Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar

  • Makale

Şunlar için geçerlidir:

Platform

  • Windows
  • macOS
  • Linux

Önemli

Dışlamaları dikkatli bir şekilde ekleyin. Microsoft Defender Virüsten Koruma taramaları için dışlamalar, cihazlar için koruma düzeyini azaltır.

Microsoft Defender Virüsten Koruma'nın taramasını istemediğiniz öğeler için bir dışlama listesi tanımlayabilirsiniz. Ancak, dışlanan öğeler cihazınızı savunmasız hale getiren tehditler içerebilir. Bu makalede, dışlamaları tanımlarken kaçınmanız gereken bazı yaygın hatalar açıklanmaktadır.

İpucu

Dışlama listelerinizi tanımlamadan önce dışlamalarla ilgili önemli noktalar bölümüne bakın ve Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar bölümünde ayrıntılı bilgileri gözden geçirin.

Belirli güvenilen öğeleri dışlama

Bazı dosyalar, dosya türleri, klasörler veya işlemler, kötü amaçlı olmadığından emin olsanız bile taramanın dışında tutulmamalıdır. Aşağıdaki bölümlerde listelenen klasör konumları, dosya uzantıları ve işlemler için dışlamalar tanımlamayın:

Klasör konumları

Önemli

Bazı klasörler, kötü amaçlı dosyaların bırakılacağı klasörler olabileceğinden taramaların dışında tutulmamalıdır.

Genel olarak, aşağıdaki klasör konumlarından herhangi biri için dışlama tanımlamayın:

  • %systemdrive%
  • C:, C:\veya C:\*
  • %ProgramFiles%\Java Veya C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\veya C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\veya C:\Temp\*
  • C:\Users\ Veya C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\veya .C:\Users\<UserProfileName>\AppData\LocalLow\Temp\ SharePoint için aşağıdaki önemli özel durumları not edin: SharePoint'tedosya düzeyinde virüsten koruma kullandığınızda veya C:\Users\Default\AppData\Local\Temphariç tutunC:\Users\ServiceAccount\AppData\Local\Temp.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\veya C:\Windows\Prefetch\*
  • %Windir%\System32\Spool Veya C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\veya C:\Windows\Temp\*

Linux ve macOS Platformları

Genel olarak, aşağıdaki klasör konumları için dışlama tanımlamayın:

  • /
  • /bin Veya /sbin
  • /usr/lib

Dosya uzantıları

Önemli

Bazı dosya uzantıları, bir saldırıda kullanılan dosya türleri olabileceğinden dışlanmamalıdır.

Genel olarak, aşağıdaki dosya uzantıları için dışlama tanımlamayın:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko Veya .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Süreç

Önemli

Bazı işlemler saldırılar sırasında kullanıldığından dışlanmamalıdır.

Genel olarak, aşağıdaki işlemler için dışlama tanımlamayın:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Not

, .jpg, .jpeggibi .gifdosya türlerini hariç tutabilirsiniz veya .png ortamınızda güvenlik açıklarını işlemek için katı bir güncelleştirme ilkesine sahip modern, güncel bir yazılım varsa bunu hariç tutabilirsiniz.

Linux ve macOS Platformları

Genel olarak, aşağıdaki işlemler için dışlama tanımlamayın:

  • bash
  • java
  • python Ve python3
  • sh
  • zsh

Dışlama listesindeki yalnızca dosya adını kullanma

Kötü amaçlı yazılım, güvendiğiniz ve taramanın dışında tutmak istediğiniz dosyayla aynı ada sahip olabilir. Bu nedenle, olası kötü amaçlı yazılımları taramanın dışında tutmaktan kaçınmak için, yalnızca dosya adını kullanmak yerine dışlamak istediğiniz dosyanın tam yolunu kullanın. Örneğin, taramanın dışında Filename.exe tutmak istiyorsanız, dosyasının tam yolunu kullanın, örneğin C:\program files\contoso\Filename.exe.

Birden çok sunucu iş yükü için tek bir dışlama listesi kullanma

Birden çok sunucu iş yükü için dışlamaları tanımlamak için tek bir dışlama listesi kullanmayın. Farklı uygulama veya hizmet iş yükleri için dışlamaları birden çok dışlama listesi olarak bölün. Örneğin, IIS Sunucusu iş yükünüz için dışlama listesi, SQL Server iş yükünüz için dışlama listesinden farklı olmalıdır.

Dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakter olarak yanlış ortam değişkenlerini kullanma

Microsoft Defender Virüsten Koruma Hizmeti, LocalSystem hesabını kullanarak sistem bağlamında çalışır. Bu, kullanıcı ortam değişkeninden değil sistem ortam değişkeninden bilgi aldığı anlamına gelir. Dışlama listelerinde ortam değişkenlerinin joker karakter olarak kullanılması, sistem değişkenleriyle ve NT AUTHORITY\SYSTEM hesabı olarak çalışan işlemler için geçerli olanlarla sınırlıdır. Bu nedenle, Microsoft Defender Virüsten Koruma klasörü ve işlem dışlamaları eklerken joker karakter olarak kullanıcı ortamı değişkenlerini kullanmayın. Sistem ortamı değişkenlerinin tam listesi için Sistem ortamı değişkenleri altındaki tabloya bakın.

Dışlama listelerinde joker karakterleri kullanma hakkında bilgi için bkz. Dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakterler kullanma.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.