Megosztás a következőn keresztül:

Kizárások kezelése Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső esetében

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

Megjegyzés:

A Microsoft MVP-ként Fabian Bader hozzájárult a cikkhez, és jelentős visszajelzéseket adott.

Végponthoz készült Microsoft Defender számos képességet tartalmaz a fejlett kibertámadások megelőzésére, észlelésére, kivizsgálására és megválaszolására. Ezek a képességek közé tartozik a következő generációs védelem (amely magában foglalja a Microsoft Defender Víruskeresőt). Mint minden végpontvédelmi vagy víruskereső megoldás esetében, a Végponthoz készült Defender vagy a Microsoft Defender víruskereső néha kártékonyként észleli azokat a fájlokat, mappákat vagy folyamatokat, amelyek valójában nem jelentenek fenyegetést. Ezek az entitások blokkolhatók vagy karanténba helyezhetők, még akkor is, ha valójában nem jelentenek veszélyt.

Bizonyos műveletek elvégzésével megakadályozhatja a téves pozitív és hasonló problémák előfordulását. Ezek a műveletek a következők:

Ez a cikk ismerteti ezeknek a műveleteknek a működését, és ismerteti a végponthoz készült Defenderhez és a Microsoft Defender víruskeresőhöz definiálható kizárási típusokat.

Figyelem!

A kizárások meghatározása csökkenti a Végponthoz készült Defender és a Microsoft Defender víruskereső által kínált védelmi szintet. Végső megoldásként használja a kizárásokat, és ügyeljen arra, hogy csak a szükséges kizárásokat határozza meg. Rendszeresen tekintse át a kizárásokat, és távolítsa el azokat, amelyekre már nincs szüksége. Lásd: Fontos szempontok a kizárásokról és az elkerülendő gyakori hibákról.

Beküldések, mellőzések és kizárások

Ha téves riasztásokkal vagy riasztásokat generáló ismert entitásokkal dolgozik, nem feltétlenül kell kizárást hozzáadnia. Néha elegendő a riasztások besorolása és mellőzése. Azt javasoljuk, hogy a Microsoftnak is küldjön hamis pozitív (és hamis negatív) értékeket elemzésre. Az alábbi táblázat néhány forgatókönyvet és a fájlbeküldésekkel, riasztáselnyomásokkal és kizárásokkal kapcsolatos lépéseket ismerteti.

Forgatókönyv Megfontolandó lépések
Hamis pozitív: A rendszer egy entitást, például egy fájlt vagy folyamatot észlelt, és rosszindulatúként azonosította annak ellenére, hogy az entitás nem jelent fenyegetést. 1. Tekintse át és sorolja be az észlelt entitás eredményeként létrehozott riasztásokat.
2. Egy ismert entitás riasztásának mellőzése .
3. Tekintse át az észlelt entitáshoz végrehajtott szervizelési műveleteket .
4. Küldje el a hamis pozitív adatokat a Microsoftnak elemzés céljából.
5. Definiálja az entitás kizárását (csak akkor, ha szükséges).
Teljesítményproblémák , például az alábbi problémák egyike:
– Egy rendszer magas processzorhasználattal vagy egyéb teljesítményproblémával rendelkezik.
- A rendszer memóriavesztéssel kapcsolatos problémákat tapasztal.
– Az alkalmazások lassan töltődnek be az eszközökön.
– Az alkalmazások lassan nyitnak meg fájlokat az eszközökön.		 1. Diagnosztikai adatok gyűjtése Microsoft Defender víruskeresőhöz.
2. Ha nem Microsoft-alapú víruskereső megoldást használ, kérdezze meg a gyártót, hogy vannak-e szükséges kizárások.
3. Elemezze a Microsoft védelmi naplóját a becsült teljesítményhatás megtekintéséhez.
4. Definiáljon kizárást Microsoft Defender víruskereső számára (ha szükséges).
5. Létrehozás a Végponthoz készült Defender jelzőt (csak akkor, ha szükséges).
Kompatibilitási problémák a nem Microsoft víruskereső termékekkel.
Példa: A Végponthoz készült Defender biztonságiintelligencia-frissítéseket alkalmaz az eszközökhöz, függetlenül attól, hogy Microsoft Defender víruskeresőt vagy nem Microsoft víruskereső megoldást futtatnak.		 1. Ha nem Microsoft víruskereső terméket használ elsődleges víruskereső/kártevőirtó megoldásként, állítsa Microsoft Defender víruskeresőt passzív módra.
2. Ha nem a Microsofttól származó víruskereső/kártevőirtó megoldásról vált a Végponthoz készült Defenderre, olvassa el a Váltás a Végponthoz készült Defenderre című témakört. Ez az útmutató a következőket tartalmazza:
- A nem Microsoft víruskereső/kártevőirtó megoldáshoz definiálandó kizárások;
- Az Microsoft Defender víruskeresőhöz definiálandó kizárások; és
- Hibaelhárítási információk (arra az esetre, ha az áttelepítés során hiba lép fel).

