مشاركة عبر

استثناءات برنامج الحماية من الفيروسات من Microsoft Defender على Windows Server

  • مقالة

ينطبق على:

الأنظمة الأساسية

  • Windows Server

توضح هذه المقالة أنواع الاستثناءات التي لا يتعين عليك تعريفها لبرنامج الحماية من الفيروسات من Microsoft Defender:

للحصول على نظرة عامة أكثر تفصيلا حول الاستثناءات، راجع إدارة الاستثناءات ل Microsoft Defender لنقطة النهاية وMicrosoft Defender Antivirus.

بعض النقاط المهمة حول الاستثناءات على Windows Server

  • الاستثناءات المخصصة لها الأسبقية على الاستثناءات التلقائية.
  • تنطبق الاستثناءات التلقائية فقط على فحص الحماية في الوقت الحقيقي (RTP ).
  • لا يتم احترام الاستثناءات التلقائية أثناء الفحص السريع والمسح الضوئي الكامل والمسح الضوئي المخصص.
  • لا تتعارض الاستثناءات المخصصة والمكررة مع الاستثناءات التلقائية.
  • يستخدم برنامج الحماية من الفيروسات من Microsoft Defender أدوات Deployment Image Servicing and Management (DISM) لتحديد الأدوار المثبتة على الكمبيوتر.
  • يجب تعيين الاستثناءات المناسبة للبرامج غير المضمنة في نظام التشغيل.
  • لا يحتوي Windows Server 2012 R2 على برنامج الحماية من الفيروسات من Microsoft Defender كميزة قابلة للتثبيت. عند إلحاق هذه الخوادم ب Defender لنقطة النهاية، ستقوم بتثبيت برنامج الحماية من الفيروسات من Microsoft Defender، ويتم تطبيق الاستثناءات الافتراضية لملفات نظام التشغيل. ومع ذلك، لا تنطبق الاستثناءات لأدوار الخادم (كما هو محدد أدناه) تلقائيا، ويجب عليك تكوين هذه الاستثناءات حسب الاقتضاء. لمعرفة المزيد، راجع إلحاق خوادم Windows بخدمة Microsoft Defender لنقطة النهاية.
  • لا تظهر الاستثناءات المضمنة واستبعادات دور الخادم التلقائي في قوائم الاستبعاد القياسية التي تظهر في تطبيق أمن Windows.
  • يتم تحديث قائمة الاستثناءات المضمنة في Windows مع تغير مشهد التهديد. تسرد هذه المقالة بعض الاستثناءات المضمنة والتلقائية وليس كلها.

استثناءات دور الخادم التلقائية

في Windows Server 2016 أو إصدار أحدث، يجب ألا تحتاج إلى تحديد استثناءات لأدوار الخادم. عند تثبيت دور على Windows Server 2016 أو إصدار أحدث، يتضمن برنامج الحماية من الفيروسات من Microsoft Defender استثناءات تلقائية لدور الخادم وأي ملفات تتم إضافتها أثناء تثبيت الدور.

لا يدعم Windows Server 2012 R2 ميزة الاستثناءات التلقائية. ستحتاج إلى تحديد استثناءات صريحة لأي دور خادم وأي برنامج تمت إضافته بعد تثبيت نظام التشغيل.

هام

  • قد تختلف المواقع الافتراضية عن المواقع الموضحة في هذه المقالة.
  • لتعيين استثناءات للبرامج غير المضمنة كميزة Windows أو دور خادم، راجع وثائق الشركة المصنعة للبرنامج.

تشمل الاستثناءات التلقائية ما يلي:

استثناءات Hyper-V

يسرد الجدول التالي استثناءات نوع الملف واستبعادات المجلد واستبعادات العمليات التي يتم تسليمها تلقائيا عند تثبيت دور Hyper-V.

نوع الاستبعاد تفاصيل
أنواع الملفات *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
المجلدات %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
العمليات %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

ملفات SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

استثناءات Active Directory

يسرد هذا القسم الاستثناءات التي يتم تسليمها تلقائيا عند تثبيت خدمات مجال Active Directory (AD DS).

