Konfigurera och validera undantag baserat på filnamnstillägg och mappplats

  • Artikel

Gäller för:

Plattformar

  • Windows

Du kan definiera undantag för Microsoft Defender Antivirus som gäller för schemalagda genomsökningar, genomsökningar på begäran och alltid på realtidsskydd och övervakning. I allmänhet behöver du inte tillämpa undantag. Om du behöver tillämpa undantag kan du välja mellan följande:

Viktigt

Microsoft Defender Antivirus-undantag gäller för vissa Microsoft Defender för Endpoint funktioner, till exempel regler för minskning av attackytan. Vissa Microsoft Defender antivirusundantag gäller för vissa ASR-regelundantag. Se Referens för regler för minskning av attackytan – Microsoft Defender Antivirusundantag och ASR-regler. Filer som du exkluderar med hjälp av metoderna som beskrivs i den här artikeln kan fortfarande utlösa aviseringar om slutpunktsidentifiering och svar (EDR) och andra identifieringar. Om du vill exkludera filer brett lägger du till dem i Microsoft Defender för Endpoint anpassade indikatorer.

Innan du börjar

Se Rekommendationer för att definiera undantag innan du definierar dina undantagslistor.

Undantagslistor

Om du vill undanta vissa filer från Microsoft Defender Antivirus-genomsökningar ändrar du dina undantagslistor. Microsoft Defender Antivirus innehåller många automatiska undantag baserat på kända operativsystemsbeteenden och vanliga hanteringsfiler, till exempel de som används i företagshantering, databashantering och andra företagsscenarier och situationer.

Obs!

Undantag gäller även för potentiellt oönskade appar (PUA ). Automatiska undantag gäller endast för Windows Server 2016 och senare. Dessa undantag visas inte i Windows-säkerhet-appen och i PowerShell.

I följande tabell visas några exempel på undantag baserat på filnamnstillägg och mappplats.

Uteslutning Exempel Undantagslista
Alla filer med ett specifikt tillägg Alla filer med det angivna tillägget, var som helst på datorn.

Giltig syntax: .test och test		 Tilläggsundantag
Alla filer under en specifik mapp Alla filer under c:\test\sample mappen Fil- och mappundantag
En specifik fil i en specifik mapp Endast filen c:\sample\sample.test Fil- och mappundantag
En specifik process Den körbara filen c:\test\process.exe Fil- och mappundantag

Egenskaper för undantagslistor

  • Mappundantag gäller för alla filer och mappar under den mappen, såvida inte undermappen är en referenspunkt. Undermappar för referenspunkter måste undantas separat.
  • Filnamnstillägg gäller för alla filnamn med det definierade tillägget om en sökväg eller mapp inte har definierats.

Viktig information om undantag baserat på filnamnstillägg och mappplatser

  • Om du använder jokertecken som asterisken (*) ändras hur undantagsregler tolkas. Se avsnittet Använd jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg för viktig information om hur jokertecken fungerar.

  • Exkludera inte mappade nätverksenheter. Ange den faktiska nätverkssökvägen.

  • Mappar som är referenspunkter skapas när Microsoft Defender Antivirus-tjänsten startar och de som har lagts till i undantagslistan ingår inte. Starta om tjänsten genom att starta om Windows för att nya referenspunkter ska identifieras som ett giltigt undantagsmål.

  • Undantag gäller för schemalagda genomsökningar, genomsökningar på begäran och realtidsskydd, men inte för alla Defender för Endpoint-funktioner. Om du vill definiera undantag i Defender för Endpoint använder du anpassade indikatorer.

  • Som standard sammanfogas lokala ändringar som gjorts i listorna (av användare med administratörsbehörighet, inklusive ändringar som gjorts med PowerShell och WMI) med de listor som definierats (och distribuerats) av grupprincip, Configuration Manager eller Intune. De grupprincip-listorna har företräde när det finns konflikter. Dessutom visas ändringar i undantagslistan som görs med grupprincip i Windows-säkerhet-appen.

  • Om du vill tillåta att lokala ändringar åsidosätter inställningar för hanterad distribution konfigurerar du hur lokala och globalt definierade undantagslistor slås samman.

Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg

Du kan välja mellan flera metoder för att definiera undantag för Microsoft Defender Antivirus.

Använd Intune för att konfigurera undantag för filnamn, mapp eller filnamnstillägg

Se följande artiklar:

Använd Configuration Manager för att konfigurera undantag för filnamn, mapp eller filnamnstillägg

Mer information om hur du konfigurerar Microsoft Configuration Manager (aktuell gren) finns i Skapa och distribuera principer för program mot skadlig kod: Undantagsinställningar.

Använd grupprincip för att konfigurera undantag för mappar eller filnamnstillägg

Obs!

Om du anger en fullständigt kvalificerad sökväg till en fil undantas endast den filen. Om en mapp definieras i undantaget undantas alla filer och underkataloger under den mappen.

