Végponthoz készült Microsoft Defender Windows Server SAP-val
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender kiszolgálókhoz
- Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz
Ha a szervezete SAP-t használ, fontos tisztában lenni a víruskereső és végpontészlelési és -válasz (EDR) képességek kompatibilitásával és támogatásával az Végponthoz készült Microsoft Defender és az SAP-alkalmazásokban. Ez a cikk segít megérteni az SAP által az olyan végpontvédelmi biztonsági megoldásokhoz nyújtott támogatást, mint a Végponthoz készült Defender, és hogyan működnek együtt az SAP-alkalmazásokkal.
Ez a cikk bemutatja, hogyan használhatja a Végponthoz készült Defendert Windows Server sap-alkalmazások, például a NetWeaver és az S4 Hana, valamint az SAP önálló motorjai, például a LiveCache mellett. Ebben a cikkben a végponthoz készült Defender víruskereső és EDR-képességeire összpontosítunk; A Végponthoz készült Defender azonban további képességeket is tartalmaz. A Végponthoz készült Defender összes funkciójának áttekintését lásd: Végponthoz készült Microsoft Defender.
Ez a cikk nem fedi le az SAP-ügyfélszoftvereket, például az SAPGUI-t vagy Microsoft Defender víruskeresőt Windows-ügyféleszközökön.
Nagyvállalati biztonság és az SAP Alap csapata
A nagyvállalati biztonság egy speciális szerepkör, és az ebben a cikkben leírt tevékenységeket a vállalati biztonsági csapat és az SAP Basis csapata közötti közös tevékenységként kell megtervezni. A vállalati biztonsági csapatnak össze kell hangolnia az SAP Basis csapatával, közösen kell megterveznie a Végponthoz készült Defender konfigurációját, és elemeznie kell a kizárásokat.
A Végponthoz készült Defender áttekintése
A Végponthoz készült Defender a Microsoft Defender XDR összetevője, és integrálható az SIEM/SOAR megoldással.
Mielőtt elkezdené megtervezni vagy üzembe helyezni a Végponthoz készült Defendert az SAP-Windows Server, szánjon egy kis időt a Végponthoz készült Defender áttekintésére. Az alábbi videó áttekintést nyújt:
A Végponthoz készült Defenderről és a Microsoft biztonsági ajánlatairól a következő forrásanyagokban talál részletesebb információt:
A Végponthoz készült Defender olyan képességeket tartalmaz, amelyek túlmutatnak a jelen cikk hatókörén. Ebben a cikkben két fő területre összpontosítunk:
- Következő generációs védelem (beleértve a vírusvédelmet is). A következő generációs védelem olyan víruskereső termék, mint más víruskereső megoldások Windows-környezetekhez.
- EDR. Az EDR-képességek észlelik a gyanús tevékenységeket és a rendszerhívásokat, és további védelmi réteget biztosítanak a vírusvédelem megkerülésével szemben.
A Microsoft és más biztonsági szoftvergyártók nyomon követik a fenyegetéseket, és trendadatokat nyújtanak. További információ: Kibertámadások, vírusok és kártevők – Microsoft biztonsági intelligencia.
Megjegyzés:
A Linuxon futó SAP Microsoft Defender kapcsolatos információkért lásd: Üzembehelyezési útmutató az SAP-hoz készült Linux Végponthoz készült Microsoft Defender esetén. A Végponthoz készült Defender Linuxon jelentősen eltér a Windows verziójától.
SAP támogatási nyilatkozat a Végponthoz készült Defenderről és más biztonsági megoldásokról
Az SAP alapvető dokumentációt biztosít a hagyományos fájlkeresési víruskereső megoldásokhoz. A hagyományos fájlkeresési víruskeresési megoldások összehasonlítják a fájlaírásokat az ismert fenyegetések adatbázisával. Fertőzött fájl azonosításakor a víruskereső szoftver általában riasztást küld és karanténba helyezi a fájlt. A fájlkeresési víruskereső megoldások mechanizmusai és viselkedése viszonylag jól ismert és kiszámítható; ezért az SAP-támogatás alapszintű támogatást nyújthat a fájlkeresési víruskereső szoftverekkel kommunikáló SAP-alkalmazásokhoz.
