排除概觀
適用於:
- Microsoft Defender 防毒軟體
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
注意事項
作為Microsoft MVP,Fabian Bader 參與本文並提供具體的意見反應。
適用於端點的 Microsoft Defender 包含各種功能,可防止、偵測、調查及回應進階網路威脅。 這些功能包括新一代保護 (,其中包括 Microsoft Defender 防病毒軟體) 。
如同任何端點保護或防病毒軟體解決方案,有時適用於端點的 Defender 或 Microsoft Defender 防病毒軟體可能會將實際上不是威脅的檔案、資料夾或進程偵測為惡意。 即使這些實體不是真正的威脅,也可以封鎖或傳送至隔離區。
本文說明可定義的各種排除類型,或可針對適用於端點的Defender和 Microsoft Defender防病毒軟體採取的動作,以協助管理這些情況。
注意
定義排除專案可降低適用於端點的Defender和Microsoft Defender防病毒軟體所提供的保護層級。 使用排除做為最後手段,並務必只定義必要的排除專案。 請務必定期檢閱您的排除專案,並移除您不再需要的排除專案。 請參閱 有關排除 和 常見錯誤的要避免重點。
排除類型
下表摘要說明適用於端點的Defender和 Microsoft Defender防病毒軟體中的不同排除類型和功能。 選取每個類型以查看其詳細資訊。
提示
- 適用於端點的Defender方案1可作為獨立方案使用,並包含在Microsoft 365 E3中。
- 適用於端點的 Defender 方案 2 可作為獨立方案使用,並包含在 Microsoft 365 E5 中。
- 如果您有 Microsoft 365 E3 或 E5,請務必設定適用於端點的 Defender 功能。
| 排除類型 | 組態 | 描述 |
|---|---|---|
| 自動 Microsoft Defender 防病毒軟體排除專案 | 自動 | Windows Server 中伺服器角色和功能的自動排除。 當您在 Windows Server 2016 或更新版本上安裝角色時,Microsoft Defender 防病毒軟體會包含伺服器角色的自動排除專案,以及安裝角色時新增的任何檔案。 注意:適用於 Windows Server 2016 和更新版本的作用中角色。 |
| 內建 Microsoft Defender 防病毒軟體排除專案 | 自動 | Microsoft Defender 防病毒軟體包含所有 Windows 版本上作業系統檔案的內建排除專案。 |
| 自訂 Microsoft Defender 防病毒軟體排除專案 | 客戶 | 您可以針對偵測到並識別為惡意的檔案、資料夾或進程新增排除範圍,即使它不是威脅也一樣。 排程掃描、隨選掃描和即時保護會略過您排除的檔案、資料夾或進程。 |
| 適用於端點的 Defender 攻擊面縮小排除專案 | 客戶 | 如果受攻擊面的兌換規則導致貴組織中的行為無法排除,您可以定義特定檔案和資料夾的排除專案。 這類排除專案會套用至所有受攻擊面縮小規則。 |
| 適用於端點的Defender指標 | 客戶 | 您可以使用實體的特定動作來定義指標,例如檔案、IP 位址、URL/網域和憑證。 當您定義指標時,您可以指定「允許」之類的動作,其中適用於端點的 Defender 不會封鎖檔案、IP 位址、URL/網域或具有允許指標的憑證。 |
| 適用於端點的 Defender 受控資料夾存取排除範圍 | 客戶 | 您可以藉由定義排除專案,允許特定應用程式或已簽署的可執行檔存取受保護的資料夾。 |
| 適用於端點的 Defender 自動化資料夾排除專案 | 客戶 | 適用於端點的 Defender 中的自動化調查和補救會檢查警示,並立即採取動作來自動解決偵測到的缺口。 您可以指定資料夾、特定目錄中的擴展名,以及要從自動化調查和補救功能中排除的檔名。 |
注意事項
Microsoft Defender 防病毒軟體排除專案可以套用至防病毒軟體掃描和/或實時保護。
注意事項
適用於端點的 Defender 方案 1 和方案 2 的獨立版本不包含伺服器授權。 若要讓伺服器上線,您需要另一個授權,例如伺服器的 適用於端點的 Microsoft Defender 或伺服器方案 1 或 2 的 Microsoft Defender。 若要深入瞭解,請參閱 適用於端點的Defender上線 Windows Server。
如果您是使用 適用於企業的 Microsoft Defender 的中小型企業,您可以取得 適用於商業伺服器的 Microsoft Defender。|
下列各節會更詳細地描述這些排除專案。
自動排除
自動排除 (也稱為 自動伺服器角色排除) 包括 Windows Server 中伺服器角色和功能的排除專案。 這些排除專案不會由 即時保護 掃描,但仍受限於 快速、完整或隨選的防病毒軟體掃描。
