Configurer Microsoft Defender exclusions antivirus sur Windows Server

  • Article
  • 10 minutes de lecture

S’applique à :

Plateformes

  • Windows

Microsoft Defender Antivirus sur Windows Server 2016 et Windows Server 2019 vous inscrit automatiquement dans certaines exclusions, telles que définies par le rôle serveur spécifié. Ces exclusions n’apparaissent pas dans les listes d’exclusions standard affichées dans l’application Sécurité Windows.

Outre les exclusions automatiques définies par le rôle de serveur, vous pouvez ajouter ou supprimer des exclusions personnalisées. Pour ce faire, reportez-vous aux articles suivants :

Quelques points à garder à l’esprit

  • Les exclusions personnalisées sont prioritaires sur les exclusions automatiques.
  • Les exclusions automatiques s’appliquent uniquement à l’analyse de la protection en temps réel (RTP).
  • Les exclusions automatiques ne sont pas respectées lors d’une analyse complète, rapide ou à la demande.
  • Les exclusions personnalisées et dupliquées n’entrent pas en conflit avec les exclusions automatiques.
  • Microsoft Defender Antivirus utilise les outils de gestion et de maintenance des images de déploiement (DISM) pour déterminer les rôles installés sur votre ordinateur.
  • Les exclusions appropriées doivent être définies pour les logiciels qui ne sont pas inclus dans le système d’exploitation.
  • Windows Server 2012 R2 n’a pas Microsoft Defender Antivirus comme fonctionnalité installable. Lorsque vous intégrez ces serveurs à Defender pour point de terminaison, vous installez Microsoft Defender Antivirus et des exclusions par défaut pour les fichiers du système d’exploitation sont appliquées. Toutefois, les exclusions pour les rôles serveur (comme spécifié ci-dessous) ne s’appliquent pas automatiquement, et vous devez configurer ces exclusions comme il convient. Pour plus d’informations, consultez Intégrer des serveurs Windows au service Microsoft Defender pour point de terminaison.

Cet article fournit une vue d’ensemble des exclusions pour Microsoft Defender Antivirus sur Windows Server 2016 ou version ultérieure.

Étant donné que Microsoft Defender Antivirus est intégré à Windows Server 2016 et versions ultérieures, des exclusions pour les fichiers de système d’exploitation et les rôles serveur se produisent automatiquement. Toutefois, vous pouvez définir des exclusions personnalisées. Vous pouvez également refuser les exclusions automatiques si nécessaire.

Le présent article contient les sections suivantes :

Section Description
Exclusions automatiques sur Windows Server 2016 ou version ultérieure Décrit les deux principaux types d’exclusions automatiques et inclut une liste détaillée des exclusions automatiques
Désactivation des exclusions automatiques Inclut des considérations et procédures importantes décrivant comment refuser les exclusions automatiques
Définition d’exclusions personnalisées Fournit des liens vers des informations de procédure pour définir des exclusions personnalisées

Exclusions automatiques sur Windows Server 2016 ou version ultérieure

Sur Windows Server 2016 ou version ultérieure, vous n’avez pas besoin de définir les exclusions suivantes :

  • Fichiers du système d’exploitation
  • Rôles de serveur et tous les fichiers ajoutés via les rôles de serveur

Étant donné que Microsoft Defender Antivirus est intégré, il ne nécessite pas d’exclusions pour les fichiers de système d’exploitation sur Windows Server 2016 ou version ultérieure. En outre, lorsque vous exécutez Windows Server 2016 ou une version ultérieure et que vous installez un rôle, Microsoft Defender Antivirus inclut des exclusions automatiques pour le rôle serveur et tous les fichiers ajoutés lors de l’installation du rôle.

Les exclusions de système d’exploitation et les exclusions de rôle serveur n’apparaissent pas dans les listes d’exclusions standard affichées dans l’application Sécurité Windows.

Remarque

Les exclusions automatiques s’appliquent uniquement aux Windows Server 2016 et versions ultérieures. Ces exclusions ne sont pas visibles dans l’application Sécurité Windows et dans PowerShell. Des exclusions automatiques peuvent s’appliquer si vos serveurs exécutant Windows Server 2012 R2 sont intégrés à Defender pour point de terminaison. Pour plus d’informations, consultez Intégrer des serveurs Windows au service Microsoft Defender pour point de terminaison. Les exclusions automatiques pour les rôles serveur et les fichiers de système d’exploitation ne s’appliquent pas aux Windows Server 2012.

Liste des exclusions automatiques

Les sections suivantes contiennent les exclusions fournies avec les chemins d’accès et les types de fichiers des exclusions automatiques.

Exclusions par défaut pour tous les rôles

Cette section répertorie les exclusions par défaut pour tous les rôles dans Windows Server 2016, Windows Server 2019 et Windows Server 2022.

Importante

  • Les emplacements par défaut peuvent être différents des emplacements décrits dans cet article.
  • Pour définir des exclusions pour les logiciels qui ne sont pas inclus en tant que fonctionnalité Windows ou rôle serveur, reportez-vous à la documentation du fabricant du logiciel.
Fichiers « temp.edb » Windows
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
fichiers Windows Update ou fichiers de mise à jour automatique
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
Sécurité Windows fichiers
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
stratégie de groupe fichiers
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
Fichiers WINS
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
Exclusions du service de réplication de fichiers (FRS)

  • Fichiers dans le dossier de travail du service de réplication de fichiers (FRS). Le dossier de travail FRS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Fichiers journaux de la base de données FRS. Le dossier du fichier journal de la base de données FRS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Dossier intermédiaire FRS. Le dossier intermédiaire est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Dossier de préinstallation FRS. Ce dossier est spécifié par le dossier Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • La base de données et les dossiers de travail de la réplication du système de fichiers distribués (DFSR). Ces dossiers sont spécifiés par la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Remarque

    Pour les emplacements personnalisés, consultez Refuser les exclusions automatiques.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
Exclusions de processus
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Exclusions Hyper-V

Le tableau suivant répertorie les exclusions de type de fichier, les exclusions de dossier et les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle Hyper-V.

