Erros comuns a evitar ao definir exclusões

  • Artigo

Aplica-se a:

Plataformas

  • Windows
  • macOS
  • Linux

Importante

Adicione exclusões com cuidado. As exclusões das análises do Antivírus Microsoft Defender reduzem o nível de proteção dos dispositivos.

Pode definir uma lista de exclusão para itens que não pretende que Microsoft Defender Antivírus analise. No entanto, os itens excluídos podem conter ameaças que tornam o seu dispositivo vulnerável. Este artigo descreve alguns erros comuns que deve evitar ao definir exclusões.

Sugestão

Antes de definir as listas de exclusão, veja Pontos importantes sobre exclusões e reveja as informações detalhadas em Exclusões para Microsoft Defender para Endpoint e Antivírus Microsoft Defender.

Excluir determinados itens fidedignos

Determinados ficheiros, tipos de ficheiro, pastas ou processos não devem ser excluídos da análise, mesmo que confie que não são maliciosos. Não defina exclusões para as localizações de pastas, extensões de ficheiros e processos listados nas secções seguintes:

Localizações das pastas

Importante

Determinadas pastas não devem ser excluídas das análises porque podem acabar por ser pastas onde os ficheiros maliciosos podem ser removidos.

Em geral, não defina exclusões para nenhuma das seguintes localizações de pastas:

  • %systemdrive%
  • C:, C:\ou C:\*
  • %ProgramFiles%\Java ou C:\Program Files\Java
  • %ProgramFiles%\Contoso\, , C:\Program Files\Contoso\%ProgramFiles(x86)%\Contoso\ouC:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\ou C:\Temp\*
  • C:\Users\ ou C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ ou C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Tenha em atenção as seguintes exceções importantes para o SharePoint: excluaC:\Users\ServiceAccount\AppData\Local\Temp ou C:\Users\Default\AppData\Local\Temp quando utiliza a proteção antivírus ao nível do ficheiro no SharePoint.
  • %Windir%\Prefetch, , C:\Windows\PrefetchC:\Windows\Prefetch\ouC:\Windows\Prefetch\*
  • %Windir%\System32\Spool ou C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, , C:\Windows\TempC:\Windows\Temp\ouC:\Windows\Temp\*

Plataformas Linux e macOS

Em geral, não defina exclusões para as seguintes localizações de pastas:

  • /
  • /bin ou /sbin
  • /usr/lib

Extensões de ficheiro

Importante

Determinadas extensões de ficheiro não devem ser excluídas porque podem ser tipos de ficheiro que são utilizados num ataque.

Em geral, não defina exclusões para as seguintes extensões de ficheiro:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko ou .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Processos

Importante

Determinados processos não devem ser excluídos porque são utilizados durante os ataques.

Em geral, não defina exclusões para os seguintes processos:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Nota

Pode optar por excluir tipos de ficheiro, como .gif, .jpg, .jpegou .png se o seu ambiente tiver um software moderno e atualizado com uma política de atualização rigorosa para lidar com quaisquer vulnerabilidades.

Plataformas Linux e macOS

Em geral, não defina exclusões para os seguintes processos:

  • bash
  • java
  • python e python3
  • sh
  • zsh

Utilizar apenas o nome do ficheiro na lista de exclusão

O software maligno pode ter o mesmo nome de um ficheiro em que confia e pretende excluir da análise. Por conseguinte, para evitar excluir potenciais softwares maligno da análise, utilize um caminho completamente qualificado para o ficheiro que pretende excluir em vez de utilizar apenas o nome do ficheiro. Por exemplo, se quiser excluir Filename.exe da análise, utilize o caminho completo para o ficheiro, como C:\program files\contoso\Filename.exe.

Utilizar uma única lista de exclusão para várias cargas de trabalho de servidor

Não utilize uma única lista de exclusão para definir exclusões para várias cargas de trabalho de servidor. Divida as exclusões para diferentes cargas de trabalho de aplicações ou serviços em múltiplas listas de exclusão. Por exemplo, a lista de exclusão da carga de trabalho do Servidor IIS tem de ser diferente da lista de exclusão da carga de trabalho SQL Server.

Utilizar variáveis de ambiente incorretas como carateres universais nas listas de exclusão do caminho do ficheiro e do caminho da pasta ou da extensão

Microsoft Defender Serviço Antivírus é executado no contexto do sistema com a conta LocalSystem, o que significa que obtém informações da variável de ambiente do sistema e não da variável de ambiente do utilizador. A utilização de variáveis de ambiente como caráter universal em listas de exclusão está limitada às variáveis do sistema e às aplicáveis aos processos em execução como uma conta NT AUTHORITY\SYSTEM. Por conseguinte, não utilize variáveis de ambiente de utilizador como carateres universais ao adicionar Microsoft Defender pasta Antivírus e exclusões de processos. Veja a tabela em Variáveis de ambiente do sistema para obter uma lista completa das variáveis de ambiente do sistema.

Veja Utilizar carateres universais nas listas de exclusão de nome de ficheiro e de pasta ou extensão para obter informações sobre como utilizar carateres universais em listas de exclusão.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade de Segurança Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.