Konfigurera Microsoft Defender Antivirus undantag på Windows Server
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Microsoft Defender Antivirus på Windows Server 2016 och Windows Server 2019 automatiskt registrerar dig i vissa undantag, som definieras av den angivna serverrollen. Dessa undantag visas inte i standard undantagslistorna som visas i Windows-säkerhet programmet.
Förutom serverrolldefinierade automatiska undantag kan du lägga till eller ta bort anpassade undantag. Information om hur du gör det finns i följande artiklar:
- Konfigurera och validera undantag baserat på filnamn, filnamnstillägg och mappplats
- Konfigurera och validera undantag för filer som öppnas i processer
Några saker att tänka på
Tänk på följande:
- Anpassade undantag har företräde framför automatiska undantag.
- Automatiska undantag gäller endast för rtp-skanning (Real-time protection). Automatiska undantag respekteras inte vid en fullständig, snabb eller on-demand genomsökning.
- Undantag för anpassade och dubbletter står inte i konflikt med automatiska undantag.
- Microsoft Defender Antivirus använder DISM-verktygen (Deployment Image Servicing and Management) för att avgöra vilka roller som är installerade på datorn.
- Windows Server 2012 R2 har inte Microsoft Defender Antivirus som en installerbar funktion. När du onboard those servers till Defender för Endpoint ska du installera Windows Defender Antivirus och standard undantag för operativsystemsfiler tillämpas. Undantag för serverroller (som anges nedan) gäller dock inte automatiskt, och du bör konfigurera undantagen efter behov. Mer information finns i Onboard Windows servers to the Microsoft Defender for Endpoint service.
Den här artikeln innehåller en översikt över undantag för Microsoft Defender Antivirus på Windows Server 2016 eller senare.
Eftersom Microsoft Defender Antivirus inbyggt i Windows Server 2016 och senare, sker undantag för operativsystemfiler och serverroller automatiskt. Du kan emellertid definiera anpassade undantag. Du kan också välja bort automatiska undantag om det behövs.
Den här artikeln innehåller följande avsnitt:
| Avsnitt | Beskrivning |
|---|---|
| Automatiska undantag vid Windows Server 2016 eller senare | Beskriver de två huvudtyperna av automatiska undantag och innehåller en detaljerad lista över automatiska undantag |
| Välja bort automatiska undantag | Innehåller viktiga överväganden och procedurer som beskriver hur du väljer bort automatiska undantag |
| Definiera anpassade undantag | Innehåller länkar till information om hur du definierar anpassade undantag |
Automatiska undantag vid Windows Server 2016 eller senare
På Windows Server 2016 eller senare behöver du inte definiera följande undantag:
- Operativsystemsfiler
- Serverroller och alla filer som läggs till via serverroller
Eftersom Microsoft Defender Antivirus är inbyggt kräver det inte undantag för operativsystemfiler i Windows Server 2016 eller senare. När du kör Windows Server 2016 eller senare och installerar en roll innehåller Microsoft Defender Antivirus även automatiska undantag för serverrollen och filer som läggs till när rollen installeras.
Undantag från operativsystemet och undantag för serverroller visas inte i standard undantagslistor som visas i Windows-säkerhet program.
Anteckning
Automatiska undantag för serverroller och operativsystemfiler gäller inte för Windows Server 2012. Automatiska undantag kan gälla om dina servrar som kör Windows Server 2012 R2 är onboarded till Defender för Slutpunkt. (Se Onboard Windows servers to the Microsoft Defender for Endpoint service.)
Listan över automatiska undantag
Följande avsnitt innehåller undantag som levereras med automatiska undantag för filsökvägar och filtyper.
Standard undantag för alla roller
Det här avsnittet innehåller standard undantag för alla roller i Windows Server 2016, Windows Server 2019 Windows Server 2022.
Anteckning
Standardplatserna kan vara annorlunda än de som anges i den här artikeln.
Windows "temp.edb"-filer
%windir%\SoftwareDistribution\Datastore\*\tmp.edb%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows uppdatera filer eller filer med automatisk uppdatering
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%windir%\SoftwareDistribution\Datastore\*\edb.chk%windir%\SoftwareDistribution\Datastore\*\edb\*.log%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows-säkerhet filer
%windir%\Security\database\*.chk%windir%\Security\database\*.edb%windir%\Security\database\*.jrs%windir%\Security\database\*.log%windir%\Security\database\*.sdb
Grupprincipfiler
%allusersprofile%\NTUser.pol%SystemRoot%\System32\GroupPolicy\Machine\registry.pol%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-filer
%systemroot%\System32\Wins\*\*.chk%systemroot%\System32\Wins\*\*.log%systemroot%\System32\Wins\*\*.mdb%systemroot%\System32\LogFiles\%systemroot%\SysWow64\LogFiles\
Undantag för File Replication Service (FRS)
Filer i FRS-arbetsmappen (File Replication Service). Arbetsmappen FRS anges i registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory%windir%\Ntfrs\jet\sys\*\edb.chk%windir%\Ntfrs\jet\*\Ntfrs.jdb%windir%\Ntfrs\jet\log\*\*.log
FRS-databasloggfiler. Loggfilmappen för FRS-databasen anges i registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory%windir%\Ntfrs\*\Edb\*.log
Mellanlagringsmappen FRS. Mellanlagringsmappen anges i registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage%systemroot%\Sysvol\*\Ntfrs_cmp*\
Förinstallationsmappen FRS. Den här mappen anges av mappen
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
The Distributed File System Replication (HURR) databas och arbetsmappar. Dessa mappar anges av registernyckeln
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration FileAnteckning
Information om anpassade platser finns i Välja bort automatiska undantag.
%systemdrive%\System Volume Information\DFSR\$db_normal$%systemdrive%\System Volume Information\DFSR\FileIDTable_*%systemdrive%\System Volume Information\DFSR\SimilarityTable_*%systemdrive%\System Volume Information\DFSR\*.XML%systemdrive%\System Volume Information\DFSR\$db_dirty$%systemdrive%\System Volume Information\DFSR\$db_clean$%systemdrive%\System Volume Information\DFSR\$db_lostl$%systemdrive%\System Volume Information\DFSR\Dfsr.db%systemdrive%\System Volume Information\DFSR\*.frx%systemdrive%\System Volume Information\DFSR\*.log%systemdrive%\System Volume Information\DFSR\Fsr*.jrs%systemdrive%\System Volume Information\DFSR\Tmp.edb
Undantag från processer
%systemroot%\System32\dfsr.exe%systemroot%\System32\dfsrs.exe
Hyper-V-undantag
I följande tabell visas undantag för filtyper, undantag för mappar och processkludering som levereras automatiskt när du installerar rollen Hyper-V.
| Exkluderingstyp | Information |
|---|---|
| Filtyper | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
| Mappar | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
| Processer | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
SYSVOL-filer
%systemroot%\Sysvol\Domain\*.adm%systemroot%\Sysvol\Domain\*.admx%systemroot%\Sysvol\Domain\*.adml%systemroot%\Sysvol\Domain\Registry.pol%systemroot%\Sysvol\Domain\*.aas%systemroot%\Sysvol\Domain\*.inf%systemroot%\Sysvol\Domain\*Scripts.ini%systemroot%\Sysvol\Domain\*.ins%systemroot%\Sysvol\Domain\Oscfilter.ini
Undantag för Active Directory
Det här avsnittet innehåller en lista över undantag som levereras automatiskt när du installerar AD DS (Active Directory Domain Services).
NTDS-databasfiler
Databasfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit%windir%\Ntds\ntds.pat
AD DS-transaktionsloggfilerna
Transaktionsloggfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log%windir%\Ntds\Res*.log%windir%\Ntds\Edb*.jrs%windir%\Ntds\Ntds*.pat%windir%\Ntds\TEMP.edb
Ntds-arbetsmappen
Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb%windir%\Ntds\Edb.chk
Process undantas för AD DS- och AD DS-relaterade supportfiler
%systemroot%\System32\ntfrs.exe%systemroot%\System32\lsass.exe
UNDANTAG för VAR OCH EN-server
Det här avsnittet innehåller en lista över undantag som levereras automatiskt när du installerar rollen TIDESERVER. DATAFILPLATSERNA FÖR SERVER anges av parametrarna DatabasePath,LogFilePath och BackupDatabasePath i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb%systemroot%\System32\DHCP\*\*.pat%systemroot%\System32\DHCP\*\*.log%systemroot%\System32\DHCP\*\*.chk%systemroot%\System32\DHCP\*\*.edb
Undantag för DNS Server
I det här avsnittet visas undantag för filer och mappar och undantag från processer som levereras automatiskt när du installerar DNS-serverrollen.
Undantag för filer och mappar för DNS-serverrollen
%systemroot%\System32\Dns\*\*.log%systemroot%\System32\Dns\*\*.dns%systemroot%\System32\Dns\*\*.scc%systemroot%\System32\Dns\*\BOOT
Process undantas för DNS Server-rollen
%systemroot%\System32\dns.exe
Undantag för Storage Fil- och Storage tjänster
Det här avsnittet innehåller undantag för filer och mappar som levereras automatiskt när du installerar rollen Arkiv Storage Tjänster. Undantag som visas nedan inkluderar inte undantag för rollen Gruppering.
%SystemDrive%\ClusterStorage%clusterserviceaccount%\Local Settings\Temp%SystemDrive%\mscs
Undantag för Print Server
I det här avsnittet visas en lista över undantag för filtyper, undantag för mappar och processkludering som levereras automatiskt när du installerar rollen Skriv ut server.
