Del via


Vanlige feil du bør unngå når du definerer utelatelser

Gjelder for:

Plattformer

  • Windows
  • macOS
  • Linux

Viktig

Legg til utelatelser med forsiktighet. Unntak for Microsoft Defender Antivirus-skanninger reduserer beskyttelsesnivået for enheter.

Du kan definere en utelatelsesliste for elementer som du ikke vil at Microsoft Defender Antivirus skal skanne. Ekskluderte elementer kan imidlertid inneholde trusler som gjør enheten sårbar. Denne artikkelen beskriver noen vanlige feil som du bør unngå når du definerer utelatelser.

Tips

Før du definerer utelatelseslistene, kan du se Viktige punkter om utelatelser og se gjennom detaljert informasjon i Utelatelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Utelate bestemte klarerte elementer

Enkelte filer, filtyper, mapper eller prosesser bør ikke utelukkes fra skanning, selv om du stoler på at de ikke er skadelige. Ikke definer utelatelser for mappeplasseringer, filtyper og prosesser som er oppført i følgende deler:

Mappeplasseringer

Viktig

Enkelte mapper bør ikke utelukkes fra skanninger fordi de kan ende opp med å bli mapper der skadelige filer kan slippes.

Generelt sett må du ikke definere utelatelser for noen av følgende mappeplasseringer:

  • %systemdrive%
  • C:, C:\eller C:\*
  • %ProgramFiles%\Java eller C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\eller C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\eller C:\Temp\*
  • C:\Users\ eller C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ eller C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Legg merke til følgende viktige unntak for SharePoint: UtelatC:\Users\ServiceAccount\AppData\Local\Temp eller C:\Users\Default\AppData\Local\Temp når du bruker antivirusbeskyttelse på filnivå i SharePoint.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\eller C:\Windows\Prefetch\*
  • %Windir%\System32\Spool eller C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\eller C:\Windows\Temp\*

Linux- og macOS-plattformer

Generelt sett må du ikke definere utelatelser for følgende mappeplasseringer:

  • /
  • /bin eller /sbin
  • /usr/lib

Filtyper

Viktig

Enkelte filtyper bør ikke utelates fordi de kan være filtyper som brukes i et angrep.

Generelt sett må du ikke definere utelatelser for følgende filtyper:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko eller .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Prosesser

Viktig

Visse prosesser bør ikke utelukkes fordi de blir brukt under angrep.

Generelt sett må du ikke definere utelatelser for følgende prosesser:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Obs!

Du kan velge å utelate filtyper, for eksempel .gif, .jpg, .jpegeller .png hvis miljøet har en moderne, oppdatert programvare med en streng oppdateringspolicy for å håndtere eventuelle sikkerhetsproblemer.

Linux- og macOS-plattformer

Generelt sett må du ikke definere utelatelser for følgende prosesser:

  • bash
  • java
  • python og python3
  • sh
  • zsh

Bruke bare filnavnet i utelatelseslisten

Skadelig programvare kan ha samme navn som en fil som du stoler på og vil utelate fra skanning. Hvis du vil unngå å utelate potensiell skadelig programvare fra skanning, kan du derfor bruke en fullstendig kvalifisert bane til filen du vil utelate, i stedet for bare å bruke filnavnet. Hvis du for eksempel vil utelate Filename.exe fra skanning, kan du bruke den fullstendige banen til filen, for eksempel C:\program files\contoso\Filename.exe.

Bruke én enkelt utelatelsesliste for flere serverarbeidsbelastninger

Ikke bruk én enkelt utelatelsesliste til å definere utelatelser for flere serverarbeidsbelastninger. Del utelukkelsene for ulike program- eller tjenestearbeidsbelastninger i flere utelatelseslister. Utelatelseslisten for IIS Server-arbeidsbelastningen må for eksempel være forskjellig fra utelatelseslisten for SQL Server-arbeidsbelastningen.

Bruk av feil miljøvariabler som jokertegn i filnavnet og mappebanen eller listen over utvidelsesutelukkelser

Microsoft Defender Antivirus-tjenesten kjører i systemkontekst ved hjelp av LocalSystem-kontoen, noe som betyr at den henter informasjon fra systemmiljøvariabelen, og ikke fra brukermiljøvariabelen. Bruk av miljøvariabler som jokertegn i utelatelseslister er begrenset til systemvariabler og de som gjelder for prosesser som kjører som en NT AUTHORITY\SYSTEM-konto. Derfor bør du ikke bruke brukermiljøvariabler som jokertegn når du legger til Microsoft Defender Antivirus-mappen og behandler utelatelser. Se tabellen under Systemmiljøvariabler for en fullstendig liste over systemmiljøvariabler.

Se Bruke jokertegn i listene for filnavn og mappebane eller utvidelsesutelukkelse for informasjon om hvordan du bruker jokertegn i utelatelseslister.

Se også

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.