Konfigurer udeladelser for filer, der er åbnet af processer
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
Platforme
- Windows
Du kan udelade filer, der åbnes af bestemte processer, fra Microsoft Defender Antivirus-scanninger. Disse typer undtagelser gælder for filer, der åbnes af processer og ikke selve processerne. Hvis du vil udelade en proces, skal du tilføje en filudeladelse (se Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering).
Se Vigtige punkter om udelukkelser, og gennemse oplysningerne under Administrer udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus, før du definerer dine udeladelseslister.
I denne artikel beskrives det, hvordan du konfigurerer lister over undtagelser.
Eksempler på procesudeladelser
| Eksklusion | Eksempel |
|---|---|
| Alle filer på computeren, der åbnes af en proces med et bestemt filnavn | Hvis du angiver test.exe , udelades filer, der er åbnet af:
|
| Alle filer på computeren, der åbnes af en proces under en bestemt mappe | Hvis du angiver c:\test\sample\* , udelades filer, der er åbnet af: |
| Alle filer på computeren, der åbnes af en bestemt proces i en bestemt mappe | Hvis du angiver c:\test\process.exe , udelades filer, der kun er åbnet af c:\test\process.exe |
Når du føjer en proces til listen over procesudeladelser, scanner Microsoft Defender Antivirus ikke filer, der er åbnet af den pågældende proces, uanset hvor filerne er placeret. Selve processen scannes dog, medmindre den også er føjet til filudeladelseslisten.
Undtagelserne gælder kun for realtidsbeskyttelse og -overvågning. De gælder ikke for planlagte scanninger eller scanninger efter behov.
Ændringer, der er foretaget med Gruppepolitik af udeladelseslisterne, vises på listerne i Windows Sikkerhed-appen. Ændringer, der er foretaget i Windows Sikkerhed app, vises dog ikke på de Gruppepolitik lister.
Du kan tilføje, fjerne og gennemse listerne for udeladelser i Gruppepolitik, Microsoft Configuration Manager, Microsoft Intune og med appen Windows Sikkerhed, og du kan bruge jokertegn til yderligere at tilpasse listerne.
Du kan også bruge PowerShell-cmdlet'er og WMI til at konfigurere udeladelseslisterne, herunder gennemse dine lister.
Lokale ændringer af listerne (af brugere med administratorrettigheder, ændringer foretaget med PowerShell og WMI) flettes som standard med listerne som defineret (og installeret) af Gruppepolitik, Configuration Manager eller Intune. De Gruppepolitik lister har forrang, hvis der er konflikter.
Du kan konfigurere, hvordan lister over undtagelser, der er defineret lokalt og globalt, flettes , så lokale ændringer kan tilsidesætte administrerede udrulningsindstillinger.
Bemærk!
Regler for reduktion af netværksbeskyttelse og angrebsoverfladen påvirkes direkte af procesudeladelser på alle platforme, hvilket betyder, at en procesudeladelse på et operativsystem (Windows, MacOS, Linux) medfører, at Network Protection eller ASR ikke kan inspicere trafik eller gennemtvinge regler for den specifikke proces.
Billednavn vs. fuld sti til procesudeladelser
Der kan angives to forskellige typer procesudeladelser. En proces kan udelades af billednavnet eller af den fulde sti. Billednavnet er blot filnavnet på processen uden stien.
På grund af den proces MyProcess.exe , der kører fra C:\MyFolder\ den fulde sti til denne proces, vil det f.eks. være C:\MyFolder\MyProcess.exe , og billednavnet er MyProcess.exe.
Udeladelser af billednavne er meget mere brede – udelader MyProcess.exe processer med dette billednavn, uanset hvilken sti de køres fra. Så hvis processen MyProcess.exe f.eks. udelades af billednavn, udelukkes den også, hvis den køres fra C:\MyOtherFolder, fra flytbare medier, et cetera. Det anbefales derfor, at hele stien bruges, når det er muligt.
