Konfigurera undantag för filer som öppnas av processer
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows
Du kan exkludera filer som öppnas av specifika processer från Microsoft Defender Antivirus-genomsökningar. Observera att de här typerna av undantag gäller för filer som öppnas av processer och inte själva processerna. Om du vill exkludera en process lägger du till ett filundantag (se Konfigurera och validera undantag baserat på filnamnstillägg och mappplats).
Se Viktiga punkter om undantag och granska informationen i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus innan du definierar dina undantagslistor.
I den här artikeln beskrivs hur du konfigurerar undantagslistor.
Exempel på processundantag
Uteslutning | Exempel |
---|---|
Alla filer på datorn som öppnas av en process med ett specifikt filnamn | Om du anger undantas test.exe filer som öppnas av:
|
Alla filer på datorn som öppnas av en process under en specifik mapp | Om du anger undantas c:\test\sample\* filer som öppnas av: |
Alla filer på datorn som öppnas av en specifik process i en specifik mapp | Om du anger undantas c:\test\process.exe filer som endast öppnas av c:\test\process.exe |
När du lägger till en process i listan över processundantag söker Microsoft Defender Antivirus inte igenom filer som öppnats av den processen, oavsett var filerna finns. Själva processen genomsöks dock om den inte också har lagts till i listan över filundantag.
Undantagen gäller endast för alltid på realtidsskydd och övervakning. De gäller inte för schemalagda genomsökningar eller genomsökningar på begäran.
Ändringar som görs med grupprincip i undantagslistorna visas i listorna i Windows-säkerhet-appen. Ändringar som görs i Windows-säkerhet-appen visas dock inte i grupprincip-listorna.
Du kan lägga till, ta bort och granska listorna för undantag i grupprincip, Microsoft Configuration Manager, Microsoft Intune och med appen Windows-säkerhet, och du kan använda jokertecken för att anpassa listorna ytterligare.
Du kan också använda PowerShell-cmdletar och WMI för att konfigurera undantagslistorna, inklusive att granska dina listor.
Som standard sammanfogas lokala ändringar som gjorts i listorna (av användare med administratörsbehörighet, ändringar som gjorts med PowerShell och WMI) med de listor som definierats (och distribuerats) av grupprincip, Configuration Manager eller Intune. De grupprincip listorna har företräde om det finns konflikter.
Du kan konfigurera hur lokala och globalt definierade undantagslistor slås samman så att lokala ändringar kan åsidosätta inställningarna för hanterad distribution.
Obs!
Regler för minskning av nätverksskydds- och attackytan påverkas direkt av processundantag på alla plattformar, vilket innebär att ett processundantag i alla operativsystem (Windows, MacOS, Linux) resulterar i att nätverksskydd eller ASR inte kan inspektera trafik eller tillämpa regler för den specifika processen.
Bildnamn jämfört med fullständig sökväg för processundantag
Två olika typer av processundantag kan anges. En process kan undantas av bildnamnet eller av en fullständig sökväg. Avbildningsnamnet är helt enkelt filnamnet för processen, utan sökvägen.
Med tanke på att processen MyProcess.exe
som körs från C:\MyFolder\
den fullständiga sökvägen till den här processen till exempel skulle vara C:\MyFolder\MyProcess.exe
och avbildningsnamnet är MyProcess.exe
.
Undantag för avbildningsnamn är mycket mer omfattande – ett undantag MyProcess.exe
för utesluter alla processer med det här avbildningsnamnet, oavsett vilken sökväg de körs från. Om processen MyProcess.exe
till exempel exkluderas av avbildningsnamnet undantas den även om den körs från C:\MyOtherFolder
, från flyttbara medier, et cetera. Därför rekommenderas att den fullständiga sökvägen används när det är möjligt.
Använda jokertecken i listan över processundantag
Användningen av jokertecken i listan över processundantag skiljer sig från användningen i andra undantagslistor. När processundantag definieras som ett avbildningsnamn tillåts inte jokerteckenanvändning. Men när en fullständig sökväg används stöds jokertecken och jokerteckenbeteendet fungerar enligt beskrivningen i Fil- och mappundantag
Användning av miljövariabler (till exempel %ALLUSERSPROFILE%
) som jokertecken när du definierar objekt i listan över processundantag stöds också. Information och en fullständig lista över miljövariabler som stöds beskrivs i Fil- och mappundantag.
I följande tabell beskrivs hur jokertecken kan användas i listan över processundantag när en sökväg anges:
Jokertecken | Exempel på användning | Exempelmatchningar |
---|---|---|
* (asterisk)Ersätter valfritt antal tecken. |
C:\MyFolder\* |
Alla filer som öppnas av C:\MyFolder\MyProcess.exe eller C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Alla filer som öppnas av C:\MyFolder1\MyFolder2\MyProcess.exe eller C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Alla filer som öppnas av C:\MyOtherFolder\MyFolder\MyProcess.exe eller C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (frågetecken) Ersätter ett tecken. |
C:\MyFolder\MyProcess??.exe |
Alla filer som öppnas av C:\MyFolder\MyProcess42.exe eller C:\MyFolder\MyProcessAA.exe C:\MyFolder\MyProcessF5.exe |
Miljövariabler | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Alla filer som öppnas av C:\ProgramData\MyFolder\MyProcess.exe |
Kontextuella processundantag
Observera att ett processundantag också kan definieras via ett sammanhangsberoende undantag som till exempel tillåter att en specifik fil undantas endast om den öppnas av en specifik process.