A fájlalapú fenyegetések csak egy lehetséges vektort jelentenek a kártékony szoftverek számára. Fájl nélküli kártevők és kártevők, amelyek a szárazföldön élnek, erősen polimorf veszélyforrások, amelyek gyorsabban mutálnak, mint a hagyományos megoldások, lépést tarthatnak, és az ember által működtetett támadások, amelyek alkalmazkodnak ahhoz, amit a támadók találnak a feltört eszközökön. A hagyományos víruskereső biztonsági megoldások nem elegendőek az ilyen támadások megállításához. Mesterséges intelligencián (AI) és eszköztanuláson (ML) alapuló képességekre van szükség, például viselkedési blokkolásra és elszigetelésre. Az olyan biztonsági szoftverek, mint a Végponthoz készült Defender, fejlett veszélyforrások elleni védelmi funkciókkal rendelkeznek a modern fenyegetések mérséklése érdekében.
A Végponthoz készült Defender folyamatosan figyeli az operációs rendszer hívásait, például a fájlolvasást, a fájlírást, a szoftvercsatornák létrehozását és más folyamatszintű műveleteket. A Végponthoz készült Defender EDR-érzékelő opportunista zárolásokat szerez be a helyi NTFS fájlrendszereken, ezért valószínűleg nem lesz hatással az alkalmazásokra. Az opportunista zárolások távoli hálózati fájlrendszereken nem lehetségesek. Ritka esetekben a zárolás általános, nem specifikus hibákat okozhat, például hozzáférés megtagadva az SAP-alkalmazásokban.
Az SAP nem tud semmilyen szintű támogatást nyújtani az EDR-/XDR-szoftverekhez, például a Microsoft Defender XDR vagy a Végponthoz készült Defenderhez. Az ilyen megoldások mechanizmusai adaptívak; ezért nem kiszámíthatók. Emellett a problémák esetleg nem reprodukálhatóak. Ha problémákat azonosít a fejlett biztonsági megoldásokat futtató rendszereken, az SAP azt javasolja, hogy tiltsa le a biztonsági szoftvert, majd próbálja meg reprodukálni a problémát. Ezután támogatási esetet hozhat létre a biztonsági szoftver gyártójánál.
Az SAP támogatási szabályzatával kapcsolatos további információkért lásd: 3356389 – Víruskereső vagy más, AZ SAP-műveleteket befolyásoló biztonsági szoftver.
Ajánlott SAP OSS-megjegyzések
Az alábbiakban felsoroljuk azokat az SAP-cikkeket, amelyek igény szerint használhatók:
- 3356389 – Sap-műveleteket befolyásoló víruskereső vagy egyéb biztonsági szoftver – SAP for Me
- 106267 – Vírusolvasó szoftver Windows rendszeren – SAP for Me
- 690449 – Átviteli puffer zárolási fájlja (. LOB) továbbra is blokkolva marad a Windowsban – SAP for Me
- 2311946 – Fájlrendszerhibák Windows rendszeren – SAP for Me
- 2496239 – Zsarolóprogramok/kártevők Windows rendszeren – SAP for Me
- 1497394 – Mely fájlokat és könyvtárakat kell kizárni az SAP BusinessObjects Üzletiintelligencia-platform termékeinek víruskereső vizsgálatából a Windowsban? – SAP for Me
Figyelem!
