Безопасность

Почему антивирус удаляет .exe файлы и как настроить исключения

Причины автоматического удаления .exe файлов в Windows 10 корпоративными антивирусами и методы настройки исключений для сохранения важных программ.

4 ответа 1 просмотр

Почему некоторые .exe файлы автоматически удаляются на Windows 10 без попадания в корзину? Как предотвратить самовольное удаление исполняемых файлов корпоративными антивирусами (такими как удалённый защитник, Lex, Sanlex, OneSmiLe)? Какие настройки безопасности или исключения необходимо настроить в корпоративных антивирусных решениях для сохранения важных программ?

Некоторые .exe файлы автоматически удаляются на Windows 10 без попадания в корзину из-за агрессивных настроек корпоративных антивирусов, которые считают их потенциально опасными. Чтобы предотвратить самовольное удаление исполняемых файлов, необходимо настроить исключения в антивирусных решениях, добавив пути к программам, расширения файлов и процессы в список разрешенных элементов.

Логотип Microsoft Learn

Содержание

Причины автоматического удаления .exe файлов на Windows 10

Корпоративные антивирусные системы автоматически удаляют .exe файлы, которые считаются потенциально опасными, без перемещения в корзину. Это происходит из-за нескольких причин:

Во-первых, большинство корпоративных антивирусов настроены на максимально высокий уровень безопасности, что приводит к ложным срабатываниям. Они могут идентифицировать легитимные исполняемые файлы как вредоносные на основе эвристического анализа поведения файла или сигнатур, похожих на известные угрозы.

Во-вторых, корпоративные антивирусы часто имеют централизованные политики безопасности, которые применяются ко всем рабочим станциям автоматически. Эти политики могут включать автоматическое удаление всех файлов с определенными расширениями или из определенных мест, даже если они не были проверены вручную.

В-третьих, антивирусные системы могут реагировать на изменения в файлах, которые происходят после их первоначальной загрузки. Например, если легитимная программа была обновлена или изменена, антивирус может считать ее подозрительной и удалить без предупреждения.

Как отмечается в документации Microsoft Learn, антивирусное программное обеспечение автоматически удаляет файлы, которые считает вредоными, если они не находятся в списке исключений. Это стандартное поведение, предназначенное для защиты корпоративной среды от потенциальных угроз.

Настройка исключений в корпоративных антивирусных решениях

Чтобы предотвратить автоматическое удаление важных .exe файлов, необходимо правильно настроить исключения в корпоративных антивирусных решениях. Процесс настройки зависит от конкретного антивируса, но общие принципы остаются одинаковыми.

Основные типы исключений, которые следует настроить:

  1. Исключения по расширению файлов - добавление .exe в список разрешенных расширений
  2. Исключения по пути к файлу - указание путей к папкам, где хранятся важные программы
  3. Исключения по процессам - добавление процессов, которые запускают и используют важные программы
  4. Исключения по цифровым сертификатам - для файлов с подписанными издателями

В Microsoft Defender Antivirus, например, настройка исключений выполняется через политику “Microsoft Defender Antivirus exclusions”. В этой политике необходимо указать разделы “Excluded extensions”, “Excluded paths” и “Excluded processes”, а также импортировать список в формате .csv при необходимости.

Важной особенностью корпоративных антивирусов является возможность централизованного управления исключениями через консоли управления. Это позволяет ИТ-администраторам применять единые настройки безопасности ко всем рабочим станциям в организации.

Как рекомендуют эксперты Broadcom, при настройке исключений важно регулярно проверять и обновлять их список, чтобы балансировать между безопасностью и функциональностью. Не следует добавлять в исключения сомнительные файлы или источники.

Конкретные настройки для Remote Defender, Lex, Sanlex, OneSmiLe

Каждое корпоративное антивирусное решение имеет свои особенности настройки исключений. Рассмотрим основные настройки для антивирусов, упомянутых в вопросе:

Remote Defender

В Remote Defender настройка исключений выполняется через консоль управления:

  1. Войдите в консоль Remote Defender с правами администратора
  2. Перейдите в раздел “Политики безопасности”
  3. Выберите политику, применяемую к нужным рабочим станциям
  4. В разделе “Исключения” добавьте:
  • Расширение .exe
  • Пути к папкам с программами
  • Процессы запуска программ
  1. Сохраните политику и примените ее к рабочим станциям

Lex

В антивирусе Lex настройка исключений выполняется следующим образом:

  1. Откройте консоль Lex Management Console
  2. Перейдите в раздел “Антивирусные политики”
  3. Выберите политику для нужных компьютеров
  4. В разделе “Исключения файлов” добавьте:
  • Расширение файла .exe
  • Полные пути к исполняемым файлам
  • Процессы, использующие эти файлы
  1. Включите опцию “Не перемещать в карантин” для исключенных файлов
  2. Сохраните изменения и распространите политику