Brug jokertegn på listen over procesudeladelser
Brugen af jokertegn på listen over procesudeladelser adskiller sig fra brugen af dem på andre lister over undtagelser. Når procesudeladelse kun er defineret som et billednavn, er brug af jokertegn ikke tilladt. Men når der bruges en fuld sti, understøttes jokertegn, og jokertegnfunktionsmåden fungerer som beskrevet i Undtagelser for filer og mapper
Brugen af miljøvariabler (f.eks. %ALLUSERSPROFILE%) som jokertegn, når elementer defineres på listen over procesudeladelser, understøttes også. Detaljer og en komplet liste over understøttede miljøvariabler er beskrevet i Udeladelser i filer og mapper.
I følgende tabel beskrives det, hvordan jokertegnene kan bruges på listen over procesudeladelser, når der angives en sti:
| Wildcard | Eksempel på brug | Eksempler på forekomster |
|---|---|---|
* (stjerne)Erstatter et vilkårligt antal tegn. |
C:\MyFolder\* |
Alle filer, der er åbnet af C:\MyFolder\MyProcess.exe eller C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Alle filer, der er åbnet af C:\MyFolder1\MyFolder2\MyProcess.exe eller C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Alle filer, der er åbnet af C:\MyOtherFolder\MyFolder\MyProcess.exe eller C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (spørgsmålstegn) Erstatter ét tegn. |
C:\MyFolder\MyProcess??.exe |
Alle filer, der er åbnet af C:\MyFolder\MyProcess42.exe eller eller C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe |
| Miljøvariabler | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
En hvilken som helst fil, der er åbnet af C:\ProgramData\MyFolder\MyProcess.exe |
Udeladelser af kontekstafhængig proces
En procesudeladelse kan også defineres via en kontekstafhængig udeladelse , der f.eks. tillader, at en bestemt fil kun udelades, hvis den åbnes af en bestemt proces.
Konfigurer listen over udeladelser for filer, der er åbnet af angivne processer
Brug Microsoft Intune til at udelade filer, der er blevet åbnet af angivne processer, fra scanninger
Du kan få flere oplysninger under Konfigurer indstillinger for enhedsbegrænsning i indstillinger for Microsoft Intune og Microsoft Defender Antivirus for at få oplysninger om Windows 10 i Intune.
Brug Microsoft Configuration Manager til at udelade filer, der er blevet åbnet af angivne processer, fra scanninger
Se Sådan opretter og installerer du antimalwarepolitikker: Indstillinger for udeladelse for at få oplysninger om konfiguration af Microsoft Configuration Manager (aktuel forgrening).
Brug Gruppepolitik til at udelade filer, der er blevet åbnet af angivne processer, fra scanninger
Åbn administrationskonsollen Gruppepolitik Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og klik på Rediger.
I Editor administration af Gruppepolitik skal du gå til Computerkonfiguration og klikke på Administrative skabeloner.
Udvid træet til Windows-komponenter > Microsoft Defender Antivirus > Exclusions.
Dobbeltklik på Behandl udeladelser, og tilføj udeladelser:
- Angiv indstillingen til Aktiveret.
- Under afsnittet Indstillinger skal du klikke på Vis....
- Angiv hver proces på sin egen linje under kolonnen Værdinavn . Se eksempeltabellen for de forskellige typer procesudeladelser. Angiv 0 i kolonnen Værdi for alle processer.
Klik på OK.
Brug PowerShell-cmdlet'er til at udelade filer, der er blevet åbnet af angivne processer, fra scanninger
Brug af PowerShell til at tilføje eller fjerne udeladelser for filer, der er blevet åbnet af processer, kræver brug af en kombination af tre cmdlet'er med -ExclusionProcess parameteren . Cmdlet'erne er alle i Defender-modulet.
