Microsoft Windows Server 上的 Defender 防病毒排除项
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
平台
- Windows Server
本文介绍无需为 Microsoft Defender 防病毒定义的排除类型:
有关排除项的更详细概述,请参阅 管理 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项。
有关 Windows Server 上的排除项的几个要点
- 自定义排除项优先于自动排除项。
- 自动排除仅适用于实时 保护 (RTP) 扫描。
- 在快速扫描、完全扫描和自定义扫描期间,不会遵循自动排除项。
- 自定义排除项和重复排除项不会与自动排除项冲突。
- Microsoft Defender 防病毒使用部署映像服务和管理 (DISM) 工具来确定计算机上安装了哪些角色。
- 必须为操作系统中未包含的软件设置适当的排除项。
- Windows Server 2012 R2 没有Microsoft Defender 防病毒作为可安装的功能。 将这些服务器载入 Defender for Endpoint 时,将安装Microsoft Defender 防病毒,并应用操作系统文件的默认排除项。 但是,下面指定的服务器角色排除项 () 不会自动应用,应根据需要配置这些排除项。 若要了解详细信息,请参阅 将 Windows 服务器载入到 Microsoft Defender for Endpoint 服务。
- 内置排除项和自动服务器角色排除项不会显示在 Windows 安全应用中显示的标准排除列表中。
- 随着威胁形势的变化,Windows 中的内置排除项列表会保持最新。 本文列出了一些(但不是全部)内置和自动排除项。
自动服务器角色排除
在 Windows Server 2016 或更高版本上,无需为服务器角色定义排除项。 在 Windows Server 2016 或更高版本上安装角色时,Microsoft Defender 防病毒包括服务器角色的自动排除项,以及安装角色时添加的任何文件。
Windows Server 2012 R2 不支持自动排除功能。 需要为安装操作系统后添加的任何服务器角色和任何软件定义显式排除项。
重要
- 默认位置可能与本文中所述的位置不同。
- 若要为未作为 Windows 功能或服务器角色包含的软件设置排除项,请参阅软件制造商的文档。
自动排除项包括:
- Hyper-V 排除项
- SYSVOL 文件
- Active Directory 排除项
- DHCP 服务器排除项
- DNS 服务器排除项
- 文件和存储服务排除项
- 打印服务器排除项
- Web 服务器排除项
- Windows Server Update Services 排除项
Hyper-V 排除项
下表列出了安装 Hyper-V 角色时自动传递的文件类型排除项、文件夹排除项和进程排除项。
排除类型 | 细节 |
---|---|
文件类型 | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Folders | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
流程 | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
SYSVOL 文件
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Active Directory 排除项
本部分列出了在安装 Active Directory 域服务 (AD DS) 时自动传递的排除项。
NTDS 数据库文件
数据库文件在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
AD DS 事务日志文件
事务日志文件在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
NTDS 工作文件夹
此文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
AD DS 和 AD DS 相关支持文件的进程排除项
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
DHCP 服务器排除项
本部分列出了安装 DHCP 服务器角色时自动传递的排除项。 DHCP 服务器文件位置由注册表项中的 DatabasePath、 DhcpLogFilePath 和 BackupDatabasePath 参数指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
DNS 服务器排除项
本部分列出了在安装 DNS 服务器角色时自动传递的文件和文件夹排除项以及进程排除项。
DNS 服务器角色的文件和文件夹排除项
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
DNS 服务器角色的进程排除项
%systemroot%\System32\dns.exe
文件和存储服务排除项
本部分列出了在安装文件和存储服务角色时自动传递的文件和文件夹排除项。 下面列出的排除项不包括群集角色的排除项。
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
打印服务器排除项
本部分列出了在安装打印服务器角色时自动传递的文件类型排除项、文件夹排除项和进程排除项。
文件类型排除
*.shd
*.spl
文件夹排除
此文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
打印服务器角色的进程排除项
spoolsv.exe
Web 服务器排除项
本部分列出了安装 Web 服务器角色时自动传递的文件夹排除项和进程排除项。
文件夹排除
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Web 服务器角色的进程排除项
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
关闭扫描 Sysvol\Sysvol 文件夹或 SYSVOL_DFSR\Sysvol 文件夹中的文件
或 SYSVOL_DFSR\Sysvol
