exclusions antivirus Microsoft Defender sur Windows Server

  • Article

S’applique à :

Plateformes

  • Windows

Cet article décrit les types d’exclusions que vous n’avez pas besoin de définir pour Microsoft Defender Antivirus :

Pour obtenir une vue d’ensemble plus détaillée des exclusions, consultez Gérer les exclusions pour l’antivirus Microsoft Defender pour point de terminaison et Microsoft Defender.

Quelques points importants sur les exclusions sur Windows Server

  • Les exclusions personnalisées sont prioritaires sur les exclusions automatiques.
  • Les exclusions automatiques s’appliquent uniquement à l’analyse de la protection en temps réel (RTP).
  • Les exclusions automatiques ne sont pas respectées lors d’une analyse rapide, d’une analyse complète et d’une analyse personnalisée.
  • Les exclusions personnalisées et en double ne sont pas en conflit avec les exclusions automatiques.
  • Microsoft Defender Antivirus utilise les outils de gestion et de maintenance des images de déploiement (DISM) pour déterminer les rôles installés sur votre ordinateur.
  • Les exclusions appropriées doivent être définies pour les logiciels qui ne sont pas inclus dans le système d’exploitation.
  • Windows Server 2012 R2 n’a pas Microsoft Defender Antivirus en tant que fonctionnalité installable. Lorsque vous intégrez ces serveurs à Defender pour point de terminaison, vous installez Microsoft Defender Antivirus et des exclusions par défaut pour les fichiers du système d’exploitation sont appliquées. Toutefois, les exclusions pour les rôles serveur (comme spécifié ci-dessous) ne s’appliquent pas automatiquement, et vous devez configurer ces exclusions comme il convient. Pour plus d’informations, consultez Intégrer des serveurs Windows au service Microsoft Defender pour point de terminaison.
  • Les exclusions intégrées et les exclusions automatiques de rôle serveur n’apparaissent pas dans les listes d’exclusions standard affichées dans l’application Sécurité Windows.
  • La liste des exclusions intégrées dans Windows est mise à jour à mesure que le paysage des menaces change. Cet article répertorie certaines exclusions intégrées et automatiques, mais pas toutes.

Exclusions automatiques de rôles serveur

Sur Windows Server 2016 ou version ultérieure, vous n’avez pas besoin de définir des exclusions pour les rôles de serveur. Lorsque vous installez un rôle sur Windows Server 2016 ou une version ultérieure, Microsoft Defender Antivirus inclut des exclusions automatiques pour le rôle serveur et tous les fichiers ajoutés lors de l’installation du rôle.

Windows Server 2012 R2 ne prend pas en charge la fonctionnalité d’exclusions automatiques. Vous devez définir des exclusions explicites pour tout rôle serveur et tout logiciel ajouté après l’installation du système d’exploitation.

Importante

  • Les emplacements par défaut peuvent être différents des emplacements décrits dans cet article.
  • Pour définir des exclusions pour les logiciels qui ne sont pas inclus en tant que fonctionnalité Windows ou rôle serveur, reportez-vous à la documentation du fabricant du logiciel.

Les exclusions automatiques sont les suivantes :

Exclusions Hyper-V

Le tableau suivant répertorie les exclusions de type de fichier, les exclusions de dossiers et les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle Hyper-V.

Type d’exclusion Détails
Types de fichiers *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processus %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Fichiers SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Exclusions Active Directory

Cette section répertorie les exclusions qui sont remises automatiquement lorsque vous installez services de domaine Active Directory (AD DS).

Fichiers de base de données NTDS

Les fichiers de base de données sont spécifiés dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Fichiers journaux des transactions AD DS

Les fichiers journaux des transactions sont spécifiés dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Dossier de travail NTDS

Ce dossier est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Exclusions de serveur DHCP

Cette section répertorie les exclusions qui sont remises automatiquement lorsque vous installez le rôle Serveur DHCP. Les emplacements des fichiers du serveur DHCP sont spécifiés par les paramètres DatabasePath, DhcpLogFilePath et BackupDatabasePath dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Exclusions de serveur DNS

Cette section répertorie les exclusions de fichiers et de dossiers, ainsi que les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle Serveur DNS.

Exclusions de fichiers et de dossiers pour le rôle serveur DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Exclusions de processus pour le rôle serveur DNS

  • %systemroot%\System32\dns.exe

Exclusions des services de fichiers et de stockage

Cette section répertorie les exclusions de fichiers et de dossiers qui sont remises automatiquement lorsque vous installez le rôle Services de fichiers et de stockage. Les exclusions répertoriées ci-dessous n’incluent pas d’exclusions pour le rôle de clustering.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Cette section répertorie les exclusions de type de fichier, les exclusions de dossier et les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle Serveur d’impression.

Exclusions de type de fichier

  • *.shd
  • *.spl

Exclusions de dossiers

Ce dossier est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Exclusions de processus pour le rôle Serveur d’impression

  • spoolsv.exe

Exclusions de serveur web

Cette section répertorie les exclusions de dossiers et les exclusions de processus qui sont remises automatiquement lorsque vous installez le rôle serveur web.

