Konfigurera och validera undantag baserat på filtillägg och mappplats
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Du kan definiera undantag för Microsoft Defender Antivirus som gäller för schemalagda genomsökningar ,sökningar på begäran och alltid på, realtidsskydd och övervakning. I allmänhet ska du inte behöva tillämpa undantag. Om du behöver använda undantag kan du välja mellan flera olika typer:
- Undantag baserade på filnamnstillägg och mappplatser (beskrivs i den här artikeln)
- Undantag för filer som öppnas av processer
Viktigt
Microsoft Defender Antivirus undantag gäller inte för andra Microsoft Defender-funktioner för slutpunktsfunktioner, till exempel identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt), ASR-regler (attacksurface reduction), och reglerad mappåtkomst. Filer som du undantar med de metoder som beskrivs i den här artikeln kan fortfarande utlösa Identifiering och åtgärd på slutpunkt aviseringar och andra identifieringar. Om du vill utesluta filer allmänt lägger du till dem i anpassade indikatorer i Microsoft Defender för Slutpunkt.
Innan du börjar ...
Läs Rekommendationer för att definiera undantag innan du definierar dina undantagslistor.
Undantagslistor
Om du vill utesluta vissa filer Microsoft Defender Antivirus genomsökningar ändrar du dina undantagslistor. Microsoft Defender Antivirus omfattar många automatiska undantag baserade på kända operativsystemsbeteenden och vanliga hanteringsfiler, till exempel de som används i företagshantering, databashantering och andra företagsscenarier och situationer.
Anteckning
Undantag gäller även pua-identifieringar som kan vara oönskade.
Automatiska undantag gäller endast för Windows Server 2016 och senare. Undantagen visas inte i Windows-säkerhet och i PowerShell.
I följande tabell visas några exempel på undantag baserade på filtillägg och mappplats.
| Exkludering | Exempel | Undantagslista |
|---|---|---|
| Alla filer med ett specifikt filnamnstillägg | Alla filer med det angivna tillägget, var som helst på datorn. Giltig syntax: |
Undantag för tillägg |
| En fil under en särskild mapp | Alla filer under c:\test\sample mappen |
Undantag för filer och mappar |
| En viss fil i en särskild mapp | Endast c:\sample\sample.test filen |
Undantag för filer och mappar |
| En specifik process | Den körbara filen c:\test\process.exe |
Undantag för filer och mappar |
Egenskaper för undantagslistor
- Undantag för mappar gäller för alla filer och mappar under den mappen, såvida inte undermappen är en omparsningspunkt. Undermappar med uppslagspunkt måste uteslutas separat.
- Filnamnstillägg gäller för alla filnamn med det definierade filnamnstillägget om en sökväg eller mapp inte definierats.
Viktiga kommentarer om undantag baserade på filnamnstillägg och mappplatser
Om du använder jokertecken som asterisk ( * ) ändras hur undantagsreglerna tolkas. Viktig information om hur jokertecken fungerar finns i avsnittet Använda jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg.
Exkludera inte mappade nätverksenheter. Ange den faktiska nätverkssökvägen.
Mappar som är upp till två punkter som skapas när Microsoft Defender Antivirus-tjänsten startas och som har lagts till i undantagslistan inkluderas inte. Starta om tjänsten (genom att Windows för att nyaparspunkter ska identifieras som ett giltigt undantagsmål.
Undantag gäller för schemalagda genomsökningar, sökningar på begäran och realtidsskydd,men inte för Defender för Slutpunkt. Använd anpassade indikatorer om du vill definiera undantag i Defender förSlutpunkt.
Som standard kommer lokala ändringar som görs i listorna (av användare med administratörsbehörighet, inklusive ändringar som görs med PowerShell och WMI) att slås samman med listorna som definierats (och distribuerats) av Grupprincip, Konfigurationshanteraren eller Intune. Grupprinciplistorna har företräde när det uppstår konflikter. Dessutom visas ändringar i undantagslistor som gjorts med Grupprincip i Windows-säkerhet programmet.
Om du vill tillåta lokala ändringar att åsidosätta inställningar för hanterad distribution konfigurerar du hur lokalt och globalt definierade undantagslistor slås samman.
Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg
Du kan välja mellan flera metoder för att definiera undantag för Microsoft Defender Antivirus.
Använda Intune för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Se följande artiklar:
- Konfigurera inställningar för enhetsbegränsning i Microsoft Intune
- Microsoft Defender Antivirus för enhetsbegränsningar för Windows 10 in Intune
Använda Konfigurationshanteraren för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Se Skapa och distribuera principer för program mot skadlig programvara: Undantagsinställningar för information om konfigurering av Microsoft Endpoint Manager (current branch).
