Erreurs courantes à éviter lors de la définition d’exclusions

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour point de terminaison Plan 1
• Antivirus Microsoft Defender

Plateformes

• Windows
• macOS
• Linux

Importante

Ajoutez des exclusions avec prudence. Les exclusions pour les analyses de l’Antivirus Microsoft Defender réduisent le niveau de protection des appareils.

Vous pouvez définir une liste d’exclusions pour les éléments que vous ne souhaitez pas analyser antivirus Microsoft Defender. Toutefois, les éléments exclus peuvent contenir des menaces qui rendent votre appareil vulnérable. Cet article décrit certaines erreurs courantes que vous devez éviter lors de la définition d’exclusions.

Conseil

Avant de définir vos listes d’exclusions, consultez Points importants sur les exclusions et passez en revue les informations détaillées dans Exclusions pour Microsoft Defender pour point de terminaison et Antivirus Microsoft Defender.

Exclusion de certains éléments approuvés

Certains fichiers, types de fichiers, dossiers ou processus ne doivent pas être exclus de l’analyse, même si vous êtes certain qu’ils ne sont pas malveillants. Ne définissez pas d’exclusions pour les emplacements de dossiers, les extensions de fichier et les processus répertoriés dans les sections suivantes :

• Emplacements des dossiers
• Extensions de fichier
• Processus

Emplacements des dossiers

Importante

Certains dossiers ne doivent pas être exclus des analyses, car ils peuvent finir par être des dossiers où des fichiers malveillants peuvent être supprimés.

En général, ne définissez pas d’exclusions pour les emplacements de dossiers suivants :

• %systemdrive%
• C:, C:\ou C:\*
• %ProgramFiles%\Java ou C:\Program Files\Java
• %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\ou C:\Program Files (x86)\Contoso\
• C:\Temp, C:\Temp\ou C:\Temp\*
• C:\Users\ ou C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ ou C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Notez les exceptions importantes suivantes pour SharePoint : ExcluezC:\Users\ServiceAccount\AppData\Local\Temp ou C:\Users\Default\AppData\Local\Temp lorsque vous utilisez la protection antivirus au niveau du fichier dans SharePoint.
• %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\ou C:\Windows\Prefetch\*
• %Windir%\System32\Spool ou C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\ou C:\Windows\Temp\*

Plateformes Linux et macOS

En général, ne définissez pas d’exclusions pour les emplacements de dossiers suivants :

• /
• /bin ou /sbin
• /usr/lib

Extensions de fichier

Importante

Certaines extensions de fichier ne doivent pas être exclues, car elles peuvent être des types de fichiers utilisés dans une attaque.

En général, ne définissez pas d’exclusions pour les extensions de fichier suivantes :

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko ou .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

Processus

Importante

Certains processus ne doivent pas être exclus, car ils sont utilisés pendant les attaques.

En général, ne définissez pas d’exclusions pour les processus suivants :

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

Remarque

Vous pouvez choisir d’exclure des types de fichiers, tels que .gif, .jpg, .jpegou .png si votre environnement dispose d’un logiciel moderne et à jour avec une stratégie de mise à jour stricte pour gérer les vulnérabilités.

Plateformes Linux et macOS

En général, ne définissez pas d’exclusions pour les processus suivants :

• bash
• java
• python et python3
• sh
• zsh

Utilisation du nom de fichier dans la liste d’exclusion

Les programmes malveillants peuvent avoir le même nom que celui d’un fichier que vous approuvez et que vous souhaitez exclure de l’analyse. Par conséquent, pour éviter d’exclure des programmes malveillants potentiels de l’analyse, utilisez un chemin d’accès complet au fichier que vous souhaitez exclure au lieu d’utiliser uniquement le nom de fichier. Par exemple, si vous souhaitez exclure Filename.exe de l’analyse, utilisez le chemin d’accès complet au fichier, tel que C:\program files\contoso\Filename.exe.

Utilisation d’une liste d’exclusion unique pour plusieurs charges de travail de serveur

N’utilisez pas une seule liste d’exclusions pour définir des exclusions pour plusieurs charges de travail de serveur. Divisez les exclusions pour différentes charges de travail d’application ou de service en plusieurs listes d’exclusions. Par exemple, la liste d’exclusions de votre charge de travail de serveur IIS doit être différente de la liste d’exclusions de votre charge de travail SQL Server.

Utilisation de variables d’environnement incorrectes comme caractères génériques dans les listes d’exclusion de nom de fichier et de chemin d’accès au dossier ou d’extension

Le service Antivirus Microsoft Defender s’exécute dans le contexte système à l’aide du compte LocalSystem, ce qui signifie qu’il obtient des informations à partir de la variable d’environnement système, et non de la variable d’environnement utilisateur. L’utilisation de variables d’environnement comme caractères génériques dans les listes d’exclusion est limitée aux variables système et aux variables applicables aux processus s’exécutant en tant que compte NT AUTHORITY\SYSTEM. Par conséquent, n’utilisez pas de variables d’environnement utilisateur comme caractères génériques lors de l’ajout d’exclusions de dossier et de processus antivirus Microsoft Defender. Consultez le tableau sous Variables d’environnement système pour obtenir la liste complète des variables d’environnement système.

Pour plus d’informations sur l’utilisation des caractères génériques dans les listes d’exclusion de nom de fichier et de chemin d’accès de dossier ou d’extension , consultez Utiliser des caractères génériques dans les listes d’exclusions.

Voir aussi

• Exclusions pour Microsoft Defender pour point de terminaison et Antivirus Microsoft Defender
• Configurer des exclusions personnalisées pour l’Antivirus Microsoft Defender
• Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur Linux
• Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur macOS

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.