Исключения антивирусной программы в Microsoft Defender в Windows Server
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
- Windows Server
В этой статье описаны типы исключений, которые не нужно определять для антивирусной программы в Microsoft Defender:
- Встроенные исключения для файлов операционной системы во всех версиях Windows.
- Автоматическое исключение ролей в Windows Server 2016 и более поздних версиях.
Более подробный обзор исключений см. в статье Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.
Несколько важных моментов об исключениях в Windows Server
- Пользовательские исключения имеют приоритет над автоматическими исключениями.
- Автоматические исключения применяются только к проверке в режиме реального времени (RTP).
- Автоматические исключения не учитываются при быстрой проверке, полной проверке и настраиваемой проверке.
- Пользовательские и повторяющиеся исключения не конфликтуют с автоматическими исключениями.
- Антивирусная программа Microsoft Defender использует средства обслуживания образов развертывания и управления ими (DISM), чтобы определить, какие роли установлены на компьютере.
- Для программного обеспечения, которое не входит в состав операционной системы, необходимо задать соответствующие исключения.
- Windows Server 2012 R2 не поддерживает антивирусную программу Microsoft Defender в качестве устанавливаемой функции. При подключении этих серверов к Defender для конечной точки вы устанавливаете антивирусную программу Microsoft Defender и применяются исключения по умолчанию для файлов операционной системы. Однако исключения для ролей сервера (как указано ниже) не применяются автоматически, и их следует настроить соответствующим образом. Дополнительные сведения см. в статье Подключение серверов Windows к службе Microsoft Defender для конечной точки.
- Встроенные исключения и исключения автоматических ролей сервера не отображаются в стандартных списках исключений, отображаемых в приложении "Безопасность Windows".
- Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. В этой статье перечислены некоторые, но не все встроенные и автоматические исключения.
Исключения автоматических ролей сервера
В Windows Server 2016 или более поздней версии не нужно определять исключения для ролей сервера. При установке роли в Windows Server 2016 или более поздней версии антивирусная программа Microsoft Defender включает автоматические исключения для роли сервера и всех файлов, добавляемых при установке роли.
Windows Server 2012 R2 не поддерживает функцию автоматических исключений. Необходимо определить явные исключения для любой роли сервера и любого программного обеспечения, добавленного после установки операционной системы.
Важно!
- Расположения по умолчанию могут отличаться от расположений, описанных в этой статье.
- Сведения об исключении для программного обеспечения, которое не входит в состав компонента Или роли сервера Windows, см. в документации производителя программного обеспечения.
К автоматическим исключениям относятся:
- Исключения Hyper-V
- Файлы SYSVOL
- Исключения Active Directory
- Исключения DHCP-сервера
- Исключения DNS-сервера
- Исключения файловых служб и служб хранилища
- Исключения сервера печати
- Исключения веб-сервера
- Исключения служб Windows Server Update Services
Исключения Hyper-V
В следующей таблице перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли Hyper-V.
| Тип исключения | Специфика |
|---|---|
| Типы файлов | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
| Folders | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
| Процессы | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
Файлы SYSVOL
%systemroot%\Sysvol\Domain\*.adm%systemroot%\Sysvol\Domain\*.admx%systemroot%\Sysvol\Domain\*.adml%systemroot%\Sysvol\Domain\Registry.pol%systemroot%\Sysvol\Domain\*.aas%systemroot%\Sysvol\Domain\*.inf%systemroot%\Sysvol\Domain\*Scripts.ini%systemroot%\Sysvol\Domain\*.ins%systemroot%\Sysvol\Domain\Oscfilter.ini
Исключения Active Directory
В этом разделе перечислены исключения, которые доставляются автоматически при установке доменных служб Active Directory (AD DS).
Файлы базы данных NTDS
Файлы базы данных указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit%windir%\Ntds\ntds.pat
Файлы журнала транзакций AD DS
Файлы журнала транзакций указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log%windir%\Ntds\Res*.log%windir%\Ntds\Edb*.jrs%windir%\Ntds\Ntds*.pat%windir%\Ntds\TEMP.edb
Рабочая папка NTDS
Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb%windir%\Ntds\Edb.chk
Обработка исключений для ad ds и файлов поддержки, связанных с AD DS
%systemroot%\System32\ntfrs.exe%systemroot%\System32\lsass.exe
Исключения DHCP-сервера
В этом разделе перечислены исключения, которые доставляются автоматически при установке роли DHCP-сервера. Расположение файлов DHCP-сервера определяется параметрами DatabasePath, DhcpLogFilePath и BackupDatabasePath в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb%systemroot%\System32\DHCP\*\*.pat%systemroot%\System32\DHCP\*\*.log%systemroot%\System32\DHCP\*\*.chk%systemroot%\System32\DHCP\*\*.edb
Исключения DNS-сервера
В этом разделе перечислены исключения файлов и папок, а также исключения процесса, которые доставляются автоматически при установке роли DNS-сервера.
