Configuración de exclusiones para archivos abiertos por procesos
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Antivirus de Microsoft Defender
Plataformas
- Windows
Puede excluir los archivos abiertos por procesos específicos de Microsoft Defender exámenes antivirus. Tenga en cuenta que estos tipos de exclusiones son para archivos abiertos por procesos y no por los propios procesos. Para excluir un proceso, agregue una exclusión de archivo (consulte Configurar y validar exclusiones basadas en la extensión de archivo y la ubicación de la carpeta).
Consulte Puntos importantes sobre exclusiones y revise la información de Administración de exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus antes de definir las listas de exclusión.
En este artículo se describe cómo configurar listas de exclusión.
Ejemplos de exclusiones de procesos
| Exclusión | Ejemplo |
|---|---|
| Cualquier archivo de la máquina abierto por cualquier proceso con un nombre de archivo específico | La especificación test.exe excluiría los archivos abiertos por:
|
| Cualquier archivo en el equipo abierto por cualquier proceso en una carpeta específica | La especificación c:\test\sample\* excluiría los archivos abiertos por: |
| Cualquier archivo de la máquina abierto por un proceso específico en una carpeta específica | La especificación c:\test\process.exe excluiría los archivos abiertos solo por c:\test\process.exe |
Al agregar un proceso a la lista de exclusión de procesos, Microsoft Defender Antivirus no examinará los archivos abiertos por ese proceso, independientemente de dónde se encuentren los archivos. Sin embargo, el propio proceso se examinará a menos que también se haya agregado a la lista de exclusión de archivos.
Las exclusiones solo se aplican a la protección y supervisión en tiempo real always-on. No se aplican a exámenes programados o a petición.
Los cambios realizados con directiva de grupo en las listas de exclusión se mostrarán en las listas de la aplicación Seguridad de Windows. Sin embargo, los cambios realizados en la aplicación Seguridad de Windows no se mostrarán en las listas de directiva de grupo.
Puede agregar, quitar y revisar las listas de exclusiones en directiva de grupo, Microsoft Configuration Manager, Microsoft Intune y con la aplicación Seguridad de Windows, y puede usar caracteres comodín para personalizar aún más las listas.
También puede usar cmdlets de PowerShell y WMI para configurar las listas de exclusión, incluida la revisión de las listas.
De forma predeterminada, los cambios locales realizados en las listas (por los usuarios con privilegios de administrador; los cambios realizados con PowerShell y WMI) se combinan con las listas según se definen (e implementan) por directiva de grupo, Configuration Manager o Intune. Las listas de directiva de grupo tienen prioridad si hay conflictos.
Puede configurar cómo se combinan las listas de exclusiones definidas local y globalmente para permitir que los cambios locales invaliden la configuración de implementación administrada.
Nota:
Las reglas de reducción de la superficie expuesta a ataques y protección de red se ven afectadas directamente por las exclusiones de procesos en todas las plataformas, lo que significa que una exclusión de procesos en cualquier sistema operativo (Windows, MacOS, Linux) hará que Protección de red o ASR no puedan inspeccionar el tráfico ni aplicar reglas para ese proceso específico.
Nombre de imagen frente a ruta de acceso completa para exclusiones de procesos
Se pueden establecer dos tipos diferentes de exclusiones de procesos. Un proceso puede excluirse por nombre de imagen o por ruta de acceso completa. El nombre de la imagen es simplemente el nombre de archivo del proceso, sin la ruta de acceso.
Por ejemplo, dado que el proceso MyProcess.exe que se ejecuta desde C:\MyFolder\ la ruta de acceso completa a este proceso sería C:\MyFolder\MyProcess.exe y el nombre de la imagen es MyProcess.exe.
Las exclusiones de nombres de imagen son mucho más amplias: una exclusión en MyProcess.exe excluirá los procesos con este nombre de imagen, independientemente de la ruta de acceso desde la que se ejecuten. Por ejemplo, si el proceso MyProcess.exe se excluye por nombre de imagen, también se excluirá si se ejecuta desde , desde C:\MyOtherFoldermedios extraíbles, etc. Por lo tanto, se recomienda que, siempre que sea posible, se use la ruta de acceso completa.
