Konfigurera undantag för filer som öppnas av processer

Gäller för:

Du kan utesluta filer som har öppnats av specifika processer från Microsoft Defender Antivirus genomsökningar. Läs Rekommendationer för att definiera undantag innan du definierar dina undantagslistor.

I den här artikeln beskrivs hur du konfigurerar undantagslistor.

Exempel på undantag



Exkludering Exempel
Alla filer på datorn som öppnas i valfri process med ett visst filnamn När test.exe du anger utesluts filer som öppnas av:

c:\sample\test.exe

d:\internal\files\test.exe

Alla filer på datorn som öppnas i valfri process i en särskild mapp När c:\test\sample\* du anger utesluts filer som öppnas av:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Alla filer på datorn som öppnas av en viss process i en särskild mapp Om c:\test\process.exe du anger utesluts filer som endast öppnas av c:\test\process.exe

När du lägger till en process i undantagslistan för processen Microsoft Defender Antivirus inte genomsöka filer som öppnas i den processen, oavsett var filerna finns. Själva processen genomsöks dock om den inte också har lagts till i filens undantagslista.

Undantagen gäller endast för realtidsskydd och övervakning. De gäller inte för schemalagda genomsökningar eller sökningar på begäran.

Ändringar som görs med Grupprincip för undantagslistorna visas i listorna i Windows-säkerhet program. Ändringar som görs i Windows-säkerhet visas emellertid inte i listorna grupprinciper.

Du kan lägga till, ta bort och granska listorna för undantag i Grupprincip, Microsoft Endpoint Configuration Manager, Microsoft Intune och med Windows-säkerhet-appen, och du kan använda jokertecken för att ytterligare anpassa listorna.

Du kan också använda PowerShell-cmdlets och WMI för att konfigurera undantagslistorna, inklusive att granska listorna.

Som standard sammanfogas lokala ändringar som gjorts i listorna (av användare med administratörsbehörighet, ändringar som görs med PowerShell och WMI) med listorna som definierade (och distribuerade) av Grupprincip, Configuration Manager eller Intune. Grupprinciplistorna har företräde vid konflikter.

Du kan konfigurera hur lokalt och globalt definierade undantagslistor slås samman så att lokala ändringar åsidosätter inställningar för hanterad distribution.

Konfigurera listan över undantag för filer som öppnas av angivna processer

Använda Microsoft Intune för att utesluta filer som har öppnats av angivna processer från genomsökningar

För mer information läs Konfigurera inställningar för enhetsbegränsning i Microsoft Intune och Inställningar för enhetsbegränsning för Microsoft Defender i Windows 10 i Intune.

Använda Microsoft Endpoint Manager för att utesluta filer som har öppnats av angivna processer från genomsökningar

Se Skapa och distribuera principer för program mot skadlig programvara: Undantagsinställningar för information om konfigurering av Microsoft Endpoint Manager (current branch).

Använd grupprinciper för att utesluta filer som har öppnats av angivna processer från genomsökningar

  1. På datorn för grupprinciphantering öppnar du Konsolen förgrupprinciphantering, högerklickar på det grupprincipobjekt du vill konfigurera och klickar på Redigera.

  2. I redigeraren för grupprinciphantering går du till Datorkonfiguration och klickar på Administrativa mallar.

  3. Expandera trädet och visa Windows komponenter Microsoft Defender Antivirus > > Undantag.

  4. Dubbelklicka på Undantag för process och lägg till undantagen:

    1. Ställ in alternativet som Aktiverad.
    2. I avsnittet Alternativ klickar du på Visa....
    3. Ange varje process på en egen rad under kolumnen Värdenamn. Se exempeltabellen för de olika typerna av undantag för processer. Ange 0 i kolumnen Värde för alla processer.
  5. Klicka på OK.

Använd PowerShell-cmdlets för att utesluta filer som har öppnats av angivna processer från genomsökningar

Om du använder PowerShell för att lägga till eller ta bort undantag för filer som har öppnats i processer krävs en kombination av tre cmdlets med -ExclusionProcess parametern. Cmdletarna finns i Defender-modulen.