Исключения файлов и папок для роли DNS-сервера
%systemroot%\System32\Dns\*\*.log%systemroot%\System32\Dns\*\*.dns%systemroot%\System32\Dns\*\*.scc%systemroot%\System32\Dns\*\BOOT
Обработка исключений для роли DNS-сервера
%systemroot%\System32\dns.exe
Исключения файловых служб и служб хранилища
В этом разделе перечислены исключения файлов и папок, которые доставляются автоматически при установке роли файловых служб и служб хранилища. Перечисленные ниже исключения не включают исключения для роли кластеризации.
%SystemDrive%\ClusterStorage%clusterserviceaccount%\Local Settings\Temp%SystemDrive%\mscs
Исключения сервера печати
В этом разделе перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли сервера печати.
Исключения типов файлов
*.shd*.spl
Исключения папок
Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Обработка исключений для роли сервера печати
spoolsv.exe
Исключения веб-сервера
В этом разделе перечислены исключения папок и исключения процесса, которые доставляются автоматически при установке роли веб-сервера.
Исключения папок
%SystemRoot%\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\ASP Compiled Templates%systemDrive%\inetpub\logs%systemDrive%\inetpub\wwwroot
Обработка исключений для роли веб-сервера
%SystemRoot%\system32\inetsrv\w3wp.exe%SystemRoot%\SysWOW64\inetsrv\w3wp.exe%SystemDrive%\PHP5433\php-cgi.exe
Отключение сканирования файлов в папке Sysvol\Sysvol или в папке SYSVOL_DFSR\Sysvol
Текущее расположение Sysvol\Sysvol папки или SYSVOL_DFSR\Sysvol и всех вложенных папок — это целевой объект повторного определения файловой системы корневого каталога набора реплик. Папки Sysvol\Sysvol и SYSVOL_DFSR\Sysvol по умолчанию используют следующие расположения:
%systemroot%\Sysvol\Domain%systemroot%\Sysvol_DFSR\Domain
Путь к активному SYSVOL объекту ссылается в общей папке NETLOGON и может быть определен по имени значения SysVol в следующем подразделе: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Исключите следующие файлы из этой папки и всех ее вложенных папок:
*.adm*.admx*.admlRegistry.polRegistry.tmp*.aas*.infScripts.ini*.insOscfilter.ini
Исключения служб Windows Server Update Services
В этом разделе перечислены исключения папок, которые доставляются автоматически при установке роли Windows Server Update Services (WSUS). Папка WSUS указана в разделе реестра. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent%systemroot%\WSUS\UpdateServicesDBFiles%systemroot%\SoftwareDistribution\Datastore%systemroot%\SoftwareDistribution\Download
Встроенные исключения
Так как антивирусная программа Microsoft Defender встроена в Windows, она не требует исключений для файлов операционной системы в любой версии Windows.
К встроенным исключениям относятся:
- Файлы "temp.edb" Windows
- Файлы Центра обновления Windows или файлы автоматического обновления
- Файлы безопасности Windows
- Файлы групповой политики
- WINS-файлы
- Исключения службы репликации файлов (FRS)
- Обработка исключений для встроенных файлов операционной системы
Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз.
Файлы "temp.edb" Windows
%windir%\SoftwareDistribution\Datastore\*\tmp.edb%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Файлы Центра обновления Windows или файлы автоматического обновления
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%windir%\SoftwareDistribution\Datastore\*\edb.chk%windir%\SoftwareDistribution\Datastore\*\edb\*.log%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Файлы безопасности Windows
%windir%\Security\database\*.chk%windir%\Security\database\*.edb%windir%\Security\database\*.jrs%windir%\Security\database\*.log%windir%\Security\database\*.sdb
Файлы групповой политики
%allusersprofile%\NTUser.pol%SystemRoot%\System32\GroupPolicy\Machine\registry.pol%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-файлы
%systemroot%\System32\Wins\*\*.chk%systemroot%\System32\Wins\*\*.log%systemroot%\System32\Wins\*\*.mdb%systemroot%\System32\LogFiles\%systemroot%\SysWow64\LogFiles\
Исключения службы репликации файлов (FRS)
Файлы в рабочей папке службы репликации файлов (FRS). Рабочая папка FRS указана в разделе реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory%windir%\Ntfrs\jet\sys\*\edb.chk%windir%\Ntfrs\jet\*\Ntfrs.jdb%windir%\Ntfrs\jet\log\*\*.log
Файлы журнала базы данных FRS. Папка файла журнала базы данных FRS указана в разделе реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory%windir%\Ntfrs\*\Edb\*.log
Промежуточная папка FRS. Промежуточная папка указана в разделе реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage%systemroot%\Sysvol\*\Ntfrs_cmp*\
Папка предварительной настройки FRS. Эта папка указана в папке
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
База данных и рабочие папки репликации распределенной файловой системы (DFSR). Эти папки задаются разделом реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration FileПримечание.
