管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
適用於:
- Microsoft Defender 防毒軟體
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
平台
- Windows
注意事項
身為 Microsoft MVP,Fabian Bader 參與本文並提供具體意見反應。
適用於端點的 Microsoft Defender 包含各種功能,可防止、偵測、調查及回應進階網路威脅。 這些功能包括新一代保護 (,其中包括 Microsoft Defender 防病毒軟體) 。 如同任何端點保護或防病毒軟體解決方案,有時適用於端點的 Defender 或 Microsoft Defender 防病毒軟體可能會將實際上不是威脅的檔案、資料夾或進程偵測為惡意。 即使這些實體不是真正的威脅,也可以封鎖或傳送至隔離區。
您可以採取特定動作來防止誤判和類似問題發生。 這些動作包括:
本文說明這些動作的運作方式,並說明可針對適用於端點的Defender和 Microsoft Defender防病毒軟體定義的各種排除類型。
注意
定義排除專案可降低適用於端點的Defender和Microsoft Defender防病毒軟體所提供的保護層級。 使用排除做為最後手段,並務必只定義必要的排除專案。 請務必定期檢閱您的排除專案,並移除您不再需要的排除專案。 請參閱 有關排除 和 常見錯誤的要避免重點。
提交、歸併和排除專案
當您處理誤判或產生警示的已知實體時,不一定需要新增排除專案。 有時候分類和隱藏警示就已足夠。 我們建議您將誤判 (和誤判) 提交給 Microsoft 進行分析。 下表說明一些案例,以及在檔案提交、警示隱藏和排除方面所要採取的步驟。
| 案例 | 要考慮的步驟 |
|---|---|
| 誤判:偵測到某個實體,例如檔案或進程,並識別為惡意,即使實體不是威脅也一樣。 | 1. 檢閱並分類 因偵測到的實體而產生的警示。 2.隱藏已知實體的 警示 。 3.檢閱針對偵測到的實體所採取的 補救動作 。 4. 將誤判提交給 Microsoft 進行分析。 5.只有在必要時,才定義實體 (的 排除) 。 |
| 效能問題 ,例如下列其中一個問題: - 系統有高 CPU 使用量或其他效能問題。 - 系統發生記憶體流失問題。 - 應用程式在裝置上載入的速度很慢。 - 應用程式在裝置上開啟檔案的速度很慢。 |
1.收集 Microsoft Defender 防病毒軟體的診斷數據。 2.如果您使用非 Microsoft 防病毒軟體解決方案,請 洽詢廠商是否有任何必要的排除專案。 3. 分析 Microsoft 保護記錄 以查看預估的效能影響。 4.視需要定義 Microsoft Defender 防病毒軟體 (的排除) 。 5. Create 適用於端點的Defender指標 (只有在必要時) 。 |
| 非 Microsoft 防病毒軟體產品的相容性問題。 範例:適用於端點的 Defender 依賴裝置的安全情報更新,不論裝置是 Microsoft Defender 防病毒軟體或非 Microsoft 防病毒軟體解決方案執行。 |
1.如果您使用非 Microsoft 防病毒軟體產品作為主要防病毒軟體/反惡意代碼解決方案,請將 Microsoft Defender 防病毒軟體設定為被動模式。 2.如果您要從非 Microsoft 防病毒軟體/反惡意代碼解決方案切換至適用於端點的 Defender,請參閱 切換至適用於端點的 Defender。 此指引包括: - 您可能需要為非 Microsoft 防病毒軟體/反惡意代碼解決方案定義排除專案; - 您可能需要為 Microsoft Defender 防病毒軟體定義排除專案;以及 - 針對移轉) 時發生錯誤 (信息進行疑難解答。 |
重要事項
「允許」指標是您可以在適用於端點的Defender中定義的最強排除類型。 請務必只在必要) 時謹慎使用指標 (,並定期檢閱所有排除專案。
提交檔案以進行分析
如果您認為檔案被錯誤偵測為惡意代碼 (誤判) ,或您懷疑的檔案可能是惡意代碼,即使未偵測到該檔案 (誤判) ,您可以將檔案提交給 Microsoft 進行分析。 您的提交會立即掃描,然後由 Microsoft 安全性分析師檢閱。 您可以在提交 歷程記錄頁面上檢查提交狀態。
提交檔案進行分析有助於減少所有客戶的誤判和誤判。 若要深入了解,請參閱下列文章:
- 提交檔案以供 所有客戶 (分析)
