exclusiones de Microsoft Defender Antivirus en Windows Server

Se aplica a:

Plataformas

  • Windows

En este artículo se describen los tipos de exclusiones que no tiene que definir para Microsoft Defender Antivirus:

Para obtener información general más detallada sobre las exclusiones, consulte Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Algunos puntos importantes sobre las exclusiones en Windows Server

  • Las exclusiones personalizadas tienen prioridad sobre las exclusiones automáticas.
  • Las exclusiones automáticas solo se aplican al examen de protección en tiempo real (RTP ).
  • Las exclusiones automáticas no se respetan durante un examen rápido, un examen completo y un examen personalizado.
  • Las exclusiones personalizadas y duplicadas no entran en conflicto con las exclusiones automáticas.
  • Microsoft Defender Antivirus usa las herramientas de administración y mantenimiento de imágenes de implementación (DISM) para determinar qué roles están instalados en el equipo.
  • Se deben establecer exclusiones adecuadas para el software que no se incluye con el sistema operativo.
  • Windows Server 2012 R2 no tiene Microsoft Defender Antivirus como característica instalable. Al incorporar esos servidores a Defender para punto de conexión, instalará Microsoft Defender Antivirus y se aplicarán las exclusiones predeterminadas para los archivos del sistema operativo. Sin embargo, las exclusiones de los roles de servidor (como se especifica a continuación) no se aplican automáticamente y debe configurar estas exclusiones según corresponda. Para obtener más información, consulta Incorporación de servidores Windows al servicio Microsoft Defender para punto de conexión.
  • Las exclusiones integradas y las exclusiones automáticas de roles de servidor no aparecen en las listas de exclusión estándar que se muestran en la aplicación Seguridad de Windows.
  • La lista de exclusiones integradas en Windows se mantiene actualizada a medida que cambia el panorama de amenazas. En este artículo se enumeran algunas exclusiones integradas y automáticas, pero no todas.

Exclusiones automáticas de roles de servidor

En Windows Server 2016 o versiones posteriores, no es necesario definir exclusiones para los roles de servidor. Al instalar un rol en Windows Server 2016 o versiones posteriores, Microsoft Defender Antivirus incluye exclusiones automáticas para el rol de servidor y los archivos que se agregan al instalar el rol.

Windows Server 2012 R2 no admite la característica de exclusiones automáticas. Tendrá que definir exclusiones explícitas para cualquier rol de servidor y cualquier software que se agregue después de instalar el sistema operativo.

Importante

  • Las ubicaciones predeterminadas podrían ser diferentes de las ubicaciones que se describen en este artículo.
  • Para establecer exclusiones de software que no se incluye como una característica de Windows o un rol de servidor, consulte la documentación del fabricante de software.

Las exclusiones automáticas incluyen:

Exclusiones de Hyper-V

En la tabla siguiente se enumeran las exclusiones de tipos de archivo, las exclusiones de carpetas y las exclusiones de procesos que se entregan automáticamente al instalar el rol de Hyper-V.

Tipo de exclusión Detalles
Tipos de archivo *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Procesos %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Archivos SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Exclusiones de Active Directory

En esta sección se enumeran las exclusiones que se entregan automáticamente al instalar Servicios de dominio de Active Directory (AD DS).

Archivos de base de datos NTDS

Los archivos de base de datos se especifican en la clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Los archivos de registro de transacciones de AD DS

Los archivos de registro de transacciones se especifican en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

La carpeta de trabajo NTDS

Esta carpeta se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Exclusiones del servidor DHCP

En esta sección se enumeran las exclusiones que se entregan automáticamente al instalar el rol servidor DHCP. Las ubicaciones de archivo del servidor DHCP se especifican mediante los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Exclusiones del servidor DNS

En esta sección se enumeran las exclusiones de archivos y carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor DNS.

Exclusiones de archivos y carpetas para el rol servidor DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Exclusiones de procesos para el rol servidor DNS

  • %systemroot%\System32\dns.exe

Exclusiones de servicios de archivos y almacenamiento

En esta sección se enumeran las exclusiones de archivos y carpetas que se entregan automáticamente al instalar el rol Servicios de archivos y almacenamiento. Las exclusiones que se enumeran a continuación no incluyen exclusiones para el rol Agrupación en clústeres.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

En esta sección se enumeran las exclusiones de tipo de archivo, las exclusiones de carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor de impresión.

Exclusiones de tipos de archivo

  • *.shd
  • *.spl

Exclusiones de carpetas

Esta carpeta se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Exclusiones de procesos para el rol servidor de impresión

  • spoolsv.exe

Exclusiones del servidor web

En esta sección se enumeran las exclusiones de carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor web.

