Windows Server'da Microsoft Defender Virüsten Koruma dışlamaları
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender Virüsten Koruma
Platform
- Windows Server
Bu makalede, Microsoft Defender Virüsten Koruma için tanımlamanız gerekmeyen dışlama türleri açıklanmaktadır:
- Windows'un tüm sürümlerinde işletim sistemi dosyaları için yerleşik dışlamalar.
- Windows Server 2016 ve sonraki sürümlerdeki roller için otomatik dışlamalar.
Dışlamalara daha ayrıntılı bir genel bakış için bkz. Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için dışlamaları yönetme.
Windows Server'da dışlamalar hakkında birkaç önemli nokta
- Özel dışlamalar otomatik dışlamalardan önceliklidir.
- Otomatik dışlamalar yalnızca gerçek zamanlı koruma (RTP) tarama için geçerlidir.
- Otomatik dışlamalar hızlı tarama, tam tarama ve özel tarama sırasında kabul edilmez.
- Özel ve yinelenen dışlamalar otomatik dışlamalarla çakışmaz.
- Microsoft Defender Virüsten Koruma, bilgisayarınızda hangi rollerin yüklü olduğunu belirlemek için Dağıtım Görüntüsü Bakımı ve Yönetimi (DISM) araçlarını kullanır.
- İşletim sistemine dahil olmayan yazılımlar için uygun dışlamalar ayarlanmalıdır.
- Windows Server 2012 R2'nin yüklenebilir bir özellik olarak Microsoft Defender Virüsten Koruma özelliği yoktur. Bu sunucuları Uç Nokta için Defender'a eklediğinizde, Microsoft Defender Virüsten Koruma'yı yüklersiniz ve işletim sistemi dosyaları için varsayılan dışlamalar uygulanır. Ancak, sunucu rolleri için dışlamalar (aşağıda belirtildiği gibi) otomatik olarak uygulanmaz ve bu dışlamaları uygun şekilde yapılandırmanız gerekir. Daha fazla bilgi edinmek için bkz. Windows sunucularını Uç Nokta için Microsoft Defender hizmetine ekleme.
- Yerleşik dışlamalar ve otomatik sunucu rolü dışlamaları , Windows Güvenliği uygulamasında gösterilen standart dışlama listelerinde görünmez.
- Windows'taki yerleşik dışlamaların listesi, tehdit manzarası değiştikçe güncel tutulur. Bu makalede yerleşik ve otomatik dışlamaların bazıları listelenmiş ancak tümü listelenmemektedir.
Otomatik sunucu rolü dışlamaları
Windows Server 2016 veya sonraki sürümlerinde, sunucu rolleri için dışlamalar tanımlamanız gerekmez. Windows Server 2016 veya sonraki bir sürüme bir rol yüklediğinizde, Microsoft Defender Virüsten Koruma, sunucu rolü ve rolü yüklerken eklenen dosyalar için otomatik dışlamalar içerir.
Windows Server 2012 R2 otomatik dışlama özelliğini desteklemez. herhangi bir sunucu rolü ve işletim sistemini yükledikten sonra eklenen yazılımlar için açık dışlamalar tanımlamanız gerekir.
Önemli
- Varsayılan konumlar, bu makalede açıklanan konumlardan farklı olabilir.
- Windows özelliği veya sunucu rolü olarak dahil olmayan yazılımların dışlamalarını ayarlamak için yazılım üreticisinin belgelerine bakın.
Otomatik dışlamalar şunlardır:
- Hyper-V dışlamaları
- SYSVOL dosyaları
- Active Directory dışlamaları
- DHCP Sunucusu dışlamaları
- DNS Sunucusu dışlamaları
- Dosya ve Depolama Hizmetleri dışlamaları
- Yazdırma Sunucusu dışlamaları
- Web Sunucusu dışlamaları
- Windows Server Update Services dışlamaları
Hyper-V dışlamaları
Aşağıdaki tabloda, Hyper-V rolünü yüklediğinizde otomatik olarak teslim edilen dosya türü dışlamaları, klasör dışlamaları ve işlem dışlamaları listelenmiştir.
Dışlama türü | Özellikleri |
---|---|
Dosya türleri | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Klasörler | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Süreç | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
SYSVOL dosyaları
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Active Directory dışlamaları
Bu bölümde, Active Directory Etki Alanı Hizmetleri'ni (AD DS) yüklediğinizde otomatik olarak teslim edilen dışlamalar listelenir.
