除外を定義する際に避ける必要のある一般的な間違い

ウイルス対策をスキャンしないアイテムの除外リストMicrosoft Defender定義できます。 ただし、除外された項目には、デバイスを脆弱にする脅威が含まれている可能性があります。 この記事では、除外を定義するときに避ける必要がある一般的な間違いについて説明します。

前提条件

サポートされるオペレーティング システム

• Windows
• macOS
• Linux

特定の信頼済みアイテムを除外する

特定のファイル、ファイルの種類、フォルダー、またはプロセスは、悪意のないと信頼している場合でも、スキャンから除外しないでください。 次のセクションに記載されているフォルダーの場所、ファイル拡張子、およびプロセスの除外を定義しないでください。

• フォルダーの場所
• ファイル拡張子
• プロセス

フォルダーの場所

一般に、次のフォルダーの場所に対して除外を定義しないでください。

• %systemdrive%
• C:、C:\、または C:\*
• %ProgramFiles%\Java または C:\Program Files\Java
• %ProgramFiles%\Contoso\、 C:\Program Files\Contoso\、 %ProgramFiles(x86)%\Contoso\、または C:\Program Files (x86)\Contoso\
• C:\Temp、C:\Temp\、または C:\Temp\*
• C:\Users\ または C:\Users\*
• C:\Users\<UserProfileName>\AppData\Local\Temp\ または C:\Users\<UserProfileName>\AppData\LocalLow\Temp\。 SharePoint の次の重要な例外に注意してください。 SharePoint でファイル レベルのウイルス対策保護を使用する場合は、除外C:\Users\ServiceAccount\AppData\Local\TempまたはC:\Users\Default\AppData\Local\Tempを実行します。
• %Windir%\Prefetch、 C:\Windows\Prefetch、 C:\Windows\Prefetch\、または C:\Windows\Prefetch\*
• %Windir%\System32\Spool または C:\Windows\System32\Spool
• C:\Windows\System32\CatRoot2
• %Windir%\Temp、 C:\Windows\Temp、 C:\Windows\Temp\、または C:\Windows\Temp\*

Linux および macOS プラットフォーム

一般に、次のフォルダーの場所の除外を定義しないでください。

• /
• /bin または /sbin
• /usr/lib

ファイル拡張子

一般に、次のファイル拡張子の除外を定義しないでください。

• .7z
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .dll
• .exe
• .fla
• .gif
• .gz
• .hta
• .inf
• .java
• .jar
• .job
• .jpeg
• .jpg
• .js
• .ko または .ko.gz
• .msi
• .ocx
• .png
• .ps1
• .py
• .rar
• .reg
• .scr
• .sys
• .tar
• .tmp
• .url
• .vbe
• .vbs
• .wsf
• .zip

プロセス

一般に、次のプロセスの除外を定義しないでください。

• AcroRd32.exe
• addinprocess.exe
• addinprocess32.exe
• addinutil.exe
• bash.exe
• bginfo.exe
• bitsadmin.exe
• cdb.exe
• csi.exe
• cmd.exe
• cscript.exe
• dbghost.exe
• dbgsvc.exe
• dnx.exe
• dotnet.exe
• excel.exe
• fsi.exe
• fsiAnyCpu.exe
• iexplore.exe
• java.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• mshta.exe
• ntkd.exe
• ntsd.exe
• outlook.exe
• psexec.exe
• powerpnt.exe
• powershell.exe
• rcsi.exe
• svchost.exe
• schtasks.exe
• system.management.automation.dll
• windbg.exe
• winword.exe
• wmic.exe
• wscript.exe
• wuauclt.exe

Linux および macOS プラットフォーム

一般に、次のプロセスの除外を定義しないでください。

• bash
• java
• python と python3
• sh
• zsh

除外リストでファイル名だけを使用する

マルウェアは、信頼できるファイルと同じ名前を持ち、スキャンから除外したい場合があります。 そのため、潜在的なマルウェアをスキャンから除外しないようにするには、ファイル名だけを使用するのではなく、除外するファイルへの完全修飾パスを使用します。 たとえば、スキャンから Filename.exe を除外する場合は、ファイルへの完全なパス ( C:\program files\contoso\Filename.exeなど) を使用します。

複数のサーバー ワークロードに対して 1 つの除外リストを使用する

1 つの除外リストを使用して、複数のサーバー ワークロードの除外を定義しないでください。 さまざまなアプリケーションまたはサービス ワークロードの除外を複数の除外リストに分割します。 たとえば、IIS Server ワークロードの除外リストは、SQL Server ワークロードの除外リストとは異なる必要があります。

ファイル名とフォルダー パスまたは拡張機能の除外リストで不適切な環境変数をワイルドカードとして使用する

Microsoft Defenderウイルス対策サービスは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。つまり、ユーザー環境変数ではなく、システム環境変数から情報を取得します。 除外リストでのワイルドカードとしての環境変数の使用は、システム変数と、NT AUTHORITY\SYSTEM アカウントとして実行されているプロセスに適用される変数に限定されます。 そのため、ウイルス対策フォルダーとプロセスの除外Microsoft Defender追加するときに、ユーザー環境変数をワイルドカードとして使用しないでください。 システム環境変数の完全な一覧については、「 システム環境変数 」の表を参照してください。

除外リストでワイルドカードを使用する方法については、「ファイル名とフォルダー パスまたは拡張子の除外リストでワイルドカードを使用する」を参照してください。

関連項目

• Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
• Microsoft Defender ウイルス対策のカスタム除外を構成する
• Linux 上のMicrosoft Defender for Endpointの除外を構成して検証する
• macOS でのMicrosoft Defender for Endpointの除外の構成と検証