Määritä ja vahvista poissulkemiset tiedostotunnisteen ja kansion sijainnin perusteella
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Voit määrittää poissulkemisia Microsoft Defender virustentorjuntaohjelmalle, jotka koskevat ajoitettuja skannauksia, pyydettäessä suoritettavia skannauksia sekä aina käytössä olevaa reaaliaikaista suojausta ja seurantaa. Yleensä poissulkemisia ei tarvitse soveltaa. Jos sinun on sovellettava poissulkemisia, voit valita seuraavista tyypeistä:
- Tiedostotunnisteisiin ja kansiosijainteihin perustuvat poikkeukset (kuvattu tässä artikkelissa)
- Prosessien avaamien tiedostojen poikkeukset
Tärkeää
Microsoft Defender virustentorjuntaohjelman poikkeukset koskevat joitakin Microsoft Defender for Endpoint ominaisuuksia, kuten hyökkäysalueen vähentämissääntöjä. Jotkin Microsoft Defender virustentorjuntaa koskevat poikkeukset koskevat joitakin ASR-säännön poissulkemisia. Katso Hyökkäyspinnan pienentämissääntöjen viitetiedot – Microsoft Defender virustentorjunnan poikkeukset ja ASR-säännöt. Tiedostot, jotka jätetään pois tässä artikkelissa kuvattujen menetelmien avulla, voivat silti käynnistää EDR-hälytyksiä ja muita tunnistuksia. Jos haluat jättää tiedostot laajasti pois, lisää ne Microsoft Defender for Endpoint mukautettuihin ilmaisimiin.
Alkuvalmistelut
Katso Suositukset poissulkemisten määrittämiseksi ennen poissulkemisluetteloiden määrittämistä.
Poissulkevat luettelot
Jos haluat sulkea pois joitakin tiedostoja Microsoft Defender virustentorjuntatarkistuksia, muokkaa poissulkemisluetteloita. Microsoft Defender virustentorjunta sisältää useita automaattisia poissulkemisia, jotka perustuvat tunnettuihin käyttöjärjestelmän käyttäytymisiin ja tyypillisiin hallintatiedostoihin, kuten yrityksen hallintaan, tietokantojen hallintaan ja muihin yritysskenaarioon.
Huomautus
Poikkeukset koskevat myös mahdollisesti ei-toivottujen sovellusten (PUA) tunnistuksia . Automaattiset poikkeukset koskevat vain Windows Server 2016:ta ja uudempia versioita. Nämä poikkeukset eivät näy Windowsin suojaus-sovelluksessa ja PowerShellissä.
Seuraavassa taulukossa on joitakin esimerkkejä poissulkemisista tiedoston tiedostotunnisteen ja kansiosijainnin perusteella.
| Poissulkeminen | Esimerkkejä | Poissulkeva luettelo |
|---|---|---|
| Mikä tahansa tiedosto, jolla on tietty tunniste | Kaikki tiedostot, joilla on määritetty tunniste, missä tahansa tietokoneessa. Kelvollinen syntaksi: .test ja test |
Laajennuksen poikkeukset |
| Mikä tahansa tiedosto tietyssä kansiossa | Kaikki kansion alla olevat c:\test\sample tiedostot |
Tiedostojen ja kansioiden poikkeukset |
| Tietty tiedosto tietyssä kansiossa | Vain tiedosto c:\sample\sample.test |
Tiedostojen ja kansioiden poikkeukset |
| Tietty prosessi | Suoritettava tiedosto c:\test\process.exe |
Tiedostojen ja kansioiden poikkeukset |
Poissulkevien luetteloiden ominaisuudet
- Kansiopoikkeukset koskevat kaikkia kansion alla olevia tiedostoja ja kansioita, ellei alikansio ole uudelleenjaettava piste. Uudelleenjaettavan pisteen alikansiot on jätettävä pois erikseen.
- Tiedostotunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty, jos polkua tai kansiota ei ole määritetty.
Tärkeitä huomautuksia poikkeuksista, jotka perustuvat tiedostotunnisteisiin ja kansiosijainteihin
Yleismerkkien, kuten tähden (*) käyttö muuttaa poissulkemissääntöjen tulkintaa. Lisätietoja yleismerkkien toiminnasta on kohdassa Yleismerkkien käyttäminen tiedostonimen ja kansiopolun tai tunnisteen poissulkemisluetteloissa .
Älä jätä pois yhdistettyjä verkkoasemia. Määritä todellinen verkkopolku.
Uudelleen jäsennyspisteet luodaan virustentorjuntapalvelun Microsoft Defender käynnistymisen jälkeen, eivätkä poissulkemisluetteloon lisätyt kansiot sisälly. Käynnistä palvelu uudelleen käynnistämällä Windows uudelleen, jotta uudet uudelleen jäsennyspisteet tunnistetaan kelvolliseksi poissulkemiskohteeksi.
Poikkeukset koskevat ajoitettuja skannauksia, pyydettäessä suoritettavaa tarkistusta ja reaaliaikaista suojausta, mutta eivät kaikissa Defender for Endpoint -ominaisuuksissa. Voit määrittää poissulkemisia Defender for Endpointin kautta mukautettujen ilmaisimien avulla.