NTDS veritabanı dosyaları
Veritabanı dosyaları kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
AD DS işlem günlüğü dosyaları
İşlem günlüğü dosyaları kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
NTDS çalışma klasörü
Bu klasör kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
AD DS ve AD DS ile ilgili destek dosyaları için işlem dışlamaları
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
DHCP Sunucusu dışlamaları
Bu bölümde, DHCP Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dışlamalar listelenir. DHCP Sunucusu dosya konumları kayıt defteri anahtarındaki DatabasePath, DhcpLogFilePath ve BackupDatabasePath parametreleri tarafından belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
DNS Sunucusu dışlamaları
Bu bölümde, DNS Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dosya ve klasör dışlamaları ve işlem dışlamaları listelenir.
DNS Sunucusu rolü için dosya ve klasör dışlamaları
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
DNS Sunucusu rolü için işlem dışlamaları
%systemroot%\System32\dns.exe
Dosya ve Depolama Hizmetleri dışlamaları
Bu bölümde, Dosya ve Depolama Hizmetleri rolünü yüklediğinizde otomatik olarak teslim edilen dosya ve klasör dışlamaları listelenir. Aşağıda listelenen dışlamalar Kümeleme rolü için dışlamalar içermez.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Yazdırma Sunucusu dışlamaları
Bu bölümde, Yazdırma Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dosya türü dışlamaları, klasör dışlamaları ve işlem dışlamaları listelenir.
Dosya türü dışlamaları
*.shd
*.spl
Klasör dışlamaları
Bu klasör kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Yazdırma Sunucusu rolü için işlem dışlamaları
spoolsv.exe
Web Sunucusu dışlamaları
Bu bölümde, Web Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen klasör dışlamaları ve işlem dışlamaları listelenir.
Klasör dışlamaları
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Web Sunucusu rolü için işlem dışlamaları
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
Sysvol\Sysvol klasöründeki veya SYSVOL_DFSR\Sysvol klasöründeki dosyaların taranmalarını kapatma
veya SYSVOL_DFSR\Sysvol
klasörünün Sysvol\Sysvol
ve tüm alt klasörlerin geçerli konumu, çoğaltma kümesi kökünün dosya sistemi yeniden ayrıştırma hedefidir.
Sysvol\Sysvol
ve SYSVOL_DFSR\Sysvol
klasörleri varsayılan olarak aşağıdaki konumları kullanır:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
Şu anda etkin SYSVOL
olan yola NETLOGON paylaşımı tarafından başvurulur ve aşağıdaki alt anahtardaki SysVol değer adıyla belirlenebilir: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden hariç tutun:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
Windows Server Update Services dışlamaları
Bu bölümde, Windows Server Update Services (WSUS) rolünü yüklediğinizde otomatik olarak teslim edilen klasör dışlamaları listelenir. WSUS klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Yerleşik dışlamalar
Microsoft Defender Virüsten Koruma Windows'da yerleşik olduğundan, windows'un herhangi bir sürümünde işletim sistemi dosyaları için dışlama gerektirmez.
Yerleşik dışlamalar şunlardır:
- Windows "temp.edb" dosyaları
- Windows Update dosyaları veya Otomatik Güncelleştirme dosyaları
- Windows Güvenlik dosyaları
- Grup İlkesi dosyaları
- WINS dosyaları
- Dosya Çoğaltma Hizmeti (FRS) dışlamaları
- Yerleşik işletim sistemi dosyaları için işlem dışlamaları
Windows'taki yerleşik dışlamaların listesi, tehdit manzarası değiştikçe güncel tutulur.
Windows "temp.edb" dosyaları
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows Update dosyaları veya Otomatik Güncelleştirme dosyaları
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows Güvenlik dosyaları
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
Grup İlkesi dosyaları
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS dosyaları
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Dosya Çoğaltma Hizmeti (FRS) dışlamaları
Dosya Çoğaltma Hizmeti (FRS) çalışma klasöründeki dosyalar. FRS çalışma klasörü kayıt defteri anahtarında belirtilir
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
FRS Veritabanı günlük dosyaları. FRS Veritabanı günlük dosyası klasörü kayıt defteri anahtarında belirtilir
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
FRS hazırlama klasörü. Hazırlama klasörü kayıt defteri anahtarında belirtilir
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
FRS önyükleme klasörü. Bu klasör, klasör tarafından belirtilir
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
Dağıtılmış Dosya Sistemi Çoğaltma (DFSR) veritabanı ve çalışma klasörleri. Bu klasörler kayıt defteri anahtarı tarafından belirtilir
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Not
Özel konumlar için bkz. Otomatik dışlamaları geri çevirme.
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Yerleşik işletim sistemi dosyaları için işlem dışlamaları
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Otomatik dışlamaları geri çevirme
Windows Server 2016 ve sonraki sürümlerde , Güvenlik bilgileri güncelleştirmeleri tarafından sunulan önceden tanımlanmış dışlamalar yalnızca rol veya özellik için varsayılan yolları dışlar. Özel bir yola bir rol veya özellik yüklediyseniz veya dışlama kümesini el ile denetlemek istiyorsanız, Güvenlik bilgileri güncelleştirmelerinde sunulan otomatik dışlamaları geri çevirdiğinizden emin olun. Ancak otomatik olarak sunulan dışlamaların Windows Server 2016 ve üzeri için iyileştirildiğini unutmayın. Dışlama listelerinizi tanımlamadan önce dışlamalar hakkında önemli noktalar bölümüne bakın.
Uyarı
Otomatik dışlamaları geri çevirmek performansı olumsuz etkileyebilir veya veri bozulmasına neden olabilir. Otomatik sunucu rolü dışlamaları Windows Server 2016, Windows Server 2019 ve Windows Server 2022 için iyileştirilmiştir.
Önceden tanımlanmış dışlamalar yalnızca varsayılan yolları dışladığından, NTDS ve SYSVOL klasörlerini özgün yoldan farklı başka bir sürücüye veya yola taşırsanız, dışlamaları el ile eklemeniz gerekir. Bkz . Klasör adına veya dosya uzantısına göre dışlama listesini yapılandırma.
Otomatik dışlama listelerini Grup İlkesi, PowerShell cmdlet'leri ve WMI ile devre dışı bırakabilirsiniz.
Windows Server 2016, Windows Server 2019 ve Windows Server 2022'de otomatik dışlama listesini devre dışı bırakmak için Grup İlkesi'ni kullanma
Grup İlkesi yönetim bilgisayarınızda Grup İlkesi Yönetim Konsolu'nu açın. Yapılandırmak istediğiniz Grup İlkesi Nesnesine sağ tıklayın ve düzenle'yi seçin.
Grup İlkesi Yönetim Düzenleyicisi'ndeBilgisayar yapılandırması'na gidin ve ardından Yönetim şablonları'nı seçin.
Ağacı Windows bileşenleriMicrosoft Defender Virüsten Koruma>Dışlamaları> olarak genişletin.
Otomatik Dışlamaları Kapat'a çift tıklayın ve seçeneği Etkin olarak ayarlayın. Sonra Tamam’ı seçin.
Windows Server'da otomatik dışlama listesini devre dışı bırakmak için PowerShell cmdlet'lerini kullanma
Aşağıdaki cmdlet'leri kullanın:
Set-MpPreference -DisableAutoExclusions $true
Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:
- Microsoft Defender Virüsten Koruma'nın yapılandırılması ve çalıştırılması için PowerShell cmdlet'lerini kullanın.
- PowerShell'i Microsoft Defender Virüsten Koruma ile kullanın.
Windows Server'da otomatik dışlama listesini devre dışı bırakmak için Windows Yönetim Yönergesi'ni (WMI) kullanma
Aşağıdaki özellikler için MSFT_MpPreference sınıfının Set yöntemini kullanın:
DisableAutoExclusions
Daha fazla bilgi ve izin verilen parametreler için bkz:
Özel dışlamaları tanımlama
Gerekirse özel dışlamalar ekleyebilir veya kaldırabilirsiniz. Bunu yapmak için aşağıdaki makalelere bakın:
- Microsoft Defender Virüsten Koruma için özel dışlamaları yapılandırma
- Dosya adı, uzantı ve klasör konumuna göre dışlamaları yapılandırma ve doğrulama
- İşlemler tarafından açılan dosyalar için dışlamaları yapılandırma ve doğrulama
Ayrıca bkz.
- Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar
- Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar
- Microsoft Defender Virüsten Koruma taramalarının ve düzeltmelerinin sonuçlarını özelleştirme, başlatma ve gözden geçirme
- Mac'te Uç Nokta için Microsoft Defender
- Linux'ta Uç Nokta için Microsoft Defender
- Android özelliklerinde Uç Nokta için Defender’ı yapılandırın
- iOS özelliklerinde Uç Nokta için Microsoft Defender’ı yapılandırın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.