Aracılığıyla paylaş

Windows Server Microsoft Defender Virüsten Koruma dışlamaları

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Windows Server'de otomatik dışlamalar hakkında önemli notlar

  • Özel dışlamalar otomatik dışlamalardan önceliklidir. Yinelenen otomatik veya yerleşik dışlama içeren bir yol için özel dışlama ayarlandığında, özel dışlama her zaman geçerli olur.
  • Otomatik dışlamalar yalnızca gerçek zamanlı koruma (RTP) tarama için geçerlidir. Ağ İncelemesi ve Davranış İzleme gibi diğer tarama etkinlikleri dışlanmaz. Diğer tarama türlerini dışlamak için lütfen özel dışlamalar kullanın.
  • Otomatik dışlamalar hızlı tarama, tam tarama ve özel tarama sırasında kabul edilmez. Diğer tarama türlerini dışlamak için lütfen özel dışlamalar kullanın.
  • Yerleşik dışlamalar ve otomatik sunucu rolü dışlamaları, Windows Güvenliği uygulamasında gösterilen standart dışlama listelerinde görünmez.
  • Microsoft Defender Virüsten Koruma, bilgisayarınızda hangi rollerin yüklü olduğunu belirlemek için Dağıtım Görüntüsü Bakımı ve Yönetimi (DISM) araçlarını kullanır.
  • İşletim sistemine dahil olmayan yazılımlar için uygun dışlamalar ayarlanmalıdır.
  • Microsoft Defender Virüsten Koruma tarafından uygulanan yerleşik dışlamaların listesi, tehdit ortamı değiştikçe güncel tutulur.

Bu makalede, Microsoft Defender Virüsten Koruma için tanımlamanız gerekmeyen iki ana dışlama türü açıklanmaktadır:

Dışlamalara daha ayrıntılı bir genel bakış için bkz. Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için dışlamaları yönetme.

Önkoşullar

Desteklenen işletim sistemleri

  • Windows Server

Otomatik sunucu rolü dışlamaları

Otomatik sunucu rolü dışlamaları, sunucu için seçtiğiniz rollere göre belirli otomatik yol ve işlem dışlama kümeleri uygular.

Not

  • Lütfen Önemli Notlar'a bakın
  • Varsayılan konumlar, bu makalede açıklanan konumlardan farklı olabilir.
  • Microsoft Defender Virüsten Koruma tarafından uygulanan yerleşik dışlamaların listesi, tehdit ortamı değiştikçe güncel tutulur. Bu makalede otomatik sunucu rolü dışlamalarının bazıları listelenmiştir ancak tümü listelenmemektedir.
  • Windows özelliği veya sunucu rolü olarak dahil olmayan yazılımların dışlamalarını ayarlamak için yazılım üreticisinin belgelerine bakın.

Windows Server 2016 veya üzeri

Windows Server 2016 veya sonraki sürümlerde, sunucu rolleri için dışlamalar tanımlamanız gerekmez. Windows Server 2016 veya sonraki bir sürüme bir rol yüklediğinizde, Microsoft Defender Virüsten Koruma, sunucu rolü için otomatik dışlamalar ve rolü yüklerken eklenen tüm dosyaları içerir.

Windows Server 2012 R2

Windows Server 2012 R2, otomatik sunucu rolü dışlamaları özelliğini desteklemez. Windows Server 2012 R2 ayrıca yüklenebilir bir özellik olarak Microsoft Defender Virüsten Koruma'ya sahip değildir. Bu sunucuları Uç Nokta için Defender'a eklediğinizde, Microsoft Defender Virüsten Koruma'yı yüklersiniz ve işletim sistemi dosyaları için varsayılan yerleşik dışlamalar uygulanır. Ancak, otomatik sunucu rolü dışlamaları (aşağıda belirtildiği gibi) otomatik olarak uygulanmaz. Bu dışlamalar isteniyorsa, bu yollar ve işlemler için uygun özel dışlamalar eklemeniz gerekir. Windows Server 2012 R2'de Microsoft Defender Virüsten Koruma'yı ekleme hakkında daha fazla bilgi için bkz. Windows sunucularını Uç Nokta için Microsoft Defender hizmetine ekleme.

