Exclusões do Antivírus do Microsoft Defender no Windows Server
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows Server
Este artigo descreve tipos de exclusões que não tem de definir para o Antivírus do Microsoft Defender:
- Exclusões incorporadas para ficheiros do sistema operativo em todas as versões do Windows.
- Exclusões automáticas para funções no Windows Server 2016 e posterior.
Para obter uma descrição geral mais detalhada das exclusões, veja Gerir exclusões do Microsoft Defender para Endpoint e do Antivírus do Microsoft Defender.
Alguns pontos importantes sobre exclusões no Windows Server
- As exclusões personalizadas têm precedência sobre as exclusões automáticas.
- As exclusões automáticas aplicam-se apenas à análise de proteção em tempo real (RTP ).
- As exclusões automáticas não são honradas durante uma análise rápida, análise completa e análise personalizada.
- As exclusões personalizadas e duplicadas não entram em conflito com as exclusões automáticas.
- O Antivírus do Microsoft Defender utiliza as ferramentas de Gestão e Manutenção da Imagem de Implementação (DISM) para determinar que funções estão instaladas no seu computador.
- As exclusões adequadas têm de ser definidas para software que não esteja incluído no sistema operativo.
- O Windows Server 2012 R2 não tem o Antivírus do Microsoft Defender como uma funcionalidade instalável. Ao integrar esses servidores no Defender para Endpoint, irá instalar o Antivírus do Microsoft Defender e são aplicadas exclusões predefinidas para ficheiros do sistema operativo. No entanto, as exclusões para funções de servidor (conforme especificado abaixo) não se aplicam automaticamente e deve configurar estas exclusões conforme adequado. Para saber mais, consulte Integrar servidores Windows no serviço Microsoft Defender para Endpoint.
- As exclusões incorporadas e as exclusões automáticas de funções de servidor não aparecem nas listas de exclusão padrão apresentadas na aplicação Segurança do Windows.
- A lista de exclusões incorporadas no Windows é mantida atualizada à medida que o panorama das ameaças muda. Este artigo lista algumas das exclusões incorporadas e automáticas, mas não todas.
Exclusões automáticas de funções de servidor
No Windows Server 2016 ou posterior, não deve ter de definir exclusões para funções de servidor. Quando instala uma função no Windows Server 2016 ou posterior, o Antivírus do Microsoft Defender inclui exclusões automáticas para a função de servidor e quaisquer ficheiros adicionados durante a instalação da função.
O Windows Server 2012 R2 não suporta a funcionalidade de exclusões automáticas. Terá de definir exclusões explícitas para qualquer função de servidor e qualquer software que seja adicionado após a instalação do sistema operativo.
Importante
- As localizações predefinidas podem ser diferentes das localizações descritas neste artigo.
- Para definir exclusões para software que não está incluído como uma função de servidor ou funcionalidade do Windows, consulte a documentação do fabricante do software.
As exclusões automáticas incluem:
- Exclusões de Hyper-V
- Ficheiros SYSVOL
- Exclusões do Active Directory
- Exclusões do Servidor DHCP
- Exclusões do Servidor DNS
- Exclusões dos Serviços de Ficheiros e Armazenamento
- Exclusões do Servidor de Impressão
- Exclusões do Servidor Web
- Exclusões do Windows Server Update Services
Exclusões de Hyper-V
A tabela seguinte lista as exclusões de tipo de ficheiro, exclusões de pastas e exclusões de processos que são fornecidas automaticamente quando instala a função Hyper-V.
Tipo de exclusão | Especificações |
---|---|
Tipos de arquivos | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Folders | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Processos | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
Ficheiros SYSVOL
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Exclusões do Active Directory
Esta secção lista as exclusões que são fornecidas automaticamente quando instala os Serviços de Domínio do Active Directory (AD DS).
