定義排除時應避免的常見錯誤

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• 適用於端點的 Microsoft Defender 方案 1
• Microsoft Defender 防毒軟體

平台

• Windows
• macOS
• Linux

重要事項

謹慎新增排除專案。 排除 Microsoft Defender 防病毒軟體掃描會降低裝置的保護層級。

您可以為不想 Microsoft Defender 防病毒軟體掃描的項目定義排除清單。 不過，排除的專案可能包含威脅，讓您的裝置容易受到攻擊。 本文說明定義排除專案時應避免的一些常見錯誤。

提示

在定義排除清單之前，請參閱排除範圍的相關重點，並檢閱 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體排除] 中的詳細資訊。

排除特定信任的專案

即使您認為某些檔案、檔類型、資料夾或進程不是惡意的，也不應該排除在掃描之外。 請勿定義下列各節所列資料夾位置、擴展名和進程的排除專案：

• 資料夾位置
• 副檔名
• 程序

資料夾位置

重要事項

某些資料夾不應該從掃描中排除，因為它們最後可能是惡意檔案可能遭到捨棄的資料夾。

一般而言，請勿定義下列任何資料夾位置的排除專案：

• %systemdrive%
• C:、C:\ 或 C:\*
• %ProgramFiles%\Java 或 C:\Program Files\Java
• %ProgramFiles%\Contoso\、 C:\Program Files\Contoso\、 %ProgramFiles(x86)%\Contoso\或 C:\Program Files (x86)\Contoso\
• C:\Temp、C:\Temp\ 或 C:\Temp\*
• C:\Users\ 或 C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ 或 C:\Users\<UserProfileName>\AppData\LocalLow\Temp\。 請注意下列 SharePoint 的重要例外狀況：在 SharePoint 中使用檔案層級防病毒軟體保護時，請排除C:\Users\ServiceAccount\AppData\Local\Temp 或 C:\Users\Default\AppData\Local\Temp 。
• %Windir%\Prefetch、 C:\Windows\Prefetch、 C:\Windows\Prefetch\或 C:\Windows\Prefetch\*
• %Windir%\System32\Spool 或 C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Temp、 C:\Windows\Temp、 C:\Windows\Temp\或 C:\Windows\Temp\*

Linux 和macOS平臺

一般而言，請勿定義下列資料夾位置的排除專案：

• /
• /bin 或 /sbin
• /usr/lib

副檔名

重要事項

不應排除某些擴展名，因為它們可以是攻擊中使用的文件類型。

一般而言，請勿定義下列擴展名的排除專案：

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko 或 .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

程序

重要事項

不應該排除某些進程，因為它們會在攻擊期間使用。

一般而言，請勿定義下列程式的排除專案：

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

注意事項

如果您的環境具有具有嚴格更新原則的新式最新軟體來處理任何弱點，您可以選擇排除檔案類型，例如 .gif、 .jpg、 .jpeg或 .png 。

Linux 和macOS平臺

一般而言，請勿定義下列程式的排除專案：

• bash
• java
• python 和 python3
• sh
• zsh

只使用排除清單中的檔案名

惡意代碼的名稱可能與您信任且想要從掃描中排除的檔案名稱相同。 因此，若要避免將潛在的惡意代碼排除在掃描之外，請使用您想要排除之檔案的完整路徑，而不是只使用檔名。 例如，如果您想要排除 Filename.exe 掃描之外，請使用檔案的完整路徑，例如 C:\program files\contoso\Filename.exe。

針對多個伺服器工作負載使用單一排除清單

請勿使用單一排除清單來定義多個伺服器工作負載的排除專案。 將不同應用程式或服務工作負載的排除專案分割成多個排除清單。 例如，IIS Server 工作負載的排除清單必須與 SQL Server 工作負載的排除清單不同。

在檔名和資料夾路徑或擴展名排除清單中使用不正確的環境變數作為通配符

Microsoft Defender 防病毒軟體服務會使用 LocalSystem 帳戶在系統內容中執行，這表示它會從系統環境變數取得資訊，而不是從用戶環境變數取得資訊。 將環境變數當做排除清單中的通配符使用僅限於系統變數，以及適用於以 NT AUTHORITY\SYSTEM 帳戶執行之進程的變數。 因此，新增 Microsoft Defender 防病毒軟體資料夾和進程排除專案時，請勿使用使用者環境變數作為通配符。 如需系統環境變數的完整清單，請參閱 系統環境變數 下的數據表。

如需如何在排除清單中使用通配符的資訊，請參閱在 檔名和資料夾路徑或擴展名排除清單 中使用通配符。

另請參閱

• 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
• 設定 Microsoft Defender 防病毒軟體的自定義排除專案
• 在Linux上設定和驗證 適用於端點的 Microsoft Defender排除專案
• 在macOS上設定及驗證 適用於端點的 Microsoft Defender排除專案

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。