Aangepaste uitsluitingen configureren voor Microsoft Defender Antivirus

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender Antivirus

Platforms

• Windows

Over het algemeen hoeft u geen uitsluitingen te definiëren voor Microsoft Defender Antivirus. Indien nodig kunt u echter bestanden, mappen, processen en proces geopende bestanden uitsluiten van Microsoft Defender Antivirus-scans. Deze typen uitsluitingen worden aangepaste uitsluitingen genoemd. In dit artikel wordt beschreven hoe u aangepaste uitsluitingen definieert voor Microsoft Defender Antivirus met Microsoft Intune en bevat koppelingen naar andere bronnen voor meer informatie.

Aangepaste uitsluitingen zijn van toepassing op geplande scans, scans op aanvraag en always-on realtime-beveiliging en bewaking. Uitsluitingen voor door het proces geopende bestanden zijn alleen van toepassing op realtime-beveiliging.

Tip

Zie Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus voor een gedetailleerd overzicht van onderdrukkingen, inzendingen en uitsluitingen in Microsoft Defender Antivirus en Defender voor Eindpunt.

Uitsluitingen configureren en valideren

Voorzichtigheid

Gebruik Microsoft Defender Antivirus-extensies spaarzaam. Lees de informatie in Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus.

Als u Microsoft Intune gebruikt om Microsoft Defender Antivirus of Microsoft Defender voor Eindpunt te beheren, gebruikt u de volgende procedures om uitsluitingen te definiëren:

• Antivirusuitsluitingen beheren in Intune (voor bestaand beleid)
• Creatie een nieuw antivirusbeleid met uitsluitingen in Intune

Als u een ander hulpprogramma gebruikt, zoals Configuration Manager of groepsbeleid, of als u meer gedetailleerde informatie wilt over aangepaste uitsluitingen, raadpleegt u deze artikelen:

• Uitsluitingen configureren en valideren op basis van bestandsextensie en maplocatie
• Uitsluitingen configureren voor bestanden die zijn geopend door processen

Antivirusuitsluitingen beheren in Intune (voor bestaand beleid)

1. Kies in het Microsoft Intune-beheercentrumde optie Antivirus voor eindpuntbeveiliging> en selecteer vervolgens een bestaand beleid. (Als u geen bestaand beleid hebt of als u een nieuw beleid wilt maken, gaat u naar Creatie een nieuw antivirusbeleid met uitsluitingen in Intune.)

2. Kies Eigenschappen en kies naast Configuratie-instellingen de optie Bewerken.

3. Vouw Microsoft Defender Antivirusuitsluitingen uit en geef vervolgens uw uitsluitingen op.

   • Uitgesloten extensies zijn uitsluitingen die u definieert op bestandsextensie. Deze extensies zijn van toepassing op elke bestandsnaam met de gedefinieerde extensie zonder het bestandspad of de map. Elk bestandstype in de lijst moet worden gescheiden door een | teken. Bijvoorbeeld lib|obj. Zie ExcludedExtensions voor meer informatie.
   • Uitgesloten paden zijn uitsluitingen die u definieert op basis van hun locatie (pad). Deze typen uitsluitingen worden ook wel bestands- en mapuitsluitingen genoemd. Scheid elk pad in de lijst met een | teken. Bijvoorbeeld C:\Example|C:\Example1. Zie ExcludedPaths voor meer informatie.
   • Uitgesloten processen zijn uitsluitingen voor bestanden die door bepaalde processen worden geopend. Scheid elk bestandstype in de lijst met een | teken. Bijvoorbeeld C:\Example. exe|C:\Example1.exe. Deze uitsluitingen zijn niet voor de werkelijke processen. Als u processen wilt uitsluiten, kunt u bestands- en mapuitsluitingen gebruiken. Zie ExcludedProcesses voor meer informatie.

4. Kies Beoordelen en opslaan en kies vervolgens Opslaan.

Creatie een nieuw antivirusbeleid met uitsluitingen in Intune

1. Kies in het Microsoft Intune-beheercentrumde optie Endpoint Security>Antivirus>+ Creatie Policy.

2. Selecteer een platform (zoals Windows 10, Windows 11 en Windows Server).

3. Selecteer bij ProfielMicrosoft Defender Antivirusuitsluitingen en kies vervolgens Creatie.

4. Geef in de stap Creatie profiel een naam en beschrijving op voor het profiel en kies volgende.

5. Geef op het tabblad Configuratie-instellingen uw antivirusuitsluitingen op en kies volgende.

   • Uitgesloten extensies zijn uitsluitingen die u definieert op bestandsextensie. Deze extensies zijn van toepassing op elke bestandsnaam met de gedefinieerde extensie zonder het bestandspad of de map. Scheid elk bestandstype in de lijst met een | teken. Bijvoorbeeld lib|obj. Zie ExcludedExtensions voor meer informatie.
   • Uitgesloten paden zijn uitsluitingen die u definieert op basis van hun locatie (pad). Deze typen uitsluitingen worden ook wel bestands- en mapuitsluitingen genoemd. Scheid elk pad in de lijst met een | teken. Bijvoorbeeld C:\Example|C:\Example1. Zie ExcludedPaths voor meer informatie.
   • Uitgesloten processen zijn uitsluitingen voor bestanden die door bepaalde processen worden geopend. Scheid elk bestandstype in de lijst met een | teken. Bijvoorbeeld C:\Example. exe|C:\Example1.exe. Deze uitsluitingen zijn niet voor de werkelijke processen. Als u processen wilt uitsluiten, kunt u bestands- en mapuitsluitingen gebruiken. Zie ExcludedProcesses voor meer informatie.

6. Als u bereiktags gebruikt in uw organisatie, geeft u op het tabblad Bereiktags op voor het beleid dat u maakt. (Zie Bereiktags.)

7. Geef op het tabblad Toewijzingen de gebruikers en groepen op waarop het beleid moet worden toegepast en kies volgende. (Zie Gebruikers- en apparaatprofielen toewijzen in Microsoft Intune als u hulp nodig hebt bij toewijzingen.)

8. Controleer op het tabblad Controleren en maken de instellingen en kies vervolgens Creatie.

Belangrijke punten over uitsluitingen

Als u uitsluitingen definieert, wordt de beveiliging van Microsoft Defender Antivirus verlaagd. U moet altijd de risico's evalueren die zijn gekoppeld aan het implementeren van uitsluitingen en u moet alleen bestanden uitsluiten die u zeker weet dat ze niet schadelijk zijn.

Uitsluitingen zijn rechtstreeks van invloed op de mogelijkheid voor Microsoft Defender Antivirus om gebeurtenissen te blokkeren, te herstellen of te inspecteren die betrekking hebben op de bestanden, mappen of processen die zijn toegevoegd aan de uitsluitingslijst. Aangepaste uitsluitingen kunnen van invloed zijn op functies die rechtstreeks afhankelijk zijn van de antivirus-engine (zoals bescherming tegen malware, bestands-IOC's en certificaat-IOC's). Procesuitsluitingen zijn ook van invloed op netwerkbeveiliging en regels voor het verminderen van kwetsbaarheid voor aanvallen. Met name een procesuitsluiting op elk platform zorgt ervoor dat netwerkbeveiliging en ASR geen verkeer kunnen inspecteren of regels kunnen afdwingen voor dat specifieke proces.

Houd rekening met de volgende punten wanneer u uitsluitingen definieert:

• Uitsluitingen zijn technisch gezien een hiaat in de bescherming. Houd rekening met al uw opties bij het definiëren van uitsluitingen. Zie Inzendingen, onderdrukkingen en uitsluitingen.

• Controleer de uitsluitingen regelmatig. Beperkingsbeperkingen opnieuw controleren en afdwingen als onderdeel van uw beoordelingsproces.

• Vermijd het definiëren van uitsluitingen in een poging proactief te zijn. Sluit bijvoorbeeld iets niet uit omdat u denkt dat het in de toekomst een probleem kan zijn. Gebruik uitsluitingen alleen voor specifieke problemen, zoals problemen met betrekking tot prestaties of toepassingscompatibiliteit die uitsluitingen kunnen verhelpen.

• Controleer en controleer wijzigingen in uw lijst met uitsluitingen. Uw beveiligingsteam moet context behouden over waarom een bepaalde uitsluiting is toegevoegd om verwarring later te voorkomen. Uw beveiligingsteam moet specifieke antwoorden kunnen geven op vragen over waarom uitsluitingen bestaan.

Antivirusuitsluitingen controleren op Exchange-systemen

Microsoft Exchange biedt ondersteuning voor integratie met de Antimalware Scan Interface (AMSI) sinds de kwartaal-Updates van juni 2021 voor Exchange (zie Windows-antivirussoftware uitvoeren op Exchange-servers). Het wordt ten zeerste aanbevolen om deze updates te installeren en ervoor te zorgen dat AMSI goed werkt. Zie Microsoft Defender Antivirus-beveiligingsinformatie en productupdates.

Veel organisaties sluiten de Exchange-directory's uit van antivirusscans om prestatieredenen. Microsoft raadt aan om Microsoft Defender antivirusuitsluitingen op Exchange-systemen te controleren en te beoordelen of uitsluitingen kunnen worden verwijderd zonder dat dit van invloed is op de prestaties in uw omgeving om het hoogste beveiligingsniveau te garanderen. Uitsluitingen kunnen worden beheerd met behulp van groepsbeleid, PowerShell of hulpprogramma's voor systeembeheer, zoals Microsoft Intune.

Als u Microsoft Defender Antivirus-uitsluitingen op een Exchange Server wilt controleren, voert u de opdracht Get-MpPreference uit vanaf een PowerShell-prompt met verhoogde bevoegdheid. (Zie Get-MpPreference.)

Als uitsluitingen voor de Exchange-processen en -mappen niet kunnen worden verwijderd, moet u er rekening mee houden dat het uitvoeren van een snelle scan in Microsoft Defender Antivirus de Exchange-mappen en -bestanden scant, ongeacht de uitsluitingen.

Zie ook

• Microsoft Defender antivirusuitsluitingen op Windows Server 2016 en hoger
• Veelvoorkomende fouten bij het definiëren van uitsluitingen voorkomen
• Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
• Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux
• Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt in macOS

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.