Microsoft Defender Antivirus-undantag på Windows Server
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows Server
Den här artikeln beskriver typer av undantag som du inte behöver definiera för Microsoft Defender Antivirus:
- Inbyggda undantag för operativsystemfiler i alla versioner av Windows.
- Automatiska undantag för roller i Windows Server 2016 och senare.
En mer detaljerad översikt över undantag finns i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.
Några viktiga punkter om undantag på Windows Server
- Anpassade undantag har företräde framför automatiska undantag.
- Automatiska undantag gäller endast för RTP-genomsökning (realtidsskydd).
- Automatiska undantag respekteras inte vid snabbgenomsökning, fullständig genomsökning och anpassad genomsökning.
- Anpassade och duplicerade undantag är inte i konflikt med automatiska undantag.
- Microsoft Defender Antivirus använder DISM-verktygen (Deployment Image Servicing and Management) för att avgöra vilka roller som är installerade på datorn.
- Lämpliga undantag måste anges för programvara som inte ingår i operativsystemet.
- Windows Server 2012 R2 har inte Microsoft Defender Antivirus som en installationsbar funktion. När du registrerar servrarna i Defender för Endpoint installerar du Microsoft Defender Antivirus och standardundantag för operativsystemfiler tillämpas. Undantag för serverroller (som anges nedan) tillämpas dock inte automatiskt, och du bör konfigurera dessa undantag efter behov. Mer information finns i Publicera Windows-servrar till Tjänsten Microsoft Defender för Endpoint.
- Inbyggda undantag och automatiska undantag för serverroller visas inte i standardundantagslistorna som visas i Windows-säkerhetsappen.
- Listan över inbyggda undantag i Windows hålls uppdaterad när hotlandskapet ändras. I den här artikeln visas några, men inte alla, inbyggda och automatiska undantag.
Automatiska undantag för serverroller
I Windows Server 2016 eller senare bör du inte behöva definiera undantag för serverroller. När du installerar en roll på Windows Server 2016 eller senare innehåller Microsoft Defender Antivirus automatiska undantag för serverrollen och filer som läggs till när rollen installeras.
Windows Server 2012 R2 stöder inte funktionen för automatiska undantag. Du måste definiera explicita undantag för alla serverroller och programvara som läggs till efter installationen av operativsystemet.
Viktigt
- Standardplatser kan skilja sig från de platser som beskrivs i den här artikeln.
- Information om hur du anger undantag för programvara som inte ingår som en Windows-funktion eller serverroll finns i programvarutillverkarens dokumentation.
Automatiska undantag är:
- Hyper-V-undantag
- SYSVOL-filer
- Active Directory-undantag
- DHCP-serverundantag
- DNS-serverundantag
- Undantag för fil- och lagringstjänster
- Utskriftsserverundantag
- Webbserverundantag
- Undantag för Windows Server Update Services
Hyper-V-undantag
I följande tabell visas de filtypsundantag, mappundantag och processundantag som levereras automatiskt när du installerar Hyper-V-rollen.
Undantagstyp | Detaljerna |
---|---|
Filtyper | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Mappar | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Processer | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
SYSVOL-filer
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Active Directory-undantag
I det här avsnittet visas de undantag som levereras automatiskt när du installerar Active Directory Domain Services (AD DS).
NTDS-databasfiler
Databasfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
AD DS-transaktionsloggfilerna
Transaktionsloggfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
NTDS-arbetsmappen
Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
Processundantag för AD DS- och AD DS-relaterade supportfiler
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
DHCP-serverundantag
I det här avsnittet visas de undantag som levereras automatiskt när du installerar DHCP-serverrollen. DHCP Server-filplatserna anges av parametrarna DatabasePath, DhcpLogFilePath och BackupDatabasePath i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
DNS-serverundantag
I det här avsnittet visas de fil- och mappundantag och processundantag som levereras automatiskt när du installerar DNS-serverrollen.
Fil- och mappundantag för DNS-serverrollen
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
Processundantag för DNS-serverrollen
%systemroot%\System32\dns.exe
Undantag för fil- och lagringstjänster
I det här avsnittet visas de fil- och mappundantag som levereras automatiskt när du installerar rollen Fil- och lagringstjänster. Undantagen som anges nedan omfattar inte undantag för klustringsrollen.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Utskriftsserverundantag
I det här avsnittet visas undantag för filtyper, mappundantag och processundantag som levereras automatiskt när du installerar utskriftsserverrollen.
Filtypsundantag
*.shd
*.spl
Mappundantag
Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Processundantag för utskriftsserverrollen
spoolsv.exe
Webbserverundantag
I det här avsnittet visas mappundantag och processundantag som levereras automatiskt när du installerar webbserverrollen.
