Del via


Konfigurere og validere utelatelser basert på filtype og mappeplassering

Gjelder for:

Plattformer

  • Windows

Du kan definere utelatelser for Microsoft Defender Antivirus som gjelder for planlagte skanninger, skanninger ved behov og alltid på, sanntidsbeskyttelse og overvåking. Vanligvis trenger du ikke å bruke utelatelser. Hvis du trenger å bruke utelatelser, kan du velge blant følgende:

Viktig

Microsoft Defender Antivirus-utelukkelser gjelder for noen Microsoft Defender for endepunkt funksjoner, for eksempel regler for reduksjon av angrepsoverflaten. Noen Microsoft Defender antivirusutelukkelser gjelder for noen ASR-regelutelukker. Se referanse til regler for reduksjon av angrepsoverflaten – Microsoft Defender Antivirus-utelukkelser og ASR-regler. Filer som du utelater ved hjelp av metodene som er beskrevet i denne artikkelen, kan fortsatt utløse GJENKJENNINGS- og svarvarsler for endepunkt (EDR) og andre gjenkjenninger. Hvis du vil utelate filer bredt, legger du dem til i Microsoft Defender for endepunkt egendefinerte indikatorer.

Før du starter

Se anbefalinger for å definere utelatelser før du definerer utelatelseslistene.

Utelatelseslister

Hvis du vil utelate bestemte filer fra Microsoft Defender antivirusskanninger, endrer du utelatelseslistene. Microsoft Defender Antivirus inneholder mange automatiske utelatelser basert på kjente virkemåter for operativsystemet og vanlige administrasjonsfiler, for eksempel de som brukes i bedriftsadministrasjon, databasebehandling og andre bedriftsscenarioer og situasjoner.

Obs!

Unntak gjelder også for potensielt uønskede apper (PUA)-gjenkjenninger . Automatiske utelatelser gjelder bare for Windows Server 2016 og nyere. Disse utelukkelsene er ikke synlige i Windows Sikkerhet-appen og i PowerShell.

Tabellen nedenfor viser noen eksempler på utelatelser basert på filtype og mappeplassering.

Utelukkelse Eksempler Utelatelsesliste
Alle filer med en bestemt filtype Alle filer med den angitte filtypen, hvor som helst på maskinen.

Gyldig syntaks: .test og test
Utvidelsesutelukkelser
Alle filer under en bestemt mappe Alle filer under c:\test\sample mappen Fil- og mappeutelukkelse
En bestemt fil i en bestemt mappe Bare filen c:\sample\sample.test Fil- og mappeutelukkelse
En bestemt prosess Den kjørbare filen c:\test\process.exe Fil- og mappeutelukkelse

Kjennetegn på utelatelseslister

  • Mappeutelukkelser gjelder for alle filer og mapper under denne mappen, med mindre undermappen er et reanalyseringspunkt. Undermapper for reanalysering må utelates separat.
  • Filtyper gjelder for alle filnavn med den definerte filtypen hvis en bane eller mappe ikke er definert.

Viktige merknader om utelatelser basert på filtyper og mappeplasseringer

  • Bruk av jokertegn som stjerne (*) endrer hvordan utelukkelsesregler tolkes. Se delen Bruke jokertegn i listene for filnavn og mappebane eller utvidelsesutelukkelse for viktig informasjon om hvordan jokertegn fungerer.

  • Ikke utelat tilordnede nettverksstasjoner. Angi den faktiske nettverksbanen.

  • Mapper som er reanalyseringspunkter opprettes etter at antivirustjenesten Microsoft Defender starter, og de som ble lagt til i utelatelseslisten, er ikke inkludert. Start tjenesten på nytt ved å starte Windows på nytt for at nye reanalyseringspunkter skal gjenkjennes som et gyldig utelukkelsesmål.

  • Utelukkelser gjelder for planlagte skanninger, behovsbetingede skanninger og sanntidsbeskyttelse, men ikke på tvers av alle Defender for Endpoint-funksjoner. Hvis du vil definere utelatelser på tvers av Defender for endepunkt, kan du bruke egendefinerte indikatorer.

