Обзор исключений

Область применения:

• Антивирусная программа в Microsoft Defender
• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)

Microsoft Defender для конечной точки включает широкий спектр возможностей по предотвращению, обнаружению, расследованию и реагированию на сложные киберугрозы. Эти возможности включают защиту нового поколения (которая включает в себя Microsoft Defender антивирусную программу).

Как и в случае с любой защитой конечных точек или антивирусным решением, иногда файлы, папки или процессы, которые на самом деле не являются угрозой, могут быть обнаружены как вредоносные с помощью Defender для конечной точки или антивирусной программы Microsoft Defender. Эти сущности могут быть заблокированы или отправлены в карантин, даже если они на самом деле не представляют угрозы.

В этой статье описываются различные типы исключений, которые можно определить, или действия, которые можно выполнить для Defender для конечной точки и Microsoft Defender антивирусной программы для управления этими ситуациями.

Типы исключений

В следующей таблице перечислены различные типы исключений и возможности в Defender для конечной точки и антивирусной Microsoft Defender. Выберите каждый тип, чтобы просмотреть дополнительные сведения о нем.

Эти исключения подробно описаны в следующих разделах.

Автоматические исключения

Автоматические исключения (также называемые исключениями автоматических ролей сервера) включают исключения для ролей и компонентов сервера в Windows Server. Эти исключения не проверяются защитой в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.

Вот некоторые примеры.

• Служба репликации файлов (FRS)
• Hyper-V
• SYSVOL
• Active Directory
• DNS-сервер
• Сервер печати
• Веб-сервер
• Службы Windows Server Update Services
• ... и многое другое.

Дополнительные сведения см. в разделе Исключения автоматических ролей сервера.

Встроенные исключения

Встроенные исключения включают определенные файлы операционной системы, которые исключаются антивирусной программой Microsoft Defender во всех версиях Windows (включая Windows 10, Windows 11 и Windows Server).

Вот некоторые примеры.

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %allusersprofile%\NTUser.pol
• файлы клиентский компонент Центра обновления Windows
• файлы Безопасность Windows
• другое.

Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. Дополнительные сведения об этих исключениях см. в статье Microsoft Defender исключения антивирусной программы в Windows Server: встроенные исключения.

Пользовательские исключения

Пользовательские исключения включают указанные файлы и папки. Исключения для файлов, папок и процессов будут пропущены с помощью запланированных проверок, проверок по запросу и защиты в режиме реального времени. Исключения для файлов, открытых для процесса, не будут проверяться с помощью защиты в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.

Пользовательские действия по исправлению

Когда антивирусная программа Microsoft Defender обнаруживает потенциальную угрозу во время проверки, она пытается устранить обнаруженную угрозу. Вы можете определить настраиваемые действия по исправлению, чтобы настроить, как Microsoft Defender Антивирусная программа должна устранять определенные угрозы, следует ли создавать точку восстановления перед исправлением и когда следует удалять угрозы. Настройте действия по исправлению для обнаружения Microsoft Defender антивирусной программы.

Исключения сокращения направлений атак

Правила сокращения направлений атак (также известные как правила ASR) предназначены для определенного поведения программного обеспечения, например:

• Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы
• Выполнение скриптов, которые кажутся скрытыми или иным образом подозрительными
• Поведение, которое приложения обычно не инициируют во время обычной повседневной работы

Иногда допустимые приложения демонстрируют поведение программного обеспечения, которое может быть заблокировано правилами сокращения направлений атак. Если это происходит в вашей организации, вы можете определить исключения для определенных файлов и папок. Такие исключения применяются ко всем правилам сокращения направлений атак. См . раздел Включение правил сокращения направлений атак.

Кроме того, обратите внимание, что хотя большинство исключений правил ASR не зависят от исключений антивирусной программы Microsoft Defender, некоторые правила ASR учитывают некоторые исключения Microsoft Defender антивирусной программы. См. статью Справочник по правилам сокращения направлений атак Microsoft Defender исключения антивирусной программы и правила ASR.

Индикаторы Defender для конечной точки

Вы можете определить индикаторы с помощью определенных действий для сущностей, таких как файлы, IP-адреса, URL-адреса, домены и сертификаты. В Defender для конечной точки индикаторы называются индикаторами компрометации (IoCs), а реже — пользовательскими индикаторами. При определении индикаторов можно указать одно из следующих действий:

• Разрешить — Defender для конечной точки не будет блокировать файлы, IP-адреса, URL-адреса или домены или сертификаты с индикаторами разрешения. (Используйте это действие с осторожностью.)

• Аудит — файлы, IP-адреса, URL-адреса и домены с помощью индикаторов аудита отслеживаются, а при доступе к ним пользователям на портале Microsoft Defender создаются информационные оповещения.

• Блокировка и исправление — файлы или сертификаты с индикаторами Block и Remediate блокируются и помещаются в карантин при обнаружении.

• Выполнение блока — IP-адреса и URL-адреса/домены с индикаторами выполнения блокируются. Пользователи не могут получить доступ к этим расположениям.

• Предупреждать . IP-адреса и URL-адреса и домены с индикаторами Предупреждения приводят к отображению предупреждающего сообщения, когда пользователь пытается получить доступ к этим расположениям. Пользователи могут обойти предупреждение и перейти к IP-адресу или URL-адресу или домену.

В следующей таблице перечислены типы IoC и доступные действия.

