Konfigurowanie wykluczeń dla plików otwieranych przez procesy

  • Artykuł

Dotyczy:

Platformy

  • System Windows

Pliki otwierane przez określone procesy można wykluczyć ze skanowania programu antywirusowego Microsoft Defender. Należy pamiętać, że te typy wykluczeń dotyczą plików otwieranych przez procesy, a nie samych procesów. Aby wykluczyć proces, dodaj wykluczenie pliku (zobacz Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu).

Przed zdefiniowaniem list wykluczeń zobacz Ważne kwestie dotyczące wykluczeń i zapoznaj się z informacjami w temacie Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender.

W tym artykule opisano sposób konfigurowania list wykluczeń.

Przykłady wykluczeń procesów

Wykluczenia Przykład
Dowolny plik na komputerze, który jest otwierany przez dowolny proces o określonej nazwie pliku Określenie spowoduje wykluczenie test.exe plików otwartych przez:

c:\sample\test.exe

d:\internal\files\test.exe
Dowolny plik na komputerze, który jest otwierany przez dowolny proces w określonym folderze Określenie spowoduje wykluczenie c:\test\sample\* plików otwartych przez:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
Dowolny plik na komputerze, który jest otwierany przez określony proces w określonym folderze Określenie spowoduje wykluczenie c:\test\process.exe plików otwartych tylko przez c:\test\process.exe

Po dodaniu procesu do listy wykluczeń procesu program antywirusowy Microsoft Defender nie będzie skanować plików otwartych przez ten proces, niezależnie od tego, gdzie znajdują się pliki. Sam proces zostanie jednak przeskanowany, chyba że został on również dodany do listy wykluczeń plików.

Wykluczenia mają zastosowanie tylko do zawsze włączonej ochrony i monitorowania w czasie rzeczywistym. Nie mają one zastosowania do skanowania zaplanowanego lub na żądanie.

Zmiany wprowadzone za pomocą zasady grupy list wykluczeń będą wyświetlane na listach w aplikacji Zabezpieczenia Windows. Jednak zmiany wprowadzone w aplikacji Zabezpieczenia Windows nie będą wyświetlane na listach zasady grupy.

Możesz dodawać, usuwać i przeglądać listy wykluczeń w zasady grupy, Microsoft Configuration Manager, Microsoft Intune i za pomocą aplikacji Zabezpieczenia Windows, a także używać symboli wieloznacznych do dalszego dostosowywania list.

Możesz również użyć poleceń cmdlet programu PowerShell i usługi WMI, aby skonfigurować listy wykluczeń, w tym przejrzeć listy.

Domyślnie lokalne zmiany wprowadzone na listach (przez użytkowników z uprawnieniami administratora; zmiany wprowadzone za pomocą programu PowerShell i WMI) są scalane z listami zdefiniowanymi (i wdrożonymi) przez zasady grupy, Configuration Manager lub Intune. Listy zasady grupy mają pierwszeństwo w przypadku konfliktów.

Można skonfigurować sposób scalania list wykluczeń zdefiniowanych lokalnie i globalnie , aby umożliwić zmianę lokalną zastąpienia ustawień wdrożenia zarządzanego.

Uwaga

Reguły ochrony sieci i zmniejszania obszaru ataków mają bezpośredni wpływ na wykluczenia procesów na wszystkich platformach, co oznacza, że wykluczenie procesu w systemie operacyjnym (Windows, MacOS, Linux) spowoduje, że usługa Network Protection lub USŁUGA ASR nie będzie w stanie sprawdzić ruchu lub wymusić reguł dla tego konkretnego procesu.

Nazwa obrazu a pełna ścieżka dla wykluczeń procesu

Można ustawić dwa różne typy wykluczeń procesów. Proces może zostać wykluczony przez nazwę obrazu lub pełną ścieżkę. Nazwa obrazu jest po prostu nazwą pliku procesu bez ścieżki.

Na przykład biorąc pod uwagę proces MyProcess.exe uruchamiany z C:\MyFolder\ pełnej ścieżki do tego procesu, C:\MyFolder\MyProcess.exe nazwa obrazu to MyProcess.exe.

Wykluczenia nazw obrazów są znacznie szersze — wykluczenie MyProcess.exe spowoduje wykluczenie wszystkich procesów o tej nazwie obrazu, niezależnie od ścieżki, z jakiej są uruchamiane. Jeśli na przykład proces MyProcess.exe zostanie wykluczony przez nazwę obrazu, zostanie on również wykluczony, jeśli zostanie uruchomiony z C:\MyOtherFoldernośnika wymiennego et cetera. W związku z tym zaleca się, aby zawsze, gdy jest to możliwe, używana była pełna ścieżka.

Używanie symboli wieloznacznych na liście wykluczeń procesu

Użycie symboli wieloznacznych na liście wykluczeń procesu różni się od ich użycia na innych listach wykluczeń. Gdy wykluczenie procesu jest zdefiniowane tylko jako nazwa obrazu, użycie symboli wieloznaczowych jest niedozwolone. Jednak gdy jest używana pełna ścieżka, symbole wieloznaczne są obsługiwane, a zachowanie symboli wieloznacznych działa zgodnie z opisem w sekcji Wykluczenia plików i folderów

Obsługiwane jest również użycie zmiennych środowiskowych (takich jak %ALLUSERSPROFILE%) jako symboli wieloznacznych podczas definiowania elementów na liście wykluczeń procesu. Szczegóły i pełna lista obsługiwanych zmiennych środowiskowych są opisane w temacie Wykluczenia plików i folderów.

W poniższej tabeli opisano sposób użycia symboli wieloznacznych na liście wykluczeń procesu po podaniu ścieżki:

Symbol wieloznaczny Przykładowe użycie Przykładowe dopasowania
* (gwiazdka)

Zastępuje dowolną liczbę znaków.

 C:\MyFolder\* Dowolny plik otwarty przez C:\MyFolder\MyProcess.exe lub C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Dowolny plik otwarty przez C:\MyFolder1\MyFolder2\MyProcess.exe lub C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Dowolny plik otwarty przez C:\MyOtherFolder\MyFolder\MyProcess.exe lub C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (znak zapytania)

Zastępuje jeden znak.

 C:\MyFolder\MyProcess??.exe Dowolny plik otwarty przez C:\MyFolder\MyProcess42.exe lub C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Zmienne środowiskowe %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Dowolny plik otwarty przez C:\ProgramData\MyFolder\MyProcess.exe

Wykluczenia procesów kontekstowych

Należy pamiętać, że wykluczenie procesu można również zdefiniować za pośrednictwem wykluczenia kontekstowego , co pozwala na przykład na wykluczenie określonego pliku tylko wtedy, gdy jest otwierany przez określony proces.

Konfigurowanie listy wykluczeń dla plików otwartych przez określone procesy

Użyj Microsoft Intune, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Aby uzyskać więcej informacji, zobacz Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune (Konfigurowanie ustawień ograniczeń urządzenia w programie Microsoft Intune i Microsoft Defender Antywirusowe dla Windows 10 w Intune).

Użyj Microsoft Configuration Manager, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Zobacz Jak utworzyć i wdrożyć zasady ochrony przed złośliwym kodem: ustawienia wykluczeń, aby uzyskać szczegółowe informacje na temat konfigurowania Microsoft Configuration Manager (bieżącej gałęzi).

Użyj zasady grupy, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i kliknij przycisk Edytuj.

  2. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera i kliknij pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników > systemu Windows Microsoft Defender wykluczeń antywirusowych>.

  4. Kliknij dwukrotnie pozycję Wykluczenia procesu i dodaj wykluczenia:

    1. Ustaw opcję Włączone.
    2. W sekcji Opcje kliknij pozycję Pokaż....
    3. Wprowadź każdy proces we własnym wierszu w kolumnie Nazwa wartości . Zapoznaj się z tabelą przykładów dla różnych typów wykluczeń procesów. Wprowadź wartość 0 w kolumnie Wartość dla wszystkich procesów.

  5. Kliknij przycisk OK.

Użyj poleceń cmdlet programu PowerShell, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Używanie programu PowerShell do dodawania lub usuwania wykluczeń dla plików, które zostały otwarte przez procesy, wymaga użycia kombinacji trzech poleceń cmdlet z parametrem -ExclusionProcess . Wszystkie polecenia cmdlet znajdują się w module defender.

Format poleceń cmdlet to:

<cmdlet> -ExclusionProcess "<item>"

Następujące elementy <są dozwolone jako polecenie cmdlet>:

Akcja konfiguracji Polecenie cmdlet programu PowerShell
Twórca lub zastąp listę Set-MpPreference
Dodaj do listy Add-MpPreference
Usuwanie elementów z listy Remove-MpPreference

Ważna

Jeśli utworzono listę za Set-MpPreference pomocą polecenia cmdlet lub Add-MpPreference, ponowne użycie Set-MpPreference polecenia cmdlet spowoduje zastąpienie istniejącej listy.

Na przykład poniższy fragment kodu może spowodować wykluczenie wszystkich plików otwieranych przez określony proces Microsoft Defender skanowania antywirusowego:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Aby uzyskać więcej informacji na temat używania programu PowerShell z programem antywirusowym Microsoft Defender, zobacz Zarządzanie programem antywirusowym przy użyciu poleceń cmdlet programu PowerShell i poleceń cmdlet programu antywirusowego Microsoft Defender.

Użyj instrukcji zarządzania systemem Windows (WMI), aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Użyj metod Set, Add i Remove klasy MSFT_MpPreference dla następujących właściwości:

ExclusionProcess

Użycie poleceń Set, Add i Remove jest analogiczne do ich odpowiedników w programie PowerShell: Set-MpPreference, Add-MpPreferencei Remove-MpPreference.

Aby uzyskać więcej informacji i dozwolone parametry, zobacz Windows Defender Interfejsy API WMIv2.

Użyj aplikacji Zabezpieczenia Windows, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Postępuj zgodnie z instrukcjami w temacie Dodawanie wykluczeń w aplikacji Zabezpieczenia Windows.

Przejrzyj listę wykluczeń

Elementy na liście wykluczeń można pobrać za pomocą aplikacji MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune lub aplikacji Zabezpieczenia Windows.

Jeśli używasz programu PowerShell, możesz pobrać listę na dwa sposoby:

  • Pobierz stan wszystkich preferencji programu antywirusowego Microsoft Defender. Każda z list jest wyświetlana w oddzielnych wierszach, ale elementy na każdej liście są łączone w ten sam wiersz.
  • Zapisz stan wszystkich preferencji w zmiennej i użyj tej zmiennej, aby wywołać tylko konkretną listę, którą Cię interesuje. Każde użycie Add-MpPreference jest zapisywane w nowym wierszu.

Weryfikowanie listy wykluczeń przy użyciu polecenia MpCmdRun

Aby sprawdzić wykluczenia za pomocą dedykowanego narzędzia wiersza polecenia mpcmdrun.exe, użyj następującego polecenia:

MpCmdRun.exe -CheckExclusion -path <path>

Uwaga

Sprawdzanie wykluczeń przy użyciu narzędzia MpCmdRun wymaga Microsoft Defender programu antywirusowego CAMP w wersji 4.18.1812.3 (wydanej w grudniu 2018 r.) lub nowszej.

Przejrzyj listę wykluczeń wraz ze wszystkimi innymi preferencjami programu antywirusowego Microsoft Defender przy użyciu programu PowerShell

Użyj następującego polecenia cmdlet:

Get-MpPreference

Aby uzyskać więcej informacji na temat używania programu PowerShell z programem antywirusowym Microsoft Defender, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Microsoft Defender Antivirus i Microsoft Defender Antivirus .

Pobieranie określonej listy wykluczeń przy użyciu programu PowerShell

Użyj następującego fragmentu kodu (wprowadź każdy wiersz jako oddzielne polecenie); Zastąp elementy WDAVprefs dowolną etykietą, którą chcesz nazwać zmienną:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Aby uzyskać więcej informacji na temat używania programu PowerShell z programem antywirusowym Microsoft Defender, zobacz Konfigurowanie i uruchamianie poleceń cmdlet Microsoft Defender Antivirus i Microsoft Defender Antivirus za pomocą poleceń cmdlet programu PowerShell.

Porada

Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.