Microsoft Defender Antivirus-undtagelser på Windows Server

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows Server

I denne artikel beskrives typer af undtagelser, som du ikke behøver at definere for Microsoft Defender Antivirus:

• Indbyggede udeladelser til operativsystemfiler på alle versioner af Windows.
• Automatiske udeladelser for roller på Windows Server 2016 og nyere.

Hvis du vil have en mere detaljeret oversigt over undtagelser, skal du se Administrer undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Et par vigtige punkter om undtagelser på Windows Server

• Brugerdefinerede udeladelser har forrang frem for automatiske udeladelser.
• Automatiske undtagelser gælder kun for RTP-scanning (real-time protection).
• Automatiske undtagelser anvendes ikke under en hurtig scanning, fuld scanning og brugerdefineret scanning.
• Brugerdefinerede og duplikerede udeladelser er ikke i konflikt med automatiske udeladelser.
• Microsoft Defender Antivirus bruger DISM-værktøjerne (Deployment Image Servicing and Management) til at bestemme, hvilke roller der er installeret på computeren.
• Relevante undtagelser skal angives for software, der ikke er inkluderet i operativsystemet.
• Windows Server 2012 R2 har ikke Microsoft Defender Antivirus som en installerbar funktion. Når du onboarder disse servere til Defender for Endpoint, installerer du Microsoft Defender Antivirus, og der anvendes standardudeladelser for operativsystemfiler. Udeladelser for serverroller (som angivet nedenfor) gælder dog ikke automatisk, og du skal konfigurere disse udeladelser efter behov. Du kan få mere at vide under Onboarder Windows-servere til Tjenesten Microsoft Defender for Endpoint.
• Indbyggede udeladelser og automatiske udeladelser af serverroller vises ikke på de standardlister over undtagelser, der vises i Windows Security-appen.
• Listen over indbyggede undtagelser i Windows holdes opdateret, efterhånden som trusselslandskabet ændres. I denne artikel beskrives nogle, men ikke alle, af de indbyggede og automatiske udeladelser.

Automatiske udeladelser af serverroller

På Windows Server 2016 eller nyere skal du ikke definere udeladelser for serverroller. Når du installerer en rolle på Windows Server 2016 eller nyere, inkluderer Microsoft Defender Antivirus automatiske udeladelser for serverrollen og eventuelle filer, der tilføjes under installationen af rollen.

Windows Server 2012 R2 understøtter ikke funktionen automatiske undtagelser. Du skal definere eksplicitte udeladelser for alle serverroller og software, der tilføjes efter installation af operativsystemet.

Vigtigt!

• Standardplaceringer kan være anderledes end de placeringer, der er beskrevet i denne artikel.
• Hvis du vil angive udeladelser for software, der ikke er inkluderet som en Windows-funktion eller serverrolle, skal du se softwareproducentens dokumentation.

Automatiske udeladelser omfatter:

• Hyper-V-udeladelser
• SYSVOL-filer
• Active Directory-udeladelser
• DHCP-serverudeladelser
• Udeladelser fra DNS-server
• Undtagelser for fil- og lagertjenester
• Udskrivningsserverudeladelser
• Webserverudeladelser
• Udeladelser fra Windows Server Update Services

Hyper-V-udeladelser

I følgende tabel vises de filtypeudeladelser, mappeudeladelser og procesudeladelser, der leveres automatisk, når du installerer Hyper-V-rollen.

Udeladelsestype	Detaljerne
Filtyper	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
Mapper	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
Processer	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

SYSVOL-filer

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-udeladelser

I dette afsnit vises de udeladelser, der leveres automatisk, når du installerer AD DS (Active Directory Domain Services).

NTDS-databasefiler

Databasefilerne er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

AD DS-transaktionslogfilerne

Transaktionslogfilerne er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

NTDS-arbejdsmappen

Denne mappe er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

Behandl udeladelser for AD DS- og AD DS-relaterede supportfiler

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

DHCP-serverudeladelser

I dette afsnit vises de udeladelser, der leveres automatisk, når du installerer DHCP-serverrollen. DHCP-serverfilplaceringerne angives af parametrene DatabasePath, DhcpLogFilePath og BackupDatabasePath i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

Udeladelser fra DNS-server

I dette afsnit vises de fil- og mappeudeladelser og de procesudeladelser, der leveres automatisk, når du installerer DNS-serverrollen.

Fil- og mappeudeladelser for DNS-serverrollen

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

Behandl udeladelser for DNS-serverrollen

• %systemroot%\System32\dns.exe

Undtagelser for fil- og lagertjenester

I dette afsnit vises de fil- og mappeudeladelser, der leveres automatisk, når du installerer rollen Fil- og lagertjenester. De undtagelser, der er angivet nedenfor, indeholder ikke udeladelser for klyngerollen.

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

Udskrivningsserverudeladelser

I dette afsnit vises de filtypeudeladelser, mappeudeladelser og procesudeladelser, der leveres automatisk, når du installerer rollen Udskriftsserver.

Undtagelser for filtype

• *.shd
• *.spl

Mappeudeladelser

Denne mappe er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

Behandl udeladelser for rollen Udskriftsserver

• spoolsv.exe

Webserverudeladelser

I dette afsnit vises de mappeudeladelser og procesudeladelser, der leveres automatisk, når du installerer rollen Webserver.

