Jaa

Microsoft Defenderin virustentorjunnan poikkeukset Windows Serverissä

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows Server

Tässä artikkelissa kuvataan poissulkemistyypit, joita sinun ei tarvitse määrittää Microsoft Defenderin virustentorjuntaa varten:

Tarkempi yleiskatsaus poissulkemisista on artikkelissa Microsoft Defender for Endpointin ja Microsoft Defenderin virustentorjunnan poissulkemisten hallinta.

Muutamia tärkeitä seikkoja, jotka koskevat Windows Serverin poissulkemisia

  • Mukautetut poikkeukset ovat etusijalla automaattisiin poissulkemisiin nähden.
  • Automaattiset poikkeukset koskevat vain reaaliaikaista suojaustarkistusta (RTP ).
  • Automaattisia poissulkemisia ei kunnioiteta pikatarkistusta, täyttä tarkistusta ja mukautettua tarkistusta käytettäessä.
  • Mukautetut ja päällekkäiset poikkeukset eivät ole ristiriidassa automaattisten poissulkemisten kanssa.
  • Microsoft Defenderin virustentorjuntaohjelma käyttää käyttöönoton näköistiedostojen ylläpito- ja hallintatyökaluja (DISM) määrittääkseen, mitkä roolit tietokoneeseen on asennettu.
  • Asianmukaiset poikkeukset on määritettävä ohjelmistolle, joka ei sisälly käyttöjärjestelmään.
  • Windows Server 2012 R2:ssa ei ole asennettavana ominaisuutena Microsoft Defenderin virustentorjuntaa. Kun lisäät kyseiset palvelimet Defender for Endpointiin, asennat Microsoft Defenderin virustentorjuntaohjelman, ja käyttöjärjestelmätiedostojen oletusarvoiset poikkeukset otetaan käyttöön. Palvelinroolien poissulkemisia (kuten alla on määritetty) ei kuitenkaan sovelleta automaattisesti, ja nämä poikkeukset tulee määrittää tarpeen mukaan. Lisätietoja on artikkelissa Windows-palvelimien käyttöönotto Microsoft Defender for Endpoint -palveluun.
  • Sisäiset poikkeukset ja automaattisen palvelinroolin poikkeukset eivät näy Windowsin tietoturvasovelluksessa näytetyissä vakiopoikkeusluetteloissa.
  • Luettelo Windowsin sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa. Tässä artikkelissa luetellaan joitakin, mutta ei kaikkia, sisäisiä ja automaattisia poissulkemisia.

Automaattisen palvelinroolin poikkeukset

Windows Server 2016:ssa tai uudemmassa versiossa ei pitäisi olla tarvetta määrittää palvelinroolien poissulkemisia. Kun asennat roolin Windows Server 2016:een tai uudempaan versioon, Microsoft Defenderin virustentorjunta sisältää palvelinroolin automaattiset poissulkemiset ja kaikki tiedostot, jotka lisätään roolia asennettaessa.

Windows Server 2012 R2 ei tue automaattisia poissulkemisia. Sinun on määritettävä eksplisiittiset poikkeukset mille tahansa palvelinroolille ja ohjelmille, jotka lisätään käyttöjärjestelmän asentamisen jälkeen.

Tärkeää

  • Oletussijainnit voivat poiketa tässä artikkelissa kuvatuista sijainneista.
  • Jos haluat määrittää poissulkemisia ohjelmistolle, joka ei sisälly Windows-ominaisuuden tai palvelimen rooliin, katso ohjelmistovalmistajan dokumentaatio.

Automaattisia poissulkemisia ovat esimerkiksi seuraavat:

Hyper-V-poikkeukset

Seuraavassa taulukossa on lueteltu tiedostotyypit Poissulkemiset, kansiopoikkeukset ja prosessin poikkeukset, jotka toimitetaan automaattisesti, kun asennat Hyper-V-roolin.

