שגיאות נפוצות להימנעות בעת הגדרת אי-הכללות

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• האנטי-וירוס של Microsoft Defender

פלטפורמות

• Windows
• macOS
• לינוקס (Linux)

חשוב

הוסף פריטים שאינם נכללים בזהירות. פריטים שאינם נכללים בסריקה של האנטי-וירוס של Microsoft Defender מפחיתים את רמת ההגנה עבור מכשירים.

באפשרותך להגדיר רשימת אי-הכללה עבור פריטים שאינך מעוניין שאנטי-וירוס של Microsoft Defender יסרוק. עם זאת, פריטים שלא נכללו עשויים להכיל איומים שהו להפוך את המכשיר שלך לפגיע. מאמר זה מתאר כמה טעויות נפוצות שעליך להימנע שבהם בעת הגדרת אי-הכללות.

עצה

לפני הגדרת רשימות אי-ההכללה שלך, ראה נקודות חשובות לגבי אי הכללות ועיין במידע המפורט בפריטים שאינם נכללים ב- Microsoft Defender for Endpoint ובאנטי-וירוס של Microsoft Defender.

לא כולל פריטים מהימנים מסוימים

קבצים, סוגי קבצים, תיקיות או תהליכים מסוימים אינם אמורים להיכלל בסריקה למרות שאתה נותן אמון שהם אינם זדוניים. אל תגדיר אי-הכללות עבור מיקומי התיקיות, סיומות הקבצים והתהליכים המפורטים בסעיפים הבאים:

• מיקומי תיקיות
• סיומות קבצים
• תהליכים

מיקומי תיקיות

חשוב

תיקיות מסוימות אינן אמורות להיכלל הסריקות משום שהן יכולות בסופו של דבר להיות תיקיות שבהן קבצים זדוניים יכולים להישוחרר.

באופן כללי, אל תגדיר אי-הכללות עבור אף אחד ממיקומים התיקיות הבאים:

• %systemdrive%
• C:, C:\, או C:\*
• %ProgramFiles%\Java או C:\Program Files\Java
• %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\, או C:\Program Files (x86)\Contoso\
• C:\Temp, C:\Temp\, או C:\Temp\*
• C:\Users\ או C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ או C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. שים לב לחריגות החשובות הבאות עבור SharePoint:C:\Users\ServiceAccount\AppData\Local\TempC:\Users\Default\AppData\Local\Temp אל תכלול או בעת שימוש בהגנת אנטי-וירוס ברמת הקובץ ב- SharePoint.
• %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\, או C:\Windows\Prefetch\*
• %Windir%\System32\Spool או C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\, או C:\Windows\Temp\*

פלטפורמות Linux ו- macOS

באופן כללי, אל תגדיר אי-הכללות עבור מיקומי התיקיות הבאים:

• /
• /bin או /sbin
• /usr/lib

סיומות קבצים

חשוב

סיומות קבצים מסוימות אינן אמורות להיכלל מאחר שהן יכולות להיות סוגי קבצים שנמצאים בשימוש במתקפה.

באופן כללי, אל תגדיר אי-הכללות עבור סיומות הקבצים הבאות:

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko או .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

תהליכים

חשוב

תהליכים מסוימים אינם אמורים להיכלל מאחר שהם משמשים במהלך תקיפות.

באופן כללי, אל תגדיר אי-הכללות עבור התהליכים הבאים:

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

הערה

באפשרותך לבחור לא לכלול סוגי קבצים, .gifכגון , .jpg, .jpeg, .png או אם הסביבה שלך כוללת תוכנה מודרנית ומעודכנת עם מדיניות עדכון קפדנית לטיפול בפגיעות.

פלטפורמות Linux ו- macOS

באופן כללי, אל תגדיר אי-הכללות עבור התהליכים הבאים:

• bash
• java
• python ו python3
• sh
• zsh

שימוש בשם הקובץ ברשימת אי-ההכללה

לתוכנות זדוניות עשוי להיות שם זהה לזה של קובץ שאתה נותן בו אמון וברצונך לא לכלול בסריקה. לכן, כדי להימנע מהכללת תוכנות זדוניות פוטנציאליות בסריקה, השתמש בנתיב מלא אל הקובץ שברצונך לא לכלול במקום להשתמש בשם הקובץ בלבד. לדוגמה, אם ברצונך לא לכלול Filename.exe בסריקה, השתמש בנתיב המלא לקובץ, כגון C:\program files\contoso\Filename.exe.

שימוש ברשימת אי-הכללה אחת עבור עומסי עבודה מרובים של שרת

אל תשתמש ברשימת אי-כלילה אחת כדי להגדיר אי-הכללה עבור עומסי עבודה מרובים בשרת. פצל את הפריטים שאינם נכללים עבור עומסי עבודה שונים של יישומים או שירות לרשימות אי-הכללה מרובות. לדוגמה, רשימת אי-ההכללה עבור עומס העבודה של IIS Server חייבת להיות שונה מרשימת אי-ההכללה עבור עומס העבודה של SQL Server.

שימוש במתני סביבה שגויים כתווים כלליים ברשימות אי-הכללה של שם קובץ ותיקיה או סיומת

שירות האנטי-וירוס של Microsoft Defender פועל בהקשר המערכת באמצעות חשבון LocalSystem, כלומר הוא מקבל מידע ממשתנה סביבת המערכת, ולא ממשתנה סביבת המשתמש. השימוש במשתנה סביבה כתו כללי ברשימות אי-הכללה מוגבל למשתנה מערכת ולאלה החלים על תהליכים הפועלים כחשבון NT AUTHORITY\SYSTEM. לכן, אל תשתמש במשתנה סביבת משתמש כתווים כלליים בעת הוספת תיקיות אנטי-וירוס של Microsoft Defender ופריטים שאינם נכללים בתהליך. עיין בטבלה תחת משתני סביבה של מערכת לקבלת רשימה מלאה של משתני סביבת המערכת.

ראה שימוש בתווים כלליים בשם הקובץ ובנתיב התיקיה או ברשימות אי-הכללה של סיומת לקבלת מידע אודות אופן השימוש בתווים כלליים ברשימות אי-הכללה.

למידע נוסף

• פריטים שאינם נכללים ב- Microsoft Defender עבור נקודת קצה והאנטי-וירוס של Microsoft Defender
• קביעת תצורה של אי-הכללות מותאמות אישית עבור האנטי-וירוס של Microsoft Defender
• קביעת תצורה ואימתה של פריטים שאינם נכללים ב- Microsoft Defender עבור נקודת קצה ב- Linux
• קביעת תצורה ואימתה של פריטים שאינם נכללים ב- Microsoft Defender for Endpoint ב- macOS

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.