Compartir a través de

Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta

  • Se aplica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Puede definir exclusiones para Microsoft Defender Antivirus que se aplican a exámenes programados, exámenes a petición y protección y supervisión en tiempo real siempre activados. Por lo general, no es necesario aplicar exclusiones. Si necesita aplicar exclusiones, puede elegir entre los siguientes tipos:

Importante

  • Microsoft Defender las exclusiones de Antivirus se aplican a algunas funcionalidades de Microsoft Defender para punto de conexión (por ejemplo, reglas de reducción de la superficie expuesta a ataques [ASR]). Algunas exclusiones Microsoft Defender Antivirus se aplican a algunas reglas de ASR. Para obtener más información, consulte Referencia de reglas de reducción de superficie expuesta a ataques.
  • Los archivos excluidos todavía pueden desencadenar alertas de detección y respuesta de puntos de conexión (EDR) y otras detecciones. Para excluir archivos en general, agréguelos a Microsoft Defender para punto de conexión indicadores personalizados.
  • Microsoft Defender Antivirus obtiene información de las variables de entorno del sistema, no de las variables de entorno de usuario. Por lo tanto, es probable que las variables de entorno como %USERPROFILE% se interpreten de manera diferente de lo esperado. Para obtener más información, consulte la sección Variables de entorno del sistema de este artículo.

Requisitos previos

Sistemas operativos admitidos

  • Windows

Antes de empezar

Consulte Recomendaciones para definir exclusiones antes de definir las listas de exclusión.

Listas de exclusión

Para excluir determinados archivos de Microsoft Defender exámenes antivirus, modifique las listas de exclusión. Microsoft Defender Antivirus incluye muchas exclusiones automáticas basadas en comportamientos conocidos del sistema operativo y archivos de administración típicos. Por ejemplo:

  • Files usar en la administración empresarial.
  • Files se usa en la administración de bases de datos.
  • Files usar en otros escenarios empresariales.

Nota:

Las exclusiones también se aplican a las detecciones de aplicaciones potencialmente no deseadas (PUA ). Las exclusiones automáticas solo se aplican a Windows Server 2016 y versiones posteriores. Estas exclusiones no son visibles en la aplicación Seguridad de Windows ni en PowerShell.

En la tabla siguiente se enumeran algunos ejemplos de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta.

Exclusión Ejemplos Lista de exclusión
Cualquier archivo con una extensión específica Todos los archivos con la extensión especificada, en cualquier lugar del equipo.

Sintaxis válida: .test y test		 Exclusiones de extensiones
Cualquier archivo o carpeta en una carpeta específica Todos los archivos y carpetas de la c:\test\sample carpeta Exclusiones de archivos y carpetas
Un archivo específico en una carpeta específica Solo el archivo c:\sample\sample.test Exclusiones de archivos y carpetas
Un proceso específico El archivo ejecutable c:\test\process.exe Exclusiones de archivos y carpetas

Características de las listas de exclusión

  • Las exclusiones de carpetas se aplican a todos los archivos y carpetas de esa carpeta, a menos que la subcarpeta sea un punto de reanálisis. Debe excluir las subcarpetas de punto de reanálisis por separado.
  • Las exclusiones de extensiones de archivo se aplican a cualquier archivo con esa extensión si tampoco se especifica una ruta de acceso o carpeta.

Notas importantes sobre exclusiones basadas en extensiones de archivo y ubicaciones de carpetas

Configuración de la lista de exclusiones en función del nombre de carpeta o la extensión de archivo

Puede usar los métodos siguientes para definir exclusiones para Microsoft Defender Antivirus.

Usar Intune para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Para más información, consulte los siguientes artículos:

Usar Administrador de configuración para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Para obtener más información, consulte Creación e implementación de directivas antimalware: configuración de exclusión.

Usar directiva de grupo para configurar exclusiones de extensiones de archivos o carpetas

Nota:

Si la exclusión especifica una ruta de acceso completa a un archivo, solo se excluye ese archivo de esa ubicación. Si la exclusión especifica una carpeta, se excluyen todos los archivos y subcarpetas de esa carpeta.

  1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo, haga clic con el botón secundario en el objeto de directiva de grupo que quiera configurar y seleccione Editar.

  2. En directiva de grupo Editor de administración, vaya a Configuración del equipo y seleccione Plantillas administrativas.

  3. Expanda el árbol a componentes> de Windows Microsoft DefenderExclusionesdel antivirus>.

  4. Abra la opción Exclusiones de ruta de acceso para su edición y agregue las exclusiones.

    1. Establezca la opción en Habilitado.

    2. En la sección Opciones , seleccione Mostrar.

    3. Especifique cada carpeta en su propia línea en la columna Nombre de valor .

    4. Si va a especificar un archivo, asegúrese de escribir una ruta de acceso completa al archivo, incluida la letra de unidad, la ruta de acceso de la carpeta, el nombre de archivo y la extensión.

