Microsoft Windows Server 上的 Defender 防病毒排除项

适用于:

平台

  • Windows Server

本文介绍无需为 Microsoft Defender 防病毒定义的排除类型:

  • 所有版本的 Windows 上的操作系统文件的内置排除项。
  • Windows Server 2016 及更高版本上的角色的自动排除

有关排除项的更详细概述,请参阅 管理 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项

有关 Windows Server 上的排除项的几个要点

  • 自定义排除项优先于自动排除项。
  • 自动排除仅适用于实时 保护 (RTP) 扫描。
  • 在快速扫描、完全扫描和自定义扫描期间,不会遵循自动排除项。
  • 自定义排除项和重复排除项不会与自动排除项冲突。
  • Microsoft Defender 防病毒使用部署映像服务和管理 (DISM) 工具来确定计算机上安装了哪些角色。
  • 必须为操作系统中未包含的软件设置适当的排除项。
  • Windows Server 2012 R2 没有Microsoft Defender 防病毒作为可安装的功能。 将这些服务器载入 Defender for Endpoint 时,将安装Microsoft Defender 防病毒,并应用操作系统文件的默认排除项。 但是,下面指定的服务器角色排除项 () 不会自动应用,应根据需要配置这些排除项。 若要了解详细信息,请参阅 将 Windows 服务器载入到 Microsoft Defender for Endpoint 服务
  • 内置排除项和自动服务器角色排除项不会显示在 Windows 安全应用中显示的标准排除列表中。
  • 随着威胁形势的变化,Windows 中的内置排除项列表会保持最新。 本文列出了一些(但不是全部)内置和自动排除项。

自动服务器角色排除

在 Windows Server 2016 或更高版本上,无需为服务器角色定义排除项。 在 Windows Server 2016 或更高版本上安装角色时,Microsoft Defender 防病毒包括服务器角色的自动排除项,以及安装角色时添加的任何文件。

Windows Server 2012 R2 不支持自动排除功能。 需要为安装操作系统后添加的任何服务器角色和任何软件定义显式排除项。

重要

  • 默认位置可能与本文中所述的位置不同。
  • 若要为未作为 Windows 功能或服务器角色包含的软件设置排除项,请参阅软件制造商的文档。

自动排除项包括:

Hyper-V 排除项

下表列出了安装 Hyper-V 角色时自动传递的文件类型排除项、文件夹排除项和进程排除项。

排除类型 细节
文件类型 *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Folders %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
流程 %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL 文件

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory 排除项

本部分列出了在安装 Active Directory 域服务 (AD DS) 时自动传递的排除项。

NTDS 数据库文件

数据库文件在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS 事务日志文件

事务日志文件在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS 工作文件夹

此文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP 服务器排除项

本部分列出了安装 DHCP 服务器角色时自动传递的排除项。 DHCP 服务器文件位置由注册表项中的 DatabasePathDhcpLogFilePathBackupDatabasePath 参数指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS 服务器排除项

本部分列出了在安装 DNS 服务器角色时自动传递的文件和文件夹排除项以及进程排除项。

DNS 服务器角色的文件和文件夹排除项

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

DNS 服务器角色的进程排除项

  • %systemroot%\System32\dns.exe

文件和存储服务排除项

本部分列出了在安装文件和存储服务角色时自动传递的文件和文件夹排除项。 下面列出的排除项不包括群集角色的排除项。

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

本部分列出了在安装打印服务器角色时自动传递的文件类型排除项、文件夹排除项和进程排除项。

文件类型排除

  • *.shd
  • *.spl

文件夹排除

此文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

打印服务器角色的进程排除项

  • spoolsv.exe

Web 服务器排除项

本部分列出了安装 Web 服务器角色时自动传递的文件夹排除项和进程排除项。

文件夹排除

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Web 服务器角色的进程排除项

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

关闭扫描 Sysvol\Sysvol 文件夹或 SYSVOL_DFSR\Sysvol 文件夹中的文件

SYSVOL_DFSR\Sysvol 文件夹和所有子文件夹的Sysvol\Sysvol当前位置是副本集根目录的文件系统重新分析目标。 Sysvol\SysvolSYSVOL_DFSR\Sysvol 文件夹默认使用以下位置:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

当前活动 SYSVOL 的路径由 NETLOGON 共享引用,可由以下子项中的 SysVol 值名称确定: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

从此文件夹及其所有子文件夹中排除以下文件:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services 排除项

本部分列出了安装 Windows Server Update Services (WSUS) 角色时自动传递的文件夹排除项。 WSUS 文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

内置排除项

由于 Microsoft Defender 防病毒内置于 Windows 中,因此它不需要排除任何版本的 Windows 上的操作系统文件。

内置排除项包括:

随着威胁形势的变化,Windows 中的内置排除项列表会保持最新。

Windows“temp.edb”文件

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows 更新文件或自动更新文件

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows 安全中心文件

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

组策略文件

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS 文件

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

文件复制服务 (FRS) 排除项

  • 文件复制服务 (FRS) 工作文件夹中的文件。 FRS 工作文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • FRS 数据库日志文件。 FRS 数据库日志文件文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • FRS 暂存文件夹。 暂存文件夹在注册表项中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • FRS 预安装文件夹。 此文件夹由 文件夹指定 Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • 分布式文件系统复制 (DFSR) 数据库和工作文件夹。 这些文件夹由注册表项指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    注意

    有关自定义位置,请参阅 选择退出自动排除项。

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

内置操作系统文件的进程排除项

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

选择退出自动排除项

在 Windows Server 2016 及更高版本中, 安全智能更新 提供的预定义排除项仅排除角色或功能的默认路径。 如果在自定义路径中安装了角色或功能,或者想要手动控制排除项集,请确保选择退出安全智能更新中提供的自动排除项。 但请记住,自动传递的排除项针对 Windows Server 2016 及更高版本进行了优化。 在定义排除列表之前,请参阅有关排除项 要点。

警告

选择退出自动排除可能会对性能产生负面影响,或导致数据损坏。 自动服务器角色排除针对 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 进行优化。

由于预定义的排除项仅排除 默认路径,因此如果将 NTDS 和 SYSVOL 文件夹移动到另一个驱动器或路径,而该驱动器或路径 与原始路径不同,则必须手动添加排除项。 请参阅 基于文件夹名称或文件扩展名配置排除项列表

可以使用组策略、PowerShell cmdlet 和 WMI 禁用自动排除列表。

使用组策略禁用 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 上的自动排除列表

  1. 在组策略管理计算机上,打开 策略管理控制台。 右键单击要配置的组策略对象,然后选择 “编辑”。

  2. “组策略管理编辑器”中 ,转到 “计算机配置”,然后选择“ 管理模板”。

  3. 将树展开到 Windows 组件>Microsoft Defender 防病毒>排除项。

  4. 双击“ 关闭自动排除项”,并将选项设置为 “已启用”。 然后,选择“确定”。

使用 PowerShell cmdlet 在 Windows Server 上禁用自动排除列表

使用以下 cmdlet:

Set-MpPreference -DisableAutoExclusions $true

若要了解详细信息,请参阅以下资源:

使用 Windows 管理指令 (WMI) 禁用 Windows Server 上的自动排除列表

对以下属性使用 MSFT_MpPreference 类的 Set 方法:

DisableAutoExclusions

有关详细信息和允许的参数,请参阅:

定义自定义排除项

如有必要,可以添加或删除自定义排除项。 为此,请参阅以下文章:

另请参阅

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区