Fontos

Az "engedélyezés" jelző a végponthoz készült Defenderben definiálható legerősebb kizárási típus. Ügyeljen arra, hogy a mutatókat takarékosan használja (csak akkor, ha szükséges), és rendszeresen tekintse át az összes kizárást.

Fájlok elküldése elemzésre

Ha olyan fájlja van, amelyről úgy gondolja, hogy tévesen kártevőként (hamis pozitív) észlelték, vagy egy olyan fájl, amelyről azt gyanítja, hogy kártevő, annak ellenére, hogy nem észlelték (hamis negatív), elküldheti a fájlt a Microsoftnak elemzésre. A beküldött dokumentumokat a rendszer azonnal beolvasja, és a Microsoft biztonsági elemzői felülvizsgálják. A beküldési előzmények oldalán ellenőrizheti a beküldés állapotát.

A fájlok elküldése elemzésre segít csökkenteni a hamis pozitív és hamis negatív értékeket az összes ügyfél számára. További információért tekintse meg a következő cikkeket:

Riasztások mellőzése

Ha a Microsoft Defender portálon olyan eszközökről vagy folyamatokról kap riasztásokat, amelyekről tudja, hogy valójában nem jelentenek fenyegetést, letilthatja ezeket a riasztásokat. A riasztások letiltásához létre kell hoznia egy mellőzési szabályt, és meg kell adnia, hogy milyen műveleteket kell végrehajtania a többi, azonos riasztáson. Letiltási szabályokat hozhat létre egy adott riasztáshoz egyetlen eszközön, vagy az összes olyan riasztáshoz, amely ugyanazzal a címmel rendelkezik a szervezetben.

További információért tekintse meg a következő cikkeket:

Kizárások és mutatók

A kizárások kifejezés néha olyan kivételekre utal, amelyek a Végponthoz készült Defenderre és Microsoft Defender víruskeresőre vonatkoznak. A kivételek leírásának pontosabb módja a következő:

Az alábbi táblázat összefoglalja a végponthoz készült Defenderhez és Microsoft Defender víruskeresőhöz definiálható kizárási típusokat.

Tipp

Termék/szolgáltatás Kizárási típusok
Microsoft Defender víruskereső
Végponthoz készült Defender 1. vagy 2. csomag		 - Automatikus kizárások (Windows Server 2016 és újabb verziók aktív szerepkörei esetén)
- Beépített kizárások (windowsos operációsrendszer-fájlok esetén)
- Egyéni kizárások, például folyamatalapú kizárások, mappahely-alapú kizárások, fájlkiterjesztési kizárások vagy környezetfüggő fájl- és mappakizárások
- Egyéni szervizelési műveletek a fenyegetések súlyossága vagy adott fenyegetések alapján

A Végponthoz készült Defender 1. és 2. csomag önálló verziói nem tartalmazzák a kiszolgálói licenceket. A kiszolgálók előkészítéséhez másik licencre van szükség, például a Kiszolgálók Végponthoz készült Microsoft Defender vagy az 1. vagy 2. csomaghoz tartozó Microsoft Defender. További információ: Végponthoz készült Defender előkészítése a Windows Serveren.

