Ustawienia programu antywirusowego

Ustawienia programu antywirusowego umożliwiają skonfigurowanie ustawień oprogramowania antywirusowego zainstalowanego na urządzeniu z systemem Windows™ .

W poniższej tabeli opisano ustawienia programu antywirusowego Windows Defender, które można skonfigurować na urządzeniu z systemem Windows:

Tabela 1. Ustawienia programu antywirusowego
Ustawienie zasady Opis Obsługiwane urządzenia
Skonfiguruj ustawienia programu antywirusowego Skonfiguruj ustawienia programu antywirusowego na urządzeniu. Konfiguracja jest obsługiwana przez rodzimą aplikację Windows Defender. Włącz ustawienie, aby wyświetlić i skonfigurować ustawienia programu antywirusowego.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Dostosuj ustawienia i częstotliwość skanowania Skonfiguruj ustawienia i częstotliwość wykonywania skanowania antywirusowego.
  • Typ skanowania: wybierz preferowany typ skanowania urządzenia, takie jak szybkie skanowanie lub pełne skanowanie.
  • Czas rozpoczęcia skanowania: zaplanuj czas rozpoczęcia skanowania. Uwaga: System operacyjny może zmienić czas skanowania. Skanowanie jest zwykle uruchamiane wtedy, gdy obciążenie procesora systemu jest niskie.
  • Częstotliwość skanowania: wybierz częstotliwość, z jaką skanowanie ma być wykonywane na urządzeniu, na przykład codziennie, w określonym dniu lub bez zaplanowanego dnia.
  • Częstotliwość aktualizacji sygnatur: wybierz częstotliwość, z jaką mają być aktualizowane sygnatury, na przykład co godzinę, co dwie godziny lub co osiem godzin.
  • Dogoń pełne skanowanie: wybierz tę opcję, aby wymusić na programie Windows Defender uruchomienie pełnego skanowania po pominięciu zaplanowanego skanowania.
  • Dogoń szybkie skanowanie: wybierz tę opcję, aby wymusić na programie Windows Defender uruchomienie szybkiego skanowania po pominięciu zaplanowanego skanowania.
  • Niski priorytet procesora podczas skanowania: Określ, czy program Windows Defender ma używać niskiego priorytetu procesora dla zaplanowanych operacji skanowania.
  • Sprawdź sygnaturę przed uruchomieniem skanowania: Zaznacz tę opcję, aby program Windows Defender sprawdzany był pod kątem nowych definicji wirusów i programów szpiegujących przed uruchomieniem skanowania. Ta opcja ma zastosowanie do zaplanowanego skanowania i opcji wiersza komend mpcmdrun -SigUpdate. Ta opcja nie dotyczy operacji skanowania uruchamianych ręcznie z poziomu interfejsu użytkownika. Jeśli ta opcja nie zostanie włączona, skanowanie użyje istniejących definicji.
  • Kolejność aktualizacji sygnatury: wybierz kolejność, w jakiej program Windows Defender kontaktuje się z źródłami aktualizacji definicji. Ustaw kolejność priorytetów pobierania aktualizacji definicji dla każdego z następujących źródeł:
    • Internal Definition Update Server: Użyj serwera WSUS (Windows Server Update Service) do zarządzania aktualizacjami w sieci.
    • Microsoft Update Server: łączy się bezpośrednio z programem Microsoft™ Update. Tej opcji należy użyć, jeśli urządzenia nie mogą połączyć się z siecią przedsiębiorstwa w spójny sposób lub jeśli do zarządzania aktualizacjami nie jest używana usługa Windows Server Update Service.
    • MMPC: aktualizacje podpisane przez SHA-2 są dostarczane za pośrednictwem usługi Windows Update. Urządzenia muszą obsługiwać SHA-2.

      Tej opcji należy używać jako ostatecznego źródła zapasowego, a nie jako źródła podstawowego, zwłaszcza jeśli nie można pobrać aktualizacji z usługi Windows Server Update Service lub programu Microsoft Update przez określoną liczbę dni.

    • Współużytkowany zasób plikowy: użyj tej opcji, jeśli masz urządzenia, które nie są podłączone do Internetu. Użyj komputera, który jest połączony z Internetem, aby pobrać aktualizacje do współużytkowanego zasobu sieciowego, do którego urządzenia mogą następnie uzyskać dostęp.

