Konfigurera anpassade undantag för Microsoft Defender Antivirus

I allmänhet bör du inte behöva definiera undantag för Microsoft Defender Antivirus. Du kan dock exkludera filer, mappar, processer och processöppnade filer från Microsoft Defender Antivirus-genomsökningar. Dessa typer av undantag kallas anpassade undantag. Den här artikeln beskriver hur du använder Microsoft Intune för att definiera anpassade undantag för Microsoft Defender Antivirus i Microsoft Windows.

Anpassade undantag gäller för schemalagda genomsökningar, genomsökningar på begäran och alltid på realtidsskydd och övervakning. Undantag för processöppnade filer gäller endast för realtidsskydd.

Förhandskrav

Operativsystem som stöds

• Windows

Viktiga punkter om undantag

• Försiktighet

  Använd undantag sparsamt. Undantag är tekniskt sett ett skyddsgap som minskar Microsoft Defender antivirusskydd. Överväg alla alternativ när du definierar undantag. Mer information finns i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

• Undantag kan direkt påverka om Microsoft Defender Antivirus kan blockera, åtgärda eller inspektera händelser relaterade till exkluderade filer, mappar eller processer.

  • Anpassat undantag kan påverka funktioner som är beroende av antivirusmotorn. Till exempel:
    • Skydd mot skadlig kod.
    • Fil-IOPS.
    • Certifikat-IOPS.
  • Processundantag på alla plattformar förhindrar att regler för nätverksskydd och minskning av attackytan inspekterar trafik eller tillämpar regler för exkluderade processer.

• Granska och granska undantag regelbundet. Kontrollera och tillämpa åtgärder igen som en del av granskningsprocessen. För att undvika förvirring bör säkerhetsteamet bevara kontexten kring varför ett visst undantag krävdes.

• Använd endast undantag för specifika problem (till exempel prestanda eller appkompatibilitet). Uteslut inte något bara för att du tror att det kan vara ett problem i framtiden.

Skapa Microsoft Defender principer för undantag från antivirusprogram i Intune

Gör följande för att skapa en ny AV-princip i Microsoft Intune med profilen Microsoft Defender antivirusundantag:

1. I Microsoft Intune administrationscenter på https://intune.microsoft.comgår du till Slutpunktssäkerhet.

2. Slutpunktssäkerhet | På översiktssidan väljer du Antivirus i avsnittet Hantera. Eller så kan du gå direkt till slutpunktssäkerheten | Antivirussida , använd https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.

3. På fliken Sammanfattning i slutpunktssäkerhet | På sidan Antivirus väljer du Skapa princip i avsnittet AV-principer .

4. I den utfällbara menyn Skapa en profil som öppnas konfigurerar du följande inställningar:

   • Plattform: Välj Windows.
   • Profil: Välj Microsoft Defender Antivirusundantag.

   Välj Skapa.

5. Guiden Skapa princip öppnas. På fliken Grundläggande konfigurerar du följande inställningar:

   • Namn: Ange ett unikt, beskrivande namn på principen.
   • Beskrivning: Ange en valfri beskrivning.

   Välj Nästa.

6. På fliken Konfigurationsinställningar konfigurerar du några eller alla av följande inställningar:

   • Exkluderat tilläggsavsnitt : Undantag efter filtypstillägg. Undantaget gäller alla filer med det tillägget, oavsett plats. Mer information finns i ExcludedExtensions.
   • Avsnittet Exkluderade sökvägar : Undantag efter plats (sökväg). Kallas även för fil- och mappundantag. Avgränsa varje sökväg och ange en sökväg per rad. Mer information finns i ExcludedPaths.
   • Avsnittet Exkluderade processer : Undantag för filer som öppnats av angivna processer. Avgränsa varje filtyp i listan med en filtyp per rad. Själva processerna exkluderas inte. Om du vill undanta processer kan du använda fil- och mappundantag. Mer information finns i ExcludedProcesses.

   Om du vill lägga till ett undantag väljer du Lägg till och anger sedan värdet i rutan som visas. Upprepa det här steget så många gånger det behövs.

   Tips

   • Microsoft Defender Antivirus-tjänsten körs i systemkontexten med hjälp av LocalSystem-kontot. Tjänsten hämtar information från systemmiljövariabler, inte användarmiljövariabler. Därför tolkas miljövariabler som %USERPROFILE% sannolikt annorlunda än du förväntar dig. Mer information finns i Systemmiljövariabler.

   • Använd inte användarmiljövariabler som jokertecken i mapp- och processundantag i Microsoft Defender Antivirus. Använd endast följande typer av miljövariabler som jokertecken:

   • Systemmiljövariabler.

   • Miljövariabler som gäller för processer som körs som NT AUTHORITY\SYSTEM-konto.

   Mer information finns i Använda jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg.

   Om du vill ta bort ett undantag eller en tom ruta markerar du kryssrutan bredvid posten och väljer sedan Ta bort.

