Configurar e validar exclusões com base na localização da pasta e extensão de ficheiros

  • Artigo
  • 6 minutos para ler

Aplica-se a:

Plataformas

  • Windows

Pode definir exclusões para o Antivírus do Microsoft Defender que se aplicam a análises agendadas, análises a pedido e proteção e monitorização sempre ativadas e em tempo real. Normalmente, não é necessário aplicar exclusões. Se precisar de aplicar exclusões, pode escolher uma das seguintes:

Importante

As exclusões do Antivírus do Microsoft Defender não se aplicam a outras funcionalidades de Microsoft Defender para Endpoint, como as regras de redução da superfície de ataque (ASR) e o acesso controlado a pastas. Os ficheiros que excluir através dos métodos descritos neste artigo ainda podem ativar alertas de Deteção e Resposta de Pontos Finais (EDR) e outras deteções. Para excluir os ficheiros de uma forma geral, adicione-os à Microsoft Defender para Endpoint indicadores personalizados.

Before you begin

Consulte Recomendações para definir exclusões antes de definir as suas listas de exclusão.

Listas de exclusão

Para excluir determinados ficheiros da análise do Antivírus do Microsoft Defender, modifique as suas listas de exclusão. O Antivírus do Microsoft Defender inclui muitas exclusões automáticas baseadas em comportamentos de sistema operativo conhecidos e ficheiros de gestão típicos, como os utilizados na gestão de empresas, gestão de bases de dados e outros cenários e situações empresariais.

Nota

As exclusões também se aplicam a aplicações potencialmente indesejadas (PUA ). As exclusões automáticas aplicam-se apenas a Windows Server 2016 e posterior. Estas exclusões não são visíveis na aplicação Segurança do Windows e no PowerShell.

A seguinte tabela lista alguns exemplos de exclusões com base na extensão de ficheiro e localização de pastas.

Exclusão Exemplos Lista de exclusões
Qualquer ficheiro com uma extensão específica Todos os ficheiros com a extensão especificada, em qualquer parte do computador.

Sintaxe válida: .test e test

 Exclusões de extensões
Qualquer ficheiro numa pasta específica Todos os ficheiros c:\test\sample sob a pasta Exclusões de ficheiros e pastas
Um ficheiro específico numa pasta específica Apenas o c:\sample\sample.test ficheiro Exclusões de ficheiros e pastas
Um processo específico O ficheiro executável c:\test\process.exe Exclusões de ficheiros e pastas

Características das listas de exclusão

  • As exclusões de pastas aplicam-se a todos os ficheiros e pastas dentro da mesma, a menos que a subpasse seja um ponto de repartição. As subpatas de pontos de repartição têm de ser excluídas separadamente.
  • As extensões de ficheiro aplicam-se a qualquer nome de ficheiro com a extensão definida se um caminho ou pasta não estiver definido.

Notas importantes sobre exclusões baseadas em extensões de ficheiros e localizações de pastas

  • A utilização de wildcards como o asterisco (*) irá alterar a forma como as regras de exclusão são interpretadas. Consulte a secção Utilizar wildcards na secção Caminho do ficheiro e listas de exclusão de extensões ou caminho da pasta para obter informações importantes sobre como funcionam os wildcards.

  • Não exclua as unidade de rede mapeada. Especifique o caminho de rede real.

  • As pastas que são pontos de separação são criadas após o início do serviço Antivírus do Microsoft Defender e as pastas que foram adicionadas à lista de exclusões não serão incluídas. Reinicie o serviço ao reiniciar o Windows para que os novos pontos de reparse sejam reconhecidos como um destino de exclusão válido.

  • As exclusões aplicam-se a análises agendadas, análises a pedido e proteção em tempo real, mas não a todas as funcionalidades do Defender para Pontos Finais. Para definir exclusões no Defender para Ponto Final, utilize indicadores personalizados.

