Microsoft Defender אנטי-וירוס לא נכללים ב- Windows Server

  • מאמר

חל על:

פלטפורמות

  • Windows

מאמר זה מתאר סוגי אי-הכללות שאין צורך להגדיר עבור אנטי Microsoft Defender וירוס:

לקבלת סקירה מפורטת יותר של פריטים שאינם נכללים, ראה ניהול פריטים שאינם נכללים עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס.

כמה נקודות חשובות לגבי אי הכללות ב- Windows Server

  • אי-הכללות מותאמות אישית מקבלות עדיפות על-פני אי-הכללות אוטומטיות.
  • אי הכללות אוטומטיות חלות רק על סריקת הגנה בזמן אמת (RTP ).
  • אי הכללות אוטומטיות אינן מכבדות במהלך סריקה מהירה, סריקה מלאה וסריקה מותאמת אישית.
  • אי-הכללות מותאמות אישית וכפילויות אינן מתנגשות עם אי-הכללות אוטומטיות.
  • Microsoft Defender-וירוס משתמש בכלים Deployment Image Servicing and Management (DISM) כדי לקבוע אילו תפקידים מותקנים במחשב שלך.
  • יש להגדיר אי-הכללות מתאימות עבור תוכנה שאינה כלולה במערכת ההפעלה.
  • Windows Server 2012 R2 אינו כולל Microsoft Defender אנטי-וירוס כתכונה הניתנת להתקנה. כאשר תקלוט שרתים אלה ב- Defender for Endpoint, תתקין את תוכנת האנטי Microsoft Defender אנטי-וירוס, ופריטים שאינם נכללים כברירת מחדל עבור קבצי מערכת ההפעלה יוחלו. עם זאת, פריטים שאינם נכללים בתפקידי שרת (כפי שצוין להלן) אינם חלים באופן אוטומטי, ועלך לקבוע תצורה של אי-הכללות אלה בהתאם לצורך. לקבלת מידע נוסף, ראה צירוף שרתי Windows לשירות Microsoft Defender עבור נקודת קצה שלך.
  • אי הכללות מוכללות ופריטים שאינם נכללים בתפקידי שרת אוטומטיים אינם מופיעים ברשימות ההכללה הרגילות המוצגות ביישום אבטחת Windows.
  • רשימת אי-ההכללות המוכללות ב- Windows מעודכנת ככל שהאיום משתנה לרוחב. מאמר זה מפרט חלק מהפריטים שאינם נכללים בפריטים המוכללים וה אוטומטיים, אך לא את כולם.

אי-הכללות אוטומטיות של תפקיד שרת

ב- Windows Server 2016 ואילך, אין צורך להגדיר פריטים שאינם נכללים עבור תפקידי שרת. בעת התקנת תפקיד ב- Windows Server 2016 ואילך, האנטי-וירוס של Microsoft Defender כולל אי-הכללות אוטומטיות עבור תפקיד השרת וכל הקבצים שנוספים בעת התקנת התפקיד.

Windows Server 2012 R2 אינו תומך בתכונת אי-ההכללה האוטומטית. יהיה עליך להגדיר אי-הכללות מפורשות עבור כל תפקיד שרת וכל תוכנה המתווספת לאחר התקנת מערכת ההפעלה.

חשוב

  • מיקומי ברירת המחדל עשויים להיות שונים מהמיקומים המתוארים במאמר זה.
  • כדי להגדיר פריטים שאינם נכללים בתוכנה שאינה כלולה כתפקיד שרת או תכונה של Windows, עיין בתיעוד של יצרן התוכנה.

אי הכללות אוטומטיות כוללות:

פריטים שאינם נכללים ב- Hyper-V

הטבלה הבאה מפרטת את הפריטים שאינם נכללים בסוג הקובץ, פריטים שאינם נכללים בתיקיה ופריטים שאינם נכללים בתהליך המועברים באופן אוטומטי בעת התקנת התפקיד Hyper-V.

סוג אי הכללה פרטים
סוגי קבצים *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
תיקיות %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
תהליכים %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

קבצי SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

פריטים שאינם נכללים ב- Active Directory

סעיף זה מפרט את הפריטים שאינם נכללים הנמסרים באופן אוטומטי בעת התקנת Active Directory Domain Services (AD DS).

