Konfigurere utelatelser for filer som åpnes av prosesser
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender Antivirus
Plattformer
- Windows
Du kan utelate filer som åpnes av bestemte prosesser fra Microsoft Defender antivirusskanninger. Disse typene utelatelser gjelder for filer som åpnes av prosesser, og ikke selve prosessene. Hvis du vil utelate en prosess, legger du til en filutelukkelse (se Konfigurere og validere utelatelser basert på filtype og mappeplassering).
Se viktige punkter om utelatelser og se gjennom informasjonen i Behandle utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus før du definerer utelatelseslistene.
Denne artikkelen beskriver hvordan du konfigurerer utelatelseslister.
Eksempler på prosessutelukkelser
| Utelukkelse | Eksempel |
|---|---|
| Alle filer på maskinen som åpnes av en prosess med et bestemt filnavn | Hvis du angir test.exe , utelates filer som åpnes av:
|
| Alle filer på maskinen som åpnes av en prosess under en bestemt mappe | Hvis du angir c:\test\sample\* , utelates filer som åpnes av: |
| Alle filer på maskinen som åpnes av en bestemt prosess i en bestemt mappe | Hvis du angir c:\test\process.exe , utelates filer som bare åpnes av c:\test\process.exe |
Når du legger til en prosess i listen over prosessutelukkelser, skanner ikke Microsoft Defender Antivirus filer som åpnes av denne prosessen, uansett hvor filene er plassert. Selve prosessen skannes imidlertid med mindre den også er lagt til i listen over filutelukkelser.
Unntakene gjelder bare alltid for sanntidsbeskyttelse og -overvåking. De gjelder ikke for planlagte skanninger eller behovsbetingede skanninger.
Endringer som gjøres med gruppepolicy i utelatelseslistene, vises i listene i Windows Sikkerhet-appen. Endringer som gjøres i Windows Sikkerhet-appen, vises imidlertid ikke i gruppepolicy-listene.
Du kan legge til, fjerne og se gjennom listene for utelatelser i gruppepolicy, Microsoft Configuration Manager, Microsoft Intune og med Windows Sikkerhet-appen, og du kan bruke jokertegn til å tilpasse listene ytterligere.
Du kan også bruke PowerShell-cmdleter og WMI til å konfigurere utelatelseslistene, inkludert gjennomgang av listene.
Som standard slås lokale endringer i listene (av brukere med administratorrettigheter, endringer gjort med PowerShell og WMI) sammen med listene som definert (og distribuert) av gruppepolicy, Configuration Manager eller Intune. De gruppepolicy listene har forrang hvis det er konflikter.
Du kan konfigurere hvordan lister over lokalt og globalt definerte utelatelser slås sammen for å tillate lokale endringer å overstyre innstillinger for administrert distribusjon.
Obs!
Regler for reduksjon av overflatereduksjon for nettverk og angrep påvirkes direkte av prosessutelukkelser på alle plattformer, noe som betyr at en prosessutelukkelse på ethvert OS (Windows, MacOS, Linux) vil føre til at Nettverksbeskyttelse eller ASR ikke kan undersøke trafikk eller håndheve regler for den bestemte prosessen.
Bildenavn kontra fullstendig bane for prosessutelukkelser
To ulike typer prosessutelukkelser kan angis. En prosess kan utelukkes med bildenavn eller med fullstendig bane. Bildenavnet er ganske enkelt filnavnet til prosessen, uten banen.
Hvis for eksempel prosessen MyProcess.exe som kjører fra C:\MyFolder\ den fullstendige banen til denne prosessen, vil det være C:\MyFolder\MyProcess.exe , og bildenavnet er MyProcess.exe.
Utelukkelser for bildenavn er mye bredere – en utelukkelse MyProcess.exe utelater alle prosesser med dette bildenavnet, uavhengig av banen de kjøres fra. Hvis prosessen MyProcess.exe for eksempel utelates med bildenavn, blir den også utelatt hvis den kjøres fra C:\MyOtherFolder, fra flyttbare medier, et cetera. Som sådan anbefales det at når det er mulig, brukes den fullstendige banen.