Uso de caracteres comodín en la lista de exclusión de procesos
El uso de caracteres comodín en la lista de exclusión de procesos es diferente de su uso en otras listas de exclusión. Cuando la exclusión del proceso se define solo como un nombre de imagen, no se permite el uso de caracteres comodín. Sin embargo, cuando se usa una ruta de acceso completa, se admiten caracteres comodín y el comportamiento del carácter comodín se comporta como se describe en Exclusiones de archivos y carpetas.
También se admite el uso de variables de entorno (como %ALLUSERSPROFILE%) como caracteres comodín al definir elementos en la lista de exclusión de procesos. Los detalles y una lista completa de variables de entorno admitidas se describen en Exclusiones de archivos y carpetas.
En la tabla siguiente se describe cómo se pueden usar los caracteres comodín en la lista de exclusión de procesos, cuando se proporciona una ruta de acceso:
| Carácter comodín | Ejemplo de uso | Coincidencias de ejemplo |
|---|---|---|
* (asterisco)Reemplaza cualquier número de caracteres. |
C:\MyFolder\* |
Cualquier archivo abierto por C:\MyFolder\MyProcess.exe o C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Cualquier archivo abierto por C:\MyFolder1\MyFolder2\MyProcess.exe o C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Cualquier archivo abierto por C:\MyOtherFolder\MyFolder\MyProcess.exe o C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (signo de interrogación) Reemplaza un carácter. |
C:\MyFolder\MyProcess??.exe |
Cualquier archivo abierto por C:\MyFolder\MyProcess42.exe o C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe |
| Variables de entorno | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Cualquier archivo abierto por C:\ProgramData\MyFolder\MyProcess.exe |
Exclusiones de proceso contextual
Tenga en cuenta que una exclusión de proceso también se puede definir a través de una exclusión contextual , lo que permite, por ejemplo, excluir un archivo específico solo si lo abre un proceso específico.
Configurar la lista de exclusiones para los archivos abiertos por procesos especificados
Use Microsoft Intune para excluir los archivos abiertos por procesos especificados de los exámenes.
Para obtener más información, consulte Configuración de las opciones de restricción de dispositivos en Microsoft Intune y Microsoft Defender Configuración de restricciones de dispositivos antivirus para Windows 10 en Intune.
Use Microsoft Configuration Manager para excluir los archivos abiertos por procesos especificados de los exámenes.
Consulte Creación e implementación de directivas antimalware: configuración de exclusión para obtener más información sobre cómo configurar Microsoft Configuration Manager (rama actual).
Use directiva de grupo para excluir los archivos abiertos por procesos especificados de los exámenes.
En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo, haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y haga clic en Editar.
En el Editor administración de directiva de grupo, vaya a Configuración del equipo y haga clic en Plantillas administrativas.
Expanda el árbol a componentes > de Windows Microsoft Defender Exclusiones antivirus>.
Haga doble clic en Exclusiones de proceso y agregue las exclusiones:
- Establezca la opción en Habilitado.
- En la sección Opciones , haga clic en Mostrar....
- Escriba cada proceso en su propia línea en la columna Nombre de valor . Consulte la tabla de ejemplo para ver los distintos tipos de exclusiones de procesos. Escriba 0 en la columna Valor para todos los procesos.
Haga clic en Aceptar.
Uso de cmdlets de PowerShell para excluir archivos abiertos por procesos especificados de exámenes
El uso de PowerShell para agregar o quitar exclusiones de archivos abiertos por procesos requiere usar una combinación de tres cmdlets con el -ExclusionProcess parámetro . Los cmdlets están todos en el módulo de Defender.
El formato de los cmdlets es:
<cmdlet> -ExclusionProcess "<item>"
Se permite lo siguiente como <cmdlet>:
| Acción de configuración | Cmdlet de PowerShell |
|---|---|
| Creación o sobrescritura de la lista | Set-MpPreference |
| Agregar a la lista | Add-MpPreference |
| Quitar elementos de la lista | Remove-MpPreference |
Importante
Si ha creado una lista, con Set-MpPreference o Add-MpPreference, el uso del Set-MpPreference cmdlet volverá a sobrescribir la lista existente.
