исключения антивирусной программы Microsoft Defender в Windows Server

В Windows Server Microsoft Defender антивирусная программа автоматически применяет исключения, чтобы не сканировать файлы и процессы, критически важные для установленных ролей сервера и операционной системы. Эти предопределенные исключения снижают риск проблем производительности или стабильности без какой-либо настройки вручную.

Microsoft Defender Антивирусная программа автоматически настраивает следующие типы исключений на Windows Server:

  • Встроенные исключения для файлов операционной системы во всех поддерживаемых версиях Windows.
  • Автоматические исключения для ролей сервера в Windows Server 2016 и более поздних версиях.

Встроенные и автоматические исключения предоставляются и сохраняются в актуальном состоянии с помощью обновлений аналитики безопасности, поэтому они применяются без какой-либо настройки вручную. Они не отображаются в стандартных списках исключений в приложении Безопасность Windows.

Встроенные и автоматические исключения отличаются от определяемых пользовательских исключений. Пользовательские исключения имеют приоритет: при установке настраиваемого исключения для пути, дублирующего встроенное или автоматическое исключение, настраиваемое исключение всегда применяется.

Сведения о том, как работают различные типы исключений, см. в статье Исключения в антивирусной программе Microsoft Defender.

В этой статье перечислены встроенные и автоматические исключения, которые антивирусная программа Microsoft Defender применяет в Windows Server, а также объясняется, как отключить автоматические исключения, если требуется полный контроль.

Prerequisites

Поддерживаемые операционные системы

Антивирусная программа Microsoft Defender встроена в Windows Server 2016 и более поздние версии, а также в Azure Stack HCI OS версии 23H2 и более поздних версий, поэтому встроенные и автоматические исключения, описанные в этой статье, применяются по умолчанию.

В Windows Server 2012 R2 Microsoft Defender антивирусная программа не встроена. Он устанавливается при подключении сервера к Microsoft Defender для конечной точки с современным унифицированным решением, а автоматические исключения ролей сервера не применяются.

Встроенные исключения

Microsoft Defender антивирусная программа применяет встроенные исключения для файлов операционной системы во всех поддерживаемых версиях Windows. Исключения, применяемые к версиям клиента и сервера (например, клиентский компонент Центра обновления Windows, Безопасность Windows и файлов групповой политики), перечислены в встроенных исключениях.

В этом разделе перечислены встроенные исключения для функций сервера, которые отсутствуют в клиентских версиях Windows.

Tip

  • Расположения по умолчанию, описанные в этой статье, могут отличаться от расположений на серверах.
  • Список встроенных исключений, применяемых антивирусной программой Microsoft Defender, обновляется по мере изменения ландшафта угроз.

исключения Windows Internet Name Service (WINS)

Следующие исключения применяются при установке компонента Windows службы доменных имен (WINS):

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Исключения службы репликации файлов (FRS)

Следующие исключения FRS настраиваются автоматически:

  • Файлы в рабочей папке FRS: Ключ реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory указывает расположение.

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • Файлы журнала базы данных FRS. В разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory реестра указывается расположение.

    • %windir%\Ntfrs\*\Edb\*.log
  • Папка подготовки FRS: ключ реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage задает это расположение.

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Папка предварительной настройки FRS: скрытая папка Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory предварительной настройки идентифицирует эту папку.

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • База данных и рабочие папки репликации распределенной файловой системы (DFSR): расположение задается в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

    Note

    Для пользовательских расположений см. раздел Отключение автоматических исключений на Windows Server.

Исключения для процессов встроенных файлов операционной системы

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Автоматические исключения ролей сервера

Автоматически создаваемые исключения для ролей сервера добавляют исключения для путей и процессов в зависимости от ролей, установленных на сервере.

В Windows Server 2016 и более поздних версиях не требуется определять исключения для ролей сервера. Когда вы устанавливаете роль, антивирусная программа Microsoft Defender автоматически добавляет файлы и процессы этой роли в список исключений, включая файлы, добавленные во время установки.

Автоматические исключения ролей сервера не поддерживаются в Windows Server 2012 R2. При подключении этих серверов к Defender для конечной точки применяются только встроенные исключения для файлов операционной системы. Чтобы получить эквивалентное покрытие, повторно создайте исключения ролей в качестве настраиваемых исключений. Дополнительные сведения см. в разделе "Подключение Windows серверов к службе Microsoft Defender для конечной точки".

Note

  • Автоматические исключения применяются только к защите в режиме реального времени (RTP). Другие действия сканирования (например, проверка сети и мониторинг поведения) не исключаются. Чтобы исключить эти типы сканирования, используйте пользовательские исключения.
  • Автоматические исключения не учитываются во время быстрого, полного или настраиваемого сканирования. Чтобы исключить файлы из этих проверок, используйте пользовательские исключения.
  • Антивирус Microsoft Defender использует средства обслуживания образов развертывания и управления (DISM), чтобы определить, какие роли установлены на вашем компьютере.
  • Расположения по умолчанию, описанные в этой статье, могут отличаться от расположений на серверах.
  • Сведения об исключении для программного обеспечения, которое не входит в состав компонента Windows или роли сервера, см. в документации по программному обеспечению.

