Configurar exclusões para ficheiros abertos por processos

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• API do Microsoft Defender para Endpoint 2
• Antivírus do Microsoft Defender

Plataformas

• Windows

Pode excluir ficheiros que tenham sido abertos por processos específicos de Antivírus do Microsoft Defender análises. Consulte Recomendações definir exclusões antes de definir as suas listas de exclusão.

Este artigo descreve como configurar listas de exclusão.

Exemplos de exclusões

Exclusão	Exemplos:
Qualquer ficheiro no máquina que seja aberto por qualquer processo com um nome de ficheiro específico	Especificar exclui test.exe os ficheiros abertos por: c:\sample\test.exe d:\internal\files\test.exe
Qualquer ficheiro no máquina que seja aberto por qualquer processo numa pasta específica	Especificar exclui c:\test\sample\* os ficheiros abertos por: c:\test\sample\test.exe c:\test\sample\test2.exe c:\test\sample\utility.exe
Qualquer ficheiro no máquina que seja aberto por um processo específico numa pasta específica	Especificar excluiria c:\test\process.exe ficheiros abertos apenas por c:\test\process.exe

Ao adicionar um processo à lista de exclusão de processos, o Antivírus do Microsoft Defender não irá analisar os ficheiros abertos por esse processo, independentemente da localização dos ficheiros. No entanto, o processo será analisado, a menos que também tenha sido adicionado à lista de exclusão de ficheiros.

As exclusões só se aplicam a proteção e monitorização em tempo real sempre ativadas. Não se aplicam a análises agendadas ou a pedido.

As alterações feitas Política de Grupo às listas de exclusão serão mostradas nas listas na aplicação Segurança do Windows exclusão. No entanto, as alterações feitas Segurança do Windows aplicação Não serão exibidas nas listas Política de Grupo versões.

Pode adicionar, remover e rever as listas de exclusões no Política de Grupo, Microsoft Endpoint Configuration Manager, Microsoft Intune e com a aplicação Segurança do Windows e pode utilizar os wildcards para personalizar ainda mais a listas.

Também pode utilizar cmdlets do PowerShell e WMI para configurar as listas de exclusão, incluindo a revisão das suas listas.

Por predefinição, as alterações locais feitas às listas (por utilizadores com privilégios de administrador; as alterações feitas com o PowerShell e a WMI) serão intercaladas com as listas, conforme definidas (e implementadas) por Política de Grupo, Configuration Manager ou Intune. As Política de Grupo listas de listas terão precedência em caso de conflitos.

Pode configurar a forma como as listas de exclusões definidas localmente e globalmente são intercaladas para permitir que as alterações locais sobrefinam as definições de implementação gerida.

Configurar a lista de exclusões para ficheiros abertos por processos especificados

Utilizar Microsoft Intune para excluir da análise ficheiros abertos por processos especificados

Consulte Configurar definições de restrição de dispositivos no Microsoft Intune e as Definições de restrição de dispositivos do Antivírus do Microsoft Defender para o Windows 10 no Intune para obter mais detalhes.

Utilizar Microsoft Endpoint Manager para excluir da análise ficheiros abertos por processos especificados

Consulte Como criar e implementar políticas antimalware: definições de exclusão para obter detalhes sobre como Microsoft Endpoint Manager (ramo atual).

Utilize Política de Grupo para excluir da análise ficheiros abertos por processos especificados

1. No seu computador Política de Grupo de gestão, abra a Consola Política de Grupo de Gestão, clique com o botão direito do Política de Grupo no Objeto que pretende configurar e clique em Editar.

2. No Editor Política de Grupo Gestão, vá para Configuração do computador e clique em Modelos administrativos.

3. Expanda a árvore para Windows componentes Antivírus do Microsoft Defender > > Exclusões.

4. Faça duplo clique em Exclusões de Processos e adicione as exclusões:

   1. Defina a opção para Ativado.
   2. Na secção Opções , clique em Mostrar....
   3. Introduza cada processo na sua própria linha abaixo da coluna Nome do valor. Consulte a tabela de exemplo para ver os diferentes tipos de exclusões de processos. Introduza 0 na coluna Valor para todos os processos.

5. Clique em OK.

Utilizar cmdlets do PowerShell para excluir ficheiros abertos por processos especificados das análises

Utilizar o PowerShell para adicionar ou remover exclusões de ficheiros que tenham sido abertos por processos requer a utilização de uma combinação de três cmdlets com o -ExclusionProcess parâmetro. Os cmdlets estão todos no módulo do Defender.

O formato dos cmdlets é:

<cmdlet> -ExclusionProcess "<item>"

É permitido o seguinte:<cmdlet>

Ação de configuração	Cmdlet do PowerShell
Criar ou omitir a lista	Set-MpPreference
Adicionar à lista	Add-MpPreference
Remover itens da lista	Remove-MpPreference

Importante

Se tiver criado uma lista, com ou Set-MpPreference Add-MpPreference, Set-MpPreference ao utilizar o cmdlet novamente, irá sobrescrever a lista existente.

Por exemplo, o seguinte snippet de código faria com que as digitalizações AV do Microsoft Defender excluíam todos os ficheiros abertos pelo processo especificado:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Para obter mais informações sobre como utilizar o PowerShell com o Antivírus do Microsoft Defender, consulte Gerir o antivírus com cmdlets e cmdlets do PowerShell Antivírus do Microsoft Defender cmdlets.

Utilize Windows Instruções de Gestão (WMI) para excluir ficheiros abertos por processos especificados das análises

Utilize os métodos Definir, Adicionar e Remover da turma MSFT_MpPreference para as seguintes propriedades:

ExclusionProcess

A utilização de Definir, Adicionar e Remover é analógica para os homólogos no PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Para obter mais informações e parâmetros permitidos, consulte Windows Defender APIs WMIv2.

Utilizar a Segurança do Windows para excluir da análise ficheiros abertos por processos especificados

Consulte Adicionar exclusões na aplicação Segurança do Windows para obter instruções.

Utilizar wildcards na lista de exclusões de processos

A utilização de tipos wildcards na lista de exclusão de processos é diferente da sua utilização noutras listas de exclusão.

Em particular, não pode utilizar o ponto de interrogação (?) e o asterisco (*) só pode ser utilizado no final de um caminho completo. Pode continuar a utilizar variáveis de ambiente (como %ALLUSERSPROFILE%) como, por exemplo, wildcards, ao definir itens na lista de exclusão de processos.

A seguinte tabela descreve a forma como os wildcards podem ser utilizados na lista de exclusão de processos:

Wildcard	Exemplo de utilização	Correspondências de exemplo
* (asterisco) Substitui qualquer número de carateres	C:\MyData\*	Qualquer ficheiro aberto por C:\MyData\file.exe
Variáveis de ambiente A variável definida é preenchida como um caminho quando a exclusão é avaliada	%ALLUSERSPROFILE%\CustomLogFiles\file.exe	Qualquer ficheiro aberto por C:\ProgramData\CustomLogFiles\file.exe

Rever a lista de exclusões

Pode obter os itens na lista de exclusões com a MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intune ou a Segurança do Windows Aplicação.

Se utilizar o PowerShell, pode obter a lista de duas formas:

• Obter o estado de todas as Antivírus do Microsoft Defender preferências. Cada uma das listas será apresentada em linhas separadas, mas os itens dentro de cada lista serão combinados na mesma linha.
• Escreva o estado de todas as preferências numa variável e utilize essa variável para chamar apenas a lista específica em que está interessado. Cada utilização de Add-MpPreference é escrita numa nova linha.

Validar a lista de exclusão utilizando MpCmdRun

Para verificar as exclusões com a ferramenta dedicada da linha mpcmdrun.exe, utilize o seguinte comando:

MpCmdRun.exe -CheckExclusion -path <path>

Nota

A verificação de exclusões com MpCmdRun necessita do Antivírus do Microsoft Defender CAMP versão 4.18.1812.3 (lançada em dezembro de 2018) ou posterior.

Rever a lista de exclusões juntamente com todas as Antivírus do Microsoft Defender preferências de utilização do PowerShell

Utilize o seguinte cmdlet:

Get-MpPreference

Consulte Utilizar cmdlets do PowerShell para configurar e executar cmdlets Antivírus do Microsoft Defender e de Antivírus do Microsoft Defender para obter mais informações sobre como utilizar o PowerShell com Antivírus do Microsoft Defender.

Obter uma lista de exclusões específica através do PowerShell

Utilize o seguinte retmo de código (introduza cada linha como um comando separado); substitua WDAVprefs por qualquer etiqueta à qual queira dar o nome da variável:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Consulte Utilizar cmdlets do PowerShell para configurar e executar cmdlets Antivírus do Microsoft Defender e de Antivírus do Microsoft Defender para obter mais informações sobre como utilizar o PowerShell com Antivírus do Microsoft Defender.

Dica

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:

• Definir preferências para o Microsoft Defender para Endpoint no macOS
• Microsoft Defender para Endpoint no Mac
• Definições de política de Antivírus do macOS para o Antivírus do Microsoft Defender para Intune
• Definir preferências para o Microsoft Defender para Endpoint no Linux
• Microsoft Defender para Endpoint no Linux
• Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
• Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS

Artigos relacionados

• Configurar e validar exclusões em Antivírus do Microsoft Defender análises
• Configurar e validar exclusões com base no nome de ficheiro, extensão e localização da pasta
• Configurar Antivírus do Microsoft Defender de exclusões no Windows Server
• Erros comuns a evitar ao definir exclusões
• Personalizar, iniciar e rever os resultados das análises Antivírus do Microsoft Defender análises e remediação
• Antivírus do Microsoft Defender no Windows 10