Por ejemplo, el siguiente fragmento de código provocaría que Microsoft Defender exámenes antivirus excluyan cualquier archivo abierto por el proceso especificado:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Para obtener más información sobre cómo usar PowerShell con Microsoft Defender Antivirus, consulte Administración de antivirus con cmdlets de PowerShell y cmdlets de Microsoft Defender Antivirus.
Usar instrucciones de administración de Windows (WMI) para excluir de los exámenes los archivos abiertos por procesos especificados
Use los métodos Set, Add y Remove de la clase MSFT_MpPreference para las siguientes propiedades:
ExclusionProcess
El uso de Set, Add y Remove es análogo a sus homólogos de PowerShell: Set-MpPreference, Add-MpPreferencey Remove-MpPreference.
Para obtener más información y parámetros permitidos, consulte Windows Defender API WMIv2.
Use la aplicación Seguridad de Windows para excluir los archivos abiertos por procesos especificados de los exámenes.
Siga las instrucciones de Agregar exclusiones en la aplicación Seguridad de Windows.
Revisar la lista de exclusiones
Puede recuperar los elementos de la lista de exclusión con MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune o la aplicación Seguridad de Windows.
Si usa PowerShell, puede recuperar la lista de dos maneras:
- Recupere el estado de todas las preferencias Microsoft Defender Antivirus. Cada una de las listas se muestra en líneas independientes, pero los elementos de cada lista se combinan en la misma línea.
- Escriba el estado de todas las preferencias en una variable y use esa variable para llamar solo a la lista específica que le interesa. Cada uso de
Add-MpPreferencese escribe en una nueva línea.
Validación de la lista de exclusión mediante MpCmdRun
Para comprobar las exclusiones con la herramienta de línea de comandos dedicada mpcmdrun.exe, use el siguiente comando:
MpCmdRun.exe -CheckExclusion -path <path>
Nota:
La comprobación de exclusiones con MpCmdRun requiere Microsoft Defender Antivirus CAMP versión 4.18.1812.3 (publicada en diciembre de 2018) o posterior.
Revise la lista de exclusiones junto con el resto de las preferencias Microsoft Defender Antivirus mediante PowerShell.
Use el siguiente cmdlet:
Get-MpPreference
Para obtener más información sobre cómo usar PowerShell con Microsoft Defender Antivirus, vea Uso de cmdlets de PowerShell para configurar y ejecutar Microsoft Defender antivirus y Microsoft Defender cmdlets antivirus .
Recuperación de una lista de exclusiones específica mediante PowerShell
Use el siguiente fragmento de código (escriba cada línea como un comando independiente); reemplace WDAVprefs por la etiqueta que quiera asignar a la variable:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Para obtener más información sobre cómo usar PowerShell con Microsoft Defender Antivirus, consulte Uso de cmdlets de PowerShell para configurar y ejecutar Microsoft Defender antivirus y cmdlets Microsoft Defender Antivirus.
Sugerencia
Si busca información relacionada con el antivirus para otras plataformas, consulte:
- Establecer las preferencias para Microsoft Defender para punto de conexión en macOS
- Microsoft Defender para punto de conexión en Mac
- Configuración de las directivas de antivirus de macOS para Antivirus de Microsoft Defender para Intune
- Establecer preferencias para Microsoft Defender para punto de conexión en Linux
- Microsoft Defender para punto de conexión en Linux
- Configurar Defender para punto de conexión en características de Android
- Configurar Microsoft Defender para punto de conexión en las características de iOS
Artículos relacionados
- Configuración y validación de exclusiones en exámenes de antivirus de Microsoft Defender
- Configuración y validación de exclusiones basadas en el nombre de archivo, la extensión y la ubicación de la carpeta
- Configuración de exclusiones de antivirus de Microsoft Defender en Windows Server
- Errores comunes para evitarlos cuando se definen exclusiones
- Personalización, inicio y revisión de los resultados de los exámenes y la corrección de Microsoft Defender Antivirus
- Antivirus de Microsoft Defender en Windows 10
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de