Utelukkelser for Microsoft Defender Antivirus på Windows Server

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender Antivirus

Plattformer

• Windows Server

Denne artikkelen beskriver typer utelatelser som du ikke trenger å definere for Microsoft Defender Antivirus:

• Innebygde unntak for operativsystemfiler i alle versjoner av Windows.
• Automatiske utelatelser for roller på Windows Server 2016 og nyere.

Hvis du vil ha en mer detaljert oversikt over utelatelser, kan du se Administrere utelatelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Noen viktige punkter om utelukkelser på Windows Server

• Egendefinerte utelatelser har forrang over automatiske utelatelser.
• Automatiske utelatelser gjelder bare for skanning av sanntidsbeskyttelse (RTP ).
• Automatiske utelatelser overholdes ikke under en rask skanning, fullstendig skanning og egendefinert skanning.
• Egendefinerte og dupliserte utelatelser er ikke i konflikt med automatiske utelatelser.
• Microsoft Defender Antivirus bruker verktøyene dism (Deployment Image Servicing and Management) til å bestemme hvilke roller som er installert på datamaskinen.
• Passende utelukkelser må angis for programvare som ikke er inkludert i operativsystemet.
• Windows Server 2012 R2 har ikke Microsoft Defender Antivirus som en installerbar funksjon. Når du setter disse serverne inn i Defender for Endpoint, installerer du Microsoft Defender Antivirus, og standard utelukkelser for operativsystemfiler brukes. Utelukkelser for serverroller (som angitt nedenfor) gjelder imidlertid ikke automatisk, og du bør konfigurere disse utelukkelsene etter behov. Hvis du vil ha mer informasjon, kan du se Windows-servere om bord i Microsoft Defender for Endpoint-tjenesten.
• Innebygde utelatelser og automatiske utelukkelser for serverrolle vises ikke i standard utelatelseslister som vises i Windows Security-appen.
• Listen over innebygde utelatelser i Windows holdes oppdatert når trussellandskapet endres. Denne artikkelen viser noen, men ikke alle, de innebygde og automatiske utelukkelsene.

Automatiske utelukkelser for serverrolle

På Windows Server 2016 eller nyere trenger du ikke å definere utelatelser for serverroller. Når du installerer en rolle på Windows Server 2016 eller nyere, inkluderer Microsoft Defender Antivirus automatiske utelukkelser for serverrollen og eventuelle filer som legges til mens du installerer rollen.

Windows Server 2012 R2 støtter ikke funksjonen for automatisk utelukkelse. Du må definere eksplisitte utelatelser for enhver serverrolle og eventuell programvare som legges til når du har installert operativsystemet.

Viktig

• Standardplasseringer kan være forskjellig fra plasseringene som er beskrevet i denne artikkelen.
• Hvis du vil angi utelatelser for programvare som ikke er inkludert som en Windows-funksjon eller serverrolle, kan du se dokumentasjonen fra programvareprodusenten.

Automatiske utelatelser inkluderer:

• Hyper-V-utelatelser
• SYSVOL-filer
• Active Directory-utelatelser
• UTELUKKELSER for DHCP-server
• DNS Server-utelukkelser
• Utelukkelser for fil- og lagringstjenester
• Utelukkelser for utskriftsserver
• Utelukkelser for webserver
• Utelukkelser for Windows Server Update Services

Hyper-V-utelatelser

Tabellen nedenfor viser utelukkelser for filtype, mappeutelukkelser og prosessutelukkelser som leveres automatisk når du installerer Hyper-V-rollen.

Utelatelsestype	Detaljer
Filtyper	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
Mapper	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
Prosesser	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

SYSVOL-filer

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-utelatelser

Denne delen viser unntakene som leveres automatisk når du installerer Active Directory Domain Services (AD DS).

NTDS-databasefiler

Databasefilene er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

AD DS-transaksjonsloggfilene

Transaksjonsloggfilene er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

NTDS-arbeidsmappen

Denne mappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

Prosessutelukker for AD DS- og AD DS-relaterte støttefiler

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

UTELUKKELSER for DHCP-server

Denne delen viser unntakene som leveres automatisk når du installerer DHCP Server-rollen. Plasseringene til DHCP-serveren angis av parameterne DatabasePath, DhcpLogFilePath og BackupDatabasePath i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

DNS Server-utelukkelser

Denne delen viser fil- og mappeutelukkelser og prosessutelukkelser som leveres automatisk når du installerer DNS Server-rollen.

Fil- og mappeutelukkelse for DNS Server-rollen

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

Prosessutelukkelser for DNS Server-rollen

• %systemroot%\System32\dns.exe

Utelukkelser for fil- og lagringstjenester

Denne delen viser fil- og mappeutelukkelser som leveres automatisk når du installerer rollen Fil- og lagringstjenester. Utelukkelsene som er oppført nedenfor, inkluderer ikke utelukkelser for klyngerollen.

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

Utelukkelser for utskriftsserver

Denne delen viser filtypeutelukkelser, mappeutelukkelser og prosessutelukkelser som leveres automatisk når du installerer Print Server-rollen.

Utelukkelser for filtype

• *.shd
• *.spl

Mappeutelukkelser

Denne mappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

Behandle utelatelser for Print Server-rollen

• spoolsv.exe

Utelukkelser for webserver

Denne delen viser mappeutelukkelsene og prosessutelukkelsene som leveres automatisk når du installerer webserverrollen.

