Распространенные ошибки, которых следует избегать при определении исключений

  • Применяется к: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Важно!

Добавьте исключения с осторожностью. Исключения для антивирусной программы Microsoft Defender снижают уровень защиты устройств.

Вы можете определить исключения для элементов, которые не должны проверяться Microsoft Defender антивирусной программы. Однако исключенные элементы могут содержать угрозы, которые делают ваше устройство уязвимым.

Не следует исключать файлы, типы файлов, папки или процессы, описанные в этой статье, из Microsoft Defender антивирусной проверки, даже если вы доверяете, что элементы не являются вредоносными.

Предварительные условия

Совет

Прежде чем создавать исключения, ознакомьтесь со следующими статьями:

Поддерживаемые операционные системы

  • Windows
  • macOS
  • Linux

Folders

Не следует исключать некоторые папки из проверок, так как злоумышленники могут использовать эти папки. Как правило, не следует определять исключения для следующих папок:

  • Windows:

    • %systemdrive%

    • C:, C:\ или C:\*

    • %ProgramFiles%\Java или C:\Program Files\Java

    • Пример: %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\или C:\Program Files (x86)\Contoso\

    • C:\Temp, C:\Temp\ или C:\Temp\*

    • C:\Users\ или C:\Users\*

    • C:\Users\<UserProfileName>\AppData\Local\Temp\ или C:\Users\<UserProfileName>\AppData\LocalLow\Temp\.

      Примечание.

      При использовании антивирусной защиты на уровне файлов в SharePointследует исключить следующие папки:

      C:\Users\ServiceAccount\AppData\Local\Temp или C:\Users\Default\AppData\Local\Temp.

    • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\или C:\Windows\Prefetch\*

    • %Windir%\System32\Spool или C:\Windows\System32\Spool

    • C:\Windows\System32\CatRoot2

    • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\или C:\Windows\Temp\*

  • Linux и macOS:

    • /
    • /bin или /sbin
    • /usr/lib

Расширение файла

Не следует исключать некоторые расширения файлов из проверок, так как злоумышленники могут использовать такие типы файлов. Как правило, не следует определять исключения для следующих расширений файлов:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko или .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Примечание.

Вы можете исключить типы файлов (например, .gif, .jpg, .jpegили .png), если ваша организация использует современное, актуальное программное обеспечение со строгими политиками обновления для обработки уязвимостей.

Процессы

Не следует исключать некоторые процессы из проверок, так как злоумышленники могут использовать эти процессы. Как правило, не следует определять исключения для следующих процессов:

  • Windows:

    • AcroRd32.exe
    • addinprocess.exe
    • addinprocess32.exe
    • addinutil.exe
    • bash.exe
    • bginfo.exe
    • bitsadmin.exe
    • cdb.exe
    • csi.exe
    • cmd.exe
    • cscript.exe
    • dbghost.exe
    • dbgsvc.exe
    • dnx.exe
    • dotnet.exe
    • excel.exe
    • fsi.exe
    • fsiAnyCpu.exe
    • iexplore.exe
    • java.exe
    • kd.exe
    • lxssmanager.dll
    • msbuild.exe
    • mshta.exe
    • ntkd.exe
    • ntsd.exe
    • outlook.exe
    • psexec.exe
    • powerpnt.exe
    • powershell.exe
    • rcsi.exe
    • svchost.exe
    • schtasks.exe
    • system.management.automation.dll
    • windbg.exe
    • winword.exe
    • wmic.exe
    • wscript.exe
    • wuauclt.exe

  • Linux и macOS:

    • bash
    • java
    • python и python3
    • sh
    • zsh

Files без расположения в исключениях

Имя вредоносного файла может совпадать с именем файла, которому вы доверяете. Чтобы избежать исключения потенциально вредоносных файлов из сканирования, не исключайте только файл. Вместо этого добавьте полный путь к файлу.

Например, не исключайте Filename.exe из сканирования. Исключите полный путь и файл: C:\Program Files\Contoso\Filename.exe.

Единый список исключений для нескольких рабочих нагрузок сервера

Не используйте один список исключений для определения исключений для нескольких серверных рабочих нагрузок. Вместо этого разделите исключения на несколько списков для разных приложений или служб.

Например, список исключений для IIS отличается от списка исключений для SQL Server.

Неправильные переменные среды в качестве подстановочных знаков в исключениях

Не используйте переменные пользовательской среды в качестве подстановочных знаков в папках и обработайте исключения в Microsoft Defender антивирусной программы. В качестве подстановочных знаков используйте только следующие типы переменных среды:

  • Системные переменные среды.
  • Переменные среды, применяемые к процессам, выполняющимся в качестве учетной записи NT AUTHORITY\SYSTEM.

Служба антивирусной Microsoft Defender запускается в системном контексте с помощью учетной записи LocalSystem. Служба получает сведения из системных переменных среды, а не из переменных среды пользователя .

Полный список системных переменных среды см. в разделе Системные переменные среды.

Дополнительные сведения об использовании подстановочных знаков в исключениях см. в разделе Использование подстановочных знаков в списках исключений имени файла и папки или расширений.

См. также

  • Last updated on