      Współużytkowane zasoby plikowe aktualizacji sygnatur: Definiuje kolejność, w której są pobierane definicje ze źródeł plików UNC (Universal Naming Convention). Użyj listy rozdzielanej przecinkami, aby zdefiniować źródła dla współużytkowanego zasobu plikowego UNC.

Uwaga: źródła aktualizacji definicji są używane kolejności określonej przez użytkownika. Jeśli aktualizacje definicji zostaną pomyślnie pobrane z pierwszego źródła, pozostałe źródła na liście nie będą używane.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Uwzględnione typy plików dla skanowania antywirusowego Konfiguruje typy plików, które są uwzględniane podczas skanowania urządzenia.
  • Wymuś skanowanie archiwów: skanuje pliki archiwów, takie jak pliki .zip.
  • Wymuś skanowanie wiadomości e-mail: skanuje wiadomości e-mail. To ustawienie jest obsługiwane w programie Outlook 2003 i wcześniejszych wersjach.
  • Wymuś skanowanie plików sieciowych: gdy jest uzyskiwany dostęp do plików sieciowych, pliki te będą skanowane.
  • Wymuś pełne skanowanie podłączonych dysków sieciowych: skanuje pliki sieciowe po zainicjowaniu pełnego skanowania.
  • Zezwól na dwukierunkowe skanowanie plików: określa, czy podczas skanowania antywirusowego mają być monitorowane zarówno pliki przychodzące, jak i wychodzące, tylko pliki przychodzące, czy tylko pliki wychodzące.
  • Wymuś pełne skanowanie dysku wymiennego: skanuje podłączone napędy wymienne po zainicjowaniu pełnego skanowania.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Typy plików wykluczone ze skanowania Konfiguruje typy plików, które nie są uwzględniane podczas skanowania urządzenia.
  • Typy plików wykluczone ze skanowania: należy podać rozdzielane przecinkami formaty plików (lib, obj, cmd), które są ignorowane podczas skanowania antywirusowego.
  • Wyklucz ścieżki do plików do skanowania: należy podać rozdzielone przecinkami ścieżki do katalogów (C:\example, C:\example1), które są ignorowane podczas skanowania antywirusowego.
  • Procesy wykluczone ze skanowania: podaj rozdzielaną przecinkami listę plików wykonywalnych (C:\Example.exe, C:\Example1.exe), które mają być ignorowane podczas skanowania antywirusowego.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Ustawienia zaawansowane
  • Włącz ochronę w czasie rzeczywistym: na urządzeniu będzie włączona ochrona w czasie rzeczywistym.
  • Wymuś monitorowanie zachowania: wymusza monitorowanie zachowania na urządzeniu. Monitorowanie zachowania to wewnętrzna funkcja używana przez mechanizm Windows Defender do gromadzenia danych o podejrzanych zachowaniach. Użytkownicy nie otrzymują bezpośrednio żadnych informacji.
  • Wymuś ochronę w chmurze: umożliwia aplikacji Windows Defender wysyłanie informacji do firmy Microsoft.
  • Poziom bloków w chmurze: określ, jak agresywny jest mechanizm antywirusowy programu Windows Defender, jeśli wykryje i zidentyfikuje podejrzane pliki. Obsługiwane są następujące poziomy blokowania:
    • Domyślny: domyślny poziom blokowania programu Windows Defender, który zapewnia silne wykrywanie bez zwiększania ryzyka wykrycia uprawnionych plików.
    • Wysoki: Ten poziom blokowania blokuje nieznane pliki, optymalizując wydajność klienta (zwiększając ryzyko fałszywych alarmów).
    • Wysoki +: ten poziom blokowania blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność klienta i zwiększyć ryzyko fałszywych alarmów).
    • Zero tolerancji: Ten poziom blokuje wszystkie nieznane pliki wykonywalne.
