Настройка настраиваемых исключений для антивирусной программы Microsoft Defender

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Антивирусная программа в Microsoft Defender

Платформы

• Windows

Как правило, не нужно определять исключения для Microsoft Defender антивирусной программы. Однако при необходимости файлы, папки, процессы и файлы, открытые процессом, можно исключить из Microsoft Defender проверок антивирусной программы. Эти типы исключений называются пользовательскими исключениями. В этой статье описывается определение настраиваемых исключений для антивирусной программы Microsoft Defender с Microsoft Intune, а также ссылки на другие ресурсы для получения дополнительных сведений.

Пользовательские исключения применяются к запланированным проверкам, проверкам по запросу и постоянной защите и мониторингу в режиме реального времени. Исключения для файлов, открытых процессами, применяются только к защите в режиме реального времени.

Совет

Подробный обзор подавления, отправки и исключений в Microsoft Defender антивирусной программы и Defender для конечной точки см. в разделе Исключения для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.

Настройка и проверка исключений

Предостережение

Используйте расширения антивирусной программы Microsoft Defender экономно. Обязательно просмотрите сведения в разделе Управление исключениями для Microsoft Defender для конечной точки и антивирусной Microsoft Defender.

Если вы используете Microsoft Intune для управления Microsoft Defender антивирусной или Microsoft Defender для конечной точки, используйте следующие процедуры для определения исключений:

• Управление исключениями антивирусной программы в Intune (для существующих политик)
• Создание политики антивирусной программы с исключениями в Intune

Если вы используете другое средство, например Configuration Manager или групповая политика, или хотите получить более подробные сведения о пользовательских исключениях, см. следующие статьи:

• Настройка и проверка исключений на основе расширения файла и расположения папки
• Настройка исключений для файлов, открытых процессами

Управление исключениями антивирусной программы в Intune (для существующих политик)

1. В Центре администрирования Microsoft Intune выберитеАнтивирусная программадля обеспечения безопасности> конечных точек, а затем выберите существующую политику. (Если у вас нет политики или вы хотите создать новую политику, перейдите к разделу Создание новой антивирусной политики с исключениями в Intune.)

2. Выберите Свойства и рядом с элементом Параметры конфигурации нажмите кнопку Изменить.

3. Разверните узел Microsoft Defender Исключения антивирусной программы, а затем укажите исключения.

   • Исключенные расширения — это исключения, которые определяются расширением типа файла. Эти расширения применяются к любому имени файла с определенным расширением без пути к файлу или папке. Каждый тип файла в списке должен быть разделен символом | . Например, lib|obj. Дополнительные сведения см. в разделе ExcludedExtensions.
   • Исключенные пути — это исключения, определяемые по их расположению (пути). Эти типы исключений также называются исключениями файлов и папок. Разделите каждый путь в списке символом | . Например, C:\Example|C:\Example1. Дополнительные сведения см. в разделе ExcludedPaths.
   • Исключенные процессы — это исключения для файлов, которые открываются определенными процессами. Разделите каждый тип файла в списке символом | . Например, C:\Example. exe|C:\Example1.exe. Эти исключения не относятся к фактическим процессам. Чтобы исключить процессы, можно использовать исключения файлов и папок. Дополнительные сведения см. в разделе ExcludedProcesses.

4. Выберите Просмотр и сохранение, а затем нажмите кнопку Сохранить.

Создание политики антивирусной программы с исключениями в Intune

1. В центре администрирования Microsoft Intune выберитеАнтивирусная программа> для защиты конечных> точек+ Создать политику.

2. Выберите платформу (например, Windows 10, Windows 11 и Windows Server).

3. В поле Профиль выберите Microsoft Defender Исключения антивирусной программы, а затем нажмите кнопку Создать.

4. На шаге Создание профиля укажите имя и описание профиля, а затем нажмите кнопку Далее.

5. На вкладке Параметры конфигурации укажите исключения антивирусной программы и нажмите кнопку Далее.

