исключения антивирусной программы Microsoft Defender в Windows Server

  • Статья

Область применения:

Платформы

  • Windows

В этой статье описаны типы исключений, которые не нужно определять для Microsoft Defender антивирусной программы:

Более подробный обзор исключений см. в статье Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.

Несколько важных моментов об исключениях в Windows Server

  • Пользовательские исключения имеют приоритет над автоматическими исключениями.
  • Автоматические исключения применяются только к проверке в режиме реального времени (RTP).
  • Автоматические исключения не учитываются при быстрой проверке, полной проверке и настраиваемой проверке.
  • Пользовательские и повторяющиеся исключения не конфликтуют с автоматическими исключениями.
  • антивирусная программа Microsoft Defender использует средства обслуживания образов развертывания и управления ими (DISM), чтобы определить, какие роли установлены на компьютере.
  • Для программного обеспечения, которое не входит в состав операционной системы, необходимо задать соответствующие исключения.
  • Windows Server 2012 R2 не имеет Microsoft Defender антивирусной программы в качестве устанавливаемой функции. При подключении этих серверов к Defender для конечной точки вы устанавливаете Microsoft Defender антивирусную программу и применяются исключения по умолчанию для файлов операционной системы. Однако исключения для ролей сервера (как указано ниже) не применяются автоматически, и их следует настроить соответствующим образом. Дополнительные сведения см. в статье Подключение серверов Windows к службе Microsoft Defender для конечной точки.
  • Встроенные исключения и автоматические исключения роли сервера не отображаются в стандартных списках исключений, отображаемых в приложении Безопасность Windows.
  • Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. В этой статье перечислены некоторые, но не все встроенные и автоматические исключения.

Исключения автоматических ролей сервера

На Windows Server 2016 или более поздней версии не нужно определять исключения для ролей сервера. При установке роли на Windows Server 2016 или более поздней версии антивирусная программа Microsoft Defender включает автоматические исключения для роли сервера и всех файлов, добавляемых при установке роли.

Windows Server 2012 R2 не поддерживает функцию автоматического исключения. Необходимо определить явные исключения для любой роли сервера и любого программного обеспечения, добавленного после установки операционной системы.

Важно!

  • Расположения по умолчанию могут отличаться от расположений, описанных в этой статье.
  • Сведения об исключении для программного обеспечения, которое не входит в состав компонента Или роли сервера Windows, см. в документации производителя программного обеспечения.

К автоматическим исключениям относятся:

Исключения Hyper-V

В следующей таблице перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли Hyper-V.

Тип исключения Специфики
Типы файлов *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Процессы %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

Файлы SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Исключения Active Directory

В этом разделе перечислены исключения, которые доставляются автоматически при установке доменные службы Active Directory (AD DS).

Файлы базы данных NTDS

Файлы базы данных указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Файлы журнала транзакций AD DS

Файлы журнала транзакций указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Рабочая папка NTDS

Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Исключения DHCP-сервера

В этом разделе перечислены исключения, которые доставляются автоматически при установке роли DHCP-сервера. Расположение файлов DHCP-сервера определяется параметрами DatabasePath, DhcpLogFilePath и BackupDatabasePath в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Исключения DNS-сервера

В этом разделе перечислены исключения файлов и папок, а также исключения процесса, которые доставляются автоматически при установке роли DNS-сервера.

Исключения файлов и папок для роли DNS-сервера

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Обработка исключений для роли DNS-сервера

  • %systemroot%\System32\dns.exe

Исключения файловых служб и служб хранилища

В этом разделе перечислены исключения файлов и папок, которые доставляются автоматически при установке роли файловых служб и служб хранилища. Перечисленные ниже исключения не включают исключения для роли кластеризации.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

В этом разделе перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли сервера печати.

Исключения типов файлов

  • *.shd
  • *.spl

Исключения папок

Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Обработка исключений для роли сервера печати

  • spoolsv.exe

Исключения веб-сервера

В этом разделе перечислены исключения папок и исключения процесса, которые доставляются автоматически при установке роли веб-сервера.