Exclusiones de carpetas

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Exclusiones de procesos para el rol servidor web

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Desactivar el examen de archivos en la carpeta Sysvol\Sysvol o en la carpeta SYSVOL_DFSR\Sysvol

La ubicación actual de la Sysvol\Sysvol carpeta o SYSVOL_DFSR\Sysvol y todas las subcarpetas es el destino de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. Las Sysvol\Sysvol carpetas y SYSVOL_DFSR\Sysvol usan las siguientes ubicaciones de forma predeterminada:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

El recurso compartido NETLOGON hace referencia a la ruta de acceso al activo actualmente y SYSVOL se puede determinar mediante el nombre del valor SysVol en la subclave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

exclusiones de Windows Server Update Services

En esta sección se enumeran las exclusiones de carpetas que se entregan automáticamente al instalar el rol de Windows Server Update Services (WSUS). La carpeta WSUS se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Exclusiones integradas

Dado que Microsoft Defender Antivirus está integrado en Windows, no requiere exclusiones para los archivos del sistema operativo en ninguna versión de Windows.

Las exclusiones integradas incluyen:

La lista de exclusiones integradas en Windows se mantiene actualizada a medida que cambia el panorama de amenazas.

Archivos "temp.edb" de Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

archivos Windows Update o archivos de actualización automática

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

archivos Seguridad de Windows

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

archivos directiva de grupo

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

Archivos WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Exclusiones del servicio de replicación de archivos (FRS)

  • Archivos en la carpeta de trabajo del Servicio de replicación de archivos (FRS). La carpeta de trabajo FRS se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • Archivos de registro de base de datos FRS. La carpeta del archivo de registro de la base de datos FRS se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • Carpeta de almacenamiento provisional frs. La carpeta de almacenamiento provisional se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Carpeta de preinstalación de FRS. Esta carpeta se especifica mediante la carpeta Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • La base de datos y las carpetas de trabajo de replicación del sistema de archivos distribuido (DFSR). La clave del Registro especifica estas carpetas. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Nota:

    Para conocer las ubicaciones personalizadas, consulte Exclusión de exclusiones automáticas.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Exclusiones de procesos para archivos de sistema operativo integrados

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

No participar en exclusiones automáticas

En Windows Server 2016 y versiones posteriores, las exclusiones predefinidas proporcionadas por las actualizaciones de Inteligencia de seguridad solo excluyen las rutas de acceso predeterminadas para un rol o característica. Si instaló un rol o una característica en una ruta de acceso personalizada o quiere controlar manualmente el conjunto de exclusiones, asegúrese de no participar en las exclusiones automáticas entregadas en actualizaciones de Inteligencia de seguridad. Pero tenga en cuenta que las exclusiones que se entregan automáticamente se optimizan para Windows Server 2016 y versiones posteriores. Consulte Puntos importantes sobre exclusiones antes de definir las listas de exclusión.

Advertencia

La exclusión de exclusiones automáticas puede afectar negativamente al rendimiento o provocar daños en los datos. Las exclusiones automáticas de roles de servidor están optimizadas para Windows Server 2016, Windows Server 2019 y Windows Server 2022.

Dado que las exclusiones predefinidas solo excluyen rutas de acceso predeterminadas, si mueve carpetas NTDS y SYSVOL a otra unidad o ruta de acceso diferente de la ruta de acceso original, debe agregar exclusiones manualmente. Consulte Configuración de la lista de exclusiones basadas en el nombre de carpeta o la extensión de archivo.

Puede deshabilitar las listas de exclusión automática con directiva de grupo, cmdlets de PowerShell y WMI.

Use directiva de grupo para deshabilitar la lista de exclusiones automáticas en Windows Server 2016, Windows Server 2019 y Windows Server 2022

  1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y, a continuación, seleccione Editar.

  2. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y, a continuación, seleccione Plantillas administrativas.

  3. Expanda el árbol a componentes> de Windows Microsoft DefenderExclusionesdel antivirus>.

  4. Haga doble clic en Desactivar exclusiones automáticas y establezca la opción en Habilitado. A continuación, seleccione Aceptar.

Uso de cmdlets de PowerShell para deshabilitar la lista de exclusiones automáticas en Windows Server

Use los siguientes cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Para obtener más información, consulte los siguientes recursos:

Usar instrucciones de administración de Windows (WMI) para deshabilitar la lista de exclusiones automáticas en Windows Server

Use el método Set de la clase MSFT_MpPreference para las siguientes propiedades:

DisableAutoExclusions

Para obtener más información y parámetros permitidos, consulte:

Definición de exclusiones personalizadas

Si es necesario, puede agregar o quitar exclusiones personalizadas. Para ello, consulte los artículos siguientes:

Vea también

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.