Konfigurere egendefinerte utelatelser for Microsoft Defender Antivirus
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender Antivirus
Plattformer
- Windows
Generelt sett trenger du ikke å definere utelatelser for Microsoft Defender Antivirus. Hvis det er nødvendig, kan du imidlertid utelate filer, mapper, prosesser og prosessåpnede filer fra Microsoft Defender Antivirus-skanninger. Disse typene utelatelser kalles egendefinerte utelatelser. Denne artikkelen beskriver hvordan du definerer egendefinerte utelatelser for Microsoft Defender Antivirus med Microsoft Intune og inneholder koblinger til andre ressurser for mer informasjon.
Egendefinerte unntak gjelder for planlagte skanninger, behovsbetingede skanninger og alltid på sanntidsbeskyttelse og overvåking. Utelatelser for prosessåpne filer gjelder bare for sanntidsbeskyttelse.
Tips
Hvis du vil ha en detaljert oversikt over undertrykkelser, innsendinger og utelukkelser på tvers av Microsoft Defender Antivirus og Defender for endepunkt, kan du se Utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus.
Konfigurer og valider utelatelser
Forsiktig!
Bruk Microsoft Defender antivirusutvidelser på en sparsomt vis. Pass på å se gjennom informasjonen i Behandle utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus.
Hvis du bruker Microsoft Intune til å administrere Microsoft Defender Antivirus eller Microsoft Defender for endepunkt, kan du bruke følgende fremgangsmåter til å definere utelatelser:
- Behandle antivirusutelukker i Intune (for eksisterende policyer)
- Opprett en ny antiviruspolicy med unntak i Intune
Hvis du bruker et annet verktøy, for eksempel Configuration Manager eller gruppepolicy, eller hvis du vil ha mer detaljert informasjon om egendefinerte utelatelser, kan du se disse artiklene:
- Konfigurere og validere utelatelser basert på filtype og mappeplassering
- Konfigurere utelatelser for filer som åpnes av prosesser
Behandle antivirusutelukker i Intune (for eksisterende policyer)
Velg Endpoint Security>Antivirus i administrasjonssenteret for Microsoft Intune, og velg deretter en eksisterende policy. (Hvis du ikke har en eksisterende policy, eller du vil opprette en ny policy, kan du hoppe til Opprett en ny antiviruspolicy med unntak i Intune.)
Velg Egenskaper, og velg Rediger ved siden av Konfigurasjonsinnstillinger.
Utvid Microsoft Defender antivirusutelukkelser, og angi deretter utelukkelsene dine.
-
Utelatte filtyper er unntak som du definerer etter filtype. Disse filtypene gjelder for alle filnavn som har den definerte filtypen uten filbanen eller mappen. Skill hver filtype i listen må skilles med et
|tegn. For eksempellib|obj. Hvis du vil ha mer informasjon, kan du se ExcludedExtensions. -
Utelatte baner er utelatelser som du definerer etter plassering (bane). Disse typene utelatelser kalles også for fil- og mappeunntak. Skill hver bane i listen med et
|tegn. For eksempelC:\Example|C:\Example1. Hvis du vil ha mer informasjon, kan du se ExcludedPaths. -
Utelatte prosesser er utelatelser for filer som åpnes av bestemte prosesser. Skill hver filtype i listen med et
|tegn. For eksempelC:\Example. exe|C:\Example1.exe. Disse utelukkelsene gjelder ikke for de faktiske prosessene. Hvis du vil utelate prosesser, kan du bruke fil- og mappeutelukkelser. Hvis du vil ha mer informasjon, kan du se ExcludedProcesses.
-
Utelatte filtyper er unntak som du definerer etter filtype. Disse filtypene gjelder for alle filnavn som har den definerte filtypen uten filbanen eller mappen. Skill hver filtype i listen må skilles med et
Velg Se gjennom + lagre, og velg deretter Lagre.
Opprett en ny antiviruspolicy med unntak i Intune
Velg endepunktsikkerhet>> antivirus+ Opprett policy i administrasjonssenteret for Microsoft Intune.
Velg en plattform (for eksempel Windows 10, Windows 11 og Windows Server).
Velg Microsoft Defender antivirusutelukkelse forProfil, og velg deretter Opprett.
Angi et navn og en beskrivelse for profilen på profiltrinnet Opprett, og velg deretter Neste.
Angi antivirusutelukkelser på fanen Konfigurasjonsinnstillinger , og velg deretter Neste.
-
Utelatte filtyper er unntak som du definerer etter filtype. Disse filtypene gjelder for alle filnavn som har den definerte filtypen uten filbanen eller mappen. Skill hver filtype i listen med et
|tegn. For eksempellib|obj. Hvis du vil ha mer informasjon, kan du se ExcludedExtensions. -
Utelatte baner er utelatelser som du definerer etter plassering (bane). Disse typene utelatelser kalles også for fil- og mappeunntak. Skill hver bane i listen med et
|tegn. For eksempelC:\Example|C:\Example1. Hvis du vil ha mer informasjon, kan du se ExcludedPaths. -
Utelatte prosesser er utelatelser for filer som åpnes av bestemte prosesser. Skill hver filtype i listen med et
|tegn. For eksempelC:\Example. exe|C:\Example1.exe. Disse utelukkelsene gjelder ikke for de faktiske prosessene. Hvis du vil utelate prosesser, kan du bruke fil- og mappeutelukkelser. Hvis du vil ha mer informasjon, kan du se ExcludedProcesses.
