Konfigurera och validera undantag baserat på filnamnstillägg och mappplats
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows
Du kan definiera undantag för Microsoft Defender Antivirus som gäller för schemalagda genomsökningar, genomsökningar på begäran och alltid på realtidsskydd och övervakning. I allmänhet behöver du inte tillämpa undantag. Om du behöver tillämpa undantag kan du välja mellan följande typer:
- Undantag baserat på filnamnstillägg och mappplatser (beskrivs i den här artikeln)
- Undantag för filer som öppnas av processer
Viktigt
Microsoft Defender Antivirus-undantag gäller för vissa Microsoft Defender för Endpoint funktioner, till exempel regler för minskning av attackytan. Vissa Microsoft Defender antivirusundantag gäller för vissa ASR-regelundantag. Se Referens för regler för minskning av attackytan – Microsoft Defender Antivirusundantag och ASR-regler. Filer som du exkluderar med hjälp av metoderna som beskrivs i den här artikeln kan fortfarande utlösa aviseringar om slutpunktsidentifiering och svar (EDR) och andra identifieringar. Om du vill exkludera filer brett lägger du till dem i Microsoft Defender för Endpoint anpassade indikatorer.
Innan du börjar
Se Rekommendationer för att definiera undantag innan du definierar dina undantagslistor.
Undantagslistor
Om du vill undanta vissa filer från Microsoft Defender Antivirus-genomsökningar ändrar du dina undantagslistor. Microsoft Defender Antivirus innehåller många automatiska undantag baserat på kända operativsystemsbeteenden och vanliga hanteringsfiler, till exempel de som används i företagshantering, databashantering och andra företagsscenarier.
Obs!
Undantag gäller även för potentiellt oönskade appar (PUA ). Automatiska undantag gäller endast för Windows Server 2016 och senare. Dessa undantag visas inte i Windows-säkerhet-appen och i PowerShell.
I följande tabell visas några exempel på undantag baserat på filnamnstillägg och mappplats.
Uteslutning | Exempel | Undantagslista |
---|---|---|
Alla filer med ett specifikt tillägg | Alla filer med det angivna tillägget, var som helst på datorn. Giltig syntax: .test och test |
Tilläggsundantag |
Alla filer eller mappar under en specifik mapp | Alla filer och mappar under c:\test\sample mappen |
Fil- och mappundantag |
En specifik fil i en specifik mapp | Endast filen c:\sample\sample.test |
Fil- och mappundantag |
En specifik process | Den körbara filen c:\test\process.exe |
Fil- och mappundantag |
Egenskaper för undantagslistor
- Mappundantag gäller för alla filer och mappar under den mappen, såvida inte undermappen är en referenspunkt. Undermappar för referenspunkter måste undantas separat.
- Filnamnstillägg gäller för alla filnamn med det definierade tillägget om en sökväg eller mapp inte har definierats.
Viktig information om undantag baserat på filnamnstillägg och mappplatser
Om du använder jokertecken som asterisken (*) ändras hur undantagsregler tolkas. Se avsnittet Använd jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg för viktig information om hur jokertecken fungerar.
Exkludera inte mappade nätverksenheter. Ange den faktiska nätverkssökvägen.
Mappar som är referenspunkter skapas när Microsoft Defender Antivirus-tjänsten startar och de som har lagts till i undantagslistan ingår inte. Starta om tjänsten genom att starta om Windows för att nya referenspunkter ska identifieras som ett giltigt undantagsmål.
Undantag gäller för schemalagda genomsökningar, genomsökningar på begäran och realtidsskydd, men inte för alla Defender för Endpoint-funktioner. Om du vill definiera undantag i Defender för Endpoint använder du anpassade indikatorer.
Som standard sammanfogas lokala ändringar som gjorts i listorna (av användare med administratörsbehörighet, inklusive ändringar som gjorts med PowerShell och WMI) med de listor som definierats (och distribuerats) av grupprincip, Configuration Manager eller Intune. De grupprincip-listorna har företräde när det finns konflikter. Dessutom visas ändringar i undantagslistan som görs med grupprincip i Windows-säkerhet-appen.
Om du vill tillåta att lokala ändringar åsidosätter inställningar för hanterad distribution konfigurerar du hur lokala och globalt definierade undantagslistor slås samman.
Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg
Du kan välja mellan flera metoder för att definiera undantag för Microsoft Defender Antivirus.
Använd Intune för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Se följande artiklar:
- Konfigurera inställningar för enhetsbegränsningar i Microsoft Intune
- Microsoft Defender Inställningar för begränsning av antivirusenheter för Windows 10 i Intune
Använd Configuration Manager för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Mer information om hur du konfigurerar Microsoft Configuration Manager (aktuell gren) finns i Skapa och distribuera principer för program mot skadlig kod: Undantagsinställningar.
Använd grupprincip för att konfigurera undantag för mappar eller filnamnstillägg
Obs!
Om du anger en fullständigt kvalificerad sökväg till en fil undantas endast den filen. Om en mapp definieras i undantaget undantas alla filer och underkataloger under den mappen.
