Vanliga misstag att undvika när man definierar undantag
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender Antivirus
Plattformar
- Windows
- macOS
- Linux
Viktigt
Lägg till undantag med försiktighet. Undantag för Microsoft Defender Antivirus-genomsökningar minskar skyddsnivån för enheter.
Du kan definiera en undantagslista för objekt som du inte vill att Microsoft Defender Antivirus ska genomsöka. Undantagna objekt kan dock innehålla hot som gör din enhet sårbar. Den här artikeln beskriver några vanliga misstag som du bör undvika när du definierar undantag.
Tips
Innan du definierar dina undantagslistor kan du läsa Viktiga punkter om undantag och granska den detaljerade informationen i Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.
Exkluderande av vissa betrodda objekt
Vissa filer, filtyper, mappar eller processer bör inte undantas från genomsökning även om du litar på att de inte är skadliga. Definiera inte undantag för mappplatser, filnamnstillägg och processer som visas i följande avsnitt:
Mappplatser
Viktigt
Vissa mappar bör inte undantas från genomsökningar eftersom de kan bli mappar där skadliga filer kan tas bort.
I allmänhet ska du inte definiera undantag för någon av följande mappplatser:
%systemdrive%
-
C:
,C:\
, ellerC:\*
-
%ProgramFiles%\Java
ellerC:\Program Files\Java
-
%ProgramFiles%\Contoso\
,C:\Program Files\Contoso\
,%ProgramFiles(x86)%\Contoso\
ellerC:\Program Files (x86)\Contoso\
-
C:\Temp
,C:\Temp\
, ellerC:\Temp\*
-
C:\Users\
ellerC:\Users\*
-
C:\Users\<UserProfileName>\AppData\Local\Temp\
ellerC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
. Observera följande viktiga undantag för SharePoint: UndantaC:\Users\ServiceAccount\AppData\Local\Temp
ellerC:\Users\Default\AppData\Local\Temp
när du använder antivirusskydd på filnivå i SharePoint. -
%Windir%\Prefetch
,C:\Windows\Prefetch
,C:\Windows\Prefetch\
ellerC:\Windows\Prefetch\*
-
%Windir%\System32\Spool
ellerC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
-
%Windir%\Temp
,C:\Windows\Temp
,C:\Windows\Temp\
ellerC:\Windows\Temp\*
Linux- och macOS-plattformar
I allmänhet ska du inte definiera undantag för följande mappplatser:
/
-
/bin
eller/sbin
/usr/lib
Filtillägg
Viktigt
Vissa filnamnstillägg bör inte undantas eftersom de kan vara filtyper som används i ett angrepp.
I allmänhet ska du inte definiera undantag för följande filnamnstillägg:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
-
.ko
eller.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
Processer
Viktigt
Vissa processer bör inte uteslutas eftersom de används under attacker.
I allmänhet ska du inte definiera undantag för följande processer:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
Obs!
Du kan välja att undanta filtyper, till exempel .gif
, .jpg
, .jpeg
eller .png
om din miljö har en modern, uppdaterad programvara med en strikt uppdateringsprincip för att hantera eventuella säkerhetsrisker.
Linux- och macOS-plattformar
I allmänhet ska du inte definiera undantag för följande processer:
bash
java
-
python
ochpython3
sh
zsh
Använd bara filnamnet i undantagslistan
Skadlig kod kan ha samma namn som för en fil som du litar på och vill undanta från genomsökning. Undvik därför att utesluta potentiell skadlig kod från genomsökning genom att använda en fullständigt kvalificerad sökväg till filen som du vill exkludera i stället för att bara använda filnamnet. Om du till exempel vill undanta Filename.exe
från genomsökning använder du den fullständiga sökvägen till filen, till exempel C:\program files\contoso\Filename.exe
.
Använda en enda undantagslista för flera serverarbetsbelastningar
Använd inte en enda undantagslista för att definiera undantag för flera serverarbetsbelastningar. Dela upp undantagen för olika program- eller tjänstarbetsbelastningar i flera undantagslistor. Exkluderingslistan för din IIS Server-arbetsbelastning måste till exempel skilja sig från undantagslistan för din SQL Server-arbetsbelastning.
Använda felaktiga miljövariabler som jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg
Microsoft Defender Antivirus Service körs i systemkontext med kontot LocalSystem, vilket innebär att det hämtar information från systemmiljövariabeln och inte från användarmiljövariabeln. Användningen av miljövariabler som jokertecken i undantagslistor är begränsad till systemvariabler och de som gäller för processer som körs som ett NT AUTHORITY\SYSTEM-konto. Använd därför inte användarmiljövariabler som jokertecken när du lägger till Microsoft Defender Antivirus-mappen och processundantag. En fullständig lista över systemmiljövariabler finns i tabellen under Systemmiljövariabler .
Mer information om hur du använder jokertecken i undantagslistor finns i Använda jokertecken i filnamns- och mappsökvägs- eller tilläggsundantagslistor .
Se även
- Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus
- Konfigurera anpassade undantag för Microsoft Defender Antivirus
- Konfigurera och validera undantag för Microsoft Defender för Endpoint i Linux
- Konfigurera och validera undantag för Microsoft Defender för Endpoint på macOS
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.