تكوين الاستثناءات للملفات التي تفتحها العمليات

ينطبق على:

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل

يمكنك استبعاد الملفات التي يتم فتحها بواسطة عمليات معينة من عمليات فحص برنامج الحماية من الفيروسات Microsoft Defender. لاحظ أن هذه الأنواع من الاستثناءات مخصصة للملفات التي تفتحها العمليات وليس العمليات نفسها. لاستبعاد عملية، أضف استثناء ملف (راجع تكوين الاستثناءات والتحقق من صحتها استنادا إلى ملحق الملف وموقع المجلد).

راجع النقاط المهمة حول الاستثناءات وراجع المعلومات في إدارة الاستثناءات Microsoft Defender لنقطة النهاية Microsoft Defender مكافحة الفيروسات قبل تحديد قوائم الاستبعاد الخاصة بك.

توضح هذه المقالة كيفية تكوين قوائم الاستبعاد.

أمثلة على استثناءات العملية

الاستبعاد المثال
أي ملف على الجهاز يتم فتحه بواسطة أي عملية باسم ملف معين سيؤدي تحديد test.exe إلى استبعاد الملفات التي تم فتحها بواسطة:

c:\sample\test.exe

d:\internal\files\test.exe

أي ملف على الجهاز يتم فتحه بواسطة أي عملية ضمن مجلد معين سيؤدي تحديد c:\test\sample\* إلى استبعاد الملفات التي تم فتحها بواسطة:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

أي ملف على الجهاز يتم فتحه بواسطة عملية معينة في مجلد معين سيؤدي تحديد c:\test\process.exe إلى استبعاد الملفات التي تم فتحها فقط بواسطة c:\test\process.exe

عند إضافة عملية إلى قائمة استبعاد العملية، لن يقوم برنامج الحماية من الفيروسات Microsoft Defender بمسح الملفات التي تفتحها هذه العملية ضوئيا، بغض النظر عن مكان وجود الملفات. ومع ذلك، سيتم مسح العملية نفسها ضوئيا ما لم تتم إضافتها أيضا إلى قائمة استبعاد الملفات.

تنطبق الاستثناءات فقط على الحماية والمراقبة في الوقت الحقيقي دائما. لا تنطبق على عمليات الفحص المجدولة أو عند الطلب.

ستظهر التغييرات التي تم إجراؤها باستخدام نهج المجموعة على قوائم الاستبعاد في القوائم في تطبيق أمن Windows. ومع ذلك، لن تظهر التغييرات التي تم إجراؤها في تطبيق أمن Windows في قوائم نهج المجموعة.

يمكنك إضافة القوائم وإزالتها ومراجعتها للحصول على استثناءات في نهج المجموعة Microsoft Configuration Manager Microsoft Intune ومع تطبيق أمن Windows، ويمكنك استخدام أحرف البدل لتخصيص القوائم بشكل أكبر.

يمكنك أيضا استخدام PowerShell cmdlets وWMI لتكوين قوائم الاستبعاد، بما في ذلك مراجعة قوائمك.

بشكل افتراضي، يتم دمج التغييرات المحلية التي يتم إجراؤها على القوائم (بواسطة المستخدمين الذين لديهم امتيازات المسؤول؛ والتغييرات التي تم إجراؤها باستخدام PowerShell وWMI) مع القوائم كما هو محدد (وتوزيعها) بواسطة نهج المجموعة أو Configuration Manager أو Intune. تكون للقوائم نهج المجموعة الأسبقية إذا كانت هناك تعارضات.

يمكنك تكوين كيفية دمج قوائم الاستثناءات المعرفة محليا وعالميا للسماح للتغييرات المحلية بتجاوز إعدادات النشر المدارة.

ملاحظة

تتأثر قواعد حماية الشبكةوتقليل الأجزاء المعرضة للهجوم بشكل مباشر باستبعادات العملية على جميع الأنظمة الأساسية، ما يعني أن استبعاد العملية على أي نظام تشغيل (Windows أو MacOS أو Linux) سيؤدي إلى عدم تمكن Network Protection أو ASR من فحص نسبة استخدام الشبكة أو فرض قواعد لتلك العملية المحددة.

اسم الصورة مقابل المسار الكامل لاستبعادات العملية

يمكن تعيين نوعين مختلفين من استثناءات العملية. قد يتم استبعاد العملية بواسطة اسم الصورة، أو بواسطة المسار الكامل. اسم الصورة هو ببساطة اسم ملف العملية، دون المسار.