- 使用適用於端點的 Defender 中新的統一提交入口網站提交檔案 (可供具有適用於端點的 Defender 方案 2 或 Microsoft Defender 全面偵測回應)
隱藏警示
如果您在 Microsoft Defender 入口網站中收到您知道實際上不是威脅之工具或程式的警示,您可以隱藏這些警示。 若要隱藏警示,您可以建立隱藏規則,並指定要針對其他相同警示採取哪些動作。 您可以針對單一裝置上的特定警示,或針對組織中具有相同標題的所有警示,建立隱藏規則。
若要深入了解,請參閱下列文章:
排除專案和指標
有時候,排除一詞是用來參考適用於端點的Defender和Microsoft Defender防病毒軟體的例外狀況。 描述這些例外狀況的更精確方式如下:
- 適用於端點的Defender指標; (適用於適用於端點的Defender和 Microsoft Defender防病毒軟體) ;以及
- Microsoft Defender 防病毒軟體的排除專案。
下表摘要說明可針對適用於端點的Defender和 Microsoft Defender防病毒軟體定義的排除類型。
提示
- 適用於端點的Defender方案1可作為獨立方案使用,並包含在Microsoft 365 E3中。
- 適用於端點的 Defender 方案 2 可作為獨立方案使用,並包含在 Microsoft 365 E5 中。
- 如果您有 Microsoft 365 E3 或 E5,請務必設定適用於端點的 Defender 功能。
| 產品/服務 | 排除類型 |
|---|---|
| Microsoft Defender 防毒軟體 適用於端點的Defender方案1或方案2 |
- Windows Server 2016 及更新版本) 上作用中角色的自動排除 ( - Windows) 中操作系統檔案的內建排除 ( - 自定義排除專案,例如進程型排除專案、資料夾位置型排除專案、擴展名排除專案,或內容相關檔案和資料夾排除專案 - 根據威脅嚴重性或特定威脅的自定義補救動作 適用於端點的 Defender 方案 1 和方案 2 的獨立版本不包含伺服器授權。 若要讓伺服器上線,您需要另一個授權,例如伺服器的 適用於端點的 Microsoft Defender 或伺服器方案 1 或 2 的 Microsoft Defender。 若要深入瞭解,請參閱 適用於端點的Defender上線 Windows Server。 如果您是使用 適用於企業的 Microsoft Defender 的中小型企業,您可以取得 適用於商業伺服器的 Microsoft Defender。 |
| 適用於端點的Defender方案1或方案2 | - 檔案、憑證或IP位址、URL/網域的指標 - 受攻擊面縮小排除專案 - 受控資料夾存取排除專案 |
| 適用於端點的 Defender 方案 2 | 自動化資料夾排除 (,以進行自動化調查和補救) |
下列各節會更詳細地描述這些排除專案:
- Microsoft Defender 防毒軟體排除
- 適用於端點的Defender指標
- 受攻擊面縮小排除專案
- 受控資料夾存取排除專案
- 自動化資料夾排除 (,以進行自動化調查和補救)
Microsoft Defender 防毒軟體排除
Microsoft Defender 防病毒軟體排除專案可以套用至防病毒軟體掃描和/或實時保護。 這些排除專案包括:
- Windows Server 2016 和更新版本) 上伺服器角色的自動排除 (
- 所有 Windows) 版本中作業系統檔案的內建排除 (
- 必要時,您指定之檔案和資料夾的自定義排除 ()
- 自定義補救動作 (判斷偵測到的威脅)
自動排除
自動排除 (也稱為 自動伺服器角色排除) 包括 Windows Server 中伺服器角色和功能的排除專案。 這些排除專案不會由 即時保護 掃描,但仍受限於 快速、完整或隨選的防病毒軟體掃描。
範例包含:
- 檔案復寫服務 (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS 伺服器
- 列印伺服器
- 網頁伺服器
- Windows Server Update Services
- ...和更多。
注意事項
Windows Server 2012 R2 不支援伺服器角色的自動排除。 針對執行 Windows Server 2012 R2 且已安裝 Active Directory 網域服務 (AD DS) 伺服器角色的伺服器,必須手動指定域控制器的排除專案。 請參閱 Active Directory 排除專案。
