Microsoft Defender víruskereső kizárásai Windows Serveren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
Ez a cikk azokat a kizárási típusokat ismerteti, amelyeket nem kell definiálnia Microsoft Defender víruskeresőhöz:
- Beépített kizárások az operációsrendszer-fájlokhoz a Windows összes verziójában.
- Automatikus kizárások Windows Server 2016 és újabb szerepkörökhöz.
A kizárások részletesebb áttekintéséért lásd: Kizárások kezelése Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső esetében.
Néhány fontos pont a Windows Serveren történő kizárásokról
- Az egyéni kizárások elsőbbséget élveznek az automatikus kizárásokkal szemben.
- Az automatikus kizárások csak a valós idejű védelem (RTP) vizsgálatára vonatkoznak.
- A gyorsvizsgálat, a teljes vizsgálat és az egyéni vizsgálat során a rendszer nem veszi figyelembe az automatikus kizárásokat.
- Az egyéni és duplikált kizárások nem ütköznek az automatikus kizárásokkal.
- Microsoft Defender víruskereső a Telepítési lemezképek karbantartása és kezelése (DISM) eszközeit használja annak meghatározására, hogy mely szerepkörök vannak telepítve a számítógépen.
- Az operációs rendszer részét nem képező szoftverek esetében megfelelő kizárásokat kell beállítani.
- Windows Server 2012 R2 nem rendelkezik Microsoft Defender víruskereső szolgáltatással. Amikor telepíti ezeket a kiszolgálókat a Végponthoz készült Defenderbe, telepíti Microsoft Defender víruskeresőt, és az operációsrendszer-fájlok alapértelmezett kizárásait alkalmazza. A kiszolgálói szerepkörökre vonatkozó kizárások (az alább megadottak szerint) azonban nem lesznek automatikusan alkalmazva, és ezeket a kizárásokat a megfelelő módon kell konfigurálnia. További információ: Windows-kiszolgálók előkészítése a Végponthoz készült Microsoft Defender szolgáltatásba.
- A beépített és az automatikus kiszolgálói szerepkör-kizárások nem jelennek meg a Windows biztonság alkalmazásban megjelenő szabványos kizárási listákban.
- A Beépített kizárások listája a Windowsban naprakész marad a fenyegetések környezetének változásakor. Ez a cikk felsorolja a beépített és az automatikus kizárások némelyikét, de nem az összeset.
Automatikus kiszolgálói szerepkör kizárásai
Windows Server 2016 vagy újabb verziókban nem kell kizáró tényezőket meghatároznia a kiszolgálói szerepkörökhöz. Ha egy szerepkört Windows Server 2016 vagy újabb verzióra telepít, a Microsoft Defender víruskereső automatikusan kizárja a kiszolgálói szerepkört és a szerepkör telepítésekor hozzáadott fájlokat.
Windows Server 2012 R2 nem támogatja az automatikus kizárási funkciót. Explicit kizárásokat kell meghatároznia minden kiszolgálói szerepkörhöz és az operációs rendszer telepítése után hozzáadott szoftverekhez.
Fontos
- Az alapértelmezett helyek eltérhetnek a cikkben ismertetett helyekétől.
- A windowsos funkcióként vagy kiszolgálói szerepkörként nem szereplő szoftverek kizárásának beállításához tekintse meg a szoftver gyártójának dokumentációját.
Az automatikus kizárások közé tartoznak a következők:
- Hyper-V-kizárások
- SYSVOL-fájlok
- Active Directory-kizárások
- DHCP-kiszolgáló kizárásai
- DNS-kiszolgáló kizárásai
- Fájl- és tárolási szolgáltatások kizárásai
- Nyomtatókiszolgáló kizárásai
- Webkiszolgáló kizárásai
- Windows Server Update Services kizárások
Hyper-V-kizárások
Az alábbi táblázat a Hyper-V szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.
Kizárás típusa | Sajátosságai |
---|---|
Fájltípusok | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Mappák | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Folyamatok | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
SYSVOL-fájlok
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Active Directory-kizárások
Ez a szakasz azokat a kizárásokat sorolja fel, amelyek a Active Directory tartományi szolgáltatások (AD DS) telepítésekor automatikusan érnek el.
