如果檔案與惡意程式共享某些特徵,則非惡意檔案可能會被誤判為惡意程式。如果已知某個檔案是良性的但被識別為惡意程式,您可以為該檔案創建例外。創建例外後,當Server & Workload Security保護掃描該檔案時,不會觸發事件。
如需了解惡意程式防護模組的防護總覽,請參閱 防護惡意程式。
 |
注意您也可以從即時、手動和預約掃瞄中排除檔案。請參閱 指定要掃瞄的檔案。
|
可以為以下類型的惡意程式和惡意程式掃描建立例外:
- Machine Learning 掃描(如需資訊,請參閱 使用 Machine Learning 偵測新興威脅。)
- 掃瞄間諜程式和可能的資安威脅程式(如需資訊,請參閱 掃瞄間諜程式和可能的資安威脅程式)
- 行為監控保護(如需資訊,請參閱 透過行為監控加強惡意程式防護和勒索軟體掃描)
您也可以排除由受信任憑證簽署的檔案,使其不受惡意程式防護掃描。此功能在 Windows 上的 20.0.0-3445+ 版本代理程式中受支援。詳情請參閱 排除由受信任憑證簽署的檔案。
Server & Workload Security保護 在政策和電腦防護屬性中維護每種類型的惡意程式掃瞄例外清單。
- 要查看例外列表,請打開政策或電腦防護編輯器。
- 點選 。
例外情況列在Allowed Spyware/Grayware、Document Exploit Protection Rule Exceptions、Predictive Machine Learning Detection Exceptions、Behavior Monitoring Protection Exceptions和Trusted Certificates Detection Exceptions部分。
另請參閱 掃瞄例外建議。
從惡意程式防護事件中建立例外
當檔案被識別為惡意程式時,Server & Workload Security保護 會生成一個惡意程式防護事件。如果您知道該檔案是良性的,您可以從事件報告中為該檔案創建一個例外。
- 點選 並找到惡意程式偵測事件。
- 右鍵點選事件。
- 選擇允許。
手動建立惡意程式防護例外
您可以手動為間諜程式或可能的資安威脅程式建立惡意程式防護例外、文件漏洞防護規則、Machine Learning 和行為監控例外。要新增例外,您需要從掃瞄產生的惡意程式防護事件中獲取特定資訊。惡意程式或掃瞄的類型決定了您需要的資訊:
- Spyware or grayware: "惡意程式" 欄位中的值,例如
SPY_CCFR_CPP_TEST.A - Document exploit protection rules: "惡意程式" 欄位中的值,例如
HEUR_OLEP.EXE - Predictive machine learning: 來自 "FILE SHA-1" 欄位的文件 SHA1 摘要,例如
3395856CE81F2B7382DEE72602F798B642F14140 - Behavior monitoring: 處理影像路徑,例如
C:\test.exe
- 點選 並複製識別惡意程式所需的欄位值。
- 打開您要在其中創建例外的策略或電腦防護編輯器。
- 點選 。
- 在Allowed Spyware/Grayware、Document Exploit Protection Rule Exceptions、Predictive Machine Learning Detection Exceptions或Behavior Monitoring Protection Exceptions部分,請在文字框中輸入事件的資訊。
- 點選 新增。
例外清單萬用字元技術支援中心
Behavior Monitoring Protection Exceptions 清單支援在定義檔案路徑、檔案名稱和檔案副檔名例外類型時使用萬用字元。請使用下表正確格式化您的例外清單,以確保 Server & Workload Security保護 排除正確的檔案和資料夾進行掃描。
支援的萬用字元:
- 星號 (*):代表任何字符或字符串
|
注意行為監控保護例外列表不支援使用萬用字元來取代系統磁碟機指定或在通用命名規則 (UNC) 地址中使用。
|
|
例外類型
|
萬用字元使用
|
匹配
|
不匹配
|
||
|
目錄
|
C:\*排除指定磁碟上的所有檔案和資料夾
|
|
|
||
|
特定資料夾層級下的特定檔案
|
C:\*\Sample.exe排除
