Поделиться через


Исключения антивирусной программы в Microsoft Defender в Windows Server

Область применения:

Платформы

  • Windows Server

В этой статье описаны типы исключений, которые не нужно определять для антивирусной программы в Microsoft Defender:

Более подробный обзор исключений см. в статье Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.

Несколько важных моментов об исключениях в Windows Server

  • Пользовательские исключения имеют приоритет над автоматическими исключениями.
  • Автоматические исключения применяются только к проверке в режиме реального времени (RTP).
  • Автоматические исключения не учитываются при быстрой проверке, полной проверке и настраиваемой проверке.
  • Пользовательские и повторяющиеся исключения не конфликтуют с автоматическими исключениями.
  • Антивирусная программа Microsoft Defender использует средства обслуживания образов развертывания и управления ими (DISM), чтобы определить, какие роли установлены на компьютере.
  • Для программного обеспечения, которое не входит в состав операционной системы, необходимо задать соответствующие исключения.
  • Windows Server 2012 R2 не поддерживает антивирусную программу Microsoft Defender в качестве устанавливаемой функции. При подключении этих серверов к Defender для конечной точки вы устанавливаете антивирусную программу Microsoft Defender и применяются исключения по умолчанию для файлов операционной системы. Однако исключения для ролей сервера (как указано ниже) не применяются автоматически, и их следует настроить соответствующим образом. Дополнительные сведения см. в статье Подключение серверов Windows к службе Microsoft Defender для конечной точки.
  • Встроенные исключения и исключения автоматических ролей сервера не отображаются в стандартных списках исключений, отображаемых в приложении "Безопасность Windows".
  • Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. В этой статье перечислены некоторые, но не все встроенные и автоматические исключения.

Исключения автоматических ролей сервера

В Windows Server 2016 или более поздней версии не нужно определять исключения для ролей сервера. При установке роли в Windows Server 2016 или более поздней версии антивирусная программа Microsoft Defender включает автоматические исключения для роли сервера и всех файлов, добавляемых при установке роли.

Windows Server 2012 R2 не поддерживает функцию автоматических исключений. Необходимо определить явные исключения для любой роли сервера и любого программного обеспечения, добавленного после установки операционной системы.

Важно!

  • Расположения по умолчанию могут отличаться от расположений, описанных в этой статье.
  • Сведения об исключении для программного обеспечения, которое не входит в состав компонента Или роли сервера Windows, см. в документации производителя программного обеспечения.

К автоматическим исключениям относятся:

Исключения Hyper-V

В следующей таблице перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли Hyper-V.

Тип исключения Специфика
Типы файлов *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Процессы %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Файлы SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Исключения Active Directory

В этом разделе перечислены исключения, которые доставляются автоматически при установке доменных служб Active Directory (AD DS).

Файлы базы данных NTDS

Файлы базы данных указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Файлы журнала транзакций AD DS

Файлы журнала транзакций указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Рабочая папка NTDS

Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Исключения DHCP-сервера

В этом разделе перечислены исключения, которые доставляются автоматически при установке роли DHCP-сервера. Расположение файлов DHCP-сервера определяется параметрами DatabasePath, DhcpLogFilePath и BackupDatabasePath в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Исключения DNS-сервера

В этом разделе перечислены исключения файлов и папок, а также исключения процесса, которые доставляются автоматически при установке роли DNS-сервера.

Исключения файлов и папок для роли DNS-сервера

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Обработка исключений для роли DNS-сервера

  • %systemroot%\System32\dns.exe

Исключения файловых служб и служб хранилища

В этом разделе перечислены исключения файлов и папок, которые доставляются автоматически при установке роли файловых служб и служб хранилища. Перечисленные ниже исключения не включают исключения для роли кластеризации.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

В этом разделе перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли сервера печати.

Исключения типов файлов

  • *.shd
  • *.spl

Исключения папок

Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Обработка исключений для роли сервера печати

  • spoolsv.exe

Исключения веб-сервера

В этом разделе перечислены исключения папок и исключения процесса, которые доставляются автоматически при установке роли веб-сервера.

