تكوين الاستثناءات للملفات التي تفتحها العمليات
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- برنامج الحماية من الفيروسات من Microsoft Defender
الأنظمة الأساسية
- بالنسبة لنظام التشغيل
يمكنك استبعاد الملفات التي يتم فتحها بواسطة عمليات معينة من عمليات فحص برنامج الحماية من الفيروسات Microsoft Defender. لاحظ أن هذه الأنواع من الاستثناءات مخصصة للملفات التي تفتحها العمليات وليس العمليات نفسها. لاستبعاد عملية، أضف استثناء ملف (راجع تكوين الاستثناءات والتحقق من صحتها استنادا إلى ملحق الملف وموقع المجلد).
راجع النقاط المهمة حول الاستثناءات وراجع المعلومات في إدارة الاستثناءات Microsoft Defender لنقطة النهاية Microsoft Defender مكافحة الفيروسات قبل تحديد قوائم الاستبعاد الخاصة بك.
توضح هذه المقالة كيفية تكوين قوائم الاستبعاد.
أمثلة على استثناءات العملية
الاستبعاد | المثال |
---|---|
أي ملف على الجهاز يتم فتحه بواسطة أي عملية باسم ملف معين | سيؤدي تحديد test.exe إلى استبعاد الملفات التي تم فتحها بواسطة:
|
أي ملف على الجهاز يتم فتحه بواسطة أي عملية ضمن مجلد معين | سيؤدي تحديد c:\test\sample\* إلى استبعاد الملفات التي تم فتحها بواسطة: |
أي ملف على الجهاز يتم فتحه بواسطة عملية معينة في مجلد معين | سيؤدي تحديد c:\test\process.exe إلى استبعاد الملفات التي تم فتحها فقط بواسطة c:\test\process.exe |
عند إضافة عملية إلى قائمة استبعاد العملية، لن يقوم برنامج الحماية من الفيروسات Microsoft Defender بمسح الملفات التي تفتحها هذه العملية ضوئيا، بغض النظر عن مكان وجود الملفات. ومع ذلك، سيتم مسح العملية نفسها ضوئيا ما لم تتم إضافتها أيضا إلى قائمة استبعاد الملفات.
تنطبق الاستثناءات فقط على الحماية والمراقبة في الوقت الحقيقي دائما. لا تنطبق على عمليات الفحص المجدولة أو عند الطلب.
ستظهر التغييرات التي تم إجراؤها باستخدام نهج المجموعة على قوائم الاستبعاد في القوائم في تطبيق أمن Windows. ومع ذلك، لن تظهر التغييرات التي تم إجراؤها في تطبيق أمن Windows في قوائم نهج المجموعة.
يمكنك إضافة القوائم وإزالتها ومراجعتها للحصول على استثناءات في نهج المجموعة Microsoft Configuration Manager Microsoft Intune ومع تطبيق أمن Windows، ويمكنك استخدام أحرف البدل لتخصيص القوائم بشكل أكبر.
يمكنك أيضا استخدام PowerShell cmdlets وWMI لتكوين قوائم الاستبعاد، بما في ذلك مراجعة قوائمك.
بشكل افتراضي، يتم دمج التغييرات المحلية التي يتم إجراؤها على القوائم (بواسطة المستخدمين الذين لديهم امتيازات المسؤول؛ والتغييرات التي تم إجراؤها باستخدام PowerShell وWMI) مع القوائم كما هو محدد (وتوزيعها) بواسطة نهج المجموعة أو Configuration Manager أو Intune. تكون للقوائم نهج المجموعة الأسبقية إذا كانت هناك تعارضات.
يمكنك تكوين كيفية دمج قوائم الاستثناءات المعرفة محليا وعالميا للسماح للتغييرات المحلية بتجاوز إعدادات النشر المدارة.
ملاحظة
تتأثر قواعد حماية الشبكةوتقليل الأجزاء المعرضة للهجوم بشكل مباشر باستبعادات العملية على جميع الأنظمة الأساسية، ما يعني أن استبعاد العملية على أي نظام تشغيل (Windows أو MacOS أو Linux) سيؤدي إلى عدم تمكن Network Protection أو ASR من فحص نسبة استخدام الشبكة أو فرض قواعد لتلك العملية المحددة.
اسم الصورة مقابل المسار الكامل لاستبعادات العملية
يمكن تعيين نوعين مختلفين من استثناءات العملية. قد يتم استبعاد العملية بواسطة اسم الصورة، أو بواسطة المسار الكامل. اسم الصورة هو ببساطة اسم ملف العملية، دون المسار.
على سبيل المثال، بالنظر إلى العملية MyProcess.exe
التي تعمل من C:\MyFolder\
المسار الكامل لهذه العملية سيكون C:\MyFolder\MyProcess.exe
واسم الصورة هو MyProcess.exe
.
