Dela via


Konfigurera undantag för filer som öppnas av processer

Gäller för:

Plattformar

  • Windows

Du kan exkludera filer som öppnas av specifika processer från Microsoft Defender Antivirus-genomsökningar. Observera att de här typerna av undantag gäller för filer som öppnas av processer och inte själva processerna. Om du vill exkludera en process lägger du till ett filundantag (se Konfigurera och validera undantag baserat på filnamnstillägg och mappplats).

Se Viktiga punkter om undantag och granska informationen i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus innan du definierar dina undantagslistor.

I den här artikeln beskrivs hur du konfigurerar undantagslistor.

Exempel på processundantag

Uteslutning Exempel
Alla filer på datorn som öppnas av en process med ett specifikt filnamn Om du anger undantas test.exe filer som öppnas av:

c:\sample\test.exe

d:\internal\files\test.exe

Alla filer på datorn som öppnas av en process under en specifik mapp Om du anger undantas c:\test\sample\* filer som öppnas av:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Alla filer på datorn som öppnas av en specifik process i en specifik mapp Om du anger undantas c:\test\process.exe filer som endast öppnas av c:\test\process.exe

När du lägger till en process i listan över processundantag söker Microsoft Defender Antivirus inte igenom filer som öppnats av den processen, oavsett var filerna finns. Själva processen genomsöks dock om den inte också har lagts till i listan över filundantag.

Undantagen gäller endast för alltid på realtidsskydd och övervakning. De gäller inte för schemalagda genomsökningar eller genomsökningar på begäran.

Ändringar som görs med grupprincip i undantagslistorna visas i listorna i Windows-säkerhet-appen. Ändringar som görs i Windows-säkerhet-appen visas dock inte i grupprincip-listorna.

Du kan lägga till, ta bort och granska listorna för undantag i grupprincip, Microsoft Configuration Manager, Microsoft Intune och med appen Windows-säkerhet, och du kan använda jokertecken för att anpassa listorna ytterligare.

Du kan också använda PowerShell-cmdletar och WMI för att konfigurera undantagslistorna, inklusive att granska dina listor.

Som standard sammanfogas lokala ändringar som gjorts i listorna (av användare med administratörsbehörighet, ändringar som gjorts med PowerShell och WMI) med de listor som definierats (och distribuerats) av grupprincip, Configuration Manager eller Intune. De grupprincip listorna har företräde om det finns konflikter.

Du kan konfigurera hur lokala och globalt definierade undantagslistor slås samman så att lokala ändringar kan åsidosätta inställningarna för hanterad distribution.

Obs!

Regler för minskning av nätverksskydds- och attackytan påverkas direkt av processundantag på alla plattformar, vilket innebär att ett processundantag i alla operativsystem (Windows, MacOS, Linux) resulterar i att nätverksskydd eller ASR inte kan inspektera trafik eller tillämpa regler för den specifika processen.

Bildnamn jämfört med fullständig sökväg för processundantag

Två olika typer av processundantag kan anges. En process kan undantas av bildnamnet eller av en fullständig sökväg. Avbildningsnamnet är helt enkelt filnamnet för processen, utan sökvägen.

Med tanke på att processen MyProcess.exe som körs från C:\MyFolder\ den fullständiga sökvägen till den här processen till exempel skulle vara C:\MyFolder\MyProcess.exe och avbildningsnamnet är MyProcess.exe.

Undantag för avbildningsnamn är mycket mer omfattande – ett undantag MyProcess.exe för utesluter alla processer med det här avbildningsnamnet, oavsett vilken sökväg de körs från. Om processen MyProcess.exe till exempel exkluderas av avbildningsnamnet undantas den även om den körs från C:\MyOtherFolder, från flyttbara medier, et cetera. Därför rekommenderas att den fullständiga sökvägen används när det är möjligt.

Använda jokertecken i listan över processundantag

Användningen av jokertecken i listan över processundantag skiljer sig från användningen i andra undantagslistor. När processundantag definieras som ett avbildningsnamn tillåts inte jokerteckenanvändning. Men när en fullständig sökväg används stöds jokertecken och jokerteckenbeteendet fungerar enligt beskrivningen i Fil- och mappundantag

Användning av miljövariabler (till exempel %ALLUSERSPROFILE%) som jokertecken när du definierar objekt i listan över processundantag stöds också. Information och en fullständig lista över miljövariabler som stöds beskrivs i Fil- och mappundantag.

I följande tabell beskrivs hur jokertecken kan användas i listan över processundantag när en sökväg anges:

Jokertecken Exempel på användning Exempelmatchningar
* (asterisk)

Ersätter valfritt antal tecken.

C:\MyFolder\* Alla filer som öppnas av C:\MyFolder\MyProcess.exe eller C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Alla filer som öppnas av C:\MyFolder1\MyFolder2\MyProcess.exe eller C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Alla filer som öppnas av C:\MyOtherFolder\MyFolder\MyProcess.exe eller C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (frågetecken)

Ersätter ett tecken.

