Jaa

Microsoft Defender virustentorjunnan poissulkemiset Windows Server

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Tärkeitä huomautuksia automaattisista poissulkemisista Windows Server

  • Mukautetut poikkeukset ovat etusijalla automaattisiin poissulkemisiin nähden. Kun mukautettu poikkeus on määritetty polulle, jolla on myös päällekkäinen automaattinen tai sisäänrakennettu poikkeus, mukautettua poikkeusta sovelletaan aina.
  • Automaattiset poikkeukset koskevat vain reaaliaikaista suojaustarkistusta (RTP ). Muita skannaustoimintoja, kuten verkkotarkastusta ja käyttäytymisen seurantaa, ei suljeta pois. Jos haluat sulkea pois muita tarkistustyyppejä, käytä mukautettuja poissulkemisia.
  • Automaattisia poissulkemisia ei kunnioiteta pikatarkistusta, täyttä tarkistusta ja mukautettua tarkistusta käytettäessä. Jos haluat sulkea pois muita tarkistustyyppejä, käytä mukautettuja poissulkemisia.
  • Sisäiset poikkeukset ja automaattisen palvelinroolin poikkeukset eivät näy Windowsin suojaus sovelluksessa näytetyissä vakiopoikkeamisluetteloissa.
  • Microsoft Defender virustentorjuntaohjelma määrittää DISM (Deployment Image Servicing and Management) -työkaluilla, mitkä roolit tietokoneeseen on asennettu.
  • Asianmukaiset poikkeukset on määritettävä ohjelmistolle, joka ei sisälly käyttöjärjestelmään.
  • luettelo Microsoft Defender virustentorjuntaohjelman käytössä olevista sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa.

Tässä artikkelissa kuvataan kaksi pääasiallista poissulkemistyyppiä, joita ei tarvitse määrittää Microsoft Defender virustentorjuntaa varten:

Tarkempi yleiskatsaus poissulkemisista on artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta.

Ennakkovaatimukset

Tuetut käyttöjärjestelmät

  • Windows Server

Automaattisen palvelinroolin poikkeukset

Automaattisen palvelinroolin poikkeukset koskevat tiettyjä automaattisen polun ja prosessin poissulkemisten joukkoja, jotka perustuvat palvelimelle valitsemiasi rooleihin.

Huomautus

  • Katso tärkeät muistiinpanot
  • Oletussijainnit voivat poiketa tässä artikkelissa kuvatuista sijainneista.
  • luettelo Microsoft Defender virustentorjuntaohjelman käytössä olevista sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa. Tässä artikkelissa luetellaan joitakin automaattisen palvelinroolin poissulkemisia, mutta ei kaikkia.
  • Jos haluat määrittää poissulkemisia ohjelmistolle, joka ei sisälly Windows-ominaisuuden tai palvelimen rooliin, katso ohjelmistovalmistajan dokumentaatio.

Windows Server 2016 tai uudempi versio

Palvelinroolien poissulkemisia ei kannata määrittää Windows Server 2016 tai uudemmassa versiossa. Kun asennat roolin Windows Server 2016 tai uudempaan versioon, Microsoft Defender virustentorjunta sisältää palvelinroolin automaattiset poikkeukset ja tiedostot, jotka lisätään roolia asennettaessa.

Windows Server 2012 R2

Windows Server 2012 R2 ei tue automaattista palvelinroolin poissulkemisominaisuutta. Windows Server 2012 R2:ssa ei myöskään ole Microsoft Defender virustentorjuntaa asennettavana ominaisuutena. Kun lisäät kyseiset palvelimet Defender for Endpointiin, asennat Microsoft Defender virustentorjuntaohjelman, ja oletusarvoiset käyttöjärjestelmätiedostojen sisäiset poikkeukset otetaan käyttöön. Automaattisia palvelinroolien poissulkemisia (kuten alla on määritetty) ei kuitenkaan sovelleta automaattisesti. Jos näitä poissulkemisia halutaan, sinun tulee lisätä mukautettuja poissulkemisia näille poluille ja prosesseille tarpeen mukaan. Lisätietoja Microsoft Defender virustentorjuntaohjelman käyttöönotosta Windows Server 2012 R2:ssa on artikkelissa Windows-palvelimien käyttöönotto Microsoft Defender for Endpoint palvelussa.

