Microsoft Defender wykluczeń programu antywirusowego w systemie Windows Server

  • Artykuł

Dotyczy:

Platformy

  • System Windows

W tym artykule opisano typy wykluczeń, których nie trzeba definiować dla programu antywirusowego Microsoft Defender:

Aby uzyskać bardziej szczegółowe omówienie wykluczeń, zobacz Manage exclusions for Ochrona punktu końcowego w usłudze Microsoft Defender and Microsoft Defender Antivirus (Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender).

Kilka ważnych kwestii dotyczących wykluczeń w systemie Windows Server

  • Wykluczenia niestandardowe mają pierwszeństwo przed automatycznymi wykluczeniami.
  • Automatyczne wykluczenia mają zastosowanie tylko do skanowania ochrony w czasie rzeczywistym (RTP ).
  • Automatyczne wykluczenia nie są uwzględniane podczas szybkiego skanowania, pełnego skanowania i skanowania niestandardowego.
  • Wykluczenia niestandardowe i zduplikowane nie powodują konfliktu z automatycznymi wykluczeniami.
  • Microsoft Defender Program antywirusowy używa narzędzi do obsługi i zarządzania obrazami wdrożenia (DISM) do określania ról zainstalowanych na komputerze.
  • Należy ustawić odpowiednie wykluczenia dla oprogramowania, które nie jest dołączone do systemu operacyjnego.
  • Windows Server 2012 R2 nie ma programu antywirusowego Microsoft Defender jako funkcji instalowania. Po dołączeniu tych serwerów do usługi Defender for Endpoint zainstalujesz program antywirusowy Microsoft Defender i zostaną zastosowane domyślne wykluczenia dla plików systemu operacyjnego. Jednak wykluczenia dla ról serwera (jak określono poniżej) nie są stosowane automatycznie i należy odpowiednio skonfigurować te wykluczenia. Aby dowiedzieć się więcej, zobacz Dołączanie serwerów z systemem Windows do usługi Ochrona punktu końcowego w usłudze Microsoft Defender.
  • Wbudowane wykluczenia i automatyczne wykluczenia roli serwera nie są wyświetlane na standardowych listach wykluczeń, które są wyświetlane w aplikacji Zabezpieczenia Windows.
  • Lista wbudowanych wykluczeń w systemie Windows jest aktualizowana wraz ze zmianą krajobrazu zagrożeń. W tym artykule wymieniono niektóre, ale nie wszystkie wbudowane i automatyczne wykluczenia.

Automatyczne wykluczenia roli serwera

W Windows Server 2016 lub nowszym nie należy definiować wykluczeń dla ról serwera. Podczas instalowania roli w Windows Server 2016 lub nowszym program antywirusowy Microsoft Defender obejmuje automatyczne wykluczenia roli serwera i wszystkich plików dodanych podczas instalowania roli.

Windows Server 2012 R2 nie obsługuje funkcji automatycznych wykluczeń. Należy zdefiniować jawne wykluczenia dla dowolnej roli serwera i dowolnego oprogramowania, które zostało dodane po zainstalowaniu systemu operacyjnego.

Ważna

  • Lokalizacje domyślne mogą być inne niż lokalizacje opisane w tym artykule.
  • Aby ustawić wykluczenia dla oprogramowania, które nie jest uwzględnione jako funkcja systemu Windows lub rola serwera, zapoznaj się z dokumentacją producenta oprogramowania.

Automatyczne wykluczenia obejmują:

Wykluczenia funkcji Hyper-V

Poniższa tabela zawiera listę wykluczeń typów plików, wykluczeń folderów i wykluczeń procesów, które są dostarczane automatycznie podczas instalowania roli funkcji Hyper-V.

Typ wykluczenia Specyfiki
Typy plików *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Foldery %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Procesów %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Pliki SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Wykluczenia usługi Active Directory

Ta sekcja zawiera listę wykluczeń, które są dostarczane automatycznie podczas instalowania Active Directory Domain Services (AD DS).

Pliki bazy danych NTDS

Pliki bazy danych są określone w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Pliki dziennika transakcji usług AD DS

Pliki dziennika transakcji są określone w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Folder roboczy NTDS

Ten folder jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Wykluczenia serwera DHCP

Ta sekcja zawiera listę wykluczeń, które są dostarczane automatycznie podczas instalowania roli serwera DHCP. Lokalizacje plików serwera DHCP są określane przez parametry DatabasePath, DhcpLogFilePath i BackupDatabasePath w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Wykluczenia serwera DNS

Ta sekcja zawiera listę wykluczeń plików i folderów oraz wykluczeń procesu, które są dostarczane automatycznie podczas instalowania roli serwera DNS.

Wykluczenia plików i folderów dla roli serwera DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Wykluczenia procesów dla roli serwera DNS

  • %systemroot%\System32\dns.exe

Wykluczenia usług plików i magazynowania

Ta sekcja zawiera listę wykluczeń plików i folderów, które są dostarczane automatycznie podczas instalowania roli Usługi plików i magazynowania. Wykluczenia wymienione poniżej nie obejmują wykluczeń dla roli Klastrowanie.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Ta sekcja zawiera listę wykluczeń typów plików, wykluczeń folderów i wykluczeń procesu, które są dostarczane automatycznie podczas instalowania roli serwera wydruku.

