Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta

Se aplica a:

Plataformas

  • Windows

Puede definir exclusiones para Antivirus de Microsoft Defender que se aplican a exámenes programados, exámenes a petición y protección y supervisión en tiempo real siempre activados. Por lo general, no es necesario aplicar exclusiones. Si necesita aplicar exclusiones, puede elegir entre varios tipos diferentes:

Importante

Antivirus de Microsoft Defender exclusiones no se aplican a otras funcionalidades de Microsoft Defender para punto de conexión, como las reglas de reducción de superficie expuesta a ataques (ASR) y el acceso controlado a carpetas. Los archivos que se excluyen mediante los métodos descritos en este artículo pueden desencadenar EDR alertas y otras detecciones. Para excluir archivos de forma general, agréguelos a los indicadores personalizados Microsoft Defender para punto de conexión.

Antes de empezar

Consulte Recomendaciones para definir exclusiones antes de definir las listas de exclusión.

Listas de exclusión

Para excluir determinados archivos de Antivirus de Microsoft Defender exámenes, modifique las listas de exclusión. Antivirus de Microsoft Defender incluye muchas exclusiones automáticas basadas en comportamientos conocidos del sistema operativo y archivos de administración típicos, como los que se usan en la administración empresarial, la administración de bases de datos y otros escenarios y situaciones empresariales.

Nota

Las exclusiones también se aplican a las detecciones de aplicaciones potencialmente no deseadas (PUA).

Las exclusiones automáticas solo se aplican a Windows Server 2016 y versiones posteriores. Estas exclusiones no son visibles en la aplicación Seguridad de Windows y en PowerShell.

En la tabla siguiente se enumeran algunos ejemplos de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta.

Exclusión Ejemplos Lista de exclusión
Cualquier archivo con una extensión específica Todos los archivos con la extensión especificada, en cualquier lugar del equipo.

Sintaxis válida: .test y test

Exclusiones de extensiones
Cualquier archivo en una carpeta específica Todos los archivos de la c:\test\sample carpeta Exclusiones de archivos y carpetas
Un archivo específico en una carpeta específica Solo el archivo c:\sample\sample.test Exclusiones de archivos y carpetas
Un proceso específico El archivo ejecutable c:\test\process.exe Exclusiones de archivos y carpetas

Características de las listas de exclusión

  • Las exclusiones de carpetas se aplican a todos los archivos y carpetas de esa carpeta, a menos que la subcarpeta sea un punto de reanálisis. Las subcarpetas de punto de reanálisis deben excluirse por separado.
  • Las extensiones de archivo se aplican a cualquier nombre de archivo con la extensión definida si no se define una ruta de acceso o carpeta.

Notas importantes sobre exclusiones basadas en extensiones de archivo y ubicaciones de carpetas

Configurar la lista de exclusiones en función del nombre de carpeta o la extensión de archivo

Puede elegir entre varios métodos para definir exclusiones para Antivirus de Microsoft Defender.

Usar Intune para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Consulte los siguientes artículos:

Usar Configuration Manager para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Consulte Creación e implementación de directivas antimalware: configuración de exclusión para obtener más información sobre cómo configurar Microsoft Endpoint Manager (rama actual).

Usar directiva de grupo para configurar exclusiones de extensiones de archivos o carpetas

Nota

Si especifica una ruta de acceso completa a un archivo, solo se excluirá ese archivo. Si se define una carpeta en la exclusión, se excluyen todos los archivos y subdirectorios de esa carpeta.

  1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo, haga clic con el botón secundario en el objeto de directiva de grupo que quiera configurar y seleccione Editar.

  2. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

  3. Expanda el árbol para Windows componentes > Antivirus de Windows Defender > exclusiones.

  4. Abra la opción Exclusiones de ruta de acceso para su edición y agregue las exclusiones.

    1. Establezca la opción en Habilitado.
    2. En la sección Opciones , seleccione Mostrar.
    3. Especifique cada carpeta en su propia línea en la columna Nombre de valor .
    4. Si especifica un archivo, asegúrese de escribir una ruta de acceso completa al archivo, incluida la letra de unidad, la ruta de acceso de la carpeta, el nombre de archivo y la extensión.
    5. Escriba 0 en la columna Valor .
  5. Elija Aceptar.

  6. Abra la opción Exclusiones de extensión para editar y agregue las exclusiones.

    1. Establezca la opción en Habilitado.
    2. En la sección Opciones , seleccione Mostrar.
    3. Escriba cada extensión de archivo en su propia línea en la columna Nombre de valor .
    4. Escriba 0 en la columna Valor .
  7. Elija Aceptar.

Uso de cmdlets de PowerShell para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

El uso de PowerShell para agregar o quitar exclusiones de archivos basados en la extensión, la ubicación o el nombre de archivo requiere usar una combinación de tres cmdlets y el parámetro de lista de exclusión adecuado. Los cmdlets están todos en el módulo de Defender.