Mappeutelukkelser

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

Behandle utelatelser for webserverrollen

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

Deaktivere skanning av filer i Sysvol\Sysvol-mappen eller SYSVOL_DFSR\Sysvol-mappen

Gjeldende plassering av Sysvol\Sysvol mappen og SYSVOL_DFSR\Sysvol alle undermappene er målet for filsystemets reanalysering av roten for replikasettet. Mappene Sysvol\Sysvol og SYSVOL_DFSR\Sysvol bruker følgende plasseringer som standard:

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

Banen til den aktive SYSVOL er referert av netlogon-delingen og kan bestemmes av SysVol-verdinavnet i følgende undernøkkel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Utelat følgende filer fra denne mappen og alle undermappene:

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

Utelukkelser for Windows Server Update Services

Denne delen viser mappeutelukkelsene som leveres automatisk når du installerer rollen Windows Server Update Services (WSUS). WSUS-mappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

Innebygde utelatelser

Siden Microsoft Defender Antivirus er innebygd i Windows, krever det ikke utelukkelser for operativsystemfiler i noen versjon av Windows.

Innebygde utelatelser inkluderer:

• Windows Temp.edb-filer
• Windows Update-filer eller automatiske oppdateringsfiler
• Windows Sikkerhetsfiler
• Gruppepolicyfiler
• WINS-filer
• Utelukkelser for Filreplikeringstjeneste (FRS)
• Prosessutelukkelser for innebygde operativsystemfiler

Listen over innebygde utelatelser i Windows holdes oppdatert når trussellandskapet endres.

Windows Temp.edb-filer

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update-filer eller automatiske oppdateringsfiler

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows Sikkerhetsfiler

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

Gruppepolicyfiler

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-filer

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

Utelukkelser for Filreplikeringstjeneste (FRS)

• Filer i arbeidsmappen for Filreplikeringstjeneste (FRS). FRS-arbeidsmappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• Loggfiler for FRS-database. Loggfilmappen for FRS-databasen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• FRS-oppsamlingsmappen. Oppsamlingsmappen er angitt i registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• Forhåndsinstalleringsmappen for FRS. Denne mappen er angitt av mappen Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• DfSR-databasen (Distributed File System Replication) og arbeidsmapper. Disse mappene angis av registernøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  Obs!

  Hvis du vil ha egendefinerte plasseringer, kan du se Velge bort automatiske utelatelser.

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Prosessutelukkelser for innebygde operativsystemfiler

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

Velge bort automatiske utelatelser

I Windows Server 2016 og nyere utelater de forhåndsdefinerte utelukkelsene som leveres av sikkerhetsintelligensoppdateringer bare standardbanene for en rolle eller funksjon. Hvis du installerte en rolle eller funksjon i en egendefinert bane, eller du vil kontrollere settet med utelatelser manuelt, må du sørge for å velge bort automatiske utelatelser som leveres i sikkerhetsanalyseoppdateringer. Men husk at utelukkelsene som leveres automatisk, er optimalisert for Windows Server 2016 og nyere. Se viktige punkter om utelatelser før du definerer utelatelseslistene.

Advarsel

Hvis du velger bort automatiske utelatelser, kan det påvirke ytelsen negativt, eller føre til skade på data. Automatiske utelukkelser for serverrolle er optimalisert for Windows Server 2016, Windows Server 2019 og Windows Server 2022.

Fordi forhåndsdefinerte utelatelser bare utelater standardbaner, må du legge til utelatelser manuelt hvis du flytter NTDS- og SYSVOL-mapper til en annen stasjon eller bane som er forskjellig fra den opprinnelige banen. Se Konfigurere listen over utelatelser basert på mappenavn eller filtype.

Du kan deaktivere de automatiske utelatelseslistene med gruppepolicy, PowerShell-cmdleter og WMI.

Bruk gruppepolicy til å deaktivere listen over automatiske utelatelser på Windows Server 2016, Windows Server 2019 og Windows Server 2022

1. Åpne konsollen for gruppepolicybehandling på datamaskinen for gruppepolicybehandling. Høyreklikk gruppepolicyobjektet du vil konfigurere, og velg deretter Rediger.

2. Gå til Datamaskinkonfigurasjon i redigeringsprogrammet for gruppepolicybehandling, og velg deretter Administrative maler.

3. Utvid treet til Windows-komponentene>Microsoft Defender Antivirus>Exclusions.

4. Dobbeltklikk Slå av automatiske utelatelser, og angi alternativet aktivert. Velg deretter OK.

Bruk PowerShell-cmdleter til å deaktivere listen over automatiske utelatelser på Windows Server

Bruk følgende cmdleter:

Set-MpPreference -DisableAutoExclusions $true

Hvis du vil ha mer informasjon, kan du se følgende ressurser:

• Bruk PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender Antivirus.
• Bruk PowerShell med Microsoft Defender Antivirus.

Bruk Windows Management Instruction (WMI) til å deaktivere listen over automatiske utelatelser på Windows Server

Bruk Angi-metoden for MSFT_MpPreference-klassen for følgende egenskaper:

DisableAutoExclusions

Hvis du vil ha mer informasjon og tillatte parametere, kan du se:

• Windows Defender WMIv2 API-er

Definere egendefinerte utelatelser

Hvis det er nødvendig, kan du legge til eller fjerne egendefinerte utelatelser. Hvis du vil gjøre dette, kan du se følgende artikler:

• Konfigurere egendefinerte utelatelser for Microsoft Defender Antivirus
• Konfigurer og valider utelatelser basert på filnavn, filtype og mappeplassering
• Konfigurer og valider utelatelser for filer som åpnes av prosesser

Se også

• Utelatelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
• Vanlige feil du bør unngå når du definerer utelatelser
• Tilpasse, starte og se gjennom resultatene av Microsoft Defender Antivirus-skanninger og -utbedring
• Microsoft Defender for endepunkt på Mac
• Microsoft Defender for endepunkt på Linux
• Konfigurer Defender for endepunkt på Android-funksjoner
• Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.