Исключения папок

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Обработка исключений для роли веб-сервера

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Отключение сканирования файлов в папке Sysvol\Sysvol или в папке SYSVOL_DFSR\Sysvol

Текущее Sysvol\Sysvol расположение папки или SYSVOL_DFSR\Sysvol и всех вложенных папок — это целевой объект повторного определения файловой системы реплика корневого каталога. Папки Sysvol\Sysvol и SYSVOL_DFSR\Sysvol по умолчанию используют следующие расположения:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Путь к активному SYSVOL объекту ссылается в общей папке NETLOGON и может быть определен по имени значения SysVol в следующем подразделе: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

исключения Windows Server Update Services

В этом разделе перечислены исключения папок, которые доставляются автоматически при установке роли Windows Server Update Services (WSUS). Папка WSUS указана в разделе реестра. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Встроенные исключения

Так как Microsoft Defender антивирусная программа встроена в Windows, она не требует исключений для файлов операционной системы в любой версии Windows.

К встроенным исключениям относятся:

Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз.

Файлы "temp.edb" Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

файлы клиентский компонент Центра обновления Windows или файлы автоматического обновления

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

файлы Безопасность Windows

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

файлы групповая политика

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-файлы

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Исключения службы репликации файлов (FRS)

  • Файлы в рабочей папке службы репликации файлов (FRS). Рабочая папка FRS указана в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Файлы журнала базы данных FRS. Папка файла журнала базы данных FRS указана в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Промежуточная папка FRS. Промежуточная папка указана в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Папка предварительной настройки FRS. Эта папка указана в папке Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • База данных и рабочие папки репликации распределенной файловой системы (DFSR). Эти папки задаются разделом реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Примечание.

    Сведения о пользовательских расположениях см. в разделе Отказ от автоматических исключений.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Обработка исключений для встроенных файлов операционной системы

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Отказ от автоматических исключений

В Windows Server 2016 и более поздних версиях предопределенные исключения, предоставляемые обновлениями аналитики безопасности, исключают только пути по умолчанию для роли или функции. Если вы установили роль или компонент в пользовательском пути или хотите вручную управлять набором исключений, не забудьте отказаться от автоматических исключений, предоставляемых в обновлениях аналитики безопасности. Но имейте в виду, что автоматически предоставляемые исключения оптимизированы для Windows Server 2016 и более поздних версий. См. раздел Важные моменты об исключениях перед определением списков исключений.

Предупреждение

Отказ от автоматических исключений может негативно сказаться на производительности или привести к повреждению данных. Исключения автоматических ролей сервера оптимизированы для Windows Server 2016, Windows Server 2019 и Windows Server 2022.

Так как предопределенные исключения исключают только пути по умолчанию, при перемещении папок NTDS и SYSVOL на другой диск или путь, отличный от исходного пути, исключения необходимо добавлять вручную. См . раздел Настройка списка исключений на основе имени папки или расширения файла.

Списки автоматического исключения можно отключить с помощью групповая политика, командлетов PowerShell и WMI.

Использование групповая политика для отключения списка автоматических исключений в Windows Server 2016, Windows Server 2019 и Windows Server 2022

  1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.

  2. В Редактор управления групповая политика перейдите в раздел Конфигурация компьютера, а затем выберите Административные шаблоны.

  3. Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Исключения антивирусной программы>.

  4. Дважды щелкните Отключить автоматическое исключение и задайте для параметра значение Включено. После этого нажмите кнопку ОК.

Отключение списка автоматических исключений в Windows Server с помощью командлетов PowerShell

Используйте следующие командлеты:

Set-MpPreference -DisableAutoExclusions $true

Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.

Использование инструкции по управлению Windows (WMI) для отключения списка автоматических исключений в Windows Server

Используйте метод Set класса MSFT_MpPreference для следующих свойств:

DisableAutoExclusions

Дополнительные сведения и допустимые параметры см. в разделе:

Определение пользовательских исключений

При необходимости можно добавить или удалить пользовательские исключения. Для этого ознакомьтесь со следующими статьями:

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.