Erros comuns a evitar ao definir exclusões
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
- macOS
- Linux
Importante
Adicione exclusões com cuidado. As exclusões das análises do Antivírus do Microsoft Defender reduzem o nível de proteção dos dispositivos.
Pode definir uma lista de exclusão para itens que não pretende que o Antivírus do Microsoft Defender analise. No entanto, os itens excluídos podem conter ameaças que tornam o seu dispositivo vulnerável. Este artigo descreve alguns erros comuns que deve evitar ao definir exclusões.
Dica
Antes de definir as listas de exclusão, consulte Pontos importantes sobre exclusões e reveja as informações detalhadas em Exclusões do Microsoft Defender para Endpoint e Antivírus do Microsoft Defender.
Excluir determinados itens fidedignos
Determinados ficheiros, tipos de ficheiro, pastas ou processos não devem ser excluídos da análise, mesmo que confie que não são maliciosos. Não defina exclusões para as localizações de pastas, extensões de ficheiros e processos listados nas secções seguintes:
Localizações das pastas
Importante
Determinadas pastas não devem ser excluídas das análises porque podem acabar por ser pastas onde os ficheiros maliciosos podem ser removidos.
Em geral, não defina exclusões para nenhuma das seguintes localizações de pastas:
%systemdrive%
-
C:
,C:\
ouC:\*
-
%ProgramFiles%\Java
ouC:\Program Files\Java
-
%ProgramFiles%\Contoso\
, ,C:\Program Files\Contoso\
%ProgramFiles(x86)%\Contoso\
ouC:\Program Files (x86)\Contoso\
-
C:\Temp
,C:\Temp\
ouC:\Temp\*
-
C:\Users\
ouC:\Users\*
-
C:\Users\<UserProfileName>\AppData\Local\Temp\
ouC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
. Tenha em atenção as seguintes exceções importantes para o SharePoint: excluaC:\Users\ServiceAccount\AppData\Local\Temp
ouC:\Users\Default\AppData\Local\Temp
quando utiliza a proteção antivírus ao nível do ficheiro no SharePoint. -
%Windir%\Prefetch
, ,C:\Windows\Prefetch
C:\Windows\Prefetch\
ouC:\Windows\Prefetch\*
-
%Windir%\System32\Spool
ouC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
-
%Windir%\Temp
, ,C:\Windows\Temp
C:\Windows\Temp\
ouC:\Windows\Temp\*
Plataformas Linux e macOS
Em geral, não defina exclusões para as seguintes localizações de pastas:
/
-
/bin
ou/sbin
/usr/lib
Extensões de arquivo
Importante
Determinadas extensões de ficheiro não devem ser excluídas porque podem ser tipos de ficheiro que são utilizados num ataque.
Em geral, não defina exclusões para as seguintes extensões de ficheiro:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
-
.ko
ou.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
Processos
Importante
Determinados processos não devem ser excluídos porque são utilizados durante os ataques.
Em geral, não defina exclusões para os seguintes processos:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
Observação
Pode optar por excluir tipos de ficheiro, como .gif
, .jpg
, .jpeg
ou .png
se o seu ambiente tiver um software moderno e atualizado com uma política de atualização rigorosa para lidar com quaisquer vulnerabilidades.
Plataformas Linux e macOS
Em geral, não defina exclusões para os seguintes processos:
bash
java
-
python
epython3
sh
zsh
Utilizar apenas o nome do ficheiro na lista de exclusão
O software maligno pode ter o mesmo nome de um ficheiro em que confia e pretende excluir da análise. Por conseguinte, para evitar excluir potenciais softwares maligno da análise, utilize um caminho completamente qualificado para o ficheiro que pretende excluir em vez de utilizar apenas o nome do ficheiro. Por exemplo, se quiser excluir Filename.exe
da análise, utilize o caminho completo para o ficheiro, como C:\program files\contoso\Filename.exe
.
Utilizar uma única lista de exclusão para várias cargas de trabalho de servidor
Não utilize uma única lista de exclusão para definir exclusões para várias cargas de trabalho de servidor. Divida as exclusões para diferentes cargas de trabalho de aplicações ou serviços em múltiplas listas de exclusão. Por exemplo, a lista de exclusão da carga de trabalho do Servidor IIS tem de ser diferente da lista de exclusão da carga de trabalho do SQL Server.
Utilizar variáveis de ambiente incorretas como carateres universais nas listas de exclusão do caminho do ficheiro e do caminho da pasta ou da extensão
O Serviço Antivírus do Microsoft Defender é executado no contexto do sistema com a conta LocalSystem, o que significa que obtém informações da variável de ambiente do sistema e não da variável de ambiente do utilizador. A utilização de variáveis de ambiente como caráter universal em listas de exclusão está limitada às variáveis do sistema e às aplicáveis aos processos em execução como uma conta NT AUTHORITY\SYSTEM. Por conseguinte, não utilize variáveis de ambiente de utilizador como carateres universais ao adicionar a pasta do Antivírus do Microsoft Defender e as exclusões de processos. Veja a tabela em Variáveis de ambiente do sistema para obter uma lista completa das variáveis de ambiente do sistema.
Veja Utilizar carateres universais nas listas de exclusão de nome de ficheiro e de pasta ou extensão para obter informações sobre como utilizar carateres universais em listas de exclusão.
Confira também
- Exclusões do Microsoft Defender para Endpoint e do Antivírus do Microsoft Defender
- Configurar exclusões personalizadas para o Antivírus do Microsoft Defender
- Configurar e validar exclusões do Microsoft Defender para Endpoint no Linux
- Configurar e validar exclusões do Microsoft Defender para Endpoint no macOS
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.