Undantag för filtyp
*.shd*.spl
Undantag för mappar
Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Undantag från processer
spoolsv.exe
Undantag för webbserver
I det här avsnittet visas en lista över undantag för mappar och processkludering som levereras automatiskt när du installerar webbserverrollen.
Undantag för mappar
%SystemRoot%\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files%SystemDrive%\inetpub\temp\ASP Compiled Templates%systemDrive%\inetpub\logs%systemDrive%\inetpub\wwwroot
Undantag från processer
%SystemRoot%\system32\inetsrv\w3wp.exe%SystemRoot%\SysWOW64\inetsrv\w3wp.exe%SystemDrive%\PHP5433\php-cgi.exe
Stänga av genomsökning av filer i mappen Sysvol\Sysvol eller SYSVOL_DFSR\Sysvol
Den aktuella platsen för Sysvol\Sysvol eller mappen SYSVOL_DFSR\Sysvol och alla undermappar är filsystemets mappmål för replikuppsättningens rot. I Sysvol\Sysvol mapparna SYSVOL_DFSR\Sysvol och används som standard följande platser:
%systemroot%\Sysvol\Domain%systemroot%\Sysvol_DFSR\Domain
Sökvägen till den aktiva resursen SYSVOL refereras till av NETLOGON-resursen och kan fastställas av SysVol-värdenamnet i följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Undanta följande filer från den här mappen och alla dess undermappar:
*.adm*.admx*.admlRegistry.polRegistry.tmp*.aas*.infScripts.ini*.insOscfilter.ini
Windows Server Update Services undantag
Det här avsnittet innehåller en lista över undantag för mappar som levereras automatiskt när du installerar rollen Windows Server Update Services (WSUS). WSUS-mappen anges i registernyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent%systemroot%\WSUS\UpdateServicesDBFiles%systemroot%\SoftwareDistribution\Datastore%systemroot%\SoftwareDistribution\Download
Välja bort automatiska undantag
I Windows Server 2016 och senare exkluderar de fördefinierade undantagen som levereras av säkerhetsintelligensuppdateringar endast standardsökvägarna för en roll eller funktion. Om du har installerat en roll eller funktion i en anpassad sökväg, eller om du manuellt vill styra uppsättningen undantag, måste du välja bort automatiska undantag som levereras i säkerhetsintelligensuppdateringar. Men kom ihåg att undantagen som levereras automatiskt är optimerade för Windows Server 2016 och senare. Se Rekommendationer för att definiera undantag innan du definierar dina undantagslistor.
Varning
Om du väljer bort automatiska undantag kan det påverka prestandan negativt eller resultera i skadade data. Undantagen som levereras automatiskt optimeras för Windows Server 2016, Windows Server 2019 Windows Server 2022-roller.
Eftersom fördefinierade undantag bara exkluderar standardsökvägar måste du lägga till undantag manuellt om du flyttar NTDS- och SYSVOL-mappar till en annan enhet eller sökväg som skiljer sig från den ursprungliga sökvägen. Se Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg.
Du kan inaktivera automatiska undantagslistor med Grupprincip, PowerShell-cmdlets och WMI.
Använd grupprinciper för att inaktivera listan med automatiska undantag i Windows Server 2016, Windows Server 2019 Windows Server 2022
Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering. Högerklicka på det grupprincipobjekt du vill konfigurera och välj sedan Redigera.
I redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer sedan Administrativa mallar.
Expandera trädet och visa Windows komponenter > Microsoft Defender Antivirus > Undantag.
Dubbelklicka på Inaktivera automatiska undantag och ställ in alternativet på Aktiverad. Välj sedan OK.
Använd PowerShell-cmdlets för att inaktivera listan över undantag automatiskt Windows Server
Använd följande cmdlets:
Set-MpPreference -DisableAutoExclusions $true
Mer information finns i följande resurser:
- Använd PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus.
- Använd PowerShell med Microsoft Defender Antivirus.
Använd Windows för hanteringsinstruktioner (WMI) för att inaktivera listan över automatiska undantag på Windows Server
Använd metoden Set för MSFT_MpPreference för följande egenskaper:
DisableAutoExclusions
Se följande för mer information och tillåtna parametrar:
Definiera anpassade undantag
Om det behövs kan du lägga till eller ta bort anpassade undantag. Information om hur du gör det finns i följande artiklar:
- Konfigurera och validera undantag baserat på filnamn, filnamnstillägg och mappplats
- Konfigurera och validera undantag för filer som öppnas i processer
Se även
- Konfigurera och validera undantag för Microsoft Defender Antivirus genomsökningar
- Konfigurera och validera undantag baserat på filnamn, filnamnstillägg och mappplats
- Konfigurera och validera undantag för filer som öppnas i processer
- Vanliga misstag att undvika när man definierar undantag
- Anpassa, initiera och granska resultaten av Microsoft Defender Antivirus genomsökningar och åtgärder
- Microsoft Defender Antivirus i Windows 10