Exclusiones del Antivirus de Microsoft Defender en Windows Server
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Antivirus de Microsoft Defender
Plataformas
- Windows Server
En este artículo se describen los tipos de exclusiones que no tiene que definir para el Antivirus de Microsoft Defender:
- Exclusiones integradas para archivos de sistema operativo en todas las versiones de Windows.
- Exclusiones automáticas de roles en Windows Server 2016 y versiones posteriores.
Para obtener información general más detallada sobre las exclusiones, consulte Administración de exclusiones para Microsoft Defender para punto de conexión y Antivirus de Microsoft Defender.
Algunos puntos importantes sobre las exclusiones en Windows Server
- Las exclusiones personalizadas tienen prioridad sobre las exclusiones automáticas.
- Las exclusiones automáticas solo se aplican al examen de protección en tiempo real (RTP ).
- Las exclusiones automáticas no se respetan durante un examen rápido, un examen completo y un examen personalizado.
- Las exclusiones personalizadas y duplicadas no entran en conflicto con las exclusiones automáticas.
- Antivirus de Microsoft Defender usa las herramientas de administración y mantenimiento de imágenes de implementación (DISM) para determinar qué roles están instalados en el equipo.
- Se deben establecer exclusiones adecuadas para el software que no se incluye con el sistema operativo.
- Windows Server 2012 R2 no tiene antivirus de Microsoft Defender como característica instalable. Al incorporar esos servidores a Defender para punto de conexión, instalará Antivirus de Microsoft Defender y se aplicarán exclusiones predeterminadas para los archivos del sistema operativo. Sin embargo, las exclusiones de los roles de servidor (como se especifica a continuación) no se aplican automáticamente y debe configurar estas exclusiones según corresponda. Para más información, consulte Incorporación de servidores Windows al servicio Microsoft Defender para punto de conexión.
- Las exclusiones integradas y las exclusiones automáticas de roles de servidor no aparecen en las listas de exclusión estándar que se muestran en la aplicación seguridad de Windows.
- La lista de exclusiones integradas en Windows se mantiene actualizada a medida que cambia el panorama de amenazas. En este artículo se enumeran algunas exclusiones integradas y automáticas, pero no todas.
Exclusiones automáticas de roles de servidor
En Windows Server 2016 o versiones posteriores, no es necesario definir exclusiones para los roles de servidor. Al instalar un rol en Windows Server 2016 o posterior, Antivirus de Microsoft Defender incluye exclusiones automáticas para el rol de servidor y los archivos que se agregan al instalar el rol.
Windows Server 2012 R2 no admite la característica de exclusiones automáticas. Tendrá que definir exclusiones explícitas para cualquier rol de servidor y cualquier software que se agregue después de instalar el sistema operativo.
Importante
- Las ubicaciones predeterminadas podrían ser diferentes de las ubicaciones que se describen en este artículo.
- Para establecer exclusiones de software que no se incluye como una característica de Windows o un rol de servidor, consulte la documentación del fabricante de software.
Las exclusiones automáticas incluyen:
- Exclusiones de Hyper-V
- Archivos SYSVOL
- Exclusiones de Active Directory
- Exclusiones del servidor DHCP
- Exclusiones del servidor DNS
- Exclusiones de servicios de archivos y almacenamiento
- Exclusiones del servidor de impresión
- Exclusiones del servidor web
- Exclusiones de Windows Server Update Services
Exclusiones de Hyper-V
En la tabla siguiente se enumeran las exclusiones de tipos de archivo, las exclusiones de carpetas y las exclusiones de procesos que se entregan automáticamente al instalar el rol de Hyper-V.
| Tipo de exclusión | Detalles |
|---|---|
| Tipos de archivo | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
| Folders | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
| Procesos | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
Archivos SYSVOL
%systemroot%\Sysvol\Domain\*.adm%systemroot%\Sysvol\Domain\*.admx%systemroot%\Sysvol\Domain\*.adml%systemroot%\Sysvol\Domain\Registry.pol%systemroot%\Sysvol\Domain\*.aas%systemroot%\Sysvol\Domain\*.inf%systemroot%\Sysvol\Domain\*Scripts.ini%systemroot%\Sysvol\Domain\*.ins%systemroot%\Sysvol\Domain\Oscfilter.ini
Exclusiones de Active Directory
En esta sección se enumeran las exclusiones que se entregan automáticamente al instalar Active Directory Domain Services (AD DS).