Luetteloihin tehdyt paikalliset muutokset (järjestelmänvalvojan oikeudet mukaan lukien PowerShellin ja WMI:n avulla tehdyt muutokset) yhdistetään oletusarvoisesti luetteloihin sellaisina kuin ne on määritetty (ja otettu käyttöön) ryhmäkäytäntö, Configuration Manager tai Intune. ryhmäkäytäntö luettelot ovat etusijalla ristiriitojen ilmetessä. Lisäksi ryhmäkäytäntö tehdyt poissulkemisluettelon muutokset näkyvät Windowsin suojaus sovelluksessa.
Jos haluat sallia paikallisten muutosten ohittaa hallitun käyttöönoton asetukset, määritä, miten paikallisesti ja yleisesti määritetyt poissulkemisluettelot yhdistetään.
Määritä poissulkemisten luettelo kansion nimen tai tiedostotunnisteen perusteella
Voit valita useista menetelmistä, joilla määritetään virustentorjuntaan Microsoft Defender poikkeukset.
Määritä tiedostonimen, kansion tai tiedostotunnisteen poikkeukset Intune avulla
Tutustu seuraaviin artikkeleihin:
- Laiterajoitusasetusten määrittäminen Microsoft Intune
- Microsoft Defender virustentorjuntaohjelman laiterajoitusasetukset Windows 10 Intune
Määritä tiedostonimi, kansio tai tiedostotunnisteen poikkeukset Configuration Manager avulla
Lisätietoja Microsoft Configuration Manager (nykyisen haaran) määrittämisestä on kohdassa Haittaohjelmien torjuntakäytäntöjen luominen ja käyttöönotto: Poissulkemisasetukset.
Määritä kansion tai tiedostotunnisteen poikkeukset ryhmäkäytäntö avulla
Huomautus
Jos määrität tiedoston täyden polun, vain kyseinen tiedosto jätetään pois. Jos kansio on määritetty poissulkemisessa, kaikki kansion alla olevat tiedostot ja alihakemistot jätetään pois.
Avaa ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse sitten Muokkaa.
Valitse ryhmäkäytäntö -hallinta-KirjoitusavustajaTietokoneasetukset ja valitse Hallintamallit.
Laajenna puu Kohtaan Windowsin osat>Microsoft Defender Virustentorjunta>Poissulkemiset.
Avaa Polkupoikkeukset-asetus muokkaamista varten ja lisää poikkeukset.
Määritä asetuksen arvoksi Käytössä.
Valitse Asetukset-osiostaNäytä.
Määritä kukin kansio omalle rivilleen Arvon nimi - sarakkeen alle.
Jos määrität tiedostoa, varmista, että annat tiedostolle tarkan polun, mukaan lukien aseman kirjain, kansiopolku, tiedostonimi ja tunniste.
Kirjoita Arvo-sarakkeeseen0.
Valitse OK.
Avaa Laajennuksen poikkeukset - asetus muokkaamista varten ja lisää poikkeukset.
Määritä asetuksen arvoksi Käytössä.
Valitse Asetukset-osiostaNäytä.
Kirjoita kukin tiedostotunniste omalle rivilleen Arvon nimi - sarakkeen alle.
Kirjoita Arvo-sarakkeeseen0.
Valitse OK.
Määritä tiedostonimi, kansio tai tiedostotunnisteen poikkeukset PowerShellin cmdlet-komentojen avulla
PowerShellin käyttäminen tiedostojen poissulkemisten lisäämiseen tai poistamiseen tunnisteen, sijainnin tai tiedostonimen perusteella edellyttää kolmen cmdlet-komennon ja asianmukaisen poissulkemisluetteloparametrin yhdistelmää. Cmdlet-komennot ovat kaikki Defender-moduulissa.
Cmdlet-komentojen muoto on seuraava:
<cmdlet> -<exclusion list> "<item>"
Seuraavassa taulukossa on lueteltu cmdlet-komennot, joita voit käyttää <cmdlet> PowerShellin cmdlet-komennon -osassa:
| Määritystoiminto | PowerShellin cmdlet-komento |
|---|---|
| Luo luettelo tai korvaa se | Set-MpPreference |
| Lisää luetteloon | Add-MpPreference |
| Poista kohde luettelosta | Remove-MpPreference |
Seuraavassa taulukossa on lueteltu arvot, joita voit käyttää <exclusion list> PowerShellin cmdlet-komennon osassa:
| Poissulkemistyyppi | PowerShell-parametri |
|---|---|
| Kaikki tiedostot, joiden tiedostotunniste on määritetty | -ExclusionExtension |
| Kaikki kansion alla olevat tiedostot (mukaan lukien alihakemistojen tiedostot) tai tietty tiedosto | -ExclusionPath |
Tärkeää
Jos olet luonut luettelon joko -komennolla tai Add-MpPreference-komennollaSet-MpPreference, Set-MpPreference cmdlet-komento korvaa aiemmin luodun luettelon.
