Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для конечной точки и Defender для бизнеса включают широкий спектр возможностей для предотвращения, обнаружения, исследования и реагирования на расширенные киберугрозы. Microsoft предварительно настраивает продукт, чтобы он хорошо работал в операционной системе, где она установлена. В большинстве случаев другие изменения не требуются.
Несмотря на предварительно настроенные параметры, иногда возникает непредвиденное поведение. Рассмотрим пример.
- Ложные срабатывания: файлы, папки или процессы, которые не являются угрозами, ошибочно определяются как вредоносные в Microsoft Defender for Endpoint или Microsoft Defender Antivirus. Эти сущности блокируются или отправляются в карантин, даже если они не являются угрозой.
- Проблемы с производительностью: системы испытывают непредвиденные проблемы с производительностью при работе с Defender для конечной точки или антивирусной программы Microsoft Defender.
- Проблемы совместимости приложений: приложения испытывают непредвиденное поведение при работе с Defender для конечной точки или антивирусной программы Microsoft Defender.
В следующих разделах описаны типы исключений, доступные в Defender для конечных точек и Microsoft Defender Antivirus, а также когда следует использовать каждый из них. Сводную информацию о том, какие средства управления можно использовать для настройки каждого типа исключений, см. в Справочнике по исключениям для Microsoft Defender для конечной точки.
Note
Создание исключений или индикаторов — это один из возможных способов устранения проблем с Microsoft Defender для конечных точек или антивирусом Microsoft Defender, но часто можно сначала предпринять другие шаги.
Типы исключений
Существует несколько типов исключений, которые следует учитывать. Некоторые типы исключений влияют на несколько функций в Defender для конечных точек, тогда как другие относятся только к Антивирусу Microsoft Defender.
Сведения о индикаторах, которые являются связанными, но отдельным механизмом для разрешения или блокировки определенных файлов, IP-адресов, URL-адресов и сертификатов, см. в разделе "Обзор индикаторов" в Microsoft Defender для конечной точки.
В следующих таблицах перечислены типы исключений, которые можно определить, сгруппированы ли они на всех платформах или только на Windows. Обратите внимание на область действия каждого типа исключений.
Кроссплатформенные исключения: эти исключения доступны на устройствах Windows, macOS и Linux.
Тип исключения Объем Случаи использования Пользовательские исключения Антивирус
Правила сокращения направлений атак (СНА)
Network ProtectionФайл, папка или процесс идентифицируются как вредоносные, даже если они не представляют угрозы.
При работе приложения с Defender for Endpoint возникают непредвиденные проблемы с производительностью или совместимостью приложения.
В Windows, некоторые правила ASR учитывают исключения для файлов и папок (путей) в Microsoft Defender Antivirus.Индикаторы разрешённых файлов и сертификатов Антивирус
Правила ASR
Контролируемый доступ к папкам (CFA)Файл или процесс, подписанный сертификатом, определяется как вредоносный, даже если это не так. Индикаторы доменов и URL-адресов Network Protection
SmartScreen
Фильтрация веб-содержимогоSmartScreen сообщает о ложном срабатывании.
Вы хотите переопределить блок фильтрации веб-содержимого на определенном сайте.исключения только для Windows. Эти исключения доступны только на Windows устройствах.
Тип исключения Объем Случаи использования Предварительно настроенные исключения антивирусной программы Антивирус Microsoft Defender антивирусная программа автоматически исключает некоторые файлы операционной системы и Windows Server роли, поэтому вам не нужно самостоятельно определять эти исключения. Исключения правил ASR Правила ASR Правило ASR вызывает непредвиденное поведение. Исключение папок из автоматизации Автоматическое исследование и реагирование Автоматизированное расследование и устранение выполняет действие с файлом, расширением или каталогом, которое следует выполнять вручную. Исключения CFA CFA CFA блокирует доступ приложения к защищенной папке.
Note
Исключения процессов непосредственно влияют на защиту сети на всех платформах и правилах ASR в Windows. Исключение процесса в любой операционной системе (Windows, macOS или Linux) предотвращает проверку трафика или применение правил для этого конкретного процесса.
Предварительно настроенные исключения антивирусной программы
Вам не нужно определять эти типы исключений, но полезно знать, что они есть и как они работают. Microsoft Defender антивирусная программа предварительно настраивает следующие типы исключений:
-
Встроенные исключения антивирусной программы Microsoft Defender:
- Microsoft Defender Антивирусная программа включает встроенные исключения для файлов операционной системы во всех поддерживаемых версиях Windows клиента и сервера. Список сохраняется в актуальном состоянии по мере изменения ландшафта угроз. Дополнительные сведения см. в статье о встроенных исключениях.
