Share via


Microsoft Defender víruskereső kizárásai Windows Serveren

Érintett szolgáltatás:

Platformok

  • A Windows

Ez a cikk azokat a kizárási típusokat ismerteti, amelyeket nem kell definiálnia Microsoft Defender víruskeresőhöz:

A kizárások részletesebb áttekintéséért lásd: Kizárások kezelése Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső esetében.

Néhány fontos pont a Windows Serveren történő kizárásokról

  • Az egyéni kizárások elsőbbséget élveznek az automatikus kizárásokkal szemben.
  • Az automatikus kizárások csak a valós idejű védelem (RTP) vizsgálatára vonatkoznak.
  • A gyorsvizsgálat, a teljes vizsgálat és az egyéni vizsgálat során a rendszer nem veszi figyelembe az automatikus kizárásokat.
  • Az egyéni és duplikált kizárások nem ütköznek az automatikus kizárásokkal.
  • Microsoft Defender víruskereső a Telepítési lemezképek karbantartása és kezelése (DISM) eszközeit használja annak meghatározására, hogy mely szerepkörök vannak telepítve a számítógépen.
  • Az operációs rendszer részét nem képező szoftverek esetében megfelelő kizárásokat kell beállítani.
  • Windows Server 2012 R2 nem rendelkezik Microsoft Defender víruskereső szolgáltatással. Amikor telepíti ezeket a kiszolgálókat a Végponthoz készült Defenderbe, telepíti Microsoft Defender víruskeresőt, és az operációsrendszer-fájlok alapértelmezett kizárásait alkalmazza. A kiszolgálói szerepkörökre vonatkozó kizárások (az alább megadottak szerint) azonban nem lesznek automatikusan alkalmazva, és ezeket a kizárásokat a megfelelő módon kell konfigurálnia. További információ: Windows-kiszolgálók előkészítése a Végponthoz készült Microsoft Defender szolgáltatásba.
  • A beépített és az automatikus kiszolgálói szerepkör-kizárások nem jelennek meg a Windows biztonság alkalmazásban megjelenő szabványos kizárási listákban.
  • A Beépített kizárások listája a Windowsban naprakész marad a fenyegetések környezetének változásakor. Ez a cikk felsorolja a beépített és az automatikus kizárások némelyikét, de nem az összeset.

Automatikus kiszolgálói szerepkör kizárásai

Windows Server 2016 vagy újabb verziókban nem kell kizáró tényezőket meghatároznia a kiszolgálói szerepkörökhöz. Ha egy szerepkört Windows Server 2016 vagy újabb verzióra telepít, a Microsoft Defender víruskereső automatikusan kizárja a kiszolgálói szerepkört és a szerepkör telepítésekor hozzáadott fájlokat.

Windows Server 2012 R2 nem támogatja az automatikus kizárási funkciót. Explicit kizárásokat kell meghatároznia minden kiszolgálói szerepkörhöz és az operációs rendszer telepítése után hozzáadott szoftverekhez.

Fontos

  • Az alapértelmezett helyek eltérhetnek a cikkben ismertetett helyekétől.
  • A windowsos funkcióként vagy kiszolgálói szerepkörként nem szereplő szoftverek kizárásának beállításához tekintse meg a szoftver gyártójának dokumentációját.

Az automatikus kizárások közé tartoznak a következők:

Hyper-V-kizárások

Az alábbi táblázat a Hyper-V szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.

Kizárás típusa Sajátosságai
Fájltípusok *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mappák %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Folyamatok %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-fájlok

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-kizárások

Ez a szakasz azokat a kizárásokat sorolja fel, amelyek a Active Directory tartományi szolgáltatások (AD DS) telepítésekor automatikusan érnek el.

NTDS-adatbázisfájlok

Az adatbázisfájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Az AD DS tranzakciós naplófájljai

A tranzakciós naplófájlok a beállításkulcsban vannak megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Az NTDS munkamappája

Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-kiszolgáló kizárásai

Ez a szakasz a DHCP-kiszolgálói szerepkör telepítésekor automatikusan megjelenő kizárásokat sorolja fel. A DHCP-kiszolgáló fájlhelyeit a databasePath, a DhcpLogFilePath és a BackupDatabasePath paraméterek határozzák meg a beállításkulcsban HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-kiszolgáló kizárásai

Ez a szakasz felsorolja a fájl- és mappakizárásokat, valamint a DNS-kiszolgálói szerepkör telepítésekor automatikusan kézbesített folyamatkizárásokat.

A DNS-kiszolgálói szerepkör fájl- és mappakivételei

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

A DNS-kiszolgálói szerepkör folyamatkivételei

  • %systemroot%\System32\dns.exe

Fájl- és tárolási szolgáltatások kizárásai

Ez a szakasz felsorolja azokat a fájl- és mappakivételeket, amelyek a Fájl- és tárolási szolgáltatások szerepkör telepítésekor automatikusan érnek el. Az alábbiakban felsorolt kizárások nem tartalmazzák a fürtözési szerepkör kizárásait.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Ez a szakasz a nyomtatókiszolgálói szerepkör telepítésekor automatikusan kézbesített fájltípus-, mappa- és folyamatkizárásokat sorolja fel.

Fájltípus-kizárások

  • *.shd
  • *.spl

Mappakizárások

Ez a mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

A Nyomtatókiszolgáló szerepkör folyamatkivételei

  • spoolsv.exe

Webkiszolgáló kizárásai

Ez a szakasz a webkiszolgálói szerepkör telepítésekor automatikusan kézbesített mappakizárásokat és folyamatkizárásokat sorolja fel.

