Microsoft Defender Antivirus-undtagelser på Windows Server

  • Artikel

Gælder for:

Platforme

  • Windows

I denne artikel beskrives typer af undtagelser, som du ikke behøver at definere for Microsoft Defender Antivirus:

Hvis du vil have en mere detaljeret oversigt over undtagelser, skal du se Administrer udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Et par vigtige punkter om undtagelser på Windows Server

  • Brugerdefinerede udeladelser har forrang frem for automatiske udeladelser.
  • Automatiske undtagelser gælder kun for RTP-scanning (real-time protection).
  • Automatiske undtagelser anvendes ikke under en hurtig scanning, fuld scanning og brugerdefineret scanning.
  • Brugerdefinerede og duplikerede udeladelser er ikke i konflikt med automatiske udeladelser.
  • Microsoft Defender Antivirus bruger DISM-værktøjer (Deployment Image Servicing and Management) til at bestemme, hvilke roller der er installeret på computeren.
  • Relevante undtagelser skal angives for software, der ikke er inkluderet i operativsystemet.
  • Windows Server 2012 R2 har ikke Microsoft Defender Antivirus som en installerbar funktion. Når du onboarder disse servere til Defender for Endpoint, skal du installere Microsoft Defender Antivirus, og der anvendes standardudeladelser for operativsystemfiler. Udeladelser for serverroller (som angivet nedenfor) gælder dog ikke automatisk, og du skal konfigurere disse udeladelser efter behov. Du kan få mere at vide under Onboarde Windows-servere til tjenesten Microsoft Defender for Endpoint.
  • Indbyggede udeladelser og automatiske udeladelser af serverroller vises ikke på de standardlister over undtagelser, der vises i Windows Sikkerhed-appen.
  • Listen over indbyggede undtagelser i Windows holdes opdateret, efterhånden som trusselslandskabet ændres. I denne artikel beskrives nogle, men ikke alle, af de indbyggede og automatiske udeladelser.

Automatiske udeladelser af serverroller

På Windows Server 2016 eller nyere skal du ikke definere udeladelser for serverroller. Når du installerer en rolle på Windows Server 2016 eller nyere, indeholder Microsoft Defender Antivirus automatiske udeladelser for serverrollen og eventuelle filer, der tilføjes under installationen af rollen.

Windows Server 2012 R2 understøtter ikke funktionen automatiske undtagelser. Du skal definere eksplicitte udeladelser for alle serverroller og software, der tilføjes efter installation af operativsystemet.

Vigtigt!

  • Standardplaceringer kan være anderledes end de placeringer, der er beskrevet i denne artikel.
  • Hvis du vil angive udeladelser for software, der ikke er inkluderet som en Windows-funktion eller serverrolle, skal du se softwareproducentens dokumentation.

Automatiske udeladelser omfatter:

Hyper-V-udeladelser

I følgende tabel vises de filtypeudeladelser, mappeudeladelser og procesudeladelser, der leveres automatisk, når du installerer Hyper-V-rollen.

Udeladelsestype Detaljerne
Filtyper *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mapper %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processer %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-filer

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-udeladelser

I dette afsnit vises de udeladelser, der leveres automatisk, når du installerer Active Directory-domæneservices (AD DS).

NTDS-databasefiler

Databasefilerne er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS-transaktionslogfilerne

Transaktionslogfilerne er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS-arbejdsmappen

Denne mappe er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-serverudeladelser

I dette afsnit vises de udeladelser, der leveres automatisk, når du installerer DHCP-serverrollen. DHCP-serverfilplaceringerne angives af parametrene DatabasePath, DhcpLogFilePath og BackupDatabasePath i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Udeladelser fra DNS-server

I dette afsnit vises de fil- og mappeudeladelser og de procesudeladelser, der leveres automatisk, når du installerer DNS-serverrollen.

Fil- og mappeudeladelser for DNS-serverrollen

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Behandl udeladelser for DNS-serverrollen

  • %systemroot%\System32\dns.exe

Undtagelser for fil- og lagertjenester

I dette afsnit vises de fil- og mappeudeladelser, der leveres automatisk, når du installerer rollen Fil- og lagertjenester. De undtagelser, der er angivet nedenfor, indeholder ikke udeladelser for klyngerollen.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

I dette afsnit vises de filtypeudeladelser, mappeudeladelser og procesudeladelser, der leveres automatisk, når du installerer rollen Udskriftsserver.

Undtagelser for filtype

  • *.shd
  • *.spl

Mappeudeladelser

Denne mappe er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Behandl udeladelser for rollen Udskriftsserver

  • spoolsv.exe

Webserverudeladelser

I dette afsnit vises de mappeudeladelser og procesudeladelser, der leveres automatisk, når du installerer rollen Webserver.