Använda grupprinciper för att konfigurera undantag för mappar eller filnamnstillägg
Anteckning
Om du anger en fullständigt kvalificerad sökväg till en fil utesluts endast den filen. Om en mapp definieras i undantaget utesluts alla filer och undermappar under den mappen.
På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.
I redigeraren för hantering av grupprinciper går du till Datorkonfiguration och väljer Administrativa mallar.
Expandera trädet för att Windows komponenter > Microsoft Defender Antivirus > Undantag.
Öppna inställningen för undantag av sökvägar för redigering och lägg till undantagen.
- Ställ in alternativet som Aktiverad.
- Under avsnittet Alternativ väljer du Visa.
- Ange varje mapp på en egen rad under kolumnen Värdenamn.
- Om du anger en fil ska du kontrollera att du anger en fullständigt kvalificerad sökväg till filen, inklusive enhetsbokstaven, mappsökvägen, filnamn och filnamnstillägg.
- Ange 0 i kolumnen Värde.
Välj OK.
Öppna inställningen för undantag av filnamnstillägg för redigering och lägg till undantagen.
- Ställ in alternativet som Aktiverad.
- Under avsnittet Alternativ väljer du Visa.
- Ange varje filnamnstillägg på en egen rad under kolumnen Värdenamn.
- Ange 0 i kolumnen Värde.
Välj OK.
Använda PowerShell-cmdlets för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Användning av PowerShell för att lägga till eller ta bort undantag för filer baserat på filtillägget, platsen eller filnamnet kräver en kombination av tre cmdlets och lämplig undantagslistparameter. Cmdletarna finns i Defender-modulen.
Formatet för cmdletarna är följande:
<cmdlet> -<exclusion list> "<item>"
I följande tabell visas cmdlet:ar som du kan använda i <cmdlet> den delen av PowerShell-cmdleten:
| Konfigurationsåtgärd | PowerShell-cmdlet |
|---|---|
| Skapa eller skriva över listan | Set-MpPreference |
| Lägg till i listan | Add-MpPreference |
| Ta bort objekt från listan | Remove-MpPreference |
I följande tabell visas värden som du kan använda i den <exclusion list> delen av PowerShell-cmdleten:
| Exkluderingstyp | PowerShell-parameter |
|---|---|
| Alla filer med ett angivet filnamnstillägg | -ExclusionExtension |
| Alla filer under en mapp (inklusive filer i undermappar) eller en viss fil | -ExclusionPath |
Viktigt
Om du har skapat en lista med eller skriver du över den befintliga listan med hjälp av Set-MpPreference Add-MpPreference Set-MpPreference cmdleten igen.
Följande kodfragment leder till att Microsoft Defender Antivirus utesluter alla filer med .test filnamnstillägget:
Add-MpPreference -ExclusionExtension ".test"
Tips
Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.
Använda Windows (Management Instrumentation) för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Använd metoderna Ange, Lägg till och Ta bort MSFT_MpPreference klassen för följande egenskaper:
ExclusionExtension
ExclusionPath
Med Set, Add och Remove kan de jämföras med sina motsvarigheter i PowerShell: , och Set-MpPreference Add-MpPreference Remove-MpPreference .
Tips
Mer information finns i Windows Defender WMIv2-API:er.
Använda Windows-säkerhet-appen för att konfigurera undantag för filnamn, mapp eller filnamnstillägg
Anvisningar finns i Lägga till undantag Windows-säkerhet appen.
Använda jokertecken i filnamnet och i undantagslistorna för mappar och filnamnstillägg
Du kan använda asterisken, frågetecken eller miljövariabler (till exempel ) som jokertecken när du definierar objekt i undantagslistan för filnamnet eller * ? %ALLUSERSPROFILE% sökvägen till mappen. Hur dessa jokertecken tolkas skiljer sig från den vanliga användningen i andra appar och språk. Läs det här avsnittet för att förstå deras specifika begränsningar.
Viktigt
Det finns viktiga begränsningar och användningsscenarier för dessa jokertecken:
- Miljövariabel användning begränsas till maskinvariabler och de som gäller för processer som körs som ett NT AUTHORITY\SYSTEM-konto.
- Du kan inte använda ett jokertecken i stället för en enhetsbeteckning.
- En asterisk
*i ett undantag från mappar gäller för en enskild mapp. Använd flera instanser av för\*\att ange flera kapslade mappar med ospecificerade namn. - För närvarande Microsoft Endpoint Configuration Manager jokertecken (till exempel
*eller?).