Type d’exclusion Détails
Types de fichiers *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processus %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
Fichiers SYSVOL
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Exclusions Active Directory

Cette section répertorie les exclusions qui sont remises automatiquement lorsque vous installez services de domaine Active Directory (AD DS).

Fichiers de base de données NTDS

Les fichiers de base de données sont spécifiés dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
Fichiers journaux des transactions AD DS

Les fichiers journaux des transactions sont spécifiés dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
Dossier de travail NTDS

Ce dossier est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Exclusions de serveur DHCP

Cette section répertorie les exclusions qui sont remises automatiquement lorsque vous installez le rôle Serveur DHCP. Les emplacements des fichiers du serveur DHCP sont spécifiés par les paramètres DatabasePath, DhcpLogFilePath et BackupDatabasePath dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Exclusions de serveur DNS

Cette section répertorie les exclusions de fichiers et de dossiers, ainsi que les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle serveur DNS.

Exclusions de fichiers et de dossiers pour le rôle serveur DNS
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
Exclusions de processus pour le rôle serveur DNS
  • %systemroot%\System32\dns.exe

Exclusions des services de fichiers et de stockage

Cette section répertorie les exclusions de fichiers et de dossiers qui sont remises automatiquement lorsque vous installez le rôle Services de fichiers et de stockage. Les exclusions répertoriées ci-dessous n’incluent pas d’exclusions pour le rôle de clustering.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Cette section répertorie les exclusions de type de fichier, les exclusions de dossier et les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle Serveur d’impression.

Exclusions de type de fichier
  • *.shd
  • *.spl
Exclusions de dossiers

Ce dossier est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
Exclusions de processus
  • spoolsv.exe

Exclusions de serveur web

Cette section répertorie les exclusions de dossiers et les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle serveur web.

Exclusions de dossiers
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Process exclusions
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
Désactivation de l’analyse des fichiers dans le dossier Sysvol\Sysvol ou le dossier SYSVOL_DFSR\Sysvol

L’emplacement actuel du Sysvol\Sysvol dossier ou SYSVOL_DFSR\Sysvol et de tous les sous-dossiers est la cible d’analyse du système de fichiers de la racine du jeu de réplicas. Les Sysvol\Sysvol dossiers et SYSVOL_DFSR\Sysvol utilisent les emplacements suivants par défaut :

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Le chemin du actuellement actif SYSVOL est référencé par le partage NETLOGON et peut être déterminé par le nom de la valeur SysVol dans la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Excluez les fichiers suivants de ce dossier et de tous ses sous-dossiers :

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

exclusions Windows Server Update Services

Cette section répertorie les exclusions de dossiers qui sont remises automatiquement lorsque vous installez le rôle Windows Server Update Services (WSUS). Le dossier WSUS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Désactivation des exclusions automatiques

Dans Windows Server 2016 et versions ultérieures, les exclusions prédéfinies fournies par les mises à jour security intelligence excluent uniquement les chemins d’accès par défaut pour un rôle ou une fonctionnalité. Si vous avez installé un rôle ou une fonctionnalité dans un chemin personnalisé, ou si vous souhaitez contrôler manuellement l’ensemble des exclusions, veillez à désactiver les exclusions automatiques fournies dans les mises à jour du renseignement de sécurité. Toutefois, gardez à l’esprit que les exclusions fournies automatiquement sont optimisées pour Windows Server 2016 et versions ultérieures. Consultez Recommandations pour définir des exclusions avant de définir vos listes d’exclusions.

Avertissement

La désactivation des exclusions automatiques peut nuire aux performances ou entraîner une altération des données. Les exclusions fournies automatiquement sont optimisées pour les rôles Windows Server 2016, Windows Server 2019 et Windows Server 2022.

Étant donné que les exclusions prédéfinies excluent uniquement les chemins d’accès par défaut, si vous déplacez les dossiers NTDS et SYSVOL vers un autre lecteur ou chemin différent du chemin d’accès d’origine, vous devez ajouter des exclusions manuellement. Consultez Configurer la liste des exclusions en fonction du nom de dossier ou de l’extension de fichier.

Vous pouvez désactiver les listes d’exclusion automatique avec stratégie de groupe, les applets de commande PowerShell et WMI.

Utiliser stratégie de groupe pour désactiver la liste des exclusions automatiques sur Windows Server 2016, Windows Server 2019 et Windows Server 2022

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez laConsole de gestion des stratégies de groupe. Cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence composants> Windows Microsoft DefenderExclusions antivirus>.

  4. Double-cliquez sur Désactiver les exclusions automatiques et définissez l’option sur Activé. Puis sélectionnez OK.

Utiliser les applets de commande PowerShell pour désactiver la liste des exclusions automatiques sur Windows Server

Utilisez les applets de commande suivantes :

Set-MpPreference -DisableAutoExclusions $true

Pour en savoir plus, consultez les ressources suivantes :

Utiliser WMI (Windows Management Instruction) pour désactiver la liste des exclusions automatiques sur Windows Server

Utilisez la méthode Set de la classe MSFT_MpPreference pour les propriétés suivantes :

DisableAutoExclusions

Pour plus d’informations et les paramètres autorisés, consultez les rubriques suivantes :

Définition d’exclusions personnalisées

Si nécessaire, vous pouvez ajouter ou supprimer des exclusions personnalisées. Pour ce faire, consultez les articles suivants :

Conseil

Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :

Voir aussi