שגיאות נפוצות להימנעות בעת הגדרת אי-הכללות

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• האנטי-וירוס של Microsoft Defender

פלטפורמות

• Windows
• Macos
• לינוקס

חשוב

הוסף פריטים שאינם נכללים בזהירות. אי הכללות עבור Microsoft Defender אנטי-וירוס מפחיתות את רמת ההגנה עבור מכשירים.

באפשרותך להגדיר רשימת אי-הכללה עבור פריטים שאינך מעוניין שאנטי Microsoft Defender אנטי-וירוס לסרוק. עם זאת, פריטים שלא נכללו עשויים להכיל איומים שהו להפוך את המכשיר שלך לפגיע. מאמר זה מתאר כמה טעויות נפוצות שעליך להימנע שבהם בעת הגדרת אי-הכללות.

עצה

לפני הגדרת רשימות אי-ההכללה שלך, ראה נקודות חשובות אודות אי-הכללות ועיין במידע המפורט בסעיף אי-הכללה עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס.

לא כולל פריטים מהימנים מסוימים

קבצים, סוגי קבצים, תיקיות או תהליכים מסוימים אינם אמורים להיכלל בסריקה למרות שאתה נותן אמון שהם אינם זדוניים. אל תגדיר אי-הכללות עבור מיקומי התיקיות, סיומות הקבצים והתהליכים המפורטים בסעיפים הבאים:

• מיקומי תיקיות
• סיומות קבצים
• תהליכים

מיקומי תיקיות

חשוב

תיקיות מסוימות אינן אמורות להיכלל הסריקות משום שהן יכולות בסופו של דבר להיות תיקיות שבהן קבצים זדוניים יכולים להישוחרר.

באופן כללי, אל תגדיר אי-הכללות עבור אף אחד ממיקומים התיקיות הבאים:

• %systemdrive%
• C:, C:\, או C:\*
• %ProgramFiles%\Java או C:\Program Files\Java
• %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\, או C:\Program Files (x86)\Contoso\
• C:\Temp, C:\Temp\, או C:\Temp\*
• C:\Users\ או C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ או C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. שים לב לחריגות החשובות הבאות עבור SharePoint:C:\Users\ServiceAccount\AppData\Local\TempC:\Users\Default\AppData\Local\Temp אל תכלול או בעת שימוש בהגנת אנטי-וירוס ברמת הקובץ ב- SharePoint.
• %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\, או C:\Windows\Prefetch\*
• %Windir%\System32\Spool או C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\, או C:\Windows\Temp\*

פלטפורמות Linux ו- macOS

באופן כללי, אל תגדיר אי-הכללות עבור מיקומי התיקיות הבאים:

• /
• /bin או /sbin
• /usr/lib

סיומות קבצים

חשוב

סיומות קבצים מסוימות אינן אמורות להיכלל מאחר שהן יכולות להיות סוגי קבצים שנמצאים בשימוש במתקפה.

באופן כללי, אל תגדיר אי-הכללות עבור סיומות הקבצים הבאות:

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko או .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

תהליכים

חשוב

תהליכים מסוימים אינם אמורים להיכלל מאחר שהם משמשים במהלך תקיפות.

באופן כללי, אל תגדיר אי-הכללות עבור התהליכים הבאים:

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

הערה

באפשרותך לבחור לא לכלול סוגי קבצים, .gifכגון , .jpg, .jpeg, .png או אם הסביבה שלך כוללת תוכנה מודרנית ומעודכנת עם מדיניות עדכון קפדנית לטיפול בפגיעות.

פלטפורמות Linux ו- macOS

באופן כללי, אל תגדיר אי-הכללות עבור התהליכים הבאים:

• bash
• java
• python ו- python3
• sh
• zsh

שימוש בשם הקובץ ברשימת אי-ההכללה

לתוכנות זדוניות עשוי להיות שם זהה לזה של קובץ שאתה נותן בו אמון וברצונך לא לכלול בסריקה. לכן, כדי להימנע מהכללת תוכנות זדוניות פוטנציאליות בסריקה, השתמש בנתיב מלא אל הקובץ שברצונך לא לכלול במקום להשתמש בשם הקובץ בלבד. לדוגמה, אם ברצונך לא לכלול Filename.exe בסריקה, השתמש בנתיב המלא לקובץ, כגון C:\program files\contoso\Filename.exe.

שימוש ברשימת אי-הכללה אחת עבור עומסי עבודה מרובים של שרת

אל תשתמש ברשימת אי-כלילה אחת כדי להגדיר אי-הכללה עבור עומסי עבודה מרובים בשרת. פצל את הפריטים שאינם נכללים עבור עומסי עבודה שונים של יישומים או שירות לרשימות אי-הכללה מרובות. לדוגמה, רשימת אי-ההכללה עבור עומס העבודה של IIS Server חייבת להיות שונה מרשימת אי-ההכללה עבור עומס SQL Server העבודה שלך.

שימוש במתני סביבה שגויים כתווים כלליים ברשימות אי-הכללה של שם קובץ ותיקיה או סיומת

Microsoft Defender האנטי-וירוס פועל בהקשר המערכת באמצעות חשבון LocalSystem, כלומר הוא מקבל מידע ממשתנה הסביבה של המערכת, ולא ממשתנה סביבת המשתמש. השימוש במשתנה סביבה כתו כללי ברשימות אי-הכללה מוגבל למשתנה מערכת ולאלה החלים על תהליכים הפועלים כחשבון NT AUTHORITY\SYSTEM. לכן, אל תשתמש במשתנה סביבה של משתמש כתווים כלליים בעת הוספת Microsoft Defender אנטי-וירוס ופריטים שאינם נכללים בתהליך. עיין בטבלה תחת משתני סביבה של מערכת לקבלת רשימה מלאה של משתני סביבת המערכת.

ראה שימוש בתווים כלליים בשם הקובץ ובנתיב התיקיה או ברשימות אי-הכללה של סיומת לקבלת מידע אודות אופן השימוש בתווים כלליים ברשימות אי-הכללה.

למידע נוסף

• פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים
• קביעת תצורה של אי-הכללות מותאמות אישית עבור Microsoft Defender אנטי-וירוס
• קביעת תצורה ואימתה של אי-הכללות עבור Microsoft Defender עבור נקודת קצה ב- Linux
• קביעת תצורה ואימתה של אי-הכללות עבור Microsoft Defender עבור נקודת קצה ב- macOS

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.