exclusões do Antivírus do Microsoft Defender no Windows Server

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Este artigo descreve tipos de exclusões que não tem de definir para Microsoft Defender Antivírus:

Para obter uma descrição geral mais detalhada das exclusões, veja Manage exclusions for Microsoft Defender para Endpoint and Microsoft Defender Antivirus (Gerir exclusões para Microsoft Defender para Endpoint e Antivírus do Microsoft Defender).

Alguns pontos importantes sobre exclusões no Windows Server

  • As exclusões personalizadas têm precedência sobre as exclusões automáticas.
  • As exclusões automáticas aplicam-se apenas à análise de proteção em tempo real (RTP ).
  • As exclusões automáticas não são honradas durante uma análise rápida, análise completa e análise personalizada.
  • As exclusões personalizadas e duplicadas não entram em conflito com as exclusões automáticas.
  • Microsoft Defender Antivírus utiliza as ferramentas de Gestão e Manutenção de Imagens de Implementação (DISM) para determinar que funções estão instaladas no seu computador.
  • As exclusões adequadas têm de ser definidas para software que não esteja incluído no sistema operativo.
  • Windows Server 2012 R2 não tem Microsoft Defender Antivírus como uma funcionalidade instalável. Quando integrar esses servidores no Defender para Endpoint, irá instalar Microsoft Defender Antivírus e são aplicadas exclusões predefinidas para ficheiros do sistema operativo. No entanto, as exclusões para funções de servidor (conforme especificado abaixo) não se aplicam automaticamente e deve configurar estas exclusões conforme adequado. Para saber mais, veja Integrar servidores Windows no serviço Microsoft Defender para Endpoint.
  • As exclusões incorporadas e as exclusões automáticas de funções de servidor não aparecem nas listas de exclusão padrão apresentadas na aplicação Segurança do Windows.
  • A lista de exclusões incorporadas no Windows é mantida atualizada à medida que o panorama das ameaças muda. Este artigo lista algumas das exclusões incorporadas e automáticas, mas não todas.

Exclusões automáticas de funções de servidor

No Windows Server 2016 ou posterior, não deve ter de definir exclusões para funções de servidor. Quando instala uma função no Windows Server 2016 ou posterior, Microsoft Defender Antivírus inclui exclusões automáticas para a função de servidor e quaisquer ficheiros adicionados durante a instalação da função.

Windows Server 2012 R2 não suporta a funcionalidade de exclusões automáticas. Terá de definir exclusões explícitas para qualquer função de servidor e qualquer software que seja adicionado após a instalação do sistema operativo.

Importante

  • As localizações predefinidas podem ser diferentes das localizações descritas neste artigo.
  • Para definir exclusões para software que não está incluído como uma função de servidor ou funcionalidade do Windows, consulte a documentação do fabricante do software.

As exclusões automáticas incluem:

Exclusões de Hyper-V

A tabela seguinte lista as exclusões de tipo de ficheiro, exclusões de pastas e exclusões de processos que são fornecidas automaticamente quando instala a função Hyper-V.

Tipo de exclusão Especificações
Tipos de ficheiro *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Pastas %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processos %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Ficheiros SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Exclusões do Active Directory

Esta secção lista as exclusões que são fornecidas automaticamente quando instala Active Directory Domain Services (AD DS).

Ficheiros de base de dados NTDS

Os ficheiros da base de dados são especificados na chave do registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Os ficheiros de registo de transações do AD DS

Os ficheiros de registo de transações são especificados na chave do registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

A pasta de trabalho do NTDS

Esta pasta é especificada na chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Exclusões do Servidor DHCP

Esta secção lista as exclusões que são fornecidas automaticamente quando instala a função de Servidor DHCP. As localizações dos ficheiros do Servidor DHCP são especificadas pelos parâmetros DatabasePath, DhcpLogFilePath e BackupDatabasePath na chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Exclusões do Servidor DNS

Esta secção lista as exclusões de ficheiros e pastas e as exclusões de processos que são fornecidas automaticamente quando instala a função de Servidor DNS.

Exclusões de ficheiros e pastas para a função de Servidor DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Exclusões de processos para a função de Servidor DNS

  • %systemroot%\System32\dns.exe

Exclusões dos Serviços de Ficheiros e Armazenamento

Esta secção lista as exclusões de ficheiros e pastas que são entregues automaticamente quando instala a função Serviços de Ficheiros e Armazenamento. As exclusões listadas abaixo não incluem exclusões para a função Clustering.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Esta secção lista as exclusões do tipo de ficheiro, as exclusões de pastas e as exclusões de processos que são fornecidas automaticamente quando instala a função servidor de impressão.

Exclusões de tipo de ficheiro

  • *.shd
  • *.spl

Exclusões de pastas

Esta pasta é especificada na chave de registo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Exclusões de processos para a função servidor de impressão

  • spoolsv.exe

Exclusões do Servidor Web

Esta secção lista as exclusões de pastas e as exclusões de processos que são fornecidas automaticamente quando instala a função de Servidor Web.