Исключения Active Directory

При установке роли доменные службы Active Directory (AD DS) автоматически настраиваются следующие исключения:

  • Файлы базы данных NTDS: раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File реестра указывает расположение.
    • %windir%\Ntds\ntds.dit
    • %windir%\Ntds\ntds.pat
  • Файлы журнала транзакций AD DS. В разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path реестра указывается расположение.
    • %windir%\Ntds\EDB*.log
    • %windir%\Ntds\Res*.log
    • %windir%\Ntds\Edb*.jrs
    • %windir%\Ntds\Ntds*.pat
    • %windir%\Ntds\TEMP.edb
  • Рабочая папка NTDS: расположение задается ключом реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory.
    • %windir%\Ntds\Temp.edb
    • %windir%\Ntds\Edb.chk
  • Исключения для процессов для AD DS и связанных с AD DS файлов поддержки:
    • %systemroot%\System32\ntfrs.exe
    • %systemroot%\System32\lsass.exe

Исключения DHCP-сервера

При установке роли DHCP-сервера автоматически настраиваются следующие исключения:

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Следующие ключи реестра указывают расположения файлов:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters\DatabasePath
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters\DhcpLogFilePath
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters\BackupDatabasePath

Исключения DNS-сервера

При установке роли DNS-сервера автоматически настраиваются следующие исключения:

  • Файлы и папки:
    • %systemroot%\System32\Dns\*\*.log
    • %systemroot%\System32\Dns\*\*.dns
    • %systemroot%\System32\Dns\*\*.scc
    • %systemroot%\System32\Dns\*\BOOT
  • Процессы:
    • %systemroot%\System32\dns.exe

Исключения файловых служб и служб хранилища

При установке роли файловых служб и служб хранилища автоматически настраиваются следующие исключения:

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Tip

Предыдущие исключения файлов и служб хранилища не включают исключения для роли кластеризации.

Исключения Hyper-V

При установке роли Hyper-V автоматически настраиваются следующие исключения:

  • Files:
    • *.avhd
    • *.avhdx
    • *.iso
    • *.rct
    • *.vhd
    • *.vhdx
    • *.vmcx
    • *.vmrs
    • *.vsv
  • Папки:
    • %ProgramData%\Microsoft\Windows\Hyper-V
    • %ProgramFiles%\Hyper-V
    • %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
    • %Public%\Documents\Hyper-V\Virtual Hard Disks
  • Процессы:
    • %systemroot%\System32\Vmms.exe
    • %systemroot%\System32\Vmwp.exe

При установке роли сервера печати автоматически настраиваются следующие исключения:

  • Исключения файлов:
    • *.shd
    • *.spl
  • Исключения папок: ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory задаёт расположение.
    • %systemroot%\system32\spool\printers\*
  • Исключения обработки:
    • spoolsv.exe

Исключения папок SYSVOL

Следующие исключения автоматически настраиваются для файлов в папке SYSVOL:

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Вручную исключить файлы в папке Sysvol\Sysvol или SYSVOL_DFSR\Sysvol

Note

Это руководство по исключению файлов и папок %SystemRoot%\SYSVOL вручную (включая пути, связанные с DFSR), применимо только в следующих сценариях:

  • Вы явно отключили автоматические исключения.
  • Вы устраняете проблемы с производительностью или стабильностью, и вам нужно временно проверить взаимодействие с антивирусной программой.

Папка Sysvol\Sysvol или SYSVOL_DFSR\Sysvol и все её вложенные папки являются объектом повторной обработки файловой системы для корневого каталога набора реплик. По умолчанию эти папки используют следующие расположения:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Общая папка NETLOGON ссылается на текущее используемое местоположение SYSVOL. Значение SysVol в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters определяет расположение. В этом расположении и всех вложенных папках исключите следующие файлы:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Инструкции по добавлению этих исключений см. в разделе "Настройка настраиваемых исключений для Microsoft Defender антивирусной программы".

Чтобы убедиться, что после добавления исключения настроены, выполните следующую команду в сеансе PowerShell с повышенными привилегиями (в окне PowerShell, которое вы открыли, выбрав Запуск от имени администратора):

$p = Get-MpPreference; 'ExclusionExtension','ExclusionPath','ExclusionProcess' | ForEach-Object { $t = $_; $p.$t | ForEach-Object {[pscustomobject]@{Type=$t; Value=$_}} } | Format-Table -AutoSize

Команда использует командлет Get-MpPreference для отображения настроенных исключений по типу: расширение, путь и процесс.