- В поддерживаемых версиях Windows Server применяется больше встроенных исключений для таких компонентов сервера, как служба имен Интернета Windows (WINS) и служба репликации файлов (FRS). Дополнительные сведения см. в статье о встроенных исключениях Windows Server.
Автоматические исключения антивирусной программы Microsoft Defender: автоматические исключения для ролей и функций сервера в Windows Server 2016 или более поздней версии (например, служба репликации файлов, Hyper-V, SYSVOL, Active Directory и DNS-сервер). При установке роли Microsoft Defender антивирусная программа включает автоматические исключения для роли сервера и всех файлов, добавленных при установке роли.
Эти исключения не сканируются защитой в режиме реального времени , но по-прежнему подвергаются быстрой, полной или пользовательской антивирусной проверке.
Дополнительные сведения см. в разделе Исключения автоматических ролей сервера.
Автоматические исключения применяются только к встроенным Windows Server ролям. Если вы запускаете другие рабочие нагрузки сервера, такие как Exchange Server, SharePoint Server или SQL Server, вам, скорее всего, потребуется определить для них настраиваемые исключения антивирусной программы. Дополнительные сведения см. в следующих статьях:
- Запуск антивирусного программного обеспечения Windows на Exchange Server
- Папки, исключаемые из антивирусной проверки в SharePoint Server
- Настройка антивирусного программного обеспечения для работы с SQL Server
Вы также можете ознакомиться с документацией издателя программного обеспечения.
Пользовательские исключения
Microsoft Defender для конечной точки и антивирусная программа Microsoft Defender позволяют настраивать пользовательские исключения для оптимизации производительности и предотвращения ложных срабатываний. Пользовательские исключения, которые можно определить, зависят от операционной системы.
macOS. Вы можете определить исключения, которые применяются только к антивирусной проверке (сканирование по запросу, защита в режиме реального времени и мониторинг). Эти исключения не применяются к обнаружению и ответу конечных точек (EDR), поэтому исключенные файлы по-прежнему могут активировать оповещения EDR и другие обнаружения. Поддерживаемые типы исключений:
- Исключения расширений файлов: исключите все файлы с определенным расширением.
- Исключения файлов: Исключить конкретный файл, указав его полный путь.
- Исключения папок: исключите все файлы в указанной папке рекурсивно.
- Исключения процессов: исключите определенный процесс и все файлы, открытые им.
Дополнительные сведения см. в статье Настройка и проверка исключений для Microsoft Defender для конечной точки в macOS.
Linux: вы можете настроить исключения в качестве исключений антивирусной программы (применяется к защите в режиме реального времени, проверкам по запросу и мониторингу поведения, при сохранении видимости EDR) или в качестве глобальных исключений (примененных на уровне датчика, при отключении как антивирусного обнаружения, так и оповещений EDR). Поддерживаемые типы исключений:
- Исключения расширений файлов: исключите все файлы с определенным расширением (недоступно для глобальных исключений).
- Исключения для файлов: исключите определенный файл, указав его полный путь.
- Исключения папок: исключите все файлы в указанной папке рекурсивно.
- Исключения процессов: исключите определенный процесс (по полному пути или имени файла) и все файлы, открытые им.
Дополнительные сведения см. в статье Настройка и проверка исключений Microsoft Defender для конечной точки в Linux.
Windows: Вы можете настроить антивирусную программу Microsoft Defender так, чтобы исключать процессы, файлы, папки (пути) и расширения из запланированных проверок, проверок по требованию, защиты в режиме реального времени и обнаружения потенциально нежелательных приложений (PUA). Эти исключения применяются только к антивирусной проверке. Они не применяются к EDR, поэтому исключенные файлы по-прежнему могут активировать оповещения EDR. Чтобы исключить файлы для всех возможностей Defender for Endpoint, используйте настраиваемые индикаторы. Поддерживаемые типы исключений:
- Исключения файлов и папок: исключить определенный файл или все в папке. Также называется исключениями путей.
- Исключения расширений файлов: исключите любой файл, имеющий определенное расширение, независимо от расположения.
- Исключения процессов: исключите все файлы, которые открывает определенный процесс.
- Контекстные исключения: сузите исключение пути, чтобы оно применялось только в определенном контексте, например только при открытии определенного процесса файла.
Дополнительные сведения см. в разделе Исключения в Microsoft Defender Antivirus.
