الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- الخطة 1 من Microsoft Defender لنقطة النهاية
- برنامج الحماية من الفيروسات من Microsoft Defender
الأنظمة الأساسية
- بالنسبة لنظام التشغيل
- macOS
- Linux
هام
أضف استثناءات بحذر. تقلل استثناءات عمليات فحص برنامج الحماية من الفيروسات من Microsoft Defender من مستوى الحماية للأجهزة.
يمكنك تحديد قائمة استبعاد للعناصر التي لا تريد أن يقوم برنامج الحماية من الفيروسات من Microsoft Defender بمسحها ضوئيا. ومع ذلك، قد تحتوي العناصر المستبعدة على تهديدات تجعل جهازك عرضة للخطر. توضح هذه المقالة بعض الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات.
تلميح
قبل تحديد قوائم الاستبعاد، راجع النقاط المهمة حول الاستثناءات وراجع المعلومات التفصيلية في الاستثناءات ل Microsoft Defender لنقطة النهاية وMicrosoft Defender Antivirus.
استبعاد بعض العناصر الموثوق بها
لا ينبغي استبعاد بعض الملفات أو أنواع الملفات أو المجلدات أو العمليات من الفحص على الرغم من أنك تثق في أنها ليست ضارة. لا تحدد استثناءات مواقع المجلدات وملحقات الملفات والعمليات المدرجة في الأقسام التالية:
مواقع المجلدات
هام
لا ينبغي استبعاد مجلدات معينة من عمليات الفحص لأنها يمكن أن تنتهي بكونها مجلدات حيث يمكن إسقاط الملفات الضارة.
بشكل عام، لا تحدد الاستثناءات لأي من مواقع المجلدات التالية:
%systemdrive%
-
C:
أو أوC:\
C:\*
-
%ProgramFiles%\Java
أوC:\Program Files\Java
-
%ProgramFiles%\Contoso\
أوC:\Program Files\Contoso\
أو%ProgramFiles(x86)%\Contoso\
أوC:\Program Files (x86)\Contoso\
-
C:\Temp
أو أوC:\Temp\
C:\Temp\*
-
C:\Users\
أوC:\Users\*
-
C:\Users\<UserProfileName>\AppData\Local\Temp\
أوC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
. لاحظ الاستثناءات المهمة التالية ل SharePoint: قم باستبعادC:\Users\ServiceAccount\AppData\Local\Temp
أوC:\Users\Default\AppData\Local\Temp
عند استخدام الحماية من الفيروسات على مستوى الملف في SharePoint. -
%Windir%\Prefetch
أوC:\Windows\Prefetch
أوC:\Windows\Prefetch\
أوC:\Windows\Prefetch\*
-
%Windir%\System32\Spool
أوC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
-
%Windir%\Temp
أوC:\Windows\Temp
أوC:\Windows\Temp\
أوC:\Windows\Temp\*
أنظمة Linux وmacOS الأساسية
بشكل عام، لا تحدد الاستثناءات لمواقع المجلدات التالية:
/
-
/bin
أو/sbin
/usr/lib
ملحقات الملفات
هام
يجب عدم استبعاد بعض ملحقات الملفات لأنها يمكن أن تكون أنواع ملفات يتم استخدامها في هجوم.
بشكل عام، لا تحدد الاستثناءات لملحقات الملفات التالية:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
-
.ko
أو.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
العمليات
هام
لا ينبغي استبعاد عمليات معينة لأنها تستخدم أثناء الهجمات.
بشكل عام، لا تحدد الاستثناءات للعمليات التالية:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
ملاحظة
يمكنك اختيار استبعاد أنواع الملفات، مثل .gif
، .jpg
أو .jpeg
، أو .png
إذا كانت بيئتك تحتوي على برنامج حديث ومحدث مع نهج تحديث صارم للتعامل مع أي ثغرات أمنية.
أنظمة Linux وmacOS الأساسية
بشكل عام، لا تحدد الاستثناءات للعمليات التالية:
bash
java
-
python
وpython3
sh
zsh
استخدام اسم الملف فقط في قائمة الاستبعاد
قد يكون للبرامج الضارة نفس اسم الملف الذي تثق به وتريد استبعاده من الفحص. لذلك، لتجنب استبعاد البرامج الضارة المحتملة من الفحص، استخدم مسارا مؤهلا بالكامل إلى الملف الذي تريد استبعاده بدلا من استخدام اسم الملف فقط. على سبيل المثال، إذا كنت تريد الاستبعاد Filename.exe
من الفحص، فاستخدم المسار الكامل إلى الملف، مثل C:\program files\contoso\Filename.exe
.
استخدام قائمة استبعاد واحدة لأحمال عمل خادم متعددة
لا تستخدم قائمة استبعاد واحدة لتحديد الاستثناءات لأحمال عمل خادم متعددة. تقسيم الاستثناءات لأحمال عمل التطبيقات أو الخدمات المختلفة إلى قوائم استبعاد متعددة. على سبيل المثال، يجب أن تختلف قائمة الاستبعاد لحمل عمل IIS Server عن قائمة الاستبعاد لحمل عمل SQL Server.
استخدام متغيرات البيئة غير الصحيحة كأحرف بدل في اسم الملف ومسار المجلد أو قوائم استبعاد الملحق
تعمل خدمة الحماية من الفيروسات من Microsoft Defender في سياق النظام باستخدام حساب LocalSystem، ما يعني أنها تحصل على معلومات من متغير بيئة النظام، وليس من متغير بيئة المستخدم. يقتصر استخدام متغيرات البيئة كحرف بدل في قوائم الاستبعاد على متغيرات النظام وتلك المطبقة على العمليات التي تعمل كحساب NT AUTHORITY\SYSTEM. لذلك، لا تستخدم متغيرات بيئة المستخدم كأحرف بدل عند إضافة مجلد الحماية من الفيروسات من Microsoft Defender واستبعادات العملية. راجع الجدول ضمن متغيرات بيئة النظام للحصول على قائمة كاملة بمتغيرات بيئة النظام.
راجع استخدام أحرف البدل في اسم الملف ومسار المجلد أو قوائم استبعاد الملحق للحصول على معلومات حول كيفية استخدام أحرف البدل في قوائم الاستبعاد.
راجع أيضًا
- استثناءات Microsoft Defender لنقطة النهاية وMicrosoft Defender Antivirus
- تكوين الاستثناءات المخصصة لبرنامج الحماية من الفيروسات من Microsoft Defender
- تكوين الاستثناءات والتحقق من صحتها ل Microsoft Defender لنقطة النهاية على Linux
- تكوين الاستثناءات والتحقق من صحتها ل Microsoft Defender لنقطة النهاية على macOS
تلميح
هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.