Исключения веб-сервера

При установке роли веб-сервера автоматически настраиваются следующие исключения:

  • Исключения для папок:
    • %SystemRoot%\IIS Temporary Compressed Files
    • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
    • %SystemDrive%\inetpub\temp\ASP Compiled Templates
    • %systemDrive%\inetpub\logs
    • %systemDrive%\inetpub\wwwroot
  • Исключения обработки:
    • %SystemRoot%\system32\inetsrv\w3wp.exe
    • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
    • %SystemDrive%\PHP5433\php-cgi.exe

исключения Windows Server Update Services

Следующие исключения настраиваются автоматически при установке роли Windows Server Update Services (WSUS):

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Раздел реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup указывает расположение.

Отключение автоматических исключений в Windows Server

Автоматические исключения в Windows Server 2016 и более поздних версиях, а также в Azure Stack HCI OS версии 23H2 и более поздних, используют только пути по умолчанию для роли или компонента.

Возможно, потребуется отключить автоматические исключения, если пути по умолчанию не соответствуют вашей среде. Например, при перемещении папок NTDS и SYSVOL на пользовательский диск или путь автоматические исключения больше не охватывают их. В таких случаях отключите автоматические исключения, просмотрите раздел Автоматические исключения для ролей сервера, чтобы определить, какие исключения нужны для ваших ролей, а затем добавьте эквивалентные пользовательские исключения.

Warning

Отключение автоматических исключений в Windows Server 2016 или более поздних версиях и Azure Stack ОС HCI версии 23H2 или более поздней может негативно повлиять на производительность или привести к повреждению данных.

В следующих подразделах описывается отключение автоматических исключений.

Отключение автоматических исключений в групповой политике

Чтобы отключить список автоматических исключений с помощью групповой политики, выполните следующие действия.

  1. Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

  2. В редакторе управления групповыми политиками перейдите в Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Антивирусная программа Microsoft Defender>Исключения.

  3. В области сведений об исключениях откройте параметр "Отключить автоматическое исключение ". Чтобы открыть параметр, используйте любой из следующих методов:

    • Дважды щелкните параметр.
    • Щелкните правой кнопкой мыши параметр и выберите пункт "Изменить".
    • Выберите параметр, а затем выберите Изменить действие>.
  4. В открывавшемся окне параметров нажмите кнопку "Включено" и нажмите кнопку "ОК".

Tip

Вы также можете настроить групповую политику локально на отдельных устройствах с помощью Редактора локальной групповой политики (gpedit.msc). Перейдите к тому же пути: Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Антивирусная программа Microsoft Defender>Исключения.

Отключение автоматических исключений в PowerShell

Чтобы отключить автоматические исключения с помощью PowerShell, выполните следующую команду в сеансе PowerShell с повышенными привилегиями (открытое окно PowerShell, выбрав " Запуск от имени администратора").

Set-MpPreference -DisableAutoExclusions $true

Дополнительные сведения см. в следующих статьях:

Отключение автоматических исключений в WMI

Используйте инструментирование управления Windows (WMI), чтобы отключить автоматические исключения, вызвав метод Set класса MSFT_MpPreference для настройки DisableAutoExclusions свойства.

Дополнительные сведения и допустимые параметры см. в разделе API WMIv2 Защитника Windows.

исключения антивирусной программы Microsoft Defender на серверах Exchange

Microsoft Exchange Server 2016 или более поздней версии поддерживает интеграцию с интерфейсом проверки антивредоносных программ (AMSI). Дополнительные сведения см. в разделе Интеграция AMSI в Exchange Server.

Многие организации исключают Exchange Server папки из антивирусной проверки по соображениям производительности. Корпорация Майкрософт рекомендует проводить аудит Microsoft Defender исключений антивирусной программы на серверах Exchange Server и оценивать, можно ли удалять исключения, не влияя на производительность. Сведения о добавлении, изменении или удалении исключений см. в разделе "Настройка настраиваемых исключений для Microsoft Defender антивирусной программы".

Чтобы вывести список исключений расширений, исключений файлов и папок и исключений процессов, настроенных в настоящее время на сервере Exchange, выполните следующую команду в сеансе PowerShell с повышенными правами (в окне PowerShell, которое вы открыли, выбрав Запуск от имени администратора):

$p = Get-MpPreference; 'ExclusionExtension','ExclusionPath','ExclusionProcess' | ForEach-Object { $t = $_; $p.$t | ForEach-Object {[pscustomobject]@{Type=$t; Value=$_}} } | Format-Table -AutoSize

Пользовательские исключения учитываются при всех типах сканирования. Автоматические исключения применяются только к защите в режиме реального времени и игнорируются во время быстрого, полного и настраиваемого сканирования, поэтому быстрая проверка по-прежнему сканирует каталоги Exchange, охваченные автоматическими исключениями.