Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Végponthoz készült Microsoft Defender 1. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
- macOS
- Linux
Fontos
Körültekintően vegye fel a kizárásokat. A Microsoft Defender víruskereső vizsgálatainak kizárásai csökkentik az eszközök védelmét.
Definiálhat kizárási listát azokhoz az elemekhez, amelyeket nem szeretne Microsoft Defender víruskeresőben vizsgálni. A kizárt elemek azonban olyan fenyegetéseket tartalmazhatnak, amelyek sebezhetővé teszik az eszközt. Ez a cikk néhány gyakori hibát ismertet, amelyeket érdemes elkerülni a kizárások meghatározásakor.
Tipp
A kizárási listák meghatározása előtt tekintse meg a Fontos szempontok a kizárásokkal kapcsolatban című témakört, és tekintse át a Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai című témakör részletes információit.
Bizonyos megbízható elemek kizárása
Bizonyos fájlokat, fájltípusokat, mappákat vagy folyamatokat nem szabad kizárni a vizsgálatból, annak ellenére, hogy megbízik abban, hogy nem rosszindulatúak. Ne definiáljon kizárásokat a következő szakaszokban felsorolt mappahelyekhez, fájlkiterjesztésekhez és folyamatokhoz:
Mappahelyek
Fontos
Bizonyos mappákat nem szabad kizárni a vizsgálatokból, mert végül olyan mappák lehetnek, amelyekben kártékony fájlok kerülhetnek el.
Általában ne definiáljon kizárásokat a következő mappahelyek egyikéhez sem:
%systemdrive%
C:
,C:\
vagyC:\*
%ProgramFiles%\Java
VagyC:\Program Files\Java
%ProgramFiles%\Contoso\
,C:\Program Files\Contoso\
,%ProgramFiles(x86)%\Contoso\
vagyC:\Program Files (x86)\Contoso\
C:\Temp
,C:\Temp\
vagyC:\Temp\*
C:\Users\
VagyC:\Users\*
C:\Users\<UserProfileName>\AppData\Local\Temp\
vagyC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
. A SharePoint esetében vegye figyelembe a következő fontos kivételeket: Ne zárja kiC:\Users\ServiceAccount\AppData\Local\Temp
vagyC:\Users\Default\AppData\Local\Temp
használja a fájlszintű víruskereső-védelmet a SharePointban.%Windir%\Prefetch
,C:\Windows\Prefetch
,C:\Windows\Prefetch\
vagyC:\Windows\Prefetch\*
%Windir%\System32\Spool
VagyC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
%Windir%\Temp
,C:\Windows\Temp
,C:\Windows\Temp\
vagyC:\Windows\Temp\*
Linux és macOS platformok
Általában ne definiáljon kizárásokat a következő mappahelyekhez:
/
/bin
Vagy/sbin
/usr/lib
Fájlkiterjesztések
Fontos
Bizonyos fájlkiterjesztéseket nem szabad kizárni, mert ezek lehetnek a támadás során használt fájltípusok.
Általában ne definiáljon kizárásokat a következő fájlkiterjesztésekhez:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
.ko
Vagy.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
Folyamatok
Fontos
Bizonyos folyamatokat nem szabad kizárni, mert a támadások során használják őket.
Általában ne definiáljon kizárásokat a következő folyamatokhoz:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
Megjegyzés:
Dönthet úgy, hogy kizárja a fájltípusokat( például .gif
, .jpg
, , .jpeg
), vagy .png
ha a környezete modern, naprakész szoftverrel rendelkezik, és szigorú frissítési szabályzattal rendelkezik a biztonsági rések kezelésére.
Linux és macOS platformok
Általában ne definiáljon kizárásokat a következő folyamatokhoz:
bash
java
python
Éspython3
sh
zsh
Csak a fájlnév használata a kizárási listában
Előfordulhat, hogy a kártevők neve megegyezik egy megbízható és a vizsgálatból kizárni kívánt fájl nevével. Ezért ha nem szeretné kizárni a potenciális kártevőket a vizsgálatból, használja a kizárni kívánt fájl teljes elérési útját ahelyett, hogy csak a fájlnevet használna. Ha például ki szeretné zárni Filename.exe
a vizsgálatból, használja a fájl teljes elérési útját, például C:\program files\contoso\Filename.exe
: .
Egyetlen kizárási lista használata több kiszolgálói számítási feladathoz
Ne használjon egyetlen kizárási listát több kiszolgálói számítási feladat kizárásainak meghatározásához. Ossza fel a különböző alkalmazás- vagy szolgáltatásprofilok kizárásait több kizárási listára. Az IIS-kiszolgáló számítási feladatainak kizárási listájának például különböznie kell a SQL Server számítási feladat kizárási listájától.
Helytelen környezeti változók használata helyettesítő karakterként a fájlnévben és a mappa elérési útjában vagy a bővítménykizárási listákban
Microsoft Defender víruskereső szolgáltatás rendszerkörnyezetben fut a LocalSystem fiók használatával, ami azt jelenti, hogy a rendszer környezeti változójából, nem pedig a felhasználói környezeti változóból kap információt. A környezeti változók helyettesítő karakterként való használata a kizárási listákban a rendszerváltozókra és az NT AUTHORITY\SYSTEM fiókként futó folyamatokra korlátozódik. Ezért ne használjon felhasználói környezeti változókat helyettesítő karakterként Microsoft Defender víruskereső mappa hozzáadásakor és a folyamatkivételek során. A rendszerkörnyezeti változók teljes listáját a Rendszerkörnyezeti változók területen található táblázatban találja.
A helyettesítő karakterek kizárási listákban való használatáról további információt a Helyettesítő karakterek használata a fájlnévben és a mappa elérési útján vagy a bővítménykizárási listákban című témakörben talál.
Lásd még
- A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
- Egyéni kizárások konfigurálása Microsoft Defender víruskeresőhöz
- Kizárások konfigurálása és érvényesítése a Linuxon futó Végponthoz készült Microsoft Defender esetében
- Kizárások konfigurálása és érvényesítése a macOS-en Végponthoz készült Microsoft Defender esetén
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: