定义排除时要避免的常见错误

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender 防病毒

平台

• Windows
• macOS
• Linux

重要

请谨慎添加排除项。 Microsoft Defender防病毒扫描的排除项会降低设备的保护级别。

可以为不希望防病毒Microsoft Defender扫描的项目定义排除列表。 但是，排除的项目可能包含使设备易受攻击的威胁。 本文介绍在定义排除项时应避免的一些常见错误。

提示

在定义排除列表之前，请参阅有关排除的要点，并查看Microsoft Defender for Endpoint和防病毒Microsoft Defender排除项中的详细信息。

排除某些受信任的项

某些文件、文件类型、文件夹或进程不应排除在扫描之外，即使你相信它们不是恶意的。 不要为以下部分中列出的文件夹位置、文件扩展名和进程定义排除项：

• 文件夹位置
• 文件扩展名
• 过程

文件夹位置

重要

某些文件夹不应从扫描中排除，因为它们最终可能是恶意文件可能被删除的文件夹。

通常，不要为以下任何文件夹位置定义排除项：

• %systemdrive%
• C:、 C:\、 或 C:\*
• %ProgramFiles%\Java 或 C:\Program Files\Java
• %ProgramFiles%\Contoso\、 C:\Program Files\Contoso\、 %ProgramFiles(x86)%\Contoso\或 C:\Program Files (x86)\Contoso\
• C:\Temp、 C:\Temp\、 或 C:\Temp\*
• C:\Users\ 或 C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ 或 C:\Users\<UserProfileName>\AppData\LocalLow\Temp\）。 请注意 SharePoint 的以下重要异常：在 SharePoint 中使用文件级防病毒保护时，请排除C:\Users\ServiceAccount\AppData\Local\Temp 或 C:\Users\Default\AppData\Local\Temp 。
• %Windir%\Prefetch、 C:\Windows\Prefetch、 C:\Windows\Prefetch\或 C:\Windows\Prefetch\*
• %Windir%\System32\Spool 或 C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Temp、 C:\Windows\Temp、 C:\Windows\Temp\或 C:\Windows\Temp\*

Linux 和 macOS 平台

通常，不要为以下文件夹位置定义排除项：

• /
• /bin 或 /sbin
• /usr/lib

文件扩展名

重要

不应排除某些文件扩展名，因为它们可以是攻击中使用的文件类型。

通常，不要为以下文件扩展名定义排除项：

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko 或 .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

流程

重要

不应排除某些进程，因为它们在攻击期间被使用。

通常，不要为以下进程定义排除项：

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

注意

如果你的环境具有具有严格的更新策略来处理任何漏洞的现代最新软件，则可以选择排除文件类型，例如 .gif、 .jpg、 .jpeg或 .png 。

Linux 和 macOS 平台

通常，不要为以下进程定义排除项：

• bash
• java
• python 和 python3
• sh
• zsh

仅使用排除列表中的文件名

恶意软件的名称可能与你信任且想要从扫描中排除的文件的名称相同。 因此，若要避免从扫描中排除潜在的恶意软件，请使用要排除的文件的完全限定路径，而不是仅使用文件名。 例如，如果要从扫描中排除 Filename.exe ，请使用文件的完整路径，例如 C:\program files\contoso\Filename.exe。

对多个服务器工作负载使用单个排除列表

不要使用单个排除列表来定义多个服务器工作负载的排除项。 将不同应用程序或服务工作负载的排除项拆分为多个排除列表。 例如，IIS Server 工作负载的排除列表必须与SQL Server工作负荷的排除列表不同。

在文件名和文件夹路径或扩展排除列表中使用不正确的环境变量作为通配符

Microsoft Defender防病毒服务使用 LocalSystem 帐户在系统上下文中运行，这意味着它从系统环境变量获取信息，而不是从用户环境变量获取信息。 将环境变量用作排除列表中的通配符仅限于系统变量和那些适用于作为 NT AUTHORITY\SYSTEM 帐户运行的进程的变量。 因此，在添加Microsoft Defender防病毒文件夹和进程排除项时，不要使用用户环境变量作为通配符。 有关 系统环境变量 的完整列表，请参阅系统环境变量下的表。

有关如何 在排除列表中使用通配符的信息，请参阅在文件名和文件夹路径或扩展排除 列表中使用通配符。

另请参阅

• Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
• 配置 Microsoft Defender 防病毒的自定义排除项
• 在 Linux 上配置和验证Microsoft Defender for Endpoint排除项
• 在 macOS 上配置和验证Microsoft Defender for Endpoint排除项

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。