Ha Ön kis- vagy középvállalat, Microsoft Defender Vállalati verzió használ, Üzleti szerverekhez készült Microsoft Defender kaphat.
Végponthoz készült Defender 1. vagy 2. csomag - Fájlok, tanúsítványok vagy IP-címek, URL-címek/tartományok mutatói
- Támadásifelület-csökkentési kizárások
- Mappahozzáférés szabályozott kizárásai
Végponthoz készült Defender 2. csomag Automation-mappák kizárása (automatizált vizsgálathoz és szervizeléshez)

A következő szakaszok részletesebben ismertetik ezeket a kizárásokat:

A Windows Defender víruskereső kizárásai

Microsoft Defender víruskereső kizárások alkalmazhatók a víruskereső vizsgálatokra és/vagy a valós idejű védelemre. Ezek a kizárások a következők:

Automatikus kizárások

Az automatikus kizárások (más néven automatikus kiszolgálói szerepkörkivételek) közé tartoznak a Windows Server kiszolgálói szerepköreinek és szolgáltatásainak kizárásai. Ezeket a kizárásokat nem vizsgálja valós idejű védelem , de továbbra is gyors, teljes vagy igény szerinti víruskereső vizsgálatoknak vannak kitéve.

Ilyenek például a következők:

  • Fájlreplikációs szolgáltatás (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS-kiszolgáló
  • Nyomtatókiszolgáló
  • Webkiszolgáló
  • Windows Server Update Services
  • ... és így tovább.

Megjegyzés:

A kiszolgálói szerepkörök automatikus kizárása nem támogatott az Windows Server 2012 R2-ben. Az Active Directory tartományi szolgáltatások (AD DS) kiszolgálói szerepkörrel rendelkező Windows Server 2012 R2-t futtató kiszolgálók esetében a tartományvezérlők kizárását manuálisan kell megadni. Lásd: Active Directory-kizárások.

További információ: Automatikus kiszolgálói szerepkörkivételek.

Beépített kizárások

A beépített kizárások közé tartoznak bizonyos operációsrendszer-fájlok, amelyeket a Microsoft Defender víruskereső kizár a Windows összes verziójában (beleértve a Windows 10, a Windows 11 és a Windows Servert).

Ilyenek például a következők:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • fájlok Windows Update
  • fájlok Windows biztonság
  • ... és így tovább.

A Beépített kizárások listája a Windowsban naprakész marad a fenyegetések környezetének változásakor. További információ ezekről a kizárásokról: Microsoft Defender Víruskereső kizárások Windows Serveren: Beépített kizárások.

Egyéni kizárások

Az egyéni kizárások közé tartoznak a megadott fájlok és mappák. A fájlok, mappák és folyamatok kizárásait az ütemezett vizsgálatok, az igény szerinti vizsgálatok és a valós idejű védelem kihagyják. A folyamat által megnyitott fájlok kizárásait a valós idejű védelem nem ellenőrzi, de továbbra is gyors, teljes vagy igény szerinti víruskereső vizsgálatoknak vannak kitéve.

Egyéni szervizelési műveletek

Ha Microsoft Defender víruskereső potenciális fenyegetést észlel egy vizsgálat futtatása közben, megpróbálja elhárítani vagy eltávolítani az észlelt fenyegetést. Egyéni szervizelési műveleteket határozhat meg annak konfigurálásához, hogy Microsoft Defender víruskereső hogyan kezeljen bizonyos fenyegetéseket, hogy létre kell-e hozni egy visszaállítási pontot a szervizelés előtt, és hogy mikor kell eltávolítani a fenyegetéseket. Konfiguráljon szervizelési műveleteket Microsoft Defender víruskereső észleléseihez.

