Распространенные ошибки, которых следует избегать при определении исключений

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для конечной точки (план 1)
• Антивирусная программа в Microsoft Defender

Платформы

• Windows
• macOS
• Linux

Вы можете определить список исключений для элементов, которые не нужно проверять антивирусной программой в Microsoft Defender. Однако исключенные элементы могут содержать угрозы, которые делают ваше устройство уязвимым. В этой статье описаны некоторые распространенные ошибки, которые следует избегать при определении исключений.

Исключение определенных доверенных элементов

Некоторые файлы, типы файлов, папки или процессы не следует исключать из сканирования, даже если вы уверены, что они не вредоносны. Не определяйте исключения для расположений папок, расширений файлов и процессов, перечисленных в следующих разделах:

• Расположения папок
• Расширения файлов
• Процессы

Расположения папок

Как правило, не следует определять исключения для любого из следующих расположений папок:

• %systemdrive%
• C:, C:\ или C:\*
• %ProgramFiles%\Java или C:\Program Files\Java
• %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\или C:\Program Files (x86)\Contoso\
• C:\Temp, C:\Temp\ или C:\Temp\*
• C:\Users\ или C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ или C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Обратите внимание на следующие важные исключения для SharePoint: исключитеC:\Users\ServiceAccount\AppData\Local\Temp или C:\Users\Default\AppData\Local\Temp при использовании антивирусной защиты на уровне файлов в SharePoint.
• %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\или C:\Windows\Prefetch\*
• %Windir%\System32\Spool или C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\или C:\Windows\Temp\*

Платформы Linux и macOS

Как правило, не следует определять исключения для следующих расположений папок:

• /
• /bin или /sbin
• /usr/lib

Расширение файла

Как правило, не следует определять исключения для следующих расширений файлов:

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko или .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

Процессы

Как правило, не следует определять исключения для следующих процессов:

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

Платформы Linux и macOS

Как правило, не следует определять исключения для следующих процессов:

• bash
• java
• python и python3
• sh
• zsh

Использование только имени файла в списке исключений

Вредоносная программа может иметь то же имя, что и у файла, которому вы доверяете и хотите исключить из сканирования. Поэтому, чтобы избежать исключения потенциальных вредоносных программ из сканирования, используйте полный путь к файлу, который требуется исключить, а не только имя файла. Например, если вы хотите исключить Filename.exe из сканирования, используйте полный путь к файлу, например C:\program files\contoso\Filename.exe.

Использование одного списка исключений для нескольких рабочих нагрузок сервера

Не используйте один список исключений для определения исключений для нескольких серверных рабочих нагрузок. Разделите исключения для разных рабочих нагрузок приложений или служб на несколько списков исключений. Например, список исключений для рабочей нагрузки IIS Server должен отличаться от списка исключений для рабочей нагрузки SQL Server.

Использование неправильных переменных среды в качестве подстановочных знаков в списках исключений имени файла и папки или расширений

Антивирусная служба Microsoft Defender запускается в системном контексте с помощью учетной записи LocalSystem. Это означает, что она получает сведения из системной переменной среды, а не из переменной пользовательской среды. Использование переменных среды в качестве подстановочного знака в списках исключений ограничено системными переменными и теми, которые применимы к процессам, выполняемым в качестве учетной записи NT AUTHORITY\SYSTEM. Поэтому не используйте переменные пользовательской среды в качестве подстановочных знаков при добавлении папки антивирусной программы Microsoft Defender и обработке исключений. Полный список переменных системной среды см. в таблице в разделе Системные переменные среды.

Сведения о том, как использовать подстановочные знаки в списках исключений, см. в статье Использование подстановочных знаков в именах файлов и папок или списках исключений расширений.

См. также

• Исключения для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender
• Настройка настраиваемых исключений для антивирусной программы в Microsoft Defender
• Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux
• Настройка и проверка исключений для Microsoft Defender для конечной точки в macOS