Исключения управляемого доступа к папкам

Контролируемый доступ к папкам отслеживает действия, обнаруженные приложениями как вредоносные, и защищает содержимое определенных (защищенных) папок на устройствах Windows. Контролируемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам, таким как общие системные папки (включая загрузочные секторы) и другие указанные папки. Вы можете разрешить определенным приложениям или подписанным исполняемым файлам доступ к защищенным папкам, определив исключения. См . раздел Настройка управляемого доступа к папкам.

Исключения папок службы автоматизации

Исключения папок автоматизации применяются к автоматическому исследованию и исправлению в Defender для конечной точки, который предназначен для изучения оповещений и принятия немедленных мер для устранения обнаруженных нарушений. По мере активации оповещений и выполнения автоматического расследования для каждого исследуемого доказательства выдается вердикт (вредоносный, подозрительный или угрозы не найдены). В зависимости от уровня автоматизации и других параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения вашей группой по операциям безопасности.

Вы можете указать папки, расширения файлов в определенном каталоге и имена файлов, которые будут исключены из возможностей автоматического исследования и исправления. Такие исключения папок автоматизации применяются ко всем устройствам, подключенным к Defender для конечной точки. Эти исключения по-прежнему подлежат проверке антивирусной программой. См. раздел Управление исключениями папок автоматизации.

Как оцениваются исключения и индикаторы

Большинство организаций имеют несколько различных типов исключений и индикаторов, чтобы определить, должны ли пользователи иметь доступ к файлу или процессу и использовать их. Исключения и индикаторы обрабатываются в определенном порядке, чтобы конфликты политик обрабатывались систематически.

На следующем рисунке показано, как исключения и индикаторы обрабатываются в Defender для конечной точки и Microsoft Defender антивирусной программы.

Вот как это работает:

1. Если обнаруженный файл или процесс не разрешен элементом управления приложениями в Защитнике Windows и AppLocker, он блокируется. В противном случае выполняется Microsoft Defender антивирусная программа.

2. Если обнаруженный файл или процесс не является частью исключения для антивирусной программы Microsoft Defender, они блокируются. В противном случае Defender для конечной точки проверяет наличие пользовательского индикатора для файла или процесса.

3. Если обнаруженный файл или процесс имеет индикатор Блокировать или Предупредить, выполняется это действие. В противном случае файл и процесс разрешены, и он переходит к оценке с помощью правил сокращения направлений атак, управляемого доступа к папкам и защиты SmartScreen.

4. Если обнаруженный файл или процесс не заблокирован правилами сокращения направлений атаки, управляемым доступом к папкам или защитой SmartScreen, он переходит к Microsoft Defender антивирусной программы.

5. Если обнаруженный файл или процесс не разрешен Microsoft Defender Антивирусная программа, проверяется действие на основе идентификатора угрозы.

Как обрабатываются конфликты политик

В случаях, когда индикаторы Defender для конечной точки конфликтуют, вот что следует ожидать:

• При наличии конфликтующих индикаторов файлов применяется индикатор, использующий наиболее безопасный хэш. Например, SHA256 имеет приоритет над SHA-1, который имеет приоритет над MD5.

• Если есть конфликтующие индикаторы URL-адресов, используется более строгий индикатор. Для Microsoft Defender SmartScreen применяется индикатор, использующий самый длинный URL-путь. Например, www.dom.ain/admin/ имеет приоритет над www.dom.ain. (Защита сети применяется к доменам, а не к вложенным страницам в домене.)

• Если для файла или процесса существуют аналогичные индикаторы, которые имеют разные действия, индикатор, ограниченный определенной группой устройств, имеет приоритет над индикатором, предназначенным для всех устройств.

Как автоматизированное исследование и исправление работает с индикаторами

Возможности автоматического исследования и исправления в Defender для конечной точки сначала определяют вердикт по каждому элементу доказательства, а затем принимают меры в зависимости от индикаторов Defender для конечной точки. Таким образом, файл или процесс может получить вердикт "хорошо" (что означает, что угрозы не найдены) и по-прежнему заблокированы, если есть индикатор с этим действием. Аналогичным образом, сущность может получить вердикт "плохой" (что означает, что она определена как вредоносная) и по-прежнему может быть разрешена, если есть индикатор с этим действием.

На следующей схеме показано , как автоматизированное исследование и исправление работает с индикаторами:

Другие серверные рабочие нагрузки и исключения

Если ваша организация использует другие серверные рабочие нагрузки, такие как Exchange Server, SharePoint Server или SQL Server, имейте в виду, что только встроенные роли сервера (которые могут стать необходимыми для программного обеспечения, которое будет установлено позже) на Windows Server исключаются функцией автоматического исключения (и только при использовании расположения установки по умолчанию). При отключении автоматических исключений, скорее всего, потребуется определить исключения антивирусной программы для этих других рабочих нагрузок или для всех рабочих нагрузок.

Ниже приведены некоторые примеры технической документации для определения и реализации необходимых исключений:

• Запуск антивирусной программы на Exchange Server
• Папки для исключения из антивирусной программы в SharePoint Server
• Выбор антивирусного программного обеспечения для SQL Server

В зависимости от того, что вы используете, может потребоваться обратиться к документации по этой рабочей нагрузке сервера.

См. также

• Отправка, подавление и исключения
• Важные моменты об исключениях
• Распространенные ошибки, которых следует избегать при определении исключений