Bruke jokertegn i prosessutelukkelseslisten
Bruken av jokertegn i prosessutelukkelseslisten er forskjellig fra bruken i andre utelatelseslister. Når prosessutelukkelse bare er definert som et bildenavn, er ikke bruk av jokertegn tillatt. Når en fullstendig bane brukes, støttes jokertegn, og virkemåten til jokertegnet fungerer som beskrevet i fil- og mappeutelukkelser
Bruk av miljøvariabler (for eksempel %ALLUSERSPROFILE%) som jokertegn når du definerer elementer i prosessutelukkelseslisten, støttes også. Detaljer og en fullstendig liste over støttede miljøvariabler er beskrevet i Fil- og Mappeutelukkelser.
Tabellen nedenfor beskriver hvordan jokertegnene kan brukes i prosessutelukkelseslisten når en bane er angitt:
| Jokertegn | Eksempelbruk | Eksempelsamsvar |
|---|---|---|
* (stjerne)Erstatter et hvilket som helst antall tegn. |
C:\MyFolder\* |
Alle filer som er åpnet av C:\MyFolder\MyProcess.exe eller C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Alle filer som er åpnet av C:\MyFolder1\MyFolder2\MyProcess.exe eller C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Alle filer som er åpnet av C:\MyOtherFolder\MyFolder\MyProcess.exe eller C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (spørsmålstegn) Erstatter ett tegn. |
C:\MyFolder\MyProcess??.exe |
Alle filer som er åpnet av C:\MyFolder\MyProcess42.exe eller eller C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe |
| Miljøvariabler | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Alle filer som åpnes av C:\ProgramData\MyFolder\MyProcess.exe |
Kontekstavhengige prosessutelukker
En prosessutelukkelse kan også defineres via en kontekstuell utelukkelse som for eksempel tillater at en bestemt fil utelates bare hvis den åpnes av en bestemt prosess.
Konfigurer listen over utelatelser for filer som åpnes av angitte prosesser
Bruk Microsoft Intune til å utelate filer som har blitt åpnet av angitte prosesser fra skanninger
Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for enhetsbegrensning i Microsoft Intune og Microsoft Defender begrensningsinnstillinger for antivirusenheter for Windows 10 i Intune.
Bruk Microsoft Configuration Manager til å utelate filer som har blitt åpnet av angitte prosesser fra skanninger
Se hvordan du oppretter og distribuerer policyer for beskyttelse mot skadelig programvare: Utelatelsesinnstillinger for mer informasjon om hvordan du konfigurerer Microsoft Configuration Manager (gjeldende gren).
Bruk gruppepolicy til å utelate filer som har blitt åpnet av angitte prosesser fra skanninger
Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og klikk Rediger.
Gå til Datamaskinkonfigurasjon i gruppepolicy Management Redaktør, og klikk Administrative maler.
Utvid treet til Windows-komponenter > Microsoft Defender antivirusutelukkelser>.
Dobbeltklikk prosessutelukkelser , og legg til utelatelsene:
- Angi alternativet aktivert.
- Klikk Vis...under Alternativer-delen.
- Skriv inn hver prosess på sin egen linje under Verdinavn-kolonnen . Se eksempeltabellen for de ulike typene prosessutelukkelser. Skriv inn 0 i Verdi-kolonnen for alle prosesser.
Klikk OK.
Bruk PowerShell-cmdleter til å utelate filer som har blitt åpnet av angitte prosesser fra skanninger
Hvis du bruker PowerShell til å legge til eller fjerne utelatelser for filer som har blitt åpnet av prosesser, må du bruke en kombinasjon av tre cmdleter med parameteren -ExclusionProcess . Cmdletene er alle i Defender-modulen.
Formatet for cmdletene er:
<cmdlet> -ExclusionProcess "<item>"
Følgende er tillatt som <cmdlet>:
| Konfigurasjonshandling | PowerShell-cmdlet |
|---|---|
| Opprette eller overskrive listen | Set-MpPreference |
| Legg til i listen | Add-MpPreference |
| Fjerne elementer fra listen | Remove-MpPreference |
Viktig
Hvis du har opprettet en liste, enten med Set-MpPreference eller Add-MpPreference, overskriver den eksisterende listen ved hjelp av Set-MpPreference cmdleten på nytt.