A Végponthoz készült Microsoft Defender tartalmaz egy Végponti adatveszteség-megelőzés (Endpoint DLP) nevű funkciót. A végpontILP nem aktiválható a NetWeaver, S4, Adobe Document Server, Archívum Servers, TREX, LiveCache vagy Content Server rendszert futtató Windows Server. Emellett kritikus fontosságú, hogy a Windows-ügyfelek, például a Windows 11-t futtató Windows-laptopok, amelyeken engedélyezve van a végponti DLP, soha ne férhessenek hozzá egyetlen SAP-alkalmazás által használt hálózati megosztáshoz sem. A konfigurációtól és a szabályzatoktól függően előfordulhat, hogy egy Windows-ügyfélszámítógép DLP-attribútumokat ír egy hálózati megosztásra.
Az Adobe Document Servers vagy Archívum rendszerek, amelyek gyorsan írnak sok fájlt az SMB-megosztásokra és/vagy a DLP-kompatibilis interfész fájlátviteli megosztásokra, fájlsérülést vagy "hozzáférés megtagadva" üzeneteket okozhatnak.
Ne tegye elérhetővé az SAP-fájlrendszereket külső Windows-ügyfélgépek számára, és ne aktiválja a végponti DLP-t az SAP-szoftvert futtató Windows-kiszolgálókon. Ne engedélyezze a Windows-ügyfelek számára az SAP-kiszolgálómegosztások elérését. Használja a Robocopyt vagy egy hasonló eszközt az Adobe Document- vagy más interfészfájlok vállalati NAS-megoldásba való másolásához.
SAP-alkalmazások a Windows Server: A 10 legfontosabb javaslat
Korlátozza az SAP-kiszolgálókhoz való hozzáférést, blokkolja a hálózati portokat, és tegyen meg minden egyéb gyakori biztonsági védelmi intézkedést. Ez az első lépés elengedhetetlen. A fenyegetési környezet a fájlalapú vírusoktól a fájl nélküli összetett és kifinomult fenyegetésekig fejlődött. Az olyan műveletek, mint a portok blokkolása és a virtuális gépekhez való bejelentkezés/hozzáférés korlátozása, már nem tekinthetők elegendőnek a modern fenyegetések teljes mérsékléséhez.
Az éles rendszereken való üzembe helyezés előtt először telepítse a Végponthoz készült Defendert nem éles rendszereken. A Végponthoz készült Defender éles rendszereken való közvetlen üzembe helyezése tesztelés nélkül rendkívül kockázatos, és állásidőt eredményezhet. Ha nem tudja késleltetni a Végponthoz készült Defender üzembe helyezését az éles rendszereken, fontolja meg az illetéktelen módosítás elleni védelem és a valós idejű védelem ideiglenes letiltását.
Ne feledje, hogy a valós idejű védelem alapértelmezés szerint engedélyezve van Windows Server. Ha olyan problémákat talál, amelyek a Végponthoz készült Defenderrel kapcsolatosak, javasoljuk, hogy konfigurálja a kizárásokat, és/vagy nyisson meg egy támogatási esetet a Microsoft Defender portálon.
Az SAP Basis csapatának és a biztonsági csapatnak együtt kell működnie a Végponthoz készült Defender üzembe helyezésén. A két csapatnak közösen kell létrehoznia egy szakaszos üzembe helyezési, tesztelési és monitorozási tervet.
A Végponthoz készült Defender üzembe helyezése és aktiválása előtt használjon olyan eszközöket, mint a PerfMon (Windows). Hasonlítsa össze a végponthoz készült Defender aktiválása előtti és utáni teljesítménykihasználtságot. További információ: teljesítményfigyelő.
Telepítse a Végponthoz készült Defender legújabb verzióját, és használja a Windows legújabb kiadásait, ideális esetben Windows Server 2019-es vagy újabb verziót. Lásd: A Végponthoz készült Microsoft Defender minimális követelményei.
