Configurer des exclusions Antivirus Microsoft Defender sur Windows Server

S’applique à :

Résumé

Cet article fournit une vue d’ensemble des exclusions Antivirus Microsoft Defender sur Windows Server 2016 ou ultérieure.

Comme Antivirus Microsoft Defender est intégré à Windows Server 2016 et ultérieures, les exclusions pour les fichiers du système d’exploitation et les rôles serveur se produisent automatiquement. Toutefois, vous pouvez définir des exclusions personnalisées. Vous pouvez également refuser les exclusions automatiques si nécessaire.

Le présent article contient les sections suivantes :



Section Description
Exclusions automatiques sur Windows Server 2016 ou ultérieure Décrit les deux principaux types d’exclusions automatiques et inclut une liste détaillée des exclusions automatiques
Refuser les exclusions automatiques Comprend des considérations et des procédures importantes décrivant comment refuser les exclusions automatiques
Définition d’exclusions personnalisées Fournit des liens vers des procédures pour définir des exclusions personnalisées

Important

Gardez les points suivants à l’esprit :

  • Les exclusions personnalisées sont prioritaires sur les exclusions automatiques.
  • Les exclusions automatiques s’appliquent uniquement à l’analyse de la protection en temps réel (RTP). Les exclusions automatiques ne sont pas honorées lors d’une analyse complète, d’une analyse rapide ou d’une analyse à la demande.
  • Les exclusions personnalisées et dupliquées ne sont pas en conflit avec les exclusions automatiques.
  • Antivirus Microsoft Defender utilise les outils gestion et maintenance des images de déploiement (DISM) pour déterminer les rôles installés sur votre ordinateur.

Exclusions automatiques sur Windows Server 2016 ou ultérieure

Notes

Les exclusions automatiques s’appliquent uniquement à l’analyse de protection en temps réel (RTP). Les exclusions automatiques ne sont pas honorées lors d’une analyse complète, d’une analyse rapide ou d’une analyse à la demande.

Sur Windows Server 2016 ou ultérieure, vous ne devez pas définir les exclusions suivantes :

  • Fichiers du système d’exploitation
  • Rôles serveur et fichiers ajoutés par le biais des rôles serveur

Comme Antivirus Microsoft Defender est intégré, il ne nécessite pas d’exclusions pour les fichiers du système d’exploitation Windows Server 2016 ou ultérieures. En outre, lorsque vous exécutez Windows Server 2016 ou une ultérieure et installez un rôle, Antivirus Microsoft Defender inclut des exclusions automatiques pour le rôle serveur et tous les fichiers ajoutés lors de l’installation du rôle.

Les exclusions de système d’exploitation et les exclusions de rôles de serveur n’apparaissent pas dans les listes d’exclusions standard affichées dans l Sécurité Windows app.

Les exclusions automatiques pour les rôles serveur et les fichiers du système d’exploitation ne s’appliquent Windows Server 2012 ou Windows Server 2012 R2.

Liste des exclusions automatiques

Les sections suivantes contiennent les exclusions qui sont livrées avec des chemins d’accès et des types de fichiers d’exclusions automatiques.

Exclusions par défaut pour tous les rôles

Cette section répertorie les exclusions par défaut pour tous les rôles dans Windows Server 2016 et Windows Server 2019.

Notes

Les emplacements par défaut peuvent être différents de ceux répertoriés dans cet article.

Windows Fichiers « temp.edb »
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\*\*.log
Windows Mettre à jour des fichiers ou des fichiers de mise à jour automatique
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
Sécurité Windows fichiers
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
Fichiers de stratégie de groupe
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
Fichiers WINS
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
Exclusions du service de réplication de fichiers (FRS)
  • Fichiers dans le dossier de travail du service de réplication de fichiers (FRS). Le dossier de travail FRS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • Fichiers journaux de base de données FRS. Le dossier du fichier journal de la base de données FRS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • Dossier intermédiaire FRS. Le dossier de transit est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Dossier de préinstallation FRS. Ce dossier est spécifié par le dossier Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • La base de données de réplication du système de fichiers distribués (DFSR) et les dossiers de travail. Ces dossiers sont spécifiés par la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Notes

    Pour les emplacements personnalisés, voir Refuser les exclusions automatiques.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
Exclusions de processus
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Exclusions Hyper-V

Le tableau suivant répertorie les exclusions de types de fichiers, les exclusions de dossiers et les exclusions de processus qui sont automatiquement livrées lorsque vous installez le rôle Hyper-V.



Type d’exclusion Spécificités
Types de fichiers *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processus %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
Fichiers SYSVOL
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Exclusions Active Directory

Cette section répertorie les exclusions qui sont livrées automatiquement lorsque vous installez les services de domaine Active Directory (AD DS).

Fichiers de base de données NTDS

Les fichiers de base de données sont spécifiés dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
Fichiers journaux des transactions AD DS

Les fichiers journaux des transactions sont spécifiés dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
Dossier de travail NTDS

Ce dossier est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Exclusions de serveur DHCP

Cette section répertorie les exclusions qui sont automatiquement livrées lorsque vous installez le rôle serveur DHCP. Les emplacements de fichiers DHCP Server sont spécifiés par les paramètres DatabasePath, DhcpLogFilePath et BackupDatabasePath dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Exclusions de serveur DNS

Cette section répertorie les exclusions de fichiers et de dossiers, ainsi que les exclusions de processus qui sont automatiquement livrées lorsque vous installez le rôle serveur DNS.

