Delen via


Veelvoorkomende fouten bij het definiëren van uitsluitingen voorkomen

Van toepassing op:

Platforms

  • Windows
  • macOS
  • Linux

Belangrijk

Voeg uitsluitingen met de nodige voorzichtigheid toe. Uitsluitingen voor Microsoft Defender Antivirus-scans verlagen het beveiligingsniveau voor apparaten.

U kunt een uitsluitingslijst definiëren voor items die u niet wilt laten scannen door Microsoft Defender Antivirus. Uitgesloten items kunnen echter bedreigingen bevatten die uw apparaat kwetsbaar maken. In dit artikel worden enkele veelvoorkomende fouten beschreven die u moet vermijden bij het definiëren van uitsluitingen.

Bepaalde vertrouwde items uitsluiten

Bepaalde bestanden, bestandstypen, mappen of processen mogen niet worden uitgesloten van scannen, ook al vertrouwt u erop dat ze niet schadelijk zijn. Definieer geen uitsluitingen voor de maplocaties, bestandsextensies en processen die worden vermeld in de volgende secties:

Maplocaties

Belangrijk

Bepaalde mappen mogen niet worden uitgesloten van scans, omdat ze uiteindelijk mappen kunnen worden waarin schadelijke bestanden kunnen worden verwijderd.

Definieer over het algemeen geen uitsluitingen voor een van de volgende maplocaties:

  • %systemdrive%
  • C:, C:\of C:\*
  • %ProgramFiles%\Java of C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\of C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\of C:\Temp\*
  • C:\Users\ of C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ of C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Let op de volgende belangrijke uitzonderingen voor SharePoint: UitsluitenC:\Users\ServiceAccount\AppData\Local\Temp of C:\Users\Default\AppData\Local\Temp wanneer u antivirusbeveiliging op bestandsniveau gebruikt in SharePoint.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\of C:\Windows\Prefetch\*
  • %Windir%\System32\Spool of C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\of C:\Windows\Temp\*

Linux- en macOS-platforms

Definieer over het algemeen geen uitsluitingen voor de volgende maplocaties:

  • /
  • /bin of /sbin
  • /usr/lib

Bestandsextensies

Belangrijk

Bepaalde bestandsextensies mogen niet worden uitgesloten omdat ze bestandstypen kunnen zijn die bij een aanval worden gebruikt.

Definieer over het algemeen geen uitsluitingen voor de volgende bestandsextensies:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko of .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Processen

Belangrijk

Bepaalde processen moeten niet worden uitgesloten omdat ze worden gebruikt tijdens aanvallen.

Definieer over het algemeen geen uitsluitingen voor de volgende processen:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Opmerking

U kunt ervoor kiezen om bestandstypen uit te sluiten, zoals .gif, .jpg, .jpegof .png als uw omgeving moderne, up-to-date software heeft met een strikt updatebeleid om beveiligingsproblemen af te handelen.

Linux- en macOS-platforms

Definieer over het algemeen geen uitsluitingen voor de volgende processen:

  • bash
  • java
  • python en python3
  • sh
  • zsh

Alleen de bestandsnaam in de uitsluitingslijst gebruiken

Malware kan dezelfde naam hebben als een bestand dat u vertrouwt en wilt uitsluiten van scannen. Als u wilt voorkomen dat mogelijke malware wordt gescand, gebruikt u een volledig gekwalificeerd pad naar het bestand dat u wilt uitsluiten in plaats van alleen de bestandsnaam te gebruiken. Als u bijvoorbeeld wilt uitsluiten Filename.exe van scannen, gebruikt u het volledige pad naar het bestand, zoals C:\program files\contoso\Filename.exe.

Eén uitsluitingslijst gebruiken voor workloads van meerdere servers

Gebruik geen enkele uitsluitingslijst om uitsluitingen voor meerdere serverworkloads te definiëren. Splits de uitsluitingen voor verschillende toepassings- of serviceworkloads in meerdere uitsluitingslijsten. De uitsluitingslijst voor uw IIS Server-workload moet bijvoorbeeld verschillen van de uitsluitingslijst voor uw SQL Server-workload.

Onjuiste omgevingsvariabelen gebruiken als jokertekens in de uitsluitingslijsten voor bestandsnaam en mappad of extensie

Microsoft Defender Antivirus Service wordt uitgevoerd in systeemcontext met behulp van het LocalSystem-account, wat betekent dat er informatie wordt opgehaald uit de omgevingsvariabele van het systeem en niet uit de omgevingsvariabele van de gebruiker. Het gebruik van omgevingsvariabelen als jokerteken in uitsluitingslijsten is beperkt tot systeemvariabelen en variabelen die van toepassing zijn op processen die worden uitgevoerd als een NT AUTHORITY\SYSTEM-account. Gebruik daarom geen gebruikersomgevingsvariabelen als jokertekens bij het toevoegen van microsoft Defender Antivirus-mappen en procesuitsluitingen. Zie de tabel onder Systeemomgevingsvariabelen voor een volledige lijst met systeemomgevingsvariabelen.

Zie Jokertekens gebruiken in de uitsluitingslijsten voor bestandsnaam en mappad of extensie voor informatie over het gebruik van jokertekens in uitsluitingslijsten.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.