Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для конечной точки и Defender для бизнеса включает широкий спектр возможностей для предотвращения, обнаружения, исследования и реагирования на сложные киберугрозы. Корпорация Майкрософт предварительно настраивает продукт для обеспечения правильной работы в установленной операционной системе. Никаких других изменений не требуется. Несмотря на предварительно настроенные параметры, иногда возникает непредвиденное поведение. Ниже приводятся примеры:
- Ложные срабатывания: Файлы, папки или процессы, которые фактически не представляют угрозы, могут ошибочно определяться как вредоносные в Microsoft Defender для конечной точки или антивирусной программе Microsoft Defender. Эти сущности могут быть заблокированы или отправлены в карантин, даже если они не представляют угрозы.
- Проблемы с производительностью: В системах наблюдается неожиданное снижение производительности при использовании Defender for Endpoint
- Проблемы с совместимостью приложений. Приложения сталкиваются с непредвиденным поведением при запуске с помощью Defender для конечной точки
Создание исключения — один из возможных подходов к решению таких проблем. Но часто есть и другие шаги, которые вы можете предпринять. В дополнение к обзору индикаторов и исключений в этой статье содержатся альтернативы созданию исключений и разрешенных индикаторов.
Примечание.
Создание индикатора или исключения следует рассматривать только после тщательного изучения первопричины непредвиденного поведения.
Примеры проблем и шаги для рассмотрения
В следующей таблице перечислены распространенные сценарии и шаги, которые необходимо рассмотреть перед созданием исключения или разрешения индикатора.
| Пример сценария | Действия, которые следует учитывать |
|---|---|
| Ложноположительный результат. Сущность, например файл или процесс, была обнаружена и идентифицирована как вредоносная, даже если сущность не представляет угрозы. | 1. Проверьте и классифицируйте оповещения , созданные в результате обнаруженной сущности. 2. Подавление оповещения для известной сущности. 3. Просмотрите действия по исправлению , предпринятые для обнаруженной сущности. 4. Отправьте ложноположительный результат в корпорацию Майкрософт для анализа. 5. Определите индикатор или исключение для сущности (только при необходимости). |
|
Проблемы с производительностью , такие как одна из следующих проблем: — Система имеет высокую загрузку ЦП или другие проблемы с производительностью. — В системе возникают проблемы с утечкой памяти. — приложение медленно загружается на устройствах. — Приложение медленно открывает файл на устройствах. |
1. Сбор диагностических данных для Microsoft Defender антивирусной программы. 2. Если вы используете антивирусное решение сторонних производителей, обратитесь к поставщику за известными проблемами с антивирусными продуктами. 3. Просмотрите журналы производительности (см. раздел «Устранение проблем с производительностью Microsoft Defender Antivirus с помощью WPRUI»), чтобы определить ожидаемое влияние на производительность. Для проблем с производительностью, связанных с антивирусной программой Microsoft Defender, используйте анализатор производительности для антивирусной программы Microsoft Defender. 4. Определите исключение для антивирусной программы Microsoft Defender (при необходимости). 5. Создайте индикатор для Defender для конечной точки (только при необходимости). |
|
Проблемы совместимости с антивирусными продуктами сторонних разработчиков. Пример: Defender для конечных точек использует обновления данных аналитики угроз для устройств независимо от того, используют ли они Microsoft Defender Antivirus или антивирусное решение стороннего разработчика. |
1. Если вы используете антивирусную программу сторонних разработчиков в качестве основного антивирусного или антивредоносного решения, установите Microsoft Defender антивирусную программу в пассивный режим. 2. Если вы переходите с антивирусного или антивредоносного решения сторонних разработчиков на Defender для конечной точки, см . статью Переход на Defender для конечной точки. Это руководство содержит исключения, которые может потребоваться настроить для антивирусной программы Microsoft Defender, и сведения по устранению неполадок (на случай, если во время миграции что-то пойдет не так). |
| Совместимость с приложениями. Пример: Приложения аварийно завершаются или ведут себя непредвиденным образом после подключения устройства к Microsoft Defender для конечной точки. |
См. статью Устранение нежелательного поведения в Microsoft Defender для конечной точки с помощью исключений, индикаторов и других методов. |
Альтернативы для создания исключений и индикаторов разрешения
Создание исключения или индикатора разрешения создает пробел в защите. Эти методы следует использовать только после определения первопричины проблемы. До тех пор, пока это решение не будет принято, рассмотрите следующие альтернативы:
- Отправка файла в Корпорацию Майкрософт для анализа
- Подавление оповещения
Отправка файлов для анализа
Если у вас есть файл, который, по вашему мнению, ошибочно обнаружен как вредоносная программа (ложноположительный результат), или файл, который, как вы подозреваете, может быть вредоносным, даже если он не был обнаружен (ложноотрицательный), вы можете отправить его в Корпорацию Майкрософт для анализа. Ваша отправка немедленно сканируется, а затем будет проверена аналитиками по безопасности Майкрософт. Вы можете проверить статус отправки на странице истории отправки.
