Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
Platforme
- Windows
Du kan definere udeladelser for Microsoft Defender Antivirus, der gælder for planlagte scanninger, efter behovsscanninger og altid aktiveret beskyttelse og overvågning i realtid. Generelt behøver du ikke at anvende undtagelser. Hvis du har brug for at anvende udeladelser, kan du vælge mellem følgende typer:
- Undtagelser baseret på filtypenavne og mappeplaceringer (beskrevet i denne artikel)
- Udeladelser for filer, der åbnes af processer
Vigtigt!
Microsoft Defender Antivirus-udelukkelser gælder for nogle Microsoft Defender for Endpoint funktioner, f.eks. regler for reduktion af angrebsoverfladen. Nogle Microsoft Defender Antivirus-udeladelser gælder for nogle ASR-regeludeladelser. Se Reference til regler for reduktion af angrebsoverfladen – Microsoft Defender Antivirus-undtagelser og ASR-regler. Filer, som du udelader ved hjælp af de metoder, der er beskrevet i denne artikel, kan stadig udløse EDR-beskeder (Endpoint Detection and Response) og andre registreringer. Hvis du vil udelade filer bredt, skal du føje dem til Microsoft Defender for Endpoint brugerdefinerede indikatorer.
Før du begynder
Se Anbefalinger til definition af udeladelser, før du definerer dine udeladelseslister .
Lister over udeladelser
Hvis du vil udelade visse filer fra Microsoft Defender Antivirus-scanninger, skal du ændre dine udeladelseslister. Microsoft Defender Antivirus indeholder mange automatiske undtagelser baseret på kendte funktionsmåder i operativsystemet og typiske administrationsfiler, f.eks. dem, der bruges i virksomhedsadministration, databaseadministration og andre virksomhedsscenarier.
Bemærk!
Undtagelser gælder også for potentielt uønskede apps(PUA)-registreringer . Automatiske undtagelser gælder kun for Windows Server 2016 og nyere. Disse udeladelser er ikke synlige i appen Windows Sikkerhed og i PowerShell.
I følgende tabel vises nogle eksempler på undtagelser, der er baseret på filtypenavnet og mappeplaceringen.
Eksklusion | Eksempler | Udeladelsesliste |
---|---|---|
Alle filer med et bestemt filtypenavn | Alle filer med den angivne udvidelse, hvor som helst på maskinen. Gyldig syntaks: .test og test |
Undtagelser for filtypenavne |
Alle filer under en bestemt mappe | Alle filer under mappen c:\test\sample |
Fil- og mappeudeladelser |
En bestemt fil i en bestemt mappe | Kun filen c:\sample\sample.test |
Fil- og mappeudeladelser |
En bestemt proces | Den eksekverbare fil c:\test\process.exe |
Fil- og mappeudeladelser |
Egenskaber for udeladelseslister
- Mappeudeladelser gælder for alle filer og mapper under den pågældende mappe, medmindre undermappen er et genfortolkningspunkt. Undermapper til genfortolkning af punkt skal udelades separat.
- Filtypenavne gælder for alle filnavne med det definerede filtypenavn, hvis der ikke er defineret en sti eller mappe.
Vigtige noter om undtagelser baseret på filtypenavne og mappeplaceringer
Brug af jokertegn, f.eks. stjernen (*), ændrer den måde, regler for udeladelse fortolkes på. Se afsnittet Brug jokertegn i filnavnet og mappestien eller i udvidelsesudeladelseslisterne for at få vigtige oplysninger om, hvordan jokertegn fungerer.
Undlad at udelade tilknyttede netværksdrev. Angiv den faktiske netværkssti.
Mapper, der er genfortolkningspunkter, oprettes, når tjenesten Microsoft Defender Antivirus starter, og de mapper, der er føjet til listen over undtagelser, medtages ikke. Genstart tjenesten ved at genstarte Windows, så nye genfortolkningspunkter genkendes som en gyldig destination for udeladelse.
Undtagelser gælder for planlagte scanninger, efter behovsscanninger og beskyttelse i realtid, men ikke på tværs af alle Defender for Endpoint-funktioner. Hvis du vil definere udeladelser på tværs af Defender for Endpoint, skal du bruge brugerdefinerede indikatorer.