ملفات قاعدة بيانات NTDS

يتم تحديد ملفات قاعدة البيانات في مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

ملفات سجل معاملات AD DS

يتم تحديد ملفات سجل المعاملات في مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

مجلد عمل NTDS

تم تحديد هذا المجلد في مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

استثناءات خادم DHCP

يسرد هذا القسم الاستثناءات التي يتم تسليمها تلقائيا عند تثبيت دور خادم DHCP. يتم تحديد مواقع ملفات خادم DHCP بواسطة المعلمات DatabasePathوDhcpLogFilePath و BackupDatabasePath في مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

استثناءات خادم DNS

يسرد هذا القسم استثناءات الملفات والمجلدات واستبعادات العملية التي يتم تسليمها تلقائيا عند تثبيت دور خادم DNS.

استثناءات الملفات والمجلدات لدور خادم DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

استثناءات العملية لدور خادم DNS

  • %systemroot%\System32\dns.exe

استثناءات خدمات الملفات والتخزين

يسرد هذا القسم استثناءات الملفات والمجلدات التي يتم تسليمها تلقائيا عند تثبيت دور خدمات الملفات والتخزين. لا تتضمن الاستثناءات المذكورة أدناه استثناءات لدور التجميع.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

يسرد هذا القسم استثناءات نوع الملف واستبعادات المجلد واستبعادات العملية التي يتم تسليمها تلقائيا عند تثبيت دور Print Server.

استثناءات نوع الملف

  • *.shd
  • *.spl

استثناءات المجلد

تم تحديد هذا المجلد في مفتاح التسجيل HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

استثناءات العملية لدور خادم الطباعة

  • spoolsv.exe

استثناءات خادم الويب

يسرد هذا القسم استثناءات المجلد واستبعادات العملية التي يتم تسليمها تلقائيا عند تثبيت دور Web Server.

استثناءات المجلد

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

استثناءات العملية لدور خادم الويب

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

إيقاف تشغيل فحص الملفات في المجلد Sysvol\Sysvol أو المجلد SYSVOL_DFSR\Sysvol

الموقع الحالي للمجلد Sysvol\Sysvol أو SYSVOL_DFSR\Sysvol وجميع المجلدات الفرعية هو هدف إعادة توزيع نظام الملفات لجذر مجموعة النسخ المتماثلة. Sysvol\Sysvol تستخدم المجلدات و SYSVOL_DFSR\Sysvol المواقع التالية بشكل افتراضي:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

تتم الإشارة إلى المسار إلى النشط SYSVOL حاليا بواسطة مشاركة NETLOGON ويمكن تحديده بواسطة اسم قيمة SysVol في المفتاح الفرعي التالي: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

استثناءات Windows Server Update Services

يسرد هذا القسم استثناءات المجلد التي يتم تسليمها تلقائيا عند تثبيت دور Windows Server Update Services (WSUS). يتم تحديد مجلد WSUS في مفتاح التسجيل HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

الاستثناءات المضمنة

نظرا لأن برنامج الحماية من الفيروسات من Microsoft Defender مضمن في Windows، فإنه لا يتطلب استثناءات لملفات نظام التشغيل على أي إصدار من Windows.

تشمل الاستثناءات المضمنة ما يلي:

يتم تحديث قائمة الاستثناءات المضمنة في Windows مع تغير مشهد التهديد.

