Microsoft Defender virustentorjunnan poissulkemiset Windows Server

Koskee seuraavia:

• palvelimien Microsoft Defender for Endpoint
• palvelinten palvelupaketin 1 tai palvelupaketin 2 Microsoft Defender
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows Server

Tässä artikkelissa kuvataan poissulkemistyypit, joita ei tarvitse määrittää Microsoft Defender virustentorjuntaa varten:

• Käyttöjärjestelmätiedostojen sisäiset poikkeukset kaikissa Windows-versioissa.
• Automaattiset poissulkemiset rooleille Windows Server 2016 ja sitä uudemmissa versioissa.

Tarkempi yleiskatsaus poissulkemisista on artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta.

Muutamia tärkeitä kohtia Windows Server

• Mukautetut poikkeukset ovat etusijalla automaattisiin poissulkemisiin nähden.
• Automaattiset poikkeukset koskevat vain reaaliaikaista suojaustarkistusta (RTP ).
• Automaattisia poissulkemisia ei kunnioiteta pikatarkistusta, täyttä tarkistusta ja mukautettua tarkistusta käytettäessä.
• Mukautetut ja päällekkäiset poikkeukset eivät ole ristiriidassa automaattisten poissulkemisten kanssa.
• Microsoft Defender virustentorjuntaohjelma määrittää DISM (Deployment Image Servicing and Management) -työkaluilla, mitkä roolit tietokoneeseen on asennettu.
• Asianmukaiset poikkeukset on määritettävä ohjelmistolle, joka ei sisälly käyttöjärjestelmään.
• Windows Server 2012 R2:ssa ei ole Microsoft Defender virustentorjuntaa asennettavana ominaisuutena. Kun lisäät kyseiset palvelimet Defender for Endpointiin, asennat Microsoft Defender virustentorjuntaohjelman, ja käyttöjärjestelmätiedostojen oletusarvoiset poikkeukset otetaan käyttöön. Palvelinroolien poissulkemisia (kuten alla on määritetty) ei kuitenkaan sovelleta automaattisesti, ja nämä poikkeukset tulee määrittää tarpeen mukaan. Lisätietoja on artikkelissa Windows-palvelimien käyttöönotto Microsoft Defender for Endpoint palveluun.
• Sisäiset poikkeukset ja automaattisen palvelinroolin poikkeukset eivät näy Windowsin suojaus sovelluksessa näytetyissä vakiopoikkeamisluetteloissa.
• Luettelo Windowsin sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa. Tässä artikkelissa luetellaan joitakin, mutta ei kaikkia, sisäisiä ja automaattisia poissulkemisia.

Automaattisen palvelinroolin poikkeukset

Palvelinroolien poissulkemisia ei kannata määrittää Windows Server 2016 tai uudemmassa versiossa. Kun asennat roolin Windows Server 2016 tai uudempaan versioon, Microsoft Defender virustentorjunta sisältää palvelinroolin automaattiset poikkeukset ja tiedostot, jotka lisätään roolia asennettaessa.

Windows Server 2012 R2 ei tue automaattisia poissulkemisia. Sinun on määritettävä eksplisiittiset poikkeukset mille tahansa palvelinroolille ja ohjelmille, jotka lisätään käyttöjärjestelmän asentamisen jälkeen.

Tärkeää

• Oletussijainnit voivat poiketa tässä artikkelissa kuvatuista sijainneista.
• Jos haluat määrittää poissulkemisia ohjelmistolle, joka ei sisälly Windows-ominaisuuden tai palvelimen rooliin, katso ohjelmistovalmistajan dokumentaatio.

Automaattisia poissulkemisia ovat esimerkiksi seuraavat:

• Hyper-V-poikkeukset
• SYSVOL-tiedostot
• Active Directory -poikkeukset
• DHCP Serverin poikkeukset
• DNS-palvelimen poikkeukset
• Tiedosto- ja tallennuspalveluiden poikkeukset
• Tulostuspalvelimen poikkeukset
• WWW-palvelimen poikkeukset
• Windows Server Update Services poissulkemiset

Hyper-V-poikkeukset

Seuraavassa taulukossa on lueteltu tiedostotyypit Poissulkemiset, kansiopoikkeukset ja prosessin poikkeukset, jotka toimitetaan automaattisesti, kun asennat Hyper-V-roolin.

Poissulkemistyyppi	Yksityiskohtia
Tiedostotyypit	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
Kansiot	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
Vuorokausi	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

SYSVOL-tiedostot

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory -poikkeukset

Tässä osiossa luetellaan poikkeukset, jotka toimitetaan automaattisesti, kun asennat Active Directory -toimialueen palvelut (AD DS).