Отправка файлов для анализа помогает сократить количество ложных срабатываний и ложноотрицательных результатов для всех клиентов. Дополнительные сведения см. в следующих разделах:
- Отправка файлов для анализа (доступно для всех клиентов)
- Отправляйте файлы через новый единый портал отправки в Defender for Endpoint (доступно для клиентов, использующих Defender for Endpoint Plan 2 или Microsoft Defender XDR)
Подавление оповещений
Если на портале Microsoft Defender вы получаете оповещения о средствах или процессах, которые, как вы знаете, на самом деле не представляют угрозы, вы можете отключить эти оповещения. Чтобы подавить оповещение, создайте правило подавления и укажите, какие действия следует выполнять для других аналогичных оповещений. Вы можете создать правила подавления для определенного оповещения на одном устройстве или для всех оповещений с одинаковым названием в вашей организации.
Дополнительные сведения см. в следующих разделах:
- Подавление оповещений
- Блог технического сообщества: представляем новые возможности подавления оповещений (для Defender for Endpoint)
Типы исключений
Существует несколько различных типов исключений, которые следует учитывать. Некоторые типы исключений влияют на несколько функций в Defender для конечных точек, тогда как другие относятся только к Антивирусу Microsoft Defender.
- Пользовательские исключения. Это исключения, которые определяются для конкретных вариантов использования или сценариев, а также для определенных операционных систем, таких как Mac, Linux и Windows.
- Предварительно настроенные исключения антивирусной программы. Это исключения, которые не нужно определять, например исключения автоматических ролей сервера и встроенные исключения антивирусной программы. Несмотря на то, что вам не нужно определять их, полезно знать, что они собой представляют и как они работают.
- Исключения по сокращению направлений атак. Это исключения, которые позволяют предотвратить блокирование допустимых приложений, которые могут использоваться вашей организацией, с помощью возможностей сокращения направлений атак.
- Исключения папок автоматизации. Это исключения, которые определяются для предотвращения применения возможностей автоматического исследования и исправления к определенным файлам или папкам.
- Исключения управляемого доступа к папкам. Это исключения, позволяющие определенным приложениям или исполняемым файлам получать доступ к защищенным папкам.
- Настраиваемые действия по исправлению: Это действия, которые вы указываете для Microsoft Defender Antivirus при определенных типах обнаружений.
Сведения о индикаторах см. в статье Обзор индикаторов в Microsoft Defender для конечной точки.
Пользовательские исключения
Microsoft Defender для конечной точки позволяет настроить настраиваемые исключения, чтобы оптимизировать производительность и избежать ложных срабатываний. Типы исключений, которые можно задать, зависят от возможностей Defender для конечной точки и операционных систем.
