閱讀英文

共用方式為


在macOS上設定及驗證適用於端點的 Microsoft Defender 排除專案

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本文提供如何定義適用於隨選掃描的排除專案,以及即時保護和監視的資訊。

重要

本文所述的排除專案不適用於 Mac 上其他適用於端點的 Defender 功能,包括端點偵測和回應 (EDR) 。 您使用本文所述的方法排除的檔案,仍然可以觸發 EDR 警示和其他偵測。

您可以從 Mac 上的適用於端點的 Defender 掃描中排除特定檔案、資料夾、進程和進程開啟的檔案。

排除項目有助於避免對組織唯一或自定義的檔案或軟體進行不正確的偵測。 它們也有助於減輕 Mac 上適用於端點的 Defender 所造成的效能問題。

若要縮小您需要排除的程式和/或路徑和/或延伸模組,請使用 即時保護統計數據

警告

定義排除專案可降低 Mac 上適用於端點的 Defender 所提供的保護。 您應該一律評估與實作排除專案相關聯的風險,而且應該只排除您確信不是惡意的檔案。

支援的排除類型

下表顯示 Mac 上適用於端點的 Defender 所支援的排除類型。

排除 定義 範例
副檔名 所有擴展名的檔案,在計算機上的任何位置 .test
檔案 完整路徑所識別的特定檔案 /var/log/test.log

/var/log/*.log

/var/log/install.?.log

資料夾 指定資料夾下的所有檔案 (遞歸) /var/log/

/var/*/

程序 特定進程 (由完整路徑或檔名指定) 以及其開啟的所有檔案 /bin/cat

cat

c?t

檔案、資料夾和行程排除項目支援下列通配符:

萬用字元 描述 範例
* 比對任何數目的任何字元,包括無 (請注意,如果路徑結尾未使用此通配符,則只會取代一個資料夾) /var/*/tmp 包含中的任何檔案 /var/abc/tmp 及其子目錄,以及 /var/def/tmp 及其子目錄。 不包含 /var/abc/log/var/def/log

/var/*/ 包含中的任何檔案 /var 及其子目錄。

? 比對任何單一字元 file?.log包含和 file2.log,但不包含file1.logfile123.log

注意

在路徑結尾使用 * 通配符時,它會比對通配符父系下的所有檔案和子目錄。

產品會在評估排除項目時嘗試解析韌行連結。 當排除範圍包含通配符或磁碟區上 Data 目標檔案 () 不存在時,韌連結解析無法運作。

在macOS上為適用於端點的 Microsoft Defender 新增反惡意代碼排除的最佳做法。

  1. 記下為何將排除專案新增至只有 SecOps 和/或安全性系統管理員可以存取的中央位置。 例如,列出提交者、日期、應用程式名稱、原因和排除資訊。

  2. 請務必擁有排除專案的到期日*

    *除了ISV指出沒有其他調整可防止誤判或較高CPU使用率發生的應用程式以外。

  3. 避免移轉非Microsoft反惡意代碼排除專案,因為它們可能不再適用或適用於macOS上適用於端點的 Microsoft Defender。

  4. 考慮最上層 (較安全) 到底部 (最不安全) 的排除順序:

    1. 指標 - 憑證 - 允許

      1. 新增擴充驗證 (EV) 程式代碼簽署。
    2. 指標 - 檔案哈希 - 允許

      1. 例如,如果進程或精靈不常變更,應用程式就不會有每月安全性更新。
    3. 進程 & 路徑

    4. 程序

    5. 路徑

    6. 副檔名

如何設定排除清單

使用適用於端點安全性設定的 Microsoft Defender 管理控制台

  1. 登入 Microsoft Defender 入口網站

  2. 移至 [ 組態管理>] [端點安全策略>] [建立新原則]

    • 選取 [平臺:macOS]
    • 選取範本:Microsoft Defender 防病毒軟體排除專案
  3. 選取 [建立原則]

  4. 輸入名稱和描述,然後選取 [ 下一步]

  5. 展開 [防病毒軟體引擎],然後選取 [ 新增]

  6. 取 [路徑 ] 或 [擴展名 ] 或 [ 檔名]

  7. 取 [設定實例 ],並視需要新增排除專案。 然後選取 [下一步]

  8. 將排除專案指派給群組,然後選取 [下一步]

  9. 選取 [儲存]

從管理主控台

如需如何設定 JAMF、Intune 或其他管理主控台排除專案的詳細資訊,請參閱 設定 Mac 上適用於端點的 Defender 的喜好設定

從使用者介面

  1. 開啟適用於端點的 Defender 應用程式,並流覽至 [ 管理設定>新增或移除排除...],如下列螢幕快照所示:

    [管理排除範圍] 頁面

  2. 選取您想要新增的排除類型,並遵循提示。

使用 EICAR 測試檔案驗證排除清單

您可以使用 curl 下載測試檔案來驗證排除清單是否正常運作。

在下列 Bash 代碼段中,將 取代 test.txt 為符合排除規則的檔案。 例如,如果您已排除延伸模組 .testing ,請將 取代 test.txttest.testing。 如果您要測試路徑,請確定您在該路徑內執行命令。

curl -o test.txt https://secure.eicar.org/eicar.com.txt

如果 Mac 上適用於端點的 Defender 報告惡意代碼,則規則無法運作。 如果沒有惡意代碼報告,且下載的檔案存在,則排除作業正在運作。 您可以開啟 檔案,確認內容與 EICAR 測試檔案網站上所述的內容相同。

如果您沒有因特網存取權,您可以建立自己的 EICAR 測試檔案。 使用下列 Bash 命令,將 EICAR 字串寫入新的文字檔:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

您也可以將字串複製到空白文本檔,並嘗試使用檔名或您嘗試排除的資料夾來儲存它。

允許威脅

除了排除要掃描的特定內容之外,您也可以將產品設定為不要偵測威脅 (由威脅名稱) 識別的某些威脅類別。 使用這項功能時,您應該小心謹慎,因為它可能會讓您的裝置不受保護。

若要將威脅名稱新增至允許的清單,請執行下列命令:

mdatp threat allowed add --name [threat-name]

您可以使用下列命令,取得與裝置上偵測相關聯的威脅名稱:

mdatp threat list

例如,若要將 (與 EICAR 偵測) 相關聯的威脅名稱新 EICAR-Test-File (not a virus) 增至允許的清單,請執行下列命令:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。