Végponthoz készült Defender mutatói

Az entitásokhoz, például fájlokhoz, IP-címekhez, URL-címekhez/tartományokhoz és tanúsítványokhoz meghatározott műveletekkel rendelkező mutatókat definiálhat. A Végponthoz készült Defenderben a mutatókat biztonsági rések jelzőinek (IOK) nevezzük, ritkábban pedig egyéni jelzőknek. A mutatók meghatározásakor a következő műveletek egyikét adhatja meg:

  • Engedélyezés – A Végponthoz készült Defender nem blokkolja az Allow jelzőkkel rendelkező fájlokat, IP-címeket, URL-címeket/tartományokat vagy tanúsítványokat. (Körültekintően használja ezt a műveletet.)

  • Naplózás – A rendszer figyeli a naplójelzőkkel rendelkező fájlokat, IP-címeket és URL-címeket/tartományokat, és amikor a felhasználók elérik őket, tájékoztató riasztások jönnek létre a Microsoft Defender portálon.

  • Blokkolás és szervizelés – A Blokkolás és javítás jelzővel rendelkező fájlok vagy tanúsítványok blokkolva vannak, és a rendszer karanténba helyezi azokat, amikor észlelik.

  • Blokkvégrehajtás – Az IP-címek és az URL-címek/tartományok blokkolva vannak a Blokkvégrehajtás jelzővel. A felhasználók nem férhetnek hozzá ezekhez a helyekhez.

  • Figyelmeztetés – A Figyelmeztetés jelzővel ellátott IP-címek és URL-címek/tartományok figyelmeztető üzenetet jelenítenek meg, amikor egy felhasználó megpróbálja elérni ezeket a helyeket. A felhasználók dönthetnek úgy, hogy kihagyják a figyelmeztetést, és továbblépnek az IP-címre vagy az URL-címre/tartományra.

Fontos

A bérlőben legfeljebb 15 000 mutató lehet.

Az alábbi táblázat összefoglalja az IoC-típusokat és az elérhető műveleteket:

Mutató típusa Elérhető műveletek
Fájlok -Lehetővé teszi
-Ellenőrzési
-Figyelmeztet
– Végrehajtás letiltása
– Blokkolás és szervizelés
IP-címek és URL-címek/tartományok -Lehetővé teszi
-Ellenőrzési
-Figyelmeztet
– Végrehajtás letiltása
Tanúsítványok -Lehetővé teszi
– Blokkolás és szervizelés

Tipp

A mutatókról az alábbi forrásanyagokban talál további információt:

Támadásifelület-csökkentési kizárások

A támadásifelület-csökkentési szabályok (más néven ASR-szabályok) bizonyos szoftveres viselkedéseket céloznak meg, például:

  • Fájlok letöltését vagy futtatását megkísérlő végrehajtható fájlok és parancsfájlok indítása
  • Rejtjelezettnek vagy egyéb gyanúsnak tűnő szkriptek futtatása
  • Olyan viselkedések végrehajtása, amelyeket az alkalmazások általában nem kezdeményeznek a normál napi munka során

Előfordulhat, hogy a jogos alkalmazások olyan szoftverviselkedést mutatnak, amelyet blokkolhatnak a támadásifelület-csökkentési szabályok. Ha ez történik a szervezetében, bizonyos fájlokra és mappákra kizárásokat határozhat meg. Ezek a kizárások minden támadásifelület-csökkentési szabályra érvényesek. Lásd: Támadásifelület-csökkentési szabályok engedélyezése.

Vegye figyelembe azt is, hogy bár a legtöbb ASR-szabálykizárás független Microsoft Defender víruskereső kizárásoktól, egyes ASR-szabályok bizonyos Microsoft Defender víruskereső kizárásokat is figyelembe veszik. Lásd: Támadásifelület-csökkentési szabályok referenciája – Microsoft Defender víruskereső kizárások és ASR-szabályok.