Archivos de base de datos NTDS
Los archivos de base de datos se especifican en la clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit%windir%\Ntds\ntds.pat
Los archivos de registro de transacciones de AD DS
Los archivos de registro de transacciones se especifican en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log%windir%\Ntds\Res*.log%windir%\Ntds\Edb*.jrs%windir%\Ntds\Ntds*.pat%windir%\Ntds\TEMP.edb
La carpeta de trabajo NTDS
Esta carpeta se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb%windir%\Ntds\Edb.chk
Exclusiones de procesos para archivos de soporte técnico relacionados con AD DS y AD DS
%systemroot%\System32\ntfrs.exe%systemroot%\System32\lsass.exe
Exclusiones del servidor DHCP
En esta sección se enumeran las exclusiones que se entregan automáticamente al instalar el rol servidor DHCP. Las ubicaciones de archivo del servidor DHCP se especifican mediante los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath en la clave del Registro. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb%systemroot%\System32\DHCP\*\*.pat%systemroot%\System32\DHCP\*\*.log%systemroot%\System32\DHCP\*\*.chk%systemroot%\System32\DHCP\*\*.edb
Exclusiones del servidor DNS
En esta sección se enumeran las exclusiones de archivos y carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor DNS.
Exclusiones de archivos y carpetas para el rol servidor DNS
%systemroot%\System32\Dns\*\*.log%systemroot%\System32\Dns\*\*.dns%systemroot%\System32\Dns\*\*.scc%systemroot%\System32\Dns\*\BOOT
Exclusiones de procesos para el rol servidor DNS
%systemroot%\System32\dns.exe
Exclusiones de servicios de archivos y almacenamiento
En esta sección se enumeran las exclusiones de archivos y carpetas que se entregan automáticamente al instalar el rol Servicios de archivos y almacenamiento. Las exclusiones que se enumeran a continuación no incluyen exclusiones para el rol Agrupación en clústeres.
%SystemDrive%\ClusterStorage%clusterserviceaccount%\Local Settings\Temp%SystemDrive%\mscs
Exclusiones del servidor de impresión
En esta sección se enumeran las exclusiones de tipo de archivo, las exclusiones de carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor de impresión.
Exclusiones de tipos de archivo
*.shd*.spl
Exclusiones de carpetas
Esta carpeta se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Exclusiones de procesos para el rol servidor de impresión
spoolsv.exe
Exclusiones del servidor web
En esta sección se enumeran las exclusiones de carpetas y las exclusiones de proceso que se entregan automáticamente al instalar el rol servidor web.
Exclusiones de carpetas
%SystemRoot%\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\ASP Compiled Templates%systemDrive%\inetpub\logs%systemDrive%\inetpub\wwwroot
Exclusiones de procesos para el rol servidor web
%SystemRoot%\system32\inetsrv\w3wp.exe%SystemRoot%\SysWOW64\inetsrv\w3wp.exe%SystemDrive%\PHP5433\php-cgi.exe
Desactivar el examen de archivos en la carpeta Sysvol\Sysvol o en la carpeta SYSVOL_DFSR\Sysvol
La ubicación actual de la Sysvol\Sysvol carpeta o SYSVOL_DFSR\Sysvol y todas las subcarpetas es el destino de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. Las Sysvol\Sysvol carpetas y SYSVOL_DFSR\Sysvol usan las siguientes ubicaciones de forma predeterminada:
%systemroot%\Sysvol\Domain%systemroot%\Sysvol_DFSR\Domain
El recurso compartido NETLOGON hace referencia a la ruta de acceso al activo actualmente y SYSVOL se puede determinar mediante el nombre del valor SysVol en la subclave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
*.adm*.admx*.admlRegistry.polRegistry.tmp*.aas*.infScripts.ini*.insOscfilter.ini
Exclusiones de Windows Server Update Services
En esta sección se enumeran las exclusiones de carpetas que se entregan automáticamente al instalar el rol de Windows Server Update Services (WSUS). La carpeta WSUS se especifica en la clave del Registro. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent%systemroot%\WSUS\UpdateServicesDBFiles%systemroot%\SoftwareDistribution\Datastore%systemroot%\SoftwareDistribution\Download
Exclusiones integradas
Dado que Antivirus de Microsoft Defender está integrado en Windows, no requiere exclusiones para los archivos del sistema operativo en ninguna versión de Windows.
