設定由進程開啟之檔案的排除專案
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender 防毒軟體
平台
- Windows
您可以從防病毒軟體掃描 Microsoft Defender 排除特定進程所開啟的檔案。 請注意,這些類型的排除範圍適用於由進程開啟的檔案,而不是進程本身。 若要排除進程,請新增檔案排除 (請參閱 根據擴展名和資料夾位置) 來設定和驗證排除 專案。
請參閱有關排除的要點,並在定義排除清單之前,檢閱管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除項目中的資訊。
本文說明如何設定排除清單。
程式排除的範例
| 排除 | 範例 |
|---|---|
| 計算機上任何由具有特定檔名之進程開啟的檔案 | test.exe指定 會排除由下列方式開啟的檔案:
|
| 計算機上任何進程在特定資料夾下開啟的檔案 | c:\test\sample\*指定 會排除由下列方式開啟的檔案: |
| 計算機上特定進程在特定資料夾中開啟的任何檔案 | c:\test\process.exe指定會排除只開啟的檔案c:\test\process.exe |
當您將進程新增至進程排除清單時,Microsoft Defender 防病毒軟體不會掃描該進程所開啟的檔案,不論檔案位於何處。 不過,除非程式本身也已新增至 檔案排除清單,否則會進行掃描。
排除範圍僅適用於 一律開啟的即時保護和監視。 它們不適用於排程或隨選掃描。
使用 群組原則 對排除清單所做的變更將會顯示在 Windows 安全性 應用程式的清單中。 不過,Windows 安全性 應用程式中所做的變更不會顯示在 群組原則 清單中。
您可以在 群組原則、Microsoft Configuration Manager、Microsoft Intune 和 Windows 安全性 應用程式中新增、移除和檢閱清單,並使用通配符進一步自定義清單。
您也可以使用PowerShell Cmdlet和 WMI 來設定排除清單,包括檢閱您的清單。
根據預設,系統管理員許可權的使用者會 (對清單進行本機變更;使用 PowerShell 和 WMI) 所做的變更會與列表合併,如 (所定義,並由 群組原則、Configuration Manager 或 Intune 部署) 。 如果發生衝突,群組原則 清單會優先。
您可以 設定如何合併本機和全域定義的排除清單 ,以允許本機變更覆寫受控部署設定。
注意事項
網路保護 和 受攻擊面縮小規則 會直接受到所有平臺上的進程排除影響,這表示任何OS (Windows、MacOS、Linux) 上的進程排除會導致網路保護或 ASR 無法檢查流量或強制執行該特定程式的規則。
影像名稱與進程排除專案的完整路徑
可能會設定兩種不同類型的進程排除專案。 進程可由映像名稱或完整路徑排除。 映射名稱只是進程的檔名,沒有路徑。
例如,假設從C:\MyFolder\此行程的完整路徑執行的進程MyProcess.exe會是 C:\MyFolder\MyProcess.exe ,且映像名稱為 MyProcess.exe。
影像名稱排除範圍更為廣泛 - 排除 MyProcess.exe 範圍會排除具有此映像名稱的任何進程,而不論其執行來源的路徑為何。 例如,如果進程 MyProcess.exe 由映像名稱排除,則從 卸除式媒體等中執行時 C:\MyOtherFolder,也會將其排除。 因此,建議盡可能使用完整路徑。
在進程排除清單中使用通配符
在進程排除清單中使用通配符的方式與其他排除清單中的使用方式不同。 當進程排除定義為僅限映像名稱時,不允許使用通配符。 不過,使用完整路徑時,支援通配符,而且通配符行為會如檔案和資料夾排除中所述
也支援在程式排除清單中定義專案時,使用環境變數 (例如 %ALLUSERSPROFILE%) 通配符。 支援的環境變數詳細數據和完整清單會在 檔案和資料夾排除中說明。
下表描述提供路徑時,如何在進程排除清單中使用通配符:
| 萬用字元 | 範例使用 | 範例相符專案 |
|---|---|---|
* (星號) 取代任意數目的字元。 |
C:\MyFolder\* |
由或 開啟 C:\MyFolder\MyProcess.exe 的任何檔案 C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
由或 開啟 C:\MyFolder1\MyFolder2\MyProcess.exe 的任何檔案 C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
由或 開啟 C:\MyOtherFolder\MyFolder\MyProcess.exe 的任何檔案 C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (問號) 取代一個字元。 |
C:\MyFolder\MyProcess??.exe |
由或 或 C:\MyFolder\MyProcessAA.exe 開啟C:\MyFolder\MyProcess42.exe的任何檔案C:\MyFolder\MyProcessF5.exe |
| 環境變數 | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
開啟的任何檔案 C:\ProgramData\MyFolder\MyProcess.exe |
關係型進程排除專案
請注意,進程排除也可透過 內容排除 來定義,例如,只有當特定進程開啟特定檔案時,才會排除該檔案。
設定由指定進程開啟之檔案的排除清單
使用 Microsoft Intune 從掃描中排除由指定進程開啟的檔案
如需詳細資訊,請參閱在 Microsoft Intune 中設定裝置限制設定,以及在 Intune 中 Windows 10 Microsoft Defender 防病毒軟體裝置限制設定。
使用 Microsoft Configuration Manager 從掃描中排除由指定進程開啟的檔案
