Sdílet prostřednictvím


Konfigurace vyloučení pro soubory otevřené procesy

Platí pro:

Platformy

  • Windows

Soubory, které jsou otevřeny určitými procesy, můžete vyloučit z Microsoft Defender antivirové kontroly. Všimněte si, že tyto typy vyloučení se vztahují na soubory, které jsou otevřeny procesy, a ne samotné procesy. Pokud chcete vyloučit proces, přidejte vyloučení souborů (viz Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky).

Před definováním seznamů vyloučení si projděte důležité body týkající se vyloučení a přečtěte si informace v tématu Správa vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Tento článek popisuje, jak nakonfigurovat seznamy vyloučení.

Příklady vyloučení procesů

Vyloučení Příklad
Libovolný soubor na počítači, který je otevřen libovolným procesem s konkrétním názvem souboru test.exe Zadáním by se vyloučily soubory otevřené pomocí:

c:\sample\test.exe

d:\internal\files\test.exe

Libovolný soubor na počítači, který je otevřen libovolným procesem v konkrétní složce c:\test\sample\* Zadáním by se vyloučily soubory otevřené pomocí:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Libovolný soubor v počítači, který je otevřen určitým procesem v konkrétní složce Zadáním by se c:\test\process.exe vyloučily pouze soubory otevřené c:\test\process.exe

Když přidáte proces do seznamu vyloučení procesů, Microsoft Defender Antivirus nebude kontrolovat soubory otevřené tímto procesem bez ohledu na to, kde se soubory nacházejí. Samotný proces se ale zkontroluje, pokud nebyl také přidán do seznamu vyloučení souborů.

Vyloučení se vztahují pouze na nepřetržitou ochranu a monitorování v reálném čase. Nevztahují se na naplánované kontroly nebo kontroly na vyžádání.

Změny provedené pomocí Zásady skupiny seznamů vyloučení se zobrazí v seznamech v aplikaci Zabezpečení Windows. Změny provedené v aplikaci Zabezpečení Windows se ale v seznamech Zásady skupiny nezobrazí.

Seznamy můžete přidávat, odebírat a kontrolovat vyloučení v Zásady skupiny, Microsoft Configuration Manager, Microsoft Intune a pomocí aplikace Zabezpečení Windows. Seznamy můžete dále přizpůsobit pomocí zástupných znaků.

Ke konfiguraci seznamů vyloučení, včetně kontroly seznamů, můžete použít rutiny PowerShellu a rozhraní WMI.

Ve výchozím nastavení se místní změny provedené v seznamech (uživateli s oprávněními správce; změny provedené pomocí PowerShellu a rozhraní WMI) sloučí se seznamy tak, jak jsou definovány (a nasazeny) pomocí Zásady skupiny, Configuration Manager nebo Intune. Seznamy Zásady skupiny mají přednost v případě konfliktů.

Můžete nakonfigurovat, jak se místně a globálně definované seznamy vyloučení slučují , aby místní změny přepsaly nastavení spravovaného nasazení.

Poznámka

Pravidla ochrany sítě a omezení potenciální oblasti útoku jsou přímo ovlivněna vyloučeními procesů na všech platformách, což znamená, že vyloučení procesů v jakémkoli operačním systému (Windows, MacOS, Linux) způsobí, že network Protection nebo ASR nebudou moct kontrolovat provoz nebo vynucovat pravidla pro daný konkrétní proces.

Název image vs úplná cesta pro vyloučení procesů

Je možné nastavit dva různé typy vyloučení procesů. Proces může být vyloučený podle názvu image nebo úplné cesty. Název image je jednoduše název souboru procesu bez cesty.

Například vzhledem k tomu, že proces MyProcess.exe spuštěný z C:\MyFolder\ úplné cesty k tomuto procesu bude C:\MyFolder\MyProcess.exe a název image je MyProcess.exe.

Vyloučení názvů imagí jsou mnohem širší – vyloučení na vyloučí všechny procesy s tímto názvem image bez ohledu na MyProcess.exe cestu, ze které se spouští. Pokud je například proces MyProcess.exe vyloučený podle názvu image, bude vyloučen také, pokud je spuštěn z C:\MyOtherFolder, z vyměnitelného média atd. Proto se doporučuje, aby se vždy, když je to možné, použila úplná cesta.

Použití zástupných znaků v seznamu vyloučení procesů

Použití zástupných znaků v seznamu vyloučení procesů se liší od jejich použití v jiných seznamech vyloučení. Pokud je vyloučení procesu definováno pouze jako název obrázku, není použití zástupných znaků povoleno. Pokud se ale použije úplná cesta, zástupné cardy se podporují a chování zástupných znaků se chová podle popisu v tématu Vyloučení souborů a složek.

Podporuje se také použití proměnných prostředí (například %ALLUSERSPROFILE%) jako zástupných znaků při definování položek v seznamu vyloučení procesů. Podrobnosti a úplný seznam podporovaných proměnných prostředí jsou popsané v tématu Vyloučení souborů a složek.

Následující tabulka popisuje použití zástupných znaků v seznamu vyloučení procesů při zadání cesty:

Zástupný znak Příklad použití Příklady shod
* (hvězdička)

Nahradí libovolný počet znaků.

C:\MyFolder\* Libovolný soubor otevřený uživatelem C:\MyFolder\MyProcess.exe nebo C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Libovolný soubor otevřený uživatelem C:\MyFolder1\MyFolder2\MyProcess.exe nebo C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Libovolný soubor otevřený uživatelem C:\MyOtherFolder\MyFolder\MyProcess.exe nebo C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (otazník)

Nahradí jeden znak.

