Konfigurera anpassade undantag för Microsoft Defender Antivirus

  • Artikel

Gäller för:

Plattformar

  • Windows

I allmänhet bör du inte behöva definiera undantag för Microsoft Defender Antivirus. Om det behövs kan du dock exkludera filer, mappar, processer och processöppnade filer från Microsoft Defender Antivirus-genomsökningar. Dessa typer av undantag kallas anpassade undantag. Den här artikeln beskriver hur du definierar anpassade undantag för Microsoft Defender Antivirus med Microsoft Intune och innehåller länkar till andra resurser för mer information.

Anpassade undantag gäller för schemalagda genomsökningar, genomsökningar på begäran och alltid på realtidsskydd och övervakning. Undantag för processöppnade filer gäller endast för realtidsskydd.

Tips

En detaljerad översikt över undertryckningar, inlämningar och undantag i Microsoft Defender Antivirus och Defender för Endpoint finns i Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Konfigurera och validera undantag

Försiktighet

Använd Microsoft Defender Antivirus-tillägg sparsamt. Granska informationen i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Om du använder Microsoft Intune för att hantera Microsoft Defender Antivirus eller Microsoft Defender för Endpoint använder du följande procedurer för att definiera undantag:

Om du använder ett annat verktyg, till exempel Configuration Manager eller grupprincip, eller om du vill ha mer detaljerad information om anpassade undantag, kan du läsa följande artiklar:

Hantera antivirusundantag i Intune (för befintliga principer)

  1. I Microsoft Intune administrationscenter väljer du Endpoint Security>Antivirus och sedan en befintlig princip. (Om du inte har någon befintlig princip eller om du vill skapa en ny princip går du vidare till Skapa en ny antivirusprincip med undantag i Intune.)

  2. Välj Egenskaper och välj Redigera bredvid Konfigurationsinställningar.

  3. Expandera Microsoft Defender Antivirus-undantag och ange sedan dina undantag.

    • Undantagna tillägg är undantag som du definierar med filtypstillägg. Dessa tillägg gäller för alla filnamn som har det definierade tillägget utan filsökväg eller mapp. Avgränsa varje filtyp i listan måste avgränsas med ett | tecken. Till exempel lib|obj. Mer information finns i ExcludedExtensions.
    • Undantagna sökvägar är undantag som du definierar med deras plats (sökväg). Dessa typer av undantag kallas även för fil- och mappundantag. Avgränsa varje sökväg i listan med ett | tecken. Till exempel C:\Example|C:\Example1. Mer information finns i ExcludedPaths.
    • Exkluderade processer är undantag för filer som öppnas av vissa processer. Avgränsa varje filtyp i listan med ett | tecken. Till exempel C:\Example. exe|C:\Example1.exe. Dessa undantag gäller inte för de faktiska processerna. Om du vill undanta processer kan du använda fil- och mappundantag. Mer information finns i ExcludedProcesses.

  4. Välj Granska + spara och välj sedan Spara.

Skapa en ny antivirusprincip med undantag i Intune

  1. I Microsoft Intune administrationscenter väljer du Slutpunktssäkerhet>Antivirus>+ Skapa princip.

  2. Välj en plattform (till exempel Windows 10, Windows 11 och Windows Server).

  3. För Profil väljer du Microsoft Defender Antivirusundantag och sedan Skapa.

  4. I steget Skapa profil anger du ett namn och en beskrivning för profilen och väljer sedan Nästa.

  5. På fliken Konfigurationsinställningar anger du dina antivirusundantag och väljer sedan Nästa.

    • Undantagna tillägg är undantag som du definierar med filtypstillägg. Dessa tillägg gäller för alla filnamn som har det definierade tillägget utan filsökväg eller mapp. Avgränsa varje filtyp i listan med ett | tecken. Till exempel lib|obj. Mer information finns i ExcludedExtensions.
    • Undantagna sökvägar är undantag som du definierar med deras plats (sökväg). Dessa typer av undantag kallas även för fil- och mappundantag. Avgränsa varje sökväg i listan med ett | tecken. Till exempel C:\Example|C:\Example1. Mer information finns i ExcludedPaths.
    • Exkluderade processer är undantag för filer som öppnas av vissa processer. Avgränsa varje filtyp i listan med ett | tecken. Till exempel C:\Example. exe|C:\Example1.exe. Dessa undantag gäller inte för de faktiska processerna. Om du vill undanta processer kan du använda fil- och mappundantag. Mer information finns i ExcludedProcesses.