קבצי מסד נתונים של NTDS

קבצי מסד הנתונים מצוינים במפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

קבצי יומן הטרנזקציות של AD DS

קבצי יומן הרישום של הטרנזקציות מצוינים במפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

תיקיית העבודה של NTDS

תיקיה זו צוינה במפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

אי הכללות של שרת DHCP

סעיף זה מפרט את הפריטים שאינם נכללים הנמסרים באופן אוטומטי בעת התקנת התפקיד DHCP Server. מיקומי הקבצים של שרת DHCP מצוינים על-ידי הפרמטרים DatabasePath, DhcpLogFilePath ו- BackupDatabasePath במפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

פריטים שאינם נכללים ב- DNS Server

סעיף זה מפרט את הפריטים שאינם נכללים בקובץ ובתיקיה ואת הפריטים שאינם נכללים בתהליך הנמסרים באופן אוטומטי בעת התקנת התפקיד DNS Server.

פריטים שאינם נכללים בקובץ ובתיקיה עבור התפקיד DNS Server

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

אי-הכללות בתהליך עבור התפקיד DNS Server

  • %systemroot%\System32\dns.exe

פריטים שאינם נכללים ב'שירותי קבצים ואחסון'

סעיף זה מפרט את הפריטים שאינם נכללים בקובץ ובתיקיה הנמסרים באופן אוטומטי בעת התקנת התפקיד 'שירותי קבצים ואחסון'. אי-ההכללות המפורטות להלן אינן כוללות אי-הכללות עבור התפקיד 'קיבוץ באשכולות'.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

מקטע זה מפרט את הפריטים שאינם נכללים בסוג הקובץ, פריטים שאינם נכללים בתיקיה ואת הפריטים שאינם נכללים בתהליך הנמסרים באופן אוטומטי בעת התקנת התפקיד Print Server.

פריטים שאינם נכללים בסוג קובץ

  • *.shd
  • *.spl

פריטים שאינם נכללים בתיקיה

תיקיה זו צוינה במפתח הרישום HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

אי-הכללות בתהליך עבור התפקיד 'שרת הדפסה'

  • spoolsv.exe

אי-הכללות של שרת אינטרנט

מקטע זה מפרט את הפריטים שאינם נכללים בתיקיה ואת הפריטים שאינם נכללים בתהליך הנמסרים באופן אוטומטי בעת התקנת תפקיד שרת האינטרנט.

פריטים שאינם נכללים בתיקיה

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

אי-הכללות בתהליך עבור התפקיד 'שרת אינטרנט'

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

ביטול סריקה של קבצים בתיקיה Sysvol\Sysvol או SYSVOL_DFSR\Sysvol

המיקום הנוכחי של התיקיה או Sysvol\Sysvol של SYSVOL_DFSR\Sysvol כל תיקיות המשנה הוא יעד ניתוח מבנה הטקסט של מערכת הקבצים של בסיס קבוצת העותקים המשוכפלים. Sysvol\Sysvol התיקיות וSYSVOL_DFSR\Sysvol- משתמשות במיקומים הבאים כברירת מחדל:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

ההפניה אל SYSVOL הנתיב לפעיל כעת מתבצעת על-ידי השיתוף של NETLOGON ובאפשרותך לקבוע אותו לפי שם הערך SysVol במפתח המשנה הבא: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

אל תכלול את הקבצים הבאים בתיקיה זו ובתיקיות המשנה שלה:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services הכללות

מקטע זה מפרט את הפריטים שאינם נכללים בתיקיה הנמסרים באופן אוטומטי בעת התקנת התפקיד Windows Server Update Services (WSUS). תיקיית WSUS צוינה במפתח הרישום HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

אי-הכללות מוכללות

מאחר Microsoft Defender האנטי-וירוס מוכלל ב- Windows, הוא אינו דורש אי-הכללה עבור קבצי מערכת ההפעלה בשולחן העבודה של Windows.

אי-הכללות מוכללות כוללות:

רשימת אי-ההכללות המוכללות ב- Windows מעודכנת ככל שהאיום משתנה לרוחב.