Mappeudeladelser

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

Behandl udeladelser for rollen Webserver

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

Deaktiver scanning af filer i mappen Sysvol\Sysvol eller mappen SYSVOL_DFSR\Sysvol

Den aktuelle placering af Sysvol\Sysvol mappen eller SYSVOL_DFSR\Sysvol og alle undermapperne er filsystemets genfortolkningsmål for replikasætroden. Mapperne Sysvol\Sysvol og SYSVOL_DFSR\Sysvol bruger som standard følgende placeringer:

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

Der refereres til stien til det aktive SYSVOL i øjeblikket af NETLOGON-sharet og kan bestemmes af værdien SysVol i følgende undernøgle: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Udelad følgende filer fra denne mappe og alle dens undermapper:

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

Udeladelser fra Windows Server Update Services

I dette afsnit vises de mappeudeladelser, der leveres automatisk, når du installerer rollen Windows Server Update Services (WSUS). Mappen WSUS er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

Indbyggede udeladelser

Da Microsoft Defender Antivirus er indbygget i Windows, kræver det ikke undtagelser for operativsystemfiler på nogen version af Windows.

Indbyggede udeladelser omfatter:

• Windows"temp.edb"-filer
• Windows Update-filer eller Automatiske opdateringer-filer
• Windows Security-filer
• Gruppepolitikfiler
• WINS-filer
• Frs-udeladelser (File Replication Service)
• Procesudeladelser for indbyggede operativsystemfiler

Listen over indbyggede undtagelser i Windows holdes opdateret, efterhånden som trusselslandskabet ændres.

Windows"temp.edb"-filer

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update-filer eller Automatiske opdateringer-filer

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows Security-filer

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

Gruppepolitikfiler

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-filer

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

Frs-udeladelser (File Replication Service)

• Filer i frs-arbejdsmappen (File Replication Service). FRS-arbejdsmappen er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• FRS-databaselogfiler. Mappen med FRS-databaselogfilen er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• Den midlertidige FRS-mappe. Den midlertidige mappe er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• Frs-forudinstallationsmappen. Denne mappe er angivet i mappen Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• DFSR-databasen (Distributed File System Replication) og arbejdsmapper. Disse mapper er angivet af registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  Bemærk!

  Hvis du vil se brugerdefinerede placeringer, skal du se Fravalg af automatiske udeladelser.

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Procesudeladelser for indbyggede operativsystemfiler

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

Fravalg af automatiske udeladelser

I Windows Server 2016 og nyere udelukker de foruddefinerede udeladelser, der leveres af sikkerhedsintelligensopdateringer , kun standardstierne for en rolle eller funktion. Hvis du har installeret en rolle eller funktion i en brugerdefineret sti, eller du vil styre sættet af udeladelser manuelt, skal du sørge for at fravælge de automatiske udeladelser, der leveres i Opdateringer til Security Intelligence. Men husk på, at de undtagelser, der leveres automatisk, er optimeret til Windows Server 2016 og nyere. Se Vigtige punkter om undtagelser, før du definerer dine udeladelseslister .

Advarsel

Hvis du fravalger automatiske undtagelser, kan det påvirke ydeevnen negativt eller medføre beskadigelse af data. Automatiske udeladelser af serverroller er optimeret til Windows Server 2016, Windows Server 2019 og Windows Server 2022.

Da foruddefinerede udeladelser kun udelader standardstier, skal du tilføje udeladelser manuelt, hvis du flytter NTDS- og SYSVOL-mapper til et andet drev eller en anden sti end den oprindelige sti. Se Konfigurer listen over undtagelser baseret på mappenavn eller filtypenavn.

Du kan deaktivere de automatiske udeladelseslister med Gruppepolitik, PowerShell-cmdlet'er og WMI.

Brug Gruppepolitik til at deaktivere listen med automatisk udeladelser på Windows Server 2016, Windows Server 2019 og Windows Server 2022

1. Åbn administrationskonsollen for gruppepolitik på din computer til administration af gruppepolitik. Højreklik på det gruppepolitikobjekt, du vil konfigurere, og vælg derefter Rediger.

2. I editoren til administration af gruppepolitik skal du gå til Computerkonfiguration og derefter vælge Administrative skabeloner.

3. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Exclusions.

4. Dobbeltklik på Slå Automatisk udeladelse fra, og angiv indstillingen til Aktiveret. Vælg derefter OK.

Brug PowerShell-cmdlet'er til at deaktivere listen med automatisk udeladelser på Windows Server

Brug følgende cmdlet'er:

Set-MpPreference -DisableAutoExclusions $true

Du kan få mere at vide i følgende ressourcer:

• Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus.
• Brug PowerShell sammen med Microsoft Defender Antivirus.

Brug WMI (Windows Management Instruction) til at deaktivere listen over automatiske udeladelser på Windows Server

Brug metoden Set for klassen MSFT_MpPreference til følgende egenskaber:

DisableAutoExclusions

Du kan få flere oplysninger og tilladte parametre under:

• Windows Defender WMIv2-API'er

Definition af brugerdefinerede udeladelser

Hvis det er nødvendigt, kan du tilføje eller fjerne brugerdefinerede udeladelser. Det gør du ved at se følgende artikler:

• Konfigurer brugerdefinerede udeladelser for Microsoft Defender Antivirus
• Konfigurer og valider udeladelser baseret på filnavn, filtypenavn og mappeplacering
• Konfigurer og valider udeladelser for filer, der er åbnet af processer

Se også

• Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
• Almindelige fejl, der skal undgås, når du definerer udeladelser
• Tilpas, start og gennemse resultaterne af Microsoft Defender Antivirus-scanninger og -afhjælpning
• Microsoft Defender for Endpoint på Mac
• Microsoft Defender for Endpoint på Linux
• Konfigurer Defender for Endpoint på Android-funktioner
• Konfigurer Microsoft Defender for Endpoint på iOS-funktioner

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.