Microsoft Defender vyloučení antivirové ochrany ve Windows Serveru

  • Článek

Platí pro:

Platformy

  • Windows

Tento článek popisuje typy vyloučení, které nemusíte definovat pro Microsoft Defender Antivirus:

Podrobnější přehled vyloučení najdete v tématu Správa vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Několik důležitých bodů o vyloučeních ve Windows Serveru

  • Vlastní vyloučení mají přednost před automatickými vyloučeními.
  • Automatická vyloučení se vztahují pouze na kontrolu ochrany v reálném čase (RTP).
  • Automatická vyloučení se při rychlé, úplné a vlastní kontrole nedodrží.
  • Vlastní a duplicitní vyloučení nejsou v konfliktu s automatickými vyloučeními.
  • Microsoft Defender Antivirus používá nástroje DISM (Deployment Image Servicing and Management) k určení rolí nainstalovaných v počítači.
  • Pro software, který není součástí operačního systému, musí být nastavena příslušná vyloučení.
  • Windows Server 2012 R2 nemá jako instalovatelnou funkci Microsoft Defender Antivirus. Když tyto servery připojíte do Defenderu for Endpoint, nainstalujete Microsoft Defender Antivirus a použije se výchozí vyloučení pro soubory operačního systému. Vyloučení rolí serveru (jak je uvedeno níže) se ale automaticky neuplatní a podle potřeby byste je měli nakonfigurovat. Další informace najdete v tématu Onboarding serverů s Windows do služby Microsoft Defender for Endpoint.
  • Integrovaná vyloučení a automatická vyloučení rolí serveru se nezobrazují ve standardních seznamech vyloučení, které se zobrazují v aplikaci Zabezpečení Windows.
  • Seznam předdefinovaných vyloučení ve Windows se průběžně aktualizuje s tím, jak se mění prostředí hrozeb. Tento článek obsahuje seznam některých předdefinovaných a automatických vyloučení, ale ne všech.

Automatická vyloučení rolí serveru

V Windows Server 2016 nebo novějších verzích byste neměli definovat vyloučení pro role serveru. Když nainstalujete roli na Windows Server 2016 nebo novější, Microsoft Defender Antivirus zahrnuje automatická vyloučení role serveru a všech souborů, které se při instalaci role přidají.

Windows Server 2012 R2 nepodporuje funkci automatického vyloučení. Budete muset definovat explicitní vyloučení pro každou roli serveru a veškerý software, který se přidá po instalaci operačního systému.

Důležité

  • Výchozí umístění se mohou lišit od umístění popsaných v tomto článku.
  • Pokud chcete nastavit vyloučení pro software, který není součástí funkce systému Windows nebo role serveru, přečtěte si dokumentaci výrobce softwaru.

Mezi automatická vyloučení patří:

Vyloučení Hyper-V

Následující tabulka uvádí vyloučení typů souborů, vyloučení složek a vyloučení procesů, která se doručí automaticky při instalaci role Hyper-V.

Typ vyloučení Specifika
Typy souborů *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Složky %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Procesy %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Soubory SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Vyloučení služby Active Directory

V této části jsou uvedena vyloučení, která se doručují automaticky při instalaci Active Directory Domain Services (AD DS).

Soubory databáze NTDS

Soubory databáze jsou zadané v klíči registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Soubory protokolů transakcí služby AD DS

Soubory transakčního protokolu jsou zadané v klíči registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Pracovní složka NTDS

Tato složka je určená v klíči registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Vyloučení serveru DHCP

V této části jsou uvedena vyloučení, která se doručí automaticky při instalaci role serveru DHCP. Umístění souborů serveru DHCP jsou určena parametry DatabasePath, DhcpLogFilePath a BackupDatabasePath v klíči registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Vyloučení serveru DNS

Tato část obsahuje seznam vyloučení souborů a složek a vyloučení procesů, která se doručí automaticky při instalaci role serveru DNS.

Vyloučení souborů a složek pro roli serveru DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Vyloučení procesů pro roli serveru DNS

  • %systemroot%\System32\dns.exe

Vyloučení souborové služby a služby úložiště

Tato část obsahuje seznam vyloučení souborů a složek, která se doručí automaticky při instalaci role Souborová služba a služba úložiště. Níže uvedená vyloučení nezahrnují vyloučení pro roli Clustering.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Tato část obsahuje seznam vyloučení typů souborů, vyloučení složek a vyloučení procesů, která se doručují automaticky při instalaci role tiskového serveru.

Vyloučení typů souborů

  • *.shd
  • *.spl

Vyloučení složek

Tato složka je určená v klíči registru. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Vyloučení procesů pro roli tiskového serveru

  • spoolsv.exe

Vyloučení webového serveru

Tato část obsahuje seznam vyloučení složek a vyloučení procesů, která se doručují automaticky při instalaci role Webového serveru.