Mappeudeladelser

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Behandl udeladelser for rollen Webserver

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Deaktiver scanning af filer i mappen Sysvol\Sysvol eller mappen SYSVOL_DFSR\Sysvol

Den aktuelle placering af Sysvol\Sysvol mappen eller SYSVOL_DFSR\Sysvol og alle undermapperne er filsystemets genfortolkningsmål for replikasætroden. Mapperne Sysvol\Sysvol og SYSVOL_DFSR\Sysvol bruger som standard følgende placeringer:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Der refereres til stien til det aktive SYSVOL i øjeblikket af NETLOGON-sharet og kan bestemmes af værdien SysVol i følgende undernøgle: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Udelad følgende filer fra denne mappe og alle dens undermapper:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services undtagelser

I dette afsnit vises de mappeudeladelser, der leveres automatisk, når du installerer rollen Windows Server Update Services (WSUS). Mappen WSUS er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Indbyggede udeladelser

Da Microsoft Defender Antivirus er indbygget i Windows, kræver det ikke undtagelser for operativsystemfiler på nogen version af Windows.

Indbyggede udeladelser omfatter:

Listen over indbyggede undtagelser i Windows holdes opdateret, efterhånden som trusselslandskabet ændres.

Windows"temp.edb"-filer

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update filer eller filer med automatisk opdatering

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows Sikkerhed filer

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Gruppepolitik filer

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-filer

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Frs-udeladelser (File Replication Service)

  • Filer i frs-arbejdsmappen (File Replication Service). FRS-arbejdsmappen er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-databaselogfiler. Mappen med FRS-databaselogfilen er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Den midlertidige FRS-mappe. Den midlertidige mappe er angivet i registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Frs-forudinstallationsmappen. Denne mappe er angivet i mappen Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • DFSR-databasen (Distributed File System Replication) og arbejdsmapper. Disse mapper er angivet af registreringsdatabasenøglen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Bemærk!

    Hvis du vil se brugerdefinerede placeringer, skal du se Fravalg af automatiske udeladelser.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Procesudeladelser for indbyggede operativsystemfiler

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Fravalg af automatiske udeladelser

I Windows Server 2016 og nyere udelukker de foruddefinerede udeladelser, der leveres af sikkerhedsintelligensopdateringer , kun standardstierne for en rolle eller funktion. Hvis du har installeret en rolle eller funktion i en brugerdefineret sti, eller du vil styre sættet af udeladelser manuelt, skal du sørge for at fravælge de automatiske udeladelser, der leveres i Opdateringer til Security Intelligence. Men husk på, at de undtagelser, der leveres automatisk, er optimeret til Windows Server 2016 og nyere. Se Vigtige punkter om undtagelser, før du definerer dine udeladelseslister .

Advarsel

Hvis du fravalger automatiske undtagelser, kan det påvirke ydeevnen negativt eller medføre beskadigelse af data. Automatiske udeladelser af serverroller er optimeret til Windows Server 2016, Windows Server 2019 og Windows Server 2022.

Da foruddefinerede udeladelser kun udelader standardstier, skal du tilføje udeladelser manuelt, hvis du flytter NTDS- og SYSVOL-mapper til et andet drev eller en anden sti end den oprindelige sti. Se Konfigurer listen over undtagelser baseret på mappenavn eller filtypenavn.

Du kan deaktivere de automatiske udeladelseslister med Gruppepolitik, PowerShell-cmdlet'er og WMI.

Brug Gruppepolitik til at deaktivere listen over automatiske udeladelser på Windows Server 2016, Windows Server 2019 og Windows Server 2022

  1. Åbn administrationskonsollen for Gruppepolitik på administrationscomputeren til Gruppepolitik. Højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

  2. I Gruppepolitik Management-Editor gå til Computerkonfiguration, og vælg derefter Administrative skabeloner.

  3. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Exclusions.

  4. Dobbeltklik på Slå Automatisk udeladelse fra, og angiv indstillingen til Aktiveret. Vælg derefter OK.

Brug PowerShell-cmdlet'er til at deaktivere listen med automatisk udeladelser på Windows Server

Brug følgende cmdlet'er:

Set-MpPreference -DisableAutoExclusions $true

Du kan få mere at vide i følgende ressourcer:

Brug WMI (Windows Management Instruction) til at deaktivere listen over automatiske udeladelser på Windows Server

Brug metoden Set for klassen MSFT_MpPreference til følgende egenskaber:

DisableAutoExclusions

Du kan få flere oplysninger og tilladte parametre under:

Definition af brugerdefinerede udeladelser

Hvis det er nødvendigt, kan du tilføje eller fjerne brugerdefinerede udeladelser. Det gør du ved at se følgende artikler:

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.