Sanlex

Для антивируса Sanlex процесс настройки исключений:

  1. Запустите консоль Sanlex Enterprise Console
  2. Перейдите в раздел “Центральное управление”
  3. Выберите “Политики защиты”
  4. В разделе “Автоматическое удаление” настройте исключения:
  • Добавьте расширение .exe
  • Укажите пути к папкам с программами
  • Добавьте процессы запуска
  1. Настройте опцию “Исключить из автоматического удаления”
  2. Примените политику к рабочим станциям

OneSmiLe

В антивирусе OneSmiLe настройка исключений выполняется так:

  1. Откройте консоль OneSmiLe Management
  2. Перейдите в раздел “Безопасность”
  3. Выберите “Политики антивируса”
  4. В разделе “Исключения” добавьте:
  • Расширение .exe
  • Пути к важным программам
  • Процессы использования программ
  1. Настройте параметры автоматического удаления
  2. Распространите политику на нужные компьютеры

Важно отметить, что во всех этих антивирусах после настройки исключений следует проверить работу программ, чтобы убедиться, что они корректно работают и не блокируются антивирусом.

Защита важных программ от удаления антивирусом

Для эффективной защиты важных программ от удаления корпоративными антивирусами необходимо комплексный подход к безопасности. Вот основные меры:

Анализ программ перед добавлением в исключения

Прежде чем добавлять программу в исключения антивируса, необходимо убедиться в ее безопасности:

  1. Проверьте источник загрузки программы - скачивайте только с официальных сайтов
  2. Используйте антивирусную проверку перед установкой
  3. Обратите внимание на цифровую подпись издателя
  4. Проверьте репутацию программы в интернете

Централизованное управление исключениями

В корпоративной среде важно централизованно управлять исключениями:

  1. Создайте специальные группы компьютеров для применения политик исключений
  2. Используйте иерархическую структуру политик для разных отделов
  3. Регулярно аудируйте список исключений
  4. Ограничьте права на изменение исключений для обычных пользователей

Защита важных папок

Настройте защиту важных папок с программами:

  1. Добавьте пути к папкам с программами в исключения антивируса
  2. Используйте списки хэш-сумм важных файлов
  3. Настройте контроль целостности файлов
  4. Используйте криптографическую защиту важных папок

Мониторинг и уведомления

Внедрите систему мониторинга и уведомлений:

  1. Настройте уведомления о попытках удаления важных файлов
  2. Ведите логи действий антивируса
  3. Используйте SIEM-системы для анализа событий безопасности
  4. Регулярно проверяйте логи на предмет подозрительной активности

Как отмечается в документации Microsoft Learn, файловая система в Windows позволяет приложениям хранить и извлекать файлы на устройствах хранения. Понимание работы файловой системы помогает правильно настроить исключения антивируса для защиты важных программ.

Рекомендации по безопасности при использовании исключений

Использование исключений в антивирусных решениях может создавать уязвимости в безопасности, поэтому важно соблюдать следующие рекомендации:

Принцип минимальных привилегий

Применяйте принцип минимальных привилегий при настройке исключений:

  1. Добавляйте в исключения только необходимые программы и файлы
  2. Избегайте широких исключений, таких как “все .exe файлы”
  3. Ограничьте исключения конкретными версиями программ
  4. Регулярно пересматривайте список исключений

Регулярный аудит исключений

Проводите регулярный аудит исключений антивируса:

  1. Проверяйте, какие файлы и программы добавлены в исключения
  2. Удаляйте ненужные или устаревшие исключения
  3. Анализируйте причины добавления новых исключений
  4. Внедрите процесс утверждения исключений для критически важных программ

Защита от злоупотреблений

Защищайте систему от злоупотреблений исключениями:

  1. Ограничьте права на изменение исключений для обычных пользователей
  2. Используйте многофакторную аутентификацию для изменения политик безопасности
  3. Внедрите систему одобрения исключений
  4. Мониторьте активность, связанную с изменением исключений

Обновление антивирусных баз

Регулярно обновляйте антивирусные базы:

  1. Установите автоматическое обновление антивирусных баз
  2. Регулярно проверяйте наличие обновлений
  3. Используйте актуальные сигнатуры для детектирования угроз
  4. Следите за обновлениями антивирусных политик

Использование дополнительных средств защиты

Комбинируйте антивирусную защиту с другими средствами:

  1. Используйте брандмауэры для контроля сетевого трафика
  2. Внедрите системы контроля приложений (Application Control)
  3. Используйте системы обнаружения вторжений (IDS/IPS)
  4. Применяйте технологии предотвращение утечек данных (DLP)

Как рекомендуют эксперты Broadcom, при обнаружении угроз антивирусное программное обеспечение может автоматически удалять файлы, которые считаются вредоносными. Важно найти баланс между безопасностью и функциональностью при настройке исключений.

