Configuración de exclusiones de Antivirus de Microsoft Defender en Windows Server

Se aplica a:

Plataformas

  • Windows

Antivirus de Microsoft Defender en Windows Server 2016 y Windows Server 2019 le inscribe automáticamente en determinadas exclusiones, según lo definido por el rol de servidor especificado. Estas exclusiones no aparecen en las listas de exclusión estándar que se muestran en la aplicación Seguridad de Windows.

Además de las exclusiones automáticas definidas por rol del servidor, puede agregar o quitar exclusiones personalizadas. Para ello, consulte estos artículos:

Algunos puntos a tener en cuenta

  • Las exclusiones personalizadas tienen prioridad sobre las exclusiones automáticas.
  • Las exclusiones automáticas solo se aplican al examen de protección en tiempo real (RTP ).
  • Las exclusiones automáticas no se respetan durante un examen completo, rápido o a petición.
  • Las exclusiones personalizadas y duplicadas no entran en conflicto con las exclusiones automáticas.
  • Antivirus de Microsoft Defender usa las herramientas de administración y mantenimiento de imágenes de implementación (DISM) para determinar qué roles están instalados en el equipo.
  • Se deben establecer exclusiones adecuadas para el software que no se incluye con el sistema operativo.
  • Windows Server 2012 R2 no tiene Antivirus de Microsoft Defender como característica instalable. Al incorporar esos servidores a Defender para punto de conexión, instalará Antivirus de Windows Defender y se aplicarán exclusiones predeterminadas para los archivos del sistema operativo. Sin embargo, las exclusiones de los roles de servidor (como se especifica a continuación) no se aplican automáticamente y debe configurar estas exclusiones según corresponda. Para obtener más información, consulte Incorporación de servidores Windows al servicio de Microsoft Defender para punto de conexión.

En este artículo se proporciona información general sobre las exclusiones de Antivirus de Microsoft Defender en Windows Server 2016 o versiones posteriores.

Dado que Antivirus de Microsoft Defender está integrado en Windows Server 2016 y versiones posteriores, las exclusiones de los archivos del sistema operativo y los roles de servidor se producen automáticamente. Sin embargo, puede definir exclusiones personalizadas. También puede optar por no participar en exclusiones automáticas si es necesario.

En este artículo se incluyen las siguientes secciones:

Sección Descripción
Exclusiones automáticas en Windows Server 2016 o versiones posteriores Describe los dos tipos principales de exclusiones automáticas e incluye una lista detallada de exclusiones automáticas.
No participar en exclusiones automáticas Incluye consideraciones y procedimientos importantes que describen cómo excluirse de exclusiones automáticas
Definición de exclusiones personalizadas Proporciona vínculos a información de procedimientos para definir exclusiones personalizadas

Exclusiones automáticas en Windows Server 2016 o versiones posteriores

En Windows Server 2016 o posterior, no es necesario definir las siguientes exclusiones:

  • Archivos de sistema operativo
  • Roles de servidor y cualquier archivo que se agregue a través de roles de servidor

Dado que Antivirus de Microsoft Defender está integrado, no requiere exclusiones para los archivos del sistema operativo en Windows Server 2016 o versiones posteriores. Además, al ejecutar Windows Server 2016 o posterior e instalar un rol, Antivirus de Microsoft Defender incluye exclusiones automáticas para el rol de servidor y los archivos que se agregan al instalar el rol.

Las exclusiones del sistema operativo y las exclusiones de roles de servidor no aparecen en las listas de exclusión estándar que se muestran en la aplicación Seguridad de Windows.

Nota

Las exclusiones automáticas de los roles de servidor y los archivos del sistema operativo no se aplican a Windows Server 2012. Las exclusiones automáticas se pueden aplicar si los servidores que ejecutan Windows Server 2012 R2 se incorporan a Defender para punto de conexión. (Consulte Incorporación de servidores Windows al servicio de Microsoft Defender para punto de conexión).

Lista de exclusiones automáticas

Las secciones siguientes contienen las exclusiones que se entregan con las rutas de acceso de archivo y los tipos de archivo de exclusiones automáticas.

Exclusiones predeterminadas para todos los roles

En esta sección se enumeran las exclusiones predeterminadas de todos los roles de Windows Server 2016, Windows Server 2019 y Windows Server 2022.

Importante

  • Las ubicaciones predeterminadas podrían ser diferentes de las ubicaciones que se describen en este artículo.
  • Para establecer exclusiones de software que no se incluye como una característica de Windows o rol de servidor, consulte la documentación del fabricante del software.
Windows archivos "temp.edb"
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
archivos Windows Update o archivos de actualización automática
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
archivos Seguridad de Windows
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
archivos directiva de grupo
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
Archivos WINS
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
Exclusiones del servicio de replicación de archivos (FRS)
  • Archivos en la carpeta de trabajo del Servicio de replicación de archivos (FRS). La carpeta de trabajo FRS se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • Archivos de registro de base de datos FRS. La carpeta del archivo de registro de la base de datos FRS se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • Carpeta de almacenamiento provisional frs. La carpeta de almacenamiento provisional se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Carpeta de preinstalación de FRS. Esta carpeta se especifica mediante la carpeta Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • La base de datos y las carpetas de trabajo de replicación del sistema de archivos distribuido (DFSR). La clave del Registro especifica estas carpetas. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Nota

    Para conocer las ubicaciones personalizadas, consulte Exclusión de exclusiones automáticas.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
Exclusiones de procesos
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Exclusiones de Hyper-V

En la tabla siguiente se enumeran las exclusiones de tipos de archivo, las exclusiones de carpetas y las exclusiones de procesos que se entregan automáticamente al instalar el rol de Hyper-V.