如需設定最新分支) Microsoft Configuration Manager (詳細資訊,請參閱如何建立和部署反惡意代碼原則:排除設定。
使用 群組原則 從掃描中排除由指定進程開啟的檔案
在您的 群組原則 管理計算機上,開啟 群組原則 管理控制台,以滑鼠右鍵按下您要設定的 群組原則 對象,然後按兩下 [編輯]。
在 [群組原則管理編輯器] 中,移至 [電腦設定],然後按一下 [系統管理範本]。
將樹狀結構展開至 Windows 元件 > Microsoft Defender 防病毒軟體>排除專案。
按兩下 [處理排除範圍] ,然後新增排除專案:
- 將選項設定為 [已啟用]。
- 在 [ 選項] 區段下,按兩下 [顯示...]。
- 在 [ 值名稱 ] 資料行底下,自行輸入每個進程。 如需不同類型的進程排除專案,請參閱範例數據表。 在所有進程的 [值] 資料行中輸入 0。
按一下確定。
使用 PowerShell Cmdlet 將指定進程所開啟的檔案從掃描中排除
若要使用PowerShell來新增或移除已由進程開啟之檔案的排除專案,則需要使用三個 Cmdlet 與 -ExclusionProcess 參數的組合。 Cmdlet 全都在 Defender 模組中。
Cmdlet 的格式為:
<cmdlet> -ExclusionProcess "<item>"
Cmdlet 允許 <下列專案>:
| 設定動作 | PowerShell Cmdlet |
|---|---|
| Create 或覆寫清單 | Set-MpPreference |
| 將 新增至清單 | Add-MpPreference |
| 從清單中移除專案 | Remove-MpPreference |
重要事項
如果您已使用 或 Add-MpPreference建立清單,Set-MpPreference再次使用 Set-MpPreference Cmdlet 將會覆寫現有的清單。
例如,下列代碼段會導致 Microsoft Defender 防病毒軟體掃描排除指定進程開啟的任何檔案:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
如需如何搭配使用PowerShell與 Microsoft Defender 防病毒軟體的詳細資訊,請參閱使用PowerShell Cmdlet管理防病毒軟體和 Microsoft Defender 防病毒軟體 Cmdlet。
使用 Windows 管理指示 (WMI) ,從掃描中排除由指定進程開啟的檔案
針對下列屬性,使用 MSFT_MpPreference 類別的 Set、Add 和 Remove 方法:
ExclusionProcess
使用 Set、Add 與 Remove 類似於其在 PowerShell 中的對應專案:Set-MpPreference、 Add-MpPreference和 Remove-MpPreference。
如需詳細資訊和允許的參數,請參閱 Windows Defender WMIv2 API。
使用 Windows 安全性 應用程式從掃描中排除由指定進程開啟的檔案
請遵循在 Windows 安全性 應用程式中新增排除專案的指示。
檢閱排除清單
您可以使用 MpCmdRun、PowerShell、Microsoft Configuration Manager、Intune 或 Windows 安全性 應用程式來擷取排除清單中的專案。
如果您使用PowerShell,可以透過兩種方式擷取清單:
- 擷取所有 Microsoft Defender 防病毒軟體喜好設定的狀態。 每個清單會顯示在不同的行上,但每個清單內的項目會合併成同一行。
- 將所有喜好設定的狀態寫入變數,並使用該變數只呼叫您感興趣的特定清單。 的每次使用
Add-MpPreference都會寫入新行。
使用 MpCmdRun 驗證排除清單
若要使用專用 的命令行工具 mpcmdrun.exe來檢查排除專案,請使用下列命令:
MpCmdRun.exe -CheckExclusion -path <path>
注意事項
使用 MpCmdRun 檢查排除專案需要 Microsoft Defender 2018 年 12 月) 日或更新版本發行的防病毒軟體 CAMP 4.18.1812.3 (版。
使用 PowerShell 檢閱排除清單以及所有其他 Microsoft Defender 防病毒軟體喜好設定
使用下列 Cmdlet:
Get-MpPreference
如需如何搭配使用PowerShell與 Microsoft Defender防病毒軟體的詳細資訊,請參閱使用PowerShell Cmdlet 來設定及執行 Microsoft Defender 防病毒軟體和 Microsoft Defender 防病毒軟體 Cmdlet。
使用 PowerShell 擷取特定排除清單
使用下列代碼段 (將每一行輸入為個別的命令) ;將 WDAVprefs 取代為您想要命名變數的任何標籤:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
如需如何搭配使用PowerShell與 Microsoft Defender防病毒軟體的詳細資訊,請參閱使用PowerShell Cmdlet 來設定及執行 Microsoft Defender 防病毒軟體和 Microsoft Defender 防病毒軟體 Cmdlet。
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
相關文章
- 設定及驗證 Microsoft Defender 防病毒軟體掃描中的排除專案
- 根據檔名、擴展名和資料夾位置來設定和驗證排除專案
- 在 Windows Server 上設定 Microsoft Defender 防病毒軟體排除專案
- 定義排除時應避免的常見錯誤
- 自定義、起始及檢閱 Microsoft Defender 防病毒軟體掃描和補救的結果
- Windows 10 中的 Microsoft Defender 防毒軟體
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應