Uitsluitingen configureren en valideren op basis van bestandsextensie en maplocatie

  • Artikel

Van toepassing op:

Platforms

  • Windows

U kunt uitsluitingen definiëren voor Microsoft Defender Antivirus die van toepassing zijn op geplande scans, scans op aanvraag en altijd ingeschakelde realtime-beveiliging en bewaking. Over het algemeen hoeft u geen uitsluitingen toe te passen. Als u wel uitsluitingen wilt toepassen, kunt u kiezen uit het volgende:

Belangrijk

Microsoft Defender Antivirus-uitsluitingen zijn van toepassing op sommige Microsoft Defender voor Eindpunt mogelijkheden, zoals regels voor het verminderen van kwetsbaarheid voor aanvallen. Sommige Microsoft Defender Antivirus-uitsluitingen zijn van toepassing op sommige ASR-regeluitsluitingen. Zie Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen - Microsoft Defender Antivirusuitsluitingen en ASR-regels. Bestanden die u uitsluit met behulp van de methoden die in dit artikel worden beschreven, kunnen nog steeds EDR-waarschuwingen (Endpoint Detection and Response) en andere detecties activeren. Als u bestanden globaal wilt uitsluiten, voegt u ze toe aan de Microsoft Defender voor Eindpunt aangepaste indicatoren.

Voordat u begint

Zie Aanbevelingen voor het definiëren van uitsluitingen voordat u uw uitsluitingslijsten definieert.

Uitsluitingslijsten

Als u bepaalde bestanden wilt uitsluiten van Microsoft Defender Antivirusscans, wijzigt u uw uitsluitingslijsten. Microsoft Defender Antivirus bevat veel automatische uitsluitingen op basis van bekend gedrag van het besturingssysteem en typische beheerbestanden, zoals bestanden die worden gebruikt in ondernemingsbeheer, databasebeheer en andere bedrijfsscenario's en situaties.

Opmerking

Uitsluitingen zijn ook van toepassing op detecties van mogelijk ongewenste apps (PUA). Automatische uitsluitingen zijn alleen van toepassing op Windows Server 2016 en hoger. Deze uitsluitingen zijn niet zichtbaar in de Windows-beveiliging-app en in PowerShell.

De volgende tabel bevat enkele voorbeelden van uitsluitingen op basis van de bestandsextensie en maplocatie.

Uitsluiting Voorbeelden Uitsluitingslijst
Elk bestand met een specifieke extensie Alle bestanden met de opgegeven extensie, overal op de computer.

Geldige syntaxis: .test en test		 Uitbreidingsuitsluitingen
Elk bestand onder een specifieke map Alle bestanden in de c:\test\sample map Uitsluitingen van bestanden en mappen
Een specifiek bestand in een specifieke map Alleen het bestand c:\sample\sample.test Uitsluitingen van bestanden en mappen
Een specifiek proces Het uitvoerbare bestand c:\test\process.exe Uitsluitingen van bestanden en mappen

Kenmerken van uitsluitingslijsten

  • Mapuitsluitingen zijn van toepassing op alle bestanden en mappen in die map, tenzij de submap een reparsepunt is. Submappen voor reparsepunten moeten afzonderlijk worden uitgesloten.
  • Bestandsextensies zijn van toepassing op elke bestandsnaam met de gedefinieerde extensie als er geen pad of map is gedefinieerd.

Belangrijke opmerkingen over uitsluitingen op basis van bestandsextensies en maplocaties

  • Het gebruik van jokertekens zoals het sterretje (*) verandert de manier waarop uitsluitingsregels worden geïnterpreteerd. Zie de sectie Jokertekens gebruiken in de bestandsnaam en mappad of uitsluitingslijsten voor extensies voor belangrijke informatie over de werking van jokertekens.

  • Sluit toegewezen netwerkstations niet uit. Geef het werkelijke netwerkpad op.

  • Mappen die reparsepunten zijn, worden gemaakt nadat de Microsoft Defender Antivirus-service is gestart en mappen die aan de uitsluitingslijst zijn toegevoegd, worden niet opgenomen. Start de service opnieuw door Windows opnieuw te starten om nieuwe reparsepunten te herkennen als een geldig uitsluitingsdoel.

  • Uitsluitingen zijn van toepassing op geplande scans, scans op aanvraag en realtime-beveiliging, maar niet voor alle Defender for Endpoint-mogelijkheden. Gebruik aangepaste indicatoren om uitsluitingen in Defender voor Eindpunt te definiëren.

  • Standaard worden lokale wijzigingen in de lijsten (door gebruikers met beheerdersbevoegdheden, inclusief wijzigingen die zijn aangebracht met PowerShell en WMI) samengevoegd met de lijsten zoals gedefinieerd (en geïmplementeerd) door groepsbeleid, Configuration Manager of Intune. De groepsbeleid lijsten hebben voorrang wanneer er conflicten zijn. Bovendien zijn wijzigingen in de uitsluitingslijst die zijn aangebracht met groepsbeleid zichtbaar in de Windows-beveiliging-app.

  • Als u wilt toestaan dat lokale wijzigingen beheerde implementatie-instellingen overschrijven, configureert u hoe lokaal en globaal gedefinieerde uitsluitingslijsten worden samengevoegd.

De lijst met uitsluitingen configureren op basis van mapnaam of bestandsextensie

U kunt kiezen uit verschillende methoden om uitsluitingen voor Microsoft Defender Antivirus te definiëren.

Gebruik Intune om uitsluitingen voor bestandsnaam, map of bestandsextensie te configureren

Zie de volgende artikelen:

Gebruik Configuration Manager om uitsluitingen voor bestandsnaam, map of bestandsextensie te configureren

Zie Antimalwarebeleid maken en implementeren: Uitsluitingsinstellingen voor meer informatie over het configureren van Microsoft Configuration Manager (current branch).

Gebruik groepsbeleid om uitsluitingen voor mappen of bestandsextensies te configureren

Opmerking

Als u een volledig gekwalificeerd pad naar een bestand opgeeft, wordt alleen dat bestand uitgesloten. Als een map is gedefinieerd in de uitsluiting, worden alle bestanden en submappen onder die map uitgesloten.

  1. Open op uw computer voor groepsbeleidsbeheer de Groepsbeleidsbeheerconsole, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer vervolgens Bewerken.

  2. Ga in de groepsbeleid Beheer Editor naar Computerconfiguratie en selecteer Beheersjablonen.

  3. Vouw de structuur uit naar Windows-onderdelen> Microsoft DefenderAntivirusuitsluitingen>.

  4. Open de instelling Paduitsluitingen voor bewerken en voeg uw uitsluitingen toe.

    1. Stel de optie in op Ingeschakeld.
    2. Selecteer in de sectie Optiesde optie Weergeven.
    3. Geef elke map op een eigen regel op onder de kolom Waardenaam .
    4. Als u een bestand opgeeft, moet u ervoor zorgen dat u een volledig gekwalificeerd pad naar het bestand invoert, inclusief de stationsletter, het mappad, de bestandsnaam en de extensie.
    5. Voer 0 in de kolom Waarde in.

  5. Kies OK.

  6. Open de instelling Uitbreidingsuitsluitingen om te bewerken en voeg uw uitsluitingen toe.

    1. Stel de optie in op Ingeschakeld.
    2. Selecteer in de sectie Optiesde optie Weergeven.
    3. Voer elke bestandsextensie op een eigen regel in onder de kolom Waardenaam .
    4. Voer 0 in de kolom Waarde in.

  7. Kies OK.

PowerShell-cmdlets gebruiken om uitsluitingen voor bestandsnaam, map of bestandsextensie te configureren

Als u PowerShell wilt gebruiken om uitsluitingen voor bestanden toe te voegen of te verwijderen op basis van de extensie, locatie of bestandsnaam, moet u een combinatie van drie cmdlets en de juiste uitsluitingslijstparameter gebruiken. De cmdlets bevinden zich allemaal in de Defender-module.

De indeling voor de cmdlets is als volgt:

<cmdlet> -<exclusion list> "<item>"

De volgende tabel bevat cmdlets die u kunt gebruiken in het <cmdlet> gedeelte van de PowerShell-cmdlet:

Configuratieactie PowerShell-cmdlet
de lijst Creatie of overschrijven Set-MpPreference
Toevoegen aan de lijst Add-MpPreference
Item uit de lijst verwijderen Remove-MpPreference

De volgende tabel bevat waarden die u kunt gebruiken in het <exclusion list> gedeelte van de PowerShell-cmdlet:

Uitsluitingstype PowerShell-parameter
Alle bestanden met een opgegeven bestandsextensie -ExclusionExtension
Alle bestanden in een map (inclusief bestanden in submappen) of een specifiek bestand -ExclusionPath

Belangrijk

Als u een lijst hebt gemaakt, met Set-MpPreference of Add-MpPreference, wordt de bestaande lijst opnieuw overschreven met behulp Set-MpPreference van de cmdlet.

Het volgende codefragment zorgt er bijvoorbeeld voor dat Microsoft Defender Antivirus-scans elk bestand met de .test bestandsextensie uitsluiten:

Add-MpPreference -ExclusionExtension ".test"

Tip

Zie PowerShell-cmdlets gebruiken om powershell-cmdlets te configureren en Microsoft Defender Antivirus en Defender Antivirus-cmdletste configureren en uit te voeren.

Windows Management Instrumentation (WMI) gebruiken om uitsluitingen voor bestandsnaam, map of bestandsextensie te configureren

Gebruik de methoden Instellen, Toevoegen en Verwijderen van de klasse MSFT_MpPreference voor de volgende eigenschappen:

ExclusionExtension
ExclusionPath

Het gebruik van Instellen, Toevoegen en Verwijderen is vergelijkbaar met hun tegenhangers in PowerShell: Set-MpPreference, Add-MpPreferenceen Remove-MpPreference.

Tip

Zie Windows Defender WMIv2-API's voor meer informatie.

De Windows-beveiliging-app gebruiken om uitsluitingen voor bestandsnaam, map of bestandsextensie te configureren

Zie Uitsluitingen toevoegen in de Windows-beveiliging-app voor instructies.

Jokertekens gebruiken in de uitsluitingslijsten voor bestandsnaam en mappad of extensie

U kunt het sterretje *, vraagteken ?of omgevingsvariabelen (zoals %ALLUSERSPROFILE%) gebruiken als jokertekens bij het definiëren van items in de uitsluitingslijst voor bestandsnaam of mappad. De manier waarop deze jokertekens worden geïnterpreteerd, verschilt van het gebruikelijke gebruik in andere apps en talen. Lees deze sectie voor meer informatie over de specifieke beperkingen.

Belangrijk

Er zijn belangrijke beperkingen en gebruiksscenario's voor deze jokertekens:

  • Het gebruik van omgevingsvariabelen is beperkt tot machinevariabelen en de variabelen die van toepassing zijn op processen die worden uitgevoerd als een NT AUTHORITY\SYSTEM-account.
  • U kunt maximaal zes jokertekens per invoer gebruiken.
  • U kunt geen jokerteken gebruiken in plaats van een stationsletter.
  • Een sterretje * in een mapuitsluiting staat op zijn plaats voor één map. Gebruik meerdere exemplaren van \*\ om meerdere geneste mappen met niet-opgegeven namen aan te geven.

In de volgende tabel wordt beschreven hoe de jokertekens kunnen worden gebruikt en worden enkele voorbeelden gegeven.

Jokerteken Voorbeelden
* (sterretje)

In de insluitingen van bestandsnaam en bestandsextensie vervangt het sterretje een willekeurig aantal tekens en is alleen van toepassing op bestanden in de laatste map die in het argument is gedefinieerd.

In mapuitsluitingen vervangt het sterretje één map. Gebruik meerdere * met mapslashes \ om meerdere geneste mappen aan te geven. Nadat het aantal mappen met jokertekens en benoemde mappen is overeenkomen, worden ook alle submappen opgenomen.		 C:\MyData\*.txt Bevat C:\MyData\notes.txt

C:\somepath\*\Data bevat alle bestanden in C:\somepath\Archives\Data en de bijbehorende submappen, en C:\somepath\Authorized\Data de bijbehorende submappen

C:\Serv\*\*\Backup bevat alle bestanden in C:\Serv\Primary\Denied\Backup en de bijbehorende submappen, en C:\Serv\Secondary\Allowed\Backup de bijbehorende submappen
? (vraagteken)

In de insluitingen van bestandsnaam en bestandsextensie vervangt het vraagteken één teken en is het alleen van toepassing op bestanden in de laatste map die in het argument is gedefinieerd.

In mapuitsluitingen vervangt het vraagteken één teken in een mapnaam. Nadat het aantal mappen met jokertekens en benoemde mappen is overeenkomen, worden ook alle submappen opgenomen.		 C:\MyData\my?.zip Bevat C:\MyData\my1.zip

C:\somepath\?\Data bevat alle bestanden in C:\somepath\P\Data en de bijbehorende submappen

C:\somepath\test0?\Data zou elk bestand in C:\somepath\test01\Data en de bijbehorende submappen bevatten
Omgevingsvariabelen

De gedefinieerde variabele wordt ingevuld als een pad wanneer de uitsluiting wordt geëvalueerd.		 %ALLUSERSPROFILE%\CustomLogFiles zou bevatten C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Belangrijk

Als u een argument voor bestandsuitsluiting combineert met een mapuitsluitingsargument, stoppen de regels bij de overeenkomst met het bestandsargument in de overeenkomende map en wordt er niet gezocht naar bestandsovereenkomsten in submappen. U kunt bijvoorbeeld alle bestanden uitsluiten die beginnen met 'datum' in de mappen c:\data\final\marked en c:\data\review\marked met behulp van het regelargument c:\data\*\marked\date*. Dit argument komt niet overeen met bestanden in submappen onder c:\data\final\marked of c:\data\review\marked.

Systeemomgevingsvariabelen

In de volgende tabel worden de omgevingsvariabelen van het systeemaccount vermeld en beschreven.

Deze omgevingsvariabele van het systeem... Omleidt naar dit
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Bekijk de lijst met uitsluitingen

U kunt de items in de uitsluitingslijst ophalen met behulp van een van de volgende methoden:

Belangrijk

Wijzigingen in uitsluitingslijsten die zijn aangebracht met groepsbeleid, worden weergegeven in de lijsten van Windows-beveiliging app. Wijzigingen in de Windows-beveiliging-app worden niet weergegeven in de groepsbeleid lijsten.

Als u PowerShell gebruikt, kunt u de lijst op de volgende twee manieren ophalen:

  • Haal de status van alle Microsoft Defender Antivirusvoorkeuren op. Elke lijst wordt op afzonderlijke regels weergegeven, maar de items in elke lijst worden gecombineerd in dezelfde regel.
  • Schrijf de status van alle voorkeuren naar een variabele en gebruik deze variabele om alleen de specifieke lijst aan te roepen waarin u geïnteresseerd bent. Elk gebruik van Add-MpPreference wordt naar een nieuwe regel geschreven.

De uitsluitingslijst valideren met behulp van MpCmdRun

Gebruik de volgende opdracht om uitsluitingen te controleren met het toegewezen opdrachtregelprogramma mpcmdrun.exe:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Opmerking

Uitsluitingen controleren met MpCmdRun vereist Microsoft Defender Antivirusversie 4.18.2111-5.0 (uitgebracht in december 2021) of hoger.

Bekijk de lijst met uitsluitingen naast alle andere Microsoft Defender Antivirus-voorkeuren met behulp van PowerShell

Gebruik de volgende cmdlet:

Get-MpPreference

In het volgende voorbeeld zijn de items in de ExclusionExtension lijst gemarkeerd:

PowerShell-uitvoer voor Get-MpPreference

Zie PowerShell-cmdlets gebruiken om powershell-cmdlets te configureren en Microsoft Defender Antivirus en Defender Antivirus-cmdletste configureren en uit te voeren.

Een specifieke uitsluitingslijst ophalen met behulp van PowerShell

Gebruik het volgende codefragment (voer elke regel in als een afzonderlijke opdracht); vervang WDAVprefs door het label dat u de variabele wilt noemen:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

In het volgende voorbeeld wordt de lijst gesplitst in nieuwe regels voor elk gebruik van de Add-MpPreference cmdlet:

PowerShell-uitvoer met alleen de vermeldingen in de uitsluitingslijst

Zie PowerShell-cmdlets gebruiken om powershell-cmdlets te configureren en Microsoft Defender Antivirus en Defender Antivirus-cmdletste configureren en uit te voeren.

Uitsluitingslijsten valideren met het EICAR-testbestand

U kunt controleren of uw uitsluitingslijsten werken met behulp van PowerShell met de Invoke-WebRequest cmdlet of de .NET WebClient-klasse om een testbestand te downloaden.

Vervang in het volgende PowerShell-fragment door test.txt een bestand dat voldoet aan uw uitsluitingsregels. Als u bijvoorbeeld de .testing-extensie hebt uitgesloten, vervangt u test.txt door test.testing. Als u een pad test, moet u ervoor zorgen dat u de cmdlet binnen dat pad uitvoert.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Als Microsoft Defender Antivirus malware rapporteert, werkt de regel niet. Als er geen melding van malware is en het gedownloade bestand bestaat, werkt de uitsluiting. U kunt het bestand openen om te bevestigen dat de inhoud hetzelfde is als wat wordt beschreven op de EICAR-testbestandswebsite.

U kunt ook de volgende PowerShell-code gebruiken, die de .NET WebClient-klasse aanroept om het testbestand te downloaden, net als bij de Invoke-WebRequest cmdlet; vervang door c:\test.txt een bestand dat voldoet aan de regel die u valideert:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Als u geen toegang tot internet hebt, kunt u uw eigen EICAR-testbestand maken door de EICAR-tekenreeks naar een nieuw tekstbestand te schrijven met de volgende PowerShell-opdracht:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

U kunt de tekenreeks ook kopiëren naar een leeg tekstbestand en proberen deze op te slaan met de bestandsnaam of in de map die u probeert uit te sluiten.

Tip

Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.