الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• الخطة 1 من Microsoft Defender لنقطة النهاية
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل
• ماك
• ينكس

هام

أضف استثناءات بحذر. تقلل استثناءات عمليات فحص برنامج الحماية من الفيروسات Microsoft Defender من مستوى الحماية للأجهزة.

يمكنك تحديد قائمة استبعاد للعناصر التي لا تريد أن يقوم برنامج الحماية من الفيروسات Microsoft Defender بمسحها ضوئيا. ومع ذلك، قد تحتوي العناصر المستبعدة على تهديدات تجعل جهازك عرضة للخطر. توضح هذه المقالة بعض الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات.

تلميح

قبل تحديد قوائم الاستبعاد الخاصة بك، راجع النقاط المهمة حول الاستثناءات وراجع المعلومات التفصيلية في الاستثناءات Microsoft Defender لنقطة النهاية Microsoft Defender مكافحة الفيروسات.

استبعاد بعض العناصر الموثوق بها

لا ينبغي استبعاد بعض الملفات أو أنواع الملفات أو المجلدات أو العمليات من الفحص على الرغم من أنك تثق في أنها ليست ضارة. لا تحدد استثناءات مواقع المجلدات وملحقات الملفات والعمليات المدرجة في الأقسام التالية:

• مواقع المجلدات
• ملحقات الملفات
• العمليات

مواقع المجلدات

هام

لا ينبغي استبعاد مجلدات معينة من عمليات الفحص لأنها يمكن أن تنتهي بكونها مجلدات حيث يمكن إسقاط الملفات الضارة.

بشكل عام، لا تحدد الاستثناءات لأي من مواقع المجلدات التالية:

• %systemdrive%
• C:أو أو C:\C:\*
• %ProgramFiles%\Java او C:\Program Files\Java
• %ProgramFiles%\Contoso\أو C:\Program Files\Contoso\أو %ProgramFiles(x86)%\Contoso\أو C:\Program Files (x86)\Contoso\
• C:\Tempأو أو C:\Temp\C:\Temp\*
• C:\Users\ او C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ أو C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. لاحظ الاستثناءات المهمة التالية ل SharePoint: قم باستبعادC:\Users\ServiceAccount\AppData\Local\Temp أو C:\Users\Default\AppData\Local\Temp عند استخدام الحماية من الفيروسات على مستوى الملف في SharePoint.
• %Windir%\Prefetchأو C:\Windows\Prefetchأو C:\Windows\Prefetch\أو C:\Windows\Prefetch\*
• %Windir%\System32\Spool او C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Tempأو C:\Windows\Tempأو C:\Windows\Temp\أو C:\Windows\Temp\*

أنظمة Linux وmacOS الأساسية

بشكل عام، لا تحدد الاستثناءات لمواقع المجلدات التالية:

• /
• /bin او /sbin
• /usr/lib

ملحقات الملفات

هام

يجب عدم استبعاد بعض ملحقات الملفات لأنها يمكن أن تكون أنواع ملفات يتم استخدامها في هجوم.

بشكل عام، لا تحدد الاستثناءات لملحقات الملفات التالية:

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko او .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

العمليات

هام

لا ينبغي استبعاد عمليات معينة لأنها تستخدم أثناء الهجمات.

بشكل عام، لا تحدد الاستثناءات للعمليات التالية:

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

ملاحظة

يمكنك اختيار استبعاد أنواع الملفات، مثل .gif، .jpgأو .jpeg، أو .png إذا كانت بيئتك تحتوي على برنامج حديث ومحدث مع نهج تحديث صارم للتعامل مع أي ثغرات أمنية.

أنظمة Linux وmacOS الأساسية

بشكل عام، لا تحدد الاستثناءات للعمليات التالية:

• bash
• java
• python و python3
• sh
• zsh

استخدام اسم الملف فقط في قائمة الاستبعاد

قد يكون للبرامج الضارة نفس اسم الملف الذي تثق به وتريد استبعاده من الفحص. لذلك، لتجنب استبعاد البرامج الضارة المحتملة من الفحص، استخدم مسارا مؤهلا بالكامل إلى الملف الذي تريد استبعاده بدلا من استخدام اسم الملف فقط. على سبيل المثال، إذا كنت تريد الاستبعاد Filename.exe من الفحص، فاستخدم المسار الكامل إلى الملف، مثل C:\program files\contoso\Filename.exe.

استخدام قائمة استبعاد واحدة لأحمال عمل خادم متعددة

لا تستخدم قائمة استبعاد واحدة لتحديد الاستثناءات لأحمال عمل خادم متعددة. تقسيم الاستثناءات لأحمال عمل التطبيقات أو الخدمات المختلفة إلى قوائم استبعاد متعددة. على سبيل المثال، يجب أن تختلف قائمة الاستبعاد لحمل عمل IIS Server عن قائمة الاستبعاد لحمل العمل SQL Server.

استخدام متغيرات البيئة غير الصحيحة كأحرف بدل في اسم الملف ومسار المجلد أو قوائم استبعاد الملحق

Microsoft Defender تشغيل خدمة مكافحة الفيروسات في سياق النظام باستخدام حساب LocalSystem، ما يعني أنها تحصل على معلومات من متغير بيئة النظام، وليس من متغير بيئة المستخدم. يقتصر استخدام متغيرات البيئة كحرف بدل في قوائم الاستبعاد على متغيرات النظام وتلك المطبقة على العمليات التي تعمل كحساب NT AUTHORITY\SYSTEM. لذلك، لا تستخدم متغيرات بيئة المستخدم كأحرف بدل عند إضافة مجلد Microsoft Defender مكافحة الفيروسات واستبعادات العملية. راجع الجدول ضمن متغيرات بيئة النظام للحصول على قائمة كاملة بمتغيرات بيئة النظام.

راجع استخدام أحرف البدل في اسم الملف ومسار المجلد أو قوائم استبعاد الملحق للحصول على معلومات حول كيفية استخدام أحرف البدل في قوائم الاستبعاد.

راجع أيضًا

• استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender
• تكوين الاستثناءات المخصصة لبرنامج الحماية من الفيروسات Microsoft Defender
• تكوين الاستثناءات والتحقق من صحتها Microsoft Defender لنقطة النهاية على Linux
• تكوين الاستثناءات والتحقق من صحتها Microsoft Defender لنقطة النهاية على macOS

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.