A Microsoft Defender víruskereső kizárásai Windows Serveren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
- Windows Server
Ez a cikk a Microsoft Defender víruskeresőhöz nem szükséges kizárási típusokat ismerteti:
- Beépített kizárások az operációsrendszer-fájlokhoz a Windows összes verziójában.
- Szerepkörök automatikus kizárása Windows Server 2016 és újabb rendszereken.
A kizárások részletesebb áttekintéséért lásd: A végponthoz készült Microsoft Defender és a Microsoft Defender víruskereső kizárásainak kezelése.
Néhány fontos pont a Windows Serveren történő kizárásokról
- Az egyéni kizárások elsőbbséget élveznek az automatikus kizárásokkal szemben.
- Az automatikus kizárások csak a valós idejű védelem (RTP) vizsgálatára vonatkoznak.
- A gyorsvizsgálat, a teljes vizsgálat és az egyéni vizsgálat során a rendszer nem veszi figyelembe az automatikus kizárásokat.
- Az egyéni és duplikált kizárások nem ütköznek az automatikus kizárásokkal.
- A Microsoft Defender víruskereső a Telepítési lemezképek karbantartása és kezelése (DISM) eszközeit használja annak meghatározására, hogy mely szerepkörök vannak telepítve a számítógépen.
- Az operációs rendszer részét nem képező szoftverek esetében megfelelő kizárásokat kell beállítani.
- A Windows Server 2012 R2 nem rendelkezik a Microsoft Defender víruskereső telepíthető funkcióval. Amikor a végponthoz készült Defenderbe telepíti ezeket a kiszolgálókat, telepíteni fogja a Microsoft Defender víruskeresőt, és az operációsrendszer-fájlokra vonatkozó alapértelmezett kizárásokat alkalmazza. A kiszolgálói szerepkörökre vonatkozó kizárások (az alább megadottak szerint) azonban nem lesznek automatikusan alkalmazva, és ezeket a kizárásokat a megfelelő módon kell konfigurálnia. További információ: Windows-kiszolgálók előkészítése a Végponthoz készült Microsoft Defender szolgáltatásba.
- A beépített és az automatikus kiszolgálói szerepkörkizárások nem jelennek meg a Windows biztonsági alkalmazásban megjelenő szabványos kizárási listákban.
- A Beépített kizárások listája a Windowsban naprakész marad a fenyegetések környezetének változásakor. Ez a cikk felsorolja a beépített és az automatikus kizárások némelyikét, de nem az összeset.
Automatikus kiszolgálói szerepkör kizárásai
Windows Server 2016 vagy újabb rendszeren nem kell kizáró tényezőket meghatároznia a kiszolgálói szerepkörökhöz. Ha Windows Server 2016 vagy újabb rendszeren telepít szerepkört, a Microsoft Defender víruskereső automatikusan kizárja a kiszolgálói szerepkört és a szerepkör telepítésekor hozzáadott fájlokat.
A Windows Server 2012 R2 nem támogatja az automatikus kizárási funkciót. Explicit kizárásokat kell meghatároznia minden kiszolgálói szerepkörhöz és az operációs rendszer telepítése után hozzáadott szoftverekhez.
Fontos
- Az alapértelmezett helyek eltérhetnek a cikkben ismertetett helyekétől.
- A windowsos funkcióként vagy kiszolgálói szerepkörként nem szereplő szoftverek kizárásának beállításához tekintse meg a szoftver gyártójának dokumentációját.
Az automatikus kizárások közé tartoznak a következők:
- Hyper-V-kizárások
- SYSVOL-fájlok
- Active Directory-kizárások
- DHCP-kiszolgáló kizárásai
- DNS-kiszolgáló kizárásai
- Fájl- és tárolási szolgáltatások kizárásai
- Nyomtatókiszolgáló kizárásai
- Webkiszolgáló kizárásai
- A Windows Server Update Services kizárásai
Hyper-V-kizárások
Az alábbi táblázat a Hyper-V szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.
| Kizárás típusa | Sajátosságai |
|---|---|
| Fájltípusok | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
| Mappák | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
| Folyamatok | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
SYSVOL-fájlok
%systemroot%\Sysvol\Domain\*.adm%systemroot%\Sysvol\Domain\*.admx%systemroot%\Sysvol\Domain\*.adml%systemroot%\Sysvol\Domain\Registry.pol%systemroot%\Sysvol\Domain\*.aas%systemroot%\Sysvol\Domain\*.inf%systemroot%\Sysvol\Domain\*Scripts.ini%systemroot%\Sysvol\Domain\*.ins%systemroot%\Sysvol\Domain\Oscfilter.ini
Active Directory-kizárások
Ez a szakasz az Active Directory Domain Services (AD DS) telepítésekor automatikusan megjelenő kizárásokat sorolja fel.
