Jaa

Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows
  • macOS
  • Linux

Tärkeää

Lisää poikkeukset harkiten. Microsoft Defenderin virustentorjuntatarkistusten poikkeukset vähentävät laitteiden suojaustasoa.

Voit määrittää poissulkemisluettelon kohteille, joita et halua Microsoft Defenderin virustentorjuntaohjelman tarkistavan. Pois jätetyt kohteet voivat kuitenkin sisältää uhkia, jotka tekevät laitteestasi haavoittuvan. Tässä artikkelissa kuvataan joitakin yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä.

Vihje

Ennen kuin määrität poissulkemisluetteloita, katso Kohta Tärkeitä poissulkemisia koskevia kohtia ja lue yksityiskohtaiset tiedot kohdasta Microsoft Defender for Endpoint ja Microsoft Defenderin virustentorjunta.

Pois lukien tietyt luotetut kohteet

Tiettyjä tiedostoja, tiedostotyyppejä, kansioita tai prosesseja ei pidä sulkea pois skannauksesta, vaikka luotat, että ne eivät ole haitallisia. Älä määritä poissulkemisia seuraavissa osissa luetelluille kansiosijainneille, tiedostotunnisteille ja prosesseille:

Kansion sijainnit

Tärkeää

Tiettyjä kansioita ei pidä sulkea pois tarkistuksista, koska ne voivat päätyä kansioihin, joista haitalliset tiedostot voidaan pudottaa.

Yleensä älä määritä poissulkemisia millekään seuraavista kansiosijainneista:

  • %systemdrive%
  • C:, C:\tai C:\*
  • %ProgramFiles%\Java tai C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\, tai C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\tai C:\Temp\*
  • C:\Users\ tai C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ tai C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Ota huomioon seuraavat SharePointin tärkeät poikkeukset: Jätä poisC:\Users\ServiceAccount\AppData\Local\Temp tai C:\Users\Default\AppData\Local\Temp käytä tiedostotason virustentorjuntaa SharePointissa.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\, tai C:\Windows\Prefetch\*
  • %Windir%\System32\Spool tai C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\, tai C:\Windows\Temp\*

Linux- ja macOS-ympäristöt

Yleensä älä määritä poissulkemisia seuraaville kansiosijainneille:

  • /
  • /bin tai /sbin
  • /usr/lib

Tiedostotunnisteet

Tärkeää

Tiettyjä tiedostotunnisteita ei tule sulkea pois, koska ne voivat olla tiedostotyyppejä, joita käytetään hyökkäyksessä.

Yleensä älä määritä poissulkemisia seuraaville tiedostotunnisteille:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko tai .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Vuorokausi

Tärkeää

Tiettyjä prosesseja ei tule sulkea pois, koska niitä käytetään hyökkäysten aikana.

Yleensä älä määritä poissulkemisia seuraaville prosesseille:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Huomautus

Voit halutessasi jättää pois tiedostotyypit, kuten .gif, .jpg, .jpegtai .png jos ympäristössäsi on nykyaikainen, ajan tasalla oleva ohjelmisto, jolla on tiukka päivityskäytäntö mahdollisten haavoittuvuuksien käsittelemiseksi.

Linux- ja macOS-ympäristöt

Yleensä älä määritä poissulkemisia seuraaville prosesseille:

  • bash
  • java
  • python ja python3
  • sh
  • zsh

Pelkän tiedostonimen käyttäminen poissulkemisluettelossa

Haittaohjelmalla voi olla sama nimi kuin tiedostolla, johon luotat ja jonka haluat jättää pois skannauksesta. Tämän vuoksi voit välttää mahdollisten haittaohjelmien skannaamisen käyttämällä täydellistä polkua tiedostoon, jonka haluat sulkea pois pelkän tiedostonimen sijaan. Jos haluat esimerkiksi jättää tarkistuksen pois Filename.exe , käytä koko tiedostopolkua, kuten C:\program files\contoso\Filename.exe.

Yksittäisen poissulkemisluettelon käyttäminen useille palvelinkuormituksille

Älä käytä yhtä poissulkemisluetteloa useiden palvelinkuormitusten poissulkemisten määrittämiseen. Jaa eri sovellus- tai palvelukuormitusten poikkeukset useisiin poissulkemisluetteloihin. Esimerkiksi IIS-palvelimen kuormituksen poissulkemisluettelon on oltava eri kuin SQL Server -kuormituksen poissulkemisluettelo.

Virheellisten ympäristömuuttujien käyttäminen yleismerkkinä tiedostonimi- ja kansiopolku- tai tunnisteen poissulkemisluetteloissa

Microsoft Defenderin virustentorjuntapalvelu suoritetaan järjestelmäkontekstissa Käyttämällä LocalSystem-tiliä, mikä tarkoittaa, että se saa tietoja järjestelmän ympäristömuuttujasta, ei käyttäjän ympäristömuuttujasta. Ympäristömuuttujien käyttö yleismerkkinä poissulkemisluetteloissa rajoittuu järjestelmämuuttujiin ja NT AUTHORITY\SYSTEM-tilinä suoritettaviin prosesseihin. Älä siis käytä käyttäjäympäristömuuttujia yleismerkkinä lisättäessä Microsoft Defenderin virustentorjuntakansiota ja prosessin poissulkemisia. Täydellinen luettelo järjestelmäympäristömuuttujista on Järjestelmän ympäristömuuttujat -kohdan taulukossa.

Lisätietoja yleismerkkien käyttämisestä poissulkemisluetteloissa on kohdassa Yleismerkkien käyttö tiedostonimi- ja kansiopolkuluetteloissa tai tunnisteen poissulkemisluetteloissa.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.