ملفات Windows "temp.edb"

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

ملفات Windows Update أو ملفات التحديث التلقائي

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

ملفات أمان Windows

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

ملفات نهج المجموعة

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

ملفات WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

استثناءات خدمة النسخ المتماثل للملفات (FRS)

  • الملفات الموجودة في مجلد عمل خدمة النسخ المتماثل للملفات (FRS). يتم تحديد مجلد عمل FRS في مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • ملفات سجل قاعدة بيانات FRS. يتم تحديد مجلد ملف سجل قاعدة بيانات FRS في مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • المجلد المرحلي FRS. يتم تحديد المجلد المرحلي في مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • المجلد FRS preinstall. يتم تحديد هذا المجلد بواسطة المجلد Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • قاعدة بيانات النسخ المتماثل لنظام الملفات الموزعة (DFSR) ومجلدات العمل. يتم تحديد هذه المجلدات بواسطة مفتاح التسجيل HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    ملاحظة

    بالنسبة للمواقع المخصصة، راجع إلغاء الاشتراك في الاستثناءات التلقائية.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

استثناءات العملية لملفات نظام التشغيل المضمنة

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

إلغاء الاشتراك في الاستثناءات التلقائية

في Windows Server 2016 والإصدارات الأحدث، تستبعد الاستثناءات المحددة مسبقا التي تم تسليمها بواسطة تحديثات التحليل الذكي للأمان المسارات الافتراضية لدور أو ميزة فقط. إذا قمت بتثبيت دور أو ميزة في مسار مخصص، أو كنت تريد التحكم يدويا في مجموعة الاستثناءات، فتأكد من إلغاء الاشتراك في الاستثناءات التلقائية التي تم تسليمها في تحديثات التحليل الذكي للأمان. ولكن ضع في اعتبارك أن الاستثناءات التي يتم تسليمها تلقائيا محسنة ل Windows Server 2016 والإصدارات الأحدث. راجع النقاط المهمة حول الاستثناءات قبل تحديد قوائم الاستبعاد الخاصة بك.

تحذير

قد يؤثر إلغاء الاشتراك في الاستثناءات التلقائية سلبا على الأداء، أو يؤدي إلى تلف البيانات. تم تحسين استثناءات دور الخادم التلقائي ل Windows Server 2016 وWindows Server 2019 وWindows Server 2022.

نظرا لأن الاستثناءات المعرفة مسبقا تستبعد المسارات الافتراضية فقط، إذا قمت بنقل مجلدات NTDS وSYSVOL إلى محرك أقراص أو مسار آخر يختلف عن المسار الأصلي، يجب إضافة استثناءات يدويا. راجع تكوين قائمة الاستثناءات استنادا إلى اسم المجلد أو ملحق الملف.

يمكنك تعطيل قوائم الاستبعاد التلقائي باستخدام نهج المجموعة وPowerShell cmdlets وWMI.

استخدام نهج المجموعة لتعطيل قائمة الاستثناءات التلقائية على Windows Server 2016 وWindows Server 2019 وWindows Server 2022

  1. على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة. انقر بزر الماوس الأيمن فوق كائن نهج المجموعة الذي تريد تكوينه، ثم حدد تحرير.

  2. في محرر إدارة نهج المجموعة ، انتقل إلى تكوين الكمبيوتر، ثم حدد القوالب الإدارية.

  3. قم بتوسيع الشجرة إلى مكونات Windows استثناءات برنامج الحماية> منالفيروسات>من Microsoft Defender.

  4. انقر نقرا مزدوجا فوق إيقاف تشغيل الاستثناءات التلقائية، ثم قم بتعيين الخيار إلى ممكن. ثم حدد موافق.

استخدام PowerShell cmdlets لتعطيل قائمة الاستثناءات التلقائية على Windows Server

استخدم أوامر cmdlets التالية:

Set-MpPreference -DisableAutoExclusions $true

لمعرفة المزيد، راجع الموارد التالية:

استخدام تعليمات إدارة Windows (WMI) لتعطيل قائمة الاستثناءات التلقائية على Windows Server

استخدم أسلوب Set لفئة MSFT_MpPreference للخصائص التالية:

DisableAutoExclusions

لمزيد من المعلومات والمعلمات المسموح بها، راجع:

تحديد الاستثناءات المخصصة

إذا لزم الأمر، يمكنك إضافة استثناءات مخصصة أو إزالتها. للقيام بذلك، راجع المقالات التالية:

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.