På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.
I grupprincip Management Editor gå till Datorkonfiguration och välj Administrativa mallar.
Expandera trädet till Windows-komponenter>Microsoft DefenderAntivirusundantag>.
Öppna inställningen Sökvägsundantag för redigering och lägg till dina undantag.
Ange alternativet till Aktiverad.
Under avsnittet Alternativ väljer du Visa.
Ange varje mapp på sin egen rad under kolumnen Värdenamn .
Om du anger en fil kontrollerar du att du anger en fullständigt kvalificerad sökväg till filen, inklusive enhetsbeteckning, mappsökväg, filnamn och filnamnstillägg.
Ange 0 i kolumnen Värde .
Välj OK.
Öppna inställningen Tilläggsundantag för redigering och lägg till dina undantag.
Ange alternativet till Aktiverad.
Under avsnittet Alternativ väljer du Visa.
Ange varje filnamnstillägg på sin egen rad under kolumnen Värdenamn .
Ange 0 i kolumnen Värde .
Välj OK.
Använd PowerShell-cmdletar för att konfigurera filnamns-, mapp- eller filnamnstilläggsundantag
Användning av PowerShell för att lägga till eller ta bort undantag för filer baserat på tillägget, platsen eller filnamnet kräver att du använder en kombination av tre cmdletar och lämplig parameter för undantagslistan. Alla cmdletar finns i Defender-modulen.
Formatet för cmdletarna är följande:
<cmdlet> -<exclusion list> "<item>"
I följande tabell visas cmdletar som du kan använda i <cmdlet>
delen av PowerShell-cmdleten:
Konfigurationsåtgärd | PowerShell-cmdlet |
---|---|
Skapa eller skriva över listan | Set-MpPreference |
Lägg till i listan | Add-MpPreference |
Ta bort objekt från listan | Remove-MpPreference |
I följande tabell visas värden som du kan använda i <exclusion list>
delen av PowerShell-cmdleten:
Undantagstyp | PowerShell-parameter |
---|---|
Alla filer med ett angivet filnamnstillägg | -ExclusionExtension |
Alla filer under en mapp (inklusive filer i underkataloger) eller en specifik fil | -ExclusionPath |
Viktigt
Om du har skapat en lista, antingen med Set-MpPreference
eller Add-MpPreference
, skriver cmdleten Set-MpPreference
igen över den befintliga listan.
Följande kodfragment skulle till exempel göra att Microsoft Defender Antivirus-genomsökningar utesluter alla filer med filnamnstillägget.test
:
Add-MpPreference -ExclusionExtension ".test"
Tips
Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.
Använd Windows Management Instrumentation (WMI) för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Använd metoderna Set, Add och Remove i klassen MSFT_MpPreference för följande egenskaper:
ExclusionExtension
ExclusionPath
Användning av Set, Add och Remove motsvarar deras motsvarigheter i PowerShell: Set-MpPreference
, Add-MpPreference
och Remove-MpPreference
.
Tips
Mer information finns i Windows Defender WMIv2-API:er.
Använd Windows-säkerhet-appen för att konfigurera filnamns-, mapp- eller filnamnstilläggsundantag
Instruktioner finns i Lägga till undantag i Windows-säkerhet-appen.
Använd jokertecken i filnamns- och mappsökvägen eller undantagslistorna för tillägg
Du kan använda miljövariablerna asterisk *
, frågetecken ?
eller miljö (till exempel %ALLUSERSPROFILE%
) som jokertecken när du definierar objekt i listan med undantag för filnamn eller mappsökväg. Du kan blanda och matcha *
?
och miljövariabler i ett enda undantag. Hur dessa jokertecken tolkas skiljer sig från den vanliga användningen i andra appar och språk. Läs det här avsnittet för att förstå deras specifika begränsningar.
Viktigt
Det finns viktiga begränsningar och användningsscenarier för dessa jokertecken:
- Användning av miljövariabler är begränsad till datorvariabler och de som gäller för processer som körs som ett NT AUTHORITY\SYSTEM-konto.
- Du kan bara använda högst sex jokertecken per post.
- Du kan inte använda jokertecken i stället för en enhetsbeteckning.
- En asterisk
*
i ett mappundantag finns på plats för en enda mapp. Använd flera instanser av\*\
för att ange flera kapslade mappar med ospecificerade namn.
I följande tabell beskrivs hur jokertecken kan användas och innehåller några exempel.