Formatet for cmdlet'erne er:
<cmdlet> -ExclusionProcess "<item>"
Følgende er tilladt som <cmdlet'en>:
| Konfigurationshandling | PowerShell-cmdlet |
|---|---|
| Opret eller overskriv listen | Set-MpPreference |
| Føj til listen | Add-MpPreference |
| Fjern elementer fra listen | Remove-MpPreference |
Vigtigt!
Hvis du har oprettet en liste, enten med Set-MpPreference eller Add-MpPreferenceved hjælp af -cmdlet'en Set-MpPreference , overskrives den eksisterende liste igen.
Følgende kodestykke vil f.eks. medføre, at Microsoft Defender Antivirus-scanninger udelader alle filer, der åbnes af den angivne proces:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Du kan få flere oplysninger om, hvordan du bruger PowerShell sammen med Microsoft Defender Antivirus, under Administrer antivirus med PowerShell-cmdlet'er og Microsoft Defender Antivirus-cmdlet'er.
Brug WMI (Windows Management Instruction) til at udelade filer, der er blevet åbnet af angivne processer, fra scanninger
Brug metoderne Set, Add og Remove for klassen MSFT_MpPreference for følgende egenskaber:
ExclusionProcess
Brugen af Set, Add og Remove svarer til deres kolleger i PowerShell: Set-MpPreference, Add-MpPreferenceog Remove-MpPreference.
Du kan få flere oplysninger og tilladte parametre under Windows Defender WMIv2 API'er.
Brug appen Windows Sikkerhed til at udelade filer, der er blevet åbnet af angivne processer, fra scanninger
Følg vejledningen i Tilføj udeladelser i Windows Sikkerhed-appen.
Gennemse listen over undtagelser
Du kan hente elementerne på listen over undtagelser med MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune eller appen Windows Sikkerhed.
Hvis du bruger PowerShell, kan du hente listen på to måder:
- Hent status for alle Microsoft Defender Antivirus-indstillinger. Hver af listerne vises på separate linjer, men elementerne på hver liste kombineres til den samme linje.
- Skriv status for alle indstillinger til en variabel, og brug denne variabel til kun at kalde den bestemte liste, du er interesseret i. Hver brug af skrives
Add-MpPreferencetil en ny linje.
Valider listen over undtagelser ved hjælp af MpCmdRun
Hvis du vil kontrollere udeladelser med det dedikerede kommandolinjeværktøj mpcmdrun.exe, skal du bruge følgende kommando:
MpCmdRun.exe -CheckExclusion -path <path>
Bemærk!
Kontrol af udeladelser med MpCmdRun kræver Microsoft Defender Antivirus CAMP version 4.18.1812.3 (udgivet i december 2018) eller nyere.
Gennemse listen over undtagelser sammen med alle andre indstillinger for Microsoft Defender Antivirus ved hjælp af PowerShell
Brug følgende cmdlet:
Get-MpPreference
Du kan få flere oplysninger om, hvordan du bruger PowerShell sammen med Microsoft Defender Antivirus, under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Microsoft Defender Antivirus-cmdlet'er .
Hent en bestemt liste over udeladelser ved hjælp af PowerShell
Brug følgende kodestykke (angiv hver linje som en separat kommando). erstat WDAVprefs med den etiket, du vil navngive variablen:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Du kan få flere oplysninger om, hvordan du bruger PowerShell sammen med Microsoft Defender Antivirus, under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Microsoft Defender Antivirus-cmdlet'er.
Tip
Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:
- Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
- Microsoft Defender for Endpoint på Mac
- Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner
- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Relaterede artikler
- Konfigurer og valider udeladelser i Microsoft Defender Antivirus-scanninger
- Konfigurer og valider udeladelser baseret på filnavn, filtypenavn og mappeplacering
- Konfigurer Microsoft Defender Antivirus-udeladelser på Windows Server
- Almindelige fejl, der skal undgås, når du definerer udeladelser
- Tilpas, start og gennemse resultaterne af Microsoft Defender Antivirus-scanninger og -afhjælpning
- Microsoft Defender Antivirus i Windows 10
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.