Исключения папок

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Обработка исключений для роли веб-сервера

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Отключение сканирования файлов в папке Sysvol\Sysvol или в папке SYSVOL_DFSR\Sysvol

Текущее расположение Sysvol\Sysvol папки или SYSVOL_DFSR\Sysvol и всех вложенных папок — это целевой объект повторного определения файловой системы корневого каталога набора реплик. Папки Sysvol\Sysvol и SYSVOL_DFSR\Sysvol по умолчанию используют следующие расположения:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Путь к активному SYSVOL объекту ссылается в общей папке NETLOGON и может быть определен по имени значения SysVol в следующем подразделе: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Исключения служб Windows Server Update Services

В этом разделе перечислены исключения папок, которые доставляются автоматически при установке роли Windows Server Update Services (WSUS). Папка WSUS указана в разделе реестра. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Встроенные исключения

Так как антивирусная программа Microsoft Defender встроена в Windows, она не требует исключений для файлов операционной системы в любой версии Windows.

К встроенным исключениям относятся:

Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз.

Файлы "temp.edb" Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Файлы Центра обновления Windows или файлы автоматического обновления

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Файлы безопасности Windows

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Файлы групповой политики

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-файлы

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Исключения службы репликации файлов (FRS)

  • Файлы в рабочей папке службы репликации файлов (FRS). Рабочая папка FRS указана в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • Файлы журнала базы данных FRS. Папка файла журнала базы данных FRS указана в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • Промежуточная папка FRS. Промежуточная папка указана в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Папка предварительной настройки FRS. Эта папка указана в папке Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • База данных и рабочие папки репликации распределенной файловой системы (DFSR). Эти папки задаются разделом реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Примечание.

    Сведения о пользовательских расположениях см. в разделе Отказ от автоматических исключений.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Обработка исключений для встроенных файлов операционной системы

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Отказ от автоматических исключений

В Windows Server 2016 и более поздних версиях предопределенные исключения, предоставляемые обновлениями аналитики безопасности , исключают только пути по умолчанию для роли или функции. Если вы установили роль или компонент в пользовательском пути или хотите вручную управлять набором исключений, не забудьте отказаться от автоматических исключений, предоставляемых в обновлениях аналитики безопасности. Но имейте в виду, что автоматически предоставляемые исключения оптимизированы для Windows Server 2016 и более поздних версий. См. раздел Важные моменты об исключениях перед определением списков исключений.

Предупреждение

Отказ от автоматических исключений может негативно сказаться на производительности или привести к повреждению данных. Исключения автоматических ролей сервера оптимизированы для Windows Server 2016, Windows Server 2019 и Windows Server 2022.

Так как предопределенные исключения исключают только пути по умолчанию, при перемещении папок NTDS и SYSVOL на другой диск или путь, отличный от исходного пути, исключения необходимо добавлять вручную. См . раздел Настройка списка исключений на основе имени папки или расширения файла.

Автоматические списки исключений можно отключить с помощью групповой политики, командлетов PowerShell и WMI.

Использование групповой политики для отключения списка автоматических исключений в Windows Server 2016, Windows Server 2019 и Windows Server 2022

  1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который требуется настроить, и выберите изменить.

  2. В редакторе управления групповыми политикамиперейдите в раздел Конфигурация компьютера, а затем выберите Административные шаблоны.

  3. Разверните дерево для компонентов> WindowsИсключения антивирусной программы> в Microsoft Defender.

  4. Дважды щелкните Отключить автоматическое исключение и задайте для параметра значение Включено. После этого нажмите кнопку ОК.

Отключение списка автоматических исключений в Windows Server с помощью командлетов PowerShell

Используйте следующие командлеты:

Set-MpPreference -DisableAutoExclusions $true

Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.

Использование инструкции по управлению Windows (WMI) для отключения списка автоматических исключений в Windows Server

Используйте метод Set класса MSFT_MpPreference для следующих свойств:

DisableAutoExclusions

Дополнительные сведения и допустимые параметры см. в разделе:

Определение пользовательских исключений

При необходимости можно добавить или удалить пользовательские исключения. Для этого ознакомьтесь со следующими статьями:

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.