Otomatik dışlamalar şunlardır:

Hyper-V dışlamaları

Aşağıdaki tabloda, Hyper-V rolünü yüklediğinizde otomatik olarak teslim edilen dosya türü dışlamaları, klasör dışlamaları ve işlem dışlamaları listelenmiştir.

Dışlama türü Özellikleri
Dosya türleri *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Klasörler %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Süreç %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL dosyaları

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory dışlamaları

Bu bölümde, Active Directory Domain Services (AD DS) yüklediğinizde otomatik olarak teslim edilen dışlamalar listelenir.

NTDS veritabanı dosyaları

Veritabanı dosyaları kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS işlem günlüğü dosyaları

İşlem günlüğü dosyaları kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS çalışma klasörü

Bu klasör kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP Sunucusu dışlamaları

Bu bölümde, DHCP Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dışlamalar listelenir. DHCP Sunucusu dosya konumları kayıt defteri anahtarındaki DatabasePath, DhcpLogFilePath ve BackupDatabasePath parametreleri tarafından belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS Sunucusu dışlamaları

Bu bölümde, DNS Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dosya ve klasör dışlamaları ve işlem dışlamaları listelenir.

DNS Sunucusu rolü için dosya ve klasör dışlamaları

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

DNS Sunucusu rolü için işlem dışlamaları

  • %systemroot%\System32\dns.exe

Dosya ve Depolama Hizmetleri dışlamaları

Bu bölümde, Dosya ve Depolama Hizmetleri rolünü yüklediğinizde otomatik olarak teslim edilen dosya ve klasör dışlamaları listelenir. Aşağıda listelenen dışlamalar Kümeleme rolü için dışlamalar içermez.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Bu bölümde, Yazdırma Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dosya türü dışlamaları, klasör dışlamaları ve işlem dışlamaları listelenir.

Dosya türü dışlamaları

  • *.shd
  • *.spl

Klasör dışlamaları

Bu klasör kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Yazdırma Sunucusu rolü için işlem dışlamaları

  • spoolsv.exe

Web Sunucusu dışlamaları

Bu bölümde, Web Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen klasör dışlamaları ve işlem dışlamaları listelenir.

Klasör dışlamaları

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Web Sunucusu rolü için işlem dışlamaları

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Sysvol\Sysvol klasöründeki veya SYSVOL_DFSR\Sysvol klasöründeki dosyaların taranmalarını kapatma

veya SYSVOL_DFSR\Sysvol klasörünün Sysvol\Sysvol ve tüm alt klasörlerin geçerli konumu, çoğaltma kümesi kökünün dosya sistemi yeniden ayrıştırma hedefidir. Sysvol\Sysvol ve SYSVOL_DFSR\Sysvol klasörleri varsayılan olarak aşağıdaki konumları kullanır:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Şu anda etkin SYSVOL olan yola NETLOGON paylaşımı tarafından başvurulur ve aşağıdaki alt anahtardaki SysVol değer adıyla belirlenebilir: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden hariç tutun:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Güncelleştirme Hizmetleri dışlamalarını Windows Server

Bu bölümde, Windows Server Update Services (WSUS) rolünü yüklediğinizde otomatik olarak teslim edilen klasör dışlamaları listelenir. WSUS klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Yerleşik dışlamalar

Otomatik dışlamalar hakkındaki önemli notları gözden geçirmeyi unutmayın (bu makalede). Varsayılan konumların bu makalede açıklanan konumlardan farklı olabileceğini unutmayın.

Microsoft Defender Virüsten Koruma tarafından uygulanan yerleşik dışlamaların listesi, tehdit ortamı değiştikçe güncel tutulur. Bu makalede yerleşik dışlamaların bazıları listelenmiş ancak tümü listelenmemektedir.

Microsoft Defender Virüsten Koruma Windows'ta yerleşik olduğundan, windows'un herhangi bir sürümünde işletim sistemi dosyaları için dışlama gerektirmez.

