Настройка настраиваемых исключений для антивирусной программы Microsoft Defender
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Как правило, не нужно определять исключения для Microsoft Defender антивирусной программы. Однако при необходимости файлы, папки, процессы и файлы, открытые процессом, можно исключить из Microsoft Defender проверок антивирусной программы. Эти типы исключений называются пользовательскими исключениями. В этой статье описывается определение настраиваемых исключений для антивирусной программы Microsoft Defender с Microsoft Intune, а также ссылки на другие ресурсы для получения дополнительных сведений.
Пользовательские исключения применяются к запланированным проверкам, проверкам по запросу и постоянной защите и мониторингу в режиме реального времени. Исключения для файлов, открытых процессами, применяются только к защите в режиме реального времени.
Совет
Подробный обзор подавления, отправки и исключений в Microsoft Defender антивирусной программы и Defender для конечной точки см. в разделе Исключения для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.
Настройка и проверка исключений
Предостережение
Используйте расширения антивирусной программы Microsoft Defender экономно. Обязательно просмотрите сведения в разделе Управление исключениями для Microsoft Defender для конечной точки и антивирусной Microsoft Defender.
Если вы используете Microsoft Intune для управления Microsoft Defender антивирусной или Microsoft Defender для конечной точки, используйте следующие процедуры для определения исключений:
- Управление исключениями антивирусной программы в Intune (для существующих политик)
- Создание новой политики антивирусной программы с исключениями в Intune
Если вы используете другое средство, например Configuration Manager или групповая политика, или хотите получить более подробные сведения о пользовательских исключениях, см. следующие статьи:
- Настройка и проверка исключений на основе расширения файла и расположения папки
- Настройка исключений для файлов, открытых процессами
Управление исключениями антивирусной программы в Intune (для существующих политик)
В Центре администрирования Microsoft Intune выберитеАнтивирусная программадля обеспечения безопасности> конечных точек, а затем выберите существующую политику. (Если у вас нет политики или вы хотите создать новую политику, перейдите к разделу Создание новой антивирусной политики с исключениями в Intune.)
Выберите Свойства и рядом с элементом Параметры конфигурации нажмите кнопку Изменить.
Разверните узел Microsoft Defender Исключения антивирусной программы, а затем укажите исключения.
Исключенные расширения — это исключения, которые определяются расширением типа файла. Эти расширения применяются к любому имени файла с определенным расширением без пути к файлу или папке. Разделите каждый тип файлов в списке, используя один тип файла на строку. Дополнительные сведения см. в разделе ExcludedExtensions.
Исключенные пути — это исключения, определяемые по их расположению (пути). Эти типы исключений также называются исключениями файлов и папок. Разделите каждый путь в списке по одному пути на строку. Дополнительные сведения см. в разделе ExcludedPaths.
Исключенные процессы — это исключения для файлов, которые открываются определенными процессами. Разделите каждый тип файлов в списке, используя один тип файла на строку. Эти исключения не относятся к фактическим процессам. Чтобы исключить процессы, можно использовать исключения файлов и папок. Дополнительные сведения см. в разделе ExcludedProcesses.
Выберите Просмотр и сохранение, а затем нажмите кнопку Сохранить.
Создание новой политики антивирусной программы с исключениями в Intune
В центре администрирования Microsoft Intune выберитеАнтивирусная программа> для защиты конечных> точек+ Создать политику.
Выберите платформу (например, Windows 10, Windows 11 и Windows Server).
В поле Профиль выберите Microsoft Defender Исключения антивирусной программы, а затем нажмите кнопку Создать.
На шаге Создание профиля укажите имя и описание профиля, а затем нажмите кнопку Далее.
На вкладке Параметры конфигурации укажите исключения антивирусной программы и нажмите кнопку Далее.
Исключенные расширения — это исключения, которые определяются расширением типа файла. Эти расширения применяются к любому имени файла с определенным расширением без пути к файлу или папке. Разделите каждый тип файла в списке символом
|. Например,lib|obj. Дополнительные сведения см. в разделе ExcludedExtensions.Исключенные пути — это исключения, определяемые по их расположению (пути). Эти типы исключений также называются исключениями файлов и папок. Разделите каждый путь в списке по одному пути на строку. Дополнительные сведения см. в разделе ExcludedPaths.
