Dela via

Microsoft Defender antivirusundantag på Windows Server

  • Artikel

Gäller för:

  • Microsoft Defender för Endpoint för servrar
  • Microsoft Defender för serverplan 1 eller plan 2
  • Microsoft Defender Antivirus

Plattformar

  • Windows Server

Viktigt

Viktig information om automatiska undantag på Windows Server

  • Anpassade undantag har företräde framför automatiska undantag. När ett anpassat undantag har angetts för en sökväg som också har ett duplicerat automatiskt eller inbyggt undantag gäller alltid det anpassade undantaget.
  • Automatiska undantag gäller endast för RTP-genomsökning (realtidsskydd). Annan genomsökningsaktivitet, till exempel nätverksinspektion och beteendeövervakning, kommer inte att uteslutas. Om du vill undanta andra genomsökningstyper använder du anpassade undantag.
  • Automatiska undantag respekteras inte vid snabbgenomsökning, fullständig genomsökning och anpassad genomsökning. Om du vill undanta andra genomsökningstyper använder du anpassade undantag.
  • Inbyggda undantag och automatiska undantag för serverroller visas inte i standardundantagslistorna som visas i Windows-säkerhet-appen.
  • Microsoft Defender Antivirus använder DISM-verktygen (Deployment Image Servicing and Management) för att avgöra vilka roller som är installerade på datorn.
  • Lämpliga undantag måste anges för programvara som inte ingår i operativsystemet.
  • Listan över inbyggda undantag som tillämpas av Microsoft Defender Antivirus hålls uppdaterad när hotlandskapet ändras. I den här artikeln visas några, men inte alla, inbyggda och automatiska undantag.

Översikt

I den här artikeln beskrivs typer av undantag som du inte behöver definiera för Microsoft Defender Antivirus:

En mer detaljerad översikt över undantag finns i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Automatiska undantag för serverroller

Automatiska undantag för serverroller tillämpar specifika uppsättningar av automatiska sökvägar och processundantag baserat på de roller som du väljer för servern.

Obs!

  • Se Viktiga anteckningar
  • Standardplatser kan skilja sig från de platser som beskrivs i den här artikeln.
  • Listan över inbyggda undantag som tillämpas av Microsoft Defender Antivirus hålls uppdaterad när hotlandskapet ändras. I den här artikeln visas några, men inte alla, av de automatiska undantagen för serverrollen.
  • Information om hur du anger undantag för programvara som inte ingår som en Windows-funktion eller serverroll finns i programvarutillverkarens dokumentation.

Windows Server 2016 eller senare

På Windows Server 2016 eller senare bör du inte behöva definiera undantag för serverroller. När du installerar en roll på Windows Server 2016 eller senare innehåller Microsoft Defender Antivirus automatiska undantag för serverrollen och filer som läggs till när rollen installeras.

Windows Server 2012 R2

Windows Server 2012 R2 stöder inte funktionen för automatiska undantag för serverroller. Windows Server 2012 R2 har inte heller Microsoft Defender Antivirus som en installationsbar funktion. När du registrerar servrarna i Defender för Endpoint installerar du Microsoft Defender Antivirus och standardinbyggda undantag för operativsystemfiler tillämpas. Automatiska undantag för serverroller (som anges nedan) tillämpas dock inte automatiskt. Om dessa undantag önskas bör du lägga till anpassade undantag för dessa sökvägar och processer efter behov. Mer information om registrering Microsoft Defender Antivirus på Windows Server 2012 R2 finns i Publicera Windows-servrar till Microsoft Defender för Endpoint-tjänsten.

Automatiska undantag är:

Hyper-V-undantag

I följande tabell visas de filtypsundantag, mappundantag och processundantag som levereras automatiskt när du installerar Hyper-V-rollen.

Undantagstyp Detaljerna
Filtyper *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Mappar %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processer %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-filer

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-undantag

I det här avsnittet visas de undantag som levereras automatiskt när du installerar Active Directory Domain Services (AD DS).

NTDS-databasfiler

Databasfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

AD DS-transaktionsloggfilerna

Transaktionsloggfilerna anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

NTDS-arbetsmappen

Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-serverundantag

I det här avsnittet visas de undantag som levereras automatiskt när du installerar DHCP-serverrollen. DHCP Server-filplatserna anges av parametrarna DatabasePath, DhcpLogFilePath och BackupDatabasePath i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-serverundantag

I det här avsnittet visas de fil- och mappundantag och processundantag som levereras automatiskt när du installerar DNS-serverrollen.

Fil- och mappundantag för DNS-serverrollen

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Processundantag för DNS-serverrollen

  • %systemroot%\System32\dns.exe

Undantag för fil- och lagringstjänster

I det här avsnittet visas de fil- och mappundantag som levereras automatiskt när du installerar rollen Fil- och lagringstjänster. Undantagen som anges nedan omfattar inte undantag för klustringsrollen.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

I det här avsnittet visas undantag för filtyper, mappundantag och processundantag som levereras automatiskt när du installerar utskriftsserverrollen.