Poissulkemistyyppi Yksityiskohtia
Tiedostotyypit *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Kansiot %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Vuorokausi %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-tiedostot

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory -poikkeukset

Tässä osiossa luetellaan poikkeukset, jotka toimitetaan automaattisesti, kun asennat Active Directory -toimialuepalvelut (AD DS).

NTDS-tietokantatiedostot

Tietokantatiedostot määritetään rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS -tapahtumalokitiedostot

Tapahtumalokitiedostot määritetään rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS-työkansio

Tämä kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP Serverin poikkeukset

Tässä osiossa luetellaan poikkeukset, jotka toimitetaan automaattisesti, kun asennat DHCP Server -roolin. DHCP Server -tiedostojen sijainnit määritetään rekisteriavaimen DatabasePath-, DhcpLogFilePath- ja BackupDatabasePath-parametreillaHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-palvelimen poikkeukset

Tässä osassa luetellaan tiedoston ja kansion poikkeukset sekä prosessipoikkeukset, jotka toimitetaan automaattisesti DNS Server -roolin asentamisen yhteydessä.

DNS Server -roolin tiedosto- ja kansiopoikkeukset

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

DNS Server -roolin poissulkemiset

  • %systemroot%\System32\dns.exe

Tiedosto- ja tallennuspalveluiden poikkeukset

Tässä osassa luetellaan tiedosto- ja kansiopoikkeukset, jotka toimitetaan automaattisesti, kun asennat Tiedosto- ja Tallennuspalvelut-roolin. Alla luetellut poikkeukset eivät sisällä klusterointiroolin poissulkemisia.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Tässä osassa luetellaan tiedostotyypit poikkeukset, kansiopoikkeukset ja prosessipoikkeukset, jotka toimitetaan automaattisesti, kun asennat Print Server -roolin.

Tiedostotyyppipoikkeukset

  • *.shd
  • *.spl

Kansion poikkeukset

Tämä kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Tulostuspalvelinroolin poissulkemiset

  • spoolsv.exe

WWW-palvelimen poikkeukset

Tässä osassa luetellaan kansion poikkeukset ja prosessin poikkeukset, jotka toimitetaan automaattisesti WWW-palvelinroolia asennettaessa.

Kansion poikkeukset

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

WWW-palvelinroolin poissulkemiset

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Tiedostojen tarkistuksen poistaminen käytöstä Sysvol\Sysvol-kansiossa tai SYSVOL_DFSR\Sysvol-kansiossa

-tai-kansion Sysvol\SysvolSYSVOL_DFSR\Sysvol ja kaikkien alikansioiden nykyinen sijainti on replikajoukon pääkansion tiedostojärjestelmän uudelleenjakamisen kohde. - Sysvol\Sysvol ja SYSVOL_DFSR\Sysvol -kansiot käyttävät oletusarvoisesti seuraavia sijainteja:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

NETLOGON-jako viittaa tällä hetkellä aktiivisen SYSVOL polun polkuun, ja se voidaan määrittää SysVol-arvon nimellä seuraavassa aliavaimessa: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Jätä pois seuraavat tiedostot tästä kansiosta ja sen alikansioista:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Servicesin poikkeukset

Tässä osassa luetellaan kansiopoikkeukset, jotka toimitetaan automaattisesti, kun asennat Windows Server Update Services (WSUS) -roolin. WSUS-kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Sisäänrakennetut poikkeukset

Koska Microsoft Defenderin virustentorjunta on sisäänrakennettu Windowsiin, se ei vaadi poissulkemisia minkään Windows-version käyttöjärjestelmätiedostoille.

Sisäisiä poissulkemisia ovat seuraavat:

Luettelo Windowsin sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa.