    Uwaga: Ta opcja jest obsługiwana w systemie Windows 10 w wersji 1709 lub nowszej.
  • Rozszerzony limit czasu dla chmury: określa liczbę sekund, przez jaką usługa Cloud Protection blokuje plik, podczas sprawdzania, czy plik ten jest znany jako złośliwy. Zakres wynosi od 0 do 50 sekund. Uwaga: Liczba sekund, które można wybrać dla tej opcji, jest uzupełnieniem domyślnego limitu czasu 10 sekund. Na przykład, jeśli zostanie wprowadzona wartość 0 sekund, usługa ochrony w chmurze zablokuje plik na 10 sekund.
    Uwaga: Ta opcja jest obsługiwana w systemie Windows 10 w wersji 1709 lub nowszej.
  • Pytaj o zgodę użytkownika przed wysłaniem informacji o programie Defender: przed wysłaniem informacji do programu Windows Defender należy wybrać opcje zgody użytkownika.
    • Zawsze pytaj
    • Automatycznie wysyłaj bezpieczne próby bez pytania o zgodę użytkownika
    • Nigdy nie wysyłaj informacji o aplikacji Defender
    • Wysyłaj wszystkie próbki automatycznie bez pytania o zgodę użytkownika
  • Wymuś ochronę Ioav: włącza interfejs API programu antywirusowego IofficeAnti, aby umożliwić aplikacjom, takim jak klienty poczty elektronicznej lub przeglądarki WWW, wysyłanie zapytań do programu Windows Defender o skanowanie treści, gdy te programy obsługują plik.
  • Zezwól na zapobieganie włamaniom: umożliwia korzystanie z funkcji zapobiegania włamaniom programu Windows Defender. Włącz tę opcję, aby chronić komputery przed znanymi próbami włamania do sieci, sprawdzając ruch w sieci i blokując wszelkie podejrzane działania.
  • Zezwól na dostęp do interfejsu użytkownika programu Defender: umożliwia dostęp do interfejsu użytkownika programu Windows Defender.
  • Zezwól na ochronę dostępu: umożliwia korzystanie z funkcji ochrony dostępu programu Windows Defender. Włącz tę opcję, aby użyć reguł autoryzacji URL i wbudowanego filtrowania żądań w celu ochrony serwerów WWW przed szkodliwymi żądaniami i nieupoważnionym dostępem.
  • Średnie obciążenie procesora: Określ współczynnik obciążenia procesora dla skanowania programu Windows Defender (w procentach). Wartością domyślną jest 50%. Ta opcja ma zastosowanie tylko do zaplanowanych operacji skanowania, a nie skanowania w czasie rzeczywistym lub skanowania zainicjowanego przez użytkownika.
  • Zezwól na skanowanie skryptów: umożliwia korzystanie z funkcji skanowania skryptów programu Windows Defender. Włącz tę opcję, jeśli chcesz skanować wszystkie skrypty, które są uruchamiane na komputerach w celu wykrycia podejrzanych działań.
  • Włącz kontrolę dostępu do folderu: włącz tę opcję, aby chronić dokumenty i pliki przed zmodyfikowaniem przez podejrzane lub szkodliwe aplikacje. Ta opcja pomaga chronić dokumenty i pliki przed oprogramowaniem typu ransomware, które może próbować zaszyfrować pliki i wymusić okup za ich odszyfrowanie.
  • Aplikacje dozwolone dla kontrolowanego dostępu do folderów: należy określić aplikacje, które mogą uzyskać dostęp do dokumentów i plików w chronionych folderach. Te aplikacje zostaną dodane do listy zaufanych programów. Jeśli aplikacji nie ma na liście, kontrolowany dostęp do folderu zablokuje jej możliwość wprowadzenia zmian w plikach w zabezpieczonych folderach.
  • Foldery podlegające kontroli dostępu do folderu: należy określić foldery, które mają być chronione przed szkodliwymi aplikacjami lub zagrożeniami, takimi jak ransomware. Ta funkcja sprawdza listę znanych, zaufanych aplikacji.
