Konfigurer brugerdefinerede udeladelser for Microsoft Defender Antivirus

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows

Generelt bør du ikke behøver at definere undtagelser for Microsoft Defender Antivirus. Hvis det er nødvendigt, kan du dog udelade filer, mapper, processer og procesåbnede filer fra Microsoft Defender Antivirus-scanninger. Disse typer undtagelser kaldes brugerdefinerede udeladelser. I denne artikel beskrives det, hvordan du definerer brugerdefinerede udeladelser for Microsoft Defender Antivirus med Microsoft Intune og indeholder links til andre ressourcer for at få flere oplysninger.

Brugerdefinerede undtagelser gælder for planlagte scanninger, on-demand-scanninger og altid aktiveret beskyttelse og overvågning i realtid. Undtagelser for procesåbnede filer gælder kun for beskyttelse i realtid.

Tip

Du kan finde en detaljeret oversigt over undertrykkelse, indsendelser og udeladelser på tværs af Microsoft Defender Antivirus og Defender for Endpoint under Udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Konfigurer og valider udeladelser

Forsigtighed

Brug Microsoft Defender Antivirus-udvidelser sparsomt. Sørg for at gennemse oplysningerne i Administrer udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Hvis du bruger Microsoft Intune til at administrere Microsoft Defender Antivirus eller Microsoft Defender for Endpoint, skal du bruge følgende procedurer til at definere undtagelser:

• Administrer antivirusudeladelser i Intune (for eksisterende politikker)
• Create en ny antiviruspolitik med udeladelser i Intune

Hvis du bruger et andet værktøj, f.eks. Configuration Manager eller Gruppepolitik, eller hvis du vil have mere detaljerede oplysninger om brugerdefinerede undtagelser, skal du se disse artikler:

• Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering
• Konfigurer udeladelser for filer, der er åbnet af processer

Administrer antivirusudeladelser i Intune (for eksisterende politikker)

1. Vælg Endpoint security>Antivirusi Microsoft Intune Administration, og vælg derefter en eksisterende politik. Hvis du ikke har en eksisterende politik, eller du vil oprette en ny politik, skal du gå videre til Create en ny antiviruspolitik med udeladelser i Intune.

2. Vælg Egenskaber, og vælg Rediger ud for Konfigurationsindstillinger.

3. Udvid Microsoft Defender Antivirus Exclusions, og angiv derefter dine udeladelser.

   • Udeladte filtypenavne er undtagelser, som du definerer efter filtypenavn. Disse filtypenavne gælder for alle filnavne, der har det definerede filtypenavn uden filstien eller mappen. Adskil hver filtype på listen skal være adskilt med et | tegn. Det kunne f.eks. være lib|obj. Du kan få flere oplysninger under ExcludedExtensions.
   • Udeladte URL-adresser er undtagelser, som du definerer efter deres placering (sti). Disse typer undtagelser kaldes også fil- og mappeudeladelser. Adskil hver sti på listen med et | tegn. Det kunne f.eks. være C:\Example|C:\Example1. Du kan få flere oplysninger under ExcludedPaths.
   • Ekskluderede processer er udeladelser for filer, der er åbnet af bestemte processer. Adskil hver filtype på listen med et | tegn. Det kunne f.eks. være C:\Example. exe|C:\Example1.exe. Disse udeladelser er ikke til de faktiske processer. Hvis du vil udelade processer, kan du bruge fil- og mappeudeladelser. Du kan få flere oplysninger i ExcludedProcesses.

4. Vælg Gennemse + gem, og vælg derefter Gem.

Create en ny antiviruspolitik med udeladelser i Intune

1. Vælg Endpoint security>Antivirus>+ Create Policy iMicrosoft Intune Administration.

2. Vælg en platform (f.eks. Windows 10, Windows 11 og Windows Server).

3. For Profil skal du vælge Microsoft Defender Antivirus-udeladelser og derefter vælge Create.

4. På Create profiltrin skal du angive et navn og en beskrivelse til profilen og derefter vælge Næste.

5. Angiv dine antivirusudeladelser under fanen Konfigurationsindstillinger , og vælg derefter Næste.

   • Udeladte filtypenavne er undtagelser, som du definerer efter filtypenavn. Disse filtypenavne gælder for alle filnavne, der har det definerede filtypenavn uden filstien eller mappen. Adskil hver filtype på listen med et | tegn. Det kunne f.eks. være lib|obj. Du kan få flere oplysninger under ExcludedExtensions.
   • Udeladte URL-adresser er undtagelser, som du definerer efter deres placering (sti). Disse typer undtagelser kaldes også fil- og mappeudeladelser. Adskil hver sti på listen med et | tegn. Det kunne f.eks. være C:\Example|C:\Example1. Du kan få flere oplysninger under ExcludedPaths.
   • Ekskluderede processer er udeladelser for filer, der er åbnet af bestemte processer. Adskil hver filtype på listen med et | tegn. Det kunne f.eks. være C:\Example. exe|C:\Example1.exe. Disse udeladelser er ikke til de faktiske processer. Hvis du vil udelade processer, kan du bruge fil- og mappeudeladelser. Du kan få flere oplysninger i ExcludedProcesses.

