Поделиться через


Распространенные ошибки, которых следует избегать при определении исключений

Область применения:

Платформы

  • Windows
  • macOS
  • Linux

Важно!

Добавьте исключения с осторожностью. Исключения для проверок антивирусной программы в Microsoft Defender снижают уровень защиты устройств.

Вы можете определить список исключений для элементов, которые не нужно проверять антивирусной программой в Microsoft Defender. Однако исключенные элементы могут содержать угрозы, которые делают ваше устройство уязвимым. В этой статье описаны некоторые распространенные ошибки, которые следует избегать при определении исключений.

Исключение определенных доверенных элементов

Некоторые файлы, типы файлов, папки или процессы не следует исключать из сканирования, даже если вы уверены, что они не вредоносны. Не определяйте исключения для расположений папок, расширений файлов и процессов, перечисленных в следующих разделах:

Расположения папок

Важно!

Некоторые папки не следует исключать из проверок, так как они могут оказаться папками, в которых могут быть удалены вредоносные файлы.

Как правило, не следует определять исключения для любого из следующих расположений папок:

  • %systemdrive%
  • C:, C:\ или C:\*
  • %ProgramFiles%\Java или C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\или C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\ или C:\Temp\*
  • C:\Users\ или C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ или C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Обратите внимание на следующие важные исключения для SharePoint: исключитеC:\Users\ServiceAccount\AppData\Local\Temp или C:\Users\Default\AppData\Local\Temp при использовании антивирусной защиты на уровне файлов в SharePoint.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\или C:\Windows\Prefetch\*
  • %Windir%\System32\Spool или C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\или C:\Windows\Temp\*

Платформы Linux и macOS

Как правило, не следует определять исключения для следующих расположений папок:

  • /
  • /bin или /sbin
  • /usr/lib

Расширение файла

Важно!

Некоторые расширения файлов не следует исключать, так как они могут быть типами файлов, которые используются при атаке.

Как правило, не следует определять исключения для следующих расширений файлов:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko или .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Процессы

Важно!

Некоторые процессы не следует исключать, так как они используются во время атак.

Как правило, не следует определять исключения для следующих процессов:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Примечание.

Вы можете исключить типы файлов, такие как .gif, .jpg, .jpegили .png , если в вашей среде есть современное, актуальное программное обеспечение со строгой политикой обновления для обработки любых уязвимостей.

Платформы Linux и macOS

Как правило, не следует определять исключения для следующих процессов:

  • bash
  • java
  • python и python3
  • sh
  • zsh

Использование только имени файла в списке исключений

Вредоносная программа может иметь то же имя, что и у файла, которому вы доверяете и хотите исключить из сканирования. Поэтому, чтобы избежать исключения потенциальных вредоносных программ из сканирования, используйте полный путь к файлу, который требуется исключить, а не только имя файла. Например, если вы хотите исключить Filename.exe из сканирования, используйте полный путь к файлу, например C:\program files\contoso\Filename.exe.

Использование одного списка исключений для нескольких рабочих нагрузок сервера

Не используйте один список исключений для определения исключений для нескольких серверных рабочих нагрузок. Разделите исключения для разных рабочих нагрузок приложений или служб на несколько списков исключений. Например, список исключений для рабочей нагрузки IIS Server должен отличаться от списка исключений для рабочей нагрузки SQL Server.

Использование неправильных переменных среды в качестве подстановочных знаков в списках исключений имени файла и папки или расширений

Антивирусная служба Microsoft Defender запускается в системном контексте с помощью учетной записи LocalSystem. Это означает, что она получает сведения из системной переменной среды, а не из переменной пользовательской среды. Использование переменных среды в качестве подстановочного знака в списках исключений ограничено системными переменными и теми, которые применимы к процессам, выполняемым в качестве учетной записи NT AUTHORITY\SYSTEM. Поэтому не используйте переменные пользовательской среды в качестве подстановочных знаков при добавлении папки антивирусной программы Microsoft Defender и обработке исключений. Полный список переменных системной среды см. в таблице в разделе Системные переменные среды.

Сведения о том, как использовать подстановочные знаки в списках исключений, см. в статье Использование подстановочных знаков в именах файлов и папок или списках исключений расширений.

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.