Exclusions de dossiers

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Exclusions de processus pour le rôle serveur web

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Désactivation de l’analyse des fichiers dans le dossier Sysvol\Sysvol ou le dossier SYSVOL_DFSR\Sysvol

L’emplacement actuel du Sysvol\Sysvol dossier ou SYSVOL_DFSR\Sysvol et de tous les sous-dossiers correspond à la cible d’analyse du système de fichiers de la racine définie par le réplica. Les Sysvol\Sysvol dossiers et SYSVOL_DFSR\Sysvol utilisent les emplacements suivants par défaut :

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Le chemin du actuellement actif SYSVOL est référencé par le partage NETLOGON et peut être déterminé par le nom de la valeur SysVol dans la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Excluez les fichiers suivants de ce dossier et de tous ses sous-dossiers :

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

exclusions Windows Server Update Services

Cette section répertorie les exclusions de dossiers qui sont remises automatiquement lorsque vous installez le rôle Windows Server Update Services (WSUS). Le dossier WSUS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Exclusions intégrées

Étant donné que Microsoft Defender Antivirus est intégré à Windows, il ne nécessite pas d’exclusions pour les fichiers du système d’exploitation sur n’importe quelle version de Windows.

Les exclusions intégrées sont les suivantes :

La liste des exclusions intégrées dans Windows est mise à jour à mesure que le paysage des menaces change.

Fichiers « temp.edb » Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

fichiers Windows Update ou fichiers de mise à jour automatique

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Sécurité Windows fichiers

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

stratégie de groupe fichiers

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

Fichiers WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Exclusions du service de réplication de fichiers (FRS)

  • Fichiers dans le dossier de travail du service de réplication de fichiers (FRS). Le dossier de travail FRS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Fichiers journaux de la base de données FRS. Le dossier du fichier journal de la base de données FRS est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Dossier intermédiaire FRS. Le dossier intermédiaire est spécifié dans la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Dossier de préinstallation FRS. Ce dossier est spécifié par le dossier Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • La base de données et les dossiers de travail de la réplication du système de fichiers distribués (DFSR). Ces dossiers sont spécifiés par la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Remarque

    Pour les emplacements personnalisés, consultez Refuser les exclusions automatiques.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Exclusions de processus pour les fichiers de système d’exploitation intégrés

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Désactivation des exclusions automatiques

Dans Windows Server 2016 et versions ultérieures, les exclusions prédéfinies fournies par les mises à jour security intelligence excluent uniquement les chemins d’accès par défaut pour un rôle ou une fonctionnalité. Si vous avez installé un rôle ou une fonctionnalité dans un chemin personnalisé, ou si vous souhaitez contrôler manuellement l’ensemble des exclusions, veillez à désactiver les exclusions automatiques fournies dans les mises à jour du renseignement de sécurité. Toutefois, gardez à l’esprit que les exclusions fournies automatiquement sont optimisées pour Windows Server 2016 et versions ultérieures. Consultez Points importants sur les exclusions avant de définir vos listes d’exclusions.

Avertissement

La désactivation des exclusions automatiques peut nuire aux performances ou entraîner une altération des données. Les exclusions automatiques de rôle serveur sont optimisées pour Windows Server 2016, Windows Server 2019 et Windows Server 2022.

Étant donné que les exclusions prédéfinies excluent uniquement les chemins d’accès par défaut, si vous déplacez les dossiers NTDS et SYSVOL vers un autre lecteur ou chemin différent du chemin d’accès d’origine, vous devez ajouter des exclusions manuellement. Consultez Configurer la liste des exclusions en fonction du nom de dossier ou de l’extension de fichier.

Vous pouvez désactiver les listes d’exclusion automatique avec stratégie de groupe, les applets de commande PowerShell et WMI.

Utiliser stratégie de groupe pour désactiver la liste des exclusions automatiques sur Windows Server 2016, Windows Server 2019 et Windows Server 2022

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez laConsole de gestion des stratégies de groupe. Cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence composants> Windows Microsoft DefenderExclusions antivirus>.

  4. Double-cliquez sur Désactiver les exclusions automatiques et définissez l’option sur Activé. Puis sélectionnez OK.

Utiliser les applets de commande PowerShell pour désactiver la liste des exclusions automatiques sur Windows Server

Utilisez les applets de commande suivantes :

Set-MpPreference -DisableAutoExclusions $true

Pour en savoir plus, consultez les ressources suivantes :

Utiliser WMI (Windows Management Instruction) pour désactiver la liste des exclusions automatiques sur Windows Server

Utilisez la méthode Set de la classe MSFT_MpPreference pour les propriétés suivantes :

DisableAutoExclusions

Pour plus d’informations et les paramètres autorisés, consultez :

Définition d’exclusions personnalisées

Si nécessaire, vous pouvez ajouter ou supprimer des exclusions personnalisées. Pour ce faire, consultez les articles suivants :

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.