استثناءات اسم الصورة أوسع بكثير - سيؤدي الاستبعاد على MyProcess.exe
إلى استبعاد أي عمليات باسم الصورة هذا، بغض النظر عن المسار الذي يتم تشغيلها منه. لذلك على سبيل المثال، إذا تم استبعاد العملية MyProcess.exe
بواسطة اسم الصورة، فسيتم استبعادها أيضا إذا تم تشغيلها من ، من C:\MyOtherFolder
الوسائط القابلة للإزالة، وما إلى ذلك. على هذا النحو، يوصى باستخدام المسار الكامل كلما أمكن ذلك.
استخدام أحرف البدل في قائمة استبعاد العملية
يختلف استخدام أحرف البدل في قائمة استبعاد العملية عن استخدامها في قوائم الاستبعاد الأخرى. عندما يتم تعريف استبعاد العملية كاسم صورة فقط، لا يسمح باستخدام أحرف البدل. ومع ذلك، عند استخدام مسار كامل، يتم دعم أحرف البدل وسلوك حرف البدل كما هو موضح في استثناءات الملفات والمجلدات
يتم أيضا دعم استخدام متغيرات البيئة (مثل %ALLUSERSPROFILE%
) كأحرف البدل عند تعريف العناصر في قائمة استبعاد العملية. يتم وصف التفاصيل وقائمة كاملة بمتغيرات البيئة المدعومة في استثناءات الملفات والمجلدات.
يصف الجدول التالي كيفية استخدام أحرف البدل في قائمة استبعاد العملية، عند توفير مسار:
بدل | مثال على استخدام | أمثلة على التطابقات |
---|---|---|
* (علامة نجمية)يستبدل أي عدد من الأحرف. |
C:\MyFolder\* |
أي ملف تم فتحه بواسطة C:\MyFolder\MyProcess.exe أو C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
أي ملف تم فتحه بواسطة C:\MyFolder1\MyFolder2\MyProcess.exe أو C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
أي ملف تم فتحه بواسطة C:\MyOtherFolder\MyFolder\MyProcess.exe أو C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (علامة استفهام) يستبدل حرفا واحدا. |
C:\MyFolder\MyProcess??.exe |
أي ملف تم فتحه بواسطة C:\MyFolder\MyProcess42.exe أو C:\MyFolder\MyProcessAA.exe C:\MyFolder\MyProcessF5.exe |
متغيرات البيئة | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
أي ملف تم فتحه بواسطة C:\ProgramData\MyFolder\MyProcess.exe |
استثناءات العملية السياقية
لاحظ أنه يمكن أيضا تعريف استبعاد العملية عبر استثناء سياقي يسمح على سبيل المثال باستبعاد ملف معين فقط إذا تم فتحه بواسطة عملية معينة.
تكوين قائمة الاستثناءات للملفات المفتوحة بواسطة عمليات محددة
استخدام Microsoft Intune لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص
لمزيد من المعلومات، راجع تكوين إعدادات تقييد الجهاز في Microsoft Intune وإعداداتتقييد جهاز مكافحة الفيروسات Microsoft Defender Windows 10 في Intune.
استخدام Microsoft Configuration Manager لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص
راجع كيفية إنشاء نهج مكافحة البرامج الضارة وتوزيعها: إعدادات الاستبعاد للحصول على تفاصيل حول تكوين Microsoft Configuration Manager (الفرع الحالي).
استخدام نهج المجموعة لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص
على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة، وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه وانقر فوق تحرير.
في المحرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وانقر فوق القوالب الإدارية.
قم بتوسيع الشجرة إلى مكونات > Windows Microsoft Defender استثناءات مكافحة الفيروسات>.
انقر نقرا مزدوجا فوق استثناءات العملية وأضف الاستثناءات:
- قم بتعيين الخيار إلى ممكن.
- ضمن المقطع خيارات ، انقر فوق إظهار....
- أدخل كل عملية على السطر الخاص بها ضمن عمود اسم القيمة . راجع جدول المثال للأنوان المختلفة لاستبعادات العملية. أدخل 0 في عمود القيمة لكافة العمليات.
انقر فوق موافق.
استخدام PowerShell cmdlets لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص
يتطلب استخدام PowerShell لإضافة استثناءات للملفات التي تم فتحها بواسطة العمليات أو إزالتها استخدام مجموعة من ثلاثة أوامر cmdlets مع المعلمة -ExclusionProcess
. كل أوامر cmdlets موجودة في الوحدة النمطية Defender.
