Configurar exclusões para arquivos abertos por processos

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Você pode excluir arquivos abertos por processos específicos de verificações Microsoft Defender Antivírus. Observe que esses tipos de exclusões são para arquivos abertos por processos e não pelos processos em si. Para excluir um processo, adicione uma exclusão de arquivo (consulte Configurar e validar exclusões com base na extensão de arquivo e no local da pasta).

Consulte Pontos importantes sobre exclusões e examine as informações em Gerenciar exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus antes de definir suas listas de exclusão.

Este artigo descreve como configurar listas de exclusão.

Exemplos de exclusões de processo

Exclusão Exemplo
Qualquer arquivo no computador aberto por qualquer processo com um nome de arquivo específico Especificar test.exe excluiria arquivos abertos por:

c:\sample\test.exe

d:\internal\files\test.exe
Qualquer arquivo no computador aberto por qualquer processo em uma pasta específica Especificar c:\test\sample\* excluiria arquivos abertos por:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
Qualquer arquivo no computador aberto por um processo específico em uma pasta específica Especificar c:\test\process.exe excluiria arquivos abertos apenas por c:\test\process.exe

Quando você adiciona um processo à lista de exclusão do processo, Microsoft Defender Antivírus não examinará os arquivos abertos por esse processo, não importa onde os arquivos estejam localizados. O processo em si, no entanto, será verificado, a menos que também tenha sido adicionado à lista de exclusão de arquivos.

As exclusões só se aplicam à proteção e ao monitoramento sempre em tempo real. Eles não se aplicam a exames agendados ou sob demanda.

Alterações feitas com Política de Grupo nas listas de exclusão serão exibidas nas listas no aplicativo Segurança do Windows. No entanto, as alterações feitas no aplicativo Segurança do Windows não serão exibidas nas listas de Política de Grupo.

Você pode adicionar, remover e revisar as listas de exclusões em Política de Grupo, Microsoft Configuration Manager, Microsoft Intune e com o aplicativo Segurança do Windows e pode usar curingas para personalizar ainda mais as listas.

Você também pode usar cmdlets e WMI do PowerShell para configurar as listas de exclusão, incluindo a revisão de suas listas.

Por padrão, as alterações locais feitas nas listas (por usuários com privilégios de administrador; alterações feitas com PowerShell e WMI) são mescladas com as listas definidas (e implantadas) por Política de Grupo, Configuration Manager ou Intune. As listas de Política de Grupo têm precedência se houver conflitos.

Você pode configurar como as listas de exclusões definidas local e globalmente são mescladas para permitir que as alterações locais substituam as configurações de implantação gerenciada.

Observação

As regras de proteção de rede e redução de superfície de ataque são diretamente afetadas por exclusões de processo em todas as plataformas, o que significa que uma exclusão de processo em qualquer sistema operacional (Windows, MacOS, Linux) resultará na não capacidade da Proteção de Rede ou do ASR de inspecionar o tráfego ou impor regras para esse processo específico.

Nome da imagem versus caminho completo para exclusões de processo

Dois tipos diferentes de exclusões de processo podem ser definidos. Um processo pode ser excluído pelo nome da imagem ou pelo caminho completo. O nome da imagem é simplesmente o nome do arquivo do processo, sem o caminho.

Por exemplo, dado que o processo MyProcess.exe em execução do C:\MyFolder\ caminho completo para esse processo seria C:\MyFolder\MyProcess.exe e o nome da imagem é MyProcess.exe.

As exclusões de nome de imagem são muito mais amplas - uma exclusão em MyProcess.exe excluirá todos os processos com esse nome de imagem, independentemente do caminho do qual são executados. Portanto, por exemplo, se o processo MyProcess.exe for excluído pelo nome da imagem, ele também será excluído se for executado de C:\MyOtherFolder, de mídia removível, etc. Como tal, é recomendável que, sempre que possível, o caminho completo seja usado.

Usar curingas na lista de exclusão do processo

O uso de curingas na lista de exclusão do processo é diferente de seu uso em outras listas de exclusão. Quando a exclusão do processo é definida apenas como um nome de imagem, o uso curinga não é permitido. No entanto, quando um caminho completo é usado, curingas são suportados e o comportamento curinga se comporta conforme descrito em Exclusões de Arquivos e Pastas

Também há suporte para o uso de variáveis de ambiente (como %ALLUSERSPROFILE%) como curingas ao definir itens na lista de exclusão do processo. Detalhes e uma lista completa de variáveis de ambiente com suporte são descritos em Exclusões de Arquivos e Pastas.

A tabela a seguir descreve como os curingas podem ser usados na lista de exclusão do processo, quando um caminho é fornecido:

Curinga Uso de exemplo Correspondências de exemplo
* (asterisco)

Substitui qualquer número de caracteres.

 C:\MyFolder\* Qualquer arquivo aberto por C:\MyFolder\MyProcess.exe ou C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Qualquer arquivo aberto por C:\MyFolder1\MyFolder2\MyProcess.exe ou C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Qualquer arquivo aberto por C:\MyOtherFolder\MyFolder\MyProcess.exe ou C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (ponto de interrogação)

Substitui um caractere.

 C:\MyFolder\MyProcess??.exe Qualquer arquivo aberto por C:\MyFolder\MyProcess42.exe ou ou C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Variáveis de ambiente %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Qualquer arquivo aberto por C:\ProgramData\MyFolder\MyProcess.exe

Exclusões de processos contextuais

Observe que uma exclusão de processo também pode ser definida por meio de uma exclusão contextual , permitindo, por exemplo, que um arquivo específico seja excluído somente se ele for aberto por um processo específico.

Configurar a lista de exclusões para arquivos abertos por processos especificados

Use Microsoft Intune para excluir arquivos que foram abertos por processos especificados de verificações

Para obter mais informações, consulte Configurar configurações de restrição de dispositivo em configurações de restrição de dispositivo Microsoft Intune e Microsoft Defender configurações de restrição de dispositivo Antivírus para Windows 10 em Intune.

Use Microsoft Configuration Manager para excluir arquivos que foram abertos por processos especificados de verificações

Confira Como criar e implantar políticas antimalware: configurações de exclusão para obter detalhes sobre como configurar Microsoft Configuration Manager (branch atual).

Use Política de Grupo para excluir arquivos que foram abertos por processos especificados de verificações

  1. Em seu computador de gerenciamento Política de Grupo, abra o Console de Gerenciamento Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e clique em Editar.

  2. No Política de Grupo Management Editor, acesse Configuração do computador e clique em Modelos administrativos.

  3. Expanda a árvore para componentes > do Windows Microsoft Defender Exclusões antivírus>.

  4. Clique duas vezes em Exclusões de Processo e adicione as exclusões:

    1. Defina a opção como Habilitada.
    2. Na seção Opções , clique em Mostrar....
    3. Insira cada processo em sua própria linha na coluna Nome do valor . Consulte a tabela de exemplo para os diferentes tipos de exclusões de processo. Insira 0 na coluna Valor para todos os processos.

  5. Clique em OK.

Usar cmdlets do PowerShell para excluir arquivos que foram abertos por processos especificados de verificações

Usar o PowerShell para adicionar ou remover exclusões para arquivos abertos por processos requer o uso de uma combinação de três cmdlets com o -ExclusionProcess parâmetro. Os cmdlets estão todos no módulo defender.

O formato para os cmdlets é:

<cmdlet> -ExclusionProcess "<item>"

O seguinte é permitido como o <cmdlet>:

Ação de configuração Cmdlet do PowerShell
Create ou substituir a lista Set-MpPreference
Adicionar à lista Add-MpPreference
Remover itens da lista Remove-MpPreference

Importante

Se você tiver criado uma lista, com Set-MpPreference ou Add-MpPreference, usar o Set-MpPreference cmdlet novamente substituirá a lista existente.

Por exemplo, o snippet de código a seguir faria com que Microsoft Defender verificações antivírus excluíssem qualquer arquivo aberto pelo processo especificado:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Para obter mais informações sobre como usar o PowerShell com Microsoft Defender Antivírus, consulte Gerenciar antivírus com cmdlets do PowerShell e cmdlets Microsoft Defender Antivírus.

Usar a WMI (Instrução de Gerenciamento do Windows) para excluir arquivos que foram abertos por processos especificados de verificações

Use os métodos Definir, Adicionar e Remover da classe MSFT_MpPreference para as seguintes propriedades:

ExclusionProcess

O uso de Definir, Adicionar e Remover é análogo aos seus equivalentes no PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Para obter mais informações e parâmetros permitidos, consulte Windows Defender APIs WMIv2.

Use o aplicativo Segurança do Windows para excluir arquivos que foram abertos por processos especificados de verificações

Siga as instruções em Adicionar exclusões no aplicativo Segurança do Windows.

Examinar a lista de exclusões

Você pode recuperar os itens na lista de exclusão com MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune ou o aplicativo Segurança do Windows.

Se você usar o PowerShell, poderá recuperar a lista de duas maneiras:

  • Recupere o status de todas as preferências Microsoft Defender Antivírus. Cada uma das listas é exibida em linhas separadas, mas os itens dentro de cada lista são combinados na mesma linha.
  • Escreva o status de todas as preferências em uma variável e use essa variável para chamar apenas a lista específica na qual você está interessado. Cada uso de Add-MpPreference é gravado em uma nova linha.

Validar a lista de exclusão usando MpCmdRun

Para marcar exclusões com a ferramenta de linha de comando dedicada mpcmdrun.exe, use o seguinte comando:

MpCmdRun.exe -CheckExclusion -path <path>

Observação

Verificar exclusões com o MpCmdRun requer Microsoft Defender o Antivírus CAMP versão 4.18.1812.3 (lançado em dezembro de 2018) ou posterior.

Examine a lista de exclusões ao lado de todas as outras preferências Microsoft Defender Antivírus usando o PowerShell

Use o seguinte cmdlet:

Get-MpPreference

Para obter mais informações sobre como usar o PowerShell com Microsoft Defender Antivírus, confira Usar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets Antivírus e antivírus Microsoft Defender .

Recuperar uma lista de exclusões específica usando o PowerShell

Use o snippet de código a seguir (insira cada linha como um comando separado); substitua WDAVprefs por qualquer rótulo que você queira nomear a variável:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Para obter mais informações sobre como usar o PowerShell com Microsoft Defender Antivírus, confira Usar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets Antivírus e antivírus Microsoft Defender.

Dica

Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.