Filtypsundantag

  • *.shd
  • *.spl

Mappundantag

Den här mappen anges i registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Processundantag för utskriftsserverrollen

  • spoolsv.exe

Webbserverundantag

I det här avsnittet visas mappundantag och processundantag som levereras automatiskt när du installerar webbserverrollen.

Mappundantag

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Processundantag för webbserverrollen

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Inaktivera genomsökning av filer i mappen Sysvol\Sysvol eller mappen SYSVOL_DFSR\Sysvol

Den aktuella platsen för Sysvol\Sysvol mappen eller SYSVOL_DFSR\Sysvol och alla undermappar är filsystemets referensmål för roten för replikuppsättningen. Mapparna Sysvol\Sysvol och SYSVOL_DFSR\Sysvol använder följande platser som standard:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Sökvägen till den aktiva SYSVOL refereras av NETLOGON-resursen och kan bestämmas av SysVol-värdenamnet i följande undernyckel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Undanta följande filer från den här mappen och alla dess undermappar:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services undantag

I det här avsnittet visas de mappundantag som levereras automatiskt när du installerar rollen Windows Server Update Services (WSUS). WSUS-mappen anges i registernyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Inbyggda undantag

Obs!

  • Se Viktiga anteckningar
  • Standardplatser kan skilja sig från de platser som beskrivs i den här artikeln.
  • Listan över inbyggda undantag som tillämpas av Microsoft Defender Antivirus hålls uppdaterad när hotlandskapet ändras. I den här artikeln visas några, men inte alla, av de inbyggda undantagen.

Eftersom Microsoft Defender Antivirus är inbyggt i Windows kräver det inte undantag för operativsystemfiler på någon version av Windows.

Inbyggda undantag är:

Windows "temp.edb"-filer

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update filer eller automatiska uppdateringsfiler

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows-säkerhet filer

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

grupprincip filer

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-filer

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Filreplikeringstjänstundantag (FRS)

  • Filer i arbetsmappen Filreplikeringstjänst (FRS). FRS-arbetsmappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-databasloggfiler. Mappen för FRS Database-loggfilen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • FRS-mellanlagringsmappen. Mellanlagringsmappen anges i registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Förinstallationsmappen FRS. Den här mappen anges av mappen Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • DfSR-databasen (Distributed File System Replication) och arbetsmapparna. Dessa mappar anges av registernyckeln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Obs!

    Anpassade platser finns i Opting out of automatic exclusions (Avanmäla automatiska undantag).

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Processundantag för inbyggda operativsystemfiler

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Avanmäla dig från automatiska undantag

I Windows Server 2016 och senare exkluderar de fördefinierade undantag som levereras av uppdateringar av säkerhetsinformation endast standardsökvägarna för en roll eller funktion. Om du har installerat en roll eller funktion i en anpassad sökväg, eller om du vill styra uppsättningen undantag manuellt, bör du välja bort de automatiska undantag som levereras i Uppdateringar av säkerhetsinformation. Tänk dock på att undantagen som levereras automatiskt är optimerade för Windows Server 2016 och senare. Se Viktiga punkter om undantag innan du definierar dina undantagslistor.

Varning

Om du avanmäler dig från automatiska undantag kan det påverka prestanda negativt eller leda till att data skadas. Automatiska undantag för serverroller är optimerade för Windows Server 2016, Windows Server 2019, Windows Server 2022 och Windows Server 2025.

Eftersom fördefinierade undantag endast exkluderar standardsökvägar måste du lägga till undantag manuellt om du flyttar NTDS- och SYSVOL-mappar till en annan enhet eller sökväg som skiljer sig från den ursprungliga sökvägen. Se Konfigurera listan över undantag baserat på mappnamn eller filnamnstillägg.

Du kan inaktivera automatiska undantagslistor med grupprincip, PowerShell-cmdletar och WMI.

Använd grupprincip för att inaktivera listan över automatiska undantag på Windows Server 2016, Windows Server 2019 och senare

  1. Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering. Högerklicka på grupprincip objekt som du vill konfigurera och välj sedan Redigera.

  2. I grupprincip Management Editor gå till Datorkonfiguration och välj sedan Administrativa mallar.

  3. Expandera trädet till Windows-komponenter>Microsoft DefenderAntivirusundantag>.

  4. Dubbelklicka på Inaktivera automatiska undantag och ställ in alternativet på Aktiverad. Välj sedan OK.

Använd PowerShell-cmdletar för att inaktivera listan över automatiska undantag på Windows Server

Använd följande cmdletar:

Set-MpPreference -DisableAutoExclusions $true

Mer information finns i följande resurser:

Använd Windows Management Instruction (WMI) för att inaktivera listan över automatiska undantag på Windows Server

Använd metoden Set för klassen MSFT_MpPreference för följande egenskaper:

DisableAutoExclusions

Mer information och tillåtna parametrar finns i:

Definiera anpassade undantag

Om det behövs kan du lägga till eller ta bort anpassade undantag. Det gör du genom att läsa följande artiklar:

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.