NTDS-adatbázisfájlok
Az adatbázisfájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
Az AD DS tranzakciós naplófájljai
A tranzakciós naplófájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
Az NTDS munkamappája
Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
Az AD DS-hez és az AD DS-hez kapcsolódó támogatási fájlok folyamatkizárásai
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
DHCP-kiszolgáló kizárásai
Ez a szakasz a DHCP-kiszolgálói szerepkör telepítésekor automatikusan megjelenő kizárásokat sorolja fel. A DHCP-kiszolgáló fájlhelyeit a databasePath, a DhcpLogFilePath és a BackupDatabasePath paraméterek határozzák meg a beállításkulcsban HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
DNS-kiszolgáló kizárásai
Ez a szakasz felsorolja a fájl- és mappakizárásokat, valamint a DNS-kiszolgálói szerepkör telepítésekor automatikusan kézbesített folyamatkizárásokat.
A DNS-kiszolgálói szerepkör fájl- és mappakivételei
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
A DNS-kiszolgálói szerepkör folyamatkivételei
%systemroot%\System32\dns.exe
Fájl- és tárolási szolgáltatások kizárásai
Ez a szakasz felsorolja azokat a fájl- és mappakivételeket, amelyek a Fájl- és tárolási szolgáltatások szerepkör telepítésekor automatikusan érnek el. Az alábbiakban felsorolt kizárások nem tartalmazzák a fürtözési szerepkör kizárásait.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Nyomtatókiszolgáló kizárásai
Ez a szakasz a nyomtatókiszolgálói szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.
Fájltípus-kizárások
*.shd
*.spl
Mappakizárások
Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
A Nyomtatókiszolgáló szerepkör folyamatkivételei
spoolsv.exe
Webkiszolgáló kizárásai
Ez a szakasz a webkiszolgálói szerepkör telepítésekor automatikusan kézbesített mappakizárásokat és folyamatkizárásokat sorolja fel.
Mappakizárások
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
A webkiszolgálói szerepkör folyamatkivételei
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
A Sysvol\Sysvol mappában vagy a SYSVOL_DFSR\Sysvol mappában lévő fájlok vizsgálatának kikapcsolása
A vagy SYSVOL_DFSR\Sysvol
mappa és az összes almappának az aktuális helye Sysvol\Sysvol
a replikakészlet gyökerének fájlrendszerbeli újraelemzési célja. A Sysvol\Sysvol
és SYSVOL_DFSR\Sysvol
a mappa alapértelmezés szerint a következő helyeket használja:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
Az aktuálisan aktív SYSVOL
elérési útra a NETLOGON-megosztás hivatkozik, és a SysVol értékneve határozza meg a következő alkulcsban: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
Windows Server Update Services kizárások
Ez a szakasz a Windows Server Update Services (WSUS) szerepkör telepítésekor automatikusan kézbesített mappakizárásokat sorolja fel. A WSUS mappa meg van adva a beállításkulcsban HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Beépített kizárások
Mivel Microsoft Defender víruskereső a Windows beépített része, nem igényel kivételeket az operációsrendszer-fájlokhoz a Windows bármely verziójában.
A beépített kizárások közé tartoznak a következők:
- Windows "temp.edb" fájlok
- fájlok Windows Update vagy automatikus frissítési fájlok
- fájlok Windows biztonság
- Csoportházirend fájlok
- WINS-fájlok
- Fájlreplikációs szolgáltatás (FRS) kizárásai
- Beépített operációsrendszer-fájlok folyamatkivételei
A Beépített kizárások listája a Windowsban naprakész marad a fenyegetések környezetének változásakor.
Windows "temp.edb" fájlok
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
fájlok Windows Update vagy automatikus frissítési fájlok
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
fájlok Windows biztonság
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
Csoportházirend fájlok
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-fájlok
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Fájlreplikációs szolgáltatás (FRS) kizárásai
A Fájlreplikációs szolgáltatás (FRS) munkamappájában található fájlok. Az FRS munkamappája a beállításkulcsban van megadva
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
FRS-adatbázis naplófájljai. Az FRS-adatbázis naplófájlmappája a beállításkulcsban van megadva
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
Az FRS előkészítési mappája. Az előkészítési mappa a beállításkulcsban van megadva
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
Az FRS előtelepítési mappája. Ezt a mappát a mappa határozza meg
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
Az elosztott fájlrendszer replikációs (DFSR) adatbázisa és munkamappái. Ezeket a mappákat a beállításkulcs határozza meg
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Megjegyzés:
Az egyéni helyekről az Automatikus kizárások letiltása című témakörben olvashat.
