Microsoft Defender exclusões antivírus no Windows Server
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
Este artigo descreve tipos de exclusões que você não precisa definir para Microsoft Defender Antivírus:
- Exclusões internas para arquivos do sistema operacional em todas as versões do Windows.
- Exclusões automáticas para funções em Windows Server 2016 e posteriores.
Para obter uma visão geral mais detalhada das exclusões, consulte Gerenciar exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.
Alguns pontos importantes sobre exclusões no Windows Server
- Exclusões personalizadas têm precedência sobre exclusões automáticas.
- As exclusões automáticas só se aplicam à verificação de RTP (proteção em tempo real ).
- Exclusões automáticas não são respeitadas durante uma verificação rápida, verificação completa e verificação personalizada.
- Exclusões personalizadas e duplicadas não entram em conflito com exclusões automáticas.
- Microsoft Defender Antivírus usa as ferramentas DISM (Serviço de Imagem de Implantação e Gerenciamento) para determinar quais funções estão instaladas no computador.
- As exclusões apropriadas devem ser definidas para o software que não está incluído no sistema operacional.
- Windows Server 2012 R2 não tem Microsoft Defender Antivírus como um recurso instalável. Ao integrar esses servidores ao Defender para Ponto de Extremidade, você instalará Microsoft Defender Antivírus e as exclusões padrão para arquivos do sistema operacional são aplicadas. No entanto, as exclusões para funções de servidor (conforme especificado abaixo) não se aplicam automaticamente e você deve configurar essas exclusões conforme apropriado. Para saber mais, confira Integrar servidores Windows ao serviço Microsoft Defender para Ponto de Extremidade.
- Exclusões internas e exclusões automáticas de função do servidor não aparecem nas listas de exclusão padrão mostradas no aplicativo Segurança do Windows.
- A lista de exclusões internas no Windows é mantida atualizada à medida que o cenário de ameaças muda. Este artigo lista algumas, mas não todas, das exclusões internas e automáticas.
Exclusões automáticas de função de servidor
Em Windows Server 2016 ou posterior, você não deve definir exclusões para funções de servidor. Quando você instala uma função no Windows Server 2016 ou posterior, Microsoft Defender Antivírus inclui exclusões automáticas para a função de servidor e todos os arquivos adicionados durante a instalação da função.
Windows Server 2012 R2 não dá suporte ao recurso de exclusões automáticas. Você precisará definir exclusões explícitas para qualquer função de servidor e qualquer software adicionado após a instalação do sistema operacional.
Importante
- Os locais padrão podem ser diferentes dos locais descritos neste artigo.
- Para definir exclusões para software que não está incluído como um recurso do Windows ou função de servidor, consulte a documentação do fabricante do software.
As exclusões automáticas incluem:
- Exclusões do Hyper-V
- Arquivos SYSVOL
- Exclusões do Active Directory
- Exclusões do SERVIDOR DHCP
- Exclusões do Servidor DNS
- Exclusões dos Serviços de Armazenamento e Arquivos
- Excluir exclusões do Servidor de Impressão
- Exclusões do Servidor Web
- exclusões Windows Server Update Services
Exclusões do Hyper-V
A tabela a seguir lista as exclusões de tipo de arquivo, exclusões de pasta e exclusões de processo que são entregues automaticamente quando você instala a função Hyper-V.
Tipo de exclusão | Especificidades |
---|---|
Tipos de arquivos | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Folders | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Processos | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
Arquivos SYSVOL
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Exclusões do Active Directory
Esta seção lista as exclusões que são entregues automaticamente quando você instala Active Directory Domain Services (AD DS).
Arquivos de banco de dados NTDS
Os arquivos de banco de dados são especificados na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
Os arquivos de log de transações do AD DS
Os arquivos de log de transação são especificados na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
A pasta de trabalho NTDS
Essa pasta é especificada na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
Processar exclusões para arquivos de suporte relacionados ao AD DS e AD DS
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
Exclusões do SERVIDOR DHCP
Esta seção lista as exclusões que são entregues automaticamente quando você instala a função DHCP Server. Os locais de arquivo do SERVIDOR DHCP são especificados pelos parâmetros DatabasePath, DhcpLogFilePath e BackupDatabasePath na chave do registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
Exclusões do Servidor DNS
Esta seção lista as exclusões de arquivo e pasta e as exclusões de processo que são entregues automaticamente quando você instala a função DNS Server.
Exclusões de arquivos e pastas para a função DNS Server
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
Processar exclusões para a função DNS Server
%systemroot%\System32\dns.exe
Exclusões dos Serviços de Armazenamento e Arquivos
Esta seção lista as exclusões de arquivo e pasta que são entregues automaticamente quando você instala a função Arquivo e Serviços de Armazenamento. As exclusões listadas abaixo não incluem exclusões para a função clustering.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Excluir exclusões do Servidor de Impressão
Esta seção lista as exclusões de tipo de arquivo, exclusões de pasta e as exclusões de processo que são entregues automaticamente quando você instala a função Servidor de Impressão.
Exclusões de tipo de arquivo
*.shd
*.spl
Exclusões de pastas
Essa pasta é especificada na chave do registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Processar exclusões para a função Servidor de Impressão
spoolsv.exe
Exclusões do Servidor Web
Esta seção lista as exclusões de pasta e as exclusões de processo que são entregues automaticamente quando você instala a função do Servidor Web.