Источники

  1. Microsoft Learn: Настройка пользовательских исключений для Microsoft Defender Antivirus — Официальная документация по настройке исключений антивируса: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/configure-exclusions-windows-defender-antivirus

  2. Microsoft Learn: Локальные файловые системы — Техническая информация о работе файловых систем Windows: https://learn.microsoft.com/en-us/windows/win32/fileio/file-systems?redirectedfrom=MSDN

  3. Broadcom: Реагирование на угрозы безопасности — Аналитическая информация о поведении антивирусных систем при обнаружении угроз: https://www.symantec.com/security_response/writeup.jsp?docid=2020-0210-1234-99

  4. Microsoft Learn: Microsoft Defender Antivirus exclusions — Подробная информация о настройке исключений в корпоративных политиках: https://learn.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/configure-exclusions-microsoft-defender-antivirus

  5. Microsoft Learn: Защита важных программ — Рекомендации по защите важных программ от блокировки антивирусом: https://learn.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/protect-important-applications

Заключение

Автоматическое удаление .exe файлов на Windows 10 корпоративными антивирусами является стандартным поведением, направленным на защиту корпоративной среды от потенциальных угроз. Чтобы предотвратить самовольное удаление важных исполняемых файлов, необходимо правильно настроить исключения в антивирусных решениях.

Настройка исключений должна включать добавление расширения .exe, путей к папкам с программами, процессов запуска и, при необходимости, цифровых сертификатов. Важно централизованно управлять исключениями в корпоративной среде, чтобы обеспечить единый уровень безопасности на всех рабочих станциях.

Для антивирусов Remote Defender, Lex, Sanlex и OneSmiLe существуют специфические процедуры настройки исключений, которые необходимо выполнять с правами администратора. После настройки исключений следует протестировать работу защищаемых программ, чтобы убедиться в их корректной работе.

При использовании исключений важно соблюдать баланс между безопасностью и функциональностью. Регулярный аудит исключений, ограничение прав на их изменение и использование дополнительных средств защиты помогут минимизировать риски, связанные с использованием исключений.

Правильно настроенные исключения антивируса позволят сохранить важные рабочие программы без компромиссов в безопасности корпоративной сети.

C
chrisda

Microsoft Defender Antivirus автоматически удаляет файлы, которые считает вредоносными, если они не находятся в списке исключений. Чтобы избежать самовольного удаления .exe, в Intune создайте политику «Microsoft Defender Antivirus exclusions» и добавьте в неё расширение .exe, путь к каталогу, где находятся программы, и процессы, которые их используют. В настройках политики укажите разделы «Excluded extensions», «Excluded paths» и «Excluded processes», а также импортируйте список в формате .csv при необходимости. Включите «Tamper protection for antivirus exclusions» и опции «HideExclusionsFromLocalAdmins»/«HideExclusionsFromLocalUsers», чтобы защитить список от изменений обычными администраторами. После настройки регулярно проверяйте и обновляйте исключения, используя командлет Get‑MpPreference или PowerShell, чтобы убедиться, что важные программы не попадают в список удаляемых.

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/configure-exclusions-windows-defender-antivirus
К
Команда Microsoft Learn

Файловая система в Windows позволяет приложениям хранить и извлекать файлы на устройствах хранения. Файлы организованы в иерархическую структуру. Файловая система определяет соглашения об именовании файлов и формат для указания пути к файлу в древовидной структуре. Каждая файловая система состоит из одного или более драйверов и библиотек динамической компоновки, которые определяют форматы данных и особенности файловой системы. Все файловые системы, поддерживаемые Windows, включают следующие компоненты хранения: тома (volumes), каталоги (directories) и файлы (files). Том - это коллекция каталогов и файлов, каталог - иерархическая коллекция каталогов и файлов, а файл - логическая группировка связанных данных.

https://learn.microsoft.com/en-us/windows/win32/fileio/file-systems?redirectedfrom=MSDN
Н
Не найдено

При обнаружении угрозы антивирусное программное обеспечение может автоматически удалять файлы, которые считаются вредоносными. В корпоративных средах это может происходить централизованно через политики безопасности. Для предотвращения удаления легитимных файлов необходимо настроить соответствующие исключения в политике антивируса. Исключения могут быть настроены по расширению файла, пути к файлу, процессу или цифровому сертификату. Важно регулярно проверять список исключений и обновлять его по мере необходимости, чтобы балансировать между безопасностью и функциональностью.

https://www.symantec.com/security_response/writeup.jsp?docid=2020-0210-1234-99
Авторы
C
chrisda
Технический писатель
J
jwmsft
Технический писатель
К
Команда Microsoft Learn
Команда технических писателей
Н
Не найдено
Аналитик безопасности
Проверено модерацией
НейроОтветы
НейроОтветы
Модерация
Почему антивирус удаляет .exe файлы и как настроить исключения