على سبيل المثال، بالنظر إلى العملية MyProcess.exe التي تعمل من C:\MyFolder\ المسار الكامل لهذه العملية سيكون C:\MyFolder\MyProcess.exe واسم الصورة هو MyProcess.exe.

استثناءات اسم الصورة أوسع بكثير - سيؤدي الاستبعاد على MyProcess.exe إلى استبعاد أي عمليات باسم الصورة هذا، بغض النظر عن المسار الذي يتم تشغيلها منه. لذلك على سبيل المثال، إذا تم استبعاد العملية MyProcess.exe بواسطة اسم الصورة، فسيتم استبعادها أيضا إذا تم تشغيلها من ، من C:\MyOtherFolderالوسائط القابلة للإزالة، وما إلى ذلك. على هذا النحو، يوصى باستخدام المسار الكامل كلما أمكن ذلك.

استخدام أحرف البدل في قائمة استبعاد العملية

يختلف استخدام أحرف البدل في قائمة استبعاد العملية عن استخدامها في قوائم الاستبعاد الأخرى. عندما يتم تعريف استبعاد العملية كاسم صورة فقط، لا يسمح باستخدام أحرف البدل. ومع ذلك، عند استخدام مسار كامل، يتم دعم أحرف البدل وسلوك حرف البدل كما هو موضح في استثناءات الملفات والمجلدات

يتم أيضا دعم استخدام متغيرات البيئة (مثل %ALLUSERSPROFILE%) كأحرف البدل عند تعريف العناصر في قائمة استبعاد العملية. يتم وصف التفاصيل وقائمة كاملة بمتغيرات البيئة المدعومة في استثناءات الملفات والمجلدات.

يصف الجدول التالي كيفية استخدام أحرف البدل في قائمة استبعاد العملية، عند توفير مسار:

بدل مثال على استخدام أمثلة على التطابقات
* (علامة نجمية)

يستبدل أي عدد من الأحرف.

C:\MyFolder\* أي ملف تم فتحه بواسطة C:\MyFolder\MyProcess.exe أو C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe أي ملف تم فتحه بواسطة C:\MyFolder1\MyFolder2\MyProcess.exe أو C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe أي ملف تم فتحه بواسطة C:\MyOtherFolder\MyFolder\MyProcess.exe أو C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (علامة استفهام)

يستبدل حرفا واحدا.

C:\MyFolder\MyProcess??.exe أي ملف تم فتحه بواسطة C:\MyFolder\MyProcess42.exe أو C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
متغيرات البيئة %ALLUSERSPROFILE%\MyFolder\MyProcess.exe أي ملف تم فتحه بواسطة C:\ProgramData\MyFolder\MyProcess.exe

استثناءات العملية السياقية

لاحظ أنه يمكن أيضا تعريف استبعاد العملية عبر استثناء سياقي يسمح على سبيل المثال باستبعاد ملف معين فقط إذا تم فتحه بواسطة عملية معينة.

تكوين قائمة الاستثناءات للملفات المفتوحة بواسطة عمليات محددة

استخدام Microsoft Intune لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص

لمزيد من المعلومات، راجع تكوين إعدادات تقييد الجهاز في Microsoft Intune وإعداداتتقييد جهاز مكافحة الفيروسات Microsoft Defender Windows 10 في Intune.

استخدام Microsoft Configuration Manager لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص

راجع كيفية إنشاء نهج مكافحة البرامج الضارة وتوزيعها: إعدادات الاستبعاد للحصول على تفاصيل حول تكوين Microsoft Configuration Manager (الفرع الحالي).

استخدام نهج المجموعة لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص

  1. على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة، وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه وانقر فوق تحرير.

  2. في المحرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وانقر فوق القوالب الإدارية.

  3. قم بتوسيع الشجرة إلى مكونات > Windows Microsoft Defender استثناءات مكافحة الفيروسات>.

  4. انقر نقرا مزدوجا فوق استثناءات العملية وأضف الاستثناءات:

    1. قم بتعيين الخيار إلى ممكن.
    2. ضمن المقطع خيارات ، انقر فوق إظهار....
    3. أدخل كل عملية على السطر الخاص بها ضمن عمود اسم القيمة . راجع جدول المثال للأنوان المختلفة لاستبعادات العملية. أدخل 0 في عمود القيمة لكافة العمليات.
  5. انقر فوق موافق.