Exclusões de pastas
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Processar exclusões para a função de Servidor Web
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
Desativar a verificação de arquivos na pasta Sysvol\Sysvol ou na pasta SYSVOL_DFSR\Sysvol
O local atual da Sysvol\Sysvol
pasta ou SYSVOL_DFSR\Sysvol
e todas as subpastas é o destino de reparso do sistema de arquivos do réplica raiz definida. As Sysvol\Sysvol
pastas e SYSVOL_DFSR\Sysvol
usam os seguintes locais por padrão:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
O caminho para o atualmente ativo SYSVOL
é referenciado pelo compartilhamento NETLOGON e pode ser determinado pelo nome do valor SysVol na seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Exclua os seguintes arquivos desta pasta e de todas as subpastas:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
exclusões Windows Server Update Services
Esta seção lista as exclusões de pasta que são entregues automaticamente quando você instala a função Windows Server Update Services (WSUS). A pasta WSUS é especificada na chave do registro HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Exclusões internas
Como Microsoft Defender Antivírus é incorporado ao Windows, ele não requer exclusões para arquivos do sistema operacional em nenhuma versão do Windows.
As exclusões internas incluem:
- Arquivos "temp.edb" do Windows
- arquivos Windows Update ou arquivos de Atualização Automática
- Segurança do Windows arquivos
- Política de Grupo arquivos
- Arquivos WINS
- Exclusões do FRS (Serviço de Replicação de Arquivos)
- Processar exclusões para arquivos internos do sistema operacional
A lista de exclusões internas no Windows é mantida atualizada à medida que o cenário de ameaças muda.
Arquivos "temp.edb" do Windows
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
arquivos Windows Update ou arquivos de Atualização Automática
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Segurança do Windows arquivos
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
Política de Grupo arquivos
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
Arquivos WINS
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Exclusões do FRS (Serviço de Replicação de Arquivos)
Arquivos na pasta de trabalho FRS (Serviço de Replicação de Arquivos). A pasta de trabalho FRS é especificada na chave do registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
Arquivos de log do Banco de Dados FRS. A pasta de arquivo de log do Banco de Dados FRS é especificada na chave do registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
A pasta de preparo FRS. A pasta de preparo é especificada na chave do registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
A pasta de pré-instalação do FRS. Essa pasta é especificada pela pasta
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
O banco de dados DFSR (Replicação do Sistema de Arquivos Distribuídos) e as pastas de trabalho. Essas pastas são especificadas pela chave do registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Observação
Para locais personalizados, consulte Optando por exclusões automáticas.
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Processar exclusões para arquivos internos do sistema operacional
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Optando por exclusões automáticas
Em Windows Server 2016 e posteriores, as exclusões predefinidas entregues por atualizações de inteligência de segurança excluem apenas os caminhos padrão para uma função ou recurso. Se você instalou uma função ou recurso em um caminho personalizado ou deseja controlar manualmente o conjunto de exclusões, não deixe de aceitar as exclusões automáticas entregues em atualizações de inteligência de segurança. Mas tenha em mente que as exclusões entregues automaticamente são otimizadas para Windows Server 2016 e posteriores. Consulte Pontos importantes sobre exclusões antes de definir suas listas de exclusão.
Aviso
A exclusão automática pode afetar negativamente o desempenho ou resultar em corrupção de dados. As exclusões automáticas de função do servidor são otimizadas para Windows Server 2016, Windows Server 2019 e Windows Server 2022.
Como exclusões predefinidas só excluem caminhos padrão, se você mover pastas NTDS e SYSVOL para outra unidade ou caminho diferente do caminho original, você deverá adicionar exclusões manualmente. Consulte Configurar a lista de exclusões com base no nome da pasta ou na extensão do arquivo.
Você pode desabilitar as listas de exclusão automática com Política de Grupo, cmdlets do PowerShell e WMI.
Use Política de Grupo para desabilitar a lista de exclusões automáticas em Windows Server 2016, Windows Server 2019 e Windows Server 2022
No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo. Clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.
No Política de Grupo Gerenciamento Editor vá para a configuração do computador e selecione Modelos administrativos.
Expanda a árvore para componentes> do Windows Microsoft Defender Exclusões antivírus>.
Clique duas vezes em Desativar Exclusões Automáticas e defina a opção como Habilitada. Selecione OK.
Usar cmdlets do PowerShell para desabilitar a lista de exclusões automáticas no Windows Server
Use os seguintes cmdlets:
Set-MpPreference -DisableAutoExclusions $true
Para saber mais, confira os seguintes recursos:
- Use cmdlets do PowerShell para configurar e executar Microsoft Defender Antivírus.
- Use o PowerShell com Microsoft Defender Antivírus.
Usar a WMI (Instrução de Gerenciamento do Windows) para desabilitar a lista de exclusões automáticas no Windows Server
Use o método Set da classe MSFT_MpPreference para as seguintes propriedades:
DisableAutoExclusions
Para obter mais informações e parâmetros permitidos, consulte:
Definindo exclusões personalizadas
Se necessário, você pode adicionar ou remover exclusões personalizadas. Para fazer isso, confira os seguintes artigos:
- Configurar exclusões personalizadas para Microsoft Defender Antivírus
- Configurar e validar exclusões com base no nome do arquivo, na extensão e no local da pasta
- Configurar e validar exclusões para arquivos abertos por processos
Confira também
- Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
- Erros comuns a evitar ao definir exclusões
- Personalizar, iniciar e examinar os resultados de Microsoft Defender exames antivírus e correção
- Microsoft Defender para Ponto de Extremidade no Mac
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de