6. Hvis du bruger områdekoder i din organisation under fanen Områdekoder , skal du angive områdekoder for den politik, du opretter. (Se Områdekoder).

7. Under fanen Tildelinger skal du angive de brugere og grupper, som politikken skal anvendes på, og derefter vælge Næste. Hvis du har brug for hjælp til tildelinger, skal du se Tildel bruger- og enhedsprofiler i Microsoft Intune.

8. Gennemse indstillingerne under fanen Gennemse + opret, og vælg derefter Create.

Vigtige punkter om undtagelser

Definition af udeladelser reducerer den beskyttelse, der tilbydes af Microsoft Defender Antivirus. Du bør altid evaluere de risici, der er forbundet med implementering af undtagelser, og du bør kun ekskludere filer, som du er sikker på ikke er skadelige.

Udeladelser påvirker direkte muligheden for, at Microsoft Defender Antivirus blokerer, afhjælper eller inspicerer hændelser, der er relateret til de filer, mapper eller processer, der føjes til listen over undtagelser. Brugerdefinerede udeladelser kan påvirke funktioner, der er direkte afhængige af antivirusprogrammet (f.eks. beskyttelse mod malware, fil-IOCs og certifikat-IOCs). Procesudeladelser påvirker også regler for netværksbeskyttelse og reduktion af angrebsoverfladen. En procesudeladelse på en hvilken som helst platform medfører specifikt, at netværksbeskyttelse og ASR ikke kan inspicere trafik eller gennemtvinge regler for den specifikke proces.

Vær opmærksom på følgende punkter, når du definerer undtagelser:

• Udelukkelser er teknisk set et beskyttelsesgab. Overvej alle dine muligheder, når du definerer udeladelser. Se Indsendelser, undertrykkelser og udeladelser.

• Gennemse med jævne mellemrum undtagelser. Kontrollér og gennemtving afhjælpninger igen som en del af din korrekturproces.

• Ideelt set skal du undgå at definere udeladelser i et forsøg på at være proaktiv. Du skal f.eks. ikke udelade noget, bare fordi du mener, at det kan være et problem i fremtiden. Brug kun undtagelser til specifikke problemer, f.eks. problemer, der vedrører ydeevne eller programkompatibilitet, som udeladelser kan afhjælpe.

• Gennemse og overvåg ændringer af listen over undtagelser. Dit sikkerhedsteam bør bevare konteksten omkring, hvorfor en bestemt udeladelse blev tilføjet for at undgå forvirring senere. Dit sikkerhedsteam bør kunne give specifikke svar på spørgsmål om, hvorfor der findes undtagelser.

Overvåg antivirusudeladelser på Exchange-systemer

Microsoft Exchange har understøttet integration med AMSI (Antimalware Scan Interface) siden juni 2021 Quarterly Opdateringer for Exchange (se Kørsel af Windows-antivirussoftware på Exchange-servere). Det anbefales på det kraftigste at installere disse opdateringer og sikre, at AMSI fungerer korrekt. Se Microsoft Defender Antivirus security intelligence og produktopdateringer.

Mange organisationer udelukker Exchange-mapperne fra antivirusscanninger af hensyn til ydeevnen. Microsoft anbefaler overvågning Microsoft Defender Antivirus-udeladelser på Exchange-systemer og vurdere, om udeladelser kan fjernes, uden at det påvirker ydeevnen i dit miljø, for at sikre det højeste beskyttelsesniveau. Udeladelser kan administreres ved hjælp af Gruppepolitik, PowerShell eller systemadministrationsværktøjer som Microsoft Intune.

Hvis du vil overvåge Microsoft Defender Antivirus-udeladelser på en Exchange Server, skal du køre kommandoen Get-MpPreference fra en PowerShell-prompt med administratorrettigheder. (Se Get-MpPreference.)

Hvis udeladelser ikke kan fjernes for Exchange-processer og -mapper, skal du huske på, at kørsel af en hurtig scanning i Microsoft Defender Antivirus scanner Exchange-mapper og -filer, uanset undtagelser.

Se også

• Microsoft Defender Antivirus-undtagelser på Windows Server 2016 og nyere
• Almindelige fejl, der skal undgås, når du definerer udeladelser
• Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
• Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på Linux
• Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på macOS

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.