Исключения правил уменьшения поверхности атак
Правила сокращения направлений атак (ASR) блокируют рискованное поведение программного обеспечения, но некоторые законные приложения участвуют в этом рискованном поведении (например, запуская исполняемые файлы, которые загружают и запускают другие файлы). Некоторые правила ASR учитывают исключения антивирусной программы Microsoft Defender. Правила ASR также поддерживают глобальные исключения правил ASR и исключения для отдельных правил ASR.
Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.
Исключения для папок автоматизации
Исключения для папок автоматизации применяются к автоматизированному расследованию и устранению в Microsoft Defender для конечной точки Plan 2, которое анализирует оповещения и немедленно принимает меры для устранения обнаруженных нарушений безопасности. Когда оповещение активирует автоматическое расследование, расследование достигает вердикта (вредоносные, подозрительные или нет обнаруженных угроз) для каждого фрагмента доказательств. В зависимости от уровня автоматизации и других параметров безопасности действия по исправлению выполняются автоматически или после утверждения командой операций безопасности.
Дополнительные сведения см. в разделе Управление исключениями папок автоматизации.
Исключения управляемого доступа к папкам
Контролируемый доступ к папкам (CFA) защищает данные, блокируя ненадежные приложения от изменения файлов в защищенных папках на Windows устройствах. По умолчанию CFA защищает стандартные системные папки, и вы можете добавить другие папки. Если CFA блокирует приложение, которое вы доверяете, можно определить исключение, чтобы разрешить приложению изменять файлы в защищенных папках.
Дополнительные сведения см. в разделе "Настройка управляемого доступа к папкам".
Пользовательские действия по исправлению
Когда антивирусная программа Microsoft Defender обнаруживает потенциальную угрозу во время проверки, она пытается устранить обнаруженную угрозу. Вы можете определить настраиваемые действия по исправлению, чтобы настроить, как Microsoft Defender Антивирусная программа должна устранять определенные угрозы, следует ли создавать точку восстановления перед исправлением и когда следует удалять угрозы.
Дополнительные сведения см. в разделе Настройка действий по исправлению при обнаружении угроз Microsoft Defender Antivirus.
Как оцениваются исключения и индикаторы
Большинство организаций имеют несколько типов исключений и индикаторов, чтобы определить, должны ли пользователи иметь доступ к файлу или процессу и использовать их. На устройствах Windows эти исключения и индикаторы обрабатываются в определенном порядке, чтобы конфликты политики обрабатывались систематически.
Вот как это работает. Оценка останавливается при первом условии, которое применяется:
- Если файл не разрешен Windows Defender политиками режима управления приложениями и AppLocker, он заблокирован.
- В противном случае, если файл разрешён исключением Microsoft Defender Antivirus, он разрешён.
- В противном случае, если у файла есть признак блокировки или предупреждения, он заблокирован или помечен предупреждением.
- В противном случае, если файл заблокирован SmartScreen, он заблокирован.
- В противном случае, если файл разрешен индикатором разрешения, он разрешен.
- В противном случае, если файл заблокирован правилами уменьшения поверхности атаки, контролируемым доступом к папкам или антивирусной защитой, он заблокирован.
- В противном случае файл допускается.
Как обрабатываются конфликты политик
Если индикаторы Defender для конечных точек конфликтуют, вот чего следует ожидать:
При наличии конфликтующих индикаторов файлов применяется индикатор, использующий наиболее безопасный хэш. Например, SHA256 имеет приоритет над SHA-1, который имеет приоритет над MD5.
Если имеются конфликтующие индикаторы URL-адреса, используется более конкретный индикатор.
- Для фильтр SmartScreen в Microsoft Defender применяется индикатор, использующий самый длинный URL-путь. Например,
www.contoso.com/admin/имеет приоритет надwww.contoso.com. - Защита сети в основном применяется на уровне домена, хотя она может блокировать определенные пути URL-адресов в некоторых сценариях.
- Для фильтр SmartScreen в Microsoft Defender применяется индикатор, использующий самый длинный URL-путь. Например,
Если для файла или процесса существуют аналогичные индикаторы, которые имеют разные действия, индикатор, ограниченный определенной группой устройств, имеет приоритет над индикатором, предназначенным для всех устройств.
Как работает автоматическое исследование и исправление
Возможности автоматического исследования и исправления в Defender для конечной точки сначала определяют вердикт по каждому элементу доказательства, а затем принимают меры в зависимости от индикаторов Defender для конечной точки. В результате файл или процесс может получить вердикт "хороший" (что означает, что угрозы не найдены) и по-прежнему заблокированы, если есть индикатор с этим действием. Аналогичным образом объект может получить вердикт «bad» (что означает, что он признан вредоносным) и при этом всё равно быть разрешён, если существует индикатор с таким действием.