範例包含:
- 檔案復寫服務 (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS 伺服器
- 列印伺服器
- 網頁伺服器
- Windows Server Update Services
- ...和更多。
注意事項
Windows Server 2012 R2 不支援伺服器角色的自動排除。 針對執行 Windows Server 2012 R2 且已安裝 Active Directory 網域服務 (AD DS) 伺服器角色的伺服器,必須手動指定域控制器的排除專案。 請參閱 Active Directory 排除專案。
如需詳細資訊,請參閱 自動排除伺服器角色。
內建排除專案
內建排除專案包括所有 Windows (版本上 Microsoft Defender 防病毒軟體排除的特定作業系統檔案,包括 Windows 10、Windows 11 和 Windows Server) 。
範例包含:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update 檔案
- Windows 安全性 檔案
- 還有更多。
隨著威脅環境的變更,Windows 中的內建排除專案清單會保持在最新狀態。 若要深入瞭解這些排除專案,請參閱 Microsoft Defender Windows Server 上的防病毒軟體排除專案:內建排除專案。
自定義排除專案
自訂排除專案 包括您指定的檔案和資料夾。 排程掃描、隨選掃描和即時保護會略過檔案、資料夾和進程的排除範圍。 進程開啟檔案的排除專案不會由 即時保護 進行掃描,但仍受限於 快速、完整或隨選防病毒軟體掃描。
自定義補救動作
當 Microsoft Defender 防病毒軟體在執行掃描時偵測到潛在威脅時,會嘗試補救或移除偵測到的威脅。 您可以定義自定義補救動作,以設定 Microsoft Defender 防病毒軟體應如何解決特定威脅、是否應在補救之前建立還原點,以及何時應移除威脅。 設定 Microsoft Defender 防病毒軟體偵測的補救動作。
受攻擊面縮小排除專案
受攻擊面縮小規則 (也稱為 ASR 規則,) 以特定軟體行為為目標,例如:
- 啟動嘗試下載或執行檔案的可執行檔和指令碼
- 執行看似模糊化或可疑的腳本
- 執行應用程式通常不會在一般日常工作期間起始的行為
有時候,合法的應用程式會展現可能遭到受攻擊面縮小規則封鎖的軟體行為。 如果是在您的組織中發生,您可以定義特定檔案和資料夾的排除專案。 這類排除專案會套用至所有受攻擊面縮小規則。 請參閱 啟用受攻擊面縮小規則。
另請注意,雖然大部分的 ASR 規則排除專案與 Microsoft Defender 防病毒軟體排除項目無關,但某些 ASR 規則確實接受一些 Microsoft Defender 防病毒軟體排除專案。 請參閱受攻擊面縮小規則參考 - Microsoft Defender 防病毒軟體排除專案和 ASR 規則。
適用於端點的Defender指標
您可以使用實體的特定動作來定義 指標 ,例如檔案、IP 位址、URL/網域和憑證。 在適用於端點的 Defender 中,指標稱為「入侵指標 (IoC) ,而較不常稱為自定義指標。 當您定義指標時,可以指定下列其中一個動作:
允許 – 適用於端點的 Defender 不會封鎖具有允許指標的檔案、IP 位址、URL/網域或憑證。 (謹慎使用此動作。)
稽核 – 具有稽核指標的檔案、IP 位址和 URL/網域會受到監視,而且當使用者存取它們時,會在 Microsoft Defender 入口網站中產生資訊警示。
封鎖和補救 – 偵測到具有封鎖和補救指標的檔案或憑證會遭到封鎖和隔離。
封鎖執行 – 封鎖具有區塊執行指標的IP位址和URL/網域。 用戶無法存取這些位置。
警告 – 具有警告指標的IP位址和URL/網域會在用戶嘗試存取這些位置時顯示警告訊息。 用戶可以選擇略過警告,並繼續進行IP位址或URL/網域。
重要事項
您的租使用者中最多可以有15,000個指標。
下表摘要說明 IoC 類型與可用的動作:
| 指標類型 | 可用的動作 |
|---|---|
| Files | -允許 -審計 -警告 - 封鎖執行 - 封鎖和補救 |
| IP 位址和網址和網址 | -允許 -審計 -警告 - 封鎖執行 |
| 憑證 | -允許 - 封鎖和補救 |
受控資料夾存取排除專案
受控資料夾存取權 會監視應用程式中偵測到惡意的活動,並保護 Windows 裝置上特定 (受保護) 資料夾的內容。 受控資料夾存取只允許受信任的應用程式存取受保護的資料夾,例如一般系統資料夾 (包括開機扇區) 以及您指定的其他資料夾。 您可以藉由定義排除專案,允許特定應用程式或已簽署的可執行檔存取受保護的資料夾。 請參閱 自定義受控資料夾存取權。