El formato de los cmdlets es el siguiente:

<cmdlet> -<exclusion list> "<item>"

En la tabla siguiente se enumeran los cmdlets que puede usar en la <cmdlet> parte del cmdlet de PowerShell:

Acción de configuración Cmdlet de PowerShell
Creación o sobrescritura de la lista Set-MpPreference
Agregar a la lista Add-MpPreference
Quitar elemento de la lista Remove-MpPreference

En la tabla siguiente se enumeran los valores que puede usar en la <exclusion list> parte del cmdlet de PowerShell:

Tipo de exclusión Parámetro de PowerShell
Todos los archivos con una extensión de archivo especificada -ExclusionExtension
Todos los archivos de una carpeta (incluidos los archivos en subdirectorios) o un archivo específico -ExclusionPath

Importante

Si ha creado una lista, con Set-MpPreference o Add-MpPreference, el uso del Set-MpPreference cmdlet volverá a sobrescribir la lista existente.

Por ejemplo, el siguiente fragmento de código haría que los exámenes de Antivirus de Microsoft Defender excluyan cualquier archivo con la extensión de .test archivo:

Add-MpPreference -ExclusionExtension ".test"

Use Windows Management Instrumentation (WMI) para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo.

Use los métodos Set, Add y Remove de la clase MSFT_MpPreference para las siguientes propiedades:

ExclusionExtension
ExclusionPath

El uso de Set, Add y Remove es análogo a sus homólogos de PowerShell: Set-MpPreference, Add-MpPreferencey Remove-MpPreference.

Sugerencia

Para obtener más información, consulte Windows Defender API WMIv2.

Use la aplicación Seguridad de Windows para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Consulta Agregar exclusiones en la aplicación Seguridad de Windows para obtener instrucciones.

Usar caracteres comodín en las listas de exclusión de extensiones o ruta de acceso de carpeta y nombre de archivo

Puede usar el asterisco *, el signo de interrogación ?o las variables de entorno (como %ALLUSERSPROFILE%) como caracteres comodín al definir elementos en la lista de exclusión de rutas de acceso de carpeta o nombre de archivo. La forma en que se interpretan estos caracteres comodín difiere de su uso habitual en otras aplicaciones e idiomas. Asegúrese de leer esta sección para comprender sus limitaciones específicas.

Importante

Existen limitaciones clave y escenarios de uso para estos caracteres comodín:

  • El uso de variables de entorno se limita a las variables de máquina y las aplicables a los procesos que se ejecutan como una cuenta NT AUTHORITY\SYSTEM.
  • Solo puede usar un máximo de seis caracteres comodín por entrada.
  • No se puede usar un carácter comodín en lugar de una letra de unidad.
  • Un asterisco * en una exclusión de carpeta se coloca en su lugar para una sola carpeta. Use varias instancias de \*\ para indicar varias carpetas anidadas con nombres no especificados.
  • Actualmente, Microsoft Endpoint Configuration Manager no admite caracteres comodín (como * o ?).

En la tabla siguiente se describe cómo se pueden usar los caracteres comodín y se proporcionan algunos ejemplos.



Carácter comodín Ejemplos
* (asterisco)

En las inclusiones de nombre de archivo y extensión de archivo, el asterisco reemplaza cualquier número de caracteres y solo se aplica a los archivos de la última carpeta definida en el argumento .

En las exclusiones de carpetas, el asterisco reemplaza a una sola carpeta. Use varias * con barras diagonales \ de carpeta para indicar varias carpetas anidadas. Después de coincidir con el número de carpetas comodín y con nombre, también se incluyen todas las subcarpetas.

C:\MyData\*.txt Incluye C:\MyData\notes.txt

C:\somepath\*\Data incluye cualquier archivo en C:\somepath\Archives\Data y sus subcarpetas, y C:\somepath\Authorized\Data sus subcarpetas

C:\Serv\*\*\Backup incluye cualquier archivo en C:\Serv\Primary\Denied\Backup y sus subcarpetas y C:\Serv\Secondary\Allowed\Backup sus subcarpetas

? (signo de interrogación)

En las inclusiones de nombre de archivo y extensión de archivo, el signo de interrogación reemplaza a un solo carácter y solo se aplica a los archivos de la última carpeta definida en el argumento .

En las exclusiones de carpetas, el signo de interrogación reemplaza un solo carácter en un nombre de carpeta. Después de coincidir con el número de carpetas comodín y con nombre, también se incluyen todas las subcarpetas.

C:\MyData\my?.zip Incluye C:\MyData\my1.zip

C:\somepath\?\Data incluye cualquier archivo en C:\somepath\P\Data y sus subcarpetas

C:\somepath\test0?\Data incluiría cualquier archivo en C:\somepath\test01\Data y sus subcarpetas

Variables de entorno

La variable definida se rellena como una ruta de acceso cuando se evalúa la exclusión.