Исключенные процессы — это исключения для файлов, которые открываются определенными процессами. Разделите каждый тип файлов в списке, используя один тип файла на строку. Эти исключения не относятся к фактическим процессам. Чтобы исключить процессы, можно использовать исключения файлов и папок. Дополнительные сведения см. в разделе ExcludedProcesses.
Если вы используете теги область в организации, на вкладке Теги области укажите область теги для создаваемой политики. (См . теги области.)
На вкладке Назначения укажите пользователей и группы, к которым должна применяться политика, а затем нажмите кнопку Далее. (Если вам нужна помощь с назначениями, см. статью Назначение профилей пользователей и устройств в Microsoft Intune.)
На вкладке Просмотр и создание просмотрите параметры и нажмите кнопку Создать.
Важные моменты об исключениях
Определение исключений снижает защиту, предлагаемую антивирусной программой Microsoft Defender. Всегда следует оценивать риски, связанные с реализацией исключений, и исключать только файлы, которые, как вы уверены, не являются вредоносными.
Исключения напрямую влияют на возможность Microsoft Defender антивирусной программы блокировать, исправлять или проверять события, связанные с файлами, папками или процессами, добавленными в список исключений. Пользовательские исключения могут влиять на функции, которые напрямую зависят от антивирусной подсистемы (например, защита от вредоносных программ, операции ввода-вывода файлов и операции ввода-вывода сертификатов). Исключения процессов также влияют на правила защиты сети и сокращения направлений атак. В частности, исключение процесса на любой платформе приводит к тому, что возможности защиты сети и сокращения направлений атак не могут проверять трафик или применять правила для этого конкретного процесса.
Помните следующие важные моменты:
Исключения технически являются пробелом в защите. Учитывайте все варианты при определении исключений. См . раздел Отправки, подавления и исключения.
Периодически проверяйте исключения. Повторная проверка и повторное применение мер по устранению рисков в рамках процесса проверки.
В идеале избегайте определения исключений при попытке быть упреждающим. Например, не исключайте что-то только потому, что вы думаете, что это может стать проблемой в будущем. Используйте исключения только для конкретных проблем, таких как проблемы, связанные с производительностью или совместимостью приложений, которые могут устранить исключения.
Просмотрите и проверьте изменения в списке исключений. Команда безопасности должна сохранить контекст о том, почему было добавлено определенное исключение, чтобы избежать путаницы в дальнейшем. Ваша команда безопасности должна иметь возможность предоставить конкретные ответы на вопросы о том, почему существуют исключения.
Аудит исключений антивирусной программы в системах Exchange
Microsoft Exchange поддерживает интеграцию с интерфейсом проверки антивредоносных программ (AMSI) с июня 2021 г. Ежеквартальное Обновления для Exchange (см. раздел Запуск антивирусной программы Windows на серверах Exchange). Настоятельно рекомендуется установить эти обновления и убедиться, что AMSI работает правильно. См. Microsoft Defender сведения об аналитике безопасности антивирусной программы и обновлениях продуктов.
Многие организации исключают каталоги Exchange из антивирусных проверок по соображениям производительности. Корпорация Майкрософт рекомендует проводить аудит Microsoft Defender исключений антивирусной программы в системах Exchange и оценивать, можно ли удалять исключения без ущерба для производительности в вашей среде, чтобы обеспечить наивысший уровень защиты. Исключениями можно управлять с помощью групповая политика, PowerShell или средств управления системами, таких как Microsoft Intune.
Чтобы проверить Microsoft Defender исключения антивирусной программы на Exchange Server, выполните команду Get-MpPreference из командной строки PowerShell с повышенными привилегиями. (См . раздел Get-MpPreference.)
Если не удается удалить исключения для процессов и папок Exchange, помните, что при выполнении быстрой проверки в Microsoft Defender антивирусная программа сканирует каталоги и файлы Exchange независимо от исключений.
См. также
- Microsoft Defender исключения антивирусной программы в Windows Server 2016 и более поздних версиях
- Распространенные ошибки, которых следует избегать при определении исключений
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
- Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux
- Настройка и проверка исключений для Microsoft Defender для конечной точки в macOS
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.