Konfiguráljon bizonyos kizárásokat Microsoft Defender víruskeresőhöz. Ezek közé tartoznak a következők:
- DBMS-adatfájlok, naplófájlok és ideiglenes fájlok, beleértve a biztonsági mentési fájlokat tartalmazó lemezeket is
- Az SAPMNT-könyvtár teljes tartalma
- Az SAPLOC-könyvtár teljes tartalma
- A TRANS könyvtár teljes tartalma
- Önálló motorok, például a TREX könyvtárainak teljes tartalma
A haladó felhasználók környezetfüggő fájl- és mappakizárásokat is használhatnak.
A DBMS-kizárásokkal kapcsolatos további információkért használja az alábbi forrásanyagokat:
- SQL Server: Víruskereső szoftver konfigurálása a SQL Server
- Oracle: Víruskereső konfigurálása oracle adatbázis-kiszolgálón (dokumentumazonosító: 782354.1)
- DB2: Mely DB2-könyvtárakat kell kizárni a Linux víruskereső szoftverből (használja ugyanazokat a parancsokat a Windows Server)
- SAP ASE: Kapcsolatfelvétel az SAP-vel
- MaxDB: Kapcsolatfelvétel az SAP-vel
Ellenőrizze a Végponthoz készült Defender beállításait. Microsoft Defender VÍRUSKERESŐ SAP-alkalmazásokkal a legtöbb esetben a következő beállításokkal rendelkezik:
AntivirusEnabled : True AntivirusSignatureAge : 0 BehaviorMonitorEnabled : True DefenderSignaturesOutOfDate : False IsTamperProtected : True RealTimeProtectionEnabled : TrueA Végponthoz készült Defender beállításához használjon olyan eszközöket, mint a Intune vagy a Végponthoz készült Defender biztonsági beállításainak kezelése. Az ilyen eszközök segítségével biztosítható, hogy a Végponthoz készült Defender megfelelően és egységesen legyen konfigurálva. A Végponthoz készült Defender biztonsági beállításainak kezeléséhez kövesse az alábbi lépéseket:
A Microsoft Defender portálon lépjen a Végpontokkonfigurációkezelésének>végpontbiztonsági szabályzataihoz>.
Válassza az Új szabályzat létrehozása lehetőséget, és kövesse az útmutatást. További információ: Végpontbiztonsági szabályzatok kezelése Végponthoz készült Microsoft Defender.
Használja a Végponthoz készült Defender legújabb kiadását. A Végponthoz készült Defenderben számos új funkció implementálva van a Windows rendszeren, és ezeket a funkciókat SAP-rendszerekkel teszteltük. Ezek az új funkciók csökkentik a blokkolást és csökkentik a processzorhasználatot. További információ az új funkciókról: A Végponthoz készült Microsoft Defender újdonságai.
Üzembe helyezési módszertan
Az SAP és a Microsoft egyaránt nem javasolja a Végponthoz készült Defender windowsos telepítését közvetlenül az összes fejlesztési, QAS- és éles rendszeren egyidejűleg és/vagy gondos tesztelés és monitorozás nélkül. Azok az ügyfelek, akik a Végponthoz készült Defendert és más hasonló szoftvereket ellenőrizetlenül telepítettek anélkül, hogy megfelelő tesztelést tapasztaltak a rendszer állásideje miatt.
A Végponthoz készült Defendert Windows rendszeren és minden más szoftver- vagy konfigurációmódosítást először a fejlesztői rendszerekben kell üzembe helyezni, ellenőrizni kell a QAS-ben, majd csak azután kell üzembe helyezni az éles környezetekben.
Ha olyan eszközöket használ, mint a Végponthoz készült Defender biztonsági beállításainak kezelése a Végponthoz készült Defender teljes SAP-környezetben való üzembe helyezéséhez tesztelés nélkül, valószínűleg állásidőt okoz.
Íme egy lista az ellenőrizendőkről:
A Végponthoz készült Defender üzembe helyezése engedélyezett illetéktelen módosítás elleni védelemmel. Ha problémák merülnek fel, engedélyezze a hibaelhárítási módot, tiltsa le az illetéktelen módosítás elleni védelmet, tiltsa le a valós idejű védelmet, és konfigurálja az ütemezett vizsgálatokat.