Yerleşik dışlamalar şunlardır:

Windows "temp.edb" dosyaları

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

dosyaları veya Otomatik Güncelleştirme dosyalarını Windows Update

  • %windir%\SoftwareDistribution\Datastore\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

dosyaları Windows Güvenliği

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

dosyaları grup ilkesi

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS dosyaları

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Dosya Çoğaltma Hizmeti (FRS) dışlamaları

  • Dosya Çoğaltma Hizmeti (FRS) çalışma klasöründeki dosyalar. FRS çalışma klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS Veritabanı günlük dosyaları. FRS Veritabanı günlük dosyası klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • FRS hazırlama klasörü. Hazırlama klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • FRS önyükleme klasörü. Bu klasör, klasör tarafından belirtilir Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Dağıtılmış Dosya Sistemi Çoğaltma (DFSR) veritabanı ve çalışma klasörleri. Bu klasörler kayıt defteri anahtarı tarafından belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Not

    Özel konumlar için bkz. Otomatik dışlamaları geri çevirme.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Yerleşik işletim sistemi dosyaları için işlem dışlamaları

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Otomatik dışlamaları geri çevirme

Windows Server 2016 ve sonraki sürümlerde, Güvenlik bilgileri güncelleştirmeleri tarafından sunulan önceden tanımlanmış dışlamalar yalnızca bir rol veya özellik için varsayılan yolları dışlar. Özel bir yola bir rol veya özellik yüklediyseniz veya dışlama kümesini el ile denetlemek istiyorsanız, Güvenlik bilgileri güncelleştirmelerinde sunulan otomatik dışlamaları geri çevirdiğinizden emin olun. Ancak otomatik olarak sunulan dışlamaların Windows Server 2016 ve üzeri için iyileştirildiğini unutmayın. Dışlama listelerinizi tanımlamadan önce dışlamalar hakkında önemli noktalar bölümüne bakın.

Uyarı

Otomatik dışlamaları geri çevirmek performansı olumsuz etkileyebilir veya veri bozulmasına neden olabilir. Otomatik sunucu rolü dışlamaları Windows Server 2016 ve üzeri için iyileştirilmiştir ve Stack HCI işletim sistemi, sürüm 23H2 ve üzeri Azure.

Önceden tanımlanmış dışlamalar yalnızca varsayılan yolları dışladığından, NTDS ve SYSVOL klasörlerini özgün yoldan farklı başka bir sürücüye veya yola taşırsanız, dışlamaları el ile eklemeniz gerekir. Bkz . Klasör adına veya dosya uzantısına göre dışlama listesini yapılandırma.

otomatik dışlama listelerini grup ilkesi, PowerShell cmdlet'leri ve WMI ile devre dışı bırakabilirsiniz.

Windows Server 2016, Windows Server 2019 ve sonraki sürümlerde otomatik dışlama listesini devre dışı bırakmak için grup ilkesi kullanın

  1. grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu açın. Yapılandırmak istediğiniz grup ilkesi Nesnesine sağ tıklayın ve düzenle'yi seçin.

  2. grup ilkesi Yönetim Düzenleyicisi'ndeBilgisayar yapılandırması'na gidin ve ardından Yönetim şablonları'nı seçin.

  3. Ağacı Windows bileşenleri>Microsoft Defender Virüsten Koruma>Dışlamaları olarak genişletin.

  4. Otomatik Dışlamaları Kapat'a çift tıklayın ve seçeneği Etkin olarak ayarlayın. Sonra Tamam’ı seçin.

Windows Server'de otomatik dışlama listesini devre dışı bırakmak için PowerShell cmdlet'lerini kullanma

Aşağıdaki cmdlet'leri kullanın:

Set-MpPreference -DisableAutoExclusions $true

Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Windows Server'de otomatik dışlama listesini devre dışı bırakmak için Windows Yönetim Yönergesi'ni (WMI) kullanma

Aşağıdaki özellikler için MSFT_MpPreference sınıfının Set yöntemini kullanın:

DisableAutoExclusions

Daha fazla bilgi ve izin verilen parametreler için bkz:

Özel dışlamaları tanımlama

Gerekirse özel dışlamalar ekleyebilir veya kaldırabilirsiniz. Bunu yapmak için aşağıdaki makalelere bakın:

Ayrıca bkz.

  • Last updated on