Wykluczenia typu pliku

  • *.shd
  • *.spl

Wykluczenia folderów

Ten folder jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Wykluczenia procesów dla roli serwera wydruku

  • spoolsv.exe

Wykluczenia serwera sieci Web

Ta sekcja zawiera listę wykluczeń folderów i wykluczeń procesu, które są dostarczane automatycznie podczas instalowania roli serwera sieci Web.

Wykluczenia folderów

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Wykluczenia procesów dla roli serwera sieci Web

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Wyłączanie skanowania plików w folderze Sysvol\Sysvol lub folderze SYSVOL_DFSR\Sysvol

Bieżąca lokalizacja folderu Sysvol\Sysvol lub SYSVOL_DFSR\Sysvol i wszystkich podfolderów jest miejscem docelowym ponownej analizy systemu plików w katalogu głównym zestawu replik. Foldery Sysvol\Sysvol i SYSVOL_DFSR\Sysvol domyślnie używają następujących lokalizacji:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Ścieżka do aktualnie aktywnego SYSVOL obiektu jest przywoływane przez udział NETLOGON i może być określana przez nazwę wartości SysVol w następującym podkluczu: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

wykluczenia Windows Server Update Services

Ta sekcja zawiera listę wykluczeń folderów, które są dostarczane automatycznie podczas instalowania roli Windows Server Update Services (WSUS). Folder WSUS jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Wbudowane wykluczenia

Ponieważ program antywirusowy Microsoft Defender jest wbudowany w system Windows, nie wymaga wykluczeń dla plików systemu operacyjnego w żadnej wersji systemu Windows.

Wbudowane wykluczenia obejmują:

Lista wbudowanych wykluczeń w systemie Windows jest aktualizowana wraz ze zmianą krajobrazu zagrożeń.

Pliki "temp.edb" systemu Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

pliki Windows Update lub pliki aktualizacji automatycznej

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

pliki Zabezpieczenia Windows

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

pliki zasady grupy

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

Pliki WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Wykluczenia usługi replikacji plików (FRS)

  • Pliki w folderze roboczym usługi replikacji plików (FRS). Folder roboczy usługi FRS jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Pliki dziennika bazy danych USŁUGI FRS. Folder pliku dziennika bazy danych usługi FRS jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Folder przejściowy usługi FRS. Folder przejściowy jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Preinstaluj folder FRS. Ten folder jest określony przez folder Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Baza danych i foldery robocze replikacji rozproszonego systemu plików (DFSR). Te foldery są określane przez klucz rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Uwaga

    W przypadku lokalizacji niestandardowych zobacz Rezygnacja z automatycznych wykluczeń.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Wykluczenia procesów dla wbudowanych plików systemu operacyjnego

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Rezygnacja z automatycznych wykluczeń

W Windows Server 2016 i nowszych wstępnie zdefiniowane wykluczenia dostarczane przez aktualizacje analizy zabezpieczeń wykluczają tylko ścieżki domyślne dla roli lub funkcji. Jeśli zainstalowano rolę lub funkcję w ścieżce niestandardowej lub chcesz ręcznie kontrolować zestaw wykluczeń, pamiętaj, aby zrezygnować z automatycznych wykluczeń dostarczanych w aktualizacjach analizy zabezpieczeń. Należy jednak pamiętać, że wykluczenia dostarczane automatycznie są zoptymalizowane pod kątem Windows Server 2016 i nowszych. Przed zdefiniowaniem list wykluczeń zobacz Ważne kwestie dotyczące wykluczeń .

Ostrzeżenie

Rezygnacja z automatycznych wykluczeń może niekorzystnie wpłynąć na wydajność lub spowodować uszkodzenie danych. Automatyczne wykluczenia ról serwera są zoptymalizowane pod kątem Windows Server 2016, Windows Server 2019 i Windows Server 2022.

Ponieważ wstępnie zdefiniowane wykluczenia wykluczają tylko ścieżki domyślne, w przypadku przeniesienia folderów NTDS i SYSVOL na inny dysk lub ścieżkę inną niż oryginalna ścieżka należy dodać wykluczenia ręcznie. Zobacz Konfigurowanie listy wykluczeń na podstawie nazwy folderu lub rozszerzenia pliku.

Listy wykluczeń automatycznych można wyłączyć za pomocą zasady grupy, poleceń cmdlet programu PowerShell i usługi WMI.

Użyj zasady grupy, aby wyłączyć listę wykluczeń automatycznych w systemach Windows Server 2016, Windows Server 2019 i Windows Server 2022

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

  2. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera, a następnie wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Wykluczenia antywirusowe>.

  4. Kliknij dwukrotnie pozycję Wyłącz automatyczne wykluczenia i ustaw opcję Włączone. Następnie wybierz przycisk OK.

Użyj poleceń cmdlet programu PowerShell, aby wyłączyć listę wykluczeń automatycznych w systemie Windows Server

Użyj następujących poleceń cmdlet:

Set-MpPreference -DisableAutoExclusions $true

Aby dowiedzieć się więcej, zobacz następujące zasoby:

Użyj instrukcji zarządzania systemem Windows (WMI), aby wyłączyć listę wykluczeń automatycznych w systemie Windows Server

Użyj metody Set klasy MSFT_MpPreference dla następujących właściwości:

DisableAutoExclusions

Aby uzyskać więcej informacji i dozwolone parametry, zobacz:

Definiowanie wykluczeń niestandardowych

W razie potrzeby można dodać lub usunąć wykluczenia niestandardowe. Aby to zrobić, zobacz następujące artykuły:

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.