%ALLUSERSPROFILE%\CustomLogFiles incluiría C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Importante

Si combina un argumento de exclusión de archivos con un argumento de exclusión de carpeta, las reglas se detendrán en la coincidencia del argumento de archivo en la carpeta coincidente y no buscarán coincidencias de archivos en ninguna subcarpeta.

Por ejemplo, puede excluir todos los archivos que comienzan por "date" en las carpetas c:\data\final\marked y c:\data\review\marked mediante el argumento c:\data\*\marked\date*rule .

Sin embargo, este argumento no coincidirá con ningún archivo de subcarpetas en c:\data\final\marked o c:\data\review\marked.

Variables de entorno del sistema

En la tabla siguiente se enumeran y describen las variables de entorno de la cuenta del sistema.

Esta variable de entorno del sistema... Redirige a este
%APPDATA% C:\Users\UserName.DomainName\AppData\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\Windows\System32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Users\UserName
%USERPROFILE%\AppData\Local C:\Users\UserName\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Users\UserName\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Users\UserName\AppData\Roaming

Revisar la lista de exclusiones

Puede recuperar los elementos de la lista de exclusión mediante uno de los métodos siguientes:

Importante

Los cambios en la lista de exclusión realizados con directiva de grupo se mostrarán en las listas de la aplicación Seguridad de Windows.

Los cambios realizados en la aplicación Seguridad de Windows no se mostrarán en las listas de directiva de grupo.

Si usa PowerShell, puede recuperar la lista de dos maneras:

  • Recupere el estado de todas las preferencias de Antivirus de Microsoft Defender. Cada lista se muestra en líneas independientes, pero los elementos de cada lista se combinan en la misma línea.
  • Escriba el estado de todas las preferencias en una variable y use esa variable para llamar solo a la lista específica que le interesa. Cada uso de Add-MpPreference se escribe en una nueva línea.

Validación de la lista de exclusión mediante MpCmdRun

Para comprobar las exclusiones con la herramienta de línea de comandos dedicada mpcmdrun.exe, use el siguiente comando:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Nota

La comprobación de exclusiones con MpCmdRun requiere Antivirus de Microsoft Defender CAMP versión 4.18.2111-5.0 (publicada en diciembre de 2021) o posterior.

Revise la lista de exclusiones junto con todas las demás preferencias de Antivirus de Microsoft Defender mediante PowerShell.

Use el siguiente cmdlet:

Get-MpPreference

En el ejemplo siguiente, se resaltan los elementos contenidos en la ExclusionExtension lista:

Salida de PowerShell para Get-MpPreference

Para obtener más información, vea Usar cmdlets de PowerShell para configurar y ejecutar el Antivirus de Microsoft Defender y Cmdlets de Antivirus de Microsoft Defender.

Recuperación de una lista de exclusiones específica mediante PowerShell

Use el siguiente fragmento de código (escriba cada línea como un comando independiente); reemplace WDAVprefs por la etiqueta que quiera asignar a la variable:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

En el ejemplo siguiente, la lista se divide en líneas nuevas para cada uso del Add-MpPreference cmdlet:

Salida de PowerShell que muestra solo las entradas de la lista de exclusión

Para obtener más información, vea Usar cmdlets de PowerShell para configurar y ejecutar el Antivirus de Microsoft Defender y Cmdlets de Antivirus de Microsoft Defender.

Validación de listas de exclusiones con el archivo de prueba EICAR

Puede validar que las listas de exclusión funcionan mediante PowerShell con el Invoke-WebRequest cmdlet o la clase WebClient de .NET para descargar un archivo de prueba.

En el siguiente fragmento de código de PowerShell, reemplace por test.txt un archivo que se ajuste a las reglas de exclusión. Por ejemplo, si ha excluido la .testing extensión, reemplace por test.txt test.testing. Si va a probar una ruta de acceso, asegúrese de ejecutar el cmdlet dentro de esa ruta de acceso.

Invoke-WebRequest "http://www.eicar.org/download/eicar.com.txt" -OutFile "test.txt"

Si Antivirus de Microsoft Defender notifica malware, la regla no funciona. Si no hay ningún informe de malware y el archivo descargado existe, la exclusión funciona. Puede abrir el archivo para confirmar que el contenido es el mismo que el que se describe en el sitio web del archivo de prueba EICAR.

También puede usar el siguiente código de PowerShell, que llama a la clase WebClient de .NET para descargar el archivo de prueba, como con el Invoke-WebRequest cmdlet ; reemplace por c:\test.txt un archivo que se ajuste a la regla que va a validar:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Si no tiene acceso a Internet, puede crear su propio archivo de prueba EICAR escribiendo la cadena EICAR en un nuevo archivo de texto con el siguiente comando de PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

También puede copiar la cadena en un archivo de texto en blanco e intentar guardarlo con el nombre de archivo o en la carpeta que intenta excluir.

Vea también