Delen via

Microsoft Defender Antivirus-uitsluitingen op Windows Server

  • Artikel

Van toepassing op:

  • Microsoft Defender voor Eindpunt voor servers
  • Microsoft Defender voor servers, abonnement 1 of abonnement 2
  • Microsoft Defender Antivirus

Platforms

  • Windows Server

Belangrijk

Belangrijke opmerkingen over automatische uitsluitingen op Windows Server

  • Aangepaste uitsluitingen hebben voorrang op automatische uitsluitingen. Wanneer een aangepaste uitsluiting is ingesteld voor een pad dat ook een dubbele automatische of ingebouwde uitsluiting heeft, is de aangepaste uitsluiting altijd van toepassing.
  • Automatische uitsluitingen zijn alleen van toepassing op scannen met realtime beveiliging (RTP). Andere scanactiviteiten, zoals Netwerkinspectie en Gedragscontrole, worden niet uitgesloten. Als u andere scantypen wilt uitsluiten, gebruikt u aangepaste uitsluitingen.
  • Automatische uitsluitingen worden niet gehonoreerd tijdens een snelle scan, volledige scan en aangepaste scan. Als u andere scantypen wilt uitsluiten, gebruikt u aangepaste uitsluitingen.
  • Ingebouwde uitsluitingen en automatische uitsluitingen van serverfuncties worden niet weergegeven in de standaarduitsluitingslijsten die worden weergegeven in de Windows-beveiliging-app.
  • Microsoft Defender Antivirus gebruikt de DISM-hulpprogramma's (Deployment Image Servicing and Management) om te bepalen welke rollen op uw computer zijn geïnstalleerd.
  • Er moeten geschikte uitsluitingen worden ingesteld voor software die niet is opgenomen in het besturingssysteem.
  • De lijst met ingebouwde uitsluitingen die door Microsoft Defender Antivirus worden toegepast, wordt bijgewerkt naarmate het bedreigingslandschap verandert. In dit artikel vindt u een aantal, maar niet alle, ingebouwde en automatische uitsluitingen.

Overzicht

In dit artikel worden typen uitsluitingen beschreven die u niet hoeft te definiëren voor Microsoft Defender Antivirus:

Zie Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus voor een gedetailleerder overzicht van uitsluitingen.

Automatische uitsluitingen van serverfuncties

Met uitsluitingen van automatische serverfuncties worden specifieke sets automatische pad- en procesuitsluitingen toegepast op basis van de functies die u voor de server selecteert.

Opmerking

  • Zie Belangrijke notities
  • Standaardlocaties kunnen afwijken van de locaties die in dit artikel worden beschreven.
  • De lijst met ingebouwde uitsluitingen die door Microsoft Defender Antivirus worden toegepast, wordt bijgewerkt naarmate het bedreigingslandschap verandert. In dit artikel vindt u enkele, maar niet alle, uitsluitingen van automatische serverfuncties.
  • Als u uitsluitingen wilt instellen voor software die niet is opgenomen als Windows-functie of serverfunctie, raadpleegt u de documentatie van de softwarefabrikant.

Windows Server 2016 of hoger

Op Windows Server 2016 of hoger hoeft u geen uitsluitingen voor serverfuncties te definiëren. Wanneer u een rol installeert op Windows Server 2016 of hoger, bevat Microsoft Defender Antivirus automatische uitsluitingen voor de serverfunctie en bestanden die worden toegevoegd tijdens het installeren van de rol.

Windows Server 2012 R2

Windows Server 2012 R2 biedt geen ondersteuning voor de functie automatische uitsluiting van serverfuncties. Windows Server 2012 R2 heeft ook geen Microsoft Defender Antivirus als installeerbare functie. Wanneer u deze servers onboardt bij Defender for Endpoint, installeert u Microsoft Defender Antivirus en worden standaard ingebouwde uitsluitingen voor besturingssysteembestanden toegepast. Automatische uitsluitingen van serverfuncties (zoals hieronder aangegeven) worden echter niet automatisch toegepast. Als deze uitsluitingen gewenst zijn, moet u zo nodig aangepaste uitsluitingen toevoegen voor deze paden en processen. Zie Windows-servers onboarden bij de Microsoft Defender voor Eindpunt-service voor meer informatie over onboarding Microsoft Defender Antivirus op Windows Server 2012 R2.