Zárja ki a DBMS-fájlokat és a végrehajtható fájlokat a DBMS szállítói javaslatait követve.
Elemezheti az SAPMNT, az SAP TRANS_DIR, a Spool és a Job Log könyvtárakat. Ha több mint 100 000 fájl található, fontolja meg az archiválást a fájlok számának csökkentése érdekében.
Ellenőrizze az SAPMNT-hez használt megosztott fájlrendszer teljesítménykorlátait és kvótáját. Az SMB-megosztás forrása lehet NetApp-berendezés, Windows Server megosztott lemez vagy Azure Files SMB.
Konfigurálja a kizárásokat, hogy az összes SAP-alkalmazáskiszolgáló ne vizsgálja egyszerre az SAPMNT-megosztást, mert az túlterhelheti a megosztott tárolókiszolgálót.
Általánosságban elmondható, hogy a gazdafelület fájljai egy dedikált, nem SAP-fájlkiszolgálón találhatók. Az interfészfájlok támadási vektorként vannak felismerve. A valós idejű védelmet aktiválni kell ezen a dedikált fájlkiszolgálón. Az SAP-kiszolgálók soha nem használhatók fájlkiszolgálóként az interfészfájlokhoz.
Megjegyzés:
Egyes nagy SAP-rendszerek több mint 20 SAP-alkalmazáskiszolgálóval rendelkeznek, amelyek mindegyike ugyanahhoz az SAPMNT SMB-megosztáshoz kapcsolódik. Ha 20 alkalmazáskiszolgáló egyszerre vizsgálja ugyanazt az SMB-kiszolgálót, az túlterhelheti az SMB-kiszolgálót. Javasoljuk, hogy zárja ki az SAPMNT-t a rendszeres vizsgálatokból.
A Végponthoz készült Defender fontos konfigurációs beállításai az SAP-val Windows Server
A Végponthoz készült Microsoft Defender áttekintése. Különösen a következő generációs védelemmel és az EDR-nel kapcsolatos információk áttekintése.
Megjegyzés:
A Defender kifejezést néha arra használják, hogy egy teljes termékcsomagra és megoldásra hivatkozzon. Lásd: Mi az a Microsoft Defender XDR?. Ebben a cikkben a végponthoz készült Defender víruskereső és EDR-képességeivel foglalkozunk.
Ellenőrizze Microsoft Defender víruskereső állapotát. Nyissa meg a parancssort, és futtassa a következő PowerShell-parancsokat:
Get-MpComputerStatus, az alábbiak szerint:
Get-MpPreference |Select-Object -Property DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReportingA várt kimenete:
Get-MpComputerStatusDisableCpuThrottleOnIdleScans : True DisableRealtimeMonitoring : False DisableScanningMappedNetworkDrivesForFullScan : True DisableScanningNetworkFiles : False ExclusionPath : <<configured exclusions will show here>> MAPSReporting : 2Get-MpPreference, az alábbiak szerint:
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabledA várt kimenete:
Get-MpPreferenceAMRunningMode : Normal AntivirusEnabled : True BehaviorMonitorEnabled : True IsTamperProtected : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : TrueEllenőrizze az EDR állapotát. Nyissa meg a Parancssort, majd futtassa a következő parancsot:
PS C:\Windows\System32> Get-Service -Name sense | FL *Az alábbi kódrészlethez hasonló kimenetnek kell megjelennie:
Name : sense RequiredServices : {} CanPauseAndContinue : False CanShutdown : False CanStop : False DisplayName : Windows Defender Advanced Threat Protection Service DependentServices : {} MachineName : . ServiceName : sense ServicesDependedOn : {} ServiceHandle : Status : Running ServiceType : Win32OwnProcess StartType : Automatic Site : Container :A megjeleníteni kívánt értékek a következők:
Status: RunningésStartType: Automatic. További információ: Események és hibák áttekintése eseménymegtekintő használatával.Győződjön meg arról, hogy Microsoft Defender víruskereső naprakész. A Windows Update használatával biztosíthatja, hogy a víruskereső naprakész legyen. Ha problémákba ütközik, vagy hibaüzenetet kap, forduljon a biztonsági csapathoz.