   Om du vill importera en .csv fil med undantag väljer du Importera.

   När du är klar på fliken Konfigurationsinställningar väljer du Nästa.

7. På fliken Omfångstaggar är omfångstaggen med namnet Standard markerad som standard, men du kan ta bort den och välja andra befintliga omfångstaggar. Klicka på Nästa när du är klar.

8. På fliken Tilldelningar klickar du i sökrutan eller börjar skriva ett gruppnamn och väljer det sedan i resultatet.

   Du kan välja Alla användare eller Alla enheter.

   När du väljer en anpassad grupp kan du använda inställningen Måltyp för att inkludera eller exkludera gruppmedlemmarna.

   Upprepa det här steget så många gånger det behövs.

   När du är klar på fliken Tilldelningar väljer du Nästa.

9. Granska inställningarna på fliken Granska + skapa . Använd Bakåt eller välj en flik för att göra ändringar.

   När du är klar på fliken Granska + skapa väljer du Spara.

Tillbaka på fliken Sammanfattning i slutpunktssäkerhet | Antivirussidan visas den nya AV-principen. Värdet för Principtyp är Microsoft Defender Antivirus-undantag.

Ändra undantag i Microsoft Defender principer för antivirusundantag i Intune

Gör följande för att ändra en befintlig AV-princip i Microsoft Intune som använder profilen Microsoft Defender Antivirus-undantag:

1. I Microsoft Intune administrationscenter på https://intune.microsoft.comgår du till Slutpunktssäkerhet.

2. Slutpunktssäkerhet | På översiktssidan väljer du Antivirus i avsnittet Hantera. Eller så kan du gå direkt till slutpunktssäkerheten | Antivirussida , använd https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.

3. På fliken Sammanfattning i slutpunktssäkerhet | På sidan Antivirus väljer du en princip i avsnittet AV-principer där värdet för Principtyp är Microsoft Defender Antivirusundantag.

4. På sidan principegenskaper som öppnas väljer du Redigera bredvid Konfigurationsinställningar.

5. På fliken Konfigurationsinställningar på sidan Redigera princip som öppnas lägger du till eller tar bort undantag:

   • Exkluderat tilläggsavsnitt : Undantag efter filtypstillägg. Undantaget gäller alla filer med det tillägget, oavsett plats. Mer information finns i ExcludedExtensions.
   • Avsnittet Exkluderade sökvägar : Undantag efter plats (sökväg). Kallas även för fil- och mappundantag. Avgränsa varje sökväg och ange en sökväg per rad. Mer information finns i ExcludedPaths.
   • Avsnittet Exkluderade processer : Undantag för filer som öppnats av angivna processer. Avgränsa varje filtyp i listan med en filtyp per rad. Själva processerna exkluderas inte. Om du vill undanta processer kan du använda fil- och mappundantag. Mer information finns i ExcludedProcesses.

   Om du vill lägga till ett undantag väljer du Lägg till och anger sedan värdet i rutan som visas. Upprepa det här steget så många gånger det behövs.

   Om du vill ta bort ett undantag eller en tom ruta markerar du kryssrutan bredvid posten och väljer sedan Ta bort.

   Om du vill importera en .csv fil med nya undantag väljer du Importera.

   Om du vill exportera befintliga undantag till en .csv fil i väljer du Exportera.

   När du är klar på fliken Konfigurationsinställningar väljer du Nästa.

6. Granska inställningarna på fliken Granska. Använd Tillbaka eller välj fliken Konfigurationsinställningar för att göra ändringar.

   När du är klar på fliken Granska väljer du Spara.

På sidan principegenskaper visas uppdateringar av undantagslistan i avsnittet Konfigurationsinställningar>Defender .

Antivirusundantag på Exchange-servrar

Microsoft Exchange Server 2016 eller senare stöder integrering med anti-malware Scan Interface (AMSI). Mer information finns i Exchange Server AMSI-integrering.

Många organisationer utesluter Exchange Server mappar från antivirusgenomsökningar av prestandaskäl. Microsoft rekommenderar granskning Microsoft Defender Antivirus-undantag på Exchange-servrar och utvärderar om du kan ta bort undantag utan att påverka prestanda. Du kan hantera undantag med hjälp av grupprincip, PowerShell eller systemhanteringsverktyg som Microsoft Intune.

Om du vill granska Microsoft Defender antivirusundantag på en Exchange Server kör du cmdleten Get-MpPreference från en upphöjd PowerShell-prompt.

Om du inte kan ta bort undantag för Exchange-processer och -mappar ska du komma ihåg att en snabbsökning i Microsoft Defender Antivirus söker igenom Exchange-kataloger och -filer, oavsett undantag.

Se även

• Microsoft Defender antivirusundantag på Windows Server 2016 och senare
• Vanliga misstag att undvika när man definierar undantag
• Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus
• Konfigurera och validera undantag för Microsoft Defender för Endpoint på Linux
• Konfigurera och validera undantag för Microsoft Defender för Endpoint på macOS