Udostępnij za pośrednictwem


Typowe błędy, których należy unikać podczas definiowania wykluczeń

Dotyczy:

Platformy

  • System Windows
  • macOS
  • Linux

Ważna

Ostrożnie dodaj wykluczenia. Wykluczenia skanowania programu antywirusowego Microsoft Defender zmniejszają poziom ochrony urządzeń.

Możesz zdefiniować listę wykluczeń dla elementów, których nie chcesz skanować w programie antywirusowym Microsoft Defender. Jednak wykluczone elementy mogą zawierać zagrożenia, które sprawiają, że urządzenie jest narażone na zagrożenia. W tym artykule opisano niektóre typowe błędy, których należy unikać podczas definiowania wykluczeń.

Wykluczanie niektórych zaufanych elementów

Niektórych plików, typów plików, folderów lub procesów nie należy wykluczać ze skanowania, nawet jeśli uważasz, że nie są złośliwe. Nie zdefiniuj wykluczeń dla lokalizacji folderów, rozszerzeń plików i procesów wymienionych w następujących sekcjach:

Lokalizacje folderów

Ważna

Niektórych folderów nie należy wykluczać ze skanowania, ponieważ mogą to być foldery, w których złośliwe pliki mogą zostać usunięte.

Ogólnie rzecz biorąc, nie należy definiować wykluczeń dla żadnej z następujących lokalizacji folderów:

  • %systemdrive%
  • C:, , C:\lub C:\*
  • %ProgramFiles%\Java lub C:\Program Files\Java
  • %ProgramFiles%\Contoso\, , C:\Program Files\Contoso\%ProgramFiles(x86)%\Contoso\, lubC:\Program Files (x86)\Contoso\
  • C:\Temp, , C:\Temp\lub C:\Temp\*
  • C:\Users\ lub C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ lub C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Zwróć uwagę na następujące ważne wyjątki dla programu SharePoint: Nie wykluczajC:\Users\ServiceAccount\AppData\Local\Temp lub C:\Users\Default\AppData\Local\Temp gdy używasz ochrony antywirusowej na poziomie pliku w programie SharePoint.
  • %Windir%\Prefetch, , C:\Windows\PrefetchC:\Windows\Prefetch\, lubC:\Windows\Prefetch\*
  • %Windir%\System32\Spool lub C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, , C:\Windows\TempC:\Windows\Temp\, lubC:\Windows\Temp\*

Platformy systemu Linux i macOS

Ogólnie rzecz biorąc, nie należy definiować wykluczeń dla następujących lokalizacji folderów:

  • /
  • /bin lub /sbin
  • /usr/lib

Rozszerzenia plików

Ważna

Niektórych rozszerzeń plików nie należy wykluczać, ponieważ mogą to być typy plików używane w ataku.

Ogólnie rzecz biorąc, nie należy definiować wykluczeń dla następujących rozszerzeń plików:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko lub .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Procesów

Ważna

Niektórych procesów nie należy wykluczać, ponieważ są używane podczas ataków.

Ogólnie rzecz biorąc, nie należy definiować wykluczeń dla następujących procesów:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Uwaga

Można wykluczyć typy plików, takie jak .gif, .jpg, .jpeglub .png jeśli środowisko ma nowoczesne, aktualne oprogramowanie z rygorystycznymi zasadami aktualizacji w celu obsługi wszelkich luk w zabezpieczeniach.

Platformy systemu Linux i macOS

Ogólnie rzecz biorąc, nie należy definiować wykluczeń dla następujących procesów:

  • bash
  • java
  • python i python3
  • sh
  • zsh

Używanie tylko nazwy pliku na liście wykluczeń

Złośliwe oprogramowanie może mieć taką samą nazwę jak plik, któremu ufasz i który chcesz wykluczyć ze skanowania. W związku z tym, aby uniknąć wykluczania potencjalnego złośliwego oprogramowania ze skanowania, użyj w pełni kwalifikowanej ścieżki do pliku, który chcesz wykluczyć, zamiast używać tylko nazwy pliku. Jeśli na przykład chcesz wykluczyć Filename.exe ze skanowania, użyj pełnej ścieżki do pliku, takiej jak C:\program files\contoso\Filename.exe.

Używanie pojedynczej listy wykluczeń dla wielu obciążeń serwera

Nie używaj jednej listy wykluczeń do definiowania wykluczeń dla wielu obciążeń serwera. Podziel wykluczenia dla różnych obciążeń aplikacji lub usług na wiele list wykluczeń. Na przykład lista wykluczeń dla obciążenia serwera usług IIS musi różnić się od listy wykluczeń dla obciążenia programu SQL Server.

Używanie nieprawidłowych zmiennych środowiskowych jako symboli wieloznacznych na liście wykluczeń nazwy pliku i folderu lub rozszerzenia

Usługa antywirusowa Microsoft Defender działa w kontekście systemu przy użyciu konta LocalSystem, co oznacza, że pobiera informacje ze zmiennej środowiskowej systemu, a nie ze zmiennej środowiskowej użytkownika. Używanie zmiennych środowiskowych jako symbolu wieloznacznego na listach wykluczeń jest ograniczone do zmiennych systemowych i tych mających zastosowanie do procesów działających jako konto NT AUTHORITY\SYSTEM. W związku z tym nie używaj zmiennych środowiskowych użytkownika jako symboli wieloznacznych podczas dodawania folderu programu antywirusowego Microsoft Defender i wykluczeń procesów. Zobacz tabelę w obszarze Zmienne środowiskowe systemu , aby uzyskać pełną listę systemowych zmiennych środowiskowych.

Aby uzyskać informacje na temat używania symboli wieloznacznych na listach wykluczeń, zobacz Używanie symboli wieloznacznych na liście wykluczeń .

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.