A frissítésekkel kapcsolatos további információkért lásd: Microsoft Defender víruskereső biztonsági intelligenciája és termékfrissítései.
Győződjön meg arról, hogy a viselkedésfigyelés be van kapcsolva. Ha az illetéktelen módosítás elleni védelem engedélyezve van, a viselkedésfigyelés alapértelmezés szerint be van kapcsolva. Használja az illetéktelen módosítás elleni védelem alapértelmezett konfigurációját, a viselkedésfigyelést és a valós idejű monitorozást, kivéve, ha egy adott problémát azonosít.
További információ: A beépített védelem segít védelmet biztosítani a zsarolóprogramok ellen.
Győződjön meg arról, hogy a valós idejű védelem engedélyezve van. A Végponthoz készült Defender windowsos verziójának jelenlegi ajánlása a valós idejű vizsgálat engedélyezése, az illetéktelen módosítás elleni védelem engedélyezése, a viselkedésfigyelés engedélyezése és a valós idejű figyelés engedélyezése, kivéve, ha egy adott probléma azonosítható.
További információ: A beépített védelem segít védelmet biztosítani a zsarolóprogramok ellen.
Ne feledje, hogy a vizsgálatok hogyan működnek a hálózati megosztásokkal. A windowsos Microsoft Defender víruskereső összetevő alapértelmezés szerint SMB megosztott hálózati fájlrendszereket (például Windows-kiszolgálómegosztást vagy NetApp-megosztást
\\server\smb-share) vizsgál, amikor ezekhez a fájlokhoz folyamatok férnek hozzá.A Végponthoz készült Defender EDR-jének használata Windows rendszeren SMB megosztott hálózati fájlrendszereket vizsgálhat. Az EDR-érzékelő megvizsgálja azokat a fájlokat, amelyek érdekesnek minősülnek az EDR-elemzéshez a fájlmódosítási, törlési és áthelyezési műveletek során.
A Végponthoz készült Defender a Linuxon nem vizsgálja az NFS-fájlrendszereket az ütemezett vizsgálatok során.
A sense állapot- vagy megbízhatósági problémáinak elhárítása. Az ilyen problémák elhárításához használja a Végponthoz készült Defender ügyfélelemző eszközt. A Végponthoz készült Defender ügyfélelemző hasznos lehet az érzékelők állapotával vagy megbízhatóságával kapcsolatos problémák diagnosztizálásakor az előkészített Windows-, Linux- vagy Mac-eszközökön. A Végponthoz készült Defender ügyfélelemző legújabb verzióját itt szerezheti be: https://aka.ms/MDEClientAnalyzer.
Ha segítségre van szüksége, nyisson támogatási esetet. Lásd: Kapcsolatfelvétel Végponthoz készült Microsoft Defender ügyfélszolgálattal.
Ha éles SAP virtuális gépeket használ a felhőhöz készült Microsoft Defender, ne feledje, hogy a Defender for Cloud üzembe helyezi a Végponthoz készült Defender bővítményt az összes virtuális gépen. Ha egy virtuális gép nincs regisztrálva a Végponthoz készült Defenderbe, támadási vektorként is használható. Ha több időre van szüksége a Végponthoz készült Defender teszteléséhez az éles környezetben való üzembe helyezés előtt, forduljon az ügyfélszolgálathoz.