如需詳細資訊,請參閱 自動排除伺服器角色。
內建排除專案
內建排除專案包括所有 Windows (版本上 Microsoft Defender 防病毒軟體排除的特定操作系統檔案,包括 Windows 10、Windows 11 和 Windows Server) 。
範例包含:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update 檔案
- Windows 安全性 檔案
- 還有更多。
隨著威脅環境的變更,Windows 中的內建排除專案清單會保持在最新狀態。 若要深入瞭解這些排除專案,請參閱 Microsoft Defender Windows Server 上的防病毒軟體排除專案:內建排除專案。
自定義排除專案
自訂排除專案 包括您指定的檔案和資料夾。 排程掃描、隨選掃描和即時保護會略過檔案、資料夾和進程的排除範圍。 進程開啟檔案的排除專案不會由 即時保護 進行掃描,但仍受限於 快速、完整或隨選防病毒軟體掃描。
自定義補救動作
當 Microsoft Defender 防病毒軟體在執行掃描時偵測到潛在威脅時,會嘗試補救或移除偵測到的威脅。 您可以定義自定義補救動作,以設定 Microsoft Defender 防病毒軟體應如何解決特定威脅、是否應在補救之前建立還原點,以及何時應移除威脅。 設定 Microsoft Defender 防病毒軟體偵測的補救動作。
適用於端點的Defender指標
您可以使用實體的特定動作來定義 指標 ,例如檔案、IP 位址、URL/網域和憑證。 在適用於端點的 Defender 中,指標稱為「入侵指標 (IoC) ,而較不常稱為自定義指標。 當您定義指標時,可以指定下列其中一個動作:
允許 – 適用於端點的 Defender 不會封鎖具有允許指標的檔案、IP 位址、URL/網域或憑證。 (謹慎使用此動作。)
稽核 – 具有稽核指標的檔案、IP 位址和 URL/網域會受到監視,而且當使用者存取它們時,會在 Microsoft Defender 入口網站中產生資訊警示。
封鎖和補救 – 偵測到具有封鎖和補救指標的檔案或憑證會遭到封鎖和隔離。
封鎖執行 – 封鎖具有區塊執行指標的IP位址和URL/網域。 用戶無法存取這些位置。
警告 – 具有警告指標的IP位址和URL/網域會在用戶嘗試存取這些位置時顯示警告訊息。 用戶可以選擇略過警告,並繼續進行IP位址或URL/網域。
重要事項
您的租使用者中最多可以有15,000個指標。
下表摘要說明 IoC 類型與可用的動作:
| 指標類型 | 可用的動作 |
|---|---|
| Files | -允許 -審計 -警告 - 封鎖執行 - 封鎖和補救 |
| IP 位址和網址和網址 | -允許 -審計 -警告 - 封鎖執行 |
| 憑證 | -允許 - 封鎖和補救 |
提示
若要深入了解指標,請參閱下列資源:
受攻擊面縮小排除專案
受攻擊面縮小規則 (也稱為 ASR 規則,) 以特定軟體行為為目標,例如:
- 啟動嘗試下載或執行檔案的可執行檔和指令碼
- 執行看似模糊化或可疑的腳本
- 執行應用程式通常不會在一般日常工作期間起始的行為
有時候,合法的應用程式會展現可能遭到受攻擊面縮小規則封鎖的軟體行為。 如果是在您的組織中發生,您可以定義特定檔案和資料夾的排除專案。 這類排除專案會套用至所有受攻擊面縮小規則。 請參閱 啟用受攻擊面縮小規則。
另請注意,雖然大部分的 ASR 規則排除專案與 Microsoft Defender 防病毒軟體排除項目無關,但某些 ASR 規則確實接受一些 Microsoft Defender 防病毒軟體排除專案。 請參閱受攻擊面縮小規則參考 - Microsoft Defender 防病毒軟體排除專案和 ASR 規則。
受控資料夾存取排除專案
受控資料夾存取權 會監視應用程式中偵測到惡意的活動,並保護 Windows 裝置上特定 (受保護) 資料夾的內容。 受控資料夾存取只允許受信任的應用程式存取受保護的資料夾,例如一般系統資料夾 (包括開機扇區) 以及您指定的其他資料夾。 您可以藉由定義排除專案,允許特定應用程式或已簽署的可執行檔存取受保護的資料夾。 請參閱 自定義受控資料夾存取權。
自動化資料夾排除專案
自動化資料夾排除專案適用於適用於端點的Defender中的 自動化調查和補救 ,其設計目的是檢查警示並立即採取行動來解決偵測到的缺口。 當警示觸發並執行自動化調查時,系統會針對每個調查證據 (達到「惡意」、「可疑」或「找不到任何威脅」的決策) 。 根據 自動化層級 和其他安全性設定,補救動作可能會自動發生,或只有在安全性作業小組核准時才會發生。
