Delen via

Microsoft Defender Antivirus-uitsluitingen op Windows Server

  • Artikel

Van toepassing op:

Platforms

  • Windows Server

In dit artikel worden typen uitsluitingen beschreven die u niet hoeft te definiëren voor Microsoft Defender Antivirus:

Zie Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus voor een gedetailleerder overzicht van uitsluitingen.

Enkele belangrijke punten over uitsluitingen op Windows Server

  • Aangepaste uitsluitingen hebben voorrang op automatische uitsluitingen.
  • Automatische uitsluitingen zijn alleen van toepassing op scannen met realtime beveiliging (RTP).
  • Automatische uitsluitingen worden niet gehonoreerd tijdens een snelle scan, volledige scan en aangepaste scan.
  • Aangepaste en dubbele uitsluitingen komen niet in conflict met automatische uitsluitingen.
  • Microsoft Defender Antivirus maakt gebruik van de DISM-hulpprogramma's (Deployment Image Servicing and Management) om te bepalen welke rollen op uw computer zijn geïnstalleerd.
  • Er moeten geschikte uitsluitingen worden ingesteld voor software die niet is opgenomen in het besturingssysteem.
  • Windows Server 2012 R2 heeft Microsoft Defender Antivirus niet als installeerbare functie. Wanneer u deze servers onboardt bij Defender voor Eindpunt, installeert u Microsoft Defender Antivirus en worden standaarduitsluitingen voor besturingssysteembestanden toegepast. Uitsluitingen voor serverfuncties (zoals hieronder aangegeven) worden echter niet automatisch toegepast en u moet deze uitsluitingen zo nodig configureren. Zie Windows-servers onboarden naar de Microsoft Defender for Endpoint-service voor meer informatie.
  • Ingebouwde uitsluitingen en automatische uitsluitingen voor serverfuncties worden niet weergegeven in de standaarduitsluitingslijsten die worden weergegeven in de App Windows-beveiliging.
  • De lijst met ingebouwde uitsluitingen in Windows wordt bijgewerkt naarmate het bedreigingslandschap verandert. In dit artikel vindt u een aantal, maar niet alle, ingebouwde en automatische uitsluitingen.

Automatische uitsluitingen van serverfuncties

In Windows Server 2016 of hoger hoeft u geen uitsluitingen voor serverfuncties te definiëren. Wanneer u een rol installeert op Windows Server 2016 of hoger, bevat Microsoft Defender Antivirus automatische uitsluitingen voor de serverfunctie en bestanden die worden toegevoegd tijdens het installeren van de rol.

Windows Server 2012 R2 biedt geen ondersteuning voor de functie voor automatische uitsluitingen. U moet expliciete uitsluitingen definiëren voor elke serverfunctie en software die wordt toegevoegd na de installatie van het besturingssysteem.

Belangrijk

  • Standaardlocaties kunnen afwijken van de locaties die in dit artikel worden beschreven.
  • Als u uitsluitingen wilt instellen voor software die niet is opgenomen als Windows-functie of serverfunctie, raadpleegt u de documentatie van de softwarefabrikant.

Automatische uitsluitingen zijn onder andere:

Hyper-V-uitsluitingen

De volgende tabel bevat de uitsluitingen van bestandstypen, mapuitsluitingen en procesuitsluitingen die automatisch worden geleverd wanneer u de Hyper-V-rol installeert.

Uitsluitingstype Details
Bestandstypen *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mappen %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processen %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-bestanden

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-uitsluitingen

In deze sectie worden de uitsluitingen vermeld die automatisch worden geleverd wanneer u Active Directory Domain Services (AD DS) installeert.

NTDS-databasebestanden

De databasebestanden worden opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

De AD DS-transactielogboekbestanden

De transactielogboekbestanden worden opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

De NTDS-werkmap

Deze map is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-serveruitsluitingen

In deze sectie vindt u de uitsluitingen die automatisch worden geleverd wanneer u de DHCP-serverfunctie installeert. De locaties van de DHCP-serverbestanden worden opgegeven door de parameters DatabasePath, DhcpLogFilePath en BackupDatabasePath in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-serveruitsluitingen

In deze sectie worden de bestands- en mapuitsluitingen en de procesuitsluitingen vermeld die automatisch worden geleverd wanneer u de DNS-serverfunctie installeert.

Bestands- en mapuitsluitingen voor de DNS-serverfunctie

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Uitsluitingen verwerken voor de DNS-serverfunctie

  • %systemroot%\System32\dns.exe

Uitsluitingen van bestands- en opslagservices

In deze sectie worden de bestands- en mapuitsluitingen vermeld die automatisch worden geleverd wanneer u de rol Bestands- en opslagservices installeert. De uitsluitingen die hieronder worden vermeld, bevatten geen uitsluitingen voor de clusteringrol.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

In deze sectie worden de uitsluitingen voor bestandstypen, mapuitsluitingen en procesuitsluitingen vermeld die automatisch worden geleverd wanneer u de functie Afdrukserver installeert.

Uitsluitingen van bestandstypen

  • *.shd
  • *.spl

Mapuitsluitingen

Deze map is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Uitsluitingen verwerken voor de afdrukserverfunctie

  • spoolsv.exe

Webserveruitsluitingen

In deze sectie vindt u de mapuitsluitingen en de procesuitsluitingen die automatisch worden geleverd wanneer u de webserverfunctie installeert.

Mapuitsluitingen

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Uitsluitingen verwerken voor de webserverfunctie

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Het scannen van bestanden in de map Sysvol\Sysvol of de map SYSVOL_DFSR\Sysvol uitschakelen

De huidige locatie van de Sysvol\Sysvol map of SYSVOL_DFSR\Sysvol en alle submappen is het reparse-doel van het bestandssysteem van de hoofdmap van de replicaset. De Sysvol\Sysvol mappen en SYSVOL_DFSR\Sysvol gebruiken standaard de volgende locaties:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Het pad naar de momenteel actieve SYSVOL wordt verwezen door de NETLOGON-share en kan worden bepaald door de naam van de SysVol-waarde in de volgende subsleutel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Sluit de volgende bestanden uit deze map en alle bijbehorende submappen:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services-uitsluitingen

In deze sectie vindt u de mapuitsluitingen die automatisch worden geleverd wanneer u de wsus-rol (Windows Server Update Services) installeert. De WSUS-map wordt opgegeven in de registersleutel HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Ingebouwde uitsluitingen

Omdat Microsoft Defender Antivirus is ingebouwd in Windows, zijn er geen uitsluitingen vereist voor besturingssysteembestanden in een versie van Windows.

Ingebouwde uitsluitingen zijn onder andere:

De lijst met ingebouwde uitsluitingen in Windows wordt bijgewerkt naarmate het bedreigingslandschap verandert.

Windows-bestanden 'temp.edb'

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update-bestanden of automatische updatebestanden

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows-beveiligingsbestanden

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Groepsbeleidsbestanden

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-bestanden

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Frs-uitsluitingen (File Replication Service)

  • Bestanden in de werkmap File Replication Service (FRS). De FRS-werkmap is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-databaselogboekbestanden. De map met het FRS-databaselogboekbestand is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • De map FRS-fasering. De faseringsmap wordt opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • De map FRS vooraf installeren. Deze map wordt opgegeven door de map Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • De DFSR-database (Distributed File System Replication) en de werkmappen. Deze mappen worden opgegeven door de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Opmerking

    Zie Afmelden voor automatische uitsluitingen voor aangepaste locaties.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Procesuitsluitingen voor ingebouwde besturingssysteembestanden

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Afmelden voor automatische uitsluitingen

In Windows Server 2016 en hoger sluiten de vooraf gedefinieerde uitsluitingen die worden geleverd door updates voor beveiligingsinformatie alleen de standaardpaden voor een functie of functie uit. Als u een rol of functie in een aangepast pad hebt geïnstalleerd of als u de set uitsluitingen handmatig wilt beheren, moet u ervoor zorgen dat u zich afmeldt voor de automatische uitsluitingen die worden geleverd in Updates voor beveiligingsinformatie. Houd er echter rekening mee dat de uitsluitingen die automatisch worden geleverd, zijn geoptimaliseerd voor Windows Server 2016 en hoger. Zie Belangrijke punten over uitsluitingen voordat u uw uitsluitingslijsten definieert.

Waarschuwing

Als u zich afmeldt voor automatische uitsluitingen, kan dit de prestaties nadelig beïnvloeden of leiden tot beschadiging van gegevens. Automatische uitsluitingen van serverfuncties zijn geoptimaliseerd voor Windows Server 2016, Windows Server 2019 en Windows Server 2022.

Omdat vooraf gedefinieerde uitsluitingen alleen standaardpaden uitsluiten, moet u uitsluitingen handmatig toevoegen als u NTDS- en SYSVOL-mappen verplaatst naar een ander station of pad dat verschilt van het oorspronkelijke pad. Zie De lijst met uitsluitingen configureren op basis van mapnaam of bestandsextensie.

U kunt de automatische uitsluitingslijsten uitschakelen met Groepsbeleid, PowerShell-cmdlets en WMI.

Groepsbeleid gebruiken om de lijst met automatische uitsluitingen uit te schakelen op Windows Server 2016, Windows Server 2019 en Windows Server 2022

  1. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer. Klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer bewerken.

  2. Ga in de Editor voor groepsbeleidsbeheer naar Computerconfiguratie en selecteer beheersjablonen.

  3. Vouw de structuur uit naar Windows-onderdelen>Microsoft DefenderAntivirus-uitsluitingen>.

  4. Dubbelklik op Automatische uitsluitingen uitschakelen en stel de optie in op Ingeschakeld. Selecteer vervolgens OK.

PowerShell-cmdlets gebruiken om de lijst met automatische uitsluitingen op Windows Server uit te schakelen

Gebruik de volgende cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Zie de volgende bronnen voor meer informatie:

Windows Management Instruction (WMI) gebruiken om de lijst met automatische uitsluitingen op Windows Server uit te schakelen

Gebruik de methode Set van de klasse MSFT_MpPreference voor de volgende eigenschappen:

DisableAutoExclusions

Zie voor meer informatie en toegestane parameters:

Aangepaste uitsluitingen definiëren

Indien nodig kunt u aangepaste uitsluitingen toevoegen of verwijderen. Zie de volgende artikelen om dit te doen:

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.