Hasznos parancsok: Végponthoz készült Microsoft Defender az SAP-val a Windows Server
Ez a szakasz a Végponthoz készült Defender beállításainak PowerShell és parancssor használatával történő megerősítésére vagy konfigurálására szolgáló parancsokat tartalmaz:
Microsoft Defender víruskereső definícióinak manuális frissítése
Használja Windows Update, vagy futtassa a következő parancsot:
PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate
A következő kódrészlethez hasonló kimenetnek kell megjelennie:
Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>
Egy másik lehetőség a következő parancs használata:
PS C:\Program Files\Windows Defender> Update-MpSignature
A parancsokkal kapcsolatos további információkért tekintse meg a következő forrásanyagokat:
Annak meghatározása, hogy az EDR blokkmódban be van-e kapcsolva
Az EDR blokk módban további védelmet biztosít a rosszindulatú összetevők ellen, ha Microsoft Defender víruskereső nem az elsődleges víruskereső termék, és passzív módban fut. A következő parancs futtatásával megállapíthatja, hogy engedélyezve van-e az EDR blokkmódban:
Get-MPComputerStatus|select AMRunningMode
Két mód van: Normál és Passzív mód. Sap-rendszerek teszteléséhez használtuk AMRunningMode = Normal .
További információ erről a parancsról: Get-MpComputerStatus.
Víruskereső kizárásainak konfigurálása
A kizárások konfigurálása előtt győződjön meg arról, hogy az SAP Basis csapata együttműködik a biztonsági csapattal. A kizárásokat központilag kell konfigurálni, nem pedig a virtuális gép szintjén. Bizonyos kizárásokat, például a megosztott SAPMNT fájlrendszerkivételt egy szabályzattal kell konfigurálni a Microsoft Intune felügyeleti portálon.
A kizárások megtekintéséhez használja a következő parancsot:
Get-MpPreference | Select-Object -Property ExclusionPath
További információ erről a parancsról: Get-MpComputerStatus.
A kizárásokkal kapcsolatos további információkért tekintse meg a következő forrásanyagokat:
- Kizárások áttekintése
- Egyéni kizárások konfigurálása Microsoft Defender víruskeresőhöz
- Környezetfüggő fájl- és mappakizárások
EDR-kizárások konfigurálása
Nem ajánlott kizárni a fájlokat, elérési utakat vagy folyamatokat az EDR-ből, mert az ilyen kizárások veszélyeztetik a modern, nem fájlalapú fenyegetések elleni védelmet. Szükség esetén nyisson meg egy támogatási esetet a Microsoft Defender portálon, és adja meg a kizárandó végrehajtható fájlokat és/vagy elérési utakat. További információ: Kapcsolatfelvétel Végponthoz készült Microsoft Defender ügyfélszolgálattal.
Végponthoz készült Defender letiltása Windows rendszeren tesztelési célokra
Figyelem!
Nem ajánlott letiltani a biztonsági szoftvereket, hacsak nincs más alternatíva a probléma megoldására vagy elkülönítésére.
A Végponthoz készült Defendert úgy kell konfigurálni, hogy az illetéktelen módosítás elleni védelem be legyen kapcsolva. Ha ideiglenesen le szeretné tiltani a Végponthoz készült Defendert a problémák elkülönítéséhez, használjon hibaelhárítási módot.
A Microsoft Defender víruskereső megoldás különböző alösszetevőinek leállításához futtassa a következő parancsokat:
Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled
További információ ezekről a parancsokról: Set-MpPreference.
Fontos
Az EDR-alösszetevők nem kapcsolhatók ki az eszközön. Az EDR kikapcsolásának egyetlen módja az eszköz kikapcsolása.
A felhőalapú védelem (más néven Microsoft Advanced Protection Service vagy MAPS) kikapcsolásához futtassa a következő parancsokat:
PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled
A felhőben nyújtott védelemmel kapcsolatos további információkért tekintse meg a következő forrásanyagokat:
- A felhővédelem és a Microsoft Defender víruskereső
- Felhővédelem és mintabeküldés a Microsoft Defender víruskeresőnél (ha azt fontolgatja, hogy az automatikus mintaküldést használja-e a biztonsági szabályzatokkal)