Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender

Область применения:

Платформы

  • Windows

Примечание.

Как MVP Microsoft , Фабиан Бадер внес свой вклад в эту статью и предоставил материалы для этой статьи.

Microsoft Defender для конечной точки включает широкий спектр возможностей по предотвращению, обнаружению, расследованию и реагированию на сложные киберугрозы. Эти возможности включают защиту нового поколения (которая включает в себя Microsoft Defender антивирусную программу). Как и в случае с любой защитой конечных точек или антивирусным решением, иногда файлы, папки или процессы, которые на самом деле не являются угрозой, могут быть обнаружены как вредоносные с помощью Defender для конечной точки или антивирусной программы Microsoft Defender. Эти сущности могут быть заблокированы или отправлены в карантин, даже если они на самом деле не представляют угрозы.

Вы можете предпринять определенные действия, чтобы предотвратить возникновение ложных срабатываний и аналогичных проблем. Вот эти действия:

В этой статье объясняется, как работают эти действия, а также описаны различные типы исключений, которые можно определить для Defender для конечной точки и Microsoft Defender антивирусной программы.

Предостережение

Определение исключений снижает уровень защиты, предоставляемой Defender для конечной точки и антивирусной Microsoft Defender. Используйте исключения в крайнем случае и обязательно определите только необходимые исключения. Периодически проверяйте исключения и удаляйте ненужные. См. раздел Важные моменты об исключениях и распространенных ошибках, которые следует избежать.

Отправка, подавление и исключения

При работе с ложными срабатываниями или известными сущностями, которые создают оповещения, вам не обязательно добавлять исключение. Иногда достаточно классифицировать и подавлять оповещение. Мы рекомендуем также отправлять ложноположительные результаты (и ложноотрицания) в Корпорацию Майкрософт для анализа. В следующей таблице описаны некоторые сценарии и действия, которые следует предпринять в отношении отправки файлов, подавления оповещений и исключений.

Сценарий Действия, которые следует учитывать
Ложноположительный результат. Сущность, например файл или процесс, была обнаружена и идентифицирована как вредоносная, даже если сущность не представляет угрозы. 1. Проверьте и классифицируйте оповещения , созданные в результате обнаруженной сущности.
2. Подавление оповещения для известной сущности.
3. Просмотрите действия по исправлению , предпринятые для обнаруженной сущности.
4. Отправьте ложноположительный результат в корпорацию Майкрософт для анализа.
5. Определите исключение для сущности (только при необходимости).
Проблемы с производительностью , такие как одна из следующих проблем:
— Система имеет высокую загрузку ЦП или другие проблемы с производительностью.
— В системе возникают проблемы с утечкой памяти.
— приложение медленно загружается на устройствах.
— Приложение медленно открывает файл на устройствах.
1. Сбор диагностических данных для Microsoft Defender антивирусной программы.
2. Если вы используете антивирусное решение, отличное от Майкрософт, проверка с поставщиком необходимых исключений.
3. Проанализируйте журнал защиты Майкрософт , чтобы увидеть предполагаемое влияние на производительность.
4. Определите исключение для антивирусной программы Microsoft Defender (при необходимости).
5. Создайте индикатор для Defender для конечной точки (только при необходимости).
Проблемы совместимости с антивирусными продуктами сторонних разработчиков.
Пример. Defender для конечной точки использует обновления аналитики безопасности для устройств, независимо от того, работают ли они Microsoft Defender антивирусной программы или антивирусного решения сторонних разработчиков.
1. Если вы используете антивирусную программу сторонних разработчиков в качестве основного антивирусного или антивредоносного решения, установите Microsoft Defender антивирусную программу в пассивный режим.
2. Если вы переходите с антивирусного или антивредоносного решения сторонних разработчиков на Defender для конечной точки, см . статью Переход на Defender для конечной точки. Это руководство включает:
- Исключения, которые может потребоваться определить для антивирусного или антивредоносного решения сторонних разработчиков;
- Исключения, которые могут потребоваться определить для Microsoft Defender антивирусной программы; и
- Сведения об устранении неполадок (на всякий случай что-то пойдет не так во время миграции).

Важно!

Индикатор "allow" — это самый надежный тип исключения, который можно определить в Defender для конечной точки. Не забывайте использовать индикаторы экономно (только при необходимости) и периодически проверяйте все исключения.