自動化資料夾排除專案
自動化資料夾排除專案適用於適用於端點的Defender中的 自動化調查和補救 ,其設計目的是檢查警示並立即採取行動來解決偵測到的缺口。 當警示觸發並執行自動化調查時,系統會針對每個調查證據 (達到「惡意」、「可疑」或「找不到任何威脅」的決策) 。 根據 自動化層級 和其他安全性設定,補救動作可能會自動發生,或只有在安全性作業小組核准時才會發生。
您可以指定資料夾、特定目錄中的擴展名,以及要從自動化調查和補救功能中排除的檔名。 這類自動化資料夾排除專案適用於已上線至適用於端點的Defender的所有裝置。 這些排除專案仍受限於防病毒軟體掃描。 請 參閱管理自動化資料夾排除專案。
如何評估排除專案和指標
大部分的組織都有數種不同類型的排除和指標,可判斷使用者是否能夠存取及使用檔案或程式。 排除專案和指標會以特定順序處理,以便 有系統地處理原則衝突。
下圖摘要說明如何跨適用於端點的Defender和 Microsoft Defender 防病毒軟體處理排除和指標:
以下為運作方式:
如果 Windows Defender 應用程控和 AppLocker 不允許偵測到的檔案/進程,則會予以封鎖。 否則,它會繼續 Microsoft Defender 防病毒軟體。
如果偵測到的檔案/進程不是排除 Microsoft Defender 防病毒軟體的一部分,則會遭到封鎖。 否則,適用於端點的 Defender 會檢查檔案/進程的自定義指標。
如果偵測到的檔案/進程具有封鎖或警告指標,則會採取該動作。 否則,允許檔案/進程,並繼續依受攻擊面縮小規則、受控資料夾存取權和SmartScreen保護進行評估。
如果偵測到的檔案/進程未遭到受攻擊面縮小規則、受控資料夾存取或SmartScreen保護封鎖,則會繼續 Microsoft Defender防病毒軟體。
如果 Microsoft Defender 防病毒軟體不允許偵測到的檔案/進程,則會根據其威脅標識符來檢查動作。
如何處理原則衝突
在適用於端點的 Defender 指標發生衝突的情況下,以下是預期的情況:
如果有衝突的檔案指標,則會套用使用最安全哈希的指標。 例如,SHA256 的優先順序高於SHA-1,其優先順序高於MD5。
如果有衝突的 URL 指標,則會使用更嚴格的指標。 針對 Microsoft Defender SmartScreen,會套用使用最長 URL 路徑的指標。 例如,
www.dom.ain/admin/優先權高於www.dom.ain。 (網路保護 適用於網域,而不是 domain.)如果具有不同動作的檔案或進程有類似的指標,則以特定裝置群組為範圍的指標優先於以所有裝置為目標的指標。
自動化調查和補救如何搭配指標運作
適用於端點的 Defender 中的自動化調查和補救功能會先決定每個辨識項的決策,然後根據適用於端點的 Defender 指標採取動作。 因此,檔案/程式可能會得到「良好」的決策 (這表示找不到任何威脅) ,而且如果該動作有指標,仍會遭到封鎖。 同樣地,實體可能會收到「不正確」 (的判斷,這表示它判斷為惡意) ,如果有該動作的指標,仍可允許。
下圖顯示 自動化調查和補救如何與指標搭配運作:
其他伺服器工作負載和排除專案
如果您的組織使用其他伺服器工作負載,例如 Exchange Server、SharePoint Server 或 SQL Server,請注意,只有內建伺服器角色 (可能是您稍後在 Windows Server 上安裝) 軟體的必要條件,則只有在使用預設安裝位置時,才會排除自動排除功能 (,而且只有在使用預設安裝位置時) 。 如果您停用自動排除專案,您可能需要為這些其他工作負載定義防病毒軟體排除專案,或針對所有工作負載定義防病毒軟體排除專案。
以下是一些技術檔範例,可識別並實作您需要的排除專案:
根據您使用的專案,您可能需要參閱該伺服器工作負載的檔。
提示
效能提示由於各種因素,Microsoft Defender 防病毒軟體和其他防病毒軟體一樣,可能會在端點裝置上造成效能問題。 在某些情況下,您可能需要調整 Microsoft Defender 防病毒軟體的效能,以減輕這些效能問題。 Microsoft效能 分析器 是一種 PowerShell 命令行工具,可協助判斷哪些檔案、檔案路徑、進程和擴展名可能會造成效能問題;一些範例包括:
- 影響掃描時間的最上層路徑
- 影響掃描時間的熱門檔案
- 影響掃描時間的熱門程式
- 影響掃描時間的最上層擴展名
- 組合,例如:
- 每個擴充功能的頂端檔案
- 每個擴充功能的最上層路徑
- 每個路徑的前置進程
- 每個檔案的最上層掃描
- 每個進程每個檔案的掃描數目最高
您可以使用效能分析器所收集的信息,進一步評估效能問題並套用補救動作。 請參閱:Microsoft Defender 防病毒軟體的效能分析器。
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。