C:\MyFolder\MyProcess??.exe Alla filer som öppnas av C:\MyFolder\MyProcess42.exe eller C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Miljövariabler %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Alla filer som öppnas av C:\ProgramData\MyFolder\MyProcess.exe

Kontextuella processundantag

Observera att ett processundantag också kan definieras via ett sammanhangsberoende undantag som till exempel tillåter att en specifik fil undantas endast om den öppnas av en specifik process.

Konfigurera listan över undantag för filer som öppnas av angivna processer

Använd Microsoft Intune för att exkludera filer som har öppnats av angivna processer från genomsökningar

Mer information finns i Konfigurera inställningar för enhetsbegränsningar i Microsoft Intune och Microsoft Defender Inställningar för begränsning av antivirusenheter för Windows 10 i Intune.

Använd Microsoft Configuration Manager för att exkludera filer som har öppnats av angivna processer från genomsökningar

Mer information om hur du konfigurerar Microsoft Configuration Manager (aktuell gren) finns i Skapa och distribuera principer för program mot skadlig kod: Undantagsinställningar.

Använd grupprincip för att undanta filer som har öppnats av angivna processer från genomsökningar

  1. Öppna grupprincip-hanteringskonsolen på grupprincip-hanteringsdatorn, högerklicka på det grupprincip objekt som du vill konfigurera och klicka på Redigera.

  2. I grupprincip Management Editor går du till Datorkonfiguration och klickar på Administrativa mallar.

  3. Expandera trädet till Windows-komponenter > Microsoft Defender Antivirus-undantag>.

  4. Dubbelklicka på Processundantag och lägg till undantagen:

    1. Ange alternativet till Aktiverad.
    2. Under avsnittet Alternativ klickar du på Visa....
    3. Ange varje process på sin egen rad under kolumnen Värdenamn . Se exempeltabellen för de olika typerna av processundantag. Ange 0 i kolumnen Värde för alla processer.
  5. Klicka på OK.

Använd PowerShell-cmdletar för att undanta filer som har öppnats av angivna processer från genomsökningar

Användning av PowerShell för att lägga till eller ta bort undantag för filer som har öppnats av processer kräver att du använder en kombination av tre cmdletar med parametern -ExclusionProcess . Alla cmdletar finns i Defender-modulen.

Formatet för cmdletarna är:

<cmdlet> -ExclusionProcess "<item>"

Följande tillåts <som cmdlet>:

Konfigurationsåtgärd PowerShell-cmdlet
Skapa eller skriva över listan Set-MpPreference
Lägg till i listan Add-MpPreference
Ta bort objekt från listan Remove-MpPreference

Viktigt

Om du har skapat en lista, antingen med Set-MpPreference eller Add-MpPreference, kommer den befintliga listan att skrivas över med cmdleten Set-MpPreference igen.

Följande kodfragment skulle till exempel göra att Microsoft Defender Antivirus-genomsökningar utesluter alla filer som öppnas av den angivna processen:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Hantera antivirus med PowerShell-cmdletar och Microsoft Defender Antivirus-cmdletar.

Använd Windows Management Instruction (WMI) för att undanta filer som har öppnats av angivna processer från genomsökningar

Använd metoderna Set, Add och Remove i klassen MSFT_MpPreference för följande egenskaper:

ExclusionProcess

Användningen av Set, Add och Remove motsvarar deras motsvarigheter i PowerShell: Set-MpPreference, Add-MpPreferenceoch Remove-MpPreference.

Mer information och tillåtna parametrar finns i Windows Defender WMIv2-API:er.

Använd Windows-säkerhet-appen för att exkludera filer som har öppnats av angivna processer från genomsökningar

Följ anvisningarna i Lägg till undantag i Windows-säkerhet-appen.

Granska listan över undantag

Du kan hämta objekten i undantagslistan med MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune eller Windows-säkerhet-appen.

Om du använder PowerShell kan du hämta listan på två sätt:

  • Hämta status för alla Microsoft Defender Antivirus-inställningar. Var och en av listorna visas på separata rader, men objekten i varje lista kombineras till samma rad.
  • Skriv status för alla inställningar till en variabel och använd variabeln för att bara anropa den specifika lista som du är intresserad av. Varje användning av Add-MpPreference skrivs till en ny rad.

Verifiera undantagslistan med hjälp av MpCmdRun

Om du vill kontrollera undantag med det dedikerade kommandoradsverktyget mpcmdrun.exeanvänder du följande kommando:

MpCmdRun.exe -CheckExclusion -path <path>

Obs!

För att kontrollera undantag med MpCmdRun krävs Microsoft Defender Antivirus CAMP version 4.18.1812.3 (släpptes i december 2018) eller senare.

Granska listan över undantag tillsammans med alla andra Microsoft Defender Antivirus-inställningar med hjälp av PowerShell

Använd följande cmdlet:

Get-MpPreference

Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Använda PowerShell-cmdletar för att konfigurera och köra Microsoft Defender Antivirus- och Microsoft Defender Antivirus-cmdletar .

Hämta en specifik undantagslista med hjälp av PowerShell

Använd följande kodfragment (ange varje rad som ett separat kommando); ersätt WDAVprefs med den etikett som du vill namnge variabeln:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Använda PowerShell-cmdletar för att konfigurera och köra Microsoft Defender Antivirus- och Microsoft Defender Antivirus-cmdletar.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.