Отправка файлов для анализа

Если у вас есть файл, который, по вашему мнению, ошибочно обнаружен как вредоносная программа (ложноположительный результат), или файл, который, как вы подозреваете, может быть вредоносным, даже если он не был обнаружен (ложноотрицательный), вы можете отправить его в Корпорацию Майкрософт для анализа. Ваша отправка немедленно сканируется, а затем будет проверена аналитиками по безопасности Майкрософт. Вы можете проверка состояние отправки на странице журнала отправки.

Отправка файлов для анализа помогает сократить количество ложных срабатываний и ложноотрицательных результатов для всех клиентов. Дополнительные сведения см. в следующих разделах:

Подавление оповещений

Если на портале Microsoft Defender вы получаете оповещения о средствах или процессах, которые, как вы знаете, на самом деле не представляют угрозы, вы можете отключить эти оповещения. Чтобы подавить оповещение, создайте правило подавления и укажите, какие действия следует выполнить для этого для других идентичных оповещений. Вы можете создать правила подавления для определенного оповещения на одном устройстве или для всех оповещений с одинаковым названием в вашей организации.

Дополнительные сведения см. в следующих разделах:

Исключения и индикаторы

Иногда термин исключения используется для обозначения исключений, которые применяются в Defender для конечной точки и Microsoft Defender антивирусной программы. Более точный способ описания этих исключений заключается в следующем:

В следующей таблице перечислены типы исключений, которые можно определить для Defender для конечной точки и Microsoft Defender антивирусной программы.

Совет

Продукт или услуга Типы исключений
Антивирусная программа в Microsoft Defender
Defender для конечной точки плана 1 или плана 2
- Автоматические исключения (для активных ролей в Windows Server 2016 и более поздних версиях)
- Встроенные исключения (для файлов операционной системы в Windows)
- Пользовательские исключения, такие как исключения на основе процесса, исключения на основе расположения папок, исключения расширений файлов или исключения контекстных файлов и папок
- Настраиваемые действия по исправлению на основе серьезности угроз или для конкретных угроз

Автономные версии Defender для конечной точки плана 1 и плана 2 не включают серверные лицензии. Для подключения серверов требуется другая лицензия, например Microsoft Defender для конечной точки для серверов или Microsoft Defender для серверов плана 1 или 2. Дополнительные сведения см. в статье Подключение Defender для конечной точки Windows Server.

Если вы малый или средний бизнес, использующий Microsoft Defender для бизнеса, вы можете получить Microsoft Defender для бизнеса - серверы.
Defender для конечной точки плана 1 или плана 2 - Индикаторы для файлов, сертификатов или IP-адресов, URL-адресов и доменов
- Исключения сокращения направлений атак
- Исключения управляемого доступа к папкам
Защитник для конечной точки, план 2 Исключения папок службы автоматизации (для автоматического исследования и исправления)

В следующих разделах более подробно описаны эти исключения:

Исключения антивирусной программы в Microsoft Defender

Microsoft Defender исключения антивирусной программы могут применяться к антивирусной проверке и (или) к защите в режиме реального времени. К этим исключениям относятся:

Автоматические исключения

Автоматические исключения (также называемые исключениями автоматических ролей сервера) включают исключения для ролей и компонентов сервера в Windows Server. Эти исключения не проверяются защитой в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.

Вот некоторые примеры.

  • Служба репликации файлов (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS-сервер
  • Сервер печати
  • Веб-сервер
  • Службы Windows Server Update Services
  • ... и многое другое.

Примечание.

Автоматические исключения для ролей сервера не поддерживаются в Windows Server 2012 R2. Для серверов, работающих Windows Server 2012 R2 с установленной ролью сервера доменные службы Active Directory (AD DS), исключения для контроллеров домена необходимо указывать вручную. См. раздел Исключения Active Directory.

Дополнительные сведения см. в разделе Исключения автоматических ролей сервера.

Встроенные исключения

Встроенные исключения включают определенные файлы операционной системы, которые исключаются антивирусной программой Microsoft Defender во всех версиях Windows (включая Windows 10, Windows 11 и Windows Server).

Вот некоторые примеры.

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • файлы клиентский компонент Центра обновления Windows
  • файлы Безопасность Windows
  • другое.

Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. Дополнительные сведения об этих исключениях см. в статье Microsoft Defender исключения антивирусной программы в Windows Server: встроенные исключения.

Пользовательские исключения

Пользовательские исключения включают указанные файлы и папки. Исключения для файлов, папок и процессов будут пропущены с помощью запланированных проверок, проверок по запросу и защиты в режиме реального времени. Исключения для файлов, открытых для процесса, не будут проверяться с помощью защиты в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.