  • Ochrona przed potencjalnie niechcianymi aplikacjami: Potencjalne niechciane aplikacje (PUA) to klasyfikacja zagrożeń na podstawie reputacji i ich identyfikacja na podstawie badań. Te aplikacje to niechciane pakunki aplikacji lub ich aplikacje składowe. Jeśli ta opcja zostanie włączona, usługi PUA będą blokowane podczas pobierania i instalowania na urządzeniach. Można wykluczyć określone pliki lub foldery w celu spełnienia konkretnych potrzeb danej organizacji.
  • Włącz ochronę sieci: Umożliwia uniemożliwienie użytkownikom i aplikacjom dostępu do szkodliwych serwisów WWW. Ustaw jedną z następujących wartości:
    • Włączone: chroni pracowników przed wyłudzaniem, szkodliwymi serwisami i treściami w Internecie.
    • Wyłączone: umożliwia połączenia ze wszystkimi stronami internetowymi bez żadnej ochrony.
    • Kontrola: nie blokuje użytkownikom i aplikacjom możliwość łączenia się ze szkodliwymi serwisami, ale śledzi ich działania w tych serwisach.
Ważne: Nie zmieniaj wartości domyślnych dla następujących parametrów w tej zasadzie:
  • Włącz ochronę w czasie rzeczywistym
  • Wymuś monitorowanie zachowania
  • Wymuś zabezpieczenia IOAV
  • Zezwól na zapobieganie włamaniom
  • Zezwól na dostęp do interfejsu użytkownika aplikacji Defender
  • Zezwalaj na ochronę dostępu
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Ustawienia zarządzania zagrożeniami
Działanie wymuszenia dla istotności zagrożenia Skonfiguruj działania, które są wymuszane na podstawie istotności zagrożenia. Zdefiniowane są następujące poziomy istotności: wysoki, niski, średni i poważny. Wybierz działania wymuszania, takie jak czyszczenie, kwarantanna, usuwanie, zezwalanie, zdefiniowane przez użytkownika i działania blokowe.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Liczba dni przechowywania elementów wyczyszczonych ze szkodliwego oprogramowania Podaj czas w dniach, przez który w systemie będą przechowywane elementy poddane kwarantannie. Maksymalna obsługiwana wartość to 90 dni.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Reguły redukcji obszaru ataków
Reguły redukcji obszaru ataków Reguły ograniczania obszaru ataku wyszukują miejsca, które mogą zostać wykorzystane przez szkodliwe oprogramowanie i aplikacje do infekowania komputerów przy użyciu złośliwego kodu, takie jak:
  • Pliki wykonywalne i skrypty używane w aplikacjach Office i programach pocztowych, które próbują pobierać i uruchamiać pliki.
  • Skrypty zaciemnione lub podejrzane z innych przyczyn.
  • Zachowania, które aplikacje nie zainicjowałyby w typowych godzinach pracy
Uwaga: Ta opcja jest obsługiwana w systemie Windows 10 w wersji 1709 i 1803 lub nowszej.
Ustaw jedną z następujących wartości dla poniższych reguł:
  • Nieskonfigurowane: wyłącza regułę redukcji obszaru ataku.
  • Blokuj: włącza regułę redukcji obszaru ataku.
  • Kontrola: określa wpływ, jaki włączenie reguły redukcji obszaru ataku może mieć na organizację. Należy najpierw uruchomić wszystkie reguły w trybie kontroli, aby zrozumieć, jaki mają one wpływ na aplikacje biznesowe. Wiele aplikacji biznesowych może wykonywać zadania, które wyglądają podobnie do szkodliwego oprogramowania. Monitorując dane kontroli i dodając wyjątki dla niezbędnych aplikacji, można wdrożyć reguły redukcji obszaru ataku bez ujemnego wpływu na produktywność.
Reguły
  • Program Adobe Reader może tworzyć procesy potomne: ta reguła zapobiega atakom szkodliwego oprogramowania, blokując możliwość tworzenia dodatkowych procesów przez program Adobe™ Reader.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1809.

