкам

Контролируемый доступ к папкам отслеживает действия, обнаруженные приложениями как вредоносные, и защищает содержимое определенных (защищенных) папок на устройствах Windows. Контролируемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам, таким как общие системные папки (включая загрузочные секторы) и другие указанные папки. Вы можете разрешить определенным приложениям или подписанным исполняемым файлам доступ к защищенным папкам, определив исключения. См . раздел Настройка управляемого доступа к папкам.

Исключения папок службы автоматизации

Исключения папок автоматизации применяются к автоматическому исследованию и исправлению в Defender для конечной точки, который предназначен для изучения оповещений и принятия немедленных мер для устранения обнаруженных нарушений. По мере активации оповещений и выполнения автоматического расследования для каждого исследуемого доказательства выдается вердикт (вредоносный, подозрительный или угрозы не найдены). В зависимости от уровня автоматизации и других параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения вашей группой по операциям безопасности.

Вы можете указать папки, расширения файлов в определенном каталоге и имена файлов, которые будут исключены из возможностей автоматического исследования и исправления. Такие исключения папок автоматизации применяются ко всем устройствам, подключенным к Defender для конечной точки. Эти исключения по-прежнему подлежат проверке антивирусной программой. См. раздел Управление исключениями папок автоматизации.

Как оцениваются исключения и индикаторы

Большинство организаций имеют несколько различных типов исключений и индикаторов, чтобы определить, должны ли пользователи иметь доступ к файлу или процессу и использовать их. Исключения и индикаторы обрабатываются в определенном порядке, чтобы конфликты политик обрабатывались систематически.

На следующем рисунке показано, как исключения и индикаторы обрабатываются в Defender для конечной точки и Microsoft Defender антивирусной программы.

Снимок экрана: порядок, в котором оцениваются исключения и индикаторы.

Вот как это работает:

  1. Если обнаруженный файл или процесс не разрешен элементом управления приложениями в Защитнике Windows и AppLocker, он блокируется. В противном случае выполняется Microsoft Defender антивирусная программа.

  2. Если обнаруженный файл или процесс не является частью исключения для антивирусной программы Microsoft Defender, они блокируются. В противном случае Defender для конечной точки проверяет наличие пользовательского индикатора для файла или процесса.

  3. Если обнаруженный файл или процесс имеет индикатор Блокировать или Предупредить, выполняется это действие. В противном случае файл и процесс разрешены, и он переходит к оценке с помощью правил сокращения направлений атак, управляемого доступа к папкам и защиты SmartScreen.

  4. Если обнаруженный файл или процесс не заблокирован правилами сокращения направлений атаки, управляемым доступом к папкам или защитой SmartScreen, он переходит к Microsoft Defender антивирусной программы.

  5. Если обнаруженный файл или процесс не разрешен Microsoft Defender Антивирусная программа, проверяется действие на основе идентификатора угрозы.

Как обрабатываются конфликты политик

В случаях, когда индикаторы Defender для конечной точки конфликтуют, вот что следует ожидать:

  • При наличии конфликтующих индикаторов файлов применяется индикатор, использующий наиболее безопасный хэш. Например, SHA256 имеет приоритет над SHA-1, который имеет приоритет над MD5.

  • Если есть конфликтующие индикаторы URL-адресов, используется более строгий индикатор. Для Microsoft Defender SmartScreen применяется индикатор, использующий самый длинный URL-путь. Например, www.dom.ain/admin/ имеет приоритет над www.dom.ain. (Защита сети применяется к доменам, а не к вложенным страницам в домене.)

  • Если для файла или процесса существуют аналогичные индикаторы, которые имеют разные действия, индикатор, ограниченный определенной группой устройств, имеет приоритет над индикатором, предназначенным для всех устройств.

Как автоматизированное исследование и исправление работает с индикаторами

Возможности автоматического исследования и исправления в Defender для конечной точки сначала определяют вердикт по каждому элементу доказательства, а затем принимают меры в зависимости от индикаторов Defender для конечной точки. Таким образом, файл или процесс может получить вердикт "хорошо" (что означает, что угрозы не найдены) и по-прежнему заблокированы, если есть индикатор с этим действием. Аналогичным образом, сущность может получить вердикт "плохой" (что означает, что она определена как вредоносная) и по-прежнему может быть разрешена, если есть индикатор с этим действием.

На следующей схеме показано , как автоматизированное исследование и исправление работает с индикаторами:

Снимок экрана: автоматическое исследование, исправление и индикаторы.

Другие серверные рабочие нагрузки и исключения

Если ваша организация использует другие серверные рабочие нагрузки, такие как Exchange Server, SharePoint Server или SQL Server, имейте в виду, что только встроенные роли сервера (которые могут стать необходимыми для программного обеспечения, которое будет установлено позже) на Windows Server исключаются функцией автоматического исключения (и только при использовании расположения установки по умолчанию). При отключении автоматических исключений, скорее всего, потребуется определить исключения антивирусной программы для этих других рабочих нагрузок или для всех рабочих нагрузок.

Ниже приведены некоторые примеры технической документации для определения и реализации необходимых исключений:

В зависимости от того, что вы используете, может потребоваться обратиться к документации по этой рабочей нагрузке сервера.

Совет

Совет по производительности Из-за различных факторов Microsoft Defender антивирусная программа, как и другое антивирусное программное обеспечение, может вызвать проблемы с производительностью на конечных точках. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

  • Основные пути, влияющие на время сканирования
  • Основные файлы, влияющие на время сканирования
  • Основные процессы, влияющие на время сканирования
  • Основные расширения файлов, влияющие на время сканирования
  • Сочетания, такие как:
    • top files per extension
    • верхние пути на расширение
    • top процессов на путь
    • большее число сканирований на файл
    • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.