Konfigurowanie wykluczeń dla plików otwieranych przez procesy

Dotyczy:

Platformy

  • System Windows

Pliki otwierane przez określone procesy można wykluczyć ze skanowania Program antywirusowy Microsoft Defender. Zobacz Rekomendacje, aby zdefiniować wykluczenia przed zdefiniowaniem list wykluczeń.

W tym artykule opisano sposób konfigurowania list wykluczeń.

Przykłady wykluczeń



Wykluczenia Przykład
Dowolny plik na komputerze, który jest otwierany przez dowolny proces o określonej nazwie pliku Określenie spowoduje wykluczenie test.exe plików otwartych przez:

c:\sample\test.exe

d:\internal\files\test.exe

Dowolny plik na komputerze, który jest otwierany przez dowolny proces w określonym folderze Określenie spowoduje wykluczenie c:\test\sample\* plików otwartych przez:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Dowolny plik na komputerze, który jest otwierany przez określony proces w określonym folderze Określenie spowoduje wykluczenie c:\test\process.exe plików otwartych tylko przez c:\test\process.exe

Po dodaniu procesu do listy wykluczeń procesu Program antywirusowy Microsoft Defender nie będzie skanować plików otwartych przez ten proces, niezależnie od tego, gdzie znajdują się pliki. Sam proces zostanie jednak przeskanowany, chyba że został on również dodany do listy wykluczeń plików.

Wykluczenia mają zastosowanie tylko do zawsze włączonej ochrony i monitorowania w czasie rzeczywistym. Nie mają one zastosowania do skanowania zaplanowanego lub na żądanie.

Zmiany wprowadzone za pomocą zasady grupy list wykluczeń będą wyświetlane na listach w aplikacji Zabezpieczenia Windows. Jednak zmiany wprowadzone w aplikacji Zabezpieczenia Windows nie będą wyświetlane na listach zasady grupy.

Możesz dodawać, usuwać i przeglądać listy wykluczeń w zasady grupy, Microsoft Endpoint Configuration Manager, Microsoft Intune i za pomocą aplikacji Zabezpieczenia Windows, a także używać symboli wieloznacznych do dalszego dostosowywania list.

Możesz również użyć poleceń cmdlet programu PowerShell i usługi WMI, aby skonfigurować listy wykluczeń, w tym przejrzeć listy.

Domyślnie lokalne zmiany wprowadzone na listach (przez użytkowników z uprawnieniami administratora; zmiany wprowadzone za pomocą programu PowerShell i WMI) zostaną scalone z listami zgodnie z definicją (i wdrożonymi) przez zasady grupy, Configuration Manager lub Intune. Listy zasady grupy będą mieć pierwszeństwo w przypadku konfliktów.

Można skonfigurować sposób scalania list wykluczeń zdefiniowanych lokalnie i globalnie , aby umożliwić zmianę lokalną zastąpienia ustawień wdrożenia zarządzanego.

Konfigurowanie listy wykluczeń dla plików otwartych przez określone procesy

Użyj Microsoft Intune, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień ograniczeń urządzenia w ustawieniach ograniczeń urządzeń Microsoft Intune i Program antywirusowy Microsoft Defender dla Windows 10 w Intune.

Użyj Microsoft Endpoint Manager, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Zobacz Jak tworzyć i wdrażać zasady ochrony przed złośliwym kodem: ustawienia wykluczeń, aby uzyskać szczegółowe informacje na temat konfigurowania Microsoft Endpoint Manager (bieżącej gałęzi).

Użyj zasady grupy, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i kliknij przycisk Edytuj.

  2. W edytorze zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera i kliknij pozycję Szablony administracyjne.

  3. Rozwiń drzewo, aby Windows składniki > Program antywirusowy Microsoft Defender > Wykluczenia.

  4. Kliknij dwukrotnie pozycję Wykluczenia procesu i dodaj wykluczenia:

    1. Ustaw opcję Włączone.
    2. W sekcji Opcje kliknij pozycję Pokaż....
    3. Wprowadź każdy proces we własnym wierszu w kolumnie Nazwa wartości . Zapoznaj się z tabelą przykładów dla różnych typów wykluczeń procesów. Wprowadź wartość 0 w kolumnie Wartość dla wszystkich procesów.
  5. Kliknij przycisk OK.

Użyj poleceń cmdlet programu PowerShell, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Używanie programu PowerShell do dodawania lub usuwania wykluczeń dla plików, które zostały otwarte przez procesy, wymaga użycia kombinacji trzech poleceń cmdlet z parametrem -ExclusionProcess . Wszystkie polecenia cmdlet znajdują się w module defender.

Format poleceń cmdlet to:

<cmdlet> -ExclusionProcess "<item>"

Następujące elementy są dozwolone jako <cmdlet>:



Akcja konfiguracji Polecenie cmdlet programu PowerShell
Tworzenie lub zastępowanie listy Set-MpPreference
Dodaj do listy Add-MpPreference
Usuwanie elementów z listy Remove-MpPreference

Ważne

Jeśli utworzono listę za Set-MpPreference pomocą polecenia cmdlet lub Add-MpPreference, ponowne użycie Set-MpPreference polecenia cmdlet spowoduje zastąpienie istniejącej listy.

Na przykład poniższy fragment kodu może spowodować wykluczenie wszystkich plików otwieranych przez określony proces w usłudze Microsoft Defender AV:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Aby uzyskać więcej informacji na temat używania programu PowerShell z Program antywirusowy Microsoft Defender, zobacz Manage antivirus with PowerShell cmdlets and Program antywirusowy Microsoft Defender cmdlets (Zarządzanie oprogramowaniem antywirusowym przy użyciu poleceń cmdlet programu PowerShell i poleceń cmdlet Program antywirusowy Microsoft Defender).

Użyj instrukcji zarządzania Windows (WMI), aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Użyj metod Set, Add i Remove klasy MSFT_MpPreference dla następujących właściwości:

ExclusionProcess

Użycie poleceń Set, Add i Remove jest analogiczne do ich odpowiedników w programie PowerShell: Set-MpPreference, Add-MpPreferencei Remove-MpPreference.

Aby uzyskać więcej informacji i dozwolone parametry, zobacz Windows Defender Interfejsy API WMIv2.

Użyj aplikacji Zabezpieczenia Windows, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania

Aby uzyskać instrukcje, zobacz Dodawanie wykluczeń w aplikacji Zabezpieczenia Windows.

Używanie symboli wieloznacznych na liście wykluczeń procesu

Użycie symboli wieloznacznych na liście wykluczeń procesu różni się od ich użycia na innych listach wykluczeń.

W szczególności nie można użyć symbolu wieloznacznego znaku zapytania (?), a symbol wieloznaczny gwiazdki (*) może być używany tylko na końcu pełnej ścieżki. Nadal można używać zmiennych środowiskowych (takich jak %ALLUSERSPROFILE%) jako symboli wieloznacznych podczas definiowania elementów na liście wykluczeń procesu.

W poniższej tabeli opisano sposób użycia symboli wieloznacznych na liście wykluczeń procesu:



Symbol wieloznaczny Przykładowe użycie Przykładowe dopasowania
* (gwiazdka)

Zamienia dowolną liczbę znaków

C:\MyData\* Dowolny plik otwarty przez C:\MyData\file.exe
Zmienne środowiskowe

Zdefiniowana zmienna jest wypełniana jako ścieżka podczas obliczania wykluczenia

%ALLUSERSPROFILE%\CustomLogFiles\file.exe Dowolny plik otwarty przez C:\ProgramData\CustomLogFiles\file.exe

Przejrzyj listę wykluczeń

Elementy na liście wykluczeń można pobrać za pomocą programu MpCmdRun, programu PowerShell, Microsoft Endpoint Configuration Manager, Intune lub aplikacji Zabezpieczenia Windows.

Jeśli używasz programu PowerShell, możesz pobrać listę na dwa sposoby:

  • Pobierz stan wszystkich preferencji Program antywirusowy Microsoft Defender. Każda z list będzie wyświetlana w oddzielnych wierszach, ale elementy na każdej liście zostaną połączone w ten sam wiersz.
  • Zapisz stan wszystkich preferencji w zmiennej i użyj tej zmiennej, aby wywołać tylko konkretną listę, która Cię interesuje. Każde użycie Add-MpPreference jest zapisywane w nowym wierszu.

Weryfikowanie listy wykluczeń przy użyciu polecenia MpCmdRun

Aby sprawdzić wykluczenia za pomocą dedykowanego narzędzia wiersza polecenia mpcmdrun.exe, użyj następującego polecenia:

MpCmdRun.exe -CheckExclusion -path <path>

Uwaga

Sprawdzanie wykluczeń przy użyciu narzędzia MpCmdRun wymaga Program antywirusowy Microsoft Defender CAMP w wersji 4.18.1812.3 (wydanej w grudniu 2018 r.) lub nowszej.

Przejrzyj listę wykluczeń wraz ze wszystkimi innymi preferencjami Program antywirusowy Microsoft Defender przy użyciu programu PowerShell

Użyj następującego polecenia cmdlet:

Get-MpPreference

Zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Program antywirusowy Microsoft Defender i Program antywirusowy Microsoft Defender, aby uzyskać więcej informacji na temat używania programu PowerShell z programem Program antywirusowy Microsoft Defender.

Pobieranie określonej listy wykluczeń przy użyciu programu PowerShell

Użyj następującego fragmentu kodu (wprowadź każdy wiersz jako oddzielne polecenie); Zastąp elementy WDAVprefs dowolną etykietą, którą chcesz nazwać zmienną:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Program antywirusowy Microsoft Defender i Program antywirusowy Microsoft Defender, aby uzyskać więcej informacji na temat używania programu PowerShell z programem Program antywirusowy Microsoft Defender.