   • Исключенные расширения — это исключения, которые определяются расширением типа файла. Эти расширения применяются к любому имени файла с определенным расширением без пути к файлу или папке. Разделите каждый тип файла в списке символом | . Например, lib|obj. Дополнительные сведения см. в разделе ExcludedExtensions.
   • Исключенные пути — это исключения, определяемые по их расположению (пути). Эти типы исключений также называются исключениями файлов и папок. Разделите каждый путь в списке символом | . Например, C:\Example|C:\Example1. Дополнительные сведения см. в разделе ExcludedPaths.
   • Исключенные процессы — это исключения для файлов, которые открываются определенными процессами. Разделите каждый тип файла в списке символом | . Например, C:\Example. exe|C:\Example1.exe. Эти исключения не относятся к фактическим процессам. Чтобы исключить процессы, можно использовать исключения файлов и папок. Дополнительные сведения см. в разделе ExcludedProcesses.

6. Если вы используете теги область в организации, на вкладке Теги области укажите область теги для создаваемой политики. (См . теги области.)

7. На вкладке Назначения укажите пользователей и группы, к которым должна применяться политика, а затем нажмите кнопку Далее. (Если вам нужна помощь с назначениями, см. статью Назначение профилей пользователей и устройств в Microsoft Intune.)

8. На вкладке Просмотр и создание просмотрите параметры и нажмите кнопку Создать.

Важные моменты об исключениях

Определение исключений снижает защиту, предлагаемую антивирусной программой Microsoft Defender. Всегда следует оценивать риски, связанные с реализацией исключений, и исключать только файлы, которые, как вы уверены, не являются вредоносными.

Исключения напрямую влияют на возможность Microsoft Defender антивирусной программы блокировать, исправлять или проверять события, связанные с файлами, папками или процессами, добавленными в список исключений. Пользовательские исключения могут влиять на функции, которые напрямую зависят от антивирусной подсистемы (например, защита от вредоносных программ, операции ввода-вывода файлов и операции ввода-вывода сертификатов). Исключения процессов также влияют на правила защиты сети и сокращения направлений атак. В частности, исключение процесса на любой платформе приводит к тому, что защита сети и ASR не могут проверять трафик или применять правила для этого конкретного процесса.

При определении исключений учитывайте следующие моменты:

• Исключения технически являются пробелом в защите. Учитывайте все варианты при определении исключений. См . раздел Отправки, подавления и исключения.

• Периодически проверяйте исключения. Повторная проверка и повторное применение мер по устранению рисков в рамках процесса проверки.

• В идеале избегайте определения исключений при попытке быть упреждающим. Например, не исключайте что-то только потому, что вы думаете, что это может стать проблемой в будущем. Используйте исключения только для конкретных проблем, таких как проблемы, связанные с производительностью или совместимостью приложений, которые могут устранить исключения.

• Просмотрите и проверьте изменения в списке исключений. Команда безопасности должна сохранить контекст о том, почему было добавлено определенное исключение, чтобы избежать путаницы в дальнейшем. Ваша команда безопасности должна иметь возможность предоставить конкретные ответы на вопросы о том, почему существуют исключения.

Аудит исключений антивирусной программы в системах Exchange

Microsoft Exchange поддерживает интеграцию с интерфейсом проверки антивредоносных программ (AMSI) с июня 2021 г. Ежеквартальное Обновления для Exchange (см. раздел Запуск антивирусной программы Windows на серверах Exchange). Настоятельно рекомендуется установить эти обновления и убедиться, что AMSI работает правильно. См. Microsoft Defender сведения об аналитике безопасности антивирусной программы и обновлениях продуктов.

Многие организации исключают каталоги Exchange из антивирусных проверок по соображениям производительности. Корпорация Майкрософт рекомендует проводить аудит Microsoft Defender исключений антивирусной программы в системах Exchange и оценивать, можно ли удалять исключения без ущерба для производительности в вашей среде, чтобы обеспечить наивысший уровень защиты. Исключениями можно управлять с помощью групповая политика, PowerShell или средств управления системами, таких как Microsoft Intune.

Чтобы проверить Microsoft Defender исключения антивирусной программы на Exchange Server, выполните команду Get-MpPreference из командной строки PowerShell с повышенными привилегиями. (См . раздел Get-MpPreference.)

Если не удается удалить исключения для процессов и папок Exchange, помните, что при выполнении быстрой проверки в Microsoft Defender антивирусная программа сканирует каталоги и файлы Exchange независимо от исключений.

См. также

• Microsoft Defender исключения антивирусной программы в Windows Server 2016 и более поздних версиях
• Распространенные ошибки, которых следует избегать при определении исключений
• Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
• Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux
• Настройка и проверка исключений для Microsoft Defender для конечной точки в macOS

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.