Megosztás a következőn keresztül:

Microsoft Defender víruskereső kizárásai a Windows Server

  • Cikk

Érintett szolgáltatás:

  • Végponthoz készült Microsoft Defender kiszolgálókhoz
  • Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz
  • Microsoft Defender víruskereső

Platformok

  • Windows Server

Fontos megjegyzések az automatikus kizárásokról a Windows Server

  • Az egyéni kizárások elsőbbséget élveznek az automatikus kizárásokkal szemben. Ha egyéni kizárás van beállítva egy olyan útvonalhoz, amely ismétlődő automatikus vagy beépített kizárással is rendelkezik, az egyéni kizárás mindig érvényes lesz.
  • Az automatikus kizárások csak a valós idejű védelem (RTP) vizsgálatára vonatkoznak. Az egyéb vizsgálati tevékenységek, például a hálózatvizsgálat és a viselkedésfigyelés nem lesznek kizárva. Más vizsgálati típusok kizárásához használjon egyéni kizárásokat.
  • A gyorsvizsgálat, a teljes vizsgálat és az egyéni vizsgálat során a rendszer nem veszi figyelembe az automatikus kizárásokat. Más vizsgálati típusok kizárásához használjon egyéni kizárásokat.
  • A beépített és az automatikus kiszolgálói szerepkör-kizárások nem jelennek meg a Windows biztonság alkalmazásban megjelenő szabványos kizárási listákban.
  • Microsoft Defender víruskereső a Telepítési lemezképek karbantartása és kezelése (DISM) eszközeit használja annak meghatározására, hogy mely szerepkörök vannak telepítve a számítógépen.
  • Az operációs rendszer részét nem képező szoftverek esetében megfelelő kizárásokat kell beállítani.
  • A Microsoft Defender Víruskereső által alkalmazott beépített kizárások listája a fenyegetések környezetének változásakor naprakész marad.

Ez a cikk a kizárások két fő típusát ismerteti, amelyeket nem kell definiálnia Microsoft Defender víruskeresőhöz:

A kizárások részletesebb áttekintéséért lásd: Kizárások kezelése Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső esetében.

Automatikus kiszolgálói szerepkör kizárásai

Az automatikus kiszolgálói szerepkörkizárások a kiszolgálóhoz kiválasztott szerepkörök alapján automatikus elérésiút- és folyamatkivétel-készleteket alkalmaznak.

Megjegyzés:

  • Tekintse meg a fontos megjegyzéseket
  • Az alapértelmezett helyek eltérhetnek a cikkben ismertetett helyekétől.
  • A Microsoft Defender Víruskereső által alkalmazott beépített kizárások listája a fenyegetések környezetének változásakor naprakész marad. Ez a cikk felsorol néhány, de nem az összes automatikus kiszolgálói szerepkör kizárását.
  • A windowsos funkcióként vagy kiszolgálói szerepkörként nem szereplő szoftverek kizárásának beállításához tekintse meg a szoftver gyártójának dokumentációját.

Windows Server 2016 vagy újabb verzió

Windows Server 2016 vagy újabb verziókban nem kell kizáró tényezőket meghatároznia a kiszolgálói szerepkörökhöz. Ha egy szerepkört Windows Server 2016 vagy újabb verzióra telepít, a Microsoft Defender víruskereső automatikusan kizárja a kiszolgálói szerepkört és a szerepkör telepítésekor hozzáadott fájlokat.

Windows Server 2012 R2

Windows Server 2012 R2 nem támogatja az automatikus kiszolgálói szerepkör-kizárási funkciót. Windows Server 2012 R2 emellett nem rendelkezik Microsoft Defender víruskereső szolgáltatással. Amikor telepíti ezeket a kiszolgálókat a Végponthoz készült Defenderbe, telepíti Microsoft Defender víruskeresőt, és az operációsrendszer-fájlok alapértelmezett beépített kizárásait alkalmazza. A rendszer azonban nem alkalmazza automatikusan a kiszolgálói szerepkörök kizárásait (az alább megadottak szerint). Ha ezekre a kizárásokra van szükség, szükség szerint adjon hozzá egyéni kizárásokat ezekhez az útvonalakhoz és folyamatokhoz. A Microsoft Defender Víruskereső Windows Server 2012 R2-n való előkészítéséről további információt a Windows-kiszolgálók előkészítése a Végponthoz készült Microsoft Defender szolgáltatásba című témakörben talál.