Lokale ændringer, der foretages af listerne (af brugere med administratorrettigheder, herunder ændringer foretaget med PowerShell og WMI), flettes som standard med listerne som defineret (og installeret) af Gruppepolitik, Configuration Manager eller Intune. De Gruppepolitik lister har forrang, når der er konflikter. Desuden er ændringer af listen over udeladelser, der er foretaget med Gruppepolitik, synlige i Windows Sikkerhed-appen.
Hvis du vil tillade, at lokale ændringer tilsidesætter administrerede installationsindstillinger, skal du konfigurere, hvordan lister over lokalt og globalt definerede udeladelser flettes.
Konfigurer listen over udeladelser baseret på mappenavn eller filtypenavn
Du kan vælge mellem flere metoder til at definere udeladelser for Microsoft Defender Antivirus.
Brug Intune til at konfigurere undtagelser for filnavn, mappe eller filtypenavn
Se følgende artikler:
- Konfigurer indstillinger for enhedsbegrænsning i Microsoft Intune
- indstillinger for Windows 10 Microsoft Defender antivirusenhedsbegrænsning i Intune
Brug Configuration Manager til at konfigurere undtagelser for filnavn, mappe eller filtypenavn
Se Sådan opretter og installerer du antimalwarepolitikker: Indstillinger for udeladelse for at få oplysninger om konfiguration af Microsoft Configuration Manager (aktuel forgrening).
Brug Gruppepolitik til at konfigurere udeladelser for mapper eller filtypenavne
Bemærk!
Hvis du angiver en fuldt kvalificeret sti til en fil, er det kun den pågældende fil, der udelades. Hvis der er defineret en mappe i udeladelsesmappen, udelades alle filer og undermapper under den pågældende mappe.
Åbn Gruppepolitik administrationskonsollen Gruppepolitik Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.
I Gruppepolitik Management-Editor gå til Computerkonfiguration, og vælg Administrative skabeloner.
Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Exclusions.
Åbn indstillingen Stiudeladelser til redigering, og tilføj dine udeladelser.
Angiv indstillingen til Aktiveret.
Under afsnittet Indstillinger skal du vælge Vis.
Angiv hver mappe på sin egen linje under kolonnen Værdinavn .
Hvis du angiver en fil, skal du sørge for at angive en fuldt gyldig sti til filen, herunder drevbogstavet, mappestien, filnavnet og filtypenavnet.
Angiv 0 i kolonnen Værdi .
Vælg OK.
Åbn indstillingen Filtypenavneudeladelser til redigering, og tilføj dine udeladelser.
Angiv indstillingen til Aktiveret.
Under afsnittet Indstillinger skal du vælge Vis.
Angiv hvert filtypenavn på sin egen linje under kolonnen Værdinavn .
Angiv 0 i kolonnen Værdi .
Vælg OK.
Brug PowerShell-cmdlet'er til at konfigurere undtagelser for filnavn, mappe eller filtypenavn
Brug af PowerShell til at tilføje eller fjerne udeladelser for filer, der er baseret på filtypenavnet, placeringen eller filnavnet, kræver brug af en kombination af tre cmdlet'er og den relevante parameter for listen over undtagelser. Cmdlet'erne er alle i Defender-modulet.
Formatet for cmdlet'erne er som følger:
<cmdlet> -<exclusion list> "<item>"
I følgende tabel vises de cmdlet'er, du kan bruge i delen <cmdlet>
af PowerShell-cmdlet'en:
Konfigurationshandling | PowerShell-cmdlet |
---|---|
Opret eller overskriv listen | Set-MpPreference |
Føj til listen | Add-MpPreference |
Fjern element fra listen | Remove-MpPreference |
I følgende tabel vises de værdier, du kan bruge i delen <exclusion list>
af PowerShell-cmdlet'en:
Udeladelsestype | PowerShell-parameter |
---|---|
Alle filer med et angivet filtypenavn | -ExclusionExtension |
Alle filer under en mappe (herunder filer i undermapper) eller en bestemt fil | -ExclusionPath |
Vigtigt!
Hvis du har oprettet en liste, enten med Set-MpPreference
eller Add-MpPreference
ved hjælp af -cmdlet'en Set-MpPreference
, overskrives den eksisterende liste igen.