  1. På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.

  2. I grupprincip Management Editor gå till Datorkonfiguration och välj Administrativa mallar.

  3. Expandera trädet till Windows-komponenter>Microsoft DefenderAntivirusundantag>.

  4. Öppna inställningen Sökvägsundantag för redigering och lägg till dina undantag.

    1. Ange alternativet till Aktiverad.
    2. Under avsnittet Alternativ väljer du Visa.
    3. Ange varje mapp på sin egen rad under kolumnen Värdenamn .
    4. Om du anger en fil kontrollerar du att du anger en fullständigt kvalificerad sökväg till filen, inklusive enhetsbeteckning, mappsökväg, filnamn och filnamnstillägg.
    5. Ange 0 i kolumnen Värde .

  5. Välj OK.

  6. Öppna inställningen Tilläggsundantag för redigering och lägg till dina undantag.

    1. Ange alternativet till Aktiverad.
    2. Under avsnittet Alternativ väljer du Visa.
    3. Ange varje filnamnstillägg på sin egen rad under kolumnen Värdenamn .
    4. Ange 0 i kolumnen Värde .

  7. Välj OK.

Använd PowerShell-cmdletar för att konfigurera filnamns-, mapp- eller filnamnstilläggsundantag

Användning av PowerShell för att lägga till eller ta bort undantag för filer baserat på tillägget, platsen eller filnamnet kräver att du använder en kombination av tre cmdletar och lämplig parameter för undantagslistan. Alla cmdletar finns i Defender-modulen.

Formatet för cmdletarna är följande:

<cmdlet> -<exclusion list> "<item>"

I följande tabell visas cmdletar som du kan använda i <cmdlet> delen av PowerShell-cmdleten:

Konfigurationsåtgärd PowerShell-cmdlet
Skapa eller skriva över listan Set-MpPreference
Lägg till i listan Add-MpPreference
Ta bort objekt från listan Remove-MpPreference

I följande tabell visas värden som du kan använda i <exclusion list> delen av PowerShell-cmdleten:

Undantagstyp PowerShell-parameter
Alla filer med ett angivet filnamnstillägg -ExclusionExtension
Alla filer under en mapp (inklusive filer i underkataloger) eller en specifik fil -ExclusionPath

Viktigt

Om du har skapat en lista, antingen med Set-MpPreference eller Add-MpPreference, skriver cmdleten Set-MpPreference igen över den befintliga listan.

Följande kodfragment skulle till exempel göra att Microsoft Defender Antivirus-genomsökningar utesluter alla filer med filnamnstillägget.test:

Add-MpPreference -ExclusionExtension ".test"

Tips

Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.

Använd Windows Management Instrumentation (WMI) för att konfigurera undantag för filnamn, mapp eller filnamnstillägg

Använd metoderna Set, Add och Remove i klassen MSFT_MpPreference för följande egenskaper:

ExclusionExtension
ExclusionPath

Användning av Set, Add och Remove motsvarar deras motsvarigheter i PowerShell: Set-MpPreference, Add-MpPreferenceoch Remove-MpPreference.

Tips

Mer information finns i Windows Defender WMIv2-API:er.

Använd Windows-säkerhet-appen för att konfigurera filnamns-, mapp- eller filnamnstilläggsundantag

Instruktioner finns i Lägga till undantag i Windows-säkerhet-appen.

Använd jokertecken i filnamns- och mappsökvägen eller undantagslistorna för tillägg

Du kan använda miljövariablerna asterisk *, frågetecken ?eller miljö (till exempel %ALLUSERSPROFILE%) som jokertecken när du definierar objekt i listan med undantag för filnamn eller mappsökväg. Hur dessa jokertecken tolkas skiljer sig från den vanliga användningen i andra appar och språk. Läs det här avsnittet för att förstå deras specifika begränsningar.

Viktigt

Det finns viktiga begränsningar och användningsscenarier för dessa jokertecken:

  • Användning av miljövariabler är begränsad till datorvariabler och de som gäller för processer som körs som ett NT AUTHORITY\SYSTEM-konto.
  • Du kan bara använda högst sex jokertecken per post.
  • Du kan inte använda jokertecken i stället för en enhetsbeteckning.
  • En asterisk * i ett mappundantag finns på plats för en enda mapp. Använd flera instanser av \*\ för att ange flera kapslade mappar med ospecificerade namn.

I följande tabell beskrivs hur jokertecken kan användas och innehåller några exempel.

Jokertecken Exempel
* (asterisk)

I filnamns- och filnamnstilläggsinkluderingar ersätter asterisken valfritt antal tecken och gäller endast för filer i den sista mappen som definierats i argumentet.