Konfigurera listan över undantag för filer som öppnas av angivna processer
Använd Microsoft Intune för att exkludera filer som har öppnats av angivna processer från genomsökningar
Mer information finns i Konfigurera inställningar för enhetsbegränsningar i Microsoft Intune och Microsoft Defender Inställningar för begränsning av antivirusenheter för Windows 10 i Intune.
Använd Microsoft Configuration Manager för att exkludera filer som har öppnats av angivna processer från genomsökningar
Mer information om hur du konfigurerar Microsoft Configuration Manager (aktuell gren) finns i Skapa och distribuera principer för program mot skadlig kod: Undantagsinställningar.
Använd grupprincip för att undanta filer som har öppnats av angivna processer från genomsökningar
Öppna grupprincip-hanteringskonsolen på grupprincip-hanteringsdatorn, högerklicka på det grupprincip objekt som du vill konfigurera och klicka på Redigera.
I grupprincip Management Editor går du till Datorkonfiguration och klickar på Administrativa mallar.
Expandera trädet till Windows-komponenter > Microsoft Defender Antivirus-undantag>.
Dubbelklicka på Processundantag och lägg till undantagen:
- Ange alternativet till Aktiverad.
- Under avsnittet Alternativ klickar du på Visa....
- Ange varje process på sin egen rad under kolumnen Värdenamn . Se exempeltabellen för de olika typerna av processundantag. Ange 0 i kolumnen Värde för alla processer.
Klicka på OK.
Använd PowerShell-cmdletar för att undanta filer som har öppnats av angivna processer från genomsökningar
Användning av PowerShell för att lägga till eller ta bort undantag för filer som har öppnats av processer kräver att du använder en kombination av tre cmdletar med parametern -ExclusionProcess
. Alla cmdletar finns i Defender-modulen.
Formatet för cmdletarna är:
<cmdlet> -ExclusionProcess "<item>"
Följande tillåts <som cmdlet>:
Konfigurationsåtgärd | PowerShell-cmdlet |
---|---|
Skapa eller skriva över listan | Set-MpPreference |
Lägg till i listan | Add-MpPreference |
Ta bort objekt från listan | Remove-MpPreference |
Viktigt
Om du har skapat en lista, antingen med Set-MpPreference
eller Add-MpPreference
, kommer den befintliga listan att skrivas över med cmdleten Set-MpPreference
igen.
Följande kodfragment skulle till exempel göra att Microsoft Defender Antivirus-genomsökningar utesluter alla filer som öppnas av den angivna processen:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Hantera antivirus med PowerShell-cmdletar och Microsoft Defender Antivirus-cmdletar.
Använd Windows Management Instruction (WMI) för att undanta filer som har öppnats av angivna processer från genomsökningar
Använd metoderna Set, Add och Remove i klassen MSFT_MpPreference för följande egenskaper:
ExclusionProcess
Användningen av Set, Add och Remove motsvarar deras motsvarigheter i PowerShell: Set-MpPreference
, Add-MpPreference
och Remove-MpPreference
.
Mer information och tillåtna parametrar finns i Windows Defender WMIv2-API:er.
Använd Windows-säkerhet-appen för att exkludera filer som har öppnats av angivna processer från genomsökningar
Följ anvisningarna i Lägg till undantag i Windows-säkerhet-appen.
Granska listan över undantag
Du kan hämta objekten i undantagslistan med MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune eller Windows-säkerhet-appen.
Om du använder PowerShell kan du hämta listan på två sätt:
- Hämta status för alla Microsoft Defender Antivirus-inställningar. Var och en av listorna visas på separata rader, men objekten i varje lista kombineras till samma rad.
- Skriv status för alla inställningar till en variabel och använd variabeln för att bara anropa den specifika lista som du är intresserad av. Varje användning av
Add-MpPreference
skrivs till en ny rad.
Verifiera undantagslistan med hjälp av MpCmdRun
Om du vill kontrollera undantag med det dedikerade kommandoradsverktyget mpcmdrun.exeanvänder du följande kommando:
MpCmdRun.exe -CheckExclusion -path <path>
Obs!
För att kontrollera undantag med MpCmdRun krävs Microsoft Defender Antivirus CAMP version 4.18.1812.3 (släpptes i december 2018) eller senare.
Granska listan över undantag tillsammans med alla andra Microsoft Defender Antivirus-inställningar med hjälp av PowerShell
Använd följande cmdlet:
Get-MpPreference
Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Använda PowerShell-cmdletar för att konfigurera och köra Microsoft Defender Antivirus- och Microsoft Defender Antivirus-cmdletar .
Hämta en specifik undantagslista med hjälp av PowerShell
Använd följande kodfragment (ange varje rad som ett separat kommando); ersätt WDAVprefs med den etikett som du vill namnge variabeln:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Använda PowerShell-cmdletar för att konfigurera och köra Microsoft Defender Antivirus- och Microsoft Defender Antivirus-cmdletar.
Tips
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Relaterade artiklar
- Konfigurera och validera undantag i Microsoft Defender Antivirus-genomsökningar
- Konfigurera och validera undantag baserat på filnamn, filnamn och mappplats
- Konfigurera Microsoft Defender antivirusundantag på Windows Server
- Vanliga misstag att undvika när man definierar undantag
- Anpassa, initiera och granska resultatet av Microsoft Defender Antivirus-genomsökningar och åtgärder
- Microsoft Defender Antivirus i Windows 10
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.