Errores comunes para evitarlos cuando se definen exclusiones

  • Artículo

Se aplica a:

Plataformas

  • Windows
  • macOS
  • Linux

Importante

Agregue exclusiones con precaución. Las exclusiones de los exámenes Microsoft Defender Antivirus reducen el nivel de protección de los dispositivos.

Puede definir una lista de exclusión para los elementos que no desea que Microsoft Defender Antivirus examine. Sin embargo, los elementos excluidos podrían contener amenazas que hacen que el dispositivo sea vulnerable. En este artículo se describen algunos errores comunes que debe evitar al definir exclusiones.

Sugerencia

Antes de definir las listas de exclusión, consulte Puntos importantes sobre exclusiones y revise la información detallada de Exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Exclusión de determinados elementos de confianza

Algunos archivos, tipos de archivos, carpetas o procesos no deben excluirse del examen aunque confíe en que no son malintencionados. No defina exclusiones para las ubicaciones de carpetas, las extensiones de archivo y los procesos que se enumeran en las secciones siguientes:

Ubicaciones de carpeta

Importante

Algunas carpetas no deben excluirse de los exámenes porque pueden terminar siendo carpetas en las que se pueden quitar archivos malintencionados.

En general, no defina exclusiones para ninguna de las siguientes ubicaciones de carpeta:

  • %systemdrive%
  • C:, C:\ o C:\*
  • %ProgramFiles%\Java o C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\o C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\ o C:\Temp\*
  • C:\Users\ o C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ o C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Tenga en cuenta las siguientes excepciones importantes para SharePoint: ExcluirC:\Users\ServiceAccount\AppData\Local\Temp o C:\Users\Default\AppData\Local\Temp al usar la protección antivirus de nivel de archivo en SharePoint.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\o C:\Windows\Prefetch\*
  • %Windir%\System32\Spool o C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\o C:\Windows\Temp\*

Plataformas Linux y macOS

En general, no defina exclusiones para las siguientes ubicaciones de carpeta:

  • /
  • /bin o /sbin
  • /usr/lib

Extensiones de archivo

Importante

Algunas extensiones de archivo no deben excluirse porque pueden ser tipos de archivo que se usan en un ataque.

En general, no defina exclusiones para las siguientes extensiones de archivo:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko o .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Procesos

Importante

No se deben excluir determinados procesos porque se usan durante los ataques.

En general, no defina exclusiones para los procesos siguientes:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Nota:

Puede optar por excluir tipos de archivo, como .gif, .jpg, .jpego .png si el entorno tiene un software moderno y actualizado con una directiva de actualización estricta para controlar las vulnerabilidades.

Plataformas Linux y macOS

En general, no defina exclusiones para los procesos siguientes:

  • bash
  • java
  • python y python3
  • sh
  • zsh

Usar solo el nombre de archivo en la lista de exclusión

Es posible que el malware tenga el mismo nombre que el de un archivo en el que confía y que desea excluir del examen. Por lo tanto, para evitar excluir el posible malware del examen, use una ruta de acceso completa al archivo que desea excluir en lugar de usar solo el nombre de archivo. Por ejemplo, si desea excluir Filename.exe del examen, use la ruta de acceso completa al archivo, como C:\program files\contoso\Filename.exe.

Uso de una lista de exclusión única para varias cargas de trabajo de servidor

No use una sola lista de exclusión para definir exclusiones para varias cargas de trabajo de servidor. Divida las exclusiones de diferentes cargas de trabajo de aplicación o servicio en varias listas de exclusión. Por ejemplo, la lista de exclusión de la carga de trabajo del servidor IIS debe ser diferente de la lista de exclusión de la carga de trabajo de SQL Server.

Uso de variables de entorno incorrectas como caracteres comodín en el nombre de archivo y la ruta de acceso de carpeta o las listas de exclusión de extensiones

Microsoft Defender Servicio antivirus se ejecuta en el contexto del sistema mediante la cuenta LocalSystem, lo que significa que obtiene información de la variable de entorno del sistema y no de la variable de entorno de usuario. El uso de variables de entorno como carácter comodín en las listas de exclusión se limita a las variables del sistema y las aplicables a los procesos que se ejecutan como una cuenta NT AUTHORITY\SYSTEM. Por lo tanto, no use variables de entorno de usuario como caracteres comodín al agregar Microsoft Defender carpeta Antivirus y procesar exclusiones. Consulte la tabla en Variables de entorno del sistema para obtener una lista completa de las variables de entorno del sistema.

Consulte Uso de caracteres comodín en las listas de exclusión de extensiones o ruta de acceso de carpeta y nombre de archivo para obtener información sobre cómo usar caracteres comodín en las listas de exclusión.

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.