Дополнительные сведения см. в статье Механизм автоматизированного расследования и устранения.
Альтернативные варианты и действия, которые следует учитывать перед созданием исключения
Создание исключения или индикатора разрешения создает пробел в защите. Используйте эти методы только после определения первопричины проблемы. До этого рассмотрим альтернативные варианты, такие как отправка файла в Microsoft для анализа или подавления оповещения.
В следующем списке описаны распространенные сценарии и действия, которые необходимо учитывать перед созданием исключения или разрешения индикатора.
Ложноположительный результат: сущность, например файл или процесс, была обнаружена и идентифицирована как вредоносная, даже если сущность не является угрозой. Действия, которые следует рассмотреть:
- Просмотрите и классифицируйте оповещения , созданные в результате обнаруженной сущности.
- Отключить оповещение для известной сущности.
- Просмотрите действия по исправлению , выполненные для обнаруженной сущности.
- Отправьте ложное срабатывание Microsoft на анализ
- Определите индикатор или исключение для сущности (только при необходимости).
Проблемы с производительностью. Рассмотрим пример.
- Система имеет высокий уровень использования ЦП или другие проблемы с производительностью.
- В системе возникают проблемы с утечкой памяти.
- Приложение медленно загружается на устройства.
- Приложение медленно открывает файл на устройствах.
Действия, которые следует рассмотреть:
- Сбор диагностических данных для Microsoft Defender антивирусной программы.
- Если вы используете не Microsoft антивирусное решение, обратитесь к поставщику с известными проблемами с антивирусными продуктами.
- Просмотрите журналы производительности (см. раздел "Устранение неполадок с производительностью Microsoft Defender антивирусной программы с помощью WPRUI") для определения предполагаемого влияния на производительность. Для проблем с производительностью, связанных с антивирусной программой Microsoft Defender, используйте анализатор производительности для антивирусной программы Microsoft Defender.
- Определите исключение для антивирусной программы Microsoft Defender (при необходимости).
- Создайте индикатор для Defender для конечной точки (только при необходимости).
Проблемы совместимости с антивирусными продуктами, не Microsoft. Например, Defender для конечных точек зависит от обновлений аналитики безопасности для устройств, независимо от того, используют ли они Microsoft Defender Antivirus или стороннее антивирусное решение. Действия, которые следует рассмотреть:
- Если вы используете антивирусную программу, не Microsoft в качестве основного антивирусного или антивредоносного решения, установите для антивирусной программы Microsoft Defender пассивный режим.
- Если вы переходите с не Microsoft антивирусного или антивредоносного решения на Defender для конечной точки, см. статью "Переключиться на Defender для конечной точки". Это руководство содержит исключения, которые может потребоваться настроить для антивирусной программы Microsoft Defender, и сведения по устранению неполадок (на случай, если во время миграции что-то пойдет не так).
Совместимость с приложениями. Например, после подключения устройства к Microsoft Defender для конечной точки приложения аварийно завершаются или ведут себя непредсказуемо. См. статью Устранение нежелательного поведения в Microsoft Defender для конечной точки с помощью исключений, индикаторов и других методов.
Отправка файлов для анализа
Если у вас есть файл, который, по вашему мнению, ошибочно обнаружен как вредоносная программа (ложноположительный результат), или файл, который, как вы подозреваете, может быть вредоносным, даже если он не был обнаружен (ложноотрицательный), вы можете отправить его в Корпорацию Майкрософт для анализа. Отправленный вами материал немедленно сканируется, а затем проверяется специалистами по безопасности Microsoft. Вы можете проверить состояние отправки на странице журнала отправки.
Отправка файлов для анализа помогает сократить количество ложных срабатываний и ложноотрицательных результатов для всех клиентов. Дополнительные сведения см. в следующих статьях:
- Отправка файлов для анализа
- Отправка файлов на портале Microsoft Defender (только для Defender for Endpoint, план 2, или Microsoft Defender XDR)
Подавление оповещений
Если на портале Microsoft Defender вы получаете оповещения о средствах или процессах, которые, как вы знаете, на самом деле не представляют угрозы, вы можете отключить эти оповещения.
Чтобы подавить оповещение, создайте правило подавления и укажите, какие действия следует выполнять для других идентичных оповещений. Вы можете создавать правила подавления для определенного оповещения на одном устройстве или для всех оповещений, имеющих одинаковый заголовок в вашей организации.
Дополнительные сведения см. в следующих статьях:
- Подавление оповещений
- Блог технического сообщества: представляем новые возможности подавления оповещений (для Defender for Endpoint)