  • Som standard slås lokale endringer i listene (av brukere med administratorrettigheter, inkludert endringer gjort med PowerShell og WMI) sammen med listene som definert (og distribuert) av gruppepolicy, Configuration Manager eller Intune. De gruppepolicy listene har forrang når det er konflikter. I tillegg er endringer i utelatelseslister som er gjort med gruppepolicy, synlige i Windows Sikkerhet-appen.

  • Hvis du vil tillate lokale endringer for å overstyre innstillinger for administrert distribusjon, kan du konfigurere hvordan lister over lokalt og globalt definerte utelatelser slås sammen.

Konfigurere listen over utelatelser basert på mappenavn eller filtype

Du kan velge blant flere metoder for å definere utelatelser for Microsoft Defender Antivirus.

Bruk Intune til å konfigurere utelukkelser for filnavn, mappe eller filtype

Se følgende artikler:

Bruk Configuration Manager til å konfigurere utelukkelser for filnavn, mappe eller filtype

Se hvordan du oppretter og distribuerer policyer for beskyttelse mot skadelig programvare: Utelatelsesinnstillinger for mer informasjon om hvordan du konfigurerer Microsoft Configuration Manager (gjeldende gren).

Bruk gruppepolicy til å konfigurere utelukkelser for mappe eller filtype

Obs!

Hvis du angir en fullstendig bane til en fil, utelates bare denne filen. Hvis en mappe er definert i utelukkelsen, utelates alle filer og undermapper under denne mappen.

  1. Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy-administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og velg deretter Rediger.

  2. Gå til Datamaskinkonfigurasjon i gruppepolicy Management Redaktør, og velg Administrative maler.

  3. Utvid treet til Windows-komponenter>Microsoft Defenderantivirusutelukkelser>.

  4. Åpne innstillingen for baneutelukkelse for redigering, og legg til utelatelsene.

    1. Angi alternativet aktivert.
    2. Velg Vis under Alternativer.
    3. Angi hver mappe på sin egen linje under Verdinavn-kolonnen .
    4. Hvis du angir en fil, må du kontrollere at du angir en fullstendig bane til filen, inkludert stasjonsbokstaven, mappebanen, filnavnet og filtypen.
    5. Skriv inn 0 i Verdi-kolonnen .
  5. Velg OK.

  6. Åpne innstillingen for utvidelsesutelukkelse for redigering og legg til utelatelser.

    1. Angi alternativet aktivert.
    2. Velg Vis under Alternativer.
    3. Skriv inn hver filtype på sin egen linje under Verdinavn-kolonnen .
    4. Skriv inn 0 i Verdi-kolonnen .
  7. Velg OK.

Bruk PowerShell-cmdleter til å konfigurere utelukkelser for filnavn, mappe eller filtype

Hvis du bruker PowerShell til å legge til eller fjerne utelatelser for filer basert på filtypen, plasseringen eller filnavnet, må du bruke en kombinasjon av tre cmdleter og riktig parameter for utelatelsesliste. Cmdletene er alle i Defender-modulen.

Formatet for cmdletene er som følger:

<cmdlet> -<exclusion list> "<item>"

Tabellen nedenfor viser cmdleter som du kan bruke i den <cmdlet> delen av PowerShell-cmdleten:

Konfigurasjonshandling PowerShell-cmdlet
Opprett eller overskrive listen Set-MpPreference
Legg til i listen Add-MpPreference
Fjern element fra listen Remove-MpPreference

Tabellen nedenfor viser verdier som du kan bruke i delen <exclusion list> av PowerShell-cmdleten:

Utelatelsestype PowerShell-parameter
Alle filer med en angitt filtype -ExclusionExtension
Alle filer under en mappe (inkludert filer i undermapper) eller en bestemt fil -ExclusionPath

Viktig

Hvis du har opprettet en liste, enten med Set-MpPreference eller Add-MpPreference, overskriver den eksisterende listen ved hjelp av Set-MpPreference cmdleten på nytt.