Сведения о пользовательских расположениях см. в разделе Отказ от автоматических исключений.
%systemdrive%\System Volume Information\DFSR\$db_normal$%systemdrive%\System Volume Information\DFSR\FileIDTable_*%systemdrive%\System Volume Information\DFSR\SimilarityTable_*%systemdrive%\System Volume Information\DFSR\*.XML%systemdrive%\System Volume Information\DFSR\$db_dirty$%systemdrive%\System Volume Information\DFSR\$db_clean$%systemdrive%\System Volume Information\DFSR\$db_lostl$%systemdrive%\System Volume Information\DFSR\Dfsr.db%systemdrive%\System Volume Information\DFSR\*.frx%systemdrive%\System Volume Information\DFSR\*.log%systemdrive%\System Volume Information\DFSR\Fsr*.jrs%systemdrive%\System Volume Information\DFSR\Tmp.edb
Обработка исключений для встроенных файлов операционной системы
%systemroot%\System32\dfsr.exe%systemroot%\System32\dfsrs.exe
Отказ от автоматических исключений
В Windows Server 2016 и более поздних версиях предопределенные исключения, предоставляемые обновлениями аналитики безопасности , исключают только пути по умолчанию для роли или функции. Если вы установили роль или компонент в пользовательском пути или хотите вручную управлять набором исключений, не забудьте отказаться от автоматических исключений, предоставляемых в обновлениях аналитики безопасности. Но имейте в виду, что автоматически предоставляемые исключения оптимизированы для Windows Server 2016 и более поздних версий. См. раздел Важные моменты об исключениях перед определением списков исключений.
Предупреждение
Отказ от автоматических исключений может негативно сказаться на производительности или привести к повреждению данных. Исключения автоматических ролей сервера оптимизированы для Windows Server 2016, Windows Server 2019 и Windows Server 2022.
Так как предопределенные исключения исключают только пути по умолчанию, при перемещении папок NTDS и SYSVOL на другой диск или путь, отличный от исходного пути, исключения необходимо добавлять вручную. См . раздел Настройка списка исключений на основе имени папки или расширения файла.
Автоматические списки исключений можно отключить с помощью групповой политики, командлетов PowerShell и WMI.
Использование групповой политики для отключения списка автоматических исключений в Windows Server 2016, Windows Server 2019 и Windows Server 2022
На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который требуется настроить, и выберите изменить.
В редакторе управления групповыми политикамиперейдите в раздел Конфигурация компьютера, а затем выберите Административные шаблоны.
Разверните дерево для компонентов> WindowsИсключения антивирусной программы> в Microsoft Defender.
Дважды щелкните Отключить автоматическое исключение и задайте для параметра значение Включено. После этого нажмите кнопку ОК.
Отключение списка автоматических исключений в Windows Server с помощью командлетов PowerShell
Используйте следующие командлеты:
Set-MpPreference -DisableAutoExclusions $true
Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.
- Используйте командлеты PowerShell для настройки и запуска антивирусной программы Microsoft Defender.
- Используйте PowerShell с антивирусной программой Microsoft Defender.
Использование инструкции по управлению Windows (WMI) для отключения списка автоматических исключений в Windows Server
Используйте метод Set класса MSFT_MpPreference для следующих свойств:
DisableAutoExclusions
Дополнительные сведения и допустимые параметры см. в разделе:
Определение пользовательских исключений
При необходимости можно добавить или удалить пользовательские исключения. Для этого ознакомьтесь со следующими статьями:
- Настройка настраиваемых исключений для антивирусной программы в Microsoft Defender
- Настройка и проверка исключений с учетом имени файлов, расширений и расположения папки.
- Настройка и проверка исключений для файлов, открытых процессами
См. также
- Исключения для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender
- Распространенные ошибки, которых следует избегать при определении исключений
- Настройка, запуск и проверка результатов проверок и исправлений антивирусной программы в Microsoft Defender
- Microsoft Defender для конечной точки на Mac
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.