Mappundantag
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Processundantag för webbserverrollen
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
Inaktivera genomsökning av filer i mappen Sysvol\Sysvol eller mappen SYSVOL_DFSR\Sysvol
Den aktuella platsen för Sysvol\Sysvol
mappen eller SYSVOL_DFSR\Sysvol
och alla undermappar är filsystemets referensmål för roten för replikuppsättningen. Mapparna Sysvol\Sysvol
och SYSVOL_DFSR\Sysvol
använder följande platser som standard:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
Sökvägen till den aktiva SYSVOL
refereras av NETLOGON-resursen och kan bestämmas av SysVol-värdenamnet i följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Undanta följande filer från den här mappen och alla dess undermappar:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
Undantag för Windows Server Update Services
I det här avsnittet visas de mappundantag som levereras automatiskt när du installerar WSUS-rollen (Windows Server Update Services). WSUS-mappen anges i registernyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Inbyggda undantag
Eftersom Microsoft Defender Antivirus är inbyggt i Windows kräver det inte undantag för operativsystemfiler i någon version av Windows.
Inbyggda undantag är:
- Windows "temp.edb"-filer
- Windows Update-filer eller filer för automatisk uppdatering
- Windows-säkerhetsfiler
- Grupprincipfiler
- WINS-filer
- Filreplikeringstjänstundantag (FRS)
- Processundantag för inbyggda operativsystemfiler
Listan över inbyggda undantag i Windows hålls uppdaterad när hotlandskapet ändras.
Windows "temp.edb"-filer
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows Update-filer eller filer för automatisk uppdatering
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows-säkerhetsfiler
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
Grupprincipfiler
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-filer
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Filreplikeringstjänstundantag (FRS)
Filer i arbetsmappen Filreplikeringstjänst (FRS). FRS-arbetsmappen anges i registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
FRS-databasloggfiler. Mappen för FRS Database-loggfilen anges i registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
FRS-mellanlagringsmappen. Mellanlagringsmappen anges i registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
Förinstallationsmappen FRS. Den här mappen anges av mappen
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
DfSR-databasen (Distributed File System Replication) och arbetsmapparna. Dessa mappar anges av registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Obs!
Anpassade platser finns i Opting out of automatic exclusions (Avanmäla automatiska undantag).
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Processundantag för inbyggda operativsystemfiler
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Avanmäla dig från automatiska undantag
I Windows Server 2016 och senare exkluderar de fördefinierade undantagen som levereras av säkerhetsinformationsuppdateringar endast standardsökvägarna för en roll eller funktion. Om du har installerat en roll eller funktion i en anpassad sökväg, eller om du vill styra uppsättningen undantag manuellt, bör du välja bort de automatiska undantag som levereras i Uppdateringar av säkerhetsinformation. Men tänk på att undantagen som levereras automatiskt är optimerade för Windows Server 2016 och senare. Se Viktiga punkter om undantag innan du definierar dina undantagslistor.
Varning
Om du avanmäler dig från automatiska undantag kan det påverka prestanda negativt eller leda till att data skadas. Automatiska undantag för serverroller är optimerade för Windows Server 2016, Windows Server 2019 och Windows Server 2022.
Eftersom fördefinierade undantag endast exkluderar standardsökvägar måste du lägga till undantag manuellt om du flyttar NTDS- och SYSVOL-mappar till en annan enhet eller sökväg som skiljer sig från den ursprungliga sökvägen. Se Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg.
Du kan inaktivera de automatiska undantagslistorna med grupprincip, PowerShell-cmdletar och WMI.
Använd grupprincip för att inaktivera listan över automatiska undantag i Windows Server 2016, Windows Server 2019 och Windows Server 2022
Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering. Högerklicka på det grupprincipobjekt som du vill konfigurera och välj sedan Redigera.
I redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer sedan Administrativa mallar.
Expandera trädet till Windows-komponenter>Microsoft DefenderAntivirus-undantag>.
Dubbelklicka på Inaktivera automatiska undantag och ställ in alternativet på Aktiverad. Välj sedan OK.
Använda PowerShell-cmdletar för att inaktivera listan över automatiska undantag på Windows Server
Använd följande cmdletar:
Set-MpPreference -DisableAutoExclusions $true
Mer information finns i följande resurser:
- Använd PowerShell-cmdletar för att konfigurera och köra Microsoft Defender Antivirus.
- Använd PowerShell med Microsoft Defender Antivirus.
Använd Windows Management Instruction (WMI) för att inaktivera listan över automatiska undantag på Windows Server
Använd metoden Set för klassen MSFT_MpPreference för följande egenskaper:
DisableAutoExclusions
Mer information och tillåtna parametrar finns i:
Definiera anpassade undantag
Om det behövs kan du lägga till eller ta bort anpassade undantag. Det gör du genom att läsa följande artiklar:
- Konfigurera anpassade undantag för Microsoft Defender Antivirus
- Konfigurera och validera undantag baserat på filnamn, filnamn och mappplats
- Konfigurera och validera undantag för filer som öppnas av processer
Se även
- Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus
- Vanliga misstag att undvika när man definierar undantag
- Anpassa, initiera och granska resultatet av Genomsökningar och åtgärder i Microsoft Defender Antivirus
- Microsoft Defender för Endpoint för Mac
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.