Настройка исключений для файлов, открытых процессамиConfigure exclusions for files opened by processes

Область применения:Applies to:

Можно исключить файлы, открытые определенными процессами из антивирусных сканов Microsoft Defender.You can exclude files that have been opened by specific processes from Microsoft Defender Antivirus scans. Рекомендации по определению исключений перед определением списков исключений.See Recommendations for defining exclusions before defining your exclusion lists.

В этой статье описывается настройка списков исключений.This article describes how to configure exclusion lists.

Примеры исключенийExamples of exclusions

ИсключенияExclusion ПримерExample
Любой файл на компьютере, открываемом любым процессом с определенным именем файлаAny file on the machine that is opened by any process with a specific file name При test.exe указании исключены файлы, открытые по:Specifying test.exe would exclude files opened by:
c:\sample\test.exe
d:\internal\files\test.exe
Любой файл на компьютере, открываемом любым процессом в определенной папкеAny file on the machine that is opened by any process under a specific folder При c:\test\sample\* указании исключены файлы, открытые по:Specifying c:\test\sample\* would exclude files opened by:
c:\test\sample\test.exe
c:\test\sample\test2.exe
c:\test\sample\utility.exe
Любой файл на компьютере, открытый определенным процессом в определенной папкеAny file on the machine that is opened by a specific process in a specific folder Указание c:\test\process.exe исключит файлы, открытые только c:\test\process.exeSpecifying c:\test\process.exe would exclude files only opened by c:\test\process.exe

При добавлении процесса в список исключений процесса антивирус Microsoft Defender не будет проверять файлы, открытые этим процессом, независимо от того, где находятся файлы.When you add a process to the process exclusion list, Microsoft Defender Antivirus won't scan files opened by that process, no matter where the files are located. Однако сам процесс будет отсканирован, если он не будет добавлен в список исключений файлов.The process itself, however, will be scanned unless it has also been added to the file exclusion list.

Исключения применяются только к защите и мониторингу в режиме реального времени в режиме реального времени.The exclusions only apply to always-on real-time protection and monitoring. Они не применяются к запланированным проверкам или проверкам по запросу.They don't apply to scheduled or on-demand scans.

Изменения, внесенные с помощью групповой политики в списки исключений, будут указаны в списках в приложении Безопасности Windows.Changes made with Group Policy to the exclusion lists will show in the lists in the Windows Security app. Однако изменения, внесенные в приложение Безопасности Windows, не будут указаны в списках групповой политики.However, changes made in the Windows Security app will not show in the Group Policy lists.

Можно добавить, удалить и просмотреть списки исключений в групповой политике, Microsoft Endpoint Configuration Manager, Microsoft Intune и в приложении Windows Security, а также использовать подгруппы для дальнейшей настройки списков.You can add, remove, and review the lists for exclusions in Group Policy, Microsoft Endpoint Configuration Manager, Microsoft Intune, and with the Windows Security app, and you can use wildcards to further customize the lists.

Для настройки списков исключений, включая просмотр списков, можно также использовать cmdlets PowerShell и WMI.You can also use PowerShell cmdlets and WMI to configure the exclusion lists, including reviewing your lists.

По умолчанию локальные изменения, внесенные в списки (пользователями с привилегиями администратора; изменения, внесенные с PowerShell и WMI), будут объединены со списками в качестве определенных (и развернутых) групповой политикой, диспетчером конфигурации или Intune.By default, local changes made to the lists (by users with administrator privileges; changes made with PowerShell and WMI) will be merged with the lists as defined (and deployed) by Group Policy, Configuration Manager, or Intune. Списки групповой политики будут иметь приоритет в случае конфликтов.The Group Policy lists will take precedence in the case of conflicts.

Можно настроить слияние локальных и глобальных списков исключений, чтобы разрешить локальным изменениям переопределять параметры управляемого развертывания.You can configure how locally and globally defined exclusions lists are merged to allow local changes to override managed deployment settings.

Настройка списка исключений для файлов, открытых указанными процессамиConfigure the list of exclusions for files opened by specified processes

Используйте Microsoft Intune, чтобы исключить файлы, открытые указанными процессами, из сканированийUse Microsoft Intune to exclude files that have been opened by specified processes from scans

Дополнительные сведения см. в статьях Настройка параметров ограничения устройств в Microsoft Intune и Параметры ограничений устройств антивирусной программы в Microsoft Defender для Windows 10 в Intune.See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Используйте Microsoft Endpoint Manager, чтобы исключить файлы, открытые указанными процессами, из сканированийUse Microsoft Endpoint Manager to exclude files that have been opened by specified processes from scans

Сведения о настройке Microsoft Endpoint Manager (текущая ветвь) см. в материале "Создание и развертывание политик противомалярийных программ: параметры исключения".See How to create and deploy antimalware policies: Exclusion settings for details on configuring Microsoft Endpoint Manager (current branch).