Følgende kodestykke vil f.eks. medføre, at Microsoft Defender Antivirus-scanninger udelader alle filer med filtypenavnet.test
:
Add-MpPreference -ExclusionExtension ".test"
Tip
Du kan få flere oplysninger under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Defender Antivirus-cmdlet'er.
Brug WMI (Windows Management Instrumentation) til at konfigurere undtagelser for filnavn, mappe eller filtypenavn
Brug metoderne Set, Add og Remove for klassen MSFT_MpPreference for følgende egenskaber:
ExclusionExtension
ExclusionPath
Brug af Set, Add og Remove svarer til deres kolleger i PowerShell: Set-MpPreference
, Add-MpPreference
og Remove-MpPreference
.
Tip
Du kan få flere oplysninger under Windows Defender WMIv2 API'er.
Brug appen Windows Sikkerhed til at konfigurere undtagelser for filnavn, mappe eller filtypenavn
Se Tilføj udeladelser i appen Windows Sikkerhed for at få en vejledning.
Brug jokertegn i filnavnet og mappestien eller udvidelsesudeladelseslisterne
Du kan bruge stjernen *
, spørgsmålstegnet ?
eller miljøvariabler (f.eks. %ALLUSERSPROFILE%
) som jokertegn, når du definerer elementer på listen over undtagelser for filnavnet eller mappestien. Du kan blande og matche *
?
miljøvariabler og i en enkelt udeladelse. Den måde, disse jokertegn fortolkes på, adskiller sig fra deres normale brug i andre apps og sprog. Sørg for at læse dette afsnit for at forstå deres specifikke begrænsninger.
Vigtigt!
Der er vigtige begrænsninger og forbrugsscenarier for disse jokertegn:
- Brug af miljøvariabler er begrænset til computervariabler og dem, der gælder for processer, der kører som en NT AUTHORITY\SYSTEM-konto.
- Du kan højst bruge seks jokertegn pr. post.
- Du kan ikke bruge et jokertegn i stedet for et drevbogstav.
- En stjerne
*
i en mappeudeladelse står på plads for en enkelt mappe. Brug flere forekomster af\*\
til at angive flere indlejrede mapper med uspecificerede navne.
I følgende tabel beskrives, hvordan jokertegnene kan bruges, og der vises nogle eksempler.
Wildcard | Eksempler |
---|---|
* (stjerne)I medtagelser af filnavn og filtypenavn erstatter stjernen et vilkårligt antal tegn og gælder kun for filer i den sidste mappe, der er defineret i argumentet. I mappeudeladelser erstatter stjernen en enkelt mappe. Brug flere * med mappestreger \ til at angive flere indlejrede mapper. Når antallet af jokertegn og navngivne mapper er matchet, medtages alle undermapper også. |
C:\MyData\*.txt Omfatter C:\MyData\notes.txt C:\somepath\*\Data inkluderer alle filer i C:\somepath\Archives\Data og dens undermapper og C:\somepath\Authorized\Data dens undermapperC:\Serv\*\*\Backup inkluderer alle filer i C:\Serv\Primary\Denied\Backup og dens undermapper og C:\Serv\Secondary\Allowed\Backup dens undermapper |
? (spørgsmålstegn)I medtagelser af filnavn og filtypenavn erstatter spørgsmålstegnet et enkelt tegn og gælder kun for filer i den sidste mappe, der er defineret i argumentet. I mappeudeladelser erstatter spørgsmålstegnet et enkelt tegn i et mappenavn. Når antallet af jokertegn og navngivne mapper er matchet, medtages alle undermapper også. |
C:\MyData\my?.zip Omfatter C:\MyData\my1.zip C:\somepath\?\Data inkluderer alle filer i C:\somepath\P\Data og dens undermapperC:\somepath\test0?\Data indeholder alle filer i C:\somepath\test01\Data og dens undermapper |
Miljøvariabler Den definerede variabel udfyldes som en sti, når udeladelse evalueres. |
%ALLUSERSPROFILE%\CustomLogFiles omfatter C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Mix og match Miljøvariabler * og ? kan kombineres til en enkelt udeladelse |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe omfatter c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Vigtigt!
Hvis du blander et argument for filudeladelse med et mappeudeladelsesargument, stopper reglerne ved filargumentet i den tilsvarende mappe og søger ikke efter filforekomster i nogen undermapper.