В следующей таблице перечислены типы настраиваемых исключений, которые можно определить. Обратите внимание на область действия каждого типа исключений.
| Типы исключений | Scope | Варианты использования |
|---|---|---|
| Настраиваемые исключения для Microsoft Defender for Endpoint | антивирусная программа Правила сокращения поверхности атаки Defender для конечной точки Защита сети |
Файл, папка или процесс идентифицируются как вредоносные, даже если они не представляют угрозы. Приложение сталкивается с непредвиденной проблемой производительности или совместимости приложений при запуске с Defender для конечной точки |
| Исключения для уменьшения поверхности атаки в Defender for Endpoint | Правила сокращения поверхности атаки | Правило сокращения направлений атаки приводит к непредвиденному поведению. |
| Исключения для папок автоматизации в Defender для конечной точки | Автоматическое исследование и реагирование | Автоматическое исследование и исправление выполняют действия с файлом, расширением или каталогом, которые должны выполняться вручную. |
| Исключения для контролируемого доступа к папкам в Defender для конечной точки | Контролируемый доступ к папкам | Управляемый доступ к папкам блокирует доступ приложения к защищенной папке. |
| Индикаторы разрешения файлов и сертификатов Defender для конечной точки | антивирусная программа Правила сокращения поверхности атаки Контролируемый доступ к папкам |
Файл или процесс, подписанный сертификатом, определяется как вредоносный, даже если это не так. |
| Индикаторы доменов, URL-адресов и IP-адресов в Defender для конечной точки | Защита сети SmartScreen Фильтрация веб-содержимого |
SmartScreen сообщает о ложном срабатывании. Вы хотите переопределить блок фильтрации веб-содержимого на определенном сайте. |
Примечание.
На защиту сети непосредственно влияют исключения процессов на всех платформах. Исключение процесса в любой ОС (Windows, MacOS, Linux) приводит к тому, что защита сети не может проверять трафик или применять правила для этого конкретного процесса.
Исключения на Mac
Для macOS можно определить исключения, которые применяются к проверкам по запросу, защите в режиме реального времени и мониторингу. Поддерживаемые типы исключений:
- Расширение файла: исключите все файлы с определенным расширением.
- Файл. Исключите конкретный файл, определенный по его полному пути.
- Папка: рекурсивно исключите все файлы из указанной папки.
- Процесс. Исключите определенный процесс и все файлы, открытые им.
Дополнительные сведения см. в статье Настройка и проверка исключений для Microsoft Defender для конечной точки в macOS.
Исключения в Linux
На Linux можно настроить как антивирусные, так и глобальные исключения.
- Исключения антивирусной программы. Применяются к проверкам по запросу, защите в режиме реального времени (RTP) и мониторингу поведения (BM).
- Глобальные исключения. Применяется к защите в режиме реального времени (RTP), мониторингу поведения (BM) и обнаружению и реагированию конечных точек (EDR), остановке всех связанных антивирусных обнаружений и оповещений EDR.
Дополнительные сведения см. в статье Настройка и проверка исключений Microsoft Defender для конечной точки в Linux.
Исключения в Windows
Microsoft Defender антивирусную программу можно настроить так, чтобы исключить сочетания процессов, файлов и расширений из запланированных проверок, проверок по запросу и защиты в режиме реального времени. См. раздел Настройка настраиваемых исключений для антивирусной программы Microsoft Defender.
Для более детального управления, помогающего свести к минимуму пробелы в защите, рассмотрите возможность использования исключений контекстных файлов и процессов.
Предварительно настроенные исключения антивирусной программы
Эти типы исключений предварительно настроены в Microsoft Defender для конечной точки для антивирусной программы Microsoft Defender.
| Типы исключений | Конфигурация | Описание |
|---|---|---|
| Автоматические исключения антивирусной программы Microsoft Defender | Автоматически | Автоматические исключения для ролей и компонентов сервера в Windows Server. При установке роли на Windows Server 2016 или более поздней версии антивирусная программа Microsoft Defender включает автоматические исключения для роли сервера и всех файлов, добавляемых при установке роли. Эти исключения доступны только для активных ролей в Windows Server 2016 и более поздних версий. |
| Встроенные исключения антивирусной программы Microsoft Defender | Автоматически | антивирусная программа Microsoft Defender включает встроенные исключения для файлов операционной системы во всех версиях Windows. |
Автоматические исключения ролей сервера
Автоматические исключения роли сервера включают исключения для ролей и компонентов сервера в Windows Server 2016 и более поздних версий. Эти исключения не проверяются защитой в режиме реального времени , но по-прежнему подлежат быстрой, полной или антивирусной проверке по запросу.