    5. Escriba 0 en la columna Valor .

    6. Elija Aceptar.

    7. Abra la opción Exclusiones de extensión para editar y agregue las exclusiones.

    8. Establezca la opción en Habilitado.

    9. En la sección Opciones , seleccione Mostrar.

    10. Escriba cada extensión de archivo en su propia línea en la columna Nombre de valor .

    11. Escriba 0 en la columna Valor .

    12. Elija Aceptar.

Uso de cmdlets de PowerShell para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Use los siguientes cmdlets en el módulo de Defender para administrar exclusiones:

  • Set-MpPreference: cree o reemplace la lista de exclusiones.

    Importante

    Si ya ha creado una lista de exclusiones mediante los cmdlets Set-MpPreference o Add-MpPreference , el siguiente uso de Set-MpPreferencesobrescribe la lista existente de exclusiones con las entradas que especifique.

  • Add-MpPreference: agregue entradas a la lista existente de exclusiones.

  • Remove-MpPreference: quite las entradas de la lista de exclusiones existente.

Use los parámetros siguientes en esos cmdlets:

  • ExclusionExtension: excluir archivos con la extensión de archivo especificada. Use la sintaxis siguiente: "Extension1","Extension2"..."ExtensionN".

  • ExclusionPath:

    • Excluya el archivo especificado en la ruta de acceso especificada.

      Otra posibilidad:

    • Excluya todos los archivos de la carpeta especificada (incluidos los archivos en subcarpetas).

    Use la sintaxis siguiente: "Entry1","Entry2",..."EntryN".

En este ejemplo se excluye cualquier archivo con la .test extensión de archivo de los exámenes de antivirus de Microsoft Defender:

Add-MpPreference -ExclusionExtension ".test"

Para obtener más información, consulte Uso de cmdlets de PowerShell para configurar y ejecutar Microsoft Defender Antivirus.

Usar Instrumental de administración de Windows (WMI) para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Use los métodos Set, Add y Remove de la clase MSFT_MpPreference para las siguientes propiedades:

  • ExclusionExtension
  • ExclusionPath

Los métodos Set, Add y Remove de la clase MSFT_MpPreference son análogos a los cmdlets Set-MpPreference, Add-MpPreference y Remove-MpPreference del módulo Defender de PowerShell.

Para obtener más información, consulta API WMIv2 de Windows Defender.

Use la aplicación Seguridad de Windows para configurar exclusiones de nombre de archivo, carpeta o extensión de archivo

Para obtener más información, vea Agregar exclusiones en la aplicación de Seguridad de Windows.

Usar caracteres comodín en las listas de exclusión de extensiones o ruta de acceso de carpeta y nombre de archivo

Puede usar el asterisco *, el signo de interrogación ?o las variables de entorno (por ejemplo, %ALLUSERSPROFILE%) como caracteres comodín para exclusiones de nombre de archivo o ruta de acceso de carpeta. Puede combinar y hacer coincidir *las variables de entorno , ?y en una única exclusión.

La forma en que Microsoft Defender Antivirus interpreta los caracteres comodín es diferente de su uso habitual en otras aplicaciones e idiomas:

  • El servicio Microsoft Defender Antivirus se ejecuta en el contexto del sistema mediante la cuenta LocalSystem. El servicio obtiene información de las variables de entorno del sistema , no de las variables de entorno de usuario . Use solo los siguientes tipos de variables de entorno como caracteres comodín:
    • Variables de entorno del sistema.
    • Variables de entorno que se aplican a los procesos que se ejecutan como la cuenta NT AUTHORITY\SYSTEM.
  • Puede usar un máximo de seis caracteres comodín por entrada.
  • No se puede usar un carácter comodín en lugar de una letra de unidad.
  • Un asterisco * en una exclusión de carpeta indica una sola carpeta. Use varias instancias de \*\ para indicar varias carpetas anidadas con nombres no especificados.

En la tabla siguiente se describe cómo se pueden usar los caracteres comodín y se proporcionan algunos ejemplos.

Carácter comodín Ejemplos
* (asterisco)

Inclusiones de nombre de archivo y extensión de archivo: reemplaza cualquier número de caracteres y solo se aplica a los archivos de la última carpeta definida en la entrada.

Exclusiones de carpetas: reemplaza una sola carpeta. Use varias * con barras diagonales \ de carpeta para indicar varias carpetas anidadas. Después de hacer coincidir el número de carpetas con caracteres comodín y carpetas con nombre, también se incluyen todas las subcarpetas.		 C:\MyData\*.txt incluye C:\MyData\notes.txt.

C:\somepath\*\Data incluye cualquier archivo en C:\somepath\Archives\Data y sus subcarpetas, y en C:\somepath\Authorized\Data y sus subcarpetas.

C:\Serv\*\*\Backup incluye cualquier archivo en C:\Serv\Primary\Denied\Backup y sus subcarpetas, y en C:\Serv\Secondary\Allowed\Backup y sus subcarpetas.
? (signo de interrogación)

Inclusiones de nombre de archivo y extensión de archivo: reemplaza un solo carácter y solo se aplica a los archivos de la última carpeta especificada en la entrada.

Exclusiones de carpetas: reemplaza un solo carácter en un nombre de carpeta. Después de hacer coincidir el número de carpetas con caracteres comodín y carpetas con nombre, también se incluyen todas las subcarpetas.		 C:\MyData\my?.zip incluye C:\MyData\my1.zip.

C:\somepath\?\Data incluye cualquier archivo en C:\somepath\P\Data y sus subcarpetas.

C:\somepath\test0?\Data incluye cualquier archivo en C:\somepath\test01\Data y sus subcarpetas.
Variables de entorno

La variable especificada se rellena como una ruta de acceso cuando se evalúa la exclusión.		 %ALLUSERSPROFILE%\CustomLogFiles incluye C:\ProgramData\CustomLogFiles\Folder1\file1.txt.
Combinación y coincidencia

Puede combinar variables de entorno, *y ? en una única entrada de exclusión.		 %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe incluir C:\Program Files\Contoso Labs\v1\bin\contoso.exe.

Importante

Si combina una exclusión de archivos con una exclusión de carpeta, las reglas se detienen en la coincidencia de exclusión de archivos de la carpeta coincidente y no buscan coincidencias de archivos en subcarpetas.

Por ejemplo, c:\data\*\marked\date* excluye todos los archivos que comienzan por "date" en las carpetas c:\data\final\marked y c:\data\review\marked, pero no en las subcarpetas de esas carpetas.

Variables de entorno del sistema

En la tabla siguiente se enumeran las variables de entorno de la cuenta del sistema y sus ubicaciones predeterminadas correspondientes. Algunas de estas ubicaciones son diferentes de las variables de entorno de la cuenta de usuario correspondientes.

Variable de entorno del sistema Redirige a esta ubicación
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Revisar la lista de exclusiones

Puede recuperar los elementos de la lista de exclusión mediante uno de los métodos siguientes:

Importante

Los cambios de lista de exclusión que realice con directiva de grupo aparecen en las listas de Seguridad de Windows aplicación. Los cambios en la lista de exclusión que realice en la aplicación Seguridad de Windows no aparecen en las listas de directiva de grupo.

Compruebe si se excluye una ruta de acceso especificada mediante MpCmdRun

Puede usar la herramienta de línea de comandosMpCmdRun.exe en Microsoft Defender Antivirus versión 4.18.2111-5.0 o posterior (diciembre de 2021) para comprobar si se excluyen del examen rutas de acceso específicas de carpeta o archivos y carpetas mediante la ejecución de los siguientes comandos en un símbolo del sistema con privilegios elevados (una ventana del símbolo del sistema que abrió seleccionando Ejecutar como administrador):

for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n') do if not defined _done cd "%ProgramData%\Microsoft\Windows Defender\Platform\%d"

MpCmdRun.exe -CheckExclusion -Path <PathAndFile or Path>

Por ejemplo, el comando MpCmdRun.exe -CheckExclusion -Path C:\Data\Test devuelve la salida siguiente:

  • Ruta de acceso excluida:

    C:\Data\Test [\Device\HarddiskVolume1\Data\Test] está excluido. El código de salida es 0.

  • Ruta de acceso no excluida:

    C:\Data\Test [\Device\HarddiskVolume1\Data\Test] no está excluido. El código de salida es 1.

Recuperación de exclusiones mediante PowerShell

Ejecute los comandos siguientes en una ventana de PowerShell con privilegios elevados:

(Get-MpPreference).ExclusionExtension

(Get-MpPreference).ExclusionPath

Para obtener más información, vea Usar cmdlets de PowerShell para configurar y ejecutar el Antivirus de Microsoft Defender y Cmdlets de Antivirus de Microsoft Defender.

Validación de listas de exclusiones con el archivo de prueba EICAR

Puede validar que las listas de exclusión funcionan mediante PowerShell con el cmdlet Invoke-WebRequest o la clase WebClient de .NET para descargar un archivo de prueba.

En el siguiente comando de PowerShell, reemplace por test.txt un archivo que se ajuste a las reglas de exclusión. Por ejemplo, si excluye la .testing extensión, reemplace por test.txttest.testing. Si va a probar una ruta de acceso, asegúrese de ejecutar el cmdlet dentro de esa ruta de acceso.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Si Microsoft Defender Antivirus notifica malware, la regla no funciona. Si no hay ningún informe de malware y el archivo descargado existe, la exclusión funciona. Puede abrir el archivo para confirmar que el contenido es el mismo que el que se describe en el sitio web del archivo de prueba EICAR.

También puede usar los siguientes comandos de PowerShell, que llaman a la clase WebClient de .NET para descargar el archivo de prueba. Reemplace por c:\test.txt un archivo que se ajuste a la regla que va a validar:

$client = new-object System.Net.WebClient

$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Si no tiene acceso a Internet, puede crear su propio archivo de prueba EICAR escribiendo la cadena EICAR en un nuevo archivo de texto con el siguiente comando de PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

También puede copiar la cadena en un archivo de texto en blanco e intentar guardarlo con el nombre de archivo o en la carpeta que intenta excluir.

Vea también

  • Last updated on