Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Uç Nokta için Microsoft Defender Planı 1
- Microsoft Defender Virüsten Koruma
Platform
- Windows
- macOS
- Linux
Önemli
Dışlamaları dikkatli bir şekilde ekleyin. Microsoft Defender Virüsten Koruma taramaları için dışlamalar, cihazlar için koruma düzeyini azaltır.
Microsoft Defender Virüsten Koruma'nın taramasını istemediğiniz öğeler için bir dışlama listesi tanımlayabilirsiniz. Ancak, dışlanan öğeler cihazınızı savunmasız hale getiren tehditler içerebilir. Bu makalede, dışlamaları tanımlarken kaçınmanız gereken bazı yaygın hatalar açıklanmaktadır.
İpucu
Dışlama listelerinizi tanımlamadan önce dışlamalarla ilgili önemli noktalar bölümüne bakın ve Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar bölümünde ayrıntılı bilgileri gözden geçirin.
Belirli güvenilen öğeleri dışlama
Bazı dosyalar, dosya türleri, klasörler veya işlemler, kötü amaçlı olmadığından emin olsanız bile taramanın dışında tutulmamalıdır. Aşağıdaki bölümlerde listelenen klasör konumları, dosya uzantıları ve işlemler için dışlamalar tanımlamayın:
Klasör konumları
Önemli
Bazı klasörler, kötü amaçlı dosyaların bırakılacağı klasörler olabileceğinden taramaların dışında tutulmamalıdır.
Genel olarak, aşağıdaki klasör konumlarından herhangi biri için dışlama tanımlamayın:
%systemdrive%
-
C:
,C:\
veyaC:\*
-
%ProgramFiles%\Java
veyaC:\Program Files\Java
-
%ProgramFiles%\Contoso\
,C:\Program Files\Contoso\
,%ProgramFiles(x86)%\Contoso\
veyaC:\Program Files (x86)\Contoso\
-
C:\Temp
,C:\Temp\
veyaC:\Temp\*
-
C:\Users\
veyaC:\Users\*
-
C:\Users\<UserProfileName>\AppData\Local\Temp\
veya .C:\Users\<UserProfileName>\AppData\LocalLow\Temp\
SharePoint için aşağıdaki önemli özel durumları not edin: SharePoint'tedosya düzeyinde virüsten koruma kullandığınızda veyaC:\Users\Default\AppData\Local\Temp
hariç tutunC:\Users\ServiceAccount\AppData\Local\Temp
. -
%Windir%\Prefetch
,C:\Windows\Prefetch
,C:\Windows\Prefetch\
veyaC:\Windows\Prefetch\*
-
%Windir%\System32\Spool
veyaC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
-
%Windir%\Temp
,C:\Windows\Temp
,C:\Windows\Temp\
veyaC:\Windows\Temp\*
Linux ve macOS Platformları
Genel olarak, aşağıdaki klasör konumları için dışlama tanımlamayın:
/
-
/bin
veya/sbin
/usr/lib
Dosya uzantıları
Önemli
Bazı dosya uzantıları, bir saldırıda kullanılan dosya türleri olabileceğinden dışlanmamalıdır.
Genel olarak, aşağıdaki dosya uzantıları için dışlama tanımlamayın:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
-
.ko
veya.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
Süreç
Önemli
Bazı işlemler saldırılar sırasında kullanıldığından dışlanmamalıdır.
Genel olarak, aşağıdaki işlemler için dışlama tanımlamayın:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
Not
, .jpg
, .jpeg
gibi .gif
dosya türlerini hariç tutabilirsiniz veya .png
ortamınızda güvenlik açıklarını işlemek için katı bir güncelleştirme ilkesine sahip modern, güncel bir yazılım varsa bunu hariç tutabilirsiniz.
Linux ve macOS Platformları
Genel olarak, aşağıdaki işlemler için dışlama tanımlamayın:
bash
java
-
python
vepython3
sh
zsh
Dışlama listesindeki yalnızca dosya adını kullanma
Kötü amaçlı yazılım, güvendiğiniz ve taramanın dışında tutmak istediğiniz dosyayla aynı ada sahip olabilir. Bu nedenle, olası kötü amaçlı yazılımları taramanın dışında tutmaktan kaçınmak için, yalnızca dosya adını kullanmak yerine dışlamak istediğiniz dosyanın tam yolunu kullanın. Örneğin, taramanın dışında Filename.exe
tutmak istiyorsanız, dosyasının tam yolunu kullanın, örneğin C:\program files\contoso\Filename.exe
.
Birden çok sunucu iş yükü için tek bir dışlama listesi kullanma
Birden çok sunucu iş yükü için dışlamaları tanımlamak için tek bir dışlama listesi kullanmayın. Farklı uygulama veya hizmet iş yükleri için dışlamaları birden çok dışlama listesi olarak bölün. Örneğin, IIS Server iş yükünüz için dışlama listesi SQL Server iş yükünüz için dışlama listesinden farklı olmalıdır.
Dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakter olarak yanlış ortam değişkenlerini kullanma
Microsoft Defender Virüsten Koruma Hizmeti, LocalSystem hesabını kullanarak sistem bağlamında çalışır. Bu, bilgileri kullanıcı ortamı değişkeninden değil sistem ortam değişkeninden aldığı anlamına gelir. Dışlama listelerinde ortam değişkenlerinin joker karakter olarak kullanılması, sistem değişkenleriyle ve NT AUTHORITY\SYSTEM hesabı olarak çalışan işlemler için geçerli olanlarla sınırlıdır. Bu nedenle, Microsoft Defender Virüsten Koruma klasörü ve işlem dışlamaları eklerken joker karakter olarak kullanıcı ortamı değişkenlerini kullanmayın. Sistem ortamı değişkenlerinin tam listesi için Sistem ortamı değişkenleri altındaki tabloya bakın.
Dışlama listelerinde joker karakterleri kullanma hakkında bilgi için bkz. Dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakterler kullanma.
Ayrıca bkz.
- Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar
- Microsoft Defender Virüsten Koruma için özel dışlamaları yapılandırma
- Linux'ta Uç Nokta için Microsoft Defender dışlamalarını yapılandırma ve doğrulama
- macOS'ta Uç Nokta için Microsoft Defender dışlamalarını yapılandırma ve doğrulama
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.