NTDS-tietokantatiedostot

Tietokantatiedostot määritetään rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

AD DS -tapahtumalokitiedostot

Tapahtumalokitiedostot määritetään rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

NTDS-työkansio

Tämä kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

AD DS- ja AD DS -tukitiedostojen prosessipoikkeukset

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

DHCP Serverin poikkeukset

Tässä osiossa luetellaan poikkeukset, jotka toimitetaan automaattisesti, kun asennat DHCP Server -roolin. DHCP Server -tiedostojen sijainnit määritetään rekisteriavaimen DatabasePath-, DhcpLogFilePath- ja BackupDatabasePath-parametreillaHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

DNS-palvelimen poikkeukset

Tässä osassa luetellaan tiedoston ja kansion poikkeukset sekä prosessipoikkeukset, jotka toimitetaan automaattisesti DNS Server -roolin asentamisen yhteydessä.

DNS Server -roolin tiedosto- ja kansiopoikkeukset

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

DNS Server -roolin poissulkemiset

• %systemroot%\System32\dns.exe

Tiedosto- ja tallennuspalveluiden poikkeukset

Tässä osassa luetellaan tiedosto- ja kansiopoikkeukset, jotka toimitetaan automaattisesti, kun asennat Tiedosto- ja Tallennuspalvelut-roolin. Alla luetellut poikkeukset eivät sisällä klusterointiroolin poissulkemisia.

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

Tulostuspalvelimen poikkeukset

Tässä osassa luetellaan tiedostotyypit poikkeukset, kansiopoikkeukset ja prosessipoikkeukset, jotka toimitetaan automaattisesti, kun asennat Print Server -roolin.

Tiedostotyyppipoikkeukset

• *.shd
• *.spl

Kansion poikkeukset

Tämä kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

Tulostuspalvelinroolin poissulkemiset

• spoolsv.exe

WWW-palvelimen poikkeukset

Tässä osassa luetellaan kansion poikkeukset ja prosessin poikkeukset, jotka toimitetaan automaattisesti WWW-palvelinroolia asennettaessa.

Kansion poikkeukset

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

WWW-palvelinroolin poissulkemiset

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

Tiedostojen tarkistuksen poistaminen käytöstä Sysvol\Sysvol-kansiossa tai SYSVOL_DFSR\Sysvol-kansiossa

-tai-kansion Sysvol\SysvolSYSVOL_DFSR\Sysvol ja kaikkien alikansioiden nykyinen sijainti on replikajoukon pääkansion tiedostojärjestelmän uudelleenjakamisen kohde. - Sysvol\Sysvol ja SYSVOL_DFSR\Sysvol -kansiot käyttävät oletusarvoisesti seuraavia sijainteja:

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

NETLOGON-jako viittaa tällä hetkellä aktiivisen SYSVOL polun polkuun, ja se voidaan määrittää SysVol-arvon nimellä seuraavassa aliavaimessa: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Jätä pois seuraavat tiedostot tästä kansiosta ja sen alikansioista:

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

Windows Server Update Services poissulkemiset

Tässä osassa luetellaan kansiopoikkeukset, jotka toimitetaan automaattisesti, kun asennat Windows Server Update Services (WSUS) -roolin. WSUS-kansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

Sisäänrakennetut poikkeukset

Koska Microsoft Defender virustentorjunta on windowsissa, se ei vaadi poissulkemisia minkään Windows-version käyttöjärjestelmätiedostoille.

Sisäisiä poissulkemisia ovat seuraavat:

• Windowsin temp.edb-tiedostot
• Windows Update tiedostoja tai automaattisen päivityksen tiedostoja
• Windowsin suojaus tiedostot
• ryhmäkäytäntö tiedostot
• WINS-tiedostot
• Tiedostojen replikointipalvelun (FRS) poikkeukset
• Prosessipoikkeukset sisäisille käyttöjärjestelmätiedostoille

Luettelo Windowsin sisäisistä poissulkemisista pidetään ajan tasalla uhkamaiseman muuttuessa.

Windowsin temp.edb-tiedostot

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update tiedostoja tai automaattisen päivityksen tiedostoja

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windowsin suojaus tiedostot

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

ryhmäkäytäntö tiedostot

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-tiedostot

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

Tiedostojen replikointipalvelun (FRS) poikkeukset

• Tiedostojen replikointipalvelun (FRS) työkansion tiedostot. FRS-työkansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• FRS-tietokannan lokitiedostot. FRS-tietokannan lokitiedostokansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• FRS:n valmistelukansio. Valmistelukansio on määritetty rekisteriavaimessa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• FRS:n esiasennuskansio. Kansio määrittää tämän kansion Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• DFSR (Distributed File System Replication) -tietokanta ja työkansiot. Nämä kansiot määritetään rekisteriavaimella HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  Huomautus

  Katso mukautetut sijainnit kohdasta Automaattisten poissulkemisten käytöstä poistaminen.