استخدام PowerShell cmdlets لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص

يتطلب استخدام PowerShell لإضافة استثناءات للملفات التي تم فتحها بواسطة العمليات أو إزالتها استخدام مجموعة من ثلاثة أوامر cmdlets مع المعلمة -ExclusionProcess . كل أوامر cmdlets موجودة في الوحدة النمطية Defender.

تنسيق أوامر cmdlets هو:

<cmdlet> -ExclusionProcess "<item>"

يسمح بما يلي ك cmdlet<>:

إجراء التكوين PowerShell cmdlet
الإنشاء القائمة أو الكتابة فوقها Set-MpPreference
إضافة إلى القائمة Add-MpPreference
إزالة العناصر من القائمة Remove-MpPreference

هام

إذا قمت بإنشاء قائمة، إما باستخدام Set-MpPreference أو Add-MpPreference، فإن استخدام Set-MpPreference cmdlet مرة أخرى سيستبدل القائمة الموجودة.

على سبيل المثال، قد تتسبب القصاصة البرمجية التالية في استبعاد عمليات فحص برنامج الحماية من الفيروسات Microsoft Defender أي ملف يتم فتحه بواسطة العملية المحددة:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

لمزيد من المعلومات حول كيفية استخدام PowerShell مع برنامج الحماية من الفيروسات Microsoft Defender، راجع إدارة برنامج الحماية من الفيروسات باستخدام أوامر powerShell cmdlets و cmdlets Microsoft Defender Antivirus.

استخدام تعليمات إدارة Windows (WMI) لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص

استخدم أساليب تعيينوإضافةوإزالة لفئة MSFT_MpPreference للخصائص التالية:

ExclusionProcess

استخدام تعيينوإضافةوإزالة مشابه لنظرائهم في PowerShell: Set-MpPreferenceو Add-MpPreferenceو Remove-MpPreference.

لمزيد من المعلومات والمعلمات المسموح بها، راجع واجهات برمجة تطبيقات Windows Defender WMIv2.

استخدم تطبيق أمن Windows لاستبعاد الملفات التي تم فتحها بواسطة عمليات محددة من عمليات الفحص

اتبع الإرشادات الواردة في إضافة استثناءات في تطبيق أمن Windows.

مراجعة قائمة الاستثناءات

يمكنك استرداد العناصر الموجودة في قائمة الاستبعاد باستخدام MpCmdRun أو PowerShell أو Microsoft Configuration Managerأو Intune أو تطبيق أمن Windows.

إذا كنت تستخدم PowerShell، يمكنك استرداد القائمة بطريقتين:

  • استرداد حالة جميع تفضيلات برنامج الحماية من الفيروسات Microsoft Defender. يتم عرض كل قائمة على أسطر منفصلة، ولكن يتم دمج العناصر داخل كل قائمة في نفس السطر.
  • اكتب حالة جميع التفضيلات إلى متغير، واستخدم هذا المتغير لاستدعاء القائمة المحددة التي تهتم بها فقط. تتم كتابة كل استخدام من Add-MpPreference إلى سطر جديد.

التحقق من صحة قائمة الاستبعاد باستخدام MpCmdRun

للتحقق من الاستثناءات باستخدام أداة سطر الأوامر المخصصة mpcmdrun.exe، استخدم الأمر التالي:

MpCmdRun.exe -CheckExclusion -path <path>

ملاحظة

يتطلب التحقق من الاستثناءات باستخدام MpCmdRun Microsoft Defender Antivirus CAMP الإصدار 4.18.1812.3 (تم إصداره في ديسمبر 2018) أو إصدار أحدث.

راجع قائمة الاستثناءات جنبا إلى جنب مع جميع تفضيلات مكافحة الفيروسات Microsoft Defender الأخرى باستخدام PowerShell

استخدم cmdlet التالي:

Get-MpPreference

لمزيد من المعلومات حول كيفية استخدام PowerShell مع Microsoft Defender Antivirus، راجع استخدام أوامر PowerShell cmdlets لتكوين وتشغيل Microsoft Defender Antivirus و cmdlets Microsoft Defender Antivirus .

استرداد قائمة استثناءات معينة باستخدام PowerShell

استخدم القصاصة البرمجية التالية (أدخل كل سطر كأمر منفصل)؛ استبدل WDAVprefs بأي تسمية تريد تسمية المتغير:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

لمزيد من المعلومات حول كيفية استخدام PowerShell مع Microsoft Defender Antivirus، راجع استخدام أوامر PowerShell cmdlets لتكوين وتشغيل Microsoft Defender Antivirus و cmdlets Microsoft Defender Antivirus.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.