Sample.exe僅當檔案位於任何子資料夾中時 C:\目錄 |
|
|
||
|
通用命名慣例 (UNC) 路徑
|
\<UNC path>\*\Sample.exe排除
Sample.exe 僅當檔案位於指定 UNC 路徑的任何子資料夾中時
|
|
|
||
|
檔名和副檔名
|
C:\*.*排除所有資料夾和子資料夾中具有副檔名的所有檔案
C:\目錄 |
|
|
||
|
檔案名稱
|
C:\*.exe排除所有具有
.exe在所有資料夾及子資料夾中的擴充功能 C:\目錄 |
|
|
||
|
副檔名
|
C:\Sample.*排除所有名稱為
Sample以及任何擴充功能在 C:\目錄 |
|
|
||
|
特定目錄結構中的檔案
|
C:\*\*\Sample.exe排除位於第二層子資料夾或任何後續子資料夾中的所有檔案
C:\具有檔案名稱和副檔名的目錄 Sample.exe |
|
|
間諜程式和可能的資安威脅程式的例外策略
當偵測到間諜程式時,惡意程式可以根據控制掃瞄的惡意程式掃瞄配置立即清除、隔離或刪除。在您為間諜程式或可能的資安威脅程式事件建立例外後,您可能需要還原該檔案。(請參閱
還原已識別的檔案。)
或者,您可以暫時掃瞄間諜程式和可能的資安威脅程式,並將動作設置為「暫不處理」,這樣所有間諜程式和可能的資安威脅程式的偵測都會記錄在惡意程式防護事件頁面上,但不會被清除、隔離或刪除。然後,您可以為偵測到的間諜程式和可能的資安威脅程式創建例外。當您的例外清單足夠完善時,您可以將動作設置為「已清除」、「隔離」或「刪除」模式。
如需有關設定動作的資訊,請參閱 設定如何處理惡意程式。
掃瞄例外建議
掃瞄例外的最佳和最全面的來源是軟體供應商。以下是一些高層次的掃瞄例外建議:
- 隔離資料夾(例如 Microsoft Windows Exchange Server 上的 SMEX)應排除在外,以避免重新掃描已確認為惡意程式的檔案。
- 大型資料庫和資料庫檔案(例如,dsm.mdf 和 dsm.ldf)應該排除在外,因為掃瞄可能會影響資料庫效能。如果有必要掃瞄資料庫檔案,您可以建立排程任務,在非高峰時段掃瞄資料庫。由於 Microsoft SQL Server 資料庫是動態的,請將目錄和備份資料夾排除在掃瞄清單之外:
適用於 Windows:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\${Windir}\WINNT\Cluster # 如果使用 SQL 群集問:#\ 如果使用\ SQL\ 叢集適用於 Linux:
/var/lib/mysql/ # 如果路徑設置為此,則為機器上 MySQL 的資料防護位置資訊。/mnt/volume-mysql/ # 如果路徑設置為機器中 MySQL 的此資料防護位置資訊。如需推薦的掃瞄例外清單,請參閱 趨勢科技推薦的掃瞄例外清單。Microsoft 也維護了一份 防病毒例外清單,您可以用作排除 Windows 伺服器上檔案掃瞄的參考。
排除由受信任憑證簽署的檔案
如果您有已簽署的應用程式並希望將這些程序的所有活動從即時惡意程式防護掃描(包括檔案掃描、行為監控和Machine Learning)中排除,您可以將數位憑證新增到Server & Workload Security保護中的受信任憑證列表。
|
注意此類排除在 Windows 上的 20.0.0-3549+ 版本代理程式中受支援。
|
- 在政策或電腦防護編輯器中,前往。
- 在Trusted Certificates Detection Exemptions部分,將Exclude files with trusted certificate設置為“是”或“繼承(是)”。
- 選擇Manage Certificate List。
- 信任憑證視窗顯示您已匯入的所有憑證。選擇Import From File以新增另一個掃瞄排除項目。
- 選擇憑證檔案,然後選擇下一步。
- 檢視顯示的憑證摘要,並將 Trust this certificate for 設定為 Scan Exclusions。選擇 下一步。
- 摘要頁面顯示匯入是否成功。選擇關閉。
匯入的憑證會出現在受信任的憑證列表中,Purpose 列為 Exception。
 |
秘訣Server & Workload Security保護 在進程啟動時檢查豁免列表。如果在配置豁免之前進程已經在運行,則該進程在重新啟動之前不會被添加到豁免列表中。
|