Las exclusiones integradas incluyen:
- Archivos "temp.edb" de Windows
- Archivos de Windows Update o archivos de actualización automática
- Archivos de seguridad de Windows
- Archivos de directiva de grupo
- Archivos WINS
- Exclusiones del servicio de replicación de archivos (FRS)
- Exclusiones de procesos para archivos de sistema operativo integrados
La lista de exclusiones integradas en Windows se mantiene actualizada a medida que cambia el panorama de amenazas.
Archivos "temp.edb" de Windows
%windir%\SoftwareDistribution\Datastore\*\tmp.edb%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Archivos de Windows Update o archivos de actualización automática
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%windir%\SoftwareDistribution\Datastore\*\edb.chk%windir%\SoftwareDistribution\Datastore\*\edb\*.log%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Archivos de seguridad de Windows
%windir%\Security\database\*.chk%windir%\Security\database\*.edb%windir%\Security\database\*.jrs%windir%\Security\database\*.log%windir%\Security\database\*.sdb
Archivos de directiva de grupo
%allusersprofile%\NTUser.pol%SystemRoot%\System32\GroupPolicy\Machine\registry.pol%SystemRoot%\System32\GroupPolicy\User\registry.pol
Archivos WINS
%systemroot%\System32\Wins\*\*.chk%systemroot%\System32\Wins\*\*.log%systemroot%\System32\Wins\*\*.mdb%systemroot%\System32\LogFiles\%systemroot%\SysWow64\LogFiles\
Exclusiones del servicio de replicación de archivos (FRS)
Archivos en la carpeta de trabajo del Servicio de replicación de archivos (FRS). La carpeta de trabajo FRS se especifica en la clave del Registro.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory%windir%\Ntfrs\jet\sys\*\edb.chk%windir%\Ntfrs\jet\*\Ntfrs.jdb%windir%\Ntfrs\jet\log\*\*.log
Archivos de registro de base de datos FRS. La carpeta del archivo de registro de la base de datos FRS se especifica en la clave del Registro.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory%windir%\Ntfrs\*\Edb\*.log
Carpeta de almacenamiento provisional frs. La carpeta de almacenamiento provisional se especifica en la clave del Registro.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage%systemroot%\Sysvol\*\Ntfrs_cmp*\
Carpeta de preinstalación de FRS. Esta carpeta se especifica mediante la carpeta
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
La base de datos y las carpetas de trabajo de replicación del sistema de archivos distribuido (DFSR). La clave del Registro especifica estas carpetas.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration FileNota:
Para conocer las ubicaciones personalizadas, consulte Exclusión de exclusiones automáticas.