  • Por predefinição, as alterações locais feitas às listas (por utilizadores com privilégios de administrador, incluindo as alterações feitas com o PowerShell e com a WMI) serão intercaladas com as listas, conforme definidas (e implementadas) por Política de Grupo, Configuration Manager ou Intune. As Política de Grupo de listas têm precedência quando existem conflitos. Além disso, as alterações da lista de exclusão e Política de Grupo lista são visíveis na aplicação Segurança do Windows exclusão.

  • Para permitir que as alterações locais sobrefinam as definições de implementação gerida, configure a forma como as listas de exclusões definidas localmente e globalmente são intercaladas.

Configurar a lista de exclusões com base no nome da pasta ou extensão de ficheiro

Pode escolher a partir de vários métodos para definir exclusões para o Antivírus do Microsoft Defender.

Utilizar Intune para configurar o nome de ficheiro, pasta ou exclusões de extensões de ficheiros

Consulte os seguintes artigos:

Utilizar Configuration Manager para configurar exclusões de extensões de ficheiros, pastas ou extensões de ficheiros

Consulte Como criar e implementar políticas antimalware: Definições de exclusão para obter detalhes sobre como configurar o Microsoft Endpoint Manager (ramo atual).

Utilizar Política de Grupo para configurar exclusões de extensões de ficheiros ou pastas

Nota

Se especificar um caminho completamente qualificado para um ficheiro, apenas esse ficheiro será excluído. Se uma pasta estiver definida na exclusão, todos os ficheiros e sub-diretórios nessa pasta são excluídos.

  1. No seu computador Política de Grupo de gestão de ficheiros, abra a Consola Política de Grupo Gestão, clique com o botão direito Política de Grupo no Objeto que pretende configurar e, em seguida, selecione Editar.

  2. No Editor Política de Grupo Gestão, vá para Configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para componentes do Windows Antivírus do Windows Defender > > Exclusões.

  4. Abra a definição Exclusões de Caminhos para edição e adicione as suas exclusões.

    1. Defina a opção para Ativado.
    2. Na secção Opções , selecione Mostrar.
    3. Especifique cada pasta na sua própria linha na coluna Nome do valor.
    4. Se estiver a especificar um ficheiro, certifique-se de que introduza um caminho completamente qualificado para o ficheiro, incluindo a carta de unidade, o caminho da pasta, o nome do ficheiro e a extensão.
    5. Introduza 0 na coluna Valor.

  5. Selecione OK.

  6. Abra a definição Exclusões de Extensões para editar e adicionar as suas exclusões.

    1. Defina a opção para Ativado.
    2. Na secção Opções , selecione Mostrar.
    3. Introduza cada extensão de ficheiro na sua própria linha na coluna Nome do valor.
    4. Introduza 0 na coluna Valor.

  7. Selecione OK.

Utilizar cmdlets do PowerShell para configurar exclusões de extensões de ficheiros, pastas ou ficheiros

Utilizar o PowerShell para adicionar ou remover exclusões de ficheiros com base na extensão, localização ou nome de ficheiro requer a utilização de uma combinação de três cmdlets e do parâmetro adequado da lista de exclusão. Os cmdlets estão todos no módulo do Defender.

O formato dos cmdlets é o seguinte:

<cmdlet> -<exclusion list> "<item>"

A seguinte tabela lista os cmdlets que pode utilizar na <cmdlet> parte do cmdlet do PowerShell:

Ação de configuração Cmdlet do PowerShell
Criar ou omitir a lista Set-MpPreference
Adicionar à lista Add-MpPreference
Remover item da lista Remove-MpPreference

A seguinte tabela lista os valores que pode utilizar na <exclusion list> parte do cmdlet do PowerShell:

Tipo de exclusão Parâmetro do PowerShell
Todos os ficheiros com uma extensão de ficheiro especificada -ExclusionExtension
Todos os ficheiros numa pasta (incluindo ficheiros em sub-diretórios) ou um ficheiro específico -ExclusionPath

Importante

Se tiver criado uma lista, com ou Set-MpPreference Add-MpPreference, Set-MpPreference ao utilizar o cmdlet novamente, irá sobrescrever a lista existente.

Por exemplo, o seguinte conjunto de códigos faria com que as análises do Antivírus do Microsoft Defender excluíssem todos os ficheiros com a extensão .test de ficheiro:

Add-MpPreference -ExclusionExtension ".test"

Dica

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Utilizar a WMI (Windows Management Instrumentation) para configurar exclusões de extensões de ficheiros, pastas ou ficheiros

Utilize os métodos Definir, Adicionar e Remover da turma MSFT_MpPreference para as seguintes propriedades:

ExclusionExtension
ExclusionPath

Utilizar as ações Definir**, Adicionar e** Remover é analógico para os homólogos no PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Dica

Para obter mais informações, consulte Windows Defender APIs WMIv2.

Utilizar a aplicação Segurança do Windows para configurar o nome de ficheiro, pasta ou exclusões de extensão de ficheiros

Consulte Adicionar exclusões na aplicação Segurança do Windows para obter instruções.

Utilizar wildcards no nome do ficheiro e nas listas de exclusão de extensões ou caminho da pasta ou extensão

Pode utilizar as variáveis de asterisco *, ?ponto de interrogação ou ambiente ( %ALLUSERSPROFILE%como ) como, por exemplo, os objetos anversais ao definir itens no nome do ficheiro ou na lista de exclusão de caminho da pasta. A forma como estes tipos de universalidade são interpretados difere da utilização habitual noutras aplicações e idiomas. Certifique-se de que lê esta secção para compreender as suas limitações específicas.

Importante

Existem limitações chave e cenários de utilização para estes tipos de universalidade:

  • A utilização de variáveis de ambiente está limitada a variáveis de máquina e às que se aplicam a processos em execução como uma conta NT AUTHORITY\SYSTEM.
  • Só pode utilizar um máximo de seis wildcards por entrada.
  • Não pode utilizar um cartão selvagem em vez de uma letra de unidade.
  • Um asterisco * numa exclusão de pastas significa o local para uma única pasta. Utilize várias instâncias de para \*\ indicar múltiplas pastas aninhadas com nomes não especificados.

A seguinte tabela descreve a forma como os wildcards podem ser utilizados e fornece alguns exemplos.

Wildcard Exemplos
* (asterisco)

Nas inclusãos de nome de ficheiro e extensão de ficheiro, o asterisco substitui qualquer número de carateres e aplica-se apenas aos ficheiros na última pasta definida no argumento.

Nas exclusões de pastas, o asterisco substitui uma única pasta. Utilize várias * barras com pastas para indicar \ múltiplas pastas aninhadas. Depois de corresponder ao número de pastas com nome e cartão selvagem, todas as subpatas também são incluídas.

 C:\MyData\*.txt inclui C:\MyData\notes.txt

C:\somepath\*\Datainclui todos os ficheiros C:\somepath\Archives\Data e subpatas e respaís C:\somepath\Authorized\Data

C:\Serv\*\*\Backupinclui todos os ficheiros C:\Serv\Primary\Denied\Backup e subpatas e respaís C:\Serv\Secondary\Allowed\Backup
? (ponto de interrogação)

Nas inclusãos de nome de ficheiro e extensão de ficheiro, o ponto de interrogação substitui um único caráter e aplica-se apenas aos ficheiros na última pasta definida no argumento.

Nas exclusões de pastas, o ponto de interrogação substitui um único caráter no nome de uma pasta. Depois de corresponder ao número de pastas com nome e cartão selvagem, todas as subpatas também são incluídas.

 C:\MyData\my?.zip inclui C:\MyData\my1.zip

C:\somepath\?\Data inclui todos os ficheiros e C:\somepath\P\Data as suas subpatas

C:\somepath\test0?\Data incluiria qualquer ficheiro na e C:\somepath\test01\Data as suas subpatas
Variáveis de ambiente

A variável definida é preenchida como um caminho quando a exclusão é avaliada.

 %ALLUSERSPROFILE%\CustomLogFiles incluir C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Importante

Se misturar um argumento de exclusão de ficheiro com um argumento de exclusão de pasta, as regras serão interrompadas no argumento ficheiro que corresponder à pasta correspondência e não procurarão correspondências de ficheiros em subpassas. Por exemplo, pode excluir todos os ficheiros que comecem por "data" nas pastas c:\data\final\marked e c:\data\review\marked utilizando o argumento regra c:\data\*\marked\date*. No entanto, este argumento não irá corresponder a quaisquer ficheiros nas subpatas em c:\data\final\marked ou c:\data\review\marked.

Variáveis de ambiente do sistema

A tabela seguinte lista e descreve as variáveis de ambiente de conta do sistema.

Esta variável de ambiente de sistema... Redirecionamentos para esta
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\Windows\System32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Rever a lista de exclusões

Pode obter os itens na lista de exclusões através de um dos seguintes métodos:

Importante

As alterações da lista de exclusões Política de Grupo serão mostradas nas listas da Segurança do Windows aplicação. As alterações feitas na Segurança do Windows aplicação Não serão exibidas nas Política de Grupo listas.

Se utilizar o PowerShell, pode obter a lista das duas seguintes formas:

  • Obter o estado de todas as preferências do Antivírus do Microsoft Defender. Cada lista é apresentada em linhas separadas, mas os itens dentro de cada lista são combinados na mesma linha.
  • Escreva o estado de todas as preferências numa variável e utilize essa variável para chamar apenas a lista específica em que está interessado. Cada utilização de Add-MpPreference é escrita numa nova linha.

Validar a lista de exclusão utilizando MpCmdRun

Para verificar as exclusões com a ferramenta dedicada da linha mpcmdrun.exe, utilize o seguinte comando:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Nota

A verificação de exclusões com MpCmdRun requer a versão 4.18.2111-5.0 do Microsoft Defender (lançada em dezembro de 2021) ou posterior.

Reveja a lista de exclusões juntamente com todas as outras preferências do Antivírus do Microsoft Defender através do PowerShell

Utilize o seguinte cmdlet:

Get-MpPreference

No exemplo seguinte, os itens contidos na lista ExclusionExtension estão realçados:

Saída do PowerShell para Get-MpPreference

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Obter uma lista de exclusões específica através do PowerShell

Utilize o seguinte retmo de código (introduza cada linha como um comando separado); substitua WDAVprefs por qualquer etiqueta à qual queira dar o nome da variável:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

No exemplo seguinte, a lista está dividida em novas linhas para cada utilização do Add-MpPreference cmdlet:

Saída do PowerShell a mostrar apenas as entradas na lista de exclusões

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Validar listas de exclusões com o ficheiro de teste EICAR

Pode validar que as suas listas de exclusão estão a funcionar ao utilizar o PowerShell Invoke-WebRequest com o cmdlet ou com a classe .NET WebClient para transferir um ficheiro de teste.

No seguinte modelo do PowerShell, substitua por um ficheiro em test.txt conformidade com as suas regras de exclusão. Por exemplo, se tiver excluído a extensão .testing , substitua por test.txt test.testing. Se estiver a testar um caminho, certifique-se de que executa o cmdlet dentro do caminho.

Invoke-WebRequest "http://www.eicar.org/download/eicar.com.txt" -OutFile "test.txt"

Se o Antivírus do Microsoft Defender reportar software malicioso, a regra não está a funcionar. Se não existirem relatórios de software malictado e o ficheiro transferido existir, significa que a exclusão está a funcionar. Pode abrir o ficheiro para confirmar que os conteúdos são iguais aos descritos no site do ficheiro de teste EICAR.

Também pode utilizar o seguinte código do PowerShell, que chama a classe .NET WebClient para transferir o ficheiro de teste, Invoke-WebRequest tal como com o cmdlet; c:\test.txt substituir por um ficheiro em conformidade com a regra que está a validar:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Se não tiver acesso à Internet, pode criar o seu próprio ficheiro de teste EICAR ao escrever a cadeia EICAR num novo ficheiro de texto com o seguinte comando do PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Também pode copiar a cadeia para um ficheiro de texto em branco e tentar guardá-la com o nome do ficheiro ou na pasta que está a tentar excluir.

Dica

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:

Consulte também