不惡意的檔案如果與惡意程式共享某些特徵,可能會被錯誤地識別為惡意程式。如果某個檔案已知為良性且被識別為惡意程式,您可以為該檔案或檢測到該檔案的規則創建例外。當創建例外時,伺服器與工作負載保護 不會對被例外處理的檔案或規則觸發事件。
如需了解惡意程式防護模組的防護總覽,請參閱 防護惡意程式。
 |
注意您也可以從即時、手動和預約掃瞄中排除檔案。請參閱 指定要掃瞄的檔案。
|
可以為以下類型的惡意程式和惡意程式掃描建立例外:
-
惡意程式防護掃描
-
Machine Learning 掃描(如需資訊,請參閱 使用 Machine Learning 偵測新興威脅。)
-
掃瞄間諜程式和可能的資安威脅程式(如需資訊,請參閱 掃瞄間諜程式和可能的資安威脅程式)
-
行為監控保護(如需資訊,請參閱 透過行為監控加強惡意程式防護和勒索軟體掃描)
您也可以排除由受信任憑證簽署的檔案,使其不受惡意程式防護掃描。此功能在 Windows 上的 20.0.0-3445+ 版本代理程式中受支援。詳情請參閱 排除由受信任憑證簽署的檔案。
伺服器與工作負載保護 在政策和電腦防護屬性中維護每種類型的惡意程式掃瞄例外清單。
-
要查看例外列表,請打開政策或電腦防護編輯器。
-
點選 。
您可以查看和編輯以下例外清單:
-
Allowed Spyware/Grayware: 允許被識別為間諜程式或可能的資安威脅程式的應用程式在某些系統上保留。使用惡意程式防護的間諜程式檢測事件來添加例外。
-
Rule Exceptions:根據規則 ID 創建檢測例外。通過查看 Events & Reports 中的事件來定位規則 ID。規則例外適用於惡意程式防護掃描和行為監控。
-
Behavior Monitoring Protection Exceptions: 將檔案排除在行為監控保護檢測之外。
-
Predictive Machine Learning Detection Exceptions: 根據 SHA1 雜湊值豁免檔案。
-
Trusted Certificates Detection Exceptions: 選擇是否要將擁有受信任憑證的檔案排除在檢測之外。
另請參閱 掃瞄例外建議。
從惡意程式防護事件中建立檔案例外
當檔案被識別為惡意程式時,伺服器與工作負載保護 會生成一個惡意程式防護事件。如果您知道該檔案是良性的,您可以從事件報告中為該檔案創建一個例外。
- 點選 並找到惡意程式偵測事件。
- 右鍵點選事件。
- 選擇允許。
手動建立惡意程式防護例外
|
注意創建超過 512 個惡意程式防護例外條目將導致例外停止運作。
|
-
Spyware or grayware: 在惡意程式防護事件的 "MALWARE" 欄位中的值。例如,
SPY_CCFR_CPP_TEST.A。 -
Rule exceptions:在Anti-Malware Event Viewer的安全威脅資訊部分中找到的規則 ID。例如,
RAN4685T注意
規則 ID 是區分大小寫的。目前不支援使用規則 ID 創建針對機器學習相關的 TRX 惡意程式(例如 Ransom.Win32.TRX)或 VSAPIX 惡意程式(例如 Trojan.Win32.VSX.PE04C93)的規則例外。 -
Behavior monitoring: 處理影像路徑。例如,
C:\test.exe。 -
Predictive machine learning:來自惡意程式防護事件的「檔案 SHA-1」欄位的檔案 SHA1 摘要。例如,
3395856CE81F2B7382DEE72602F798B642F14140。
 |
重要
|
-
點選 並複製識別惡意程式所需的欄位值。
-
打開您要在其中創建例外的策略或電腦防護編輯器。
-
點選 。
-
將資訊新增至適當的例外清單中。
-
請點選「新增」。
例外清單萬用字元技術支援中心
Behavior Monitoring Protection Exceptions 清單支援在定義檔案路徑、檔案名稱和檔案副檔名例外類型時使用萬用字元。請使用下表正確格式化您的例外清單,以確保 伺服器與工作負載保護 排除正確的檔案和資料夾進行掃描。
支援的萬用字元:
- 星號 (*):代表任何字符或字符串
|
注意行為監控保護例外列表不支援使用萬用字元來取代系統磁碟機指定或在通用命名規則 (UNC) 地址中使用。
|
|
例外類型
|
萬用字元使用
|
匹配
|
不匹配
|
||
|
目錄
|
C:\*排除指定磁碟上的所有檔案和資料夾