  • Aplikacje Office mogą uruchamiać procesy potomne: ta reguła blokuje aplikacjom Office (Word, Excel, PowerPoint, OneNote, Access) możliwość tworzenia procesów potomnych.

    Ten typ działania szkodliwego oprogramowania używa makr VBA i uruchamia złośliwy kod w celu pobrania i podjęcia próby uruchomienia dodatkowego ładunku. Niektóre używane aplikacje biznesowe mogą również przejawiać podobne zachowanie, na przykład uruchamiając wiersz komend lub używając środowiska PowerShell w celu skonfigurowania ustawień rejestru.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1709.

  • Flaga kradzieży informacji autoryzacyjnych z lokalnego podsystemu zabezpieczeń systemu Windows: Usługa LSASS (Local Security Authority Subsystem Service) uwierzytelnia użytkowników, którzy logują się na komputerze z systemem Windows. Ta reguła blokuje LSASS, aby zapobiec szkodliwym próbom wyodrębnienia informacji autoryzacyjnych użytkownika z LSASS. Program Microsoft Defender Credential Guard w systemie Windows 10 + zapobiega tym próbom, ale organizacje mogą nie być w stanie włączyć programu Credential Guard na wszystkich komputerach z powodu problemów z kompatybilnością z niestandardowymi sterownikami kart Smart Card lub innymi programami ładowanymi do lokalnego urzędu zabezpieczeń (Local Security Authority-LSA).
    Uwaga: W niektórych aplikacjach kod wylicza wszystkie działające procesy i podejmuje próbę otwarcia tych procesów z nadmiernymi uprawnieniami. Ta reguła blokuje działanie otwierania przez proces aplikacji i rejestruje szczegóły w dzienniku zdarzeń bezpieczeństwa. Ta reguła może wygenerować nadmierną liczbę wpisów w dzienniku. Jeśli istnieje aplikacja, która nadmiernie wylicza LSASS, należy ją dodać do listy wykluczeń. Ta pozycja w dzienniku nie musi oznaczać występowania rzeczywistego zagrożenia.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1803.

  • Zawartość pliku wykonywalnego (exe, dll, ps, js, vbs itp.) z poczty elektronicznej (klient poczty elektronicznej WWW) może być uruchamiany (bez wyjątków): ta reguła blokuje uruchamianie następujących typów plików z poczty elektronicznej w programie Microsoft Outlook lub Outlook.com i innych dostawcach poczty elektronicznej:
    • Pliki wykonywalne (.exe, .dll, .scr)
    • Pliki skryptowe (PowerShell .ps, VisualBasic .vbslub JavaScript .js)

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1709.

  • Pliki wykonywalne, które nie spełniają kryteriów rozpowszechniania, wieku lub listy zaufanych, mogą być uruchamiane: ta reguła blokuje uruchamianie plików wykonywalnych (.exe, .dll lub .scr), chyba że pliki te spełniają kryteria dotyczące rozpowszechniania, wieku lub pliki albo ich typy plików są wymienione na liście zaufanych plików.
    Uwaga: Aby można było używać tej reguły, należy włączyć ochronę udostępnianą w chmurze.
    Ważne: Reguła Blokuj uruchamianie plików wykonywalnych, chyba że spełniają one kryterium częstości występowania, wieku lub listy zaufanej o identyfikatorze GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 jest własnością firmy Microsoft i nie może być modyfikowana przez administratorów. Ta reguła korzysta z ochrony dostarczonej w chmurze w celu regularnego aktualizowania listy zaufanych plików.

    Można określić pojedyncze pliki lub foldery (przy użyciu ścieżek folderów lub pełnych nazw zasobów), ale nie można określić, które reguły lub wykluczenia mają zastosowanie do tych pojedynczych plików lub folderów.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1803.

  • Potencjalnie zaciemniony kod js/vbs/ps/macro może być uruchamiany: ta reguła wykrywa podejrzane właściwości w zaciemnionych skryptach.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1709.

  • Środowisko JavaScript/vbs może uruchamiać dane pobrane z internetu (bez wyjątków): ta reguła uniemożliwia skryptom uruchamianie pobranych treści, które mogą zawierać szkodliwe oprogramowanie i zainfekować nim komputery. Szkodliwe oprogramowanie często używa skryptów JavaScript i VBScript do uruchamiania innych złośliwych aplikacji.
    Uwaga: Wyłączenia plików i folderów nie mają zastosowania do tej reguły redukcji obszaru ataku.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1709.

  • Aplikacje biurowe i makra mogą tworzyć treść wykonywalną: ta reguła zapobiega tworzeniu treści wykonywalnych przez aplikacje Office (Word, Excel, PowerPoint).

    Ta reguła jest przygotowana dla sytuacji, w których szkodliwe oprogramowanie używa pakietu Office jako wektora ataku, próbując wydostać się poza Office i zapisać szkodliwe komponenty na dysku, na którym mogą one przetrwać restart komputera. Ta reguła uniemożliwia zapisanie szkodliwego kodu na dysku.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1709.

  • Aplikacje Office mogą wstawiać kod do innych procesów (bez wyjątków): ta reguła blokuje próby wykonania kodu z aplikacji Office (Word, Excel, PowerPoint) w innych procesach.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1709.

