Megosztás a következőn keresztül:

Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows
  • macOS
  • Linux

Fontos

Körültekintően vegye fel a kizárásokat. A Microsoft Defender víruskereső vizsgálatainak kizárásai csökkentik az eszközök védelmi szintjét.

Definiálhat kizárási listát azokhoz az elemekhez, amelyeket nem szeretne ellenőrizni a Microsoft Defender víruskeresőben. A kizárt elemek azonban olyan fenyegetéseket tartalmazhatnak, amelyek sebezhetővé teszik az eszközt. Ez a cikk néhány gyakori hibát ismertet, amelyeket érdemes elkerülni a kizárások meghatározásakor.

Tipp

A kizárási listák meghatározása előtt tekintse meg a Fontos szempontok a kizárásokkal kapcsolatban című témakört, és tekintse át a részletes információkat a Végponthoz készült Microsoft Defender és a Microsoft Defender víruskereső kizárásai című témakörben.

Bizonyos megbízható elemek kizárása

Bizonyos fájlokat, fájltípusokat, mappákat vagy folyamatokat nem szabad kizárni a vizsgálatból, annak ellenére, hogy megbízik abban, hogy nem rosszindulatúak. Ne definiáljon kizárásokat a következő szakaszokban felsorolt mappahelyekhez, fájlkiterjesztésekhez és folyamatokhoz:

Mappahelyek

Fontos

Bizonyos mappákat nem szabad kizárni a vizsgálatokból, mert végül olyan mappák lehetnek, amelyekben kártékony fájlok kerülhetnek el.

Általában ne definiáljon kizárásokat a következő mappahelyek egyikéhez sem:

  • %systemdrive%
  • C:, C:\vagy C:\*
  • %ProgramFiles%\Java vagy C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\vagy C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\vagy C:\Temp\*
  • C:\Users\ vagy C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ vagy C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. A SharePoint esetében vegye figyelembe a következő fontos kivételeket: Ne zárja kiC:\Users\ServiceAccount\AppData\Local\Temp vagy C:\Users\Default\AppData\Local\Temp használja a fájlszintű víruskereső-védelmet a SharePointban.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\vagy C:\Windows\Prefetch\*
  • %Windir%\System32\Spool vagy C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\vagy C:\Windows\Temp\*

Linux és macOS platformok

Általában ne definiáljon kizárásokat a következő mappahelyekhez:

  • /
  • /bin vagy /sbin
  • /usr/lib

Fájlkiterjesztések

Fontos

Bizonyos fájlkiterjesztéseket nem szabad kizárni, mert ezek lehetnek a támadás során használt fájltípusok.

Általában ne definiáljon kizárásokat a következő fájlkiterjesztésekhez:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko vagy .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Folyamatok

Fontos

Bizonyos folyamatokat nem szabad kizárni, mert a támadások során használják őket.

Általában ne definiáljon kizárásokat a következő folyamatokhoz:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Megjegyzés:

Dönthet úgy, hogy kizárja a fájltípusokat( például .gif, .jpg, , .jpeg), vagy .png ha a környezete modern, naprakész szoftverrel rendelkezik, és szigorú frissítési szabályzattal rendelkezik a biztonsági rések kezelésére.

Linux és macOS platformok

Általában ne definiáljon kizárásokat a következő folyamatokhoz:

  • bash
  • java
  • python és python3
  • sh
  • zsh

Csak a fájlnév használata a kizárási listában

Előfordulhat, hogy a kártevők neve megegyezik egy megbízható és a vizsgálatból kizárni kívánt fájl nevével. Ezért ha nem szeretné kizárni a potenciális kártevőket a vizsgálatból, használja a kizárni kívánt fájl teljes elérési útját ahelyett, hogy csak a fájlnevet használna. Ha például ki szeretné zárni Filename.exe a vizsgálatból, használja a fájl teljes elérési útját, például C:\program files\contoso\Filename.exe: .

Egyetlen kizárási lista használata több kiszolgálói számítási feladathoz

Ne használjon egyetlen kizárási listát több kiszolgálói számítási feladat kizárásainak meghatározásához. Ossza fel a különböző alkalmazás- vagy szolgáltatásprofilok kizárásait több kizárási listára. Az IIS-kiszolgáló számítási feladatainak kizárási listájának például különböznie kell az SQL Server számítási feladatainak kizárási listájától.

Helytelen környezeti változók használata helyettesítő karakterként a fájlnévben és a mappa elérési útjában vagy a bővítménykizárási listákban

A Microsoft Defender víruskereső szolgáltatás rendszerkörnyezetben fut a LocalSystem fiók használatával, ami azt jelenti, hogy a rendszer környezeti változójából, nem pedig a felhasználói környezeti változóból kap információt. A környezeti változók helyettesítő karakterként való használata a kizárási listákban a rendszerváltozókra és az NT AUTHORITY\SYSTEM fiókként futó folyamatokra korlátozódik. Ezért ne használjon felhasználói környezeti változókat helyettesítő karakterként a Microsoft Defender víruskereső mappa hozzáadásakor és a folyamatkizárások során. A rendszerkörnyezeti változók teljes listáját a Rendszerkörnyezeti változók területen található táblázatban találja.

A helyettesítő karakterek kizárási listákban való használatáról további információt a Helyettesítő karakterek használata a fájlnévben és a mappa elérési útján vagy a bővítménykizárási listákban című témakörben talál.

Lásd még

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.