Az automatikus kizárások közé tartoznak a következők:

Hyper-V-kizárások

Az alábbi táblázat a Hyper-V szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.

Kizárás típusa Sajátosságai
Fájltípusok *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mappák %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Folyamatok %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-fájlok

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-kizárások

Ez a szakasz azokat a kizárásokat sorolja fel, amelyek a Active Directory tartományi szolgáltatások (AD DS) telepítésekor automatikusan érnek el.

NTDS-adatbázisfájlok

Az adatbázisfájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Az AD DS tranzakciós naplófájljai

A tranzakciós naplófájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Az NTDS munkamappája

Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-kiszolgáló kizárásai

Ez a szakasz a DHCP-kiszolgálói szerepkör telepítésekor automatikusan megjelenő kizárásokat sorolja fel. A DHCP-kiszolgáló fájlhelyeit a databasePath, a DhcpLogFilePath és a BackupDatabasePath paraméterek határozzák meg a beállításkulcsban HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-kiszolgáló kizárásai

Ez a szakasz felsorolja a fájl- és mappakizárásokat, valamint a DNS-kiszolgálói szerepkör telepítésekor automatikusan kézbesített folyamatkizárásokat.

A DNS-kiszolgálói szerepkör fájl- és mappakivételei

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

A DNS-kiszolgálói szerepkör folyamatkivételei

  • %systemroot%\System32\dns.exe

Fájl- és tárolási szolgáltatások kizárásai

Ez a szakasz felsorolja azokat a fájl- és mappakivételeket, amelyek a Fájl- és tárolási szolgáltatások szerepkör telepítésekor automatikusan érnek el. Az alábbiakban felsorolt kizárások nem tartalmazzák a fürtözési szerepkör kizárásait.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Ez a szakasz a nyomtatókiszolgálói szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.

Fájltípus-kizárások

  • *.shd
  • *.spl

Mappakizárások

Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

A Nyomtatókiszolgáló szerepkör folyamatkivételei

  • spoolsv.exe

Webkiszolgáló kizárásai

Ez a szakasz a webkiszolgálói szerepkör telepítésekor automatikusan kézbesített mappakizárásokat és folyamatkizárásokat sorolja fel.

Mappakizárások

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

A webkiszolgálói szerepkör folyamatkivételei

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

A Sysvol\Sysvol mappában vagy a SYSVOL_DFSR\Sysvol mappában lévő fájlok vizsgálatának kikapcsolása

A vagy SYSVOL_DFSR\Sysvol mappa és az összes almappának az aktuális helye Sysvol\Sysvol a replikakészlet gyökerének fájlrendszerbeli újraelemzési célja. A Sysvol\Sysvol és SYSVOL_DFSR\Sysvol a mappa alapértelmezés szerint a következő helyeket használja:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Az aktuálisan aktív SYSVOL elérési útra a NETLOGON-megosztás hivatkozik, és a SysVol értékneve határozza meg a következő alkulcsban: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services kizárások

Ez a szakasz a Windows Server Update Services (WSUS) szerepkör telepítésekor automatikusan kézbesített mappakizárásokat sorolja fel. A WSUS mappa meg van adva a beállításkulcsban HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Beépített kizárások

Mindenképpen tekintse át az automatikus kizárásokkal kapcsolatos fontos megjegyzéseket (ebben a cikkben). Ne feledje, hogy az alapértelmezett helyek eltérhetnek a cikkben ismertetett helyekétől.

A Microsoft Defender Víruskereső által alkalmazott beépített kizárások listája a fenyegetések környezetének változásakor naprakész marad. Ez a cikk felsorolja a beépített kizárások némelyikét, de nem az összeset.