Пользовательские действия по исправлению

Когда антивирусная программа Microsoft Defender обнаруживает потенциальную угрозу во время проверки, она пытается устранить обнаруженную угрозу. Вы можете определить настраиваемые действия по исправлению, чтобы настроить, как Microsoft Defender Антивирусная программа должна устранять определенные угрозы, следует ли создавать точку восстановления перед исправлением и когда следует удалять угрозы. Настройте действия по исправлению для обнаружения Microsoft Defender антивирусной программы.

Индикаторы Defender для конечной точки

Вы можете определить индикаторы с помощью определенных действий для сущностей, таких как файлы, IP-адреса, URL-адреса, домены и сертификаты. В Defender для конечной точки индикаторы называются индикаторами компрометации (IoCs), а реже — пользовательскими индикаторами. При определении индикаторов можно указать одно из следующих действий:

  • Разрешить — Defender для конечной точки не будет блокировать файлы, IP-адреса, URL-адреса или домены или сертификаты с индикаторами разрешения. (Используйте это действие с осторожностью.)

  • Аудит — файлы, IP-адреса, URL-адреса и домены с помощью индикаторов аудита отслеживаются, а при доступе к ним пользователям на портале Microsoft Defender создаются информационные оповещения.

  • Блокировка и исправление — файлы или сертификаты с индикаторами Block и Remediate блокируются и помещаются в карантин при обнаружении.

  • Выполнение блока — IP-адреса и URL-адреса/домены с индикаторами выполнения блокируются. Пользователи не могут получить доступ к этим расположениям.

  • Предупреждать . IP-адреса и URL-адреса и домены с индикаторами Предупреждения приводят к отображению предупреждающего сообщения, когда пользователь пытается получить доступ к этим расположениям. Пользователи могут обойти предупреждение и перейти к IP-адресу или URL-адресу или домену.

Важно!

В клиенте может быть до 15 000 индикаторов.

В следующей таблице перечислены типы IoC и доступные действия.

Тип индикатора Доступные действия
Файлы -Позволяют
-Аудита
-Предупредить
— Блочное выполнение
— Блокировка и исправление
IP-адреса и URL-адреса/домены -Позволяют
-Аудита
-Предупредить
— Блочное выполнение
Сертификаты -Позволяют
— Блокировка и исправление

Исключения сокращения направлений атак

Правила сокращения направлений атак (также известные как правила ASR) предназначены для определенного поведения программного обеспечения, например:

  • Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы
  • Выполнение скриптов, которые кажутся скрытыми или иным образом подозрительными
  • Поведение, которое приложения обычно не инициируют во время обычной повседневной работы

Иногда допустимые приложения демонстрируют поведение программного обеспечения, которое может быть заблокировано правилами сокращения направлений атак. Если это происходит в вашей организации, вы можете определить исключения для определенных файлов и папок. Такие исключения применяются ко всем правилам сокращения направлений атак. См . раздел Включение правил сокращения направлений атак.

Кроме того, обратите внимание, что хотя большинство исключений правил ASR не зависят от исключений антивирусной программы Microsoft Defender, некоторые правила ASR учитывают некоторые исключения Microsoft Defender антивирусной программы. См. статью Справочник по правилам сокращения направлений атак Microsoft Defender исключения антивирусной программы и правила ASR.

Исключения управляемого доступа к папкам

Контролируемый доступ к папкам отслеживает действия, обнаруженные приложениями как вредоносные, и защищает содержимое определенных (защищенных) папок на устройствах Windows. Контролируемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам, таким как общие системные папки (включая загрузочные секторы) и другие указанные папки. Вы можете разрешить определенным приложениям или подписанным исполняемым файлам доступ к защищенным папкам, определив исключения. См . раздел Настройка управляемого доступа к папкам.

Исключения папок службы автоматизации

Исключения папок автоматизации применяются к автоматическому исследованию и исправлению в Defender для конечной точки, который предназначен для изучения оповещений и принятия немедленных мер для устранения обнаруженных нарушений. По мере активации оповещений и выполнения автоматического расследования для каждого исследуемого доказательства выдается вердикт (вредоносный, подозрительный или угрозы не найдены). В зависимости от уровня автоматизации и других параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения вашей группой по операциям безопасности.

Вы можете указать папки, расширения файлов в определенном каталоге и имена файлов, которые будут исключены из возможностей автоматического исследования и исправления. Такие исключения папок автоматизации применяются ко всем устройствам, подключенным к Defender для конечной точки. Эти исключения по-прежнему подлежат проверке антивирусной программой. См. раздел Управление исключениями папок автоматизации.

