Sdílet prostřednictvím

Běžné chyby, kterým je třeba se vyhnout při definování vyloučení

  • Článek

Platí pro:

Platformy

  • Windows
  • macOS
  • Linux

Důležité

Přidejte vyloučení s opatrností. Vyloučení kontrol Antivirové ochrany v programu Microsoft Defender snižují úroveň ochrany zařízení.

Seznam vyloučení můžete definovat pro položky, které nechcete kontrolovat antivirovou ochranou v programu Microsoft Defender. Vyloučené položky ale můžou obsahovat hrozby, které činí vaše zařízení zranitelným. Tento článek popisuje některé běžné chyby, kterým byste se měli při definování vyloučení vyhnout.

Tip

Než začnete definovat seznamy vyloučení, přečtěte si téma Důležité body o vyloučeních a projděte si podrobné informace v tématu Vyloučení pro Microsoft Defender for Endpoint a Antivirová ochrana v programu Microsoft Defender.

Vyloučení určitých důvěryhodných položek

Některé soubory, typy souborů, složky nebo procesy by neměly být vyloučeny ze kontroly, i když věříte, že nejsou škodlivé. Nedefinujte vyloučení pro umístění složek, přípony souborů a procesy uvedené v následujících částech:

Umístění složek

Důležité

Některé složky by neměly být vyloučeny z kontrol, protože můžou skončit jako složky, do kterých se můžou vyřadit škodlivé soubory.

Obecně platí, že nedefinujte vyloučení pro žádné z následujících umístění složek:

  • %systemdrive%
  • C:, C:\nebo C:\*
  • %ProgramFiles%\Java nebo C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\nebo C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\nebo C:\Temp\*
  • C:\Users\ nebo C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ nebo C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Všimněte si následujících důležitých výjimek pro SharePoint: Při použití antivirové ochrany na úrovni souborů v SharePointunevyloučíteC:\Users\ServiceAccount\AppData\Local\Temp neboC:\Users\Default\AppData\Local\Temp.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\nebo C:\Windows\Prefetch\*
  • %Windir%\System32\Spool nebo C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\nebo C:\Windows\Temp\*

Platformy Linux a macOS

Obecně platí, že nedefinujte vyloučení pro následující umístění složek:

  • /
  • /bin nebo /sbin
  • /usr/lib

Přípony souborů

Důležité

Některé přípony souborů by neměly být vyloučeny, protože se můžou jednat o typy souborů, které se používají při útoku.

Obecně platí, že nedefinujte vyloučení pro následující přípony souborů:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko nebo .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Procesy

Důležité

Některé procesy by se neměly vyloučit, protože se používají při útocích.

Obecně platí, že nedefinujte vyloučení pro následující procesy:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Poznámka

Pokud má vaše prostředí moderní a aktuální software s přísnými zásadami aktualizací pro zpracování všech ohrožení zabezpečení, můžete vyloučit typy souborů, jako .gifje , .jpg, .jpegnebo .png .

Platformy Linux a macOS

Obecně platí, že nedefinujte vyloučení pro následující procesy:

  • bash
  • java
  • python a python3
  • sh
  • zsh

Použití pouze názvu souboru v seznamu vyloučení

Malware může mít stejný název jako soubor, kterému důvěřujete a chcete ho vyloučit z kontroly. Proto, abyste se vyhnuli vyloučení potenciálního malwaru z kontroly, použijte plně kvalifikovanou cestu k souboru, který chcete vyloučit, místo použití pouze názvu souboru. Pokud chcete například vyloučit Filename.exe z kontroly, použijte úplnou cestu k souboru, například C:\program files\contoso\Filename.exe.

Použití jednoho seznamu vyloučení pro více serverových úloh

Nepoužívejte jeden seznam vyloučení k definování vyloučení pro více serverových úloh. Rozdělte vyloučení pro různé úlohy aplikací nebo služeb do několika seznamů vyloučení. Například seznam vyloučení pro vaši úlohu Serveru služby IIS se musí lišit od seznamu vyloučení pro vaši úlohu SQL Serveru.

Použití nesprávných proměnných prostředí jako zástupných znaků v seznamech názvů souborů a cest ke složce nebo rozšíření

Antivirová služba v programu Microsoft Defender běží v kontextu systému pomocí účtu LocalSystem, což znamená, že získává informace ze systémové proměnné prostředí, a ne z proměnné prostředí uživatele. Použití proměnných prostředí jako zástupných znaků v seznamech vyloučení je omezeno na systémové proměnné a na proměnné platné pro procesy spuštěné jako účet NT AUTHORITY\SYSTEM. Proto při přidávání složky Antivirová ochrana v programu Microsoft Defender a vyloučení procesů nepoužívejte proměnné uživatelského prostředí jako zástupné é dokumentace. Úplný seznam systémových proměnných prostředí najdete v tabulce v části Proměnné prostředí systému.

Informace o použití zástupných znaků v seznamech vyloučení najdete v tématu Použití zástupných znaků v seznamech názvů souborů a cest ke složce nebo přípon .

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.