  • Produkty komunikacyjne Office mogą tworzyć procesy potomne: ta reguła zapobiega tworzeniu procesów potomnych przez Outlook (i serwis Outlook.com). Ta reguła chroni przed atakami z zakresu inżynierii społecznej i uniemożliwia wykorzystywanie kodu do wykorzystania słabych punktów zabezpieczeń w programie Outlook. Ta reguła zapobiega uruchamianiu dodatkowego ładunku, umożliwiając jednocześnie działanie legalnym funkcjom programu Outlook. Ta reguła chroni również przed regułami programu Outlook i wykorzystaniem przechwyconych danych uwierzytelniających użytkownika.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1809.

  • Trwałość w subskrypcji zdarzeń WMI: ta reguła umożliwia administratorom zapobieganie zagrożeniom, które nadużywają Instrumentacji zarządzania Windows (WMI), utrwalanie i ukrywanie się w repozytorium WMI. Więcej informacji na temat WMI zawiera serwis https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1903.

  • Tworzenie procesów pochodzących z komend PSExec i WMI: ta reguła blokuje procesy uruchamiane za pomocą komend PsExec i WMI w celu uniemożliwienia wykonywania zdalnych kodów, które mogą rozprzestrzeniać ataki szkodliwego oprogramowania. Więcej informacji na temat komendy PsExecmożna znaleźć pod adresem https://docs.microsoft.com/en-us/sysinternals/downloads/psexec. Więcej informacji na temat WMI zawiera serwis https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.
    Uwaga: Wyłączenia plików i folderów nie mają zastosowania do tej reguły redukcji obszaru ataku.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1803.

  • Niezaufane i niepodpisane procesy mogą być uruchamiane z nośnika USB: ta reguła pozwala administratorom na zapobieganie uruchamianiu niepodpisanych lub niezaufanych plików wykonywalnych z dysków wymiennych USB, w tym kart SD. Następujące typy plików są blokowane:
    • Pliki wykonywalne (.exe, .dll, .scr)
    • Pliki skryptowe (PowerShell .ps, VisualBasic .vbslub JavaScript .js)

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1803.

  • Makra Office mogą wywoływać i importować interfejsy API Win32: ta reguła umożliwia administratorom zapobieganie używania interfejsów API Win32 w makrach VBA, co zmniejsza obszar podatny na atak.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1709.

  • Zaawansowana ochrona przed oprogramowaniem wymuszającym okup: ta reguła zapewnia dodatkową warstwę ochrony przed ransomware. Ta reguła skanuje pliki wykonywalne pojawiające się w systemie w celu określenia, czy plik może być zaufany. Jeśli plik jest zbyt zbliżony do działania oprogramowania wymuszającego okup, ta reguła zablokuje jego uruchomienie, chyba że plik znajduje się na liście wyjątków lub zaufanych plików.
    Uwaga: Aby można było używać tej reguły, należy włączyć ochronę udostępnianą w chmurze.

    Ta reguła została wprowadzona w systemie Windows 10 w wersji 1803.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team
Wyjątki redukcji obszaru ataków Podaj rozdzielaną przecinkami listę plików i folderów, które mają być wykluczone ze sprawdzania przy użyciu reguł redukcji obszaru ataku.

Wykluczenia plików i folderów nie mają zastosowania do następujących reguł redukcji obszaru ataku:

  • Tworzenie procesów pochodzących z komend PSExec i WMI
  • Środowisko JavaScript/vbs może uruchamiać dane pobrane z internetu (bez wyjątków)
Uwaga: Można określić pojedyncze pliki lub foldery (przy użyciu ścieżek folderów lub pełnych nazw zasobów), ale nie można określić, które reguły lub wykluczenia mają do nich zastosowanie. Wykluczenie zostanie zastosowane tylko wtedy, gdy zostanie uruchomiona wykluczona aplikacja lub usługa. Na przykład po dodaniu wykluczenia dla usługi aktualizacji, która jest już uruchomiona, usługa aktualizacji będzie nadal mogła wyzwalać zdarzenia aż do momentu jej zatrzymania i zrestartowania.
Ostrzeżenie: Jeśli reguła redukcji obszaru ataku określi, że plik lub folder przejawia szkodliwe zachowanie, reguła nie zablokuje działania pliku. Może to zezwalać na uruchamianie niebezpiecznych plików i spowodować zainfekowanie urządzenia.
  • Windows 10+ Professional, Education, Enterprise
  • Windows Team