Udostępnij za pośrednictwem

Wykluczenia programu antywirusowego Microsoft Defender w systemie Windows Server

  • Artykuł

Dotyczy:

Platformy

  • Serwer z systemem Windows

W tym artykule opisano typy wykluczeń, których nie trzeba definiować dla programu antywirusowego Microsoft Defender:

Aby uzyskać bardziej szczegółowe omówienie wykluczeń, zobacz Zarządzanie wykluczeniami dla programu Microsoft Defender for Endpoint i programu antywirusowego Microsoft Defender.

Kilka ważnych kwestii dotyczących wykluczeń w systemie Windows Server

  • Wykluczenia niestandardowe mają pierwszeństwo przed automatycznymi wykluczeniami.
  • Automatyczne wykluczenia mają zastosowanie tylko do skanowania ochrony w czasie rzeczywistym (RTP ).
  • Automatyczne wykluczenia nie są uwzględniane podczas szybkiego skanowania, pełnego skanowania i skanowania niestandardowego.
  • Wykluczenia niestandardowe i zduplikowane nie powodują konfliktu z automatycznymi wykluczeniami.
  • Program antywirusowy Microsoft Defender używa narzędzi do obsługi i zarządzania obrazami wdrożenia (DISM), aby określić, które role są zainstalowane na komputerze.
  • Należy ustawić odpowiednie wykluczenia dla oprogramowania, które nie jest dołączone do systemu operacyjnego.
  • System Windows Server 2012 R2 nie ma programu antywirusowego Microsoft Defender jako funkcji instalowania. Po dołączeniu tych serwerów do usługi Defender for Endpoint zainstalujesz program antywirusowy Microsoft Defender i zostaną zastosowane domyślne wykluczenia dla plików systemu operacyjnego. Jednak wykluczenia dla ról serwera (jak określono poniżej) nie są stosowane automatycznie i należy odpowiednio skonfigurować te wykluczenia. Aby dowiedzieć się więcej, zobacz Dołączanie serwerów z systemem Windows do usługi Microsoft Defender for Endpoint.
  • Wbudowane wykluczenia i automatyczne wykluczenia ról serwera nie są wyświetlane na standardowych listach wykluczeń, które są wyświetlane w aplikacji Zabezpieczenia systemu Windows.
  • Lista wbudowanych wykluczeń w systemie Windows jest aktualizowana wraz ze zmianą krajobrazu zagrożeń. W tym artykule wymieniono niektóre, ale nie wszystkie wbudowane i automatyczne wykluczenia.

Automatyczne wykluczenia roli serwera

W systemie Windows Server 2016 lub nowszym nie należy definiować wykluczeń dla ról serwera. Podczas instalowania roli w systemie Windows Server 2016 lub nowszym program antywirusowy Microsoft Defender zawiera automatyczne wykluczenia dla roli serwera i wszystkich plików dodanych podczas instalowania roli.

System Windows Server 2012 R2 nie obsługuje funkcji automatycznych wykluczeń. Należy zdefiniować jawne wykluczenia dla dowolnej roli serwera i dowolnego oprogramowania, które zostało dodane po zainstalowaniu systemu operacyjnego.

Ważna

  • Lokalizacje domyślne mogą być inne niż lokalizacje opisane w tym artykule.
  • Aby ustawić wykluczenia dla oprogramowania, które nie jest uwzględnione jako funkcja systemu Windows lub rola serwera, zapoznaj się z dokumentacją producenta oprogramowania.

Automatyczne wykluczenia obejmują:

Wykluczenia funkcji Hyper-V

Poniższa tabela zawiera listę wykluczeń typów plików, wykluczeń folderów i wykluczeń procesów, które są dostarczane automatycznie podczas instalowania roli funkcji Hyper-V.

Typ wykluczenia Specyfiki
Typy plików *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Foldery %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Procesów %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Pliki SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Wykluczenia usługi Active Directory

Ta sekcja zawiera listę wykluczeń, które są dostarczane automatycznie podczas instalowania usług Active Directory Domain Services (AD DS).

Pliki bazy danych NTDS

Pliki bazy danych są określone w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Pliki dziennika transakcji usług AD DS

Pliki dziennika transakcji są określone w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Folder roboczy NTDS

Ten folder jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Wykluczenia serwera DHCP

Ta sekcja zawiera listę wykluczeń, które są dostarczane automatycznie podczas instalowania roli serwera DHCP. Lokalizacje plików serwera DHCP są określane przez parametry DatabasePath, DhcpLogFilePath i BackupDatabasePath w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Wykluczenia serwera DNS

Ta sekcja zawiera listę wykluczeń plików i folderów oraz wykluczeń procesu, które są dostarczane automatycznie podczas instalowania roli serwera DNS.

Wykluczenia plików i folderów dla roli serwera DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Wykluczenia procesów dla roli serwera DNS

  • %systemroot%\System32\dns.exe

Wykluczenia usług plików i magazynowania

Ta sekcja zawiera listę wykluczeń plików i folderów, które są dostarczane automatycznie podczas instalowania roli Usługi plików i magazynowania. Wykluczenia wymienione poniżej nie obejmują wykluczeń dla roli Klastrowanie.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Ta sekcja zawiera listę wykluczeń typów plików, wykluczeń folderów i wykluczeń procesu, które są dostarczane automatycznie podczas instalowania roli serwera wydruku.

Wykluczenia typu pliku

  • *.shd
  • *.spl

Wykluczenia folderów

Ten folder jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Wykluczenia procesów dla roli serwera wydruku

  • spoolsv.exe

Wykluczenia serwera sieci Web

Ta sekcja zawiera listę wykluczeń folderów i wykluczeń procesu, które są dostarczane automatycznie podczas instalowania roli serwera sieci Web.