NTDS-adatbázisfájlok
Az adatbázisfájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit%windir%\Ntds\ntds.pat
Az AD DS tranzakciós naplófájljai
A tranzakciós naplófájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log%windir%\Ntds\Res*.log%windir%\Ntds\Edb*.jrs%windir%\Ntds\Ntds*.pat%windir%\Ntds\TEMP.edb
Az NTDS munkamappája
Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb%windir%\Ntds\Edb.chk
Az AD DS-hez és az AD DS-hez kapcsolódó támogatási fájlok folyamatkizárásai
%systemroot%\System32\ntfrs.exe%systemroot%\System32\lsass.exe
DHCP-kiszolgáló kizárásai
Ez a szakasz a DHCP-kiszolgálói szerepkör telepítésekor automatikusan megjelenő kizárásokat sorolja fel. A DHCP-kiszolgáló fájlhelyeit a databasePath, a DhcpLogFilePath és a BackupDatabasePath paraméterek határozzák meg a beállításkulcsban HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb%systemroot%\System32\DHCP\*\*.pat%systemroot%\System32\DHCP\*\*.log%systemroot%\System32\DHCP\*\*.chk%systemroot%\System32\DHCP\*\*.edb
DNS-kiszolgáló kizárásai
Ez a szakasz felsorolja a fájl- és mappakizárásokat, valamint a DNS-kiszolgálói szerepkör telepítésekor automatikusan kézbesített folyamatkizárásokat.
A DNS-kiszolgálói szerepkör fájl- és mappakivételei
%systemroot%\System32\Dns\*\*.log%systemroot%\System32\Dns\*\*.dns%systemroot%\System32\Dns\*\*.scc%systemroot%\System32\Dns\*\BOOT
A DNS-kiszolgálói szerepkör folyamatkivételei
%systemroot%\System32\dns.exe
Fájl- és tárolási szolgáltatások kizárásai
Ez a szakasz felsorolja azokat a fájl- és mappakivételeket, amelyek a Fájl- és tárolási szolgáltatások szerepkör telepítésekor automatikusan érnek el. Az alábbiakban felsorolt kizárások nem tartalmazzák a fürtözési szerepkör kizárásait.
%SystemDrive%\ClusterStorage%clusterserviceaccount%\Local Settings\Temp%SystemDrive%\mscs
Nyomtatókiszolgáló kizárásai
Ez a szakasz a nyomtatókiszolgálói szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.
Fájltípus-kizárások
*.shd*.spl
Mappakizárások
Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
A Nyomtatókiszolgáló szerepkör folyamatkivételei
spoolsv.exe
Webkiszolgáló kizárásai
Ez a szakasz a webkiszolgálói szerepkör telepítésekor automatikusan kézbesített mappakizárásokat és folyamatkizárásokat sorolja fel.