Esimerkiksi seuraava koodikatkelma aiheuttaisi sen, että Microsoft Defender virustentorjuntatarkistuksia ei oteta pois tiedostosta, jonka tiedostotunniste on.test:
Add-MpPreference -ExclusionExtension ".test"
Vihje
Lisätietoja on artikkelissa Microsoft Defender virustentorjunnan ja Defenderin virustentorjunta cmdlet-komentojen määrittäminen ja suorittaminen PowerShellincmdlet-komentojen avulla.
Määritä tiedostonimi, kansio tai tiedostotunnisteen poikkeukset Windows Management Instrumentationin (WMI) avulla
Käytä MSFT_MpPreference luokan Joukko-, Lisää- ja Poista-menetelmiä seuraavissa ominaisuuksissa:
ExclusionExtension
ExclusionPath
Set-, Add- ja Remove-parametrien käyttäminen vastaa PowerShellin vastaavia kollegoita: Set-MpPreference, Add-MpPreferenceja Remove-MpPreference.
Vihje
Lisätietoja on kohdassa Windows Defender WMIv2 -ohjelmointirajapinnat.
Windowsin suojaus sovelluksen avulla voit määrittää tiedostonimen, kansion tai tiedostotunnisteen poikkeukset
Katso ohjeet kohdasta Poikkeusten lisääminen Windowsin suojaus sovelluksessa.
Käytä yleismerkkejä tiedostonimi- ja kansiopolkujen tai tunnisteiden poissulkemisluetteloissa
Voit käyttää tähteä *, kysymysmerkkiä ?tai ympäristömuuttujia (kuten %ALLUSERSPROFILE%) yleismerkkinä määritettäessä kohteita tiedostonimessä tai kansiopolun poissulkemisluettelossa. Voit yhdistää ja sovittaa * yhteen ympäristömuuttujat ja ? -ympäristömuuttujat yhdeksi poissulkemiseksi. Näiden yleismerkkien tulkintatapa eroaa niiden tavallisesta käytöstä muissa sovelluksissa ja kielissä. Varmista, että luet tämän osion, jotta saat lisätietoja niiden erityisistä rajoituksista.
Tärkeää
Näillä yleismerkillä on tärkeimmät rajoitukset ja käyttöskenaariot:
- Ympäristömuuttujien käyttö rajoittuu konemuuttujiin ja prosesseihin, jotka suoritetaan NT AUTHORITY\SYSTEM -tilinä.
- Voit käyttää enintään kuutta yleismerkkiä merkintää kohden.
- Yleismerkkiä ei voi käyttää asemakirjainten sijasta.
-
*Tähti kansion poissulkemisessa seisoo yhden kansion kohdalla. Käytä useita -esiintymiä\*\ilmaisemaan useita sisäkkäisia kansioita, joilla on määrittämättömät nimet.
Seuraavassa taulukossa kuvataan yleismerkkien käyttö ja annetaan esimerkkejä.
| Yleismerkki | Esimerkkejä |
|---|---|
* (tähti)Tiedostonimen ja tiedostotunnisteen sisällytyksissä tähti korvaa minkä tahansa merkkimäärän ja koskee vain argumentissa määritetyn viimeisen kansion tiedostoja. Kansion poissulkemisissa tähti korvaa yhden kansion. Määritä useita sisäkkäisia kansioita käyttämällä useita * vinoviivoja \ sisältävää monikertaa. Kun villikorttisten ja nimettyjen kansioiden määrä on täsmäytetty, myös kaikki alikansiot sisällytetään. |
C:\MyData\*.txt Sisältää C:\MyData\notes.txt C:\somepath\*\Data sisältää kaikki kansiossa ja sen alikansioissa C:\somepath\Archives\Data olevat tiedostot ja C:\somepath\Authorized\Data alikansiotC:\Serv\*\*\Backup sisältää kaikki kansiossa ja sen alikansioissa C:\Serv\Primary\Denied\Backup olevat tiedostot ja C:\Serv\Secondary\Allowed\Backup alikansiot |
? (kysymysmerkki)Tiedostonimen ja tiedostotunnisteen sisällytyksissä kysymysmerkki korvaa yksittäisen merkin ja koskee vain argumentissa määritetyn viimeisen kansion tiedostoja. Kansion poissulkemisissa kysymysmerkki korvaa yksittäisen merkin kansion nimessä. Kun villikorttisten ja nimettyjen kansioiden määrä on täsmäytetty, myös kaikki alikansiot sisällytetään. |
C:\MyData\my?.zip Sisältää C:\MyData\my1.zip C:\somepath\?\Data sisältää kaikki kansiossa ja sen alikansioissa C:\somepath\P\Data olevat tiedostotC:\somepath\test0?\Data sisällyttäisi minkä tahansa tiedoston kansioon C:\somepath\test01\Data ja sen alikansioihin |
| Ympäristömuuttujat Määritetty muuttuja täytetään polkuna, kun poissulkemista arvioidaan. |
%ALLUSERSPROFILE%\CustomLogFiles sisällyttäisi C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
| Sekoitus ja vastaavuus ympäristömuuttujat * , ja ? ne voidaan yhdistää yhdeksi