Ficheiros de base de dados NTDS
Os ficheiros da base de dados são especificados na chave do registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
Os ficheiros de registo de transações do AD DS
Os ficheiros de registo de transações são especificados na chave do registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
A pasta de trabalho do NTDS
Esta pasta é especificada na chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
Exclusões de processos para ficheiros de suporte relacionados com o AD DS e o AD DS
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
Exclusões do Servidor DHCP
Esta secção lista as exclusões que são fornecidas automaticamente quando instala a função de Servidor DHCP. As localizações dos ficheiros do Servidor DHCP são especificadas pelos parâmetros DatabasePath, DhcpLogFilePath e BackupDatabasePath na chave de registo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
Exclusões do Servidor DNS
Esta secção lista as exclusões de ficheiros e pastas e as exclusões de processos que são fornecidas automaticamente quando instala a função de Servidor DNS.
Exclusões de ficheiros e pastas para a função de Servidor DNS
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
Exclusões de processos para a função de Servidor DNS
%systemroot%\System32\dns.exe
Exclusões dos Serviços de Ficheiros e Armazenamento
Esta secção lista as exclusões de ficheiros e pastas que são entregues automaticamente quando instala a função Serviços de Ficheiros e Armazenamento. As exclusões listadas abaixo não incluem exclusões para a função Clustering.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Exclusões do Servidor de Impressão
Esta secção lista as exclusões do tipo de ficheiro, as exclusões de pastas e as exclusões de processos que são fornecidas automaticamente quando instala a função servidor de impressão.
Exclusões de tipo de ficheiro
*.shd
*.spl
Exclusões de pastas
Esta pasta é especificada na chave de registo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Exclusões de processos para a função servidor de impressão
spoolsv.exe
Exclusões do Servidor Web
Esta secção lista as exclusões de pastas e as exclusões de processos que são fornecidas automaticamente quando instala a função de Servidor Web.
Exclusões de pastas
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Exclusões de processos para a função de Servidor Web
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
Desativar a análise de ficheiros na pasta Sysvol\Sysvol ou na pasta SYSVOL_DFSR\Sysvol
A localização atual da Sysvol\Sysvol
pasta ou SYSVOL_DFSR\Sysvol
e de todas as subpastas é o destino de nova análise do sistema de ficheiros da raiz do conjunto de réplicas. As Sysvol\Sysvol
pastas e SYSVOL_DFSR\Sysvol
utilizam as seguintes localizações por predefinição:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
O caminho para o ativo atualmente SYSVOL
é referenciado pela partilha NETLOGON e pode ser determinado pelo nome do valor SysVol na seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Exclua os seguintes ficheiros desta pasta e todas as respetivas subpastas:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
Exclusões do Windows Server Update Services
Esta secção lista as exclusões de pastas que são fornecidas automaticamente quando instala a função Windows Server Update Services (WSUS). A pasta WSUS é especificada na chave de registo HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Exclusões incorporadas
Uma vez que o Antivírus do Microsoft Defender está incorporado no Windows, não requer exclusões para ficheiros do sistema operativo em qualquer versão do Windows.
As exclusões incorporadas incluem:
- Ficheiros "temp.edb" do Windows
- Ficheiros do Windows Update ou ficheiros de Atualização Automática
- Ficheiros de Segurança do Windows
- Ficheiros da Política de Grupo
- Ficheiros WINS
- Exclusões do Serviço de Replicação de Ficheiros (FRS)
- Exclusões de processos para ficheiros de sistema operativo incorporados
A lista de exclusões incorporadas no Windows é mantida atualizada à medida que o panorama das ameaças muda.