-
Utelatte filtyper er unntak som du definerer etter filtype. Disse filtypene gjelder for alle filnavn som har den definerte filtypen uten filbanen eller mappen. Skill hver filtype i listen med et
Hvis du bruker omfangskoder i organisasjonen på fanen Omfangskoder , angir du omfangskoder for policyen du oppretter. (Se omfangskoder.)
Angi brukerne og gruppene som policyen skal brukes på, på Oppgaver-fanen , og velg deretter Neste. (Hvis du trenger hjelp med oppgaver, kan du se Tilordne bruker- og enhetsprofiler i Microsoft Intune.)
Se gjennom innstillingene på se gjennom + opprett-fanen, og velg deretter Opprett.
Viktige punkter om utelatelser
Definering av unntak reduserer beskyttelsen som tilbys av Microsoft Defender Antivirus. Du bør alltid vurdere risikoene som er knyttet til implementering av utelatelser, og du bør bare utelate filer som du er sikker på ikke er skadelige.
Utelukkelser påvirker direkte muligheten for Microsoft Defender Antivirus til å blokkere, utbedre eller undersøke hendelser relatert til filer, mapper eller prosesser som er lagt til i utelatelseslisten. Egendefinerte utelatelser kan påvirke funksjoner som er direkte avhengige av antivirusmotoren (for eksempel beskyttelse mot skadelig programvare, IOCer for filer og sertifikat-IOCer). Prosessutelukkelser påvirker også nettverksbeskyttelse og regler for reduksjon av angrepsoverflater. Nærmere bestemt fører en prosessutelukkelse på en hvilken som helst plattform til at nettverksbeskyttelse og ASR ikke kan undersøke trafikk eller håndheve regler for den bestemte prosessen.
Husk følgende punkter når du definerer utelatelser:
Unntak er teknisk sett et beskyttelsesgap. Vurder alle alternativene når du definerer utelatelser. Se innsendinger, undertrykkelser og utelatelser.
Se gjennom utelatelser med jevne mellomrom. Kontroller og fremtving begrensninger på nytt som en del av gjennomgangsprosessen.
Ideelt sett bør du unngå å definere utelukkelser i et forsøk på å være proaktiv. Du må for eksempel ikke utelukke noe bare fordi du tror det kan være et problem i fremtiden. Bruk bare utelatelser for bestemte problemer, for eksempel de som gjelder ytelse eller programkompatibilitet som utelukkelser kan redusere.
Se gjennom og overvåk endringer i listen over utelatelser. Sikkerhetsteamet bør bevare konteksten rundt hvorfor en bestemt utelukkelse ble lagt til for å unngå forvirring senere. Sikkerhetsteamet skal kunne gi spesifikke svar på spørsmål om hvorfor unntak finnes.
Overvåk antivirusutelukkelse på Exchange-systemer
Microsoft Exchange har støttet integrering med Antimalware Scan Interface (AMSI) siden juni 2021 kvartalsvise Oppdateringer for Exchange (se Kjøre Windows antivirusprogramvare på Exchange-servere). Det anbefales på det sterkeste å installere disse oppdateringene og sørge for at AMSI fungerer som det skal. Se Microsoft Defender antivirussikkerhetsintelligens og produktoppdateringer.
Mange organisasjoner utelater Exchange-kataloger fra antivirusskanninger av ytelsesårsaker. Microsoft anbefaler at du overvåker Microsoft Defender Antivirus-utelukkelser på Exchange-systemer og vurderer om utelukkelser kan fjernes uten å påvirke ytelsen i miljøet ditt for å sikre det høyeste beskyttelsesnivået. Utelatelser kan administreres ved hjelp av verktøy for gruppepolicy, PowerShell eller systemadministrasjon, for eksempel Microsoft Intune.
Hvis du vil overvåke Microsoft Defender antivirusutelukker på en Exchange Server, kjører du Kommandoen Get-MpPreference fra en hevet PowerShell-ledetekst. (Se Get-MpPreference.)
Hvis utelatelser ikke kan fjernes for Exchange-prosesser og -mapper, må du huske på at det å kjøre en rask skanning i Microsoft Defender Antivirus skanner Exchange-katalogene og -filene, uavhengig av unntak.
Se også
- Microsoft Defender Antivirus-utelukkelser på Windows Server 2016 og nyere
- Vanlige feil du bør unngå når du definerer utelatelser
- Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus
- Konfigurer og valider utelatelser for Microsoft Defender for endepunkt på Linux
- Konfigurere og validere utelatelser for Microsoft Defender for endepunkt på macOS
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.