%systemdrive%\System Volume Information\DFSR\$db_normal$%systemdrive%\System Volume Information\DFSR\FileIDTable_*%systemdrive%\System Volume Information\DFSR\SimilarityTable_*%systemdrive%\System Volume Information\DFSR\*.XML%systemdrive%\System Volume Information\DFSR\$db_dirty$%systemdrive%\System Volume Information\DFSR\$db_clean$%systemdrive%\System Volume Information\DFSR\$db_lostl$%systemdrive%\System Volume Information\DFSR\Dfsr.db%systemdrive%\System Volume Information\DFSR\*.frx%systemdrive%\System Volume Information\DFSR\*.log%systemdrive%\System Volume Information\DFSR\Fsr*.jrs%systemdrive%\System Volume Information\DFSR\Tmp.edb
Exclusiones de procesos para archivos de sistema operativo integrados
%systemroot%\System32\dfsr.exe%systemroot%\System32\dfsrs.exe
No participar en exclusiones automáticas
En Windows Server 2016 y versiones posteriores, las exclusiones predefinidas proporcionadas por las actualizaciones de Inteligencia de seguridad solo excluyen las rutas de acceso predeterminadas para un rol o característica. Si instaló un rol o una característica en una ruta de acceso personalizada o quiere controlar manualmente el conjunto de exclusiones, asegúrese de no participar en las exclusiones automáticas entregadas en actualizaciones de Inteligencia de seguridad. Pero tenga en cuenta que las exclusiones que se entregan automáticamente están optimizadas para Windows Server 2016 y versiones posteriores. Consulte Puntos importantes sobre exclusiones antes de definir las listas de exclusión.
Advertencia
La exclusión de exclusiones automáticas puede afectar negativamente al rendimiento o provocar daños en los datos. Las exclusiones automáticas de roles de servidor están optimizadas para Windows Server 2016, Windows Server 2019 y Windows Server 2022.
Dado que las exclusiones predefinidas solo excluyen rutas de acceso predeterminadas, si mueve carpetas NTDS y SYSVOL a otra unidad o ruta de acceso diferente de la ruta de acceso original, debe agregar exclusiones manualmente. Consulte Configuración de la lista de exclusiones basadas en el nombre de carpeta o la extensión de archivo.
Puede deshabilitar las listas de exclusión automática con la directiva de grupo, los cmdlets de PowerShell y WMI.
Usar directiva de grupo para deshabilitar la lista de exclusiones automáticas en Windows Server 2016, Windows Server 2019 y Windows Server 2022
En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y, a continuación, seleccione Editar.
En el Editor de administración de directivas de grupo , vaya a Configuración del equipo y, a continuación, seleccione Plantillas administrativas.
Expanda el árbol a componentes> de WindowsExclusionesdel Antivirus> de Microsoft Defender.
Haga doble clic en Desactivar exclusiones automáticas y establezca la opción en Habilitado. A continuación, seleccione Aceptar.
Uso de cmdlets de PowerShell para deshabilitar la lista de exclusiones automáticas en Windows Server
Use los siguientes cmdlets:
Set-MpPreference -DisableAutoExclusions $true
Para obtener más información, consulte los siguientes recursos:
- Use cmdlets de PowerShell para configurar y ejecutar el Antivirus de Microsoft Defender.
- Use PowerShell con el Antivirus de Microsoft Defender.
Usar instrucciones de administración de Windows (WMI) para deshabilitar la lista de exclusiones automáticas en Windows Server
Use el método Set de la clase MSFT_MpPreference para las siguientes propiedades:
DisableAutoExclusions
Para obtener más información y parámetros permitidos, consulte:
Definición de exclusiones personalizadas
Si es necesario, puede agregar o quitar exclusiones personalizadas. Para ello, consulte los artículos siguientes:
- Configuración de exclusiones personalizadas para el Antivirus de Microsoft Defender
- Configuración y validación de exclusiones basadas en el nombre de archivo, la extensión y la ubicación de la carpeta
- Configuración y validación de exclusiones para archivos abiertos por procesos
Vea también
- Exclusiones para Microsoft Defender para punto de conexión y Antivirus de Microsoft Defender
- Errores comunes para evitarlos cuando se definen exclusiones
- Personalización, inicio y revisión de los resultados de los exámenes y correcciones del Antivirus de Microsoft Defender
- Microsoft Defender para punto de conexión en Mac
- Microsoft Defender para punto de conexión en Linux
- Configurar Defender para punto de conexión en características de Android
- Configurar Microsoft Defender para punto de conexión en las características de iOS
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.