I följande tabell beskrivs hur jokertecken kan användas och några exempel.
| Jokertecken | Exempel |
|---|---|
* (asterisk) I filnamns- och filnamnstillägg ersätter asterisken valt många tecken och gäller endast filer i den senaste mappen som definierats i argumentet. I mapp undantas ersätter asterisken en enskild mapp. Använd flera |
C:\MyData\*.txt inkluderar C:\MyData\notes.txt |
? (frågetecken) I filnamns- och filnamnstillägg ersätter frågetecknet ett enda tecken och gäller endast filer i den senaste mappen som definierats i argumentet. I mapp undantas ersätter frågetecknet ett enda tecken i ett mappnamn. När antalet jokertecken och namngivna mappar har matchats, inkluderas även alla undermappar. |
C:\MyData\my?.zip inkluderar C:\MyData\my1.zip |
| Miljövariabler Den definierade variabeln fylls i som en sökväg när undantaget beräknas. |
%ALLUSERSPROFILE%\CustomLogFiles skulle inkludera C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Viktigt
Om du blandar ett argument för filexkludering med ett argument för undantag för mappar stannar reglerna vid argumentet fil i den matchande mappen och söker inte efter filmatchningar i någon undermapp.
Du kan till exempel utesluta alla filer som börjar med "datum" i mapparna c:\data\final\marked och genom att använda c:\data\review\marked regelargumentet c:\data\*\marked\date* .
Det här argumentet matchar dock inte filer i undermappar under c:\data\final\marked eller c:\data\review\marked .
Systemmiljövariabler
I följande tabell visas och beskrivs systemkontomiljövariablerna.
| Den här systemmiljövariabeln... | Omdirigerar till den här |
|---|---|
%APPDATA% |
C:\Users\UserName.DomainName\AppData\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\Windows\System32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Users\UserName |
%USERPROFILE%\AppData\Local |
C:\Users\UserName\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Users\UserName\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Users\UserName\AppData\Roaming |
Granska listan över undantag
Du kan hämta objekten i undantagslistan på något av följande sätt:
- Intune
- Microsoft Endpoint Configuration Manager
- MpCmdRun
- PowerShell
- Windows-säkerhet appen
Viktigt
Ändringar av undantagslistor som görs med Grupprincip visas i listorna i Windows-säkerhet programmet.
Ändringar som Windows-säkerhet visas inte i grupprinciplistorna.
Om du använder PowerShell kan du hämta listan på två sätt:
- Hämta status för alla Microsoft Defender Antivirus inställningar. Varje lista visas på separata rader, men objekten i varje lista kombineras på samma rad.
- Skriv statusen för alla inställningar till en variabel och använd den variabeln för att bara anropa den specifika listan som du är intresserad av. Varje användning av
Add-MpPreferenceskrivs till en ny rad.
Validera undantagslistan med hjälp av MpCmdRun
Om du vill kontrollera undantag med det dedikerade kommandoradsverktyget mpcmdrun.exeanvänder du följande kommando:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Anteckning
Kontroll av undantag med MpCmdRun kräver Microsoft Defender Antivirus CAMP version 4.18.2111-5.0 (utgiven i december 2021) eller senare.
Granska listan över undantag tillsammans med alla andra alternativ Microsoft Defender Antivirus med hjälp av PowerShell
Använd följande cmdlet:
Get-MpPreference
I följande exempel är de poster som ingår ExclusionExtension i listan markerade:
Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.
Hämta en specifik undantagslista med hjälp av PowerShell
Använd följande kodavsnitt (ange varje rad som ett separat kommando). ersätt WDAVprefs med den etikett som du vill namnge variabeln:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
I följande exempel är listan uppdelad i nya rader för varje användning av Add-MpPreference cmdleten:
Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.
Validera undantagslistor med EICAR-testfilen
Du kan verifiera att undantagslistorna fungerar genom att använda PowerShell med Invoke-WebRequest antingen cmdleten eller .NET WebClient-klassen för att hämta en testfil.
I följande PowerShell-kodstycke ersätter test.txt du med en fil som överensstämmer med dina undantagsregler. Om du till exempel har utelämnat .testing tillägget ersätter du test.txt med test.testing . Om du testar en sökväg bör du kontrollera att du kör cmdleten inom den sökvägen.
Invoke-WebRequest "http://www.eicar.org/download/eicar.com.txt" -OutFile "test.txt"
Om Microsoft Defender Antivirus rapporterar skadlig programvara fungerar inte regeln. Om det inte finns någon rapport om skadlig programvara och den hämtade filen finns fungerar undantaget. Du kan öppna filen för att bekräfta att innehållet är detsamma som det som beskrivs på EICAR-testfilens webbplats.
Du kan också använda följande PowerShell-kod som anropar .NET WebClient-klassen för att ladda ned testfilen – precis som med cmdleten – och ersätta med en fil som överensstämmer med den regel som du Invoke-WebRequest c:\test.txt validerar:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Om du inte har tillgång till Internet kan du skapa en egen EICAR-testfil genom att skriva EICAR-strängen till en ny textfil med följande PowerShell-kommando:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Du kan också kopiera strängen till en tom textfil och försöka spara den med filnamnet eller i mappen som du försöker utelämna.