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Prosessipoikkeukset sisäisille käyttöjärjestelmätiedostoille

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

Automaattisten poissulkemisten ulkopuolelle jättäminen

Windows Server 2016 ja sitä uudemmissa versioissa suojaustietojen päivitysten toimittamat ennalta määritetyt poikkeukset jättävät pois vain roolin tai ominaisuuden oletuspolut. Jos asensit roolin tai ominaisuuden mukautetulle polulle tai haluat hallita manuaalisesti poissulkemisten joukkoa, muista estää suojaustietojen päivityksissä toimitetut automaattiset poikkeukset. Muista kuitenkin, että automaattisesti toimitetut poikkeukset on optimoitu Windows Server 2016 ja sitä uudempaan versioon. Katso Poissulkemisia koskevat tärkeät kohdat ennen poissulkemisluetteloiden määrittämistä.

Varoitus

Automaattisten poissulkemisten ulkopuolelle jättäminen voi heikentää suorituskykyä tai johtaa tietojen vioittumiseen. Automaattiset palvelinroolipoikkeukset on optimoitu Windows Server 2016, Windows Server 2019, Windows Server 2022 ja Windows Server 2025.

Koska ennalta määritetyt poikkeukset eivät sisällä vain oletuspolkuja, jos siirrät NTDS- ja SYSVOL-kansiot toiseen asemaan tai polkuun, joka ei ole sama kuin alkuperäinen polku, sinun on lisättävä poikkeukset manuaalisesti. Katso Poissulkemisten luettelon määrittäminen kansion nimen tai tiedostotunnisteen perusteella.

Voit poistaa käytöstä automaattiset poissulkemisluettelot, joissa on ryhmäkäytäntö, PowerShellin cmdlet-komennot ja WMI.

ryhmäkäytäntö avulla voit poistaa käytöstä automaattiset poikkeukset Windows Server 2016, Windows Server 2019 ja uudemmissa versioissa

1. Avaa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö hallintakonsoli. Napsauta hiiren kakkospainikkeella ryhmäkäytäntö objektia, jonka haluat määrittää, ja valitse sitten Muokkaa.

2. Valitse ryhmäkäytäntö -hallinta-KirjoitusavustajaTietokoneasetukset ja valitse sitten Hallintamallit.

3. Laajenna puu Kohtaan Windowsin osat>Microsoft Defender Virustentorjunta>Poissulkemiset.

4. Kaksoisnapsauta Poista käytöstä automaattiset poikkeukset ja määritä asetukseksi Käytössä. Valitse sitten OK.

Poista käytöstä automaattiset poikkeukset -luettelo Windows Server PowerShellin cmdlet-komentojen avulla

Käytä seuraavia cmdlet-komentoja:

Set-MpPreference -DisableAutoExclusions $true

Lisätietoja on seuraavissa resursseissa:

• Määritä ja suorita virustentorjunta Microsoft Defender PowerShellin cmdlet-komentojen avulla.
• Käytä PowerShelliä Microsoft Defender virustentorjunnan kanssa.

Käytä Windowsin hallintaohjetta (WMI) poistaaksesi käytöstä automaattiset poikkeukset -luettelon Windows Server

Käytä MSFT_MpPreference luokan Set-menetelmää seuraavissa ominaisuuksissa:

DisableAutoExclusions

Lisätietoja ja sallitut parametrit ovat seuraavissa tiedoissa:

• Windows Defender WMIv2 -ohjelmointirajapinnat

Mukautettujen poikkeusten määrittäminen

Voit tarvittaessa lisätä tai poistaa mukautettuja poissulkemisia. Voit tehdä tämän tutustumaan seuraaviin artikkeleihin:

• Mukautettujen poikkeusten määrittäminen Microsoft Defender virustentorjuntaohjelmaa varten
• Määritä ja vahvista poikkeukset tiedostonimen, tunnisteen ja kansion sijainnin perusteella
• Prosessien avaamien tiedostojen poissulkemisten määrittäminen ja vahvistaminen

Tutustu myös seuraaviin ohjeartikkeleihin:

• Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
• Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä
• Microsoft Defender virustentorjunnan tarkistusten ja korjausten tulosten mukauttaminen, käynnistäminen ja tarkistaminen
• Microsoft Defender for Endpoint Macissa
• Microsoft Defender for Endpoint Linuxissa
• Defender for Endpointin ominaisuuksien määrittäminen Androidissa
• Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.