I mappundantag ersätter asterisken en enda mapp. Använd flera * med mappsnedstreck \ för att ange flera kapslade mappar. När du har matchat antalet jokertecken och namngivna mappar ingår även alla undermappar.		 C:\MyData\*.txt Innehåller C:\MyData\notes.txt

C:\somepath\*\Data innehåller alla filer i C:\somepath\Archives\Data och dess undermappar och C:\somepath\Authorized\Data dess undermappar

C:\Serv\*\*\Backup innehåller alla filer i C:\Serv\Primary\Denied\Backup och dess undermappar och C:\Serv\Secondary\Allowed\Backup dess undermappar
? (frågetecken)

I filnamns- och filnamnstilläggsinkluderingar ersätter frågetecknet ett enda tecken och gäller endast för filer i den sista mappen som definierats i argumentet.

I mappundantag ersätter frågetecknet ett enskilt tecken i ett mappnamn. När du har matchat antalet jokertecken och namngivna mappar ingår även alla undermappar.		 C:\MyData\my?.zip Innehåller C:\MyData\my1.zip

C:\somepath\?\Data innehåller alla filer i C:\somepath\P\Data och dess undermappar

C:\somepath\test0?\Data skulle inkludera alla filer i C:\somepath\test01\Data och dess undermappar
Miljövariabler

Den definierade variabeln fylls i som en sökväg när undantaget utvärderas.		 %ALLUSERSPROFILE%\CustomLogFiles skulle inkludera C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Viktigt

Om du blandar ett filundantagsargument med ett argument för mappundantag stoppas reglerna vid filargumentmatchningen i den matchade mappen och letar inte efter filmatchningar i några undermappar. Du kan till exempel exkludera alla filer som börjar med "date" i mapparna c:\data\final\marked och c:\data\review\marked med hjälp av regelargumentet c:\data\*\marked\date*. Det här argumentet matchar inte några filer i undermappar under c:\data\final\marked eller c:\data\review\marked.

Systemmiljövariabler

I följande tabell visas och beskrivs miljövariablerna för systemkontot.

Den här systemmiljövariabeln... Omdirigerar till detta
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Granska listan över undantag

Du kan hämta objekten i undantagslistan med någon av följande metoder:

Viktigt

Undantagslistans ändringar som görs med grupprincip visas i listorna över Windows-säkerhet app. Ändringar som görs i Windows-säkerhet-appen visas inte i grupprincip-listorna.

Om du använder PowerShell kan du hämta listan på följande två sätt:

  • Hämta status för alla Microsoft Defender Antivirus-inställningar. Varje lista visas på separata rader, men objekten i varje lista kombineras till samma rad.
  • Skriv status för alla inställningar till en variabel och använd variabeln för att bara anropa den specifika lista som du är intresserad av. Varje användning av Add-MpPreference skrivs till en ny rad.

Verifiera undantagslistan med hjälp av MpCmdRun

Om du vill kontrollera undantag med det dedikerade kommandoradsverktyget mpcmdrun.exeanvänder du följande kommando:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Obs!

Kontroll av undantag med MpCmdRun kräver Microsoft Defender Antivirus version 4.18.2111-5.0 (släpptes i december 2021) eller senare.

Granska listan över undantag tillsammans med alla andra Microsoft Defender Antivirus-inställningar med hjälp av PowerShell

Använd följande cmdlet:

Get-MpPreference

I följande exempel är objekten ExclusionExtension i listan markerade:

PowerShell-utdata för Get-MpPreference

Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.

Hämta en specifik undantagslista med hjälp av PowerShell

Använd följande kodfragment (ange varje rad som ett separat kommando); ersätt WDAVprefs med den etikett som du vill namnge variabeln:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

I följande exempel delas listan upp i nya rader för varje användning av cmdleten Add-MpPreference :

PowerShell-utdata som endast visar posterna i undantagslistan

Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.

Verifiera undantagslistor med EICAR-testfilen

Du kan kontrollera att dina undantagslistor fungerar med hjälp av PowerShell med antingen cmdleten Invoke-WebRequest eller .NET WebClient-klassen för att ladda ned en testfil.

I följande PowerShell-kodfragment ersätter test.txt du med en fil som följer dina undantagsregler. Om du till exempel har exkluderat .testing tillägget ersätter test.txt du med test.testing. Om du testar en sökväg kontrollerar du att du kör cmdleten inom den sökvägen.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Om Microsoft Defender Antivirus rapporterar skadlig kod fungerar inte regeln. Om det inte finns någon rapport om skadlig kod och den nedladdade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.

Du kan också använda följande PowerShell-kod, som anropar .NET WebClient-klassen för att ladda ned testfilen – som med cmdleten Invoke-WebRequest ; ersätt c:\test.txt med en fil som överensstämmer med den regel som du validerar:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Om du inte har Internetåtkomst kan du skapa en egen EICAR-testfil genom att skriva EICAR-strängen till en ny textfil med följande PowerShell-kommando:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker exkludera.

Tips

Om du letar efter antivirusrelaterad information för andra plattformar läser du:

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.