קבצי "temp.edb" של Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update קבצים או קבצי עדכון אוטומטי

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

אבטחת Windows קבצים

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

מדיניות קבוצתית קבצים

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

קבצי WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

אי-הכללות של שירות שכפול הקבצים (FRS)

  • קבצים בתיקיה עבודה של שירות שכפול הקבצים (FRS). תיקיית העבודה של FRS צוינה במפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • קבצי יומן רישום של מסד נתונים של FRS. תיקיית קובץ יומן הרישום של מסד הנתונים של FRS צוינה במפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • תיקיית אחסון זמני של FRS. תיקיית האחסון האחסון האחסון ה זמני מצוינת במפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • התיקיה קדם-התקנה של FRS. תיקיה זו צוינה על-ידי התיקיה Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • מסד הנתונים של שכפול מערכת הקבצים המבוזרת (DFSR) ותיקיות העבודה. תיקיות אלה מצוינות על-ידי מפתח הרישום HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    הערה

    עבור מיקומים מותאמים אישית, ראה ביטול הצטרפות להכללות אוטומטיות.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

אי הכללות בתהליך עבור קבצים מוכללים של מערכת ההפעלה

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

ביטול הצטרפות להכללות אוטומטיות

ב- Windows Server 2016 ואילך, הפריטים שאינם נכללים מראש שסופקו על-ידי עדכוני בינת אבטחה אינם כוללים רק את נתיבי ברירת המחדל עבור תפקיד או תכונה. אם התקנת תפקיד או תכונה בנתיב מותאם אישית, או אם ברצונך לשלוט באופן ידני בערכת הפריטים שלא ייכללו, הקפד לבטל את הצטרפותך להכללות האוטומטיות הנמסרות לעדכוני בינת אבטחה. עם זאת, זכור כי אי-ההכללה הנמסרת באופן אוטומטי ממוטבת עבור Windows Server 2016 ואילך. ראה נקודות חשובות אודות אי הכללות לפני הגדרת רשימות אי-ההכללה שלך.

אזהרה

ביטול הצטרפות להכללות אוטומטיות עלול להשפיע לרעה על הביצועים, או לגרום נזק לנתונים. פריטים שאינם נכללים בתפקידי שרת אוטומטיים ממוטבים עבור Windows Server 2016, Windows Server 2019 ו- Windows Server 2022.

מאחר שפריטים שאינם מוגדרים מראש אינם כוללים נתיבי ברירת מחדל בלבד, אם אתה מעביר תיקיות NTDS ו- SYSVOL לכונן אחר או לנתיב אחר השונה מהנתיב המקורי, עליך להוסיף פריטים שאינם נכללים באופן ידני. ראה קביעת התצורה של רשימת הפריטים שאינם נכללים בהתבסס על שם התיקיה או סיומת הקובץ.

באפשרותך להפוך את רשימות אי-ההכללה האוטומטיות ללא זמינות באמצעות מדיניות קבוצתית, רכיבי cmdlet של PowerShell ו- WMI.

השתמש מדיניות קבוצתית כדי להפוך את רשימת הפריטים שלא ייכללו באופן אוטומטי ללא זמינה ב- Windows Server 2016, Windows Server 2019 ו- Windows Server 2022

  1. במחשב הניהול מדיניות קבוצתית שלך, פתח את מדיניות קבוצתית הניהול. לחץ באמצעות לחצן העכבר מדיניות קבוצתית על האובייקט שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך.

  2. בתיבת הדו מדיניות קבוצתית ניהול עורךעבור אל תצורת מחשב ולאחר מכן בחר תבניות ניהול.

  3. הרחב את העץ לרכיבי Windows Microsoft Defender>פריטים שאינם>נכללים באנטי-וירוס.

  4. לחץ פעמיים על בטל אי-הכללות אוטומטיות והגדר את האפשרות כזמינה. לאחר מכן בחר אישור.

שימוש ברכיבי cmdlet של PowerShell כדי להפוך את רשימת אי-ההכללות האוטומטית ללא זמינה ב- Windows Server

השתמש ברכיבי ה- cmdlet הבאים:

Set-MpPreference -DisableAutoExclusions $true

לקבלת מידע נוסף, עיין במשאבים הבאים:

השתמש בהדרכה לניהול Windows (WMI) כדי להפוך את רשימת הפריטים שלא ייכללו באופן אוטומטי ב- Windows Server

השתמש בפעולת השירות Set של MSFT_MpPreference המחלקה עבור המאפיינים הבאים:

DisableAutoExclusions

לקבלת מידע נוסף ופרמטרים מותרים, ראה:

הגדרת אי-הכללות מותאמות אישית

במידת הצורך, באפשרותך להוסיף או להסיר אי-הכללות מותאמות אישית. לשם כך, עיין במאמרים הבאים:

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.