Microsoft Defender Windows Server 上的防病毒軟體排除專案

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender 防毒軟體

平台

• Windows

本文說明您不需要為 Microsoft Defender 防病毒軟體定義的排除類型：

• 所有 Windows 版本上作業系統檔案的內建排除專案。
• Windows Server 2016 及更新版本上角色的自動排除。

如需更詳細的排除概觀，請參閱管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案。

關於 Windows Server 上排除專案的一些重點

• 自訂排除專案優先於自動排除專案。
• 自動排除專案僅適用於 RTP) 掃描 (實時保護 。
• 在快速掃描、完整掃描和自定義掃描期間，不會接受自動排除。
• 自定義和重複排除專案不會與自動排除項目發生衝突。
• Microsoft Defender 防病毒軟體會使用部署映像服務與管理 (DISM) 工具來判斷要在您的電腦上安裝哪些角色。
• 您必須為不包含在作業系統中的軟體設定適當的排除範圍。
• Windows Server 2012 R2 沒有 Microsoft Defender 防病毒軟體作為可安裝的功能。 當您將這些伺服器上線至適用於端點的 Defender 時，您將安裝 Microsoft Defender 防病毒軟體，並套用作業系統檔案的預設排除專案。 不過，如下所指定 (伺服器角色的排除) 不會自動套用，您應該適當地設定這些排除專案。 若要深入瞭解，請參閱將 Windows 伺服器上線至 適用於端點的 Microsoft Defender 服務。
• 內建排除專案和自動伺服器角色排除不會出現在 Windows 安全性 應用程式中顯示的標準排除清單中。
• 隨著威脅環境的變更，Windows 中的內建排除專案清單會保持在最新狀態。 本文列出一些內建和自動排除專案，但不是全部。

自動伺服器角色排除

在 Windows Server 2016 或更新版本上，您不應該定義伺服器角色的排除專案。 當您在 Windows Server 2016 或更新版本上安裝角色時，Microsoft Defender 防病毒軟體會包含伺服器角色的自動排除專案，以及安裝角色時新增的任何檔案。

Windows Server 2012 R2 不支援自動排除功能。 您必須為安裝作業系統之後新增的任何伺服器角色和任何軟體定義明確排除專案。

重要事項

• 預設位置可能與本文所述的位置不同。
• 若要設定不包含為 Windows 功能或伺服器角色之軟體的排除專案，請參閱軟體製造商的檔。

自動排除包括：

• Hyper-V 排除專案
• SYSVOL 檔案
• Active Directory 排除專案
• DHCP 伺服器排除專案
• DNS 伺服器排除專案
• 檔案和記憶體服務排除專案
• 列印伺服器排除專案
• 網頁伺服器排除專案
• Windows Server Update Services 排除專案

Hyper-V 排除專案

下表列出當您安裝 Hyper-V 角色時自動傳遞的檔案類型排除專案、資料夾排除專案和進程排除專案。

排除類型	細節
檔案類型	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
資料夾	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
程序	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

SYSVOL 檔案

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory 排除專案

本節列出當您安裝 #D58494D6DBAAC40E994CA9363A017FA18 (AD DS) 時自動傳遞的排除專案。

NTDS 資料庫檔案

資料庫檔案是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

AD DS 事務歷史記錄檔

事務歷史記錄檔是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

NTDS 工作資料夾

此資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

AD DS 和 AD DS 相關支援檔案的進程排除專案

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

DHCP 伺服器排除專案

本節列出當您安裝 DHCP 伺服器角色時自動傳遞的排除專案。 DHCP 伺服器檔案位置是由登錄機碼中的 DatabasePath、 DhcpLogFilePath 和 BackupDatabasePath 參數所指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

DNS 伺服器排除專案

本節列出當您安裝 DNS 伺服器角色時自動傳遞的檔案和資料夾排除專案和進程排除專案。

DNS 伺服器角色的檔案和資料夾排除專案

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

DNS 伺服器角色的進程排除專案

• %systemroot%\System32\dns.exe

檔案和記憶體服務排除專案

本節列出當您安裝檔案和記憶體服務角色時，自動傳遞的檔案和資料夾排除專案。 下列排除專案不包含叢集角色的排除專案。

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

列印伺服器排除專案

本節列出當您安裝列印伺服器角色時自動傳遞的文件類型排除專案、資料夾排除專案和進程排除專案。

檔類型排除專案

• *.shd
• *.spl

資料夾排除

此資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

列印伺服器角色的進程排除專案

• spoolsv.exe

網頁伺服器排除專案

本節列出當您安裝 Web 伺服器角色時，自動傳遞的資料夾排除專案和進程排除專案。

資料夾排除

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

網頁伺服器角色的進程排除專案

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

關閉 Sysvol\Sysvol 資料夾或 SYSVOL_DFSR\Sysvol 資料夾中的檔案掃描

或 SYSVOL_DFSR\Sysvol 資料夾和所有子資料夾的目前位置Sysvol\Sysvol是複本集根目錄的檔案系統重新分析目標。 SYSVOL_DFSR\Sysvol與 Sysvol\Sysvol 資料夾預設會使用下列位置：