C:\MyFolder\MyProcess??.exe Všechny soubory otevřené uživatelem C:\MyFolder\MyProcess42.exe nebo C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Proměnné prostředí %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Libovolný soubor otevřený uživatelem C:\ProgramData\MyFolder\MyProcess.exe

Vyloučení kontextových procesů

Upozorňujeme, že vyloučení procesu může být také definováno prostřednictvím kontextového vyloučení , které například umožňuje vyloučit konkrétní soubor pouze v případě, že je otevřen určitým procesem.

Konfigurace seznamu vyloučení pro soubory otevřené zadanými procesy

Použití Microsoft Intune k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol

Další informace najdete v tématu Konfigurace nastavení omezení zařízení v Microsoft Intune a Microsoft Defender Nastavení omezení zařízení antivirové ochrany pro Windows 10 v Intune.

Použití Microsoft Configuration Manager k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol

Podrobnosti o konfiguraci Microsoft Configuration Manager (aktuální větev) najdete v tématu Vytvoření a nasazení antimalwarových zásad: Nastavení vyloučení.

Použití Zásady skupiny k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol

  1. Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a klikněte na Upravit.

  2. V Editor správa Zásady skupiny přejděte na Konfigurace počítače a klikněte na Šablony pro správu.

  3. Rozbalte strom na součásti systému > Windows Microsoft Defender vyloučení antivirové ochrany>.

  4. Poklikejte na Vyloučení procesu a přidejte vyloučení:

    1. Nastavte možnost na Povoleno.
    2. V části Možnosti klikněte na Zobrazit....
    3. Do sloupce Název hodnoty zadejte každý proces na samostatném řádku. Různé typy vyloučení procesů najdete v ukázkové tabulce. Zadejte 0 do sloupce Hodnota pro všechny procesy.
  5. Klikněte na OK.

Použití rutin PowerShellu k vyloučení souborů, které byly otevřeny zadanými procesy, z kontrol

Použití PowerShellu k přidání nebo odebrání vyloučení pro soubory, které byly otevřeny procesy, vyžaduje použití kombinace tří rutin s parametrem -ExclusionProcess . Všechny rutiny jsou v modulu Defender.

Formát rutin je:

<cmdlet> -ExclusionProcess "<item>"

Jako rutina <jsou povolené následující:>

Akce konfigurace Rutina PowerShellu
Vytvoření nebo přepsání seznamu Set-MpPreference
Přidat do seznamu Add-MpPreference
Odebrání položek ze seznamu Remove-MpPreference

Důležité

Pokud jste vytvořili seznam, buď pomocí Set-MpPreference nebo Add-MpPreference, pomocí rutiny Set-MpPreference znovu přepíšete existující seznam.

Například následující fragment kódu způsobí, že Microsoft Defender antivirové kontroly vyloučí všechny soubory otevřené zadaným procesem:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Další informace o tom, jak používat PowerShell s Microsoft Defender Antivirus, najdete v tématu Správa antivirového softwaru pomocí rutin PowerShellu a rutin Microsoft Defender Antivirus.

Použití WMI (Windows Management Instruction) k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol

Metody Set, Add a Removetřídy MSFT_MpPreference použijte pro následující vlastnosti:

ExclusionProcess

Použití možností Nastavit, Přidat a Odebrat je podobné jejich protějškům v PowerShellu: Set-MpPreference, Add-MpPreference, a Remove-MpPreference.

Další informace a povolené parametry najdete v tématu Rozhraní API WMIv2 v programu Windows Defender.

Použití aplikace Zabezpečení Windows k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol

Postupujte podle pokynů v tématu Přidání vyloučení v aplikaci Zabezpečení Windows.

Kontrola seznamu vyloučení

Položky v seznamu vyloučení můžete načíst pomocí MpCmdRun, PowerShellu, Microsoft Configuration Manager, Intune nebo aplikace Zabezpečení Windows.

Pokud používáte PowerShell, můžete seznam načíst dvěma způsoby:

  • Načte stav všech předvoleb antivirové ochrany Microsoft Defender. Každý ze seznamů se zobrazuje na samostatných řádcích, ale položky v každém seznamu jsou sloučeny do stejného řádku.
  • Napište stav všech předvoleb do proměnné a použijte ji k volání jenom konkrétního seznamu, který vás zajímá. Každé použití je Add-MpPreference zapsáno na nový řádek.

Ověření seznamu vyloučení pomocí MpCmdRun

Pokud chcete zkontrolovat vyloučení pomocí vyhrazeného nástroje příkazového řádku mpcmdrun.exe, použijte následující příkaz:

MpCmdRun.exe -CheckExclusion -path <path>

Poznámka

Kontrola vyloučení pomocí MpCmdRun vyžaduje Microsoft Defender Antivirus CAMP verze 4.18.1812.3 (vydaná v prosinci 2018) nebo novější.

Zkontrolujte seznam vyloučení spolu se všemi ostatními předvolbami Microsoft Defender Antivirové ochrany pomocí PowerShellu.

Použijte následující rutinu:

Get-MpPreference

Další informace o používání PowerShellu s Microsoft Defender Antivirus najdete v tématu Použití rutin PowerShellu ke konfiguraci a spuštění rutin Microsoft Defender Antivirus a Microsoft Defender Antivirus .

Načtení konkrétního seznamu vyloučení pomocí PowerShellu

Použijte následující fragment kódu (zadejte každý řádek jako samostatný příkaz); nahraďte WDAVprefs libovolným popiskem, který chcete pojmenovat proměnnou:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Další informace o používání PowerShellu s Microsoft Defender Antivirus najdete v tématu Použití rutin PowerShellu ke konfiguraci a spouštění rutin Microsoft Defender Antivirus a Microsoft Defender Antivirus.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.