Følgende kodesnutt vil for eksempel føre til at Microsoft Defender antivirusskanninger utelater alle filer med .test filtypen:

Add-MpPreference -ExclusionExtension ".test"

Bruk Windows Management Instrumentation (WMI) til å konfigurere utelukkelser for filnavn, mappe eller filtype

Bruk metodene Angi, Legg til og Fjern for MSFT_MpPreference-klassen for følgende egenskaper:

ExclusionExtension
ExclusionPath

Bruk av Set, Add og Remove er analogt med kolleger i PowerShell: Set-MpPreference, Add-MpPreferenceog Remove-MpPreference.

Tips

Hvis du vil ha mer informasjon, kan du se Windows Defender WMIv2 API-er.

Bruk Windows Sikkerhet-appen til å konfigurere utelukkelser for filnavn, mappe eller filtype

Se Legge til utelatelser i Windows Sikkerhet-appen for instruksjoner.

Bruke jokertegn i filnavnet og mappebanen eller listene over utvidelsesutelukkelser

Du kan bruke stjernevariablene *, spørsmålstegnet ?eller miljøvariablene (for eksempel %ALLUSERSPROFILE%) som jokertegn når du definerer elementer i listen over utelukkelser for filnavn eller mappebane. Måten disse jokertegnene tolkes på, er forskjellig fra vanlig bruk i andre apper og språk. Pass på å lese denne delen for å forstå de spesifikke begrensningene.

Viktig

Det finnes viktige begrensninger og bruksscenarioer for disse jokertegnene:

  • Miljøvariabelbruk er begrenset til maskinvariabler og de som gjelder for prosesser som kjører som en NT AUTHORITY\SYSTEM-konto.
  • Du kan bare bruke maksimalt seks jokertegn per oppføring.
  • Du kan ikke bruke jokertegn i stedet for en stasjonsbokstav.
  • En stjerne * i en mappeutelukkelse står på plass for én enkelt mappe. Bruk flere forekomster av \*\ til å angi flere nestede mapper med uspesifiserte navn.

Tabellen nedenfor beskriver hvordan jokertegn kan brukes, og inneholder noen eksempler.

Jokertegn Eksempler
* (stjerne)

I inkluderinger av filnavn og filtype erstatter stjernen et hvilket som helst antall tegn, og gjelder bare for filer i den siste mappen som er definert i argumentet.

I mappeutelukker erstatter stjernen én enkelt mappe. Bruk flere * med mappe skråstreker \ for å angi flere nestede mapper. Etter å ha samsvart med antall wild carded og navngitte mapper, er alle undermapper også inkludert.
C:\MyData\*.txt Inkluderer C:\MyData\notes.txt

C:\somepath\*\Data inneholder alle filer i C:\somepath\Archives\Data og undermappene og C:\somepath\Authorized\Data undermappene

C:\Serv\*\*\Backup inneholder alle filer i C:\Serv\Primary\Denied\Backup og undermappene og C:\Serv\Secondary\Allowed\Backup undermappene
? (spørsmålstegn)

I inkluderinger av filnavn og filtype erstatter spørsmålstegnet ett enkelt tegn og gjelder bare for filer i den siste mappen som er definert i argumentet.

I mappeutelukker erstatter spørsmålstegnet ett enkelt tegn i et mappenavn. Etter å ha samsvart med antall wild carded og navngitte mapper, er alle undermapper også inkludert.
C:\MyData\my?.zip Inkluderer C:\MyData\my1.zip

C:\somepath\?\Data inneholder alle filer i C:\somepath\P\Data og undermappene

C:\somepath\test0?\Data vil inkludere alle filer i C:\somepath\test01\Data og undermappene
Miljøvariabler

Den definerte variabelen fylles ut som en bane når utelukkelsen evalueres.
%ALLUSERSPROFILE%\CustomLogFiles vil inkludere C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Viktig

Hvis du blander et argument for filutelukkelse med et argument for mappeutelukkelse, stopper reglene ved filargumentet i den samsvarende mappen, og ser ikke etter filsamsvar i noen undermapper. Du kan for eksempel utelate alle filer som starter med «dato» i mappene c:\data\final\marked , og c:\data\review\marked ved å bruke regelargumentet c:\data\*\marked\date*. Dette argumentet samsvarer ikke med noen filer i undermapper under c:\data\final\marked eller c:\data\review\marked.