Automatische uitsluitingen zijn onder andere:

Hyper-V-uitsluitingen

De volgende tabel bevat de uitsluitingen van bestandstypen, mapuitsluitingen en procesuitsluitingen die automatisch worden geleverd wanneer u de Hyper-V-rol installeert.

Uitsluitingstype Details
Bestandstypen *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mappen %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processen %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-bestanden

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-uitsluitingen

Deze sectie bevat de uitsluitingen die automatisch worden geleverd wanneer u Active Directory Domain Services (AD DS) installeert.

NTDS-databasebestanden

De databasebestanden worden opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

De AD DS-transactielogboekbestanden

De transactielogboekbestanden worden opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

De NTDS-werkmap

Deze map is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-serveruitsluitingen

In deze sectie vindt u de uitsluitingen die automatisch worden geleverd wanneer u de DHCP-serverfunctie installeert. De locaties van de DHCP-serverbestanden worden opgegeven door de parameters DatabasePath, DhcpLogFilePath en BackupDatabasePath in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-serveruitsluitingen

In deze sectie worden de bestands- en mapuitsluitingen en de procesuitsluitingen vermeld die automatisch worden geleverd wanneer u de DNS-serverfunctie installeert.

Bestands- en mapuitsluitingen voor de DNS-serverfunctie

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Uitsluitingen verwerken voor de DNS-serverfunctie

  • %systemroot%\System32\dns.exe

Uitsluitingen van bestands- en opslagservices

In deze sectie worden de bestands- en mapuitsluitingen vermeld die automatisch worden geleverd wanneer u de rol Bestands- en opslagservices installeert. De uitsluitingen die hieronder worden vermeld, bevatten geen uitsluitingen voor de clusteringrol.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

In deze sectie worden de uitsluitingen voor bestandstypen, mapuitsluitingen en procesuitsluitingen vermeld die automatisch worden geleverd wanneer u de functie Afdrukserver installeert.

Uitsluitingen van bestandstypen

  • *.shd
  • *.spl

Mapuitsluitingen

Deze map is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Uitsluitingen verwerken voor de afdrukserverfunctie

  • spoolsv.exe

Webserveruitsluitingen

In deze sectie vindt u de mapuitsluitingen en de procesuitsluitingen die automatisch worden geleverd wanneer u de webserverfunctie installeert.

Mapuitsluitingen

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Uitsluitingen verwerken voor de webserverfunctie

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Het scannen van bestanden in de map Sysvol\Sysvol of de map SYSVOL_DFSR\Sysvol uitschakelen

De huidige locatie van de Sysvol\Sysvol map of SYSVOL_DFSR\Sysvol en alle submappen is het reparse-doel van het bestandssysteem van de hoofdmap van de replicaset. De Sysvol\Sysvol mappen en SYSVOL_DFSR\Sysvol gebruiken standaard de volgende locaties:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Het pad naar de momenteel actieve SYSVOL wordt verwezen door de NETLOGON-share en kan worden bepaald door de naam van de SysVol-waarde in de volgende subsleutel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Sluit de volgende bestanden uit deze map en alle bijbehorende submappen:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

uitsluitingen Windows Server Update Services

In deze sectie worden de mapuitsluitingen vermeld die automatisch worden geleverd wanneer u de wsus-rol (Windows Server Update Services) installeert. De WSUS-map wordt opgegeven in de registersleutel HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Ingebouwde uitsluitingen

Opmerking

  • Zie Belangrijke notities
  • Standaardlocaties kunnen afwijken van de locaties die in dit artikel worden beschreven.
  • De lijst met ingebouwde uitsluitingen die door Microsoft Defender Antivirus worden toegepast, wordt bijgewerkt naarmate het bedreigingslandschap verandert. In dit artikel vindt u een aantal, maar niet alle, ingebouwde uitsluitingen.