Mappahozzáférés szabályozott kizárásai

A szabályozott mappahozzáférés figyeli az alkalmazásokat a kártékonyként észlelt tevékenységek esetében, és védi bizonyos (védett) mappák tartalmát a Windows-eszközökön. Az ellenőrzött mappahozzáférés csak a megbízható alkalmazások számára teszi lehetővé a védett mappák, például a gyakori rendszermappák (beleértve a rendszerindítási szektorokat) és más, Ön által megadott mappák elérését. Bizonyos alkalmazások vagy aláírt végrehajtható fájlok kizárások definiálásával engedélyezheti a védett mappák elérését. Lásd: Szabályozott mappahozzáférés testreszabása.

Automation-mappák kizárásai

Az Automation mappakizárásai a Végponthoz készült Defender automatikus vizsgálatára és szervizelésére vonatkoznak, amely a riasztások vizsgálatára és az észlelt incidensek megoldására irányuló azonnali lépések végrehajtására szolgál. A riasztások aktiválódása és az automatizált vizsgálat futtatásakor a rendszer minden vizsgált bizonyítékra vonatkozóan ítéletet hoz (rosszindulatú, gyanús vagy nincs fenyegetés). Az automatizálási szinttől és más biztonsági beállításoktól függően a szervizelési műveletek automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajthatók végre.

Megadhat mappákat, fájlkiterjesztéseket egy adott könyvtárban, valamint olyan fájlneveket, amelyek kizárhatók az automatizált vizsgálati és javítási képességekből. Az ilyen automatizálási mappák kizárása a Végponthoz készült Defenderben előkészített összes eszközre vonatkozik. Ezekre a kizárásokra továbbra is víruskeresések vonatkoznak. Lásd: Automation-mappák kizárásainak kezelése.

A kizárások és mutatók kiértékelésének menete

A legtöbb szervezet többféle kizárási és mutatótípussal rendelkezik annak meghatározásához, hogy a felhasználók hozzáférhetnek-e egy fájlhoz vagy folyamathoz, és használhatják-e őket. A kizárások és mutatók feldolgozása egy adott sorrendben történik, hogy a szabályzatütközések szisztematikusan kezelhetők legyenek.

Az alábbi kép összefoglalja, hogyan kezeli a végponthoz készült Defender és Microsoft Defender víruskereső a kizárásokat és a mutatókat:

Képernyőkép a kizárások és mutatók kiértékelésének sorrendjéről.

A következőképpen működik:

  1. Ha Windows Defender alkalmazásvezérlés és az AppLocker nem engedélyezi az észlelt fájlokat/folyamatokat, az le lesz tiltva. Ellenkező esetben a Microsoft Defender Víruskeresőt.

  2. Ha az észlelt fájl/folyamat nem része a Microsoft Defender víruskereső kizárásának, az le van tiltva. Ellenkező esetben a Végponthoz készült Defender egyéni jelzőt keres a fájlhoz/folyamathoz.

  3. Ha az észlelt fájl/folyamat Blokkolás vagy Figyelmeztetés jelzéssel rendelkezik, akkor a művelet meg lesz hajtva. Ellenkező esetben a fájl/folyamat engedélyezett, és támadásifelület-csökkentési szabályok, ellenőrzött mappahozzáférés és SmartScreen-védelem használatával folytatja a kiértékelést.

  4. Ha az észlelt fájlt/folyamatot nem blokkolják a támadásifelület-csökkentési szabályok, a szabályozott mappahozzáférés vagy a SmartScreen-védelem, akkor a víruskereső Microsoft Defender.

  5. Ha Microsoft Defender víruskereső nem engedélyezi az észlelt fájlt/folyamatot, a rendszer ellenőrzi, hogy van-e művelet a fenyegetésazonosítója alapján.

Szabályzatütközések kezelése

Azokban az esetekben, amikor a Végponthoz készült Defender mutatói ütköznek, az alábbiakra számíthat:

  • Ha ütköző fájlmutatók vannak, a rendszer a legbiztonságosabb kivonatot használó mutatót alkalmazza. Az SHA256 például elsőbbséget élvez az SHA-1-hez képest, amely elsőbbséget élvez az MD5-höz képest.

  • Ha ütköző URL-mutatók vannak, a rendszer a szigorúbb jelzőt használja. A SmartScreen Microsoft Defender a leghosszabb URL-címet használó jelzőt alkalmazza. A például www.dom.ain/admin/ elsőbbséget élvez a következőhöz képest www.dom.ain: . (A hálózatvédelem a tartományokra vonatkozik, nem pedig a tartományok melléklapjaira.)

  • Ha egy fájlhoz vagy folyamathoz hasonló mutatók vannak, amelyek különböző műveletekkel rendelkeznek, az adott eszközcsoportra vonatkozó mutató elsőbbséget élvez az összes eszközt célzó mutatóval szemben.

Az automatizált vizsgálat és szervizelés működése mutatókkal

A Végponthoz készült Defender automatizált vizsgálati és javítási képességei először meghatározzák az egyes bizonyítékok ítéletét, majd a Végponthoz készült Defender jelzőitől függően hajtanak végre egy műveletet. Így egy fájl/folyamat "jó" ítéletet kaphat (ami azt jelenti, hogy nem találhatók fenyegetések), és továbbra is le lesz tiltva, ha ez a művelet jelzővel rendelkezik. Hasonlóképpen, egy entitás "rossz" ítéletet kaphat (ami azt jelenti, hogy rosszindulatúnak minősül), és továbbra is engedélyezve lesz, ha a művelet mutatója van.

Az alábbi ábra bemutatja, hogyan működik az automatizált vizsgálat és szervizelés a mutatókkal:

Képernyőkép az automatizált vizsgálatról, a szervizelésről és a mutatókról.

Egyéb kiszolgálói számítási feladatok és kizárások

Ha a szervezet más kiszolgálói számítási feladatokat is használ, például Exchange Server, SharePoint Server vagy SQL Server, vegye figyelembe, hogy csak a Windows Serverre telepített beépített kiszolgálói szerepkörök (amelyek a későbbi telepítés előfeltételei lehetnek) ki vannak zárva az automatikus kizárási funkcióból (és csak akkor, ha az alapértelmezett telepítési helyüket használják). Valószínűleg meg kell határoznia a víruskereső kizárásait ezekhez a többi számítási feladathoz, vagy az összes számítási feladathoz, ha letiltja az automatikus kizárásokat.

Íme néhány példa a technikai dokumentációra a szükséges kizárások azonosításához és implementálásához:

Attól függően, hogy mit használ, előfordulhat, hogy az adott kiszolgálói számítási feladat dokumentációjában kell keresnie.

Tipp

Teljesítménnyel kapcsolatos tipp Számos tényező miatt a Microsoft Defender víruskereső más víruskereső szoftverekhez hasonlóan teljesítményproblémákat okozhat a végponteszközökön. Bizonyos esetekben előfordulhat, hogy a teljesítményproblémák enyhítése érdekében hangolnia kell a Microsoft Defender víruskereső teljesítményét. A Microsoft Teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni, hogy mely fájlok, fájlelérési utak, folyamatok és fájlkiterjesztések okozhatnak teljesítményproblémákat; néhány példa:

  • A vizsgálati időt befolyásoló leggyakoribb elérési utak
  • A vizsgálati időt befolyásoló leggyakoribb fájlok
  • A vizsgálati időt befolyásoló legfontosabb folyamatok
  • A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
  • Kombinációk, például:
    • top files per extension
    • top paths per extension
    • top process per path
    • top scans per file
    • top scans per file per process

A Teljesítményelemzővel összegyűjtött információk segítségével jobban felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat. Lásd: Teljesítményelemző Microsoft Defender víruskeresőhöz.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.