Microsoft Defender exclusões antivírus no Windows Server

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender Antivírus

Plataformas

• Windows

Este artigo descreve tipos de exclusões que você não precisa definir para Microsoft Defender Antivírus:

• Exclusões internas para arquivos do sistema operacional em todas as versões do Windows.
• Exclusões automáticas para funções em Windows Server 2016 e posteriores.

Para obter uma visão geral mais detalhada das exclusões, consulte Gerenciar exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.

Alguns pontos importantes sobre exclusões no Windows Server

• Exclusões personalizadas têm precedência sobre exclusões automáticas.
• As exclusões automáticas só se aplicam à verificação de RTP (proteção em tempo real ).
• Exclusões automáticas não são respeitadas durante uma verificação rápida, verificação completa e verificação personalizada.
• Exclusões personalizadas e duplicadas não entram em conflito com exclusões automáticas.
• Microsoft Defender Antivírus usa as ferramentas DISM (Serviço de Imagem de Implantação e Gerenciamento) para determinar quais funções estão instaladas no computador.
• As exclusões apropriadas devem ser definidas para o software que não está incluído no sistema operacional.
• Windows Server 2012 R2 não tem Microsoft Defender Antivírus como um recurso instalável. Ao integrar esses servidores ao Defender para Ponto de Extremidade, você instalará Microsoft Defender Antivírus e as exclusões padrão para arquivos do sistema operacional são aplicadas. No entanto, as exclusões para funções de servidor (conforme especificado abaixo) não se aplicam automaticamente e você deve configurar essas exclusões conforme apropriado. Para saber mais, confira Integrar servidores Windows ao serviço Microsoft Defender para Ponto de Extremidade.
• Exclusões internas e exclusões automáticas de função do servidor não aparecem nas listas de exclusão padrão mostradas no aplicativo Segurança do Windows.
• A lista de exclusões internas no Windows é mantida atualizada à medida que o cenário de ameaças muda. Este artigo lista algumas, mas não todas, das exclusões internas e automáticas.

Exclusões automáticas de função de servidor

Em Windows Server 2016 ou posterior, você não deve definir exclusões para funções de servidor. Quando você instala uma função no Windows Server 2016 ou posterior, Microsoft Defender Antivírus inclui exclusões automáticas para a função de servidor e todos os arquivos adicionados durante a instalação da função.

Windows Server 2012 R2 não dá suporte ao recurso de exclusões automáticas. Você precisará definir exclusões explícitas para qualquer função de servidor e qualquer software adicionado após a instalação do sistema operacional.

Importante

• Os locais padrão podem ser diferentes dos locais descritos neste artigo.
• Para definir exclusões para software que não está incluído como um recurso do Windows ou função de servidor, consulte a documentação do fabricante do software.

As exclusões automáticas incluem:

• Exclusões do Hyper-V
• Arquivos SYSVOL
• Exclusões do Active Directory
• Exclusões do SERVIDOR DHCP
• Exclusões do Servidor DNS
• Exclusões dos Serviços de Armazenamento e Arquivos
• Excluir exclusões do Servidor de Impressão
• Exclusões do Servidor Web
• exclusões Windows Server Update Services

Exclusões do Hyper-V

A tabela a seguir lista as exclusões de tipo de arquivo, exclusões de pasta e exclusões de processo que são entregues automaticamente quando você instala a função Hyper-V.

Tipo de exclusão	Especificidades
Tipos de arquivos	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
Folders	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
Processos	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

Arquivos SYSVOL

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Exclusões do Active Directory

Esta seção lista as exclusões que são entregues automaticamente quando você instala Active Directory Domain Services (AD DS).

Arquivos de banco de dados NTDS

Os arquivos de banco de dados são especificados na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

Os arquivos de log de transações do AD DS

Os arquivos de log de transação são especificados na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

A pasta de trabalho NTDS

Essa pasta é especificada na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

Processar exclusões para arquivos de suporte relacionados ao AD DS e AD DS

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

Exclusões do SERVIDOR DHCP

Esta seção lista as exclusões que são entregues automaticamente quando você instala a função DHCP Server. Os locais de arquivo do SERVIDOR DHCP são especificados pelos parâmetros DatabasePath, DhcpLogFilePath e BackupDatabasePath na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

Exclusões do Servidor DNS

Esta seção lista as exclusões de arquivo e pasta e as exclusões de processo que são entregues automaticamente quando você instala a função DNS Server.

Exclusões de arquivos e pastas para a função DNS Server

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

Processar exclusões para a função DNS Server

• %systemroot%\System32\dns.exe

Exclusões dos Serviços de Armazenamento e Arquivos

Esta seção lista as exclusões de arquivo e pasta que são entregues automaticamente quando você instala a função Arquivo e Serviços de Armazenamento. As exclusões listadas abaixo não incluem exclusões para a função clustering.

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

Excluir exclusões do Servidor de Impressão

Esta seção lista as exclusões de tipo de arquivo, exclusões de pasta e as exclusões de processo que são entregues automaticamente quando você instala a função Servidor de Impressão.

Exclusões de tipo de arquivo

• *.shd
• *.spl

Exclusões de pastas

Essa pasta é especificada na chave do registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

Processar exclusões para a função Servidor de Impressão

• spoolsv.exe

Exclusões do Servidor Web

Esta seção lista as exclusões de pasta e as exclusões de processo que são entregues automaticamente quando você instala a função do Servidor Web.