Wykluczenia folderów

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Wykluczenia procesów dla roli serwera sieci Web

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Wyłączanie skanowania plików w folderze Sysvol\Sysvol lub folderze SYSVOL_DFSR\Sysvol

Bieżąca lokalizacja folderu Sysvol\Sysvol lub SYSVOL_DFSR\Sysvol i wszystkich podfolderów jest miejscem docelowym ponownej analizy systemu plików w katalogu głównym zestawu replik. Foldery Sysvol\Sysvol i SYSVOL_DFSR\Sysvol domyślnie używają następujących lokalizacji:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Ścieżka do aktualnie aktywnego SYSVOL obiektu jest przywoływane przez udział NETLOGON i może być określana przez nazwę wartości SysVol w następującym podkluczu: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Wykluczenia usług Windows Server Update Services

Ta sekcja zawiera listę wykluczeń folderów, które są dostarczane automatycznie podczas instalowania roli usług Windows Server Update Services (WSUS). Folder WSUS jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Wbudowane wykluczenia

Ponieważ program antywirusowy Microsoft Defender jest wbudowany w system Windows, nie wymaga wykluczeń dla plików systemu operacyjnego w żadnej wersji systemu Windows.

Wbudowane wykluczenia obejmują:

Lista wbudowanych wykluczeń w systemie Windows jest aktualizowana wraz ze zmianą krajobrazu zagrożeń.

Pliki "temp.edb" systemu Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Pliki usługi Windows Update lub pliki aktualizacji automatycznej

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Pliki zabezpieczeń systemu Windows

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Pliki zasad grupy

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

Pliki WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Wykluczenia usługi replikacji plików (FRS)

  • Pliki w folderze roboczym usługi replikacji plików (FRS). Folder roboczy usługi FRS jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Pliki dziennika bazy danych USŁUGI FRS. Folder pliku dziennika bazy danych usługi FRS jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Folder przejściowy usługi FRS. Folder przejściowy jest określony w kluczu rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Preinstaluj folder FRS. Ten folder jest określony przez folder Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Baza danych i foldery robocze replikacji rozproszonego systemu plików (DFSR). Te foldery są określane przez klucz rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Uwaga

    W przypadku lokalizacji niestandardowych zobacz Rezygnacja z automatycznych wykluczeń.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Wykluczenia procesów dla wbudowanych plików systemu operacyjnego

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Rezygnacja z automatycznych wykluczeń

W systemie Windows Server 2016 i nowszych wstępnie zdefiniowane wykluczenia dostarczane przez aktualizacje analizy zabezpieczeń wykluczają tylko ścieżki domyślne dla roli lub funkcji. Jeśli zainstalowano rolę lub funkcję w ścieżce niestandardowej lub chcesz ręcznie kontrolować zestaw wykluczeń, pamiętaj, aby zrezygnować z automatycznych wykluczeń dostarczanych w aktualizacjach analizy zabezpieczeń. Należy jednak pamiętać, że wykluczenia dostarczane automatycznie są zoptymalizowane pod kątem systemu Windows Server 2016 i nowszych. Przed zdefiniowaniem list wykluczeń zobacz Ważne kwestie dotyczące wykluczeń .

Ostrzeżenie

Rezygnacja z automatycznych wykluczeń może niekorzystnie wpłynąć na wydajność lub spowodować uszkodzenie danych. Automatyczne wykluczenia ról serwera są zoptymalizowane pod kątem systemów Windows Server 2016, Windows Server 2019 i Windows Server 2022.

Ponieważ wstępnie zdefiniowane wykluczenia wykluczają tylko ścieżki domyślne, w przypadku przeniesienia folderów NTDS i SYSVOL na inny dysk lub ścieżkę inną niż oryginalna ścieżka należy dodać wykluczenia ręcznie. Zobacz Konfigurowanie listy wykluczeń na podstawie nazwy folderu lub rozszerzenia pliku.

Listy wykluczeń automatycznych można wyłączyć za pomocą zasad grupy, poleceń cmdlet programu PowerShell i usługi WMI.

Użyj zasad grupy, aby wyłączyć listę wykluczeń automatycznych w systemach Windows Server 2016, Windows Server 2019 i Windows Server 2022

  1. Na komputerze zarządzania zasadami grupy otwórz konsolę zarządzania zasadami grupy. Kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do pozycji Konfiguracja komputera, a następnie wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników> systemu WindowsWykluczenia programu antywirusowego> Microsoft Defender.

  4. Kliknij dwukrotnie pozycję Wyłącz automatyczne wykluczenia i ustaw opcję Włączone. Następnie wybierz przycisk OK.

Użyj poleceń cmdlet programu PowerShell, aby wyłączyć listę wykluczeń automatycznych w systemie Windows Server

Użyj następujących poleceń cmdlet:

Set-MpPreference -DisableAutoExclusions $true

Aby dowiedzieć się więcej, zobacz następujące zasoby:

Użyj instrukcji zarządzania systemem Windows (WMI), aby wyłączyć listę wykluczeń automatycznych w systemie Windows Server

Użyj metody Set klasy MSFT_MpPreference dla następujących właściwości:

DisableAutoExclusions

Aby uzyskać więcej informacji i dozwolone parametry, zobacz:

Definiowanie wykluczeń niestandardowych

W razie potrzeby można dodać lub usunąć wykluczenia niestandardowe. Aby to zrobić, zobacz następujące artykuły:

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.