Exclusions de fichiers et de dossiers pour le rôle serveur DNS
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
Exclusions de processus pour le rôle serveur DNS
  • %systemroot%\System32\dns.exe

Exclusions de Stockage services de fichiers et de fichiers

Cette section répertorie les exclusions de fichiers et de dossiers qui sont automatiquement livrées lorsque vous installez le rôle De fichiers Stockage Services. Les exclusions répertoriées ci-dessous n’incluent pas d’exclusions pour le rôle de clustering.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Cette section répertorie les exclusions de types de fichiers, les exclusions de dossiers et les exclusions de processus qui sont automatiquement livrées lorsque vous installez le rôle serveur d’impression.

Exclusions de types de fichiers
  • *.shd
  • *.spl
Exclusions de dossiers

Ce dossier est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
Exclusions de processus
  • spoolsv.exe

Exclusions de serveur web

Cette section répertorie les exclusions de dossiers et les exclusions de processus qui sont automatiquement livrées lorsque vous installez le rôle serveur Web.

Exclusions de dossiers
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Process exclusions
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
La non-analyse des fichiers dans le dossier Sysvol\Sysvol ou le dossier SYSVOL_DFSR\Sysvol

L’emplacement actuel du ou des dossiers et tous les sous-dossiers est la cible d’examen du système de fichiers de la racine du jeu Sysvol\Sysvol SYSVOL_DFSR\Sysvol de réplicas. Les Sysvol\Sysvol SYSVOL_DFSR\Sysvol dossiers et les dossiers utilisent les emplacements suivants par défaut :

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Le chemin d’accès au chemin d’accès actif est référencé par le partage NETLOGON et peut être déterminé par le nom de la valeur SysVol dans la SYSVOL sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Excluez les fichiers suivants de ce dossier et de tous ses sous-dossiers :

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services exclusions

Cette section répertorie les exclusions de dossiers qui sont automatiquement livrées lorsque vous installez le rôle Windows Server Update Services (WSUS). Le dossier WSUS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Refuser les exclusions automatiques

Dans Windows Server 2016 et ultérieures, les exclusions prédéfines livrées par les mises à jour de l’intelligence de sécurité excluent uniquement les chemins d’accès par défaut pour un rôle ou une fonctionnalité. Si vous avez installé un rôle ou une fonctionnalité dans un chemin d’accès personnalisé, ou si vous souhaitez contrôler manuellement l’ensemble des exclusions, veillez à refuser les exclusions automatiques délivrées dans les mises à jour de l’intelligence de sécurité. Toutefois, gardez à l’esprit que les exclusions qui sont livrées automatiquement sont optimisées pour Windows Server 2016 et ultérieures. Voir Recommandations pour définir des exclusions avant de définir vos listes d’exclusions.

Avertissement

Le fait de refuser les exclusions automatiques peut avoir un impact négatif sur les performances ou entraîner une altération des données. Les exclusions qui sont livrées automatiquement sont optimisées pour les rôles Windows Server 2016 et Windows Server 2019.

Étant donné que les exclusions prédéfinie excluent uniquement les chemins d’accès par défaut, si vous déplacez des dossiers NTDS et SYSVOL vers un autre lecteur ou chemin différent du chemin d’accès d’origine, vous devez ajouter des exclusions manuellement. Voir Configurer la liste des exclusions en fonction du nom du dossier ou de l’extension de fichier.

Vous pouvez désactiver les listes d’exclusion automatique avec la stratégie de groupe, les cmdlets PowerShell et WMI.

Utiliser la stratégie de groupe pour désactiver la liste d’exclusions automatiques sur Windows Server 2016 et Windows Server 2019

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez laConsole de gestion des stratégies de groupe. Cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans l’Éditeur de gestion des stratégies de groupe, sélectionnez Configuration ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence Windows composants > Antivirus Microsoft Defender > exclusions.

  4. Double-cliquez sur Désactiver les exclusions automatiques et définissez l’option sur Activé. Puis sélectionnez OK.

Utiliser les cmdlets PowerShell pour désactiver la liste d’exclusions automatiques sur Windows Server

Utilisez les cmdlets suivantes :

Set-MpPreference -DisableAutoExclusions $true

Pour en savoir plus, consultez les ressources suivantes :

Utiliser Windows Management Instruction (WMI) pour désactiver la liste d’exclusions automatiques sur Windows Server

Utilisez la méthode Set de la classe MSFT_MpPreference pour les propriétés suivantes :

DisableAutoExclusions

Pour plus d’informations et les paramètres autorisés, voir les informations suivantes :

Définition d’exclusions personnalisées

Si nécessaire, vous pouvez ajouter ou supprimer des exclusions personnalisées. Pour ce faire, consultez les articles suivants :

Voir aussi