Del via

Almindelige fejl, der skal undgås, når du definerer udeladelser

  • Artikel

Gælder for:

Platforme

  • Windows
  • macOS
  • Linux

Vigtigt!

Tilføj undtagelser med forsigtighed. Udelukkelser til Microsoft Defender Antivirus-scanninger reducerer beskyttelsesniveauet for enheder.

Du kan definere en udeladelsesliste for elementer, der ikke skal scannes af Microsoft Defender Antivirus. Udeladte elementer kan dog indeholde trusler, der gør din enhed sårbar. I denne artikel beskrives nogle almindelige fejl, som du bør undgå, når du definerer udeladelser.

Tip

Før du definerer dine lister over undtagelser, skal du se Vigtige punkter om undtagelser og gennemse de detaljerede oplysninger i Exclusions for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Udeladelse af visse elementer, der er tillid til

Visse filer, filtyper, mapper eller processer bør ikke udelukkes fra scanning, selvom du har tillid til, at de ikke er skadelige. Definer ikke udeladelser for mappeplaceringer, filtypenavne og processer, der er angivet i følgende afsnit:

Mappeplaceringer

Vigtigt!

Visse mapper bør ikke udelukkes fra scanninger, fordi de kan ende med at blive mapper, hvor skadelige filer kan blive droppet.

Generelt skal du ikke definere udeladelser for nogen af følgende mappeplaceringer:

  • %systemdrive%
  • C:, C:\eller C:\*
  • %ProgramFiles%\Java eller C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\eller C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\eller C:\Temp\*
  • C:\Users\ eller C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ eller C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Bemærk følgende vigtige undtagelser for SharePoint: UdeladC:\Users\ServiceAccount\AppData\Local\Temp , eller C:\Users\Default\AppData\Local\Temp når du bruger antivirusbeskyttelse på filniveau i SharePoint.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\eller C:\Windows\Prefetch\*
  • %Windir%\System32\Spool eller C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\eller C:\Windows\Temp\*

Linux- og macOS-platforme

Generelt skal du ikke definere udeladelser for følgende mappeplaceringer:

  • /
  • /bin eller /sbin
  • /usr/lib

Filtypenavne

Vigtigt!

Visse filtypenavne bør ikke udelades, fordi de kan være filtyper, der bruges i et angreb.

Generelt skal du ikke definere undtagelser for følgende filtypenavne:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko eller .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Processer

Vigtigt!

Visse processer bør ikke udelukkes, fordi de bliver brugt under angreb.

Generelt skal du ikke definere undtagelser for følgende processer:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Bemærk!

Du kan vælge at udelade filtyper, f.eks .gif. , .jpg, .jpeg, eller .png hvis dit miljø har en moderne, opdateret software med en streng opdateringspolitik til håndtering af eventuelle sikkerhedsrisici.

Linux- og macOS-platforme

Generelt skal du ikke definere undtagelser for følgende processer:

  • bash
  • java
  • python og python3
  • sh
  • zsh

Brug kun filnavnet på listen over undtagelser

Malware kan have samme navn som den fil, du har tillid til, og som du vil udelukke fra scanning. For at undgå at udelukke potentiel malware fra scanning skal du derfor bruge en fuldt kvalificeret sti til den fil, du vil udelade, i stedet for kun at bruge filnavnet. Hvis du f.eks. vil udelade Filename.exe fra scanning, skal du bruge hele stien til filen, f.eks C:\program files\contoso\Filename.exe. .

Brug af en enkelt udeladelsesliste til arbejdsbelastninger på flere servere

Brug ikke en enkelt udeladelsesliste til at definere udeladelser for flere serverarbejdsbelastninger. Opdel udeladelser for forskellige program- eller tjenestearbejdsbelastninger i flere udeladelseslister. Listen over undtagelser for IIS Server-arbejdsbelastningen skal f.eks. være forskellig fra listen over undtagelser for din SQL Server-arbejdsbelastning.

Brug af forkerte miljøvariabler som jokertegn i filnavnet og mappestien eller udvidelsesudeladelseslisterne

Microsoft Defender Antivirus Service kører i systemkontekst ved hjælp af LocalSystem-kontoen, hvilket betyder, at den henter oplysninger fra systemmiljøvariablen og ikke fra brugermiljøvariablen. Brugen af miljøvariabler som jokertegn på udeladelseslister er begrænset til systemvariabler og dem, der gælder for processer, der kører som en NT AUTHORITY\SYSTEM-konto. Brug derfor ikke brugermiljøvariabler som jokertegn, når du tilføjer mappen Microsoft Defender Antivirus og procesudeladelser. Se tabellen under Systemmiljøvariabler for at få en komplet liste over systemmiljøvariabler.

Se Brug jokertegn på filnavns- og mappestien eller i lister over undtagelser for filtypenavne for at få oplysninger om, hvordan du bruger jokertegn i lister over undtagelser.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.