Mappakizárások

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

A webkiszolgálói szerepkör folyamatkivételei

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

A Sysvol\Sysvol mappában vagy a SYSVOL_DFSR\Sysvol mappában lévő fájlok vizsgálatának kikapcsolása

A vagy SYSVOL_DFSR\Sysvol mappa és az összes almappának az aktuális helye Sysvol\Sysvol a replikakészlet gyökerének fájlrendszerbeli újraelemzési célja. A Sysvol\Sysvol és SYSVOL_DFSR\Sysvol a mappa alapértelmezés szerint a következő helyeket használja:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Az aktuálisan aktív SYSVOL elérési útra a NETLOGON-megosztás hivatkozik, és a SysVol értékneve határozza meg a következő alkulcsban: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services kizárások

Ez a szakasz a Windows Server Update Services (WSUS) szerepkör telepítésekor automatikusan kézbesített mappakizárásokat sorolja fel. A WSUS mappa meg van adva a beállításkulcsban HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Beépített kizárások

Mivel Microsoft Defender víruskereső a Windows beépített része, nem igényel kivételeket az operációsrendszer-fájlokhoz a Windows bármely verziójában.

A beépített kizárások közé tartoznak a következők:

A Beépített kizárások listája a Windowsban naprakész marad a fenyegetések környezetének változásakor.

Windows "temp.edb" fájlok

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

fájlok Windows Update vagy automatikus frissítési fájlok

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

fájlok Windows biztonság

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Csoportházirend fájlok

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-fájlok

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Fájlreplikációs szolgáltatás (FRS) kizárásai

  • A Fájlreplikációs szolgáltatás (FRS) munkamappájában található fájlok. Az FRS munkamappája a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • FRS-adatbázis naplófájljai. Az FRS-adatbázis naplófájlmappája a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • Az FRS előkészítési mappája. Az előkészítési mappa a beállításkulcsban van megadva HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Az FRS előtelepítési mappája. Ezt a mappát a mappa határozza meg Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • Az elosztott fájlrendszer replikációs (DFSR) adatbázisa és munkamappái. Ezeket a mappákat a beállításkulcs határozza meg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Megjegyzés:

    Az egyéni helyekről az Automatikus kizárások letiltása című témakörben olvashat.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Beépített operációsrendszer-fájlok folyamatkivételei

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Az automatikus kizárások elutasítása

Az Windows Server 2016 és újabb verziókban a biztonságiintelligencia-frissítések által biztosított előre definiált kizárások csak a szerepkörök vagy szolgáltatások alapértelmezett elérési útvonalait zárják ki. Ha egyéni elérési úton telepített egy szerepkört vagy szolgáltatást, vagy manuálisan szeretné szabályozni a kizárások készletét, mindenképpen hagyja ki a biztonságiintelligencia-frissítésekben megjelenő automatikus kizárásokat. Ne feledje azonban, hogy az automatikusan kézbesített kizárások Windows Server 2016 és újabb verziókra vannak optimalizálva. A kizárási listák definiálása előtt olvassa el a Fontos szempontok a kizárásokról című témakört.

Figyelmeztetés

Az automatikus kizárások letiltása hátrányosan befolyásolhatja a teljesítményt, vagy adatsérülést okozhat. Az automatikus kiszolgálói szerepkörkivételek Windows Server 2016, Windows Server 2019 és Windows Server 2022 rendszerre vannak optimalizálva.

Mivel az előre definiált kizárások csak az alapértelmezett elérési utakat zárják ki, ha az NTDS- és SYSVOL-mappákat az eredeti elérési úttól eltérő meghajtóra vagy elérési útra helyezi át, akkor manuálisan kell hozzáadnia a kizárásokat. Lásd : A kizárások listájának konfigurálása mappanév vagy fájlkiterjesztés alapján.

Az automatikus kizárási listákat Csoportházirend, PowerShell-parancsmagokkal és WMI-vel tilthatja le.

A Csoportházirend használata az automatikus kizárások listájának letiltásához Windows Server 2016, Windows Server 2019 és Windows Server 2022 rendszeren

  1. A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt. Kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd válassza a Szerkesztés parancsot.

  2. A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja elemre, majd válassza a Felügyeleti sablonok lehetőséget.

  3. Bontsa ki a fát a Windows-összetevőkre>Microsoft Defender a víruskereső>kizárásai elemre.

  4. Kattintson duplán az Automatikus kizárások kikapcsolása elemre, és állítsa a beállítást Engedélyezve értékre. Ezután válassza az OK gombot.

A Windows Server automatikus kizárási listájának letiltása PowerShell-parancsmagokkal

Használja a következő parancsmagokat:

Set-MpPreference -DisableAutoExclusions $true

További információért tekintse meg a következő forrásokat:

A Windows Management Instruction (WMI) használata az automatikus kizárások listájának letiltásához a Windows Serveren

Használja a MSFT_MpPreference osztály Set metódusát a következő tulajdonságokhoz:

DisableAutoExclusions

További információkért és az engedélyezett paraméterekért lásd:

Egyéni kizárások meghatározása

Szükség esetén egyéni kizárásokat adhat hozzá vagy távolíthat el. Ehhez tekintse meg a következő cikkeket:

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.