исключения антивирусной программы Microsoft Defender в Windows Server
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
- Windows Server
В этой статье описаны типы исключений, которые не нужно определять для Microsoft Defender антивирусной программы:
- Встроенные исключения для файлов операционной системы во всех версиях Windows.
- Автоматические исключения для ролей в Windows Server 2016 и более поздних версий.
Более подробный обзор исключений см. в статье Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.
Несколько важных моментов об исключениях в Windows Server
- Пользовательские исключения имеют приоритет над автоматическими исключениями.
- Автоматические исключения применяются только к проверке в режиме реального времени (RTP).
- Автоматические исключения не учитываются при быстрой проверке, полной проверке и настраиваемой проверке.
- Пользовательские и повторяющиеся исключения не конфликтуют с автоматическими исключениями.
- антивирусная программа Microsoft Defender использует средства обслуживания образов развертывания и управления ими (DISM), чтобы определить, какие роли установлены на компьютере.
- Для программного обеспечения, которое не входит в состав операционной системы, необходимо задать соответствующие исключения.
- Windows Server 2012 R2 не имеет Microsoft Defender антивирусной программы в качестве устанавливаемой функции. При подключении этих серверов к Defender для конечной точки вы устанавливаете Microsoft Defender антивирусную программу и применяются исключения по умолчанию для файлов операционной системы. Однако исключения для ролей сервера (как указано ниже) не применяются автоматически, и их следует настроить соответствующим образом. Дополнительные сведения см. в статье Подключение серверов Windows к службе Microsoft Defender для конечной точки.
- Встроенные исключения и автоматические исключения роли сервера не отображаются в стандартных списках исключений, отображаемых в приложении Безопасность Windows.
- Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз. В этой статье перечислены некоторые, но не все встроенные и автоматические исключения.
Исключения автоматических ролей сервера
На Windows Server 2016 или более поздней версии не нужно определять исключения для ролей сервера. При установке роли на Windows Server 2016 или более поздней версии антивирусная программа Microsoft Defender включает автоматические исключения для роли сервера и всех файлов, добавляемых при установке роли.
Windows Server 2012 R2 не поддерживает функцию автоматического исключения. Необходимо определить явные исключения для любой роли сервера и любого программного обеспечения, добавленного после установки операционной системы.
Важно!
- Расположения по умолчанию могут отличаться от расположений, описанных в этой статье.
- Сведения об исключении для программного обеспечения, которое не входит в состав компонента Или роли сервера Windows, см. в документации производителя программного обеспечения.
К автоматическим исключениям относятся:
- Исключения Hyper-V
- Файлы SYSVOL
- Исключения Active Directory
- Исключения DHCP-сервера
- Исключения DNS-сервера
- Исключения файловых служб и служб хранилища
- Исключения сервера печати
- Исключения веб-сервера
- исключения Windows Server Update Services
Исключения Hyper-V
В следующей таблице перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли Hyper-V.
Тип исключения | Специфика |
---|---|
Типы файлов | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Folders | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Процессы | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
Файлы SYSVOL
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Исключения Active Directory
В этом разделе перечислены исключения, которые доставляются автоматически при установке доменные службы Active Directory (AD DS).
Файлы базы данных NTDS
Файлы базы данных указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
Файлы журнала транзакций AD DS
Файлы журнала транзакций указываются в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
Рабочая папка NTDS
Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
Обработка исключений для ad ds и файлов поддержки, связанных с AD DS
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
Исключения DHCP-сервера
В этом разделе перечислены исключения, которые доставляются автоматически при установке роли DHCP-сервера. Расположение файлов DHCP-сервера определяется параметрами DatabasePath, DhcpLogFilePath и BackupDatabasePath в разделе реестра. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
Исключения DNS-сервера
В этом разделе перечислены исключения файлов и папок, а также исключения процесса, которые доставляются автоматически при установке роли DNS-сервера.
Исключения файлов и папок для роли DNS-сервера
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
Обработка исключений для роли DNS-сервера
%systemroot%\System32\dns.exe
Исключения файловых служб и служб хранилища
В этом разделе перечислены исключения файлов и папок, которые доставляются автоматически при установке роли файловых служб и служб хранилища. Перечисленные ниже исключения не включают исключения для роли кластеризации.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Исключения сервера печати
В этом разделе перечислены исключения типов файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли сервера печати.
Исключения типов файлов
*.shd
*.spl
Исключения папок
Эта папка указана в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Обработка исключений для роли сервера печати
spoolsv.exe
Исключения веб-сервера
В этом разделе перечислены исключения папок и исключения процесса, которые доставляются автоматически при установке роли веб-сервера.