Vyloučení složek

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Vyloučení procesů pro roli webového serveru

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Vypnutí kontroly souborů ve složce Sysvol\Sysvol nebo SYSVOL_DFSR\Sysvol

Aktuální umístění Sysvol\Sysvol složky nebo SYSVOL_DFSR\Sysvol a všech podsložek je cílovým cílem souboru systému souborů kořenového adresáře sady replik. Složky Sysvol\Sysvol a SYSVOL_DFSR\Sysvol používají ve výchozím nastavení následující umístění:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Na cestu k aktuálně aktivnímu SYSVOL objektu odkazuje sdílená složka NETLOGON a dá se určit podle názvu hodnoty SysVol v následujícím podklíči: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Z této složky a všech jejích podsložek vylučte následující soubory:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

vyloučení Windows Server Update Services

Tato část obsahuje seznam vyloučení složek, která se doručují automaticky při instalaci role Windows Server Update Services (WSUS). Složka WSUS je zadaná v klíči registru. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Předdefinované vyloučení

Vzhledem k tomu, že Microsoft Defender Antivirus je součástí Windows, nevyžaduje vyloučení souborů operačního systému v žádné verzi Windows.

Mezi předdefinované vyloučení patří:

Seznam předdefinovaných vyloučení ve Windows se průběžně aktualizuje s tím, jak se mění prostředí hrozeb.

Soubory temp.edb ve Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

služba Windows Update souborů nebo automatických aktualizací

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Zabezpečení Windows souborů

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Zásady skupiny souborů

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

Soubory WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Vyloučení služby replikace souborů (FRS)

  • Soubory v pracovní složce Služby replikace souborů (FRS). Pracovní složka služby FRS je určená v klíči registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Soubory protokolu databáze SLUŽBY FRS. Složka souboru protokolu databáze FRS je určená v klíči registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Pracovní složka služby FRS. Pracovní složka je určená v klíči registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Předinstalovaná složka služby FRS. Tato složka je určena složkou Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Databáze replikace distribuovaného systému souborů (DFSR) a pracovních složek Tyto složky jsou určené klíčem registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Poznámka

    Informace o vlastních umístěních najdete v tématu Odhlášení automatického vyloučení.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Vyloučení procesů pro předdefinované soubory operačního systému

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Odhlášení automatických vyloučení

V Windows Server 2016 a novějších verzích předdefinovaná vyloučení poskytovaná aktualizacemi Security Intelligence vylučují jenom výchozí cesty pro roli nebo funkci. Pokud jste roli nebo funkci nainstalovali ve vlastní cestě nebo pokud chcete sadu vyloučení řídit ručně, nezapomeňte se odhlásit z automatických vyloučení doručovaných v části Aktualizace bezpečnostních informací. Mějte ale na paměti, že vyloučení, která se doručují automaticky, jsou optimalizovaná pro Windows Server 2016 a novější. Před definováním seznamů vyloučení si projděte důležité body týkající se vyloučení .

Upozornění

Odhlášení automatického vyloučení může nepříznivě ovlivnit výkon nebo vést k poškození dat. Automatická vyloučení rolí serveru jsou optimalizovaná pro Windows Server 2016, Windows Server 2019 a Windows Server 2022.

Vzhledem k tomu, že předdefinovaná vyloučení vylučují pouze výchozí cesty, je nutné přidat vyloučení ručně, pokud přesunete složky NTDS a SYSVOL na jinou jednotku nebo cestu, která se liší od původní cesty. Viz Konfigurace seznamu vyloučení na základě názvu složky nebo přípony souboru.

Automatické seznamy vyloučení můžete zakázat pomocí Zásady skupiny, rutin PowerShellu a rozhraní WMI.

Pomocí Zásady skupiny zakažte seznam automatických vyloučení na Windows Server 2016, Windows Server 2019 a Windows Server 2022.

  1. Na počítači pro správu Zásady skupiny otevřete Konzolu pro správu zásad skupiny. Klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

  2. V Zásady skupiny Správa Editor přejděte na Konfigurace počítače a pak vyberte Šablony pro správu.

  3. Rozbalte strom na Součásti> systému Windows Microsoft Defender Vyloučení antivirové ochrany>.

  4. Poklikejte na Vypnout automatická vyloučení a nastavte možnost na Povoleno. Potom vyberte OK.

Zakázání seznamu automatických vyloučení na Windows Serveru pomocí rutin PowerShellu

Použijte následující rutiny:

Set-MpPreference -DisableAutoExclusions $true

Další informace najdete v následujících zdrojích informací:

Zakázání seznamu automatických vyloučení na Windows Serveru pomocí pokynů pro správu systému Windows (WMI)

Použijte metodu Set třídy MSFT_MpPreference pro následující vlastnosti:

DisableAutoExclusions

Další informace a povolené parametry najdete tady:

Definování vlastních vyloučení

V případě potřeby můžete přidat nebo odebrat vlastní vyloučení. Pokud to chcete udělat, přečtěte si následující články:

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.