您可以指定資料夾、特定目錄中的擴展名,以及要從自動化調查和補救功能中排除的檔名。 這類自動化資料夾排除專案適用於已上線至適用於端點的Defender的所有裝置。 這些排除專案仍受限於防病毒軟體掃描。 請 參閱管理自動化資料夾排除專案。
如何評估排除專案和指標
大部分的組織都有數種不同類型的排除和指標,可判斷使用者是否能夠存取及使用檔案或程式。 排除專案和指標會以特定順序處理,以便 有系統地處理原則衝突。
下圖摘要說明如何跨適用於端點的Defender和 Microsoft Defender 防病毒軟體處理排除和指標:
以下為運作方式:
如果 Windows Defender 應用程控和 AppLocker 不允許偵測到的檔案/進程,則會遭到封鎖。 否則,它會繼續 Microsoft Defender 防病毒軟體。
如果偵測到的檔案/進程不是排除 Microsoft Defender 防病毒軟體的一部分,則會遭到封鎖。 否則,適用於端點的 Defender 會檢查檔案/進程的自定義指標。
如果偵測到的檔案/進程具有封鎖或警告指標,則會採取該動作。 否則,允許檔案/進程,並繼續依受攻擊面縮小規則、受控資料夾存取權和SmartScreen保護進行評估。
如果偵測到的檔案/進程未遭到受攻擊面縮小規則、受控資料夾存取或SmartScreen保護封鎖,則會繼續 Microsoft Defender防病毒軟體。
如果 Microsoft Defender 防病毒軟體不允許偵測到的檔案/進程,則會根據其威脅標識符來檢查動作。
如何處理原則衝突
在適用於端點的 Defender 指標發生衝突的情況下,以下是預期的情況:
如果有衝突的檔案指標,則會套用使用最安全哈希的指標。 例如,SHA256 的優先順序高於SHA-1,其優先順序高於MD5。
如果有衝突的 URL 指標,則會使用更嚴格的指標。 針對 Microsoft Defender SmartScreen,會套用使用最長 URL 路徑的指標。 例如,
www.dom.ain/admin/優先權高於www.dom.ain。 (網路保護 適用於網域,而不是 domain.)如果具有不同動作的檔案或進程有類似的指標,則以特定裝置群組為範圍的指標優先於以所有裝置為目標的指標。
自動化調查和補救如何搭配指標運作
適用於端點的 Defender 中的自動化調查和補救功能會先決定每個辨識項的決策,然後根據適用於端點的 Defender 指標採取動作。 因此,檔案/程式可能會得到「良好」的決策 (這表示找不到任何威脅) ,而且如果該動作有指標,仍會遭到封鎖。 同樣地,實體可能會收到「不正確」 (的判斷,這表示它判斷為惡意) ,如果有該動作的指標,仍可允許。
下圖顯示 自動化調查和補救如何與指標搭配運作:
其他伺服器工作負載和排除專案
如果您的組織使用其他伺服器工作負載,例如 Exchange Server、SharePoint Server 或 SQL Server,請注意,只有內建伺服器角色 (可能是您稍後在 Windows Server 上安裝) 軟體的必要條件,則只有在使用預設安裝位置時,才會排除自動排除功能 (,而且只有在使用其默認安裝位置時,才會) 。 如果您停用自動排除專案,您可能需要為這些其他工作負載定義防病毒軟體排除專案,或針對所有工作負載定義防病毒軟體排除專案。
以下是一些技術檔範例,可識別並實作您需要的排除專案:
根據您使用的專案,您可能需要參閱該伺服器工作負載的檔。
提示
效能提示由於各種因素,Microsoft Defender 防病毒軟體和其他防病毒軟體一樣,可能會在端點裝置上造成效能問題。 在某些情況下,您可能需要調整 Microsoft Defender 防病毒軟體的效能,以減輕這些效能問題。 Microsoft 的 效能分析器 是一種 PowerShell 命令行工具,可協助判斷哪些檔案、檔案路徑、程式和擴展名可能會造成效能問題;一些範例包括:
- 影響掃描時間的最上層路徑
- 影響掃描時間的熱門檔案
- 影響掃描時間的熱門程式
- 影響掃描時間的最上層擴展名
- 組合,例如:
- 每個擴充功能的頂端檔案
- 每個擴充功能的最上層路徑
- 每個路徑的前置進程
- 每個檔案的最上層掃描
- 每個進程每個檔案的掃描數目最高
您可以使用效能分析器所收集的信息,進一步評估效能問題並套用補救動作。 請參閱:Microsoft Defender 防病毒軟體的效能分析器。
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應