Microsoft Defender víruskereső kizárásai a Windows Server

  • A következőre érvényes:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Ez a cikk az Microsoft Defender Víruskeresőben automatikusan konfigurált kizárások két fő típusát ismerteti:

A kizárások részletes áttekintését lásd: Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásainak kezelése.

Előfeltételek

Támogatott operációs rendszerek

  • Windows Server

Fontos megjegyzések az automatikus kizárásokról a Windows Server

  • Az egyéni kizárások elsőbbséget élveznek az automatikus kizárásokkal szemben. Ha egyéni kizárást állít be egy automatikus vagy beépített kizárást duplikált elérési úthoz, az egyéni kizárások mindig érvényesek lesznek.
  • Az automatikus kizárások csak a valós idejű védelemre (RTP)g vonatkoznak. Az egyéb vizsgálati tevékenységek (például a hálózatvizsgálat és a viselkedésfigyelés) nincsenek kizárva. Más vizsgálati típusok kizárásához használjon egyéni kizárásokat.
  • A gyors, teljes vagy egyéni vizsgálatok során a rendszer nem veszi figyelembe az automatikus kizárásokat. Más vizsgálati típusok kizárásához használjon egyéni kizárásokat.
  • A beépített és az automatikus kiszolgálói szerepkörök kizárása nem jelenik meg a Windows biztonság alkalmazás normál kizárási listáiban.
  • Microsoft Defender víruskereső a Telepítési lemezképek karbantartása és kezelése (DISM) eszközeit használja annak meghatározására, hogy mely szerepkörök vannak telepítve a számítógépen.
  • Meg kell adnia az operációs rendszer részét nem képező szoftverekre vonatkozó megfelelő kizárásokat.
  • A Microsoft Defender Víruskereső által alkalmazott beépített kizárások listája a fenyegetések környezetének változásával frissül.

Automatikus kiszolgálói szerepkör kizárásai

Az automatikus kiszolgálói szerepkör-kizárások adott elérési utat és folyamatkizárásokat alkalmaznak a kiszolgálóhoz kiválasztott szerepkörök alapján.

  • Windows Server 2016 vagy újabb: A kiszolgálói szerepkörök kizárásait nem kell meghatároznia. Ha egy szerepkört Windows Server 2016 vagy újabb verzióra telepít, a Microsoft Defender víruskereső automatikus kizárásokat tartalmaz a kiszolgálói szerepkörre és a szerepkör telepítésekor hozzáadott fájlokra vonatkozóan.

  • Windows Server 2012 R2: Az automatikus kiszolgálói szerepkörök kizárása nem támogatott.

    Microsoft Defender víruskereső nem telepíthető funkció az Windows Server 2012 R2-ben. Amikor telepíti ezeket a kiszolgálókat a Végponthoz készült Defenderbe, telepíti Microsoft Defender víruskeresőt, és alkalmazza az operációsrendszer-fájlok alapértelmezett beépített kizárásait. Az ebben a szakaszban ismertetett automatikus kiszolgálói szerepkör-kizárások azonban nem lesznek alkalmazva. Az automatikus kiszolgálói szerepkör-kizárásokat egyéni kizárások használatával újra létrehozhatja.

    A Microsoft Defender Víruskereső Windows Server 2012 R2-n való előkészítéséről további információt a Windows-kiszolgálók előkészítése a Végponthoz készült Microsoft Defender szolgáltatásba című témakörben talál.

Az automatikus kiszolgálói szerepkör kizárásait az alábbi alszakaszok ismertetik.

Megjegyzés:

  • A cikkben ismertetett alapértelmezett helyek eltérhetnek a kiszolgálók helyétől.
  • A Microsoft Defender Víruskereső által alkalmazott beépített kizárások listája a fenyegetések környezetének változásával frissül.
  • A windowsos funkcióként vagy kiszolgálói szerepkörként nem szereplő szoftverek kizárásának beállításához tekintse meg a szoftverdokumentációt.

Active Directory-kizárások

A Active Directory tartományi szolgáltatások (AD DS) szerepkör telepítésekor a következő kizárások lesznek automatikusan konfigurálva:

  • NTDS-adatbázisfájlok: A beállításkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File határozza meg a helyet.
    • %windir%\Ntds\ntds.dit
    • %windir%\Ntds\ntds.pat
  • AD DS tranzakciós naplófájlok: A beállításkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path határozza meg a helyet.
    • %windir%\Ntds\EDB*.log
    • %windir%\Ntds\Res*.log
    • %windir%\Ntds\Edb*.jrs
    • %windir%\Ntds\Ntds*.pat
    • %windir%\Ntds\TEMP.edb
  • NTDS munkamappa: A beállításkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory határozza meg a helyet.
    • %windir%\Ntds\Temp.edb
    • %windir%\Ntds\Edb.chk
  • Folyamatkizárások az AD DS-hez és az AD DS-hez kapcsolódó támogatási fájlokhoz:
    • %systemroot%\System32\ntfrs.exe
    • %systemroot%\System32\lsass.exe