Вот некоторые примеры.
- Служба репликации файлов (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS-сервер
- Сервер печати
- Веб-сервер
- Службы обновления Windows Server
- ... и многое другое.
Примечание.
Автоматические исключения для ролей сервера не поддерживаются в Windows Server 2012 R2. Для серверов, работающих Windows Server 2012 R2 с установленной ролью сервера доменные службы Active Directory (AD DS), исключения для контроллеров домена необходимо указывать вручную. См. исключения Active Directory.
Дополнительные сведения см. в разделе Исключения автоматических ролей сервера.
Встроенные исключения антивирусной программы
Встроенные исключения антивирусной программы включают определенные файлы операционной системы, которые исключаются антивирусной программой Microsoft Defender во всех версиях Windows (включая Windows 10, Windows 11 и Windows Server).
Вот некоторые примеры.
%windir%\SoftwareDistribution\Datastore\Datastore.edb%allusersprofile%\NTUser.pol- Файлы Центра обновления Windows
- Файлы Безопасности Windows
- ... и многое другое.
Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. Дополнительные сведения об этих исключениях см. в статье исключения антивирусной программы Microsoft Defender на Windows Server: встроенные исключения.
Исключения сокращения направлений атак
Правила сокращения направлений атак (ASR) блокируют рискованное поведение программного обеспечения, но некоторые законные приложения участвуют в этом рискованном поведении (например, запуская исполняемые файлы, которые загружают и запускают другие файлы). Некоторые правила поддерживают исключения для Microsoft Defender Antivirus. Правила ASR также поддерживают глобальные исключения ASR и исключения для отдельных правил. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.
Исключения для папок автоматизации
Исключения для папок автоматизации применяются к автоматизированному расследованию и устранению в Microsoft Defender for Endpoint, который предназначен для анализа предупреждений и немедленного принятия мер для устранения обнаруженных нарушений безопасности. По мере активации оповещений и выполнения автоматического расследования для каждого исследуемого доказательства выдается вердикт (вредоносный, подозрительный или угрозы не найдены). В зависимости от уровня автоматизации и других параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения вашей группой по операциям безопасности.
Вы можете указать папки, расширения файлов в определенном каталоге и имена файлов, которые будут исключены из возможностей автоматического исследования и исправления. Такие автоматические исключения для папок применяются ко всем устройствам, подключенным к Microsoft Defender for Endpoint. Эти исключения по-прежнему подлежат проверке антивирусной программой.
Дополнительные сведения см. в разделе Управление исключениями папок автоматизации.
Исключения управляемого доступа к папкам
Контролируемый доступ к папкам (CFA) защищает данные, блокируя ненадежные приложения от изменения файлов в защищенных папках на Windows устройствах. По умолчанию CFA защищает стандартные системные папки, и вы можете добавить другие папки. Если CFA блокирует приложение, которое вы доверяете, можно определить исключение, чтобы разрешить приложению изменять файлы в защищенных папках.
Дополнительные сведения см. в разделе "Настройка управляемого доступа к папкам".
Пользовательские действия по исправлению
Когда антивирусная программа Microsoft Defender обнаруживает потенциальную угрозу во время проверки, она пытается устранить обнаруженную угрозу. Вы можете определить настраиваемые действия по исправлению, чтобы настроить, как Microsoft Defender Антивирусная программа должна устранять определенные угрозы, следует ли создавать точку восстановления перед исправлением и когда следует удалять угрозы.