|
|
|
||
|
特定資料夾層級下的特定檔案
|
C:\*\Sample.exe排除
Sample.exe僅當檔案位於任何子資料夾中時 C:\目錄 |
|
|
||
|
通用命名慣例 (UNC) 路徑
|
\<UNC path>\*\Sample.exe排除
Sample.exe 僅當檔案位於指定 UNC 路徑的任何子資料夾中時
|
|
|
||
|
檔名和副檔名
|
C:\*.*排除所有資料夾和子資料夾中具有副檔名的所有檔案
C:\目錄 |
|
|
||
|
檔案名稱
|
C:\*.exe排除所有具有
.exe在所有資料夾及子資料夾中的擴充功能 C:\目錄 |
|
|
||
|
副檔名
|
C:\Sample.*排除所有名稱為
Sample以及任何擴充功能在 C:\目錄 |
|
|
||
|
特定目錄結構中的檔案
|
C:\*\*\Sample.exe排除位於第二層子資料夾或任何後續子資料夾中的所有檔案
C:\具有檔案名稱和副檔名的目錄 Sample.exe |
|
|
間諜程式和可能的資安威脅程式的例外策略
當偵測到間諜程式時,惡意程式可以根據控制掃瞄的惡意程式掃瞄配置立即清除、隔離或刪除。在您為間諜程式或可能的資安威脅程式事件建立例外後,您可能需要還原該檔案。(請參閱
還原已識別的檔案。)
或者,您可以暫時掃瞄間諜程式和可能的資安威脅程式,並將動作設置為「暫不處理」,這樣所有間諜程式和可能的資安威脅程式的偵測都會記錄在惡意程式防護事件頁面上,但不會被清除、隔離或刪除。然後,您可以為偵測到的間諜程式和可能的資安威脅程式創建例外。當您的例外清單足夠完善時,您可以將動作設置為「已清除」、「隔離」或「刪除」模式。
如需有關設定動作的資訊,請參閱 設定如何處理惡意程式。
掃瞄例外建議
掃瞄例外的最佳和最全面的來源是軟體供應商。以下是一些高層次的掃瞄例外建議:
- 隔離資料夾(例如 Microsoft Windows Exchange Server 上的 SMEX)應排除在外,以避免重新掃描已確認為惡意程式的檔案。
- 大型資料庫和資料庫檔案(例如,dsm.mdf 和 dsm.ldf)應該排除在外,因為掃瞄可能會影響資料庫效能。如果有必要掃瞄資料庫檔案,您可以建立排程任務,在非高峰時段掃瞄資料庫。由於 Microsoft SQL Server 資料庫是動態的,請將目錄和備份資料夾排除在掃瞄清單之外:
適用於 Windows:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\${Windir}\WINNT\Cluster # 如果使用 SQL 群集問:#\ 如果使用\ SQL\ 叢集適用於 Linux:
/var/lib/mysql/ # 如果路徑設置為此,則為機器上 MySQL 的資料防護位置資訊。/mnt/volume-mysql/ # 如果路徑設置為機器中 MySQL 的此資料防護位置資訊。如需推薦的掃瞄例外清單,請參閱 趨勢科技推薦的掃瞄例外清單。Microsoft 也維護了一份 防病毒例外清單,您可以用作排除 Windows 伺服器上檔案掃瞄的參考。
排除由受信任憑證簽署的檔案
如果您有已簽署的應用程式並希望將這些程序的所有活動從即時惡意程式防護掃描(包括檔案掃描、行為監控和Machine Learning)中排除,您可以將數位憑證新增到伺服器與工作負載保護中的受信任憑證列表。
|
注意此類排除在 Windows 上的 20.0.0-3549+ 版本代理程式中受支援。
|
- 在政策或電腦防護編輯器中,前往。
- 在Trusted Certificates Detection Exemptions部分,將Exclude files with trusted certificate設置為“是”或“繼承(是)”。
- 選擇Manage Certificate List。
- 信任憑證視窗顯示您已匯入的所有憑證。選擇Import From File以新增另一個掃瞄排除項目。
- 選擇憑證檔案,然後選擇下一步。
- 檢視顯示的憑證摘要,並將 Trust this certificate for 設定為 Scan Exclusions。選擇 下一步。
- 摘要頁面顯示匯入是否成功。選擇關閉。
匯入的憑證會出現在受信任的憑證列表中,Purpose 列為 Exception。
 |
秘訣伺服器與工作負載保護 在進程啟動時檢查豁免列表。如果在配置豁免之前進程已經在運行,則該進程在重新啟動之前不會被添加到豁免列表中。
|