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

NETLOGON 共用會參考目前 SYSVOL 作用中的路徑，並可由下列子機碼中的 SysVol 值名稱來決定： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

從此資料夾及其所有子資料夾中排除下列檔案：

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

Windows Server Update Services 排除專案

本節列出當您安裝 Windows Server Update Services (WSUS) 角色時自動傳遞的資料夾排除專案。 WSUS 資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

內建排除專案

由於 Microsoft Defender 防病毒軟體內建於 Windows 中，因此不需要在任何版本的 Windows 上排除作業系統檔案。

內建排除專案包括：

• Windows “temp.edb” 檔案
• Windows Update 檔案或自動更新檔案
• Windows 安全性 檔案
• 群組原則 檔案
• WINS 檔案
• 檔案復寫服務 (FRS) 排除專案
• 內建操作系統檔案的進程排除專案

隨著威脅環境的變更，Windows 中的內建排除專案清單會保持在最新狀態。

Windows “temp.edb” 檔案

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update 檔案或自動更新檔案

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows 安全性 檔案

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

群組原則 檔案

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS 檔案

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

檔案復寫服務 (FRS) 排除專案

• 檔案復寫服務中的檔案 (FRS) 工作資料夾。 FRS 工作資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• FRS 資料庫記錄檔。 FRS 資料庫記錄檔資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• FRS 暫存資料夾。 預備資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• FRS 預安裝資料夾。 此資料夾是由資料夾指定 Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• 分散式文件系統複寫 (DFSR) 資料庫和工作資料夾。 這些資料夾是由登錄機碼指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  注意事項

  如需自定義位置，請 參閱退出自動排除。

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

內建操作系統檔案的進程排除專案

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

退出退出自動排除專案

在 Windows Server 2016 和更新版本中，安全性情報更新所提供的預先定義排除專案只會排除角色或功能的默認路徑。 如果您已在自定義路徑中安裝角色或功能，或想要手動控制一組排除專案，請務必退出安全性情報更新中提供的自動排除專案。 但請記住，自動傳遞的排除專案已針對 Windows Server 2016 和更新版本進行優化。 在定義排除清單之前，請參閱 有關排除的重要事項 。

警告

退出自動排除可能會對效能造成負面影響，或導致數據損毀。 自動伺服器角色排除已針對 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 優化。

因為預先定義的排除範圍只會排除 預設路徑，所以如果您將NTDS和SVOL資料夾移至另一個 與原始路徑不同的磁碟驅動器或路徑，就必須手動新增排除專案。 請參閱 根據資料夾名稱或擴展名設定排除清單。

您可以使用 群組原則、PowerShell Cmdlet 和 WMI 停用自動排除清單。

使用 群組原則 停用 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 上的自動排除清單

1. 在您的群組原則管理電腦，開啟 群組原則管理主控台。 以滑鼠右鍵按下您要設定 群組原則 物件，然後選取 [編輯]。

2. 在 [群組原則 管理] 編輯器 移至 [計算機設定]，然後選取 [系統管理範本]。

3. 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>排除專案。

4. 按兩下 [關閉自動排除專案]，並將選項設定為 [ 已啟用]。 然後選取 [確定]。

使用 PowerShell Cmdlet 停用 Windows Server 上的自動排除清單

使用下列 Cmdlet：

Set-MpPreference -DisableAutoExclusions $true

若要深入了解，請參閱下列資源：

• 使用PowerShell Cmdlet來設定及執行 Microsoft Defender 防病毒軟體。
• 搭配使用PowerShell與 Microsoft Defender防病毒軟體。

使用 Windows Management Instruction (WMI) 停用 Windows Server 上的自動排除清單

針對下列屬性，請使用 MSFT_MpPreference 類別的 Set 方法：

DisableAutoExclusions

如需詳細資訊和允許的參數，請參閱：

• Windows Defender WMIv2 API

定義自定義排除專案

如有必要，您可以新增或移除自定義排除專案。 若要這樣做，請參閱下列文章：

• 設定 Microsoft Defender 防病毒軟體的自定義排除專案
• 根據檔名、擴展名和資料夾位置來設定和驗證排除專案
• 設定及驗證由進程開啟之檔案的排除專案

另請參閱

• 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
• 定義排除時應避免的常見錯誤
• 自定義、起始及檢閱 Microsoft Defender 防病毒軟體掃描和補救的結果
• macOS 上適用於端點的 Microsoft Defender
• Linux 上適用於端點的 Microsoft Defender
• 設定 Android 上適用於端點的 Microsoft Defender 功能
• 設定 iOS 上適用於端點的 Microsoft Defender 功能

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。