文件夹和所有子文件夹的Sysvol\Sysvol
当前位置是副本集根目录的文件系统重新分析目标。
Sysvol\Sysvol
和 SYSVOL_DFSR\Sysvol
文件夹默认使用以下位置:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
当前活动 SYSVOL
的路径由 NETLOGON 共享引用,可由以下子项中的 SysVol 值名称确定: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
从此文件夹及其所有子文件夹中排除以下文件:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
Windows Server Update Services 排除项
本部分列出了安装 Windows Server Update Services (WSUS) 角色时自动传递的文件夹排除项。 WSUS 文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
内置排除项
由于 Microsoft Defender 防病毒内置于 Windows 中,因此它不需要排除任何版本的 Windows 上的操作系统文件。
内置排除项包括:
- Windows“temp.edb”文件
- Windows 更新文件或自动更新文件
- Windows 安全中心文件
- 组策略文件
- WINS 文件
- 文件复制服务 (FRS) 排除项
- 内置操作系统文件的进程排除项
随着威胁形势的变化,Windows 中的内置排除项列表会保持最新。
Windows“temp.edb”文件
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows 更新文件或自动更新文件
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows 安全中心文件
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
组策略文件
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS 文件
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
文件复制服务 (FRS) 排除项
文件复制服务 (FRS) 工作文件夹中的文件。 FRS 工作文件夹在注册表项中指定
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
FRS 数据库日志文件。 FRS 数据库日志文件文件夹在注册表项中指定
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
FRS 暂存文件夹。 暂存文件夹在注册表项中指定
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
FRS 预安装文件夹。 此文件夹由 文件夹指定
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
分布式文件系统复制 (DFSR) 数据库和工作文件夹。 这些文件夹由注册表项指定
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
注意
有关自定义位置,请参阅 选择退出自动排除项。
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
内置操作系统文件的进程排除项
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
选择退出自动排除项
在 Windows Server 2016 及更高版本中, 安全智能更新 提供的预定义排除项仅排除角色或功能的默认路径。 如果在自定义路径中安装了角色或功能,或者想要手动控制排除项集,请确保选择退出安全智能更新中提供的自动排除项。 但请记住,自动传递的排除项针对 Windows Server 2016 及更高版本进行了优化。 在定义排除列表之前,请参阅有关排除项 的 要点。
警告
选择退出自动排除可能会对性能产生负面影响,或导致数据损坏。 自动服务器角色排除针对 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 进行优化。
由于预定义的排除项仅排除 默认路径,因此如果将 NTDS 和 SYSVOL 文件夹移动到另一个驱动器或路径,而该驱动器或路径 与原始路径不同,则必须手动添加排除项。 请参阅 基于文件夹名称或文件扩展名配置排除项列表。
可以使用组策略、PowerShell cmdlet 和 WMI 禁用自动排除列表。
使用组策略禁用 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 上的自动排除列表
在组策略管理计算机上,打开 策略管理控制台。 右键单击要配置的组策略对象,然后选择 “编辑”。
在 “组策略管理编辑器”中 ,转到 “计算机配置”,然后选择“ 管理模板”。
将树展开到 Windows 组件>Microsoft Defender 防病毒>排除项。
双击“ 关闭自动排除项”,并将选项设置为 “已启用”。 然后,选择“确定”。
使用 PowerShell cmdlet 在 Windows Server 上禁用自动排除列表
使用以下 cmdlet:
Set-MpPreference -DisableAutoExclusions $true
若要了解详细信息,请参阅以下资源:
使用 Windows 管理指令 (WMI) 禁用 Windows Server 上的自动排除列表
对以下属性使用 MSFT_MpPreference 类的 Set 方法:
DisableAutoExclusions
有关详细信息和允许的参数,请参阅:
定义自定义排除项
如有必要,可以添加或删除自定义排除项。 为此,请参阅以下文章:
另请参阅
- Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项
- 定义排除时要避免的常见错误
- 自定义、启动和查看 Microsoft Defender 防病毒扫描和修正的结果
- Mac 上的 Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。