Automaattisia poissulkemisia ovat esimerkiksi seuraavat:

Hyper-V-poikkeukset

Seuraavassa taulukossa on lueteltu tiedostotyypit Poissulkemiset, kansiopoikkeukset ja prosessin poikkeukset, jotka toimitetaan automaattisesti, kun asennat Hyper-V-roolin.

Poissulkemistyyppi Yksityiskohtia
Tiedostotyypit *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Kansiot %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Prosessit %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-tiedostot

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory -poikkeukset

Tässä osiossa luetellaan poikkeukset, jotka toimitetaan automaattisesti, kun asennat Active Directory -toimialueen palvelut (AD DS).

NTDS-tietokantatiedostot

Tietokantatiedostot määritetään rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS -tapahtumalokitiedostot

Tapahtumalokitiedostot määritetään rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS-työkansio

Tämä kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP Serverin poikkeukset

Tässä osiossa luetellaan poikkeukset, jotka toimitetaan automaattisesti, kun asennat DHCP Server -roolin. DHCP Server -tiedostojen sijainnit määritetään rekisteriavaimen DatabasePath-, DhcpLogFilePath- ja BackupDatabasePath-parametreillaHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-palvelimen poikkeukset

Tässä osassa luetellaan tiedoston ja kansion poikkeukset sekä prosessipoikkeukset, jotka toimitetaan automaattisesti DNS Server -roolin asentamisen yhteydessä.

DNS Server -roolin tiedosto- ja kansiopoikkeukset

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

DNS Server -roolin poissulkemiset

  • %systemroot%\System32\dns.exe

Tiedosto- ja tallennuspalveluiden poikkeukset

Tässä osassa luetellaan tiedosto- ja kansiopoikkeukset, jotka toimitetaan automaattisesti, kun asennat Tiedosto- ja Tallennuspalvelut-roolin. Alla luetellut poikkeukset eivät sisällä klusterointiroolin poissulkemisia.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Tässä osassa luetellaan tiedostotyypit poikkeukset, kansiopoikkeukset ja prosessipoikkeukset, jotka toimitetaan automaattisesti, kun asennat Print Server -roolin.

Tiedostotyyppipoikkeukset

  • *.shd
  • *.spl

Kansion poikkeukset

Tämä kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Tulostuspalvelinroolin poissulkemiset

  • spoolsv.exe

WWW-palvelimen poikkeukset

Tässä osassa luetellaan kansion poikkeukset ja prosessin poikkeukset, jotka toimitetaan automaattisesti WWW-palvelinroolia asennettaessa.

Kansion poikkeukset

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

WWW-palvelinroolin poissulkemiset

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Tiedostojen tarkistuksen poistaminen käytöstä Sysvol\Sysvol-kansiossa tai SYSVOL_DFSR\Sysvol-kansiossa

-tai-kansion Sysvol\SysvolSYSVOL_DFSR\Sysvol ja kaikkien alikansioiden nykyinen sijainti on replikajoukon pääkansion tiedostojärjestelmän uudelleenjakamisen kohde. - Sysvol\Sysvol ja SYSVOL_DFSR\Sysvol -kansiot käyttävät oletusarvoisesti seuraavia sijainteja:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

NETLOGON-jako viittaa tällä hetkellä aktiivisen SYSVOL polun polkuun, ja se voidaan määrittää SysVol-arvon nimellä seuraavassa aliavaimessa: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Jätä pois seuraavat tiedostot tästä kansiosta ja sen alikansioista:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services poissulkemiset

Tässä osassa luetellaan kansiopoikkeukset, jotka toimitetaan automaattisesti, kun asennat Windows Server Update Services (WSUS) -roolin. WSUS-kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Sisäänrakennetut poikkeukset

Muista tarkistaa Tärkeät muistiinpanot automaattisista poissulkemisista (tässä artikkelissa). Muista, että oletussijainnit voivat olla erilaiset kuin tässä artikkelissa kuvatut sijainnit.

luettelo Microsoft Defender virustentorjuntaohjelman käytössä olevista sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa. Tässä artikkelissa luetellaan joitakin, mutta ei kaikkia, sisäisiä poissulkemisia.

Koska Microsoft Defender virustentorjunta on windowsissa, se ei vaadi poissulkemisia minkään Windows-version käyttöjärjestelmätiedostoille.