DHCP-kiszolgáló kizárásai

A DHCP-kiszolgálói szerepkör telepítésekor a következő kizárások lesznek automatikusan konfigurálva:

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

A következő beállításkulcsok határozzák meg a fájlhelyeket:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters\DatabasePath
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters\DhcpLogFilePath
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters\BackupDatabasePath

DNS-kiszolgáló kizárásai

A DNS-kiszolgálói szerepkör telepítésekor a következő kizárások lesznek automatikusan konfigurálva:

  • Files és mappák:
    • %systemroot%\System32\Dns\*\*.log
    • %systemroot%\System32\Dns\*\*.dns
    • %systemroot%\System32\Dns\*\*.scc
    • %systemroot%\System32\Dns\*\BOOT
  • Folyamatok:
    • %systemroot%\System32\dns.exe

Fájl- és tárolási szolgáltatások kizárásai

A Fájl- és tárolási szolgáltatások szerepkör telepítésekor a következő kizárások lesznek automatikusan konfigurálva:

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Tipp

Az előző kizárások nem tartalmazzák a fürtözési szerepkör kizárásait.

Hyper-V-kizárások

A Hyper-V szerepkör telepítésekor a rendszer automatikusan konfigurálja a következő kizárásokat:

  • Files:
    • *.avhd
    • *.avhdx
    • *.iso
    • *.rct
    • *.vhd
    • *.vhdx
    • *.vmcx
    • *.vmrs
    • *.vsv
  • Mappák:
    • %ProgramData%\Microsoft\Windows\Hyper-V
    • %ProgramFiles%\Hyper-V
    • %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
    • %Public%\Documents\Hyper-V\Virtual Hard Disks
  • Folyamatok:
    • %systemroot%\System32\Vmms.exe
    • %systemroot%\System32\Vmwp.exe

A nyomtatókiszolgálói szerepkör telepítésekor a rendszer automatikusan konfigurálja a következő kizárásokat:

  • Fájlkizárások:
    • *.shd
    • *.spl
  • Mappakizárások: A beállításkulcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory határozza meg a helyet.
    • %systemroot%\system32\spool\printers\*
  • Folyamatkizárások:
    • spoolsv.exe

<a name=sysvol-files>

SYSVOL-mappakizárások

A rendszer automatikusan konfigurálja a következő kivételeket a SYSVOL mappában lévő fájlokhoz:

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Fájlok kizárása a Sysvol\Sysvol vagy a SYSVOL_DFSR\Sysvol mappából

Megjegyzés:

Ez az útmutató a fájlok és mappák %SystemRoot%\SYSVOL manuális kizárásához (beleértve a DFSR-hez kapcsolódó elérési utakat) csak a következő forgatókönyvekben releváns:

  • Explicit módon letiltotta az automatikus kizárásokat.
  • Teljesítménybeli vagy stabilitási problémákat hárít el, és ideiglenesen ellenőriznie kell a víruskereső interakcióját.

A Sysvol\Sysvol vagy SYSVOL_DFSR\Sysvol mappa és az összes almappák a replikakészlet gyökerének fájlrendszerbeli újraelemzési célja. Alapértelmezés szerint ezek a mappák a következő helyeket használják:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

A NETLOGON-megosztás az aktuálisan aktív SYSVOL helyre hivatkozik. A beállításkulcs HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters SysVol értéke azonosítja a helyet. Ezen a helyen és az összes almappában zárja ki a következő fájlokat:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Webkiszolgáló kizárásai

A webkiszolgálói szerepkör telepítésekor a következő kizárások lesznek automatikusan konfigurálva:

  • Mappakizárások:
    • %SystemRoot%\IIS Temporary Compressed Files
    • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
    • %SystemDrive%\inetpub\temp\ASP Compiled Templates
    • %systemDrive%\inetpub\logs
    • %systemDrive%\inetpub\wwwroot
  • Folyamatkizárások:
    • %SystemRoot%\system32\inetsrv\w3wp.exe
    • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
    • %SystemDrive%\PHP5433\php-cgi.exe

Windows Server Update Services kizárások

A Windows Server Update Services (WSUS) szerepkör telepítésekor a következő kizárások lesznek automatikusan konfigurálva:

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

A beállításkulcs HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup határozza meg a helyet.

Beépített kizárások

Ez a szakasz az operációsrendszer-fájlok beépített kizárásait ismerteti a Windows összes verziójában.