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Beépített operációsrendszer-fájlok folyamatkivételei
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Az automatikus kizárások elutasítása
Az Windows Server 2016 és újabb verziókban a biztonságiintelligencia-frissítések által biztosított előre definiált kizárások csak a szerepkörök vagy szolgáltatások alapértelmezett elérési útvonalait zárják ki. Ha egyéni elérési úton telepített egy szerepkört vagy szolgáltatást, vagy manuálisan szeretné szabályozni a kizárások készletét, mindenképpen hagyja ki a biztonságiintelligencia-frissítésekben megjelenő automatikus kizárásokat. Ne feledje azonban, hogy az automatikusan kézbesített kizárások Windows Server 2016 és újabb verziókra vannak optimalizálva. A kizárási listák definiálása előtt olvassa el a Fontos szempontok a kizárásokról című témakört.
Figyelmeztetés
Az automatikus kizárások letiltása hátrányosan befolyásolhatja a teljesítményt, vagy adatsérülést okozhat. Az automatikus kiszolgálói szerepkörkivételek Windows Server 2016, Windows Server 2019 és Windows Server 2022 rendszerre vannak optimalizálva.
Mivel az előre definiált kizárások csak az alapértelmezett elérési utakat zárják ki, ha az NTDS- és SYSVOL-mappákat az eredeti elérési úttól eltérő meghajtóra vagy elérési útra helyezi át, akkor manuálisan kell hozzáadnia a kizárásokat. Lásd : A kizárások listájának konfigurálása mappanév vagy fájlkiterjesztés alapján.
Az automatikus kizárási listákat Csoportházirend, PowerShell-parancsmagokkal és WMI-vel tilthatja le.
A Csoportházirend használata az automatikus kizárások listájának letiltásához Windows Server 2016, Windows Server 2019 és Windows Server 2022 rendszeren
A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt. Kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd válassza a Szerkesztés parancsot.
A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja elemre, majd válassza a Felügyeleti sablonok lehetőséget.
Bontsa ki a fát a Windows-összetevőkre>Microsoft Defender a víruskereső>kizárásai elemre.
Kattintson duplán az Automatikus kizárások kikapcsolása elemre, és állítsa a beállítást Engedélyezve értékre. Ezután válassza az OK gombot.
A Windows Server automatikus kizárási listájának letiltása PowerShell-parancsmagokkal
Használja a következő parancsmagokat:
Set-MpPreference -DisableAutoExclusions $true
További információért tekintse meg a következő forrásokat:
- PowerShell-parancsmagok használatával konfigurálhatja és futtathatja Microsoft Defender víruskeresőt.
- Használja a PowerShellt Microsoft Defender víruskeresővel.
A Windows Management Instruction (WMI) használata az automatikus kizárások listájának letiltásához a Windows Serveren
Használja a MSFT_MpPreference osztály Set metódusát a következő tulajdonságokhoz:
DisableAutoExclusions
További információkért és az engedélyezett paraméterekért lásd:
Egyéni kizárások meghatározása
Szükség esetén egyéni kizárásokat adhat hozzá vagy távolíthat el. Ehhez tekintse meg a következő cikkeket:
- Egyéni kizárások konfigurálása Microsoft Defender víruskeresőhöz
- Kizárások konfigurálása és ellenőrzése a fájlnév, a bővítmény és a mappa helye alapján
- Folyamatok által megnyitott fájlok kizárásainak konfigurálása és ellenőrzése
Lásd még
- A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
- Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor
- A Microsoft Defender víruskereső vizsgálatainak és szervizelésének eredményeinek testreszabása, kezdeményezése és áttekintése
- Végponthoz készült Microsoft Defender Macen
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: