Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu

Dotyczy:

Platformy

  • System Windows

Można zdefiniować wykluczenia dla Program antywirusowy Microsoft Defender, które mają zastosowanie do zaplanowanych skanów, skanów na żądanie oraz zawsze włączonej ochrony i monitorowania w czasie rzeczywistym. Ogólnie rzecz biorąc, nie należy stosować wykluczeń. Jeśli musisz zastosować wykluczenia, możesz wybrać jeden z kilku różnych rodzajów:

Ważne

Program antywirusowy Microsoft Defender wykluczenia nie mają zastosowania do innych funkcji Ochrona punktu końcowego w usłudze Microsoft Defender, takich jak reguły zmniejszania obszaru ataków (ASR) i kontrolowany dostęp do folderów. Pliki wykluczone przy użyciu metod opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia. Aby ogólnie wykluczyć pliki, dodaj je do Ochrona punktu końcowego w usłudze Microsoft Defender niestandardowych wskaźników.

Przed rozpoczęciem

Zobacz Rekomendacje, aby zdefiniować wykluczenia przed zdefiniowaniem list wykluczeń.

Listy wykluczeń

Aby wykluczyć niektóre pliki ze skanowania Program antywirusowy Microsoft Defender, należy zmodyfikować listy wykluczeń. Program antywirusowy Microsoft Defender obejmuje wiele automatycznych wykluczeń opartych na znanych zachowaniach systemu operacyjnego i typowych plikach zarządzania, takich jak te używane w zarządzaniu przedsiębiorstwem, zarządzaniu bazami danych i innych scenariuszach i sytuacjach przedsiębiorstwa.

Uwaga

Wykluczenia dotyczą również wykrywania potencjalnie niechcianych aplikacji (PUA).

Automatyczne wykluczenia mają zastosowanie tylko do Windows Server 2016 i nowszych. Te wykluczenia nie są widoczne w aplikacji Zabezpieczenia Windows i w programie PowerShell.

Poniższa tabela zawiera kilka przykładów wykluczeń opartych na rozszerzeniu pliku i lokalizacji folderu.

Wykluczenia Przykłady Lista wykluczeń
Dowolny plik z określonym rozszerzeniem Wszystkie pliki z określonym rozszerzeniem w dowolnym miejscu na maszynie.

Prawidłowa składnia: .test i test

Wykluczenia rozszerzeń
Dowolny plik w określonym folderze Wszystkie pliki w folderze c:\test\sample Wykluczenia plików i folderów
Określony plik w określonym folderze Tylko plik c:\sample\sample.test Wykluczenia plików i folderów
Określony proces Plik wykonywalny c:\test\process.exe Wykluczenia plików i folderów

Charakterystyka list wykluczeń

  • Wykluczenia folderów mają zastosowanie do wszystkich plików i folderów w tym folderze, chyba że podfolder jest punktem ponownej analizy. Podfoldery punktu ponownej analizy muszą być wykluczone oddzielnie.
  • Rozszerzenia plików mają zastosowanie do dowolnej nazwy pliku ze zdefiniowanym rozszerzeniem, jeśli ścieżka lub folder nie jest zdefiniowany.

Ważne uwagi dotyczące wykluczeń opartych na rozszerzeniach plików i lokalizacjach folderów

Konfigurowanie listy wykluczeń na podstawie nazwy folderu lub rozszerzenia pliku

Możesz wybrać jedną z kilku metod definiowania wykluczeń dla Program antywirusowy Microsoft Defender.

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku przy użyciu Intune

Zobacz następujące artykuły:

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku za pomocą Configuration Manager

Zobacz Jak tworzyć i wdrażać zasady ochrony przed złośliwym kodem: ustawienia wykluczeń, aby uzyskać szczegółowe informacje na temat konfigurowania Microsoft Endpoint Manager (bieżącej gałęzi).

Konfigurowanie wykluczeń folderu lub rozszerzenia pliku za pomocą zasady grupy

Uwaga

Jeśli określisz w pełni kwalifikowaną ścieżkę do pliku, tylko ten plik zostanie wykluczony. Jeśli folder jest zdefiniowany w wykluczeniu, wszystkie pliki i podkatalogi w tym folderze zostaną wykluczone.

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do konfiguracji komputera i wybierz szablony administracyjne.

  3. Rozwiń drzewo, aby Windows składniki > Program antywirusowy Windows Defender > Wykluczenia.

  4. Otwórz ustawienie Wykluczenia ścieżki do edycji i dodaj wykluczenia.

    1. Ustaw opcję Włączone.
    2. W sekcji Opcje wybierz pozycję Pokaż.
    3. Określ każdy folder we własnym wierszu w kolumnie Nazwa wartości .
    4. Jeśli określasz plik, upewnij się, że wprowadź w pełni kwalifikowaną ścieżkę do pliku, w tym literę dysku, ścieżkę folderu, nazwę pliku i rozszerzenie.
    5. Wprowadź wartość 0 w kolumnie Wartość .
  5. Wybierz pozycję OK.

  6. Otwórz ustawienie Wykluczenia rozszerzeń do edycji i dodaj wykluczenia.

    1. Ustaw opcję Włączone.
    2. W sekcji Opcje wybierz pozycję Pokaż.
    3. Wprowadź każde rozszerzenie pliku we własnym wierszu w kolumnie Nazwa wartości .
    4. Wprowadź wartość 0 w kolumnie Wartość .
  7. Wybierz pozycję OK.

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku przy użyciu poleceń cmdlet programu PowerShell

Używanie programu PowerShell do dodawania lub usuwania wykluczeń dla plików na podstawie rozszerzenia, lokalizacji lub nazwy pliku wymaga użycia kombinacji trzech poleceń cmdlet i odpowiedniego parametru listy wykluczeń. Wszystkie polecenia cmdlet znajdują się w module defender.

Format poleceń cmdlet jest następujący:

<cmdlet> -<exclusion list> "<item>"

W poniższej tabeli wymieniono polecenia cmdlet, których można użyć w <cmdlet> części polecenia cmdlet programu PowerShell:

Akcja konfiguracji Polecenie cmdlet programu PowerShell
Tworzenie lub zastępowanie listy Set-MpPreference
Dodaj do listy Add-MpPreference
Usuwanie elementu z listy Remove-MpPreference

W poniższej tabeli wymieniono wartości, których można użyć w <exclusion list> części polecenia cmdlet programu PowerShell:

Typ wykluczenia Parametr programu PowerShell
Wszystkie pliki z określonym rozszerzeniem pliku -ExclusionExtension
Wszystkie pliki w folderze (w tym pliki w podkatalogach) lub określony plik -ExclusionPath

Ważne

Jeśli utworzono listę za Set-MpPreference pomocą polecenia cmdlet lub Add-MpPreference, ponowne użycie Set-MpPreference polecenia cmdlet spowoduje zastąpienie istniejącej listy.

Na przykład poniższy fragment kodu może spowodować wykluczenie Program antywirusowy Microsoft Defender skanów z rozszerzeniem .test pliku:

Add-MpPreference -ExclusionExtension ".test"

Użyj instrumentacji zarządzania Windows (WMI), aby skonfigurować wykluczenia nazwy pliku, folderu lub rozszerzenia pliku

Użyj metod Set, Add i Remove klasy MSFT_MpPreference dla następujących właściwości:

ExclusionExtension
ExclusionPath

Używanie ustawień, dodawania i usuwania jest analogiczne do ich odpowiedników w programie PowerShell: Set-MpPreference, Add-MpPreferencei Remove-MpPreference.

Porada

Aby uzyskać więcej informacji, zobacz Windows Defender interfejsów API WMIv2.

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku za pomocą aplikacji Zabezpieczenia Windows

Aby uzyskać instrukcje, zobacz Dodawanie wykluczeń w aplikacji Zabezpieczenia Windows.

Użyj symboli wieloznacznych na liście wykluczeń nazwy pliku i folderu lub rozszerzenia

Podczas definiowania elementów na liście wykluczeń nazwy pliku lub ścieżki folderu można użyć gwiazdki *, znaku ?zapytania lub zmiennych środowiskowych (takich jak %ALLUSERSPROFILE%) jako symboli wieloznacznych. Sposób interpretacji tych symboli wieloznacznych różni się od ich zwykłego użycia w innych aplikacjach i językach. Zapoznaj się z tą sekcją, aby zrozumieć ich konkretne ograniczenia.

Ważne

Istnieją kluczowe ograniczenia i scenariusze użycia dla tych symboli wieloznacznych:

  • Użycie zmiennej środowiskowej jest ograniczone do zmiennych maszynowych i tych mających zastosowanie do procesów uruchomionych jako konto NT AUTHORITY\SYSTEM.
  • Można użyć maksymalnie sześciu symboli wieloznacznych na wpis.
  • Nie można użyć symbolu wieloznacznego zamiast litery dysku.
  • Gwiazdka * w wykluczeniu folderu jest w miejscu dla pojedynczego folderu. Użyj wielu wystąpień, \*\ aby wskazać wiele zagnieżdżonych folderów o nieokreślonych nazwach.
  • Obecnie Microsoft Endpoint Configuration Manager nie obsługuje symboli wieloznaczowych (takich jak * lub ?).

W poniższej tabeli opisano sposób użycia symboli wieloznacznych i przedstawiono kilka przykładów.

Symbol wieloznaczny Przykłady
* (gwiazdka)

W dołączaniu nazwy pliku i rozszerzenia pliku gwiazdka zastępuje dowolną liczbę znaków i dotyczy tylko plików w ostatnim folderze zdefiniowanym w argumencie.

W przypadku wykluczeń folderów gwiazdka zastępuje pojedynczy folder. Użyj wielu * z ukośnikami folderów \ , aby wskazać wiele zagnieżdżonych folderów. Po dopasowaniu liczby folderów z symbolami wieloznacznymi i nazwanych uwzględniono również wszystkie podfoldery.

C:\MyData\*.txt Zawiera C:\MyData\notes.txt

C:\somepath\*\Data zawiera dowolny plik i C:\somepath\Archives\Data jego podfoldery oraz C:\somepath\Authorized\Data jego podfoldery i jego podfoldery

C:\Serv\*\*\Backup zawiera wszystkie pliki i C:\Serv\Primary\Denied\Backup jego podfoldery oraz C:\Serv\Secondary\Allowed\Backup jego podfoldery i jego podfoldery

? (znak zapytania)

W dołączaniu nazwy pliku i rozszerzenia pliku znak zapytania zastępuje pojedynczy znak i dotyczy tylko plików w ostatnim folderze zdefiniowanym w argumencie.

W przypadku wykluczeń folderów znak zapytania zastępuje pojedynczy znak w nazwie folderu. Po dopasowaniu liczby folderów z symbolami wieloznacznymi i nazwanych uwzględniono również wszystkie podfoldery.

C:\MyData\my?.zip Zawiera C:\MyData\my1.zip

C:\somepath\?\Data zawiera dowolny plik i C:\somepath\P\Data jego podfoldery

C:\somepath\test0?\Data plików i C:\somepath\test01\Data jego podfolderów

Zmienne środowiskowe

Zdefiniowana zmienna jest wypełniana jako ścieżka podczas obliczania wykluczenia.

%ALLUSERSPROFILE%\CustomLogFiles będzie obejmować C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Ważne

W przypadku mieszania argumentu wykluczenia pliku z argumentem wykluczenia folderu reguły zostaną zatrzymane w dopasowanym folderze i nie będą wyszukiwać dopasowań plików w żadnych podfolderach. Można na przykład wykluczyć wszystkie pliki rozpoczynające się od "date" w folderach c:\data\final\marked i c:\data\review\marked za pomocą argumentu c:\data\*\marked\date*reguły . Ten argument nie będzie jednak odpowiadał żadnym plikom w podfolderach w obszarze c:\data\final\marked lub c:\data\review\marked.

