Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor

Fontos

Körültekintően vegye fel a kizárásokat. A Microsoft Defender víruskereső kizárásai csökkentik az eszközök védelmét.

Definiálhat kizárásokat azokhoz az elemekhez, amelyeket nem szeretne Microsoft Defender víruskeresőnek ellenőrizni. A kizárt elemek azonban olyan fenyegetéseket tartalmazhatnak, amelyek sebezhetővé teszik az eszközt.

Ne zárja ki a cikkben ismertetett fájlokat, fájltípusokat, mappákat vagy folyamatokat Microsoft Defender víruskereső vizsgálatából, még akkor sem, ha megbízik abban, hogy az elemek nem rosszindulatúak.

Előfeltételek

Tipp

A kizárások létrehozása előtt tekintse meg a következő cikkeket:

• Fontos szempontok a kizárásokról
• A Végponthoz készült Microsoft Defender és a Microsoft Defender víruskereső kizárásai.

Támogatott operációs rendszerek

• A Windows
• macOS
• Linux

Mappák

Ne zárjon ki bizonyos mappákat a vizsgálatokból, mert a támadók ezeket a mappákat használhatják. Általában ne definiáljon kizárásokat a következő mappákhoz:

• Windows:

  • %systemdrive%

  • C:, C:\vagy C:\*

  • %ProgramFiles%\Java Vagy C:\Program Files\Java

  • Például: %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\vagy C:\Program Files (x86)\Contoso\

  • C:\Temp, C:\Temp\vagy C:\Temp\*

  • C:\Users\ Vagy C:\Users\*

  • C:\Users\<UserProfileName>\AppData\Local\Temp\ vagy C:\Users\<UserProfileName>\AppData\LocalLow\Temp\.

    Megjegyzés:

    Hafájlszintű víruskeresőt használ a SharePointban, zárja ki a következő mappákat:

    C:\Users\ServiceAccount\AppData\Local\Temp vagy C:\Users\Default\AppData\Local\Temp.

  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\vagy C:\Windows\Prefetch\*

  • %Windir%\System32\Spool Vagy C:\Windows\System32\Spool

  • C:\Windows\System32\CatRoot2

  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\vagy C:\Windows\Temp\*

• Linux és macOS:

  • /
  • /bin Vagy /sbin
  • /usr/lib

Fájlkiterjesztések

Ne zárjon ki néhány fájlkiterjesztést a vizsgálatokból, mert a támadók ilyen típusú fájlokat használhatnak. Általában ne definiáljon kizárásokat a következő fájlkiterjesztésekhez:

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko Vagy .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

Megjegyzés:

Dönthet úgy, .gifhogy kizárja a fájltípusokat (például , .jpg, .jpegvagy .png), ha a szervezet modern, naprakész szoftvereket használ szigorú frissítési szabályzatokkal a biztonsági rések kezelésére.

Folyamatok

Ne zárjon ki bizonyos folyamatokat a vizsgálatokból, mert a támadók használhatják ezeket a folyamatokat. Általában ne definiáljon kizárásokat a következő folyamatokhoz:

• Windows:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

• Linux és macOS:

  • bash
  • java
  • python És python3
  • sh
  • zsh

Files hely nélkül a kizárásokban

Előfordulhat, hogy egy rosszindulatú fájl neve megegyezik a megbízható fájl nevével. A potenciálisan rosszindulatú fájlok vizsgálatából való kizárásának elkerülése érdekében ne zárja ki csak a fájlt. Ehelyett foglalja bele a teljes elérési utat a fájlba.

Például ne zárja ki Filename.exe a vizsgálatot. Zárja ki a teljes elérési utat és fájlt: C:\Program Files\Contoso\Filename.exe.

Egyetlen kizárási lista több kiszolgálói számítási feladathoz

Ne használjon egyetlen kizárási listát több kiszolgálói számítási feladat kizárásainak meghatározásához. Ehelyett ossza fel a kizárásokat több listára a különböző alkalmazásokhoz vagy szolgáltatásokhoz.

A például egy másik kizárási listát használ az IIS-hez, mint a SQL Server kizárási listája.

Helytelen környezeti változók helyettesítő karakterekként a kizárásokban

Ne használjon felhasználói környezeti változókat helyettesítő karakterként a mappában és a folyamatkizárásokban Microsoft Defender víruskeresőben. Csak a következő típusú környezeti változókat használja helyettesítő karakterként:

• Rendszerkörnyezeti változók.
• Környezeti változók, amelyek az NT AUTHORITY\SYSTEM fiókként futó folyamatokra vonatkoznak.

A Microsoft Defender víruskereső szolgáltatás a rendszerkörnyezetben fut a LocalSystem fiók használatával. A szolgáltatás a rendszer környezeti változóiból, nem pedig a felhasználói környezeti változókból kap információt.

A rendszerkörnyezeti változók teljes listáját lásd: Rendszerkörnyezeti változók.

A helyettesítő karakterek kizárásokban való használatáról további információt a Helyettesítő karakterek használata a fájlnévben és a mappa elérési útján vagy a bővítménykizárási listákban című témakörben talál.

Lásd még

• A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
• Egyéni kizárások konfigurálása Microsoft Defender víruskeresőhöz
• Kizárások konfigurálása és érvényesítése a Linuxon futó Végponthoz készült Microsoft Defender esetében
• Kizárások konfigurálása és érvényesítése a macOS-en Végponthoz készült Microsoft Defender esetén