Erros comuns a evitar ao definir exclusões
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
- macOS
- Linux
Importante
Adicione exclusões com cuidado. Exclusões para verificações de antivírus Microsoft Defender reduzem o nível de proteção para dispositivos.
Você pode definir uma lista de exclusão para itens que não deseja que Microsoft Defender Antivírus examinem. No entanto, itens excluídos podem conter ameaças que tornam seu dispositivo vulnerável. Este artigo descreve alguns erros comuns que você deve evitar ao definir exclusões.
Dica
Antes de definir suas listas de exclusão, consulte Pontos importantes sobre exclusões e examine as informações detalhadas em Exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.
Excluindo determinados itens confiáveis
Certos arquivos, tipos de arquivo, pastas ou processos não devem ser excluídos da verificação, embora você confie que eles não são mal-intencionados. Não defina exclusões para os locais da pasta, extensões de arquivo e processos listados nas seguintes seções:
Locais da pasta
Importante
Determinadas pastas não devem ser excluídas dos exames porque podem acabar sendo pastas em que arquivos mal-intencionados podem ser descartados.
Em geral, não defina exclusões para nenhum dos seguintes locais de pasta:
%systemdrive%
C:
,C:\
ouC:\*
%ProgramFiles%\Java
ouC:\Program Files\Java
%ProgramFiles%\Contoso\
,C:\Program Files\Contoso\
,%ProgramFiles(x86)%\Contoso\
ouC:\Program Files (x86)\Contoso\
C:\Temp
,C:\Temp\
ouC:\Temp\*
C:\Users\
ouC:\Users\*
C:\Users\<UserProfileName>\AppData\Local\Temp\
ouC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
. Observe as seguintes exceções importantes para o SharePoint: excluaC:\Users\ServiceAccount\AppData\Local\Temp
ouC:\Users\Default\AppData\Local\Temp
quando você usa a proteção antivírus no nível do arquivo no SharePoint.%Windir%\Prefetch
,C:\Windows\Prefetch
,C:\Windows\Prefetch\
ouC:\Windows\Prefetch\*
%Windir%\System32\Spool
ouC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
%Windir%\Temp
,C:\Windows\Temp
,C:\Windows\Temp\
ouC:\Windows\Temp\*
Plataformas Linux e macOS
Em geral, não defina exclusões para os seguintes locais de pasta:
/
/bin
ou/sbin
/usr/lib
Extensões de arquivo
Importante
Determinadas extensões de arquivo não devem ser excluídas porque podem ser tipos de arquivo usados em um ataque.
Em geral, não defina exclusões para as seguintes extensões de arquivo:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
.ko
ou.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
Processos
Importante
Determinados processos não devem ser excluídos porque são usados durante ataques.
Em geral, não defina exclusões para os seguintes processos:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
Observação
Você pode optar por excluir tipos de arquivo, como .gif
, .jpg
, .jpeg
ou .png
se seu ambiente tiver um software moderno e atualizado com uma política de atualização estrita para lidar com quaisquer vulnerabilidades.
Plataformas Linux e macOS
Em geral, não defina exclusões para os seguintes processos:
bash
java
python
epython3
sh
zsh
Usando apenas o nome do arquivo na lista de exclusão
O malware pode ter o mesmo nome de um arquivo em que você confia e deseja excluir da verificação. Portanto, para evitar a exclusão do malware potencial da verificação, use um caminho totalmente qualificado para o arquivo que você deseja excluir em vez de usar apenas o nome do arquivo. Por exemplo, se você quiser excluir Filename.exe
da verificação, use o caminho completo para o arquivo, como C:\program files\contoso\Filename.exe
.
Usando uma única lista de exclusão para várias cargas de trabalho de servidor
Não use uma única lista de exclusão para definir exclusões para várias cargas de trabalho de servidor. Divida as exclusões para cargas de trabalho de aplicativo ou serviço diferentes em várias listas de exclusão. Por exemplo, a lista de exclusão da carga de trabalho do servidor do IIS deve ser diferente da lista de exclusão da carga de trabalho SQL Server.
Usando variáveis de ambiente incorretas como curingas nas listas de exclusão de nome de arquivo e caminho de pasta ou extensão
Microsoft Defender Serviço Antivírus é executado no contexto do sistema usando a conta LocalSystem, o que significa que ele obtém informações da variável de ambiente do sistema e não da variável de ambiente do usuário. O uso de variáveis de ambiente como curinga em listas de exclusão é limitado a variáveis de sistema e aquelas aplicáveis a processos em execução como uma conta NT AUTHORITY\SYSTEM. Portanto, não use variáveis de ambiente de usuário como curinga ao adicionar Microsoft Defender pasta Antivírus e exclusões de processo. Consulte a tabela em Variáveis de ambiente do sistema para obter uma lista completa de variáveis de ambiente do sistema.
Consulte Usar curingas nas listas de exclusão do nome do arquivo e do caminho da pasta ou da extensão para obter informações sobre como usar curingas em listas de exclusão.
Confira também
- Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
- Configurar exclusões personalizadas para Microsoft Defender Antivírus
- Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no Linux
- Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no macOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de