Formatet för cmdletarna är:

<cmdlet> -ExclusionProcess "<item>"

Följande tillåts <cmdlet> som:



Konfigurationsåtgärd PowerShell-cmdlet
Skapa eller skriva över listan Set-MpPreference
Lägg till i listan Add-MpPreference
Ta bort objekt från listan Remove-MpPreference

Viktigt

Om du har skapat en lista med eller skriver du över den befintliga listan med hjälp av Set-MpPreference Add-MpPreference Set-MpPreference cmdleten igen.

Följande kodavsnitt skulle till exempel göra att Microsoft Defender AV-genomsökningar utesluter alla filer som öppnas i den angivna processen:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Hantera antivirusprogram med PowerShell-cmdlets och Microsoft Defender Antivirus-cmdlets.

Använd Windows för hanteringsinstruktioner (WMI) för att utesluta filer som har öppnats av angivna processer från genomsökningar

Använd metoderna Ange, Lägg till och Ta bort MSFT_MpPreference klassen för följande egenskaper:

ExclusionProcess

Användandet av Set, Add och Remove kan jämföras med deras motsvarigheter i PowerShell: , Set-MpPreference och Add-MpPreference Remove-MpPreference .

Mer information och tillåtna parametrar finns i Windows Defender WMIv2-API:er.

Använd Windows-säkerhet för att utesluta filer som har öppnats av angivna processer från genomsökningar

Anvisningar finns i Lägga till undantag Windows-säkerhet appen.

Använda jokertecken i undantagslistan för processer

Användningen av jokertecken i processens undantagslista skiljer sig från användningen i andra undantagslistor.

I synnerhet kan du inte använda jokertecknet ( ) och jokertecknet ( ) kan bara användas i slutet av ? * en fullständig sökväg. Du kan fortfarande använda miljövariabler (till exempel %ALLUSERSPROFILE% ) som jokertecken när du definierar objekt i undantagslistan för processen.

I följande tabell beskrivs hur jokertecken kan användas i processens undantagslista:



Jokertecken Exempel på användning Exempelmatchning
* (asterisk)

Ersätter valbara antal tecken

C:\MyData\* Alla filer som öppnas av C:\MyData\file.exe
Miljövariabler

Den definierade variabeln fylls i som en sökväg när undantaget beräknas

%ALLUSERSPROFILE%\CustomLogFiles\file.exe Alla filer som öppnas av C:\ProgramData\CustomLogFiles\file.exe

Granska listan över undantag

Du kan hämta objekten i undantagslistan med MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intune eller Windows-säkerhet.

Om du använder PowerShell kan du hämta listan på två sätt:

  • Hämta status för alla Microsoft Defender Antivirus inställningar. Var och en av listorna visas på separata rader, men objekten i varje lista kombineras på samma rad.
  • Skriv statusen för alla inställningar till en variabel och använd den variabeln för att bara anropa den specifika listan som du är intresserad av. Varje användning av Add-MpPreference skrivs till en ny rad.

Validera undantagslistan med hjälp av MpCmdRun

Om du vill kontrollera undantag med det dedikerade kommandoradsverktyget mpcmdrun.exeanvänder du följande kommando:

MpCmdRun.exe -CheckExclusion -path <path>

Anteckning

Kontroll av undantag med MpCmdRun kräver Microsoft Defender Antivirus CAMP version 4.18.1812.3 (utgiven i december 2018) eller senare.

Granska listan över undantag tillsammans med alla andra alternativ Microsoft Defender Antivirus med hjälp av PowerShell

Använd följande cmdlet:

Get-MpPreference

Se Använda PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus- och Microsoft Defender Antivirus-cmdlets för mer information om hur du använder PowerShell med Microsoft Defender Antivirus.

Hämta en specifik undantagslista med hjälp av PowerShell

Använd följande kodavsnitt (ange varje rad som ett separat kommando). ersätt WDAVprefs med den etikett som du vill namnge variabeln:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Se Använda PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus- och Microsoft Defender Antivirus-cmdlets för mer information om hur du använder PowerShell med Microsoft Defender Antivirus.