Dela via

Microsoft Defender Antivirus-undantag på Windows Server

  • Artikel

Gäller för:

Plattformar

  • Windows

I den här artikeln beskrivs typer av undantag som du inte behöver definiera för Microsoft Defender Antivirus:

En mer detaljerad översikt över undantag finns i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Några viktiga punkter om undantag på Windows Server

  • Anpassade undantag har företräde framför automatiska undantag.
  • Automatiska undantag gäller endast för RTP-genomsökning (realtidsskydd).
  • Automatiska undantag respekteras inte vid snabbgenomsökning, fullständig genomsökning och anpassad genomsökning.
  • Anpassade och duplicerade undantag är inte i konflikt med automatiska undantag.
  • Microsoft Defender Antivirus använder DISM-verktygen (Deployment Image Servicing and Management) för att avgöra vilka roller som är installerade på datorn.
  • Lämpliga undantag måste anges för programvara som inte ingår i operativsystemet.
  • Windows Server 2012 R2 har inte Microsoft Defender Antivirus som en installationsbar funktion. När du registrerar dessa servrar i Defender för Endpoint installerar du Microsoft Defender Antivirus och standardundantag för operativsystemfiler tillämpas. Undantag för serverroller (som anges nedan) tillämpas dock inte automatiskt, och du bör konfigurera dessa undantag efter behov. Mer information finns i Publicera Windows-servrar till Microsoft Defender för Endpoint-tjänsten.
  • Inbyggda undantag och automatiska undantag för serverroller visas inte i standardundantagslistorna som visas i Windows-säkerhet-appen.
  • Listan över inbyggda undantag i Windows hålls uppdaterad när hotlandskapet ändras. I den här artikeln visas några, men inte alla, inbyggda och automatiska undantag.

Automatiska undantag för serverroller

På Windows Server 2016 eller senare bör du inte behöva definiera undantag för serverroller. När du installerar en roll på Windows Server 2016 eller senare innehåller Microsoft Defender Antivirus automatiska undantag för serverrollen och filer som läggs till när rollen installeras.

Windows Server 2012 R2 stöder inte funktionen för automatiska undantag. Du måste definiera explicita undantag för alla serverroller och programvara som läggs till efter installationen av operativsystemet.

Viktigt

  • Standardplatser kan skilja sig från de platser som beskrivs i den här artikeln.
  • Information om hur du anger undantag för programvara som inte ingår som en Windows-funktion eller serverroll finns i programvarutillverkarens dokumentation.

Automatiska undantag är:

Hyper-V-undantag

I följande tabell visas de filtypsundantag, mappundantag och processundantag som levereras automatiskt när du installerar Hyper-V-rollen.

Undantagstyp Detaljerna
Filtyper *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mappar %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processer %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-filer

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-undantag

I det här avsnittet visas de undantag som levereras automatiskt när du installerar Active Directory Domain Services (AD DS).

NTDS-databasfiler

Databasfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS-transaktionsloggfilerna

Transaktionsloggfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS-arbetsmappen

Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-serverundantag

I det här avsnittet visas de undantag som levereras automatiskt när du installerar DHCP-serverrollen. DHCP Server-filplatserna anges av parametrarna DatabasePath, DhcpLogFilePath och BackupDatabasePath i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-serverundantag

I det här avsnittet visas de fil- och mappundantag och processundantag som levereras automatiskt när du installerar DNS-serverrollen.

Fil- och mappundantag för DNS-serverrollen

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Processundantag för DNS-serverrollen

  • %systemroot%\System32\dns.exe

Undantag för fil- och lagringstjänster

I det här avsnittet visas de fil- och mappundantag som levereras automatiskt när du installerar rollen Fil- och lagringstjänster. Undantagen som anges nedan omfattar inte undantag för klustringsrollen.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

I det här avsnittet visas undantag för filtyper, mappundantag och processundantag som levereras automatiskt när du installerar utskriftsserverrollen.

Filtypsundantag

  • *.shd
  • *.spl

Mappundantag

Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Processundantag för utskriftsserverrollen

  • spoolsv.exe

Webbserverundantag

I det här avsnittet visas mappundantag och processundantag som levereras automatiskt när du installerar webbserverrollen.