Systemowe zmienne środowiskowe

W poniższej tabeli wymieniono i opisano zmienne środowiskowe konta systemowego.

Ta systemowa zmienna środowiskowa... Przekierowuje do tego
%APPDATA% C:\Users\UserName.DomainName\AppData\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\Windows\System32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Users\UserName
%USERPROFILE%\AppData\Local C:\Users\UserName\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Users\UserName\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Users\UserName\AppData\Roaming

Przejrzyj listę wykluczeń

Elementy na liście wykluczeń można pobrać przy użyciu jednej z następujących metod:

Ważne

Zmiany listy wykluczeń wprowadzone za pomocą zasady grupy będą wyświetlane na listach w aplikacji Zabezpieczenia Windows. Zmiany wprowadzone w aplikacji Zabezpieczenia Windows nie będą wyświetlane na listach zasady grupy.

Jeśli używasz programu PowerShell, możesz pobrać listę na dwa sposoby:

  • Pobierz stan wszystkich preferencji Program antywirusowy Microsoft Defender. Każda lista jest wyświetlana w oddzielnych wierszach, ale elementy na każdej liście są łączone w ten sam wiersz.
  • Zapisz stan wszystkich preferencji w zmiennej i użyj tej zmiennej, aby wywołać tylko konkretną listę, która Cię interesuje. Każde użycie Add-MpPreference jest zapisywane w nowym wierszu.

Weryfikowanie listy wykluczeń przy użyciu polecenia MpCmdRun

Aby sprawdzić wykluczenia za pomocą dedykowanego narzędzia wiersza polecenia mpcmdrun.exe, użyj następującego polecenia:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Uwaga

Sprawdzanie wykluczeń przy użyciu narzędzia MpCmdRun wymaga Program antywirusowy Microsoft Defender CAMP w wersji 4.18.2111-5.0 (wydanej w grudniu 2021 r.) lub nowszej.

Przejrzyj listę wykluczeń wraz ze wszystkimi innymi preferencjami Program antywirusowy Microsoft Defender przy użyciu programu PowerShell

Użyj następującego polecenia cmdlet:

Get-MpPreference

W poniższym przykładzie wyróżniono elementy znajdujące się na ExclusionExtension liście:

Dane wyjściowe programu PowerShell dla polecenia Get-MpPreference

Aby uzyskać więcej informacji, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Program antywirusowy Microsoft Defender i defender antivirus.

Pobieranie określonej listy wykluczeń przy użyciu programu PowerShell

Użyj następującego fragmentu kodu (wprowadź każdy wiersz jako oddzielne polecenie); Zastąp elementy WDAVprefs dowolną etykietą, którą chcesz nazwać zmienną:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

W poniższym przykładzie lista jest podzielona na nowe wiersze dla każdego użycia Add-MpPreference polecenia cmdlet:

Dane wyjściowe programu PowerShell zawierające tylko wpisy na liście wykluczeń

Aby uzyskać więcej informacji, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Program antywirusowy Microsoft Defender i defender antivirus.

Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR

Możesz sprawdzić, czy listy wykluczeń Invoke-WebRequest działają, używając programu PowerShell z poleceniem cmdlet lub klasą WebClient platformy .NET w celu pobrania pliku testowego.

W poniższym fragmencie kodu programu PowerShell zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing ciąg test.txt test.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie cmdlet w tej ścieżce.

Invoke-WebRequest "http://www.eicar.org/download/eicar.com.txt" -OutFile "test.txt"

Jeśli Program antywirusowy Microsoft Defender zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.

Możesz również użyć następującego kodu programu PowerShell, który wywołuje klasę WebClient platformy .NET w celu pobrania pliku testowego — podobnie jak w Invoke-WebRequest przypadku polecenia cmdlet; zastąp c:\test.txt ciąg plikiem zgodnym z weryfikowaną regułą:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR, zapisując ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia programu PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.

Zobacz też