Дополнительные сведения см. в разделе Настройка действий по исправлению при обнаружении угроз Microsoft Defender Antivirus.
Как оцениваются исключения и индикаторы
Большинство организаций имеют несколько различных типов исключений и индикаторов, чтобы определить, должны ли пользователи иметь доступ к файлу или процессу и использовать их. Исключения и индикаторы обрабатываются в определенном порядке, чтобы конфликты политик обрабатывались систематически.
Вот как это работает:
Если обнаруженный файл или процесс не разрешен элементом управления приложениями в Защитнике Windows и AppLocker, он блокируется. В противном случае происходит переход к антивирусной программе Microsoft Defender.
Если обнаруженный файл или процесс не является частью исключения для антивирусной программы Microsoft Defender, они блокируются. В противном случае Defender for Endpoint проверяет, существует ли пользовательский индикатор для файла или процесса.
Если обнаруженный файл или процесс имеет индикатор Блокировать или Предупредить, выполняется это действие. В противном случае файл и процесс разрешены, и он переходит к оценке с помощью правил сокращения направлений атак, управляемого доступа к папкам и защиты SmartScreen.
Если обнаруженный файл или процесс не заблокирован правилами сокращения направлений атаки, управляемым доступом к папкам или защитой SmartScreen, он переходит к Microsoft Defender антивирусной программы.
Если обнаруженный файл или процесс не разрешён в Microsoft Defender Antivirus, для него определяется действие на основе идентификатора угрозы.
Как обрабатываются конфликты политик
Если индикаторы Defender для конечных точек конфликтуют, вот чего следует ожидать:
При наличии конфликтующих индикаторов файлов применяется индикатор, использующий наиболее безопасный хэш. Например, SHA256 имеет приоритет над SHA-1, который имеет приоритет над MD5.
Если есть конфликтующие индикаторы URL-адресов, используется более строгий индикатор. Для фильтр SmartScreen в Microsoft Defender применяется индикатор, использующий самый длинный URL-путь. Например,
www.dom.ain/admin/имеет приоритет надwww.dom.ain. (Защита сети применяется к доменам, а не к вложенным страницам в домене.)Если для файла или процесса существуют аналогичные индикаторы, которые имеют разные действия, индикатор, ограниченный определенной группой устройств, имеет приоритет над индикатором, предназначенным для всех устройств.
Как автоматизированное исследование и исправление работает с индикаторами
Возможности автоматического исследования и исправления в Defender для конечной точки сначала определяют вердикт по каждому элементу доказательства, а затем принимают меры в зависимости от индикаторов Defender для конечной точки. Таким образом, файл или процесс может получить вердикт "хорошо" (что означает, что угрозы не найдены) и по-прежнему заблокированы, если есть индикатор с этим действием. Аналогичным образом объект может получить вердикт «bad» (что означает, что он признан вредоносным) и при этом всё равно быть разрешён, если существует индикатор с таким действием.
Дополнительные сведения см. в статье Механизм автоматизированного расследования и устранения.
Другие серверные рабочие нагрузки и исключения
Если ваша организация использует другие серверные рабочие нагрузки, такие как Exchange Server, SharePoint Server или SQL Server, помните, что только встроенные роли сервера (которые могут быть необходимыми для программного обеспечения, которое будет установлено позже) на Windows Server исключаются функцией автоматического исключения ролей сервера (и только при использовании расположения установки по умолчанию). Скорее всего, потребуется определить исключения антивирусной программы для этих других рабочих нагрузок или для всех рабочих нагрузок, если отключить исключения автоматических ролей сервера.
Ниже приведены некоторые примеры технической документации для определения и реализации необходимых исключений:
- Запуск антивирусной программы на Exchange Server
- Папки, исключаемые из антивирусной проверки в SharePoint Server
- Выбор антивирусного программного обеспечения для SQL Server
В зависимости от того, что вы используете, может потребоваться обратиться к документации по этой рабочей нагрузке сервера.