Konfigurera Microsoft Defender Antivirus undantag på Windows Server

Gäller för:

Microsoft Defender Antivirus på Windows Server 2016 och Windows Server 2019 automatiskt registrerar dig i vissa undantag, som definieras av din angivna serverroll. Dessa undantag visas inte i standard undantagslistorna som visas i Windows-säkerhet programmet.

Förutom serverrolldefinierade automatiska undantag kan du lägga till eller ta bort anpassade undantag. Information om hur du gör det finns i följande artiklar:

Några saker att tänka på

Tänk på följande:

  • Anpassade undantag har företräde framför automatiska undantag.
  • Automatiska undantag gäller endast för rtp-skanning (Real-time protection). Automatiska undantag respekteras inte vid en fullständig, snabb eller on-demand genomsökning.
  • Undantag för anpassade och dubbletter står inte i konflikt med automatiska undantag.
  • Microsoft Defender Antivirus använder DISM-verktygen (Deployment Image Servicing and Management) för att avgöra vilka roller som är installerade på datorn.
  • Automatiska undantag för serverroller fungerar inte på server-Windows Server 2012 R2 om inte dessa servrar introduceras till Defender för Slutpunkt. (Se Onboard Windows servers to the Microsoft Defender for Endpoint service.)

Den här artikeln innehåller en översikt över undantag för Microsoft Defender Antivirus på Windows Server 2016 eller senare.

Eftersom Microsoft Defender Antivirus inbyggt i Windows Server 2016 och senare, sker undantag för operativsystemfiler och serverroller automatiskt. Du kan emellertid definiera anpassade undantag. Du kan också välja bort automatiska undantag om det behövs.

Den här artikeln innehåller följande avsnitt:



Avsnitt Beskrivning
Automatiska undantag vid Windows Server 2016 eller senare Beskriver de två huvudtyperna av automatiska undantag och innehåller en detaljerad lista över automatiska undantag
Välja bort automatiska undantag Innehåller viktiga överväganden och procedurer som beskriver hur du väljer bort automatiska undantag
Definiera anpassade undantag Innehåller länkar till information om hur du definierar anpassade undantag

Automatiska undantag vid Windows Server 2016 eller senare

På Windows Server 2016 eller senare behöver du inte ange följande undantag:

  • Operativsystemsfiler
  • Serverroller och alla filer som läggs till via serverroller

Eftersom Microsoft Defender Antivirus är inbyggt kräver det inte undantag för operativsystemfiler i Windows Server 2016 eller senare. När du kör Windows Server 2016 eller senare och installerar en roll innehåller Microsoft Defender Antivirus även automatiska undantag för serverrollen och filer som läggs till när rollen installeras.

Undantag i operativsystemet och undantag för serverroller visas inte i standard undantagslistor som visas i Windows-säkerhet app.

Anteckning

Automatiska undantag för serverroller och operativsystemfiler gäller inte för Windows Server 2012. Automatiska undantag kan gälla om dina servrar som kör Windows Server 2012 R2 är onboarded till Defender för Slutpunkt. (Se Onboard Windows servers to the Microsoft Defender for Endpoint service.)

Listan över automatiska undantag

Följande avsnitt innehåller undantag som levereras med automatiska undantag för filsökvägar och filtyper.

Standard undantag för alla roller

Det här avsnittet innehåller standard undantag för alla roller i Windows Server 2016, Windows Server 2019 Windows Server 2022.

Anteckning

Standardplatserna kan vara annorlunda än de som anges i den här artikeln.

Windows "temp.edb"-filer
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows uppdatera filer eller automatiska uppdateringsfiler
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows-säkerhet filer
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
Grupprincipfiler
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-filer
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
Undantag för File Replication Service (FRS)
  • Filer i FRS-arbetsmappen (File Replication Service). Arbetsmappen FRS anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • FRS-databasloggfiler. Loggfilmappen för FRS-databasen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • Mellanlagringsmappen FRS. Mellanlagringsmappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Förinstallationsmappen FRS. Den här mappen anges av mappen Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • The Distributed File System Replication (HURR) databas och arbetsmappar. Dessa mappar anges av registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Anteckning

    Information om anpassade platser finns i Välja bort automatiska undantag.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
Undantag från processer
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Hyper-V-undantag

I följande tabell visas undantag för filtyper, undantag för mappar och processkludering som levereras automatiskt när du installerar rollen Hyper-V.



Exkluderingstyp Information
Filtyper *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mappar %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processer %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
SYSVOL-filer
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Undantag för Active Directory

Det här avsnittet innehåller en lista över undantag som levereras automatiskt när du installerar AD DS (Active Directory Domain Services).