Mivel Microsoft Defender víruskereső a Windows beépített része, nem igényel kivételeket az operációsrendszer-fájlokhoz a Windows bármely verziójában.

A beépített kizárások közé tartoznak a következők:

Windows "temp.edb" fájlok

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

fájlok Windows Update vagy automatikus frissítési fájlok

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

fájlok Windows biztonság

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Csoportházirend fájlok

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-fájlok

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Fájlreplikációs szolgáltatás (FRS) kizárásai

  • A Fájlreplikációs szolgáltatás (FRS) munkamappájában található fájlok. Az FRS munkamappája a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-adatbázis naplófájljai. Az FRS-adatbázis naplófájlmappája a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Az FRS előkészítési mappája. Az előkészítési mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Az FRS előtelepítési mappája. Ezt a mappát a mappa határozza meg Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Az elosztott fájlrendszer replikációs (DFSR) adatbázisa és munkamappái. Ezeket a mappákat a beállításkulcs határozza meg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Megjegyzés:

    Az egyéni helyekről az Automatikus kizárások letiltása című témakörben olvashat.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Beépített operációsrendszer-fájlok folyamatkivételei

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Az automatikus kizárások elutasítása

Az Windows Server 2016 és újabb verziókban a biztonságiintelligencia-frissítések által biztosított előre definiált kizárások csak a szerepkörök vagy szolgáltatások alapértelmezett elérési útvonalait zárják ki. Ha egyéni elérési úton telepített egy szerepkört vagy szolgáltatást, vagy manuálisan szeretné szabályozni a kizárások készletét, mindenképpen hagyja ki a biztonságiintelligencia-frissítésekben megjelenő automatikus kizárásokat. Ne feledje azonban, hogy az automatikusan kézbesített kizárások Windows Server 2016 és újabb verziókra vannak optimalizálva. A kizárási listák definiálása előtt olvassa el a Fontos szempontok a kizárásokról című témakört.

Figyelmeztetés

Az automatikus kizárások letiltása hátrányosan befolyásolhatja a teljesítményt, vagy adatsérülést okozhat. Az automatikus kiszolgálói szerepkörök kizárása Windows Server 2016, Windows Server 2019, Windows Server 2022 és Windows Server 2025 esetén van optimalizálva.

Mivel az előre definiált kizárások csak az alapértelmezett elérési utakat zárják ki, ha az NTDS- és SYSVOL-mappákat az eredeti elérési úttól eltérő meghajtóra vagy elérési útra helyezi át, akkor manuálisan kell hozzáadnia a kizárásokat. Lásd : A kizárások listájának konfigurálása mappanév vagy fájlkiterjesztés alapján.

Az automatikus kizárási listákat Csoportházirend, PowerShell-parancsmagokkal és WMI-vel tilthatja le.

A Csoportházirend használatával letilthatja az automatikus kizárások listáját Windows Server 2016, Windows Server 2019-Windows Server és újabb verziókban

  1. A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt. Kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd válassza a Szerkesztés parancsot.

  2. A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja elemre, majd válassza a Felügyeleti sablonok lehetőséget.

  3. Bontsa ki a fát a Windows-összetevőkre>Microsoft Defender a víruskereső>kizárásai elemre.

  4. Kattintson duplán az Automatikus kizárások kikapcsolása elemre, és állítsa a beállítást Engedélyezve értékre. Ezután válassza az OK gombot.

PowerShell-parancsmagok használata az automatikus kizárások listájának letiltásához a Windows Server

Használja a következő parancsmagokat:

Set-MpPreference -DisableAutoExclusions $true

További információért tekintse meg a következő forrásokat:

A Windows felügyeleti utasítás (WMI) használatával tiltsa le az automatikus kizárások listáját a Windows Server

Használja a MSFT_MpPreference osztály Set metódusát a következő tulajdonságokhoz:

DisableAutoExclusions

További információkért és az engedélyezett paraméterekért lásd:

Egyéni kizárások meghatározása

Szükség esetén egyéni kizárásokat adhat hozzá vagy távolíthat el. Ehhez tekintse meg a következő cikkeket:

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.