除外を定義する際に避ける必要のある一般的な間違い

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows
  • macOS
  • Linux

重要

除外を追加する場合は注意が必要です。 Microsoft Defenderウイルス対策スキャンの除外により、デバイスの保護レベルが低下します。

ウイルス対策をスキャンしないアイテムの除外リストMicrosoft Defender定義できます。 ただし、除外された項目には、デバイスを脆弱にする脅威が含まれている可能性があります。 この記事では、除外を定義するときに避ける必要がある一般的な間違いについて説明します。

ヒント

除外リストを定義する前に、「除外に関する重要なポイント」を参照し、「Microsoft Defender for EndpointおよびMicrosoft Defenderウイルス対策の除外」の詳細情報を確認してください。

特定の信頼済みアイテムを除外する

特定のファイル、ファイルの種類、フォルダー、またはプロセスは、悪意のないと信頼している場合でも、スキャンから除外しないでください。 次のセクションに記載されているフォルダーの場所、ファイル拡張子、およびプロセスの除外を定義しないでください。

フォルダーの場所

重要

特定のフォルダーは、悪意のあるファイルが削除される可能性があるフォルダーになる可能性があるため、スキャンから除外しないでください。

一般に、次のフォルダーの場所に対して除外を定義しないでください。

  • %systemdrive%
  • C:C:\、または C:\*
  • %ProgramFiles%\Java または C:\Program Files\Java
  • %ProgramFiles%\Contoso\C:\Program Files\Contoso\%ProgramFiles(x86)%\Contoso\または C:\Program Files (x86)\Contoso\
  • C:\TempC:\Temp\、または C:\Temp\*
  • C:\Users\ または C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ または C:\Users\<UserProfileName>\AppData\LocalLow\Temp\SharePoint の次の重要な例外に注意してください。 SharePoint でファイル レベルのウイルス対策保護を使用する場合は、除外C:\Users\ServiceAccount\AppData\Local\Tempするか、またはC:\Users\Default\AppData\Local\Temp使用します。
  • %Windir%\PrefetchC:\Windows\PrefetchC:\Windows\Prefetch\または C:\Windows\Prefetch\*
  • %Windir%\System32\Spool または C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\TempC:\Windows\TempC:\Windows\Temp\または C:\Windows\Temp\*

Linux および macOS プラットフォーム

一般に、次のフォルダーの場所の除外を定義しないでください。

  • /
  • /bin または /sbin
  • /usr/lib

ファイル拡張子

重要

特定のファイル拡張子は、攻撃で使用されるファイルの種類である可能性があるため、除外しないでください。

一般に、次のファイル拡張子の除外を定義しないでください。

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko または .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

プロセス

重要

特定のプロセスは、攻撃中に使用されるため、除外しないでください。

一般に、次のプロセスの除外を定義しないでください。

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

注:

、、、などの.gif.jpg.jpeg.pngファイルの種類を除外することも、環境に最新の最新のソフトウェアがあり、厳密な更新ポリシーを使用して脆弱性を処理することもできます。

Linux および macOS プラットフォーム

一般に、次のプロセスの除外を定義しないでください。

  • bash
  • java
  • pythonpython3
  • sh
  • zsh

除外リストでファイル名だけを使用する

マルウェアは、信頼できるファイルと同じ名前を持ち、スキャンから除外したい場合があります。 そのため、潜在的なマルウェアをスキャンから除外しないようにするには、ファイル名だけを使用するのではなく、除外するファイルへの完全修飾パスを使用します。 たとえば、スキャンから除外 Filename.exe する場合は、 などの C:\program files\contoso\Filename.exeファイルへの完全なパスを使用します。

複数のサーバー ワークロードに対して 1 つの除外リストを使用する

1 つの除外リストを使用して、複数のサーバー ワークロードの除外を定義しないでください。 さまざまなアプリケーションまたはサービス ワークロードの除外を複数の除外リストに分割します。 たとえば、IIS Server ワークロードの除外リストは、SQL Server ワークロードの除外リストとは異なる必要があります。

ファイル名とフォルダー パスまたは拡張機能の除外リストで不適切な環境変数をワイルドカードとして使用する

Microsoft Defenderウイルス対策サービスは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。つまり、ユーザー環境変数ではなく、システム環境変数から情報を取得します。 除外リストでのワイルドカードとしての環境変数の使用は、システム変数と、NT AUTHORITY\SYSTEM アカウントとして実行されているプロセスに適用される変数に限定されます。 そのため、ウイルス対策フォルダーとプロセスの除外Microsoft Defender追加するときに、ユーザー環境変数をワイルドカードとして使用しないでください。 システム環境変数の完全な一覧については、「 システム環境変数 」の表を参照してください。

除外リストでワイルドカードを使用する方法については、「ファイル名とフォルダー パスまたは拡張子の除外リストでワイルドカードを使用する」を参照してください。

関連項目

ヒント

詳細については、こちらをご覧ください。 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。