Del via

Microsoft Defender Antivirus-utelukkelser på Windows Server

  • Artikkel

Gjelder for:

Plattformer

  • Windows

Denne artikkelen beskriver typer utelatelser som du ikke trenger å definere for Microsoft Defender Antivirus:

Hvis du vil ha en mer detaljert oversikt over utelatelser, kan du se Administrere utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus.

Noen viktige punkter om utelukkelser på Windows Server

  • Egendefinerte utelatelser har forrang over automatiske utelatelser.
  • Automatiske utelatelser gjelder bare for skanning av sanntidsbeskyttelse (RTP ).
  • Automatiske utelatelser overholdes ikke under en rask skanning, fullstendig skanning og egendefinert skanning.
  • Egendefinerte og dupliserte utelatelser er ikke i konflikt med automatiske utelatelser.
  • Microsoft Defender Antivirus bruker dism-verktøyene (Deployment Image Servicing and Management) til å bestemme hvilke roller som er installert på datamaskinen.
  • Passende utelukkelser må angis for programvare som ikke er inkludert i operativsystemet.
  • Windows Server 2012 R2 har ikke Microsoft Defender Antivirus som en installerbar funksjon. Når du legger inn disse serverne i Defender for endepunkt, installerer du Microsoft Defender Antivirus, og standard utelukkelser for operativsystemfiler brukes. Utelukkelser for serverroller (som angitt nedenfor) gjelder imidlertid ikke automatisk, og du bør konfigurere disse utelukkelsene etter behov. Hvis du vil ha mer informasjon, kan du se Pålaste Windows-servere til Microsoft Defender for endepunkt-tjenesten.
  • Innebygde utelatelser og automatiske utelukkelser for serverrolle vises ikke i standard utelatelseslister som vises i Windows Sikkerhet-appen.
  • Listen over innebygde utelatelser i Windows holdes oppdatert når trussellandskapet endres. Denne artikkelen viser noen, men ikke alle, de innebygde og automatiske utelukkelsene.

Automatiske utelukkelser for serverrolle

På Windows Server 2016 eller nyere trenger du ikke å definere utelatelser for serverroller. Når du installerer en rolle på Windows Server 2016 eller nyere, inneholder Microsoft Defender Antivirus automatiske utelatelser for serverrollen og eventuelle filer som legges til mens du installerer rollen.

Windows Server 2012 R2 støtter ikke funksjonen for automatisk utelukkelse. Du må definere eksplisitte utelatelser for enhver serverrolle og eventuell programvare som legges til når du har installert operativsystemet.

Viktig

  • Standardplasseringer kan være forskjellig fra plasseringene som er beskrevet i denne artikkelen.
  • Hvis du vil angi utelatelser for programvare som ikke er inkludert som en Windows-funksjon eller serverrolle, kan du se dokumentasjonen fra programvareprodusenten.

Automatiske utelatelser inkluderer:

Hyper-V-utelatelser

Tabellen nedenfor viser utelukkelser for filtype, mappeutelukkelser og prosessutelukkelser som leveres automatisk når du installerer Hyper-V-rollen.

Utelatelsestype Detaljer
Filtyper *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mapper %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Prosesser %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-filer

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-utelatelser

Denne delen viser unntakene som leveres automatisk når du installerer Active Directory Domain Services (AD DS).

NTDS-databasefiler

Databasefilene er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS-transaksjonsloggfilene

Transaksjonsloggfilene er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS-arbeidsmappen

Denne mappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

UTELUKKELSER for DHCP-server

Denne delen viser unntakene som leveres automatisk når du installerer DHCP Server-rollen. Plasseringene til DHCP-serveren angis av parameterne DatabasePath, DhcpLogFilePath og BackupDatabasePath i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS Server-utelukkelser

Denne delen viser fil- og mappeutelukkelser og prosessutelukkelser som leveres automatisk når du installerer DNS Server-rollen.

Fil- og mappeutelukkelse for DNS Server-rollen

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Prosessutelukkelser for DNS Server-rollen

  • %systemroot%\System32\dns.exe

Utelukkelser for fil- og lagringstjenester

Denne delen viser fil- og mappeutelukkelser som leveres automatisk når du installerer rollen Fil- og lagringstjenester. Utelukkelsene som er oppført nedenfor, inkluderer ikke utelukkelser for klyngerollen.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Denne delen viser filtypeutelukkelser, mappeutelukkelser og prosessutelukkelser som leveres automatisk når du installerer Print Server-rollen.

Utelukkelser for filtype

  • *.shd
  • *.spl

Mappeutelukkelser

Denne mappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Behandle utelatelser for Print Server-rollen

  • spoolsv.exe

Utelukkelser for webserver

Denne delen viser mappeutelukkelsene og prosessutelukkelsene som leveres automatisk når du installerer webserverrollen.

Mappeutelukkelser

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Behandle utelatelser for webserverrollen

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Deaktivere skanning av filer i Sysvol\Sysvol-mappen eller SYSVOL_DFSR\Sysvol-mappen

Gjeldende plassering av Sysvol\Sysvol mappen og SYSVOL_DFSR\Sysvol alle undermappene er målet for filsystemets reanalysering av roten for replikasettet. Mappene Sysvol\Sysvol og SYSVOL_DFSR\Sysvol bruker følgende plasseringer som standard:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Banen til den aktive SYSVOL er referert av netlogon-delingen og kan bestemmes av SysVol-verdinavnet i følgende undernøkkel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Utelat følgende filer fra denne mappen og alle undermappene:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services utelukkelser

Denne delen viser mappeutelukkelser som leveres automatisk når du installerer rollen Windows Server Update Services (WSUS). WSUS-mappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Innebygde utelatelser

Fordi Microsoft Defender Antivirus er innebygd i Windows, krever det ikke utelukkelser for operativsystemfiler på noen versjon av Windows.

Innebygde utelatelser inkluderer:

Listen over innebygde utelatelser i Windows holdes oppdatert når trussellandskapet endres.

Windows Temp.edb-filer

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update filer eller filer for automatisk oppdatering

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows Sikkerhet filer

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

gruppepolicy filer

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-filer

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Utelukkelser for Filreplikeringstjeneste (FRS)

  • Filer i arbeidsmappen for Filreplikeringstjeneste (FRS). FRS-arbeidsmappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • Loggfiler for FRS-database. Loggfilmappen for FRS-databasen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • FRS-oppsamlingsmappen. Oppsamlingsmappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Forhåndsinstalleringsmappen for FRS. Denne mappen er angitt av mappen Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • DfSR-databasen (Distributed File System Replication) og arbeidsmapper. Disse mappene angis av registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Obs!

    Hvis du vil ha egendefinerte plasseringer, kan du se Velge bort automatiske utelatelser.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Prosessutelukkelser for innebygde operativsystemfiler

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Velge bort automatiske utelatelser

I Windows Server 2016 og nyere utelater de forhåndsdefinerte utelukkelsene som leveres av sikkerhetsintelligensoppdateringer bare standardbanene for en rolle eller funksjon. Hvis du installerte en rolle eller funksjon i en egendefinert bane, eller du vil kontrollere settet med utelatelser manuelt, må du sørge for å velge bort automatiske utelatelser som leveres i sikkerhetsanalyseoppdateringer. Men husk at utelukkelsene som leveres automatisk, er optimalisert for Windows Server 2016 og nyere. Se viktige punkter om utelatelser før du definerer utelatelseslistene.

Advarsel

Hvis du velger bort automatiske utelatelser, kan det påvirke ytelsen negativt, eller føre til skade på data. Automatiske utelukkelser for serverrolle er optimalisert for Windows Server 2016, Windows Server 2019 og Windows Server 2022.

Fordi forhåndsdefinerte utelatelser bare utelater standardbaner, må du legge til utelatelser manuelt hvis du flytter NTDS- og SYSVOL-mapper til en annen stasjon eller bane som er forskjellig fra den opprinnelige banen. Se Konfigurere listen over utelatelser basert på mappenavn eller filtype.

Du kan deaktivere de automatiske utelatelseslistene med gruppepolicy, PowerShell-cmdleter og WMI.

Bruk gruppepolicy til å deaktivere listen over automatiske utelatelser på Windows Server 2016, Windows Server 2019 og Windows Server 2022

  1. Åpne administrasjonskonsollen for gruppepolicy på gruppepolicy-administrasjonsdatamaskinen. Høyreklikk på gruppepolicy objektet du vil konfigurere, og velg deretter Rediger.

  2. Gå til Datamaskinkonfigurasjon i gruppepolicy Management Redaktør, og velg deretter Administrative maler.

  3. Utvid treet til Windows-komponenter>Microsoft Defenderantivirusutelukkelser>.

  4. Dobbeltklikk Slå av automatiske utelatelser, og angi alternativet aktivert. Velg deretter OK.

Bruk PowerShell-cmdleter til å deaktivere listen over automatiske utelatelser på Windows Server

Bruk følgende cmdleter:

Set-MpPreference -DisableAutoExclusions $true

Hvis du vil ha mer informasjon, kan du se følgende ressurser:

Bruk Windows Management Instruction (WMI) til å deaktivere listen over automatiske utelatelser på Windows Server

Bruk Angi-metoden for MSFT_MpPreference-klassen for følgende egenskaper:

DisableAutoExclusions

Hvis du vil ha mer informasjon og tillatte parametere, kan du se:

Definere egendefinerte utelatelser

Hvis det er nødvendig, kan du legge til eller fjerne egendefinerte utelatelser. Hvis du vil gjøre dette, kan du se følgende artikler:

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.