除外を定義する際に避ける必要のある一般的な間違い
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
- macOS
- Linux
重要
除外を追加する場合は注意が必要です。 Microsoft Defenderウイルス対策スキャンの除外により、デバイスの保護レベルが低下します。
ウイルス対策をスキャンしないアイテムの除外リストMicrosoft Defender定義できます。 ただし、除外された項目には、デバイスを脆弱にする脅威が含まれている可能性があります。 この記事では、除外を定義するときに避ける必要がある一般的な間違いについて説明します。
ヒント
除外リストを定義する前に、「除外に関する重要なポイント」を参照し、「Microsoft Defender for EndpointおよびMicrosoft Defenderウイルス対策の除外」の詳細情報を確認してください。
特定の信頼済みアイテムを除外する
特定のファイル、ファイルの種類、フォルダー、またはプロセスは、悪意のないと信頼している場合でも、スキャンから除外しないでください。 次のセクションに記載されているフォルダーの場所、ファイル拡張子、およびプロセスの除外を定義しないでください。
フォルダーの場所
重要
特定のフォルダーは、悪意のあるファイルが削除される可能性があるフォルダーになる可能性があるため、スキャンから除外しないでください。
一般に、次のフォルダーの場所に対して除外を定義しないでください。
%systemdrive%
C:
、C:\
、またはC:\*
%ProgramFiles%\Java
またはC:\Program Files\Java
%ProgramFiles%\Contoso\
、C:\Program Files\Contoso\
、%ProgramFiles(x86)%\Contoso\
またはC:\Program Files (x86)\Contoso\
C:\Temp
、C:\Temp\
、またはC:\Temp\*
C:\Users\
またはC:\Users\*
C:\Users\<UserProfileName>\AppData\Local\Temp\
またはC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
。 SharePoint の次の重要な例外に注意してください。 SharePoint でファイル レベルのウイルス対策保護を使用する場合は、除外C:\Users\ServiceAccount\AppData\Local\Temp
するか、またはC:\Users\Default\AppData\Local\Temp
使用します。%Windir%\Prefetch
、C:\Windows\Prefetch
、C:\Windows\Prefetch\
またはC:\Windows\Prefetch\*
%Windir%\System32\Spool
またはC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
%Windir%\Temp
、C:\Windows\Temp
、C:\Windows\Temp\
またはC:\Windows\Temp\*
Linux および macOS プラットフォーム
一般に、次のフォルダーの場所の除外を定義しないでください。
/
/bin
または/sbin
/usr/lib
ファイル拡張子
重要
特定のファイル拡張子は、攻撃で使用されるファイルの種類である可能性があるため、除外しないでください。
一般に、次のファイル拡張子の除外を定義しないでください。
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
.ko
または.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
プロセス
重要
特定のプロセスは、攻撃中に使用されるため、除外しないでください。
一般に、次のプロセスの除外を定義しないでください。
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
注:
、、、などの.gif
.jpg
.jpeg
.png
ファイルの種類を除外することも、環境に最新の最新のソフトウェアがあり、厳密な更新ポリシーを使用して脆弱性を処理することもできます。
Linux および macOS プラットフォーム
一般に、次のプロセスの除外を定義しないでください。
bash
java
python
とpython3
sh
zsh
除外リストでファイル名だけを使用する
マルウェアは、信頼できるファイルと同じ名前を持ち、スキャンから除外したい場合があります。 そのため、潜在的なマルウェアをスキャンから除外しないようにするには、ファイル名だけを使用するのではなく、除外するファイルへの完全修飾パスを使用します。 たとえば、スキャンから除外 Filename.exe
する場合は、 などの C:\program files\contoso\Filename.exe
ファイルへの完全なパスを使用します。
複数のサーバー ワークロードに対して 1 つの除外リストを使用する
1 つの除外リストを使用して、複数のサーバー ワークロードの除外を定義しないでください。 さまざまなアプリケーションまたはサービス ワークロードの除外を複数の除外リストに分割します。 たとえば、IIS Server ワークロードの除外リストは、SQL Server ワークロードの除外リストとは異なる必要があります。
ファイル名とフォルダー パスまたは拡張機能の除外リストで不適切な環境変数をワイルドカードとして使用する
Microsoft Defenderウイルス対策サービスは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。つまり、ユーザー環境変数ではなく、システム環境変数から情報を取得します。 除外リストでのワイルドカードとしての環境変数の使用は、システム変数と、NT AUTHORITY\SYSTEM アカウントとして実行されているプロセスに適用される変数に限定されます。 そのため、ウイルス対策フォルダーとプロセスの除外Microsoft Defender追加するときに、ユーザー環境変数をワイルドカードとして使用しないでください。 システム環境変数の完全な一覧については、「 システム環境変数 」の表を参照してください。
除外リストでワイルドカードを使用する方法については、「ファイル名とフォルダー パスまたは拡張子の除外リストでワイルドカードを使用する」を参照してください。
関連項目
- Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
- Microsoft Defender ウイルス対策のカスタム除外を構成する
- Linux 上のMicrosoft Defender for Endpointの除外を構成して検証する
- macOS でのMicrosoft Defender for Endpointの除外の構成と検証
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示