Использование групповой политики для исключения файлов, открытых указанными процессами из скановUse Group Policy to exclude files that have been opened by specified processes from scans

  1. На компьютере управления групповой политикой откройте консоль управления групповой политикой ,щелкните правой кнопкой мыши объект групповой политики, который необходимо настроить, и нажмите кнопку Изменить.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

  2. В редакторе управления групповой политикой перейдите к конфигурации компьютера и щелкните административные шаблоны.In the Group Policy Management Editor go to Computer configuration and click Administrative templates.

  3. Расширь дерево до компонентов Windows и > антивирусных> Microsoft Defender.Expand the tree to Windows components > Microsoft Defender Antivirus > Exclusions.

  4. Дважды щелкните исключения процесса и добавьте исключения:Double-click Process Exclusions and add the exclusions:

    1. Установите параметр Включено.Set the option to Enabled.
    2. В разделе Параметры щелкните Показать....Under the Options section, click Show....
    3. Введите каждый процесс по своей строке в столбце Имя значения.Enter each process on its own line under the Value name column. В примере см. таблицу различных типов исключений процессов.See the example table for the different types of process exclusions. Введите 0 в столбце Значение для всех процессов.Enter 0 in the Value column for all processes.
  5. Нажмите кнопку ОК.Click OK.

Чтобы исключить файлы, открытые указанными процессами, из сканов используйте cmdlets PowerShellUse PowerShell cmdlets to exclude files that have been opened by specified processes from scans

Использование PowerShell для добавления или удаления исключений для файлов, открытых процессами, требует сочетания трех cmdlets с -ExclusionProcess параметром.Using PowerShell to add or remove exclusions for files that have been opened by processes requires using a combination of three cmdlets with the -ExclusionProcess parameter. Все командлеты находятся в модуле Defender.The cmdlets are all in the Defender module.

Формат для cmdlets:The format for the cmdlets is:

<cmdlet> -ExclusionProcess "<item>"

Разрешено <cmdlet> следующее:The following are allowed as the <cmdlet>:

Действие конфигурацииConfiguration action Cmdlet PowerShellPowerShell cmdlet
Создание или переописывание спискаCreate or overwrite the list Set-MpPreference
Добавление в списокAdd to the list Add-MpPreference
Удаление элементов из спискаRemove items from the list Remove-MpPreference

Важно!

Если вы создали список, с помощью или с помощью Set-MpPreference Add-MpPreference cmdlet снова Set-MpPreference переопишет существующий список.If you have created a list, either with Set-MpPreference or Add-MpPreference, using the Set-MpPreference cmdlet again will overwrite the existing list.

Например, следующий фрагмент кода приведет к тому, что сканы av Microsoft Defender исключают любой файл, открытый указанным процессом:For example, the following code snippet would cause Microsoft Defender AV scans to exclude any file that is opened by the specified process:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Дополнительные сведения о том, как использовать PowerShell с антивирусом Microsoft Defender, см. в рублях Управление антивирусными программами с помощью cmdlets PowerShell и антивирусных программ Microsoft Defender.For more information on how to use PowerShell with Microsoft Defender Antivirus, see Manage antivirus with PowerShell cmdlets and Microsoft Defender Antivirus cmdlets.

Используйте инструкцию по управлению Windows (WMI), чтобы исключить из сканов файлы, открытые указанными процессами.Use Windows Management Instruction (WMI) to exclude files that have been opened by specified processes from scans

Используйте методы Set, Add и Remove MSFT_MpPreference класса для следующих свойств:Use the Set, Add, and Remove methods of the MSFT_MpPreference class for the following properties:

ExclusionProcess

Использование набора, добавления и удаления аналогично их аналогам в PowerShell: Set-MpPreference , и Add-MpPreference Remove-MpPreference .The use of Set, Add, and Remove is analogous to their counterparts in PowerShell: Set-MpPreference, Add-MpPreference, and Remove-MpPreference.

Дополнительные сведения и разрешенные параметры см. в Защитник Windows API WMIv2.For more information and allowed parameters, see Windows Defender WMIv2 APIs.

Используйте приложение Безопасности Windows, чтобы исключить файлы, открытые указанными процессами, из сканированийUse the Windows Security app to exclude files that have been opened by specified processes from scans

Дополнительные исключения см. в приложении Windows Security для инструкций.See Add exclusions in the Windows Security app for instructions.

Использование подкардов в списке исключений процессаUse wildcards in the process exclusion list

Использование подкардов в списке исключений процессов отличается от использования в других списках исключений.The use of wildcards in the process exclusion list is different from their use in other exclusion lists.

В частности, нельзя использовать знак вопроса () подкард, а подпольную звездочку () можно использовать только в конце ? * полного пути.In particular, you cannot use the question mark (?) wildcard, and the asterisk (*) wildcard can only be used at the end of a complete path. При определении элементов в списке исключений процесса можно использовать переменные среды (например) в качестве %ALLUSERSPROFILE% поддиальдов.You can still use environment variables (such as %ALLUSERSPROFILE%) as wildcards when defining items in the process exclusion list.

В следующей таблице описывается, как можно использовать подкарды в списке исключений процесса:The following table describes how the wildcards can be used in the process exclusion list:

Подстановочный знакWildcard Пример использованияExample use Примеры совпаденийExample matches
* (звездочка)* (asterisk)

Заменяет любое количество символовReplaces any number of characters
C:\MyData\* Любой файл, открытый C:\MyData\file.exeAny file opened by C:\MyData\file.exe
Переменные средыEnvironment variables

Заопределенная переменная заполняется как путь при оценке исключенияThe defined variable is populated as a path when the exclusion is evaluated
%ALLUSERSPROFILE%\CustomLogFiles\file.exe Любой файл, открытый C:\ProgramData\CustomLogFiles\file.exeAny file opened by C:\ProgramData\CustomLogFiles\file.exe

Просмотр списка исключенийReview the list of exclusions

Элементы из списка исключений можно получить с помощью MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intuneили приложения Windows Security.You can retrieve the items in the exclusion list with MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intune, or the Windows Security app.

Если вы используете PowerShell, вы можете получить список двумя способами:If you use PowerShell, you can retrieve the list in two ways:

  • Извлечение состояния всех антивирусных предпочтений Microsoft Defender.Retrieve the status of all Microsoft Defender Antivirus preferences. Каждый из списков будет отображаться по отдельным строкам, но элементы в каждом списке будут объединены в ту же строку.Each of the lists will be displayed on separate lines, but the items within each list will be combined into the same line.
  • Напишите состояние всех предпочтений переменной и используйте эту переменную для вызова только заинтересованного списка.Write the status of all preferences to a variable, and use that variable to only call the specific list you are interested in. Каждое использование Add-MpPreference записано на новую строку.Each use of Add-MpPreference is written to a new line.

Проверка списка исключений с помощью MpCmdRunValidate the exclusion list by using MpCmdRun

Чтобы проверить исключения с помощью выделенного средства командной строки mpcmdrun.exe, используйте следующую команду:To check exclusions with the dedicated command-line tool mpcmdrun.exe, use the following command:

MpCmdRun.exe -CheckExclusion -path <path>

Примечание

Проверка исключений с помощью MpCmdRun требует антивирусного лагеря Microsoft Defender версии 4.18.1812.3 (выпущена в декабре 2018 г.) или более поздней версии.Checking exclusions with MpCmdRun requires Microsoft Defender Antivirus CAMP version 4.18.1812.3 (released in December 2018) or later.

Просмотрите список исключений вместе со всеми другими антивирусными предпочтениями Microsoft Defender с помощью PowerShellReview the list of exclusions alongside all other Microsoft Defender Antivirus preferences by using PowerShell

Используйте следующий cmdlet:Use the following cmdlet:

Get-MpPreference

Дополнительные сведения об использовании PowerShell с антивирусной программой в Microsoft Defender см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты Defender.See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.

Извлечение определенного списка исключений с помощью PowerShellRetrieve a specific exclusions list by using PowerShell

Используйте следующий фрагмент кода (введите каждую строку в качестве отдельной команды); замените WDAVprefs любой меткой, которая будет называться переменной:Use the following code snippet (enter each line as a separate command); replace WDAVprefs with whatever label you want to name the variable:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Дополнительные сведения об использовании PowerShell с антивирусной программой в Microsoft Defender см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты Defender.See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.