Vanliga misstag att undvika när man definierar undantag

  • Artikel

Gäller för:

Plattformar

  • Windows
  • macOS
  • Linux

Viktigt

Lägg till undantag med försiktighet. Undantag för Microsoft Defender antivirusgenomsökningar minskar skyddsnivån för enheter.

Du kan definiera en undantagslista för objekt som du inte vill att Microsoft Defender Antivirus ska genomsöka. Undantagna objekt kan dock innehålla hot som gör din enhet sårbar. Den här artikeln beskriver några vanliga misstag som du bör undvika när du definierar undantag.

Tips

Innan du definierar dina undantagslistor kan du läsa Viktiga punkter om undantag och granska den detaljerade informationen i Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Exkluderande av vissa betrodda objekt

Vissa filer, filtyper, mappar eller processer bör inte undantas från genomsökning även om du litar på att de inte är skadliga. Definiera inte undantag för mappplatser, filnamnstillägg och processer som visas i följande avsnitt:

Mappplatser

Viktigt

Vissa mappar bör inte undantas från genomsökningar eftersom de kan bli mappar där skadliga filer kan tas bort.

I allmänhet ska du inte definiera undantag för någon av följande mappplatser:

  • %systemdrive%
  • C:, C:\, eller C:\*
  • %ProgramFiles%\Java eller C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\eller C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\, eller C:\Temp\*
  • C:\Users\ eller C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ eller C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Observera följande viktiga undantag för SharePoint: UndantaC:\Users\ServiceAccount\AppData\Local\Temp eller C:\Users\Default\AppData\Local\Temp när du använder antivirusskydd på filnivå i SharePoint.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\eller C:\Windows\Prefetch\*
  • %Windir%\System32\Spool eller C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\eller C:\Windows\Temp\*

Linux- och macOS-plattformar

I allmänhet ska du inte definiera undantag för följande mappplatser:

  • /
  • /bin eller /sbin
  • /usr/lib

Filtillägg

Viktigt

Vissa filnamnstillägg bör inte undantas eftersom de kan vara filtyper som används i ett angrepp.

I allmänhet ska du inte definiera undantag för följande filnamnstillägg:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko eller .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Processer

Viktigt

Vissa processer bör inte uteslutas eftersom de används under attacker.

I allmänhet ska du inte definiera undantag för följande processer:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Obs!

Du kan välja att undanta filtyper, till exempel .gif, .jpg, .jpegeller .png om din miljö har en modern, uppdaterad programvara med en strikt uppdateringsprincip för att hantera eventuella säkerhetsrisker.

Linux- och macOS-plattformar

I allmänhet ska du inte definiera undantag för följande processer:

  • bash
  • java
  • python och python3
  • sh
  • zsh

Använd bara filnamnet i undantagslistan

Skadlig kod kan ha samma namn som för en fil som du litar på och vill undanta från genomsökning. Undvik därför att utesluta potentiell skadlig kod från genomsökning genom att använda en fullständigt kvalificerad sökväg till filen som du vill exkludera i stället för att bara använda filnamnet. Om du till exempel vill undanta Filename.exe från genomsökning använder du den fullständiga sökvägen till filen, till exempel C:\program files\contoso\Filename.exe.

Använda en enda undantagslista för flera serverarbetsbelastningar

Använd inte en enda undantagslista för att definiera undantag för flera serverarbetsbelastningar. Dela upp undantagen för olika program- eller tjänstarbetsbelastningar i flera undantagslistor. Exkluderingslistan för din IIS Server-arbetsbelastning måste till exempel skilja sig från undantagslistan för din SQL Server arbetsbelastning.

Använda felaktiga miljövariabler som jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg

Microsoft Defender Antivirus Service körs i systemkontext med kontot LocalSystem, vilket innebär att det hämtar information från systemmiljövariabeln och inte från användarmiljövariabeln. Användningen av miljövariabler som jokertecken i undantagslistor är begränsad till systemvariabler och de som gäller för processer som körs som ett NT AUTHORITY\SYSTEM-konto. Använd därför inte användarmiljövariabler som jokertecken när du lägger till Microsoft Defender Antivirus-mapp och processundantag. En fullständig lista över systemmiljövariabler finns i tabellen under Systemmiljövariabler .

Mer information om hur du använder jokertecken i undantagslistor finns i Använda jokertecken i filnamns- och mappsökvägs- eller tilläggsundantagslistor .

Se även

Tips

Vill du lära dig mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.