Windowsin temp.edb-tiedostot

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update -tiedostot tai automaattiset päivitystiedostot

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windowsin suojaustiedostot

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Ryhmäkäytäntötiedostot

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-tiedostot

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Tiedostojen replikointipalvelun (FRS) poikkeukset

  • Tiedostojen replikointipalvelun (FRS) työkansion tiedostot. FRS-työkansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-tietokannan lokitiedostot. FRS-tietokannan lokitiedostokansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • FRS:n valmistelukansio. Valmistelukansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • FRS:n esiasennuskansio. Kansio määrittää tämän kansion Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • DFSR (Distributed File System Replication) -tietokanta ja työkansiot. Nämä kansiot määritetään rekisteriavaimella HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Huomautus

    Katso mukautetut sijainnit kohdasta Automaattisten poissulkemisten käytöstä poistaminen.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Prosessipoikkeukset sisäisille käyttöjärjestelmätiedostoille

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Automaattisten poissulkemisten ulkopuolelle jättäminen

Windows Server 2016:ssa ja sitä uudemmissa versioissa suojaustietojen päivitysten toimittamat ennalta määritetyt poikkeukset eivät sisällä vain roolin tai ominaisuuden oletuspolkuja. Jos asensit roolin tai ominaisuuden mukautetulle polulle tai haluat hallita manuaalisesti poissulkemisten joukkoa, muista estää suojaustietojen päivityksissä toimitetut automaattiset poikkeukset. Muista kuitenkin, että automaattisesti toimitetut poikkeukset on optimoitu Windows Server 2016:ssa ja sitä uudemmissa versioissa. Katso Poissulkemisia koskevat tärkeät kohdat ennen poissulkemisluetteloiden määrittämistä.

Varoitus

Automaattisten poissulkemisten ulkopuolelle jättäminen voi heikentää suorituskykyä tai johtaa tietojen vioittumiseen. Automaattiset palvelinroolipoikkeukset on optimoitu Windows Server 2016:lle, Windows Server 2019:lle ja Windows Server 2022:lle.

Koska ennalta määritetyt poikkeukset eivät sisällä vain oletuspolkuja, jos siirrät NTDS- ja SYSVOL-kansiot toiseen asemaan tai polkuun, joka ei ole sama kuin alkuperäinen polku, sinun on lisättävä poikkeukset manuaalisesti. Katso Poissulkemisten luettelon määrittäminen kansion nimen tai tiedostotunnisteen perusteella.

Voit poistaa käytöstä automaattiset poissulkemisluettelot ryhmäkäytännön, PowerShellin cmdlet-komentojen ja WMI:n avulla.

Ryhmäkäytännön avulla voit poistaa käytöstä automaattiset poikkeukset -luettelon Windows Server 2016:ssa, Windows Server 2019:ssä ja Windows Server 2022:ssa

  1. Avaa ryhmäkäytäntöjen hallintatietokoneessa ryhmäkäytäntöjen hallintakonsoli. Napsauta hiiren kakkospainikkeella ryhmäkäytäntöobjektia, jonka haluat määrittää, ja valitse sitten Muokkaa.

  2. Siirry ryhmäkäytännön hallintaeditorissakohtaan Tietokoneasetukset ja valitse sitten Hallintamallit.

  3. Laajenna puu windows-komponentteihin>Microsoft Defenderin virustentorjuntapoikkeukset>.

  4. Kaksoisnapsauta Poista käytöstä automaattiset poikkeukset ja määritä asetukseksi Käytössä. Valitse sitten OK.

Poista käytöstä automaattiset poikkeukset -luettelo Windows Serverissä PowerShellin cmdlet-komentojen avulla

Käytä seuraavia cmdlet-komentoja:

Set-MpPreference -DisableAutoExclusions $true

Lisätietoja on seuraavissa resursseissa:

Windowsin hallintaohjeiden (WMI) avulla voit poistaa käytöstä automaattiset poikkeukset -luettelon Windows Serverissä

Käytä MSFT_MpPreference luokan Set-menetelmää seuraavissa ominaisuuksissa:

DisableAutoExclusions

Lisätietoja ja sallitut parametrit ovat seuraavissa tiedoissa:

Mukautettujen poikkeusten määrittäminen

Voit tarvittaessa lisätä tai poistaa mukautettuja poissulkemisia. Voit tehdä tämän tutustumaan seuraaviin artikkeleihin:

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.