Du kan f.eks. udelade alle filer, der starter med "dato" i mapperne c:\data\final\marked
og c:\data\review\marked
ved hjælp af regelargumentet c:\data\*\marked\date*
.
Dette argument svarer ikke til nogen filer i undermapper under c:\data\final\marked
eller c:\data\review\marked
.
Systemmiljøvariabler
I følgende tabel vises og beskrives miljøvariabler for systemkontoen.
Denne systemmiljøvariabel... | Omdirigerer til dette |
---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Gennemse listen over undtagelser
Du kan hente elementerne på listen over undtagelser ved hjælp af en af følgende metoder:
Vigtigt!
Ændringer af listen over udeladelser, der er foretaget med Gruppepolitik, vises på listen over Windows Sikkerhed app. Ændringer, der er foretaget i Windows Sikkerhed-appen, vises ikke på Gruppepolitik-listerne.
Hvis du bruger PowerShell, kan du hente listen på følgende to måder:
- Hent status for alle Microsoft Defender Antivirus-indstillinger. Hver liste vises på separate linjer, men elementerne på hver liste kombineres til den samme linje.
- Skriv status for alle indstillinger til en variabel, og brug denne variabel til kun at kalde den bestemte liste, du er interesseret i. Hver brug af skrives
Add-MpPreference
til en ny linje.
Valider listen over undtagelser ved hjælp af MpCmdRun
Hvis du vil kontrollere udeladelser med det dedikerede kommandolinjeværktøj mpcmdrun.exe, skal du bruge følgende kommando:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Bemærk!
Kontrol af udeladelser med MpCmdRun
kræver Microsoft Defender Antivirus version 4.18.2111-5.0 (udgivet i december 2021) eller nyere.
Gennemse listen over undtagelser sammen med alle andre indstillinger for Microsoft Defender Antivirus ved hjælp af PowerShell
Brug følgende cmdlet:
Get-MpPreference
I følgende eksempel er elementerne på ExclusionExtension
listen fremhævet:
Du kan få flere oplysninger under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Defender Antivirus-cmdlet'er.
Hent en bestemt liste over udeladelser ved hjælp af PowerShell
Brug følgende kodestykke (angiv hver linje som en separat kommando). erstat WDAVprefs med den etiket, du vil navngive variablen:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
I følgende eksempel opdeles listen i nye linjer for hver brug af cmdlet'en Add-MpPreference
:
Du kan få flere oplysninger under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Defender Antivirus-cmdlet'er.
Valider udeladelseslister med EICAR-testfilen
Du kan validere, at dine udeladelseslister fungerer ved hjælp af PowerShell med enten Invoke-WebRequest
cmdlet'en eller .NET WebClient-klassen til at downloade en testfil.
I følgende PowerShell-kodestykke skal du erstatte test.txt
med en fil, der overholder dine udelukkelsesregler. Hvis du f.eks. udelader filtypenavnet .testing
, skal du erstatte test.txt
med test.testing
. Hvis du tester en sti, skal du sørge for at køre cmdlet'en i den pågældende sti.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Hvis Microsoft Defender Antivirus rapporterer malware, fungerer reglen ikke. Hvis der ikke er nogen rapport over malware, og den downloadede fil findes, fungerer udelukkelsen. Du kan åbne filen for at bekræfte, at indholdet er det samme som det, der er beskrevet på webstedet for EICAR-testfilen.
Du kan også bruge følgende PowerShell-kode, der kalder klassen .NET WebClient for at downloade testfilen – ligesom med cmdlet'en Invoke-WebRequest
. Erstat c:\test.txt
med en fil, der overholder den regel, du validerer:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Hvis du ikke har internetadgang, kan du oprette din egen EICAR-testfil ved at skrive EICAR-strengen til en ny tekstfil med følgende PowerShell-kommando:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Du kan også kopiere strengen til en tom tekstfil og forsøge at gemme den med filnavnet eller i den mappe, du forsøger at udelade.
Se også
- Konfigurer og valider udeladelser i Microsoft Defender Antivirus-scanninger
- Konfigurer og valider udeladelser for filer, der er åbnet af processer
- Konfigurer Microsoft Defender Antivirus-udeladelser på Windows Server
- Almindelige fejl, der skal undgås, når du definerer udeladelser
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.