Systemmiljøvariabler

Tabellen nedenfor viser og beskriver miljøvariablene for systemkontoen.

Denne systemmiljøvariabelen... Omdirigerer til dette
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Se gjennom listen over utelatelser

Du kan hente elementene i utelatelseslisten ved hjelp av én av følgende metoder:

Viktig

Endringer i utelatelsesliste som gjøres med gruppepolicy, vises i listene over Windows Sikkerhet-appen. Endringer som gjøres i Windows Sikkerhet-appen, vises ikke i gruppepolicy-listene.

Hvis du bruker PowerShell, kan du hente listen på følgende to måter:

  • Hent statusen for alle Microsoft Defender antivirusinnstillinger. Hver liste vises på separate linjer, men elementene i hver liste kombineres i samme linje.
  • Skriv statusen for alle innstillingene til en variabel, og bruk variabelen til bare å kalle opp den bestemte listen du er interessert i. Hver bruk av Add-MpPreference er skrevet til en ny linje.

Valider utelatelseslisten ved hjelp av MpCmdRun

Hvis du vil kontrollere utelatelser med det dedikerte kommandolinjeverktøyet mpcmdrun.exe, bruker du følgende kommando:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Obs!

Kontroller unntak med MpCmdRun krever Microsoft Defender Antivirusversjon 4.18.2111-5.0 (utgitt i desember 2021) eller nyere.

Se gjennom listen over utelatelser sammen med alle andre antivirusinnstillinger for Microsoft Defender ved hjelp av PowerShell

Bruk følgende cmdlet:

Get-MpPreference

I eksemplet nedenfor er elementene i ExclusionExtension listen uthevet:

PowerShell-utdata for Get-MpPreference

Hvis du vil ha mer informasjon, kan du se Bruke PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender antivirus- og Defender Antivirus-cmdleter.

Hent en bestemt utelatelsesliste ved hjelp av PowerShell

Bruk følgende kodesnutt (skriv inn hver linje som en egen kommando), erstatt WDAVprefs med etiketten du vil gi navn til variabelen:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

I eksemplet nedenfor er listen delt inn i nye linjer for hver bruk av cmdleten Add-MpPreference :

PowerShell-utdata som bare viser oppføringene i utelatelseslisten

Hvis du vil ha mer informasjon, kan du se Bruke PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender antivirus- og Defender Antivirus-cmdleter.

Valider utelatelseslister med EICAR-testfilen

Du kan validere at utelatelseslistene fungerer ved hjelp av PowerShell med enten Invoke-WebRequest cmdlet- eller .NET WebClient-klassen for å laste ned en testfil.

I følgende PowerShell-kodesnutt erstatter test.txt du med en fil som overholder utelukkelsesreglene. Hvis du for eksempel har utelatt .testing utvidelsen, erstatter test.txt du med test.testing. Hvis du tester en bane, må du kontrollere at du kjører cmdleten i den banen.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Hvis Microsoft Defender antivirusrapporterer skadelig programvare, fungerer ikke regelen. Hvis det ikke finnes noen rapport om skadelig programvare og den nedlastede filen finnes, fungerer utelukkelsen. Du kan åpne filen for å bekrefte at innholdet er det samme som det som er beskrevet på nettstedet til EICAR-testfilen.

Du kan også bruke følgende PowerShell-kode, som kaller .NET WebClient-klassen for å laste ned testfilen – som med cmdleten Invoke-WebRequest , erstatt c:\test.txt med en fil som samsvarer med regelen du validerer:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Hvis du ikke har Internett-tilgang, kan du opprette din egen EICAR-testfil ved å skrive EICAR-strengen til en ny tekstfil med følgende PowerShell-kommando:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Du kan også kopiere strengen til en tom tekstfil og prøve å lagre den med filnavnet eller i mappen du prøver å utelate.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.