다음을 통해 공유

제외 정의 시 피해야 하는 일반적인 실수

  • 적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

중요

주의해서 제외를 추가합니다. Microsoft Defender 바이러스 백신에 대한 제외는 디바이스에 대한 보호 수준을 줄입니다.

바이러스 백신을 Microsoft Defender 검사하지 않으려는 항목에 대한 제외를 정의할 수 있습니다. 그러나 제외된 항목에는 디바이스를 취약하게 만드는 위협이 포함될 수 있습니다.

항목이 악의적이지 않다고 신뢰하더라도 이 문서에 설명된 파일, 파일 형식, 폴더 또는 프로세스를 Microsoft Defender 바이러스 백신 검사에서 제외해서는 안 됩니다.

필수 구성 요소

제외를 만들기 전에 다음 문서를 참조하세요.

지원되는 운영 체제

  • Windows
  • macOS
  • Linux

폴더

공격자가 이러한 폴더를 사용할 수 있으므로 검사에서 일부 폴더를 제외하면 안 됩니다. 일반적으로 다음 폴더에 대한 제외를 정의하지 마세요.

  • Windows:

    • %systemdrive%

    • C:, C:\, 또는 C:\*

    • %ProgramFiles%\Java 또는 C:\Program Files\Java

    • 예: %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\또는 C:\Program Files (x86)\Contoso\

    • C:\Temp, C:\Temp\, 또는 C:\Temp\*

    • C:\Users\ 또는 C:\Users\*

    • C:\Users\<UserProfileName>\AppData\Local\Temp\ 또는 C:\Users\<UserProfileName>\AppData\LocalLow\Temp\입니다.

      참고

      SharePoint에서 파일 수준 바이러스 백신 보호를 사용하는 경우 다음 폴더를 제외해야 합니다.

      C:\Users\ServiceAccount\AppData\Local\Temp 또는 C:\Users\Default\AppData\Local\Temp입니다.

    • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\, 또는 C:\Windows\Prefetch\*

    • %Windir%\System32\Spool 또는 C:\Windows\System32\Spool

    • C:\Windows\System32\CatRoot2

    • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\, 또는 C:\Windows\Temp\*

  • Linux 및 macOS:

    • /
    • /bin 또는 /sbin
    • /usr/lib

파일 확장명

공격자가 이러한 형식의 파일을 사용할 수 있으므로 일부 파일 확장자를 검사에서 제외하면 안 됩니다. 일반적으로 다음 파일 확장명은 제외를 정의하지 마세요.

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko 또는 .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

참고

organization 엄격한 업데이트 정책이 있는 최신 소프트웨어를 사용하여 취약성을 처리하는 경우 파일 형식(예.gif: , .jpg, .jpeg또는 .png)을 제외하도록 선택할 수 있습니다.

프로세스

공격자가 이러한 프로세스를 사용할 수 있으므로 검사에서 일부 프로세스를 제외해서는 안 됩니다. 일반적으로 다음 프로세스에 대한 제외를 정의하지 마세요.

  • Windows:

    • AcroRd32.exe
    • addinprocess.exe
    • addinprocess32.exe
    • addinutil.exe
    • bash.exe
    • bginfo.exe
    • bitsadmin.exe
    • cdb.exe
    • csi.exe
    • cmd.exe
    • cscript.exe
    • dbghost.exe
    • dbgsvc.exe
    • dnx.exe
    • dotnet.exe
    • excel.exe
    • fsi.exe
    • fsiAnyCpu.exe
    • iexplore.exe
    • java.exe
    • kd.exe
    • lxssmanager.dll
    • msbuild.exe
    • mshta.exe
    • ntkd.exe
    • ntsd.exe
    • outlook.exe
    • psexec.exe
    • powerpnt.exe
    • powershell.exe
    • rcsi.exe
    • svchost.exe
    • schtasks.exe
    • system.management.automation.dll
    • windbg.exe
    • winword.exe
    • wmic.exe
    • wscript.exe
    • wuauclt.exe

  • Linux 및 macOS:

    • bash
    • java
    • pythonpython3
    • sh
    • zsh

제외 위치가 없는 Files

악의적인 파일은 신뢰하는 파일과 이름이 같을 수 있습니다. 잠재적으로 악의적인 파일을 검사에서 제외하지 않으려면 파일만 제외하지 마세요. 대신 파일에 정규화된 경로를 포함합니다.

예를 들어 검사에서 제외 Filename.exe 하지 마세요. 전체 경로 및 파일() C:\Program Files\Contoso\Filename.exe을 제외합니다.

여러 서버 워크로드에 대한 단일 제외 목록

단일 제외 목록을 사용하여 여러 서버 워크로드에 대한 제외를 정의하지 마세요. 대신 다른 앱 또는 서비스에 대한 여러 목록으로 제외를 분할합니다.

예를 들어 는 IIS에 대한 제외 목록과 SQL Server 제외 목록을 사용합니다.

제외에서 와일드카드로 잘못된 환경 변수

사용자 환경 변수를 폴더의 와일드카드로 사용하고 Microsoft Defender 바이러스 백신에서 제외를 처리하지 마세요. 다음 유형의 환경 변수만 와일드카드로 사용합니다.

  • 시스템 환경 변수.
  • NT AUTHORITY\SYSTEM 계정으로 실행되는 프로세스에 적용되는 환경 변수입니다.

Microsoft Defender 바이러스 백신 서비스는 LocalSystem 계정을 사용하여 시스템 컨텍스트에서 실행됩니다. 서비스는 사용자 환경 변수가 아닌 시스템 환경 변수에서 정보를 가져옵니다.

시스템 환경 변수의 전체 목록은 시스템 환경 변수를 참조하세요.

제외에서 와일드카드를 사용하는 방법에 대한 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 와일드카드 사용을 참조하세요.

참고 항목

  • Last updated on