Følgende kodesnutt vil for eksempel føre til at Microsoft Defender antivirusskanninger utelater alle filer som åpnes av den angitte prosessen:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Hvis du vil ha mer informasjon om hvordan du bruker PowerShell med Microsoft Defender Antivirus, kan du se Administrere antivirus med PowerShell-cmdleter og Microsoft Defender Antivirus-cmdleter.
Bruk Windows Management Instruction (WMI) til å utelate filer som har blitt åpnet av angitte prosesser fra skanninger
Bruk metodene Angi, Legg til og Fjernfor MSFT_MpPreference-klassen for følgende egenskaper:
ExclusionProcess
Bruken av Set, Add og Remove er analogt med kolleger i PowerShell: Set-MpPreference, Add-MpPreferenceog Remove-MpPreference.
Hvis du vil ha mer informasjon og tillatte parametere, kan du se Windows Defender WMIv2 API-er.
Bruk Windows Sikkerhet-appen til å utelate filer som har blitt åpnet av angitte prosesser fra skanninger
Følg instruksjonene i Legg til utelatelser i Windows Sikkerhet-appen.
Se gjennom listen over utelatelser
Du kan hente elementene i utelatelseslisten med MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune eller Windows Sikkerhet-appen.
Hvis du bruker PowerShell, kan du hente listen på to måter:
- Hent statusen for alle Microsoft Defender antivirusinnstillinger. Hver av listene vises på separate linjer, men elementene i hver liste kombineres i samme linje.
- Skriv statusen for alle innstillingene til en variabel, og bruk denne variabelen til bare å kalle den bestemte listen du er interessert i. Hver bruk av
Add-MpPreferenceer skrevet til en ny linje.
Valider utelatelseslisten ved hjelp av MpCmdRun
Hvis du vil kontrollere utelatelser med det dedikerte kommandolinjeverktøyet mpcmdrun.exe, bruker du følgende kommando:
MpCmdRun.exe -CheckExclusion -path <path>
Obs!
Kontroll av unntak med MpCmdRun krever Microsoft Defender Antivirus CAMP versjon 4.18.1812.3 (utgitt i desember 2018) eller nyere.
Se gjennom listen over utelatelser sammen med alle andre antivirusinnstillinger for Microsoft Defender ved hjelp av PowerShell
Bruk følgende cmdlet:
Get-MpPreference
Hvis du vil ha mer informasjon om hvordan du bruker PowerShell med Microsoft Defender Antivirus, kan du se Bruke PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender Antivirus- og Microsoft Defender Antivirus-cmdleter.
Hent en bestemt utelatelsesliste ved hjelp av PowerShell
Bruk følgende kodesnutt (skriv inn hver linje som en egen kommando), erstatt WDAVprefs med etiketten du vil gi navn til variabelen:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Hvis du vil ha mer informasjon om hvordan du bruker PowerShell med Microsoft Defender Antivirus, kan du se Bruke PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender Antivirus- og Microsoft Defender Antivirus-cmdleter.
Tips
Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:
- Angi innstillinger for Microsoft Defender for endepunkt på macOS
- Microsoft Defender for endepunkt på Mac
- Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
- Angi innstillinger for Microsoft Defender for endepunkt på Linux
- Microsoft Defender for endepunkt på Linux
- Konfigurer Defender for endepunkt på Android-funksjoner
- Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner
Relaterte artikler
- Konfigurere og validere utelatelser i antivirusskanninger for Microsoft Defender
- Konfigurer og valider utelatelser basert på filnavn, filtype og mappeplassering
- Konfigurer Microsoft Defender antivirusutelukker på Windows Server
- Vanlige feil du bør unngå når du definerer utelatelser
- Tilpasse, starte og se gjennom resultatene av Microsoft Defender Antivirus-skanninger og -utbedring
- Microsoft Defender Antivirus i Windows 10
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.