Mappakizárások
%SystemRoot%\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\ASP Compiled Templates%systemDrive%\inetpub\logs%systemDrive%\inetpub\wwwroot
A webkiszolgálói szerepkör folyamatkivételei
%SystemRoot%\system32\inetsrv\w3wp.exe%SystemRoot%\SysWOW64\inetsrv\w3wp.exe%SystemDrive%\PHP5433\php-cgi.exe
A Sysvol\Sysvol mappában vagy a SYSVOL_DFSR\Sysvol mappában lévő fájlok vizsgálatának kikapcsolása
A vagy SYSVOL_DFSR\Sysvol mappa és az összes almappának az aktuális helye Sysvol\Sysvol a replikakészlet gyökerének fájlrendszerbeli újraelemzési célja. A Sysvol\Sysvol és SYSVOL_DFSR\Sysvol a mappa alapértelmezés szerint a következő helyeket használja:
%systemroot%\Sysvol\Domain%systemroot%\Sysvol_DFSR\Domain
Az aktuálisan aktív SYSVOL elérési útra a NETLOGON-megosztás hivatkozik, és a SysVol értékneve határozza meg a következő alkulcsban: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:
*.adm*.admx*.admlRegistry.polRegistry.tmp*.aas*.infScripts.ini*.insOscfilter.ini
A Windows Server Update Services kizárásai
Ez a szakasz a Windows Server Update Services (WSUS) szerepkör telepítésekor automatikusan kézbesített mappakizárásokat sorolja fel. A WSUS mappa meg van adva a beállításkulcsban HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent%systemroot%\WSUS\UpdateServicesDBFiles%systemroot%\SoftwareDistribution\Datastore%systemroot%\SoftwareDistribution\Download
Beépített kizárások
Mivel a Microsoft Defender víruskereső be van építve a Windowsba, nem igényel kivételeket az operációsrendszer-fájlokhoz a Windows bármely verziójában.
A beépített kizárások közé tartoznak a következők:
- Windows "temp.edb" fájlok
- Windows Update-fájlok vagy automatikus frissítési fájlok
- Windows biztonsági fájlok
- Csoportházirendfájlok
- WINS-fájlok
- Fájlreplikációs szolgáltatás (FRS) kizárásai
- Beépített operációsrendszer-fájlok folyamatkivételei
A Beépített kizárások listája a Windowsban naprakész marad a fenyegetések környezetének változásakor.
Windows "temp.edb" fájlok
%windir%\SoftwareDistribution\Datastore\*\tmp.edb%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows Update-fájlok vagy automatikus frissítési fájlok
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%windir%\SoftwareDistribution\Datastore\*\edb.chk%windir%\SoftwareDistribution\Datastore\*\edb\*.log%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows biztonsági fájlok
%windir%\Security\database\*.chk%windir%\Security\database\*.edb%windir%\Security\database\*.jrs%windir%\Security\database\*.log%windir%\Security\database\*.sdb
Csoportházirendfájlok
%allusersprofile%\NTUser.pol%SystemRoot%\System32\GroupPolicy\Machine\registry.pol%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-fájlok
%systemroot%\System32\Wins\*\*.chk%systemroot%\System32\Wins\*\*.log%systemroot%\System32\Wins\*\*.mdb%systemroot%\System32\LogFiles\%systemroot%\SysWow64\LogFiles\
Fájlreplikációs szolgáltatás (FRS) kizárásai
A Fájlreplikációs szolgáltatás (FRS) munkamappájában található fájlok. Az FRS munkamappája a beállításkulcsban van megadva
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory%windir%\Ntfrs\jet\sys\*\edb.chk%windir%\Ntfrs\jet\*\Ntfrs.jdb%windir%\Ntfrs\jet\log\*\*.log
FRS-adatbázis naplófájljai. Az FRS-adatbázis naplófájlmappája a beállításkulcsban van megadva
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory%windir%\Ntfrs\*\Edb\*.log
Az FRS előkészítési mappája. Az előkészítési mappa a beállításkulcsban van megadva
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage%systemroot%\Sysvol\*\Ntfrs_cmp*\
Az FRS előtelepítési mappája. Ezt a mappát a mappa határozza meg
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
Az elosztott fájlrendszer replikációs (DFSR) adatbázisa és munkamappái. Ezeket a mappákat a beállításkulcs határozza meg
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration FileMegjegyzés:
Az egyéni helyekről az Automatikus kizárások letiltása című témakörben olvashat.