Исключения папок
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Обработка исключений для роли веб-сервера
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
Отключение сканирования файлов в папке Sysvol\Sysvol или в папке SYSVOL_DFSR\Sysvol
Текущее Sysvol\Sysvol
расположение папки или SYSVOL_DFSR\Sysvol
и всех вложенных папок — это целевой объект повторного определения файловой системы реплика корневого каталога. Папки Sysvol\Sysvol
и SYSVOL_DFSR\Sysvol
по умолчанию используют следующие расположения:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
Путь к активному SYSVOL
объекту ссылается в общей папке NETLOGON и может быть определен по имени значения SysVol в следующем подразделе: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Исключите следующие файлы из этой папки и всех ее вложенных папок:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
исключения Windows Server Update Services
В этом разделе перечислены исключения папок, которые доставляются автоматически при установке роли Windows Server Update Services (WSUS). Папка WSUS указана в разделе реестра. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Встроенные исключения
Так как Microsoft Defender антивирусная программа встроена в Windows, она не требует исключений для файлов операционной системы в любой версии Windows.
К встроенным исключениям относятся:
- Файлы "temp.edb" Windows
- файлы клиентский компонент Центра обновления Windows или файлы автоматического обновления
- файлы Безопасность Windows
- файлы групповая политика
- WINS-файлы
- Исключения службы репликации файлов (FRS)
- Обработка исключений для встроенных файлов операционной системы
Список встроенных исключений в Windows обновляется по мере изменения ландшафта угроз.
Файлы "temp.edb" Windows
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
файлы клиентский компонент Центра обновления Windows или файлы автоматического обновления
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
файлы Безопасность Windows
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
файлы групповая политика
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-файлы
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Исключения службы репликации файлов (FRS)
Файлы в рабочей папке службы репликации файлов (FRS). Рабочая папка FRS указана в разделе реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
Файлы журнала базы данных FRS. Папка файла журнала базы данных FRS указана в разделе реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
Промежуточная папка FRS. Промежуточная папка указана в разделе реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
Папка предварительной настройки FRS. Эта папка указана в папке
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
База данных и рабочие папки репликации распределенной файловой системы (DFSR). Эти папки задаются разделом реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Примечание.
Сведения о пользовательских расположениях см. в разделе Отказ от автоматических исключений.
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Обработка исключений для встроенных файлов операционной системы
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Отказ от автоматических исключений
В Windows Server 2016 и более поздних версиях предопределенные исключения, предоставляемые обновлениями аналитики безопасности, исключают только пути по умолчанию для роли или функции. Если вы установили роль или компонент в пользовательском пути или хотите вручную управлять набором исключений, не забудьте отказаться от автоматических исключений, предоставляемых в обновлениях аналитики безопасности. Но имейте в виду, что автоматически предоставляемые исключения оптимизированы для Windows Server 2016 и более поздних версий. См. раздел Важные моменты об исключениях перед определением списков исключений.
Предупреждение
Отказ от автоматических исключений может негативно сказаться на производительности или привести к повреждению данных. Исключения автоматических ролей сервера оптимизированы для Windows Server 2016, Windows Server 2019, Windows Server 2022 и Windows Server 2025.
Так как предопределенные исключения исключают только пути по умолчанию, при перемещении папок NTDS и SYSVOL на другой диск или путь, отличный от исходного пути, исключения необходимо добавлять вручную. См . раздел Настройка списка исключений на основе имени папки или расширения файла.
Списки автоматического исключения можно отключить с помощью групповая политика, командлетов PowerShell и WMI.
Используйте групповая политика, чтобы отключить список автоматических исключений в Windows Server 2016, Windows Server 2019 и более поздних версиях
На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.
В Редактор управления групповая политика перейдите в раздел Конфигурация компьютера, а затем выберите Административные шаблоны.
Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Исключения антивирусной программы>.
Дважды щелкните Отключить автоматическое исключение и задайте для параметра значение Включено. После этого нажмите кнопку ОК.
Используйте командлеты PowerShell, чтобы отключить список автоматических исключений в Windows Server
Используйте следующие командлеты:
Set-MpPreference -DisableAutoExclusions $true
Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.
- Используйте командлеты PowerShell для настройки и запуска антивирусной программы Microsoft Defender.
- Используйте PowerShell с Microsoft Defender антивирусной программы.
Используйте инструкцию по управлению Windows (WMI), чтобы отключить список автоматических исключений на Windows Server
Используйте метод Set класса MSFT_MpPreference для следующих свойств:
DisableAutoExclusions
Дополнительные сведения и допустимые параметры см. в разделе:
Определение пользовательских исключений
При необходимости можно добавить или удалить пользовательские исключения. Для этого ознакомьтесь со следующими статьями:
- Настройка настраиваемых исключений для антивирусной программы Microsoft Defender
- Настройка и проверка исключений с учетом имени файлов, расширений и расположения папки.
- Настройка и проверка исключений для файлов, открытых процессами
См. также
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
- Распространенные ошибки, которых следует избегать при определении исключений
- Настройка, запуск и проверка результатов проверок и исправлений антивирусной программы Microsoft Defender
- Microsoft Defender для конечной точки на Mac
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.