NTDS-databasfiler

Databasfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
AD DS-transaktionsloggfilerna

Transaktionsloggfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
Ntds-arbetsmappen

Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

UNDANTAG för VAR OCH EN-server

Det här avsnittet innehåller en lista över undantag som levereras automatiskt när du installerar rollen TIDESERVER. PARAMETERServerfilplatserna anges av parametrarna DatabasePath,LogiFilePath och BackupDatabasePath i registernyckelnHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Undantag för DNS Server

I det här avsnittet visas undantag för filer och mappar och undantag från processer som levereras automatiskt när du installerar DNS-serverrollen.

Undantag för filer och mappar för DNS-serverrollen
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
Process undantas för DNS Server-rollen
  • %systemroot%\System32\dns.exe

Undantag för Storage Fil- och Storage tjänster

Det här avsnittet innehåller undantag för filer och mappar som levereras automatiskt när du installerar rollen Arkiv Storage Tjänster. Undantag som visas nedan inkluderar inte undantag för rollen Gruppering.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

I det här avsnittet visas en lista över undantag för filtyper, undantag för mappar och processkludering som levereras automatiskt när du installerar rollen Skriv ut server.

Undantag för filtyp
  • *.shd
  • *.spl
Undantag för mappar

Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
Undantag från processer
  • spoolsv.exe

Undantag för webbserver

I det här avsnittet visas en lista över undantag för mappar och processkludering som levereras automatiskt när du installerar webbserverrollen.

Undantag för mappar
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Undantag från processer
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
Stänga av genomsökning av filer i mappen Sysvol\Sysvol eller SYSVOL_DFSR\Sysvol

Den aktuella platsen för eller mappen och alla undermappar är filsystemets mappmål för Sysvol\Sysvol SYSVOL_DFSR\Sysvol replikuppsättningens rot. I Sysvol\Sysvol SYSVOL_DFSR\Sysvol mapparna och används som standard följande platser:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Sökvägen till den aktiva resursen refereras till av NETLOGON-resursen och kan fastställas av SYSVOL SysVol-värdenamnet i följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Undanta följande filer från den här mappen och alla dess undermappar:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services undantag

Det här avsnittet innehåller en lista över undantag för mappar som levereras automatiskt när du installerar rollen Windows Server Update Services (WSUS). WSUS-mappen anges i registernyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Välja bort automatiska undantag

I Windows Server 2016 senare exkluderar de fördefinierade undantagen som levereras av säkerhetsintelligensuppdateringar endast standardsökvägarna för en roll eller funktion. Om du har installerat en roll eller funktion i en anpassad sökväg, eller om du manuellt vill styra uppsättningen undantag, måste du välja bort automatiska undantag som levereras i säkerhetsintelligensuppdateringar. Men kom ihåg att undantagen som levereras automatiskt är optimerade för Windows Server 2016 och senare. Läs Rekommendationer för att definiera undantag innan du definierar dina undantagslistor.

Varning

Om du väljer bort automatiska undantag kan det påverka prestandan negativt eller resultera i skadade data. Undantagen som levereras automatiskt optimeras för Windows Server 2016, Windows Server 2019 och Windows Server 2022-roller.

Eftersom fördefinierade undantag bara exkluderar standardsökvägar, måste du lägga till undantag manuellt om du flyttar NTDS- och SYSVOL-mappar till en annan enhet eller sökväg som skiljer sig från den ursprungliga sökvägen. Se Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg.

Du kan inaktivera automatiska undantagslistor med Grupprincip, PowerShell-cmdlets och WMI.

Använd grupprinciper för att inaktivera listan över automatiska undantag i Windows Server 2016, Windows Server 2019 Windows Server 2022

  1. Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering. Högerklicka på det grupprincipobjekt du vill konfigurera och välj sedan Redigera.

  2. I redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer sedan Administrativa mallar.

  3. Expandera trädet och visa Windows komponenter > Microsoft Defender Antivirus > Undantag.

  4. Dubbelklicka på Inaktivera automatiska undantag och ställ in alternativet på Aktiverad. Välj sedan OK.

Använd PowerShell-cmdlets för att inaktivera listan över undantag automatiskt Windows Server

Använd följande cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Mer information finns i följande resurser:

Använd Windows för hanteringsinstruktioner (WMI) för att inaktivera listan över automatiska undantag på Windows Server

Använd metoden Set för MSFT_MpPreference för följande egenskaper:

DisableAutoExclusions

Se följande för mer information och tillåtna parametrar:

Definiera anpassade undantag

Om det behövs kan du lägga till eller ta bort anpassade undantag. Information om hur du gör det finns i följande artiklar:

Se även