Sisäisiä poissulkemisia ovat seuraavat:

Windowsin temp.edb-tiedostot

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update tiedostoja tai automaattisen päivityksen tiedostoja

  • %windir%\SoftwareDistribution\Datastore\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windowsin suojaus tiedostot

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

ryhmäkäytäntö tiedostot

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-tiedostot

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Tiedostojen replikointipalvelun (FRS) poikkeukset

  • Tiedostojen replikointipalvelun (FRS) työkansion tiedostot. FRS-työkansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-tietokannan lokitiedostot. FRS-tietokannan lokitiedostokansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • FRS:n valmistelukansio. Valmistelukansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • FRS:n esiasennuskansio. Kansio määrittää tämän kansion Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • DFSR (Distributed File System Replication) -tietokanta ja työkansiot. Nämä kansiot määritetään rekisteriavaimella HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Huomautus

    Katso mukautetut sijainnit kohdasta Automaattisten poissulkemisten käytöstä poistaminen.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Prosessipoikkeukset sisäisille käyttöjärjestelmätiedostoille

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Automaattisten poissulkemisten ulkopuolelle jättäminen

Windows Server 2016 ja sitä uudemmissa versioissa suojaustietojen päivitysten toimittamat ennalta määritetyt poikkeukset jättävät pois vain roolin tai ominaisuuden oletuspolut. Jos asensit roolin tai ominaisuuden mukautetulle polulle tai haluat hallita manuaalisesti poissulkemisten joukkoa, muista estää suojaustietojen päivityksissä toimitetut automaattiset poikkeukset. Muista kuitenkin, että automaattisesti toimitetut poikkeukset on optimoitu Windows Server 2016 ja sitä uudempaan versioon. Katso Poissulkemisia koskevat tärkeät kohdat ennen poissulkemisluetteloiden määrittämistä.

Varoitus

Automaattisten poissulkemisten ulkopuolelle jättäminen voi heikentää suorituskykyä tai johtaa tietojen vioittumiseen. Automaattiset palvelinroolipoikkeukset on optimoitu Windows Server 2016 ja sitä uudemmissa versioissa sekä Azure stack HCI -käyttöjärjestelmässä versiossa 23H2 ja sitä uudemmissa versioissa.

Koska ennalta määritetyt poikkeukset eivät sisällä vain oletuspolkuja, jos siirrät NTDS- ja SYSVOL-kansiot toiseen asemaan tai polkuun, joka ei ole sama kuin alkuperäinen polku, sinun on lisättävä poikkeukset manuaalisesti. Katso Poissulkemisten luettelon määrittäminen kansion nimen tai tiedostotunnisteen perusteella.

Voit poistaa käytöstä automaattiset poissulkemisluettelot, joissa on ryhmäkäytäntö, PowerShellin cmdlet-komennot ja WMI.

ryhmäkäytäntö avulla voit poistaa käytöstä automaattiset poikkeukset Windows Server 2016, Windows Server 2019 ja uudemmissa versioissa

  1. Avaa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö hallintakonsoli. Napsauta hiiren kakkospainikkeella ryhmäkäytäntö objektia, jonka haluat määrittää, ja valitse sitten Muokkaa.

  2. Siirry ryhmäkäytäntö hallintaeditorissakohtaan Tietokoneen määritykset ja valitse sitten Hallintamallit.

  3. Laajenna puu Kohtaan Windowsin osat>Microsoft Defender Virustentorjunta>Poissulkemiset.

  4. Kaksoisnapsauta Poista käytöstä automaattiset poikkeukset ja määritä asetukseksi Käytössä. Valitse sitten OK.

Poista käytöstä automaattiset poikkeukset -luettelo Windows Server PowerShellin cmdlet-komentojen avulla

Käytä seuraavia cmdlet-komentoja:

Set-MpPreference -DisableAutoExclusions $true

Lisätietoja on seuraavissa resursseissa:

Käytä Windowsin hallintaohjetta (WMI) poistaaksesi käytöstä automaattiset poikkeukset -luettelon Windows Server

Käytä MSFT_MpPreference luokan Set-menetelmää seuraavissa ominaisuuksissa:

DisableAutoExclusions

Lisätietoja ja sallitut parametrit ovat seuraavissa tiedoissa:

Mukautettujen poikkeusten määrittäminen

Voit tarvittaessa lisätä tai poistaa mukautettuja poissulkemisia. Voit tehdä tämän tutustumaan seuraaviin artikkeleihin:

Tutustu myös seuraaviin ohjeartikkeleihin:

  • Last updated on