Aracılığıyla paylaş

Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Önemli

Dışlamaları dikkatli bir şekilde ekleyin. Microsoft Defender Virüsten Koruma için dışlamalar, cihazlar için koruma düzeyini azaltır.

Virüsten Koruma Microsoft Defender taramasını istemediğiniz öğeler için dışlamalar tanımlayabilirsiniz. Ancak, dışlanan öğeler cihazınızı savunmasız hale getiren tehditler içerebilir.

Bu makalede açıklanan dosyaları, dosya türlerini, klasörleri veya işlemleri, kötü amaçlı olmayan öğelere güvenseniz bile virüsten koruma taramasının Microsoft Defender dışında tutmamalısınız.

Önkoşullar

İpucu

Dışlama oluşturmadan önce aşağıdaki makalelere bakın:

Desteklenen işletim sistemleri

  • Windows
  • macOS
  • Linux

Klasörler

Saldırganlar bu klasörleri kullanabileceğinden bazı klasörleri taramaların dışında tutmamalısınız. Genel olarak, aşağıdaki klasörler için dışlama tanımlamayın:

  • Windows:

    • %systemdrive%

    • C:, C:\veya C:\*

    • %ProgramFiles%\Java Veya C:\Program Files\Java

    • Örnek: %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\veya C:\Program Files (x86)\Contoso\

    • C:\Temp, C:\Temp\veya C:\Temp\*

    • C:\Users\ Veya C:\Users\*

    • C:\Users\<UserProfileName>\AppData\Local\Temp\veya .C:\Users\<UserProfileName>\AppData\LocalLow\Temp\

      Not

      SharePoint'te dosya düzeyinde virüsten koruma kullanırken aşağıdaki klasörleri dışlamanız gerekir:

      C:\Users\ServiceAccount\AppData\Local\Tempveya .C:\Users\Default\AppData\Local\Temp

    • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\veya C:\Windows\Prefetch\*

    • %Windir%\System32\Spool Veya C:\Windows\System32\Spool

    • C:\Windows\System32\CatRoot2

    • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\veya C:\Windows\Temp\*

  • Linux ve macOS:

    • /
    • /bin Veya /sbin
    • /usr/lib

Dosya uzantıları

Saldırganlar bu tür dosyaları kullanabileceğinden bazı dosya uzantılarını taramaların dışında tutmamalısınız. Genel olarak, aşağıdaki dosya uzantıları için dışlama tanımlamayın:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko Veya .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Not

Kuruluşunuz güvenlik .gifaçıklarını işlemek için katı güncelleştirme ilkelerine sahip modern, güncel yazılımlar kullanıyorsa dosya türlerini (örneğin, , .jpg, .jpegveya .png) hariç tutabilirsiniz.

Süreç

Saldırganlar bu işlemleri kullanabileceğinden bazı işlemleri taramaların dışında tutmamalısınız. Genel olarak, aşağıdaki işlemler için dışlama tanımlamayın:

  • Windows:

    • AcroRd32.exe
    • addinprocess.exe
    • addinprocess32.exe
    • addinutil.exe
    • bash.exe
    • bginfo.exe
    • bitsadmin.exe
    • cdb.exe
    • csi.exe
    • cmd.exe
    • cscript.exe
    • dbghost.exe
    • dbgsvc.exe
    • dnx.exe
    • dotnet.exe
    • excel.exe
    • fsi.exe
    • fsiAnyCpu.exe
    • iexplore.exe
    • java.exe
    • kd.exe
    • lxssmanager.dll
    • msbuild.exe
    • mshta.exe
    • ntkd.exe
    • ntsd.exe
    • outlook.exe
    • psexec.exe
    • powerpnt.exe
    • powershell.exe
    • rcsi.exe
    • svchost.exe
    • schtasks.exe
    • system.management.automation.dll
    • windbg.exe
    • winword.exe
    • wmic.exe
    • wscript.exe
    • wuauclt.exe

  • Linux ve macOS:

    • bash
    • java
    • python Ve python3
    • sh
    • zsh

Dışlamalarda konum olmadan Files

Kötü amaçlı bir dosya, güvendiğiniz dosyayla aynı ada sahip olabilir. Kötü amaçlı olabilecek dosyaların taranmasını önlemek için yalnızca dosyayı dışlamayın. Bunun yerine, dosyaya tam yolu ekleyin.

Örneğin, taramanın dışında tutmayın Filename.exe . Tam yolu ve dosyayı dışla: C:\Program Files\Contoso\Filename.exe.

Birden çok sunucu iş yükü için tek bir dışlama listesi

Birden çok sunucu iş yükü için dışlamaları tanımlamak için tek bir dışlama listesi kullanmayın. Bunun yerine, dışlamaları farklı uygulamalar veya hizmetler için birden çok liste halinde bölün.

Örneğin, IIS için SQL Server dışlama listesinden farklı bir dışlama listesi kullanın.

Dışlamalarda joker karakter olarak yanlış ortam değişkenleri

Microsoft Defender Virüsten Koruma'da klasör ve işlem dışlamalarında kullanıcı ortamı değişkenlerini joker karakter olarak kullanmayın. Aşağıdaki ortam değişkenlerini yalnızca joker karakter olarak kullanın:

  • Sistem ortamı değişkenleri.
  • NT AUTHORITY\SYSTEM hesabı olarak çalışan işlemlere uygulanan ortam değişkenleri.

Microsoft Defender Virüsten Koruma hizmeti, LocalSystem hesabını kullanarak sistem bağlamında çalışır. Hizmet, kullanıcı ortamı değişkenlerinden değil sistem ortamı değişkenlerinden bilgi alır.

Sistem ortamı değişkenlerinin tam listesi için bkz . Sistem ortamı değişkenleri.

Dışlamalarda joker karakterlerin nasıl kullanılacağı hakkında daha fazla bilgi için bkz. Dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakterler kullanma.

Ayrıca bkz.

  • Last updated on