Ficheiros "temp.edb" do Windows
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Ficheiros do Windows Update ou ficheiros de Atualização Automática
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Ficheiros de Segurança do Windows
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
Ficheiros da Política de Grupo
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
Ficheiros WINS
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Exclusões do Serviço de Replicação de Ficheiros (FRS)
Ficheiros na pasta de trabalho do Serviço de Replicação de Ficheiros (FRS). A pasta de trabalho do FRS é especificada na chave de registo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
Ficheiros de registo da Base de Dados FRS. A pasta de ficheiros de registo da Base de Dados FRS está especificada na chave de registo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
A pasta de teste FRS. A pasta de teste é especificada na chave de registo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
A pasta de pré-instalação do FRS. Esta pasta é especificada pela pasta
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
A base de dados de Replicação do Sistema de Ficheiros Distribuído (DFSR) e as pastas de trabalho. Estas pastas são especificadas pela chave de registo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Observação
Para obter localizações personalizadas, veja Optar ativamente por não participar em exclusões automáticas.
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Exclusões de processos para ficheiros de sistema operativo incorporados
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Optar ativamente por não participar em exclusões automáticas
No Windows Server 2016 e posterior, as exclusões predefinidas fornecidas pelas Atualizações de informações de segurança apenas excluem os caminhos predefinidos para uma função ou funcionalidade. Se instalou uma função ou funcionalidade num caminho personalizado ou se pretender controlar manualmente o conjunto de exclusões, certifique-se de que opta ativamente por não participar nas exclusões automáticas fornecidas nas Atualizações de informações de segurança. No entanto, tenha em atenção que as exclusões que são fornecidas automaticamente são otimizadas para o Windows Server 2016 e posterior. Veja Pontos importantes sobre exclusões antes de definir as listas de exclusão.
Aviso
Optar ativamente por não participar em exclusões automáticas pode afetar negativamente o desempenho ou resultar em danos nos dados. As exclusões automáticas de funções de servidor são otimizadas para o Windows Server 2016, Windows Server 2019 e Windows Server 2022.
Uma vez que as exclusões predefinidas apenas excluem caminhos predefinidos, se mover as pastas NTDS e SYSVOL para outra unidade ou caminho diferente do caminho original, tem de adicionar exclusões manualmente. Veja Configurar a lista de exclusões com base no nome da pasta ou na extensão de ficheiro.
Pode desativar as listas de exclusão automática com a Política de Grupo, cmdlets do PowerShell e WMI.
Utilizar a Política de Grupo para desativar a lista de exclusões automáticas no Windows Server 2016, Windows Server 2019 e Windows Server 2022
No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo. Clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.
No Editor de Gestão de Políticas de Grupo , aceda a Configuração do computador e, em seguida, selecione Modelos administrativos.
Expanda a árvore para componentes> do WindowsExclusões>do Antivírus do Microsoft Defender.
Faça duplo clique em Desativar Exclusões Automáticas e defina a opção como Ativado. Selecione OK.
Utilizar cmdlets do PowerShell para desativar a lista de exclusões automáticas no Windows Server
Utilize os seguintes cmdlets:
Set-MpPreference -DisableAutoExclusions $true
Para saber mais, confira os seguintes recursos:
- Utilize cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender.
- Utilize o PowerShell com o Antivírus do Microsoft Defender.
Utilizar a Instrução de Gestão do Windows (WMI) para desativar a lista de exclusões automáticas no Windows Server
Utilize o método Set da classe MSFT_MpPreference para as seguintes propriedades:
DisableAutoExclusions
Para obter mais informações e parâmetros permitidos, veja:
Definir exclusões personalizadas
Se necessário, pode adicionar ou remover exclusões personalizadas. Para tal, consulte os seguintes artigos:
- Configurar exclusões personalizadas para o Antivírus do Microsoft Defender
- Configurar e validar exclusões com base no nome do ficheiro, na extensão e na localização da pasta
- Configurar e validar exclusões para ficheiros abertos por processos
Confira também
- Exclusões do Microsoft Defender para Endpoint e do Antivírus do Microsoft Defender
- Erros comuns a evitar ao definir exclusões
- Personalizar, iniciar e rever os resultados das análises e remediação do Antivírus do Microsoft Defender
- Microsoft Defender para Ponto de Extremidade no Mac
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.