تنسيق أوامر cmdlets هو:
<cmdlet> -ExclusionProcess "<item>"
يسمح بما يلي ك cmdlet<>:
إجراء التكوين | PowerShell cmdlet |
---|---|
الإنشاء القائمة أو الكتابة فوقها | Set-MpPreference |
إضافة إلى القائمة | Add-MpPreference |
إزالة العناصر من القائمة | Remove-MpPreference |
هام
إذا قمت بإنشاء قائمة، إما باستخدام Set-MpPreference
أو Add-MpPreference
، فإن استخدام Set-MpPreference
cmdlet مرة أخرى سيستبدل القائمة الموجودة.
على سبيل المثال، قد تتسبب القصاصة البرمجية التالية في استبعاد عمليات فحص برنامج الحماية من الفيروسات Microsoft Defender أي ملف يتم فتحه بواسطة العملية المحددة:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
لمزيد من المعلومات حول كيفية استخدام PowerShell مع برنامج الحماية من الفيروسات Microsoft Defender، راجع إدارة برنامج الحماية من الفيروسات باستخدام أوامر powerShell cmdlets و cmdlets Microsoft Defender Antivirus.
استخدام تعليمات إدارة Windows (WMI) لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص
استخدم أساليب تعيينوإضافةوإزالة لفئة MSFT_MpPreference للخصائص التالية:
ExclusionProcess
استخدام تعيينوإضافةوإزالة مشابه لنظرائهم في PowerShell: Set-MpPreference
و Add-MpPreference
و Remove-MpPreference
.
لمزيد من المعلومات والمعلمات المسموح بها، راجع واجهات برمجة تطبيقات Windows Defender WMIv2.
استخدم تطبيق أمن Windows لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص
اتبع الإرشادات الواردة في إضافة استثناءات في تطبيق أمن Windows.
مراجعة قائمة الاستثناءات
يمكنك استرداد العناصر الموجودة في قائمة الاستبعاد باستخدام MpCmdRun أو PowerShell أو Microsoft Configuration Managerأو Intune أو تطبيق أمن Windows.
إذا كنت تستخدم PowerShell، يمكنك استرداد القائمة بطريقتين:
- استرداد حالة جميع تفضيلات برنامج الحماية من الفيروسات Microsoft Defender. يتم عرض كل قائمة على أسطر منفصلة، ولكن يتم دمج العناصر داخل كل قائمة في نفس السطر.
- اكتب حالة جميع التفضيلات إلى متغير، واستخدم هذا المتغير لاستدعاء القائمة المحددة التي تهتم بها فقط. تتم كتابة كل استخدام من
Add-MpPreference
إلى سطر جديد.
التحقق من صحة قائمة الاستبعاد باستخدام MpCmdRun
للتحقق من الاستثناءات باستخدام أداة سطر الأوامر المخصصة mpcmdrun.exe، استخدم الأمر التالي:
MpCmdRun.exe -CheckExclusion -path <path>
ملاحظة
يتطلب التحقق من الاستثناءات باستخدام MpCmdRun Microsoft Defender Antivirus CAMP الإصدار 4.18.1812.3 (تم إصداره في ديسمبر 2018) أو إصدار أحدث.
راجع قائمة الاستثناءات جنبا إلى جنب مع جميع تفضيلات مكافحة الفيروسات Microsoft Defender الأخرى باستخدام PowerShell
استخدم cmdlet التالي:
Get-MpPreference
لمزيد من المعلومات حول كيفية استخدام PowerShell مع Microsoft Defender Antivirus، راجع استخدام أوامر PowerShell cmdlets لتكوين وتشغيل Microsoft Defender Antivirus و cmdlets Microsoft Defender Antivirus .
استرداد قائمة استثناءات معينة باستخدام PowerShell
استخدم القصاصة البرمجية التالية (أدخل كل سطر كأمر منفصل)؛ استبدل WDAVprefs بأي تسمية تريد تسمية المتغير:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
لمزيد من المعلومات حول كيفية استخدام PowerShell مع Microsoft Defender Antivirus، راجع استخدام أوامر PowerShell cmdlets لتكوين وتشغيل Microsoft Defender Antivirus و cmdlets Microsoft Defender Antivirus.
تلميح
إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:
- تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
- Microsoft Defender for Endpoint على Mac
- إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
- تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
- مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
- تكوين Defender for Endpoint على ميزات Android
- تكوين Microsoft Defender for Endpoint على ميزات iOS
المقالات ذات الصلة
- تكوين الاستثناءات والتحقق من صحتها في عمليات فحص برنامج الحماية من الفيروسات Microsoft Defender
- تكوين الاستثناءات والتحقق من صحتها استنادا إلى اسم الملف والملحق وموقع المجلد
- تكوين استثناءات برنامج الحماية من الفيروسات Microsoft Defender على Windows Server
- الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات
- تخصيص نتائج عمليات الفحص والمعالجة Microsoft Defender مكافحة الفيروسات وبدءها ومراجعتها
- برنامج الحماية من الفيروسات Microsoft Defender في Windows 10
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