Mappundantag

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Processundantag för webbserverrollen

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Inaktivera genomsökning av filer i mappen Sysvol\Sysvol eller mappen SYSVOL_DFSR\Sysvol

Den aktuella platsen för Sysvol\Sysvol mappen eller SYSVOL_DFSR\Sysvol och alla undermappar är filsystemets referensmål för roten för replikuppsättningen. Mapparna Sysvol\Sysvol och SYSVOL_DFSR\Sysvol använder följande platser som standard:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Sökvägen till den aktiva SYSVOL refereras av NETLOGON-resursen och kan bestämmas av SysVol-värdenamnet i följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Undanta följande filer från den här mappen och alla dess undermappar:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services undantag

I det här avsnittet visas de mappundantag som levereras automatiskt när du installerar rollen Windows Server Update Services (WSUS). WSUS-mappen anges i registernyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Inbyggda undantag

Eftersom Microsoft Defender Antivirus är inbyggt i Windows kräver det inte undantag för operativsystemfiler på någon version av Windows.

Inbyggda undantag är:

Listan över inbyggda undantag i Windows hålls uppdaterad när hotlandskapet ändras.

Windows "temp.edb"-filer

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update filer eller automatiska uppdateringsfiler

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows-säkerhet filer

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

grupprincip filer

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-filer

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Filreplikeringstjänstundantag (FRS)

  • Filer i arbetsmappen Filreplikeringstjänst (FRS). FRS-arbetsmappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-databasloggfiler. Mappen för FRS Database-loggfilen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • FRS-mellanlagringsmappen. Mellanlagringsmappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Förinstallationsmappen FRS. Den här mappen anges av mappen Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • DfSR-databasen (Distributed File System Replication) och arbetsmapparna. Dessa mappar anges av registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Obs!

    Anpassade platser finns i Opting out of automatic exclusions (Avanmäla automatiska undantag).

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Processundantag för inbyggda operativsystemfiler

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Avanmäla dig från automatiska undantag

I Windows Server 2016 och senare exkluderar de fördefinierade undantag som levereras av uppdateringar av säkerhetsinformation endast standardsökvägarna för en roll eller funktion. Om du har installerat en roll eller funktion i en anpassad sökväg, eller om du vill styra uppsättningen undantag manuellt, bör du välja bort de automatiska undantag som levereras i Uppdateringar av säkerhetsinformation. Tänk dock på att undantagen som levereras automatiskt är optimerade för Windows Server 2016 och senare. Se Viktiga punkter om undantag innan du definierar dina undantagslistor.

Varning

Om du avanmäler dig från automatiska undantag kan det påverka prestanda negativt eller leda till att data skadas. Automatiska undantag för serverroller är optimerade för Windows Server 2016, Windows Server 2019 och Windows Server 2022.

Eftersom fördefinierade undantag endast exkluderar standardsökvägar måste du lägga till undantag manuellt om du flyttar NTDS- och SYSVOL-mappar till en annan enhet eller sökväg som skiljer sig från den ursprungliga sökvägen. Se Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg.

Du kan inaktivera automatiska undantagslistor med grupprincip, PowerShell-cmdletar och WMI.

Använd grupprincip för att inaktivera listan över automatiska undantag på Windows Server 2016, Windows Server 2019 och Windows Server 2022

  1. Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering. Högerklicka på grupprincip objekt som du vill konfigurera och välj sedan Redigera.

  2. I grupprincip Management Editor gå till Datorkonfiguration och välj sedan Administrativa mallar.

  3. Expandera trädet till Windows-komponenter>Microsoft DefenderAntivirusundantag>.

  4. Dubbelklicka på Inaktivera automatiska undantag och ställ in alternativet på Aktiverad. Välj sedan OK.

Använda PowerShell-cmdletar för att inaktivera listan över automatiska undantag på Windows Server

Använd följande cmdletar:

Set-MpPreference -DisableAutoExclusions $true

Mer information finns i följande resurser:

Använd Windows Management Instruction (WMI) för att inaktivera listan över automatiska undantag på Windows Server

Använd metoden Set för klassen MSFT_MpPreference för följande egenskaper:

DisableAutoExclusions

Mer information och tillåtna parametrar finns i:

Definiera anpassade undantag

Om det behövs kan du lägga till eller ta bort anpassade undantag. Det gör du genom att läsa följande artiklar:

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.