Tipo de exclusión Detalles
Tipos de archivo *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Procesos %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
Archivos SYSVOL
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Exclusiones de Active Directory

En esta sección se enumeran las exclusiones que se entregan automáticamente al instalar Servicios de dominio de Active Directory (AD DS).

Archivos de base de datos NTDS

Los archivos de base de datos se especifican en la clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
Los archivos de registro de transacciones de AD DS

Los archivos de registro de transacciones se especifican en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
La carpeta de trabajo NTDS

Esta carpeta se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Exclusiones del servidor DHCP

En esta sección se enumeran las exclusiones que se entregan automáticamente al instalar el rol servidor DHCP. Las ubicaciones de archivo del servidor DHCP se especifican mediante los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Exclusiones del servidor DNS

En esta sección se enumeran las exclusiones de archivos y carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor DNS.

Exclusiones de archivos y carpetas para el rol servidor DNS
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
Exclusiones de procesos para el rol servidor DNS
  • %systemroot%\System32\dns.exe

Exclusiones de archivos y Storage Services

En esta sección se enumeran las exclusiones de archivos y carpetas que se entregan automáticamente al instalar el rol Archivo y Storage Services. Las exclusiones que se enumeran a continuación no incluyen exclusiones para el rol Agrupación en clústeres.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

En esta sección se enumeran las exclusiones de tipo de archivo, las exclusiones de carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor de impresión.

Exclusiones de tipos de archivo
  • *.shd
  • *.spl
Exclusiones de carpetas

Esta carpeta se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
Exclusiones de procesos
  • spoolsv.exe

Exclusiones del servidor web

En esta sección se enumeran las exclusiones de carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor web.

Exclusiones de carpetas
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Process exclusions
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
Desactivar el examen de archivos en la carpeta Sysvol\Sysvol o en la carpeta SYSVOL_DFSR\Sysvol

La ubicación actual de la Sysvol\Sysvol carpeta o SYSVOL_DFSR\Sysvol y todas las subcarpetas es el destino de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. Las Sysvol\Sysvol carpetas y SYSVOL_DFSR\Sysvol usan las siguientes ubicaciones de forma predeterminada:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

El recurso compartido NETLOGON hace referencia a la ruta de acceso al activo actualmente y SYSVOL se puede determinar mediante el nombre del valor SysVol en la subclave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

exclusiones de Windows Server Update Services

En esta sección se enumeran las exclusiones de carpetas que se entregan automáticamente al instalar el rol de Windows Server Update Services (WSUS). La carpeta WSUS se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

No participar en exclusiones automáticas

En Windows Server 2016 y versiones posteriores, las exclusiones predefinidas proporcionadas por las actualizaciones de Inteligencia de seguridad solo excluyen las rutas de acceso predeterminadas para un rol o característica. Si instaló un rol o una característica en una ruta de acceso personalizada o quiere controlar manualmente el conjunto de exclusiones, asegúrese de no participar en las exclusiones automáticas entregadas en actualizaciones de Inteligencia de seguridad. Pero tenga en cuenta que las exclusiones que se entregan automáticamente se optimizan para Windows Server 2016 y versiones posteriores. Consulte Recomendaciones para definir exclusiones antes de definir las listas de exclusión.

Advertencia

La exclusión de exclusiones automáticas puede afectar negativamente al rendimiento o provocar daños en los datos. Las exclusiones que se entregan automáticamente se optimizan para los roles Windows Server 2016, Windows Server 2019 y Windows Server 2022.

Dado que las exclusiones predefinidas solo excluyen rutas de acceso predeterminadas, si mueve carpetas NTDS y SYSVOL a otra unidad o ruta de acceso diferente de la ruta de acceso original, debe agregar exclusiones manualmente. Consulte Configuración de la lista de exclusiones basadas en el nombre de carpeta o la extensión de archivo.

Puede deshabilitar las listas de exclusión automática con directiva de grupo, cmdlets de PowerShell y WMI.

Use directiva de grupo para deshabilitar la lista de exclusiones automáticas en Windows Server 2016, Windows Server 2019 y Windows Server 2022

  1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y, a continuación, seleccione Editar.

  2. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y, a continuación, seleccione Plantillas administrativas.

  3. Expanda el árbol para Windows componentes > Antivirus de Microsoft Defender > exclusiones.

  4. Haga doble clic en Desactivar exclusiones automáticas y establezca la opción en Habilitado. A continuación, seleccione Aceptar.

Uso de cmdlets de PowerShell para deshabilitar la lista de exclusiones automáticas en Windows Server

Use los siguientes cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Para obtener más información, consulte los siguientes recursos:

Use Windows Management Instruction (WMI) para deshabilitar la lista de exclusiones automáticas en Windows Server.

Use el método Set de la clase MSFT_MpPreference para las siguientes propiedades:

DisableAutoExclusions

Consulte lo siguiente para obtener más información y los parámetros permitidos:

Definición de exclusiones personalizadas

Si es necesario, puede agregar o quitar exclusiones personalizadas. Para ello, consulte los artículos siguientes:

Vea también