%systemdrive%\System Volume Information\DFSR\$db_normal$%systemdrive%\System Volume Information\DFSR\FileIDTable_*%systemdrive%\System Volume Information\DFSR\SimilarityTable_*%systemdrive%\System Volume Information\DFSR\*.XML%systemdrive%\System Volume Information\DFSR\$db_dirty$%systemdrive%\System Volume Information\DFSR\$db_clean$%systemdrive%\System Volume Information\DFSR\$db_lostl$%systemdrive%\System Volume Information\DFSR\Dfsr.db%systemdrive%\System Volume Information\DFSR\*.frx%systemdrive%\System Volume Information\DFSR\*.log%systemdrive%\System Volume Information\DFSR\Fsr*.jrs%systemdrive%\System Volume Information\DFSR\Tmp.edb
Beépített operációsrendszer-fájlok folyamatkivételei
%systemroot%\System32\dfsr.exe%systemroot%\System32\dfsrs.exe
Az automatikus kizárások elutasítása
A Windows Server 2016-os és újabb verzióiban a biztonságiintelligencia-frissítések által biztosított előre definiált kizárások csak a szerepkörök vagy szolgáltatások alapértelmezett elérési útvonalait zárják ki. Ha egyéni elérési úton telepített egy szerepkört vagy szolgáltatást, vagy manuálisan szeretné szabályozni a kizárások készletét, mindenképpen hagyja ki a biztonságiintelligencia-frissítésekben megjelenő automatikus kizárásokat. Ne feledje azonban, hogy az automatikusan kézbesített kizárások a Windows Server 2016-os és újabb verzióira vannak optimalizálva. A kizárási listák definiálása előtt olvassa el a Fontos szempontok a kizárásokról című témakört.
Figyelmeztetés
Az automatikus kizárások letiltása hátrányosan befolyásolhatja a teljesítményt, vagy adatsérülést okozhat. A kiszolgálói szerepkörök automatikus kizárása a Windows Server 2016, a Windows Server 2019 és a Windows Server 2022 rendszerhez van optimalizálva.
Mivel az előre definiált kizárások csak az alapértelmezett elérési utakat zárják ki, ha az NTDS- és SYSVOL-mappákat az eredeti elérési úttól eltérő meghajtóra vagy elérési útra helyezi át, akkor manuálisan kell hozzáadnia a kizárásokat. Lásd : A kizárások listájának konfigurálása mappanév vagy fájlkiterjesztés alapján.
Az automatikus kizárási listákat csoportházirend, PowerShell-parancsmagok és WMI használatával tilthatja le.
Csoportházirend használata az automatikus kizárások listájának letiltásához Windows Server 2016, Windows Server 2019 és Windows Server 2022 rendszeren
A Csoportházirend kezelése számítógépen nyissa meg a Csoportházirend kezelése konzolt. Kattintson a jobb gombbal a konfigurálni kívánt csoportházirend-objektumra, majd válassza a Szerkesztés parancsot.
A Csoportházirend kezelése szerkesztőben lépjen a Számítógép konfigurációja elemre, majd válassza a Felügyeleti sablonok lehetőséget.
Bontsa ki a fát aMicrosoft Defender víruskereső>kizárásai Windows-összetevőkre>.
Kattintson duplán az Automatikus kizárások kikapcsolása elemre, és állítsa a beállítást Engedélyezve értékre. Ezután válassza az OK gombot.
A Windows Server automatikus kizárási listájának letiltása PowerShell-parancsmagokkal
Használja a következő parancsmagokat:
Set-MpPreference -DisableAutoExclusions $true
További információért tekintse meg a következő forrásokat:
- PowerShell-parancsmagok használatával konfigurálhatja és futtathatja a Microsoft Defender víruskeresőt.
- Használja a PowerShellt a Microsoft Defender víruskeresővel.
A Windows Management Instruction (WMI) használata az automatikus kizárások listájának letiltásához a Windows Serveren
Használja a MSFT_MpPreference osztály Set metódusát a következő tulajdonságokhoz:
DisableAutoExclusions
További információkért és az engedélyezett paraméterekért lásd:
Egyéni kizárások meghatározása
Szükség esetén egyéni kizárásokat adhat hozzá vagy távolíthat el. Ehhez tekintse meg a következő cikkeket:
- Egyéni kizárások konfigurálása a Microsoft Defender víruskeresőhöz
- Kizárások konfigurálása és ellenőrzése a fájlnév, a bővítmény és a mappa helye alapján
- Folyamatok által megnyitott fájlok kizárásainak konfigurálása és ellenőrzése
Lásd még
- A Végponthoz készült Microsoft Defender és a Microsoft Defender víruskereső kizárásai
- Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor
- A Microsoft Defender víruskereső vizsgálatainak és szervizelésének eredményeinek testreszabása, kezdeményezése és áttekintése
- Végponthoz készült Microsoft Defender Macen
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.