Как оцениваются исключения и индикаторы

Большинство организаций имеют несколько различных типов исключений и индикаторов, чтобы определить, должны ли пользователи иметь доступ к файлу или процессу и использовать их. Исключения и индикаторы обрабатываются в определенном порядке, чтобы конфликты политик обрабатывались систематически.

На следующем рисунке показано, как исключения и индикаторы обрабатываются в Defender для конечной точки и Microsoft Defender антивирусной программы.

Снимок экрана: порядок, в котором оцениваются исключения и индикаторы.

Вот как это работает:

  1. Если обнаруженный файл или процесс не разрешен Защитник Windows Элемент управления приложениями и AppLocker, он блокируется. В противном случае выполняется Microsoft Defender антивирусная программа.

  2. Если обнаруженный файл или процесс не является частью исключения для антивирусной программы Microsoft Defender, они блокируются. В противном случае Defender для конечной точки проверяет наличие пользовательского индикатора для файла или процесса.

  3. Если обнаруженный файл или процесс имеет индикатор Блокировать или Предупредить, выполняется это действие. В противном случае файл и процесс разрешены, и он переходит к оценке с помощью правил сокращения направлений атак, управляемого доступа к папкам и защиты SmartScreen.

  4. Если обнаруженный файл или процесс не заблокирован правилами сокращения направлений атаки, управляемым доступом к папкам или защитой SmartScreen, он переходит к Microsoft Defender антивирусной программы.

  5. Если обнаруженный файл или процесс не разрешен Microsoft Defender Антивирусная программа, проверяется действие на основе идентификатора угрозы.

Как обрабатываются конфликты политик

В случаях, когда индикаторы Defender для конечной точки конфликтуют, вот что следует ожидать:

  • При наличии конфликтующих индикаторов файлов применяется индикатор, использующий наиболее безопасный хэш. Например, SHA256 имеет приоритет над SHA-1, который имеет приоритет над MD5.

  • Если есть конфликтующие индикаторы URL-адресов, используется более строгий индикатор. Для Microsoft Defender SmartScreen применяется индикатор, использующий самый длинный URL-путь. Например, www.dom.ain/admin/ имеет приоритет над www.dom.ain. (Защита сети применяется к доменам, а не к вложенным страницам в домене.)

  • Если для файла или процесса существуют аналогичные индикаторы, которые имеют разные действия, индикатор, ограниченный определенной группой устройств, имеет приоритет над индикатором, предназначенным для всех устройств.

Как автоматизированное исследование и исправление работает с индикаторами

Возможности автоматического исследования и исправления в Defender для конечной точки сначала определяют вердикт по каждому элементу доказательства, а затем принимают меры в зависимости от индикаторов Defender для конечной точки. Таким образом, файл или процесс может получить вердикт "хорошо" (что означает, что угрозы не найдены) и по-прежнему заблокированы, если есть индикатор с этим действием. Аналогичным образом, сущность может получить вердикт "плохой" (что означает, что она определена как вредоносная) и по-прежнему может быть разрешена, если есть индикатор с этим действием.

На следующей схеме показано , как автоматизированное исследование и исправление работает с индикаторами:

Снимок экрана: автоматическое исследование, исправление и индикаторы.

Другие серверные рабочие нагрузки и исключения

Если ваша организация использует другие серверные рабочие нагрузки, такие как Exchange Server, SharePoint Server или SQL Server, имейте в виду, что только встроенные роли сервера (которые могут стать необходимыми для программного обеспечения, которое будет установлено позже) на Windows Server исключаются функцией автоматического исключения (и только при использовании расположения установки по умолчанию). При отключении автоматических исключений, скорее всего, потребуется определить исключения антивирусной программы для этих других рабочих нагрузок или для всех рабочих нагрузок.

Ниже приведены некоторые примеры технической документации для определения и реализации необходимых исключений:

В зависимости от того, что вы используете, может потребоваться обратиться к документации по этой рабочей нагрузке сервера.

Совет

Совет по производительности Из-за различных факторов Microsoft Defender антивирусная программа, как и другое антивирусное программное обеспечение, может вызвать проблемы с производительностью на конечных точках. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

  • Основные пути, влияющие на время сканирования
  • Основные файлы, влияющие на время сканирования
  • Основные процессы, влияющие на время сканирования
  • Основные расширения файлов, влияющие на время сканирования
  • Сочетания, такие как:
    • top files per extension
    • верхние пути на расширение
    • top процессов на путь
    • большее число сканирований на файл
    • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.