Exclusões de pastas

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

Processar exclusões para a função de Servidor Web

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

Desativar a verificação de arquivos na pasta Sysvol\Sysvol ou na pasta SYSVOL_DFSR\Sysvol

O local atual da Sysvol\Sysvol pasta ou SYSVOL_DFSR\Sysvol e todas as subpastas é o destino de reparso do sistema de arquivos do réplica raiz definida. As Sysvol\Sysvol pastas e SYSVOL_DFSR\Sysvol usam os seguintes locais por padrão:

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

O caminho para o atualmente ativo SYSVOL é referenciado pelo compartilhamento NETLOGON e pode ser determinado pelo nome do valor SysVol na seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Exclua os seguintes arquivos desta pasta e de todas as subpastas:

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

exclusões Windows Server Update Services

Esta seção lista as exclusões de pasta que são entregues automaticamente quando você instala a função Windows Server Update Services (WSUS). A pasta WSUS é especificada na chave do registro HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

Exclusões internas

Como Microsoft Defender Antivírus é incorporado ao Windows, ele não requer exclusões para arquivos do sistema operacional em nenhuma versão do Windows.

As exclusões internas incluem:

• Arquivos "temp.edb" do Windows
• arquivos Windows Update ou arquivos de Atualização Automática
• Segurança do Windows arquivos
• Política de Grupo arquivos
• Arquivos WINS
• Exclusões do FRS (Serviço de Replicação de Arquivos)
• Processar exclusões para arquivos internos do sistema operacional

A lista de exclusões internas no Windows é mantida atualizada à medida que o cenário de ameaças muda.

Arquivos "temp.edb" do Windows

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

arquivos Windows Update ou arquivos de Atualização Automática

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Segurança do Windows arquivos

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

Política de Grupo arquivos

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

Arquivos WINS

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

Exclusões do FRS (Serviço de Replicação de Arquivos)

• Arquivos na pasta de trabalho FRS (Serviço de Replicação de Arquivos). A pasta de trabalho FRS é especificada na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• Arquivos de log do Banco de Dados FRS. A pasta de arquivo de log do Banco de Dados FRS é especificada na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• A pasta de preparo FRS. A pasta de preparo é especificada na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• A pasta de pré-instalação do FRS. Essa pasta é especificada pela pasta Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• O banco de dados DFSR (Replicação do Sistema de Arquivos Distribuídos) e as pastas de trabalho. Essas pastas são especificadas pela chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  Observação

  Para locais personalizados, consulte Optando por exclusões automáticas.

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Processar exclusões para arquivos internos do sistema operacional

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

Optando por exclusões automáticas

Em Windows Server 2016 e posteriores, as exclusões predefinidas entregues por atualizações de inteligência de segurança excluem apenas os caminhos padrão para uma função ou recurso. Se você instalou uma função ou recurso em um caminho personalizado ou deseja controlar manualmente o conjunto de exclusões, não deixe de aceitar as exclusões automáticas entregues em atualizações de inteligência de segurança. Mas tenha em mente que as exclusões entregues automaticamente são otimizadas para Windows Server 2016 e posteriores. Consulte Pontos importantes sobre exclusões antes de definir suas listas de exclusão.

Aviso

A exclusão automática pode afetar negativamente o desempenho ou resultar em corrupção de dados. As exclusões automáticas de função do servidor são otimizadas para Windows Server 2016, Windows Server 2019 e Windows Server 2022.

Como exclusões predefinidas só excluem caminhos padrão, se você mover pastas NTDS e SYSVOL para outra unidade ou caminho diferente do caminho original, você deverá adicionar exclusões manualmente. Consulte Configurar a lista de exclusões com base no nome da pasta ou na extensão do arquivo.

Você pode desabilitar as listas de exclusão automática com Política de Grupo, cmdlets do PowerShell e WMI.

Use Política de Grupo para desabilitar a lista de exclusões automáticas em Windows Server 2016, Windows Server 2019 e Windows Server 2022

1. No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo. Clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.

2. No Política de Grupo Gerenciamento Editor vá para a configuração do computador e selecione Modelos administrativos.

3. Expanda a árvore para componentes> do Windows Microsoft Defender Exclusões antivírus>.

4. Clique duas vezes em Desativar Exclusões Automáticas e defina a opção como Habilitada. Selecione OK.

Usar cmdlets do PowerShell para desabilitar a lista de exclusões automáticas no Windows Server

Use os seguintes cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Para saber mais, confira os seguintes recursos:

• Use cmdlets do PowerShell para configurar e executar Microsoft Defender Antivírus.
• Use o PowerShell com Microsoft Defender Antivírus.

Usar a WMI (Instrução de Gerenciamento do Windows) para desabilitar a lista de exclusões automáticas no Windows Server

Use o método Set da classe MSFT_MpPreference para as seguintes propriedades:

DisableAutoExclusions

Para obter mais informações e parâmetros permitidos, consulte:

• Windows Defender APIs WMIv2

Definindo exclusões personalizadas

Se necessário, você pode adicionar ou remover exclusões personalizadas. Para fazer isso, confira os seguintes artigos:

• Configurar exclusões personalizadas para Microsoft Defender Antivírus
• Configurar e validar exclusões com base no nome do arquivo, na extensão e no local da pasta
• Configurar e validar exclusões para arquivos abertos por processos

Confira também

• Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
• Erros comuns a evitar ao definir exclusões
• Personalizar, iniciar e examinar os resultados de Microsoft Defender exames antivírus e correção
• Microsoft Defender para Ponto de Extremidade no Mac
• Microsoft Defender para Ponto de Extremidade para Linux
• Configurar o Defender para o Ponto de extremidade nos recursos do Android
• Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.