Jokertecken | Exempel |
---|---|
* (asterisk)I filnamns- och filnamnstilläggsinkluderingar ersätter asterisken valfritt antal tecken och gäller endast för filer i den sista mappen som definierats i argumentet. I mappundantag ersätter asterisken en enda mapp. Använd flera * med mappsnedstreck \ för att ange flera kapslade mappar. När du har matchat antalet jokertecken och namngivna mappar ingår även alla undermappar. |
C:\MyData\*.txt Innehåller C:\MyData\notes.txt C:\somepath\*\Data innehåller alla filer i C:\somepath\Archives\Data och dess undermappar och C:\somepath\Authorized\Data dess undermapparC:\Serv\*\*\Backup innehåller alla filer i C:\Serv\Primary\Denied\Backup och dess undermappar och C:\Serv\Secondary\Allowed\Backup dess undermappar |
? (frågetecken)I filnamns- och filnamnstilläggsinkluderingar ersätter frågetecknet ett enda tecken och gäller endast för filer i den sista mappen som definierats i argumentet. I mappundantag ersätter frågetecknet ett enskilt tecken i ett mappnamn. När du har matchat antalet jokertecken och namngivna mappar ingår även alla undermappar. |
C:\MyData\my?.zip Innehåller C:\MyData\my1.zip C:\somepath\?\Data innehåller alla filer i C:\somepath\P\Data och dess undermapparC:\somepath\test0?\Data skulle inkludera alla filer i C:\somepath\test01\Data och dess undermappar |
Miljövariabler Den definierade variabeln fylls i som en sökväg när undantaget utvärderas. |
%ALLUSERSPROFILE%\CustomLogFiles skulle inkludera C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Blanda och matcha Miljövariabler * och ? kan kombineras till ett enda undantag |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe skulle inkludera c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Viktigt
Om du blandar ett filundantagsargument med ett argument för mappundantag stoppas reglerna vid filargumentmatchningen i den matchade mappen och letar inte efter filmatchningar i några undermappar.
Du kan till exempel exkludera alla filer som börjar med "date" i mapparna c:\data\final\marked
och c:\data\review\marked
med hjälp av regelargumentet c:\data\*\marked\date*
.
Det här argumentet matchar inte några filer i undermappar under c:\data\final\marked
eller c:\data\review\marked
.
Systemmiljövariabler
I följande tabell visas och beskrivs miljövariablerna för systemkontot.
Den här systemmiljövariabeln... | Omdirigerar till detta |
---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Granska listan över undantag
Du kan hämta objekten i undantagslistan med någon av följande metoder:
Viktigt
Undantagslistans ändringar som görs med grupprincip visas i listorna över Windows-säkerhet app. Ändringar som görs i Windows-säkerhet-appen visas inte i grupprincip-listorna.
Om du använder PowerShell kan du hämta listan på följande två sätt:
- Hämta status för alla Microsoft Defender Antivirus-inställningar. Varje lista visas på separata rader, men objekten i varje lista kombineras till samma rad.
- Skriv status för alla inställningar till en variabel och använd variabeln för att bara anropa den specifika lista som du är intresserad av. Varje användning av
Add-MpPreference
skrivs till en ny rad.
Verifiera undantagslistan med hjälp av MpCmdRun
Om du vill kontrollera undantag med det dedikerade kommandoradsverktyget mpcmdrun.exeanvänder du följande kommando:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Obs!
Kontroll av undantag med MpCmdRun
kräver Microsoft Defender Antivirus version 4.18.2111-5.0 (släpptes i december 2021) eller senare.
Granska listan över undantag tillsammans med alla andra Microsoft Defender Antivirus-inställningar med hjälp av PowerShell
Använd följande cmdlet:
Get-MpPreference
I följande exempel är objekten ExclusionExtension
i listan markerade:
Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.
Hämta en specifik undantagslista med hjälp av PowerShell
Använd följande kodfragment (ange varje rad som ett separat kommando); ersätt WDAVprefs med den etikett som du vill namnge variabeln:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
I följande exempel delas listan upp i nya rader för varje användning av cmdleten Add-MpPreference
:
Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.
Verifiera undantagslistor med EICAR-testfilen
Du kan kontrollera att dina undantagslistor fungerar med hjälp av PowerShell med antingen cmdleten Invoke-WebRequest
eller .NET WebClient-klassen för att ladda ned en testfil.
I följande PowerShell-kodfragment ersätter test.txt
du med en fil som följer dina undantagsregler. Om du till exempel exkludering av .testing
tillägget ersätter test.txt
du med test.testing
. Om du testar en sökväg kontrollerar du att du kör cmdleten inom den sökvägen.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Om Microsoft Defender Antivirus rapporterar skadlig kod fungerar inte regeln. Om det inte finns någon rapport om skadlig kod och den nedladdade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.
Du kan också använda följande PowerShell-kod, som anropar .NET WebClient-klassen för att ladda ned testfilen – som med cmdleten Invoke-WebRequest
; ersätt c:\test.txt
med en fil som överensstämmer med den regel som du validerar:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Om du inte har Internetåtkomst kan du skapa en egen EICAR-testfil genom att skriva EICAR-strängen till en ny textfil med följande PowerShell-kommando:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker exkludera.
Se även
- Konfigurera och validera undantag i Microsoft Defender Antivirus-genomsökningar
- Konfigurera och validera undantag för filer som öppnas av processer
- Konfigurera Microsoft Defender antivirusundantag på Windows Server
- Vanliga misstag att undvika när man definierar undantag
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.