제외 정의 시 피해야 하는 일반적인 실수

  • 아티클

적용 대상:

플랫폼

  • Windows
  • macOS
  • Linux

중요

주의해서 제외를 추가합니다. Microsoft Defender 바이러스 백신 검사를 제외하면 디바이스에 대한 보호 수준이 줄어듭니다.

바이러스 백신을 Microsoft Defender 검사하지 않으려는 항목에 대한 제외 목록을 정의할 수 있습니다. 그러나 제외된 항목에는 디바이스를 취약하게 만드는 위협이 포함될 수 있습니다. 이 문서에서는 제외를 정의할 때 피해야 하는 몇 가지 일반적인 실수에 대해 설명합니다.

제외 목록을 정의하기 전에 제외에 대한 중요 사항을 참조하고 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외의 자세한 정보를 검토합니다.

신뢰할 수 있는 특정 항목 제외

특정 파일, 파일 형식, 폴더 또는 프로세스는 악의적이지 않다고 신뢰하더라도 검사에서 제외되어서는 안 됩니다. 다음 섹션에 나열된 폴더 위치, 파일 확장자 및 프로세스에 대한 제외를 정의하지 마세요.

폴더 위치

중요

특정 폴더는 악성 파일이 삭제될 수 있는 폴더가 될 수 있으므로 검사에서 제외해서는 안 됩니다.

일반적으로 다음 폴더 위치에 대한 제외를 정의하지 마세요.

  • %systemdrive%
  • C:, C:\, 또는 C:\*
  • %ProgramFiles%\Java 또는 C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\, 또는 C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\, 또는 C:\Temp\*
  • C:\Users\ 또는 C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ 또는 C:\Users\<UserProfileName>\AppData\LocalLow\Temp\입니다. SharePoint에 대해 다음과 같은 중요한 예외를 확인합니다. SharePoint에서 파일 수준 바이러스 백신 보호를 사용하는 경우 또는C:\Users\Default\AppData\Local\Temp 제외 C:\Users\ServiceAccount\AppData\Local\Temp 를 수행합니다.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\, 또는 C:\Windows\Prefetch\*
  • %Windir%\System32\Spool 또는 C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\, 또는 C:\Windows\Temp\*

Linux 및 macOS 플랫폼

일반적으로 다음 폴더 위치에 대한 제외를 정의하지 마세요.

  • /
  • /bin 또는 /sbin
  • /usr/lib

파일 확장명

중요

특정 파일 확장명은 공격에 사용되는 파일 형식일 수 있으므로 제외해서는 안 됩니다.

일반적으로 다음 파일 확장명은 제외를 정의하지 마세요.

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko 또는 .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

프로세스

중요

특정 프로세스는 공격 중에 사용되므로 제외해서는 안 됩니다.

일반적으로 다음 프로세스에 대한 제외를 정의하지 마세요.

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

참고

, , , 등의 .gif파일 형식을 제외하도록 선택할 수 있습니다. 또는 .png 환경에 취약성을 처리하기 위한 엄격한 업데이트 정책이 있는 최신 소프트웨어가 있는 경우 제외할 수 .jpeg있습니다. .jpg

Linux 및 macOS 플랫폼

일반적으로 다음 프로세스에 대한 제외를 정의하지 마세요.

  • bash
  • java
  • pythonpython3
  • sh
  • zsh

제외 목록에서 파일 이름만 사용

맬웨어는 신뢰하고 검사에서 제외하려는 파일의 이름과 같을 수 있습니다. 따라서 검색에서 잠재적인 맬웨어를 제외하지 않으려면 파일 이름만 사용하는 대신 제외하려는 파일의 정규화된 경로를 사용합니다. 예를 들어 검사에서 제외 Filename.exe 하려면 파일의 전체 경로(예: C:\program files\contoso\Filename.exe)를 사용합니다.

여러 서버 워크로드에 단일 제외 목록 사용

단일 제외 목록을 사용하여 여러 서버 워크로드에 대한 제외를 정의하지 마세요. 다른 애플리케이션 또는 서비스 워크로드에 대한 제외를 여러 제외 목록으로 분할합니다. 예를 들어 IIS 서버 워크로드에 대한 제외 목록은 SQL Server 워크로드에 대한 제외 목록과 달라야 합니다.

파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 잘못된 환경 변수를 와일드카드로 사용

Microsoft Defender 바이러스 백신 서비스는 LocalSystem 계정을 사용하여 시스템 컨텍스트에서 실행됩니다. 즉, 사용자 환경 변수가 아닌 시스템 환경 변수에서 정보를 가져옵니다. 제외 목록에서 환경 변수를 와일드카드로 사용하는 것은 시스템 변수 및 NT AUTHORITY\SYSTEM 계정으로 실행되는 프로세스에 적용할 수 있는 변수로 제한됩니다. 따라서 Microsoft Defender 바이러스 백신 폴더를 추가하고 제외를 처리할 때 사용자 환경 변수를 와일드카드로 사용하지 마세요. 시스템 환경 변수의 전체 목록은 시스템 환경 변수 아래의 표를 참조하세요.

제외 목록에서 와일드카드를 사용하는 방법에 대한 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에 와일드카드 사용을 참조하세요.

참고 항목

자세히 알아보시겠습니까? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.