Share via


Windows Server'da virüsten koruma dışlamalarını Microsoft Defender

Şunlar için geçerlidir:

Platform

  • Windows

Bu makalede, Microsoft Defender Virüsten Koruma için tanımlamanız gerekmeyen dışlama türleri açıklanmaktadır:

Dışlamalara daha ayrıntılı bir genel bakış için bkz. Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için dışlamaları yönetme.

Windows Server'da dışlamalar hakkında birkaç önemli nokta

  • Özel dışlamalar otomatik dışlamalardan önceliklidir.
  • Otomatik dışlamalar yalnızca gerçek zamanlı koruma (RTP) tarama için geçerlidir.
  • Otomatik dışlamalar hızlı tarama, tam tarama ve özel tarama sırasında kabul edilmez.
  • Özel ve yinelenen dışlamalar otomatik dışlamalarla çakışmaz.
  • Microsoft Defender Virüsten Koruma, bilgisayarınızda hangi rollerin yüklü olduğunu belirlemek için Dağıtım Görüntüsü Bakımı ve Yönetimi (DISM) araçlarını kullanır.
  • İşletim sistemine dahil olmayan yazılımlar için uygun dışlamalar ayarlanmalıdır.
  • Windows Server 2012 R2'nin yüklenebilir bir özellik olarak Microsoft Defender Virüsten Koruma özelliği yoktur. Bu sunucuları Uç Nokta için Defender'a eklediğinizde, Microsoft Defender Virüsten Koruma'yı yüklersiniz ve işletim sistemi dosyaları için varsayılan dışlamalar uygulanır. Ancak, sunucu rolleri için dışlamalar (aşağıda belirtildiği gibi) otomatik olarak uygulanmaz ve bu dışlamaları uygun şekilde yapılandırmanız gerekir. Daha fazla bilgi edinmek için bkz. Windows sunucularını Uç Nokta için Microsoft Defender hizmetine ekleme.
  • Yerleşik dışlamalar ve otomatik sunucu rolü dışlamaları, Windows Güvenliği uygulamasında gösterilen standart dışlama listelerinde görünmez.
  • Windows'taki yerleşik dışlamaların listesi, tehdit manzarası değiştikçe güncel tutulur. Bu makalede yerleşik ve otomatik dışlamaların bazıları listelenmiş ancak tümü listelenmemektedir.

Otomatik sunucu rolü dışlamaları

Windows Server 2016 veya sonraki sürümlerde, sunucu rolleri için dışlamalar tanımlamanız gerekmez. Windows Server 2016 veya sonraki bir sürüme bir rol yüklediğinizde, Microsoft Defender Virüsten Koruma, sunucu rolü için otomatik dışlamalar ve rolü yüklerken eklenen tüm dosyaları içerir.

Windows Server 2012 R2, otomatik dışlama özelliğini desteklemez. herhangi bir sunucu rolü ve işletim sistemini yükledikten sonra eklenen yazılımlar için açık dışlamalar tanımlamanız gerekir.

Önemli

  • Varsayılan konumlar, bu makalede açıklanan konumlardan farklı olabilir.
  • Windows özelliği veya sunucu rolü olarak dahil olmayan yazılımların dışlamalarını ayarlamak için yazılım üreticisinin belgelerine bakın.

Otomatik dışlamalar şunlardır:

Hyper-V dışlamaları

Aşağıdaki tabloda, Hyper-V rolünü yüklediğinizde otomatik olarak teslim edilen dosya türü dışlamaları, klasör dışlamaları ve işlem dışlamaları listelenmiştir.

Dışlama türü Özellikleri
Dosya türleri *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Klasörler %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Süreç %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL dosyaları

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory dışlamaları

Bu bölümde, Active Directory Domain Services (AD DS) yüklediğinizde otomatik olarak teslim edilen dışlamalar listelenir.

NTDS veritabanı dosyaları

Veritabanı dosyaları kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS işlem günlüğü dosyaları

İşlem günlüğü dosyaları kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS çalışma klasörü

Bu klasör kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP Sunucusu dışlamaları

Bu bölümde, DHCP Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dışlamalar listelenir. DHCP Sunucusu dosya konumları kayıt defteri anahtarındaki DatabasePath, DhcpLogFilePath ve BackupDatabasePath parametreleri tarafından belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS Sunucusu dışlamaları

Bu bölümde, DNS Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dosya ve klasör dışlamaları ve işlem dışlamaları listelenir.

DNS Sunucusu rolü için dosya ve klasör dışlamaları

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

DNS Sunucusu rolü için işlem dışlamaları

  • %systemroot%\System32\dns.exe

Dosya ve Depolama Hizmetleri dışlamaları

Bu bölümde, Dosya ve Depolama Hizmetleri rolünü yüklediğinizde otomatik olarak teslim edilen dosya ve klasör dışlamaları listelenir. Aşağıda listelenen dışlamalar Kümeleme rolü için dışlamalar içermez.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Bu bölümde, Yazdırma Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen dosya türü dışlamaları, klasör dışlamaları ve işlem dışlamaları listelenir.

Dosya türü dışlamaları

  • *.shd
  • *.spl

Klasör dışlamaları

Bu klasör kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Yazdırma Sunucusu rolü için işlem dışlamaları

  • spoolsv.exe

Web Sunucusu dışlamaları

Bu bölümde, Web Sunucusu rolünü yüklediğinizde otomatik olarak teslim edilen klasör dışlamaları ve işlem dışlamaları listelenir.

Klasör dışlamaları

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Web Sunucusu rolü için işlem dışlamaları

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Sysvol\Sysvol klasöründeki veya SYSVOL_DFSR\Sysvol klasöründeki dosyaların taranmalarını kapatma

veya SYSVOL_DFSR\Sysvol klasörünün Sysvol\Sysvol ve tüm alt klasörlerin geçerli konumu, çoğaltma kümesi kökünün dosya sistemi yeniden ayrıştırma hedefidir. Sysvol\Sysvol ve SYSVOL_DFSR\Sysvol klasörleri varsayılan olarak aşağıdaki konumları kullanır:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Şu anda etkin SYSVOL olan yola NETLOGON paylaşımı tarafından başvurulur ve aşağıdaki alt anahtardaki SysVol değer adıyla belirlenebilir: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden hariç tutun:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services dışlamaları

Bu bölümde, Windows Server Update Services (WSUS) rolünü yüklediğinizde otomatik olarak teslim edilen klasör dışlamaları listelenir. WSUS klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Yerleşik dışlamalar

Microsoft Defender Virüsten Koruma Windows'ta yerleşik olduğundan, windows'un herhangi bir sürümünde işletim sistemi dosyaları için dışlama gerektirmez.

Yerleşik dışlamalar şunlardır:

Windows'taki yerleşik dışlamaların listesi, tehdit manzarası değiştikçe güncel tutulur.

Windows "temp.edb" dosyaları

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

dosyaları veya Otomatik Güncelleştirme dosyalarını Windows Update

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

dosyaları Windows Güvenliği

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

dosyaları grup ilkesi

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS dosyaları

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Dosya Çoğaltma Hizmeti (FRS) dışlamaları

  • Dosya Çoğaltma Hizmeti (FRS) çalışma klasöründeki dosyalar. FRS çalışma klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • FRS Veritabanı günlük dosyaları. FRS Veritabanı günlük dosyası klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • FRS hazırlama klasörü. Hazırlama klasörü kayıt defteri anahtarında belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • FRS önyükleme klasörü. Bu klasör, klasör tarafından belirtilir Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • Dağıtılmış Dosya Sistemi Çoğaltma (DFSR) veritabanı ve çalışma klasörleri. Bu klasörler kayıt defteri anahtarı tarafından belirtilir HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Not

    Özel konumlar için bkz. Otomatik dışlamaları geri çevirme.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Yerleşik işletim sistemi dosyaları için işlem dışlamaları

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Otomatik dışlamaları geri çevirme

Windows Server 2016 ve sonraki sürümlerde, Güvenlik bilgileri güncelleştirmeleri tarafından sunulan önceden tanımlanmış dışlamalar yalnızca bir rol veya özellik için varsayılan yolları dışlar. Özel bir yola bir rol veya özellik yüklediyseniz veya dışlama kümesini el ile denetlemek istiyorsanız, Güvenlik bilgileri güncelleştirmelerinde sunulan otomatik dışlamaları geri çevirdiğinizden emin olun. Ancak otomatik olarak sunulan dışlamaların Windows Server 2016 ve üzeri için iyileştirildiğini unutmayın. Dışlama listelerinizi tanımlamadan önce dışlamalar hakkında önemli noktalar bölümüne bakın.

Uyarı

Otomatik dışlamaları geri çevirmek performansı olumsuz etkileyebilir veya veri bozulmasına neden olabilir. Otomatik sunucu rolü dışlamaları Windows Server 2016, Windows Server 2019 ve Windows Server 2022 için iyileştirilmiştir.

Önceden tanımlanmış dışlamalar yalnızca varsayılan yolları dışladığından, NTDS ve SYSVOL klasörlerini özgün yoldan farklı başka bir sürücüye veya yola taşırsanız, dışlamaları el ile eklemeniz gerekir. Bkz . Klasör adına veya dosya uzantısına göre dışlama listesini yapılandırma.

otomatik dışlama listelerini grup ilkesi, PowerShell cmdlet'leri ve WMI ile devre dışı bırakabilirsiniz.

Windows Server 2016, Windows Server 2019 ve Windows Server 2022'de otomatik dışlama listesini devre dışı bırakmak için grup ilkesi kullanın

  1. grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu açın. Yapılandırmak istediğiniz grup ilkesi Nesnesine sağ tıklayın ve düzenle'yi seçin.

  2. grup ilkesi Yönetimi DüzenleyiciBilgisayar yapılandırması'na gidin ve ardından Yönetim şablonları'nı seçin.

  3. Ağacı Windows bileşenleri>Microsoft Defender Virüsten Koruma>Dışlamaları olarak genişletin.

  4. Otomatik Dışlamaları Kapat'a çift tıklayın ve seçeneği Etkin olarak ayarlayın. Sonra Tamam’ı seçin.

Windows Server'da otomatik dışlama listesini devre dışı bırakmak için PowerShell cmdlet'lerini kullanma

Aşağıdaki cmdlet'leri kullanın:

Set-MpPreference -DisableAutoExclusions $true

Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Windows Server'da otomatik dışlama listesini devre dışı bırakmak için Windows Yönetim Yönergesi'ni (WMI) kullanma

Aşağıdaki özellikler için MSFT_MpPreference sınıfının Set yöntemini kullanın:

DisableAutoExclusions

Daha fazla bilgi ve izin verilen parametreler için bkz:

Özel dışlamaları tanımlama

Gerekirse özel dışlamalar ekleyebilir veya kaldırabilirsiniz. Bunu yapmak için aşağıdaki makalelere bakın:

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.