Exclusões de pastas

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Exclusões de processos para a função de Servidor Web

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Desativar a análise de ficheiros na pasta Sysvol\Sysvol ou na pasta SYSVOL_DFSR\Sysvol

A localização atual da Sysvol\Sysvol pasta ou SYSVOL_DFSR\Sysvol e de todas as subpastas é o destino de nova análise do sistema de ficheiros da raiz do conjunto de réplicas. As Sysvol\Sysvol pastas e SYSVOL_DFSR\Sysvol utilizam as seguintes localizações por predefinição:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

O caminho para o ativo atualmente SYSVOL é referenciado pela partilha NETLOGON e pode ser determinado pelo nome do valor SysVol na seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Exclua os seguintes ficheiros desta pasta e todas as respetivas subpastas:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

exclusões de Windows Server Update Services

Esta secção lista as exclusões de pastas que são entregues automaticamente quando instala a função Windows Server Update Services (WSUS). A pasta WSUS é especificada na chave de registo HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Exclusões incorporadas

Uma vez que Microsoft Defender Antivírus está incorporado no Windows, não requer exclusões para ficheiros do sistema operativo em qualquer versão do Windows.

As exclusões incorporadas incluem:

A lista de exclusões incorporadas no Windows é mantida atualizada à medida que o panorama das ameaças muda.

Ficheiros "temp.edb" do Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update ficheiros ou ficheiros de Atualização Automática

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Segurança do Windows ficheiros

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Política de Grupo ficheiros

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

Ficheiros WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Exclusões do Serviço de Replicação de Ficheiros (FRS)

  • Ficheiros na pasta de trabalho do Serviço de Replicação de Ficheiros (FRS). A pasta de trabalho do FRS é especificada na chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Ficheiros de registo da Base de Dados FRS. A pasta de ficheiros de registo da Base de Dados FRS está especificada na chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • A pasta de teste FRS. A pasta de teste é especificada na chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • A pasta de pré-instalação do FRS. Esta pasta é especificada pela pasta Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • A base de dados de Replicação do Sistema de Ficheiros Distribuído (DFSR) e as pastas de trabalho. Estas pastas são especificadas pela chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Nota

    Para obter localizações personalizadas, veja Optar ativamente por não participar em exclusões automáticas.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Exclusões de processos para ficheiros de sistema operativo incorporados

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Optar ativamente por não participar em exclusões automáticas

No Windows Server 2016 e posterior, as exclusões predefinidas fornecidas pelas Atualizações de informações de segurança apenas excluem os caminhos predefinidos para uma função ou funcionalidade. Se instalou uma função ou funcionalidade num caminho personalizado ou se pretender controlar manualmente o conjunto de exclusões, certifique-se de que opta ativamente por não participar nas exclusões automáticas fornecidas nas Atualizações de informações de segurança. No entanto, tenha em atenção que as exclusões que são fornecidas automaticamente são otimizadas para Windows Server 2016 e posterior. Veja Pontos importantes sobre exclusões antes de definir as listas de exclusão.

Aviso

Optar ativamente por não participar em exclusões automáticas pode afetar negativamente o desempenho ou resultar em danos nos dados. As exclusões automáticas de funções de servidor são otimizadas para Windows Server 2016, Windows Server 2019 e Windows Server 2022.

Uma vez que as exclusões predefinidas apenas excluem caminhos predefinidos, se mover as pastas NTDS e SYSVOL para outra unidade ou caminho diferente do caminho original, tem de adicionar exclusões manualmente. Veja Configurar a lista de exclusões com base no nome da pasta ou na extensão de ficheiro.

Pode desativar as listas de exclusão automática com Política de Grupo, cmdlets do PowerShell e WMI.

Utilize Política de Grupo para desativar a lista de exclusões automáticas no Windows Server 2016, Windows Server 2019 e Windows Server 2022

  1. No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo. Clique com o botão direito do rato no Objeto Política de Grupo que pretende configurar e, em seguida, selecione Editar.

  2. No Política de Grupo Management Revisor aceda a Configuração do computador e, em seguida, selecione Modelos administrativos.

  3. Expanda a árvore para componentes> do Windows Microsoft DefenderExclusões>de Antivírus.

  4. Faça duplo clique em Desativar Exclusões Automáticas e defina a opção como Ativado. Em seguida, selecione OK.

Utilizar cmdlets do PowerShell para desativar a lista de exclusões automáticas no Windows Server

Utilize os seguintes cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Para saber mais, veja os seguintes recursos:

Utilizar a Instrução de Gestão do Windows (WMI) para desativar a lista de exclusões automáticas no Windows Server

Utilize o método Set da classe MSFT_MpPreference para as seguintes propriedades:

DisableAutoExclusions

Para obter mais informações e parâmetros permitidos, veja:

Definir exclusões personalizadas

Se necessário, pode adicionar ou remover exclusões personalizadas. Para tal, consulte os seguintes artigos:

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.