Omdat Microsoft Defender Antivirus is ingebouwd in Windows, zijn er geen uitsluitingen vereist voor besturingssysteembestanden in een versie van Windows.

Ingebouwde uitsluitingen zijn onder andere:

Windows-bestanden 'temp.edb'

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

bestanden Windows Update of bestanden automatisch bijwerken

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows-beveiliging bestanden

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

groepsbeleid bestanden

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-bestanden

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Frs-uitsluitingen (File Replication Service)

  • Bestanden in de werkmap File Replication Service (FRS). De FRS-werkmap is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-databaselogboekbestanden. De map met het FRS-databaselogboekbestand is opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • De map FRS-fasering. De faseringsmap wordt opgegeven in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • De map FRS vooraf installeren. Deze map wordt opgegeven door de map Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • De DFSR-database (Distributed File System Replication) en de werkmappen. Deze mappen worden opgegeven door de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Opmerking

    Zie Afmelden voor automatische uitsluitingen voor aangepaste locaties.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Procesuitsluitingen voor ingebouwde besturingssysteembestanden

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Afmelden voor automatische uitsluitingen

In Windows Server 2016 en hoger sluiten de vooraf gedefinieerde uitsluitingen die worden geleverd door updates voor beveiligingsinformatie alleen de standaardpaden voor een rol of functie uit. Als u een rol of functie in een aangepast pad hebt geïnstalleerd of als u de set uitsluitingen handmatig wilt beheren, moet u ervoor zorgen dat u zich afmeldt voor de automatische uitsluitingen die worden geleverd in Updates voor beveiligingsinformatie. Houd er echter rekening mee dat de uitsluitingen die automatisch worden geleverd, worden geoptimaliseerd voor Windows Server 2016 en later. Zie Belangrijke punten over uitsluitingen voordat u uw uitsluitingslijsten definieert.

Waarschuwing

Als u zich afmeldt voor automatische uitsluitingen, kan dit de prestaties nadelig beïnvloeden of leiden tot beschadiging van gegevens. Automatische uitsluitingen van serverfuncties zijn geoptimaliseerd voor Windows Server 2016, Windows Server 2019, Windows Server 2022 en Windows Server 2025.

Omdat vooraf gedefinieerde uitsluitingen alleen standaardpaden uitsluiten, moet u uitsluitingen handmatig toevoegen als u NTDS- en SYSVOL-mappen verplaatst naar een ander station of pad dat verschilt van het oorspronkelijke pad. Zie De lijst met uitsluitingen configureren op basis van mapnaam of bestandsextensie.

U kunt de automatische uitsluitingslijsten uitschakelen met groepsbeleid, PowerShell-cmdlets en WMI.

Gebruik groepsbeleid om de lijst met automatische uitsluitingen uit te schakelen op Windows Server 2016, Windows Server 2019 en hoger

  1. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer. Klik met de rechtermuisknop op het groepsbeleid Object dat u wilt configureren en selecteer bewerken.

  2. Ga in de groepsbeleid Beheer Editor naar Computerconfiguratie en selecteer beheersjablonen.

  3. Vouw de structuur uit naar Windows-onderdelen> Microsoft DefenderAntivirusuitsluitingen>.

  4. Dubbelklik op Automatische uitsluitingen uitschakelen en stel de optie in op Ingeschakeld. Selecteer vervolgens OK.

PowerShell-cmdlets gebruiken om de lijst met automatische uitsluitingen op Windows Server

Gebruik de volgende cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Zie de volgende bronnen voor meer informatie:

Windows Management Instruction (WMI) gebruiken om de lijst met automatische uitsluitingen uit te schakelen op Windows Server

Gebruik de methode Set van de klasse MSFT_MpPreference voor de volgende eigenschappen:

DisableAutoExclusions

Zie voor meer informatie en toegestane parameters:

Aangepaste uitsluitingen definiëren

Indien nodig kunt u aangepaste uitsluitingen toevoegen of verwijderen. Zie de volgende artikelen om dit te doen:

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.