  6. Om du använder omfångstaggar i din organisation på fliken Omfångstaggar anger du omfångstaggar för principen som du skapar. (Se Omfångstaggar.)

  7. På fliken Tilldelningar anger du de användare och grupper som principen ska tillämpas på och väljer sedan Nästa. (Om du behöver hjälp med tilldelningar kan du läsa Tilldela användar- och enhetsprofiler i Microsoft Intune.)

  8. Granska inställningarna på fliken Granska + skapa och välj sedan Skapa.

Viktiga punkter om undantag

Genom att definiera undantag sänks det skydd som erbjuds av Microsoft Defender Antivirus. Du bör alltid utvärdera de risker som är associerade med att implementera undantag, och du bör endast undanta filer som du är säker på inte är skadliga.

Undantag påverkar direkt möjligheten för Microsoft Defender Antivirus att blockera, åtgärda eller inspektera händelser relaterade till filer, mappar eller processer som läggs till i undantagslistan. Anpassade undantag kan påverka funktioner som är direkt beroende av antivirusmotorn (till exempel skydd mot skadlig kod, fil-IOPS och certifikat-IOPS). Processundantag påverkar även regler för nätverksskydd och minskning av attackytan. Mer specifikt gör ett processundantag på en plattform att nätverksskyddet och ASR inte kan inspektera trafiken eller tillämpa regler för den specifika processen.

Tänk på följande när du definierar undantag:

  • Undantag är tekniskt sett ett skyddsgap. Överväg alla alternativ när du definierar undantag. Se Inlämningar, undertryckningar och undantag.

  • Granska undantag med jämna mellanrum. Kontrollera och tillämpa åtgärder igen som en del av granskningsprocessen.

  • Undvik att definiera undantag i ett försök att vara proaktiv. Du kan till exempel inte utesluta något bara för att du tror att det kan vara ett problem i framtiden. Använd endast undantag för specifika problem, till exempel de som rör prestanda eller programkompatibilitet som undantag kan minska.

  • Granska och granska ändringar i listan över undantag. Säkerhetsteamet bör bevara kontexten kring varför ett visst undantag lades till för att undvika förvirring senare. Säkerhetsteamet bör kunna ge specifika svar på frågor om varför undantag finns.

Granska antivirusundantag i Exchange-system

Microsoft Exchange har stöd för integrering med AMSI (Antimalware Scan Interface) sedan kvartalsvis i juni 2021 Uppdateringar för Exchange (se Köra Windows antivirusprogram på Exchange-servrar). Vi rekommenderar starkt att du installerar de här uppdateringarna och ser till att AMSI fungerar korrekt. Se Microsoft Defender Säkerhetsinformation för antivirusprogram och produktuppdateringar.

Många organisationer utesluter Exchange-katalogerna från antivirusgenomsökningar av prestandaskäl. Microsoft rekommenderar att du granskar Microsoft Defender Antivirus-undantag i Exchange-system och utvärderar om undantag kan tas bort utan att påverka prestanda i din miljö för att säkerställa högsta skyddsnivå. Undantag kan hanteras med hjälp av grupprincip, PowerShell eller systemhanteringsverktyg som Microsoft Intune.

Om du vill granska Microsoft Defender antivirusundantag på en Exchange Server kör du kommandot Get-MpPreference från en upphöjd PowerShell-prompt. (Se Get-MpPreference.)

Om undantag inte kan tas bort för Exchange-processer och -mappar bör du tänka på att om du kör en snabbsökning i Microsoft Defender genomsöker Antivirus Exchange-kataloger och -filer, oavsett undantag.

Se även

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.