Tipp

  • Tekintse át a cikk Windows Server automatikus kizárásával kapcsolatos előző fontos megjegyzéseket. Az alapértelmezett helyek eltérhetnek a cikkben ismertetett helyekétől.
  • A Microsoft Defender Víruskereső által alkalmazott beépített kizárások a fenyegetések környezetének változásával frissülnek.
  • Microsoft Defender víruskereső be van építve a Windowsba, így nem igényel kivételeket az operációsrendszer-fájlok esetében.

Windows "temp.edb" fájlok

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

fájlok Windows Update vagy automatikus frissítési fájlok

  • %windir%\SoftwareDistribution\Datastore\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

fájlok Windows biztonság

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Csoportházirend fájlok

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-fájlok

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Fájlreplikációs szolgáltatás (FRS) kizárásai

A rendszer automatikusan konfigurálja a következő FRS-kizárásokat:

  • Files az FRS munkamappájában: A beállításkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory határozza meg a helyet.

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-adatbázis naplófájljai: A beállításkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory határozza meg a helyet.

    • %windir%\Ntfrs\*\Edb\*.log

  • FRS előkészítési mappa: A beállításkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage határozza meg a helyet.

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • FRS előtelepítési mappa: A rejtett, előtelepítési mappa Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory azonosítja ezt a mappát.

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Elosztott fájlrendszer-replikációs (DFSR) adatbázis és munkamappák: A beállításkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File határozza meg a helyet.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

    Megjegyzés:

    Az egyéni helyekről az Automatikus kizárások letiltása című szakaszban olvashat.

Beépített operációsrendszer-fájlok folyamatkivételei

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Az automatikus kizárások elutasítása

A biztonságiintelligencia-frissítések által biztosított, előre definiált kizárások Windows Server 2016 vagy újabb verziókban csak a szerepkörök vagy szolgáltatások alapértelmezett elérési útjait használják. Ha egyéni elérési utakat használt, vagy manuálisan szabályozta a kizárások készletét, ne felejtse el kikapcsolni a biztonságiintelligencia-frissítésekben megjelenő automatikus kizárásokat.

Ha az NTDS- és SYSVOL-mappákat egy egyéni meghajtóra vagy elérési útra helyezte át, akkor manuálisan kell hozzáadnia a kizárásokat. További információ: A kizárások listájának konfigurálása mappanév vagy fájlkiterjesztés alapján.

Ne feledje, hogy az automatikus kizárások Windows Server 2016 és újabb verziókra vannak optimalizálva. A kizárási listák definiálása előtt tekintse meg a cikk korábbi, Windows Server automatikus kizárásokkal kapcsolatos fontos megjegyzéseit.

Figyelmeztetés

Az automatikus kizárások letiltása hátrányosan befolyásolhatja a teljesítményt, vagy adatsérülést okozhat. Az automatikus kiszolgálói szerepkörkivételek Windows Server 2016 vagy újabb verzióra vannak optimalizálva, és Azure Stack HCI operációs rendszer 23H2-es vagy újabb verziójára.

Az automatikus kizárási listákat a Csoportházirend, a PowerShell vagy a Windows Management Instrumentation (WMI) használatával tilthatja le az alábbi alszakaszokban leírtak szerint.

A Csoportházirend használatával letilthatja az automatikus kizárások listáját Windows Server 2016, Windows Server 2019-Windows Server és újabb verziókban

  1. A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt.

  2. A Csoportházirend felügyeleti konzolon kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd válassza a Szerkesztés parancsot.

  3. A Csoportházirend Felügyeleti szerkesztőben lépjen a Számítógép konfigurációja elemre, majd válassza a Felügyeleti sablonok lehetőséget.

  4. Bontsa ki a fát a Windows-összetevőkre>Microsoft Defender a víruskereső>kizárásai elemre.

  5. Kattintson duplán az Automatikus kizárások kikapcsolása elemre, állítsa a beállítást Engedélyezve értékre, majd kattintson az OK gombra.

PowerShell-parancsmagok használata az automatikus kizárások listájának letiltásához a Windows Server

A PowerShellben futtassa a következő parancsot:

Set-MpPreference -DisableAutoExclusions $true

További információért olvassa el az alábbi témaköröket:

A Windows Management Instrumentation (WMI) használatával tiltsa le az automatikus kizárások listáját a Windows Server

Használja a MSFT_MpPreference osztály Set metódusát a következő tulajdonságokhoz:

DisableAutoExclusions

További információkért és az engedélyezett paraméterekért lásd:

Egyéni kizárások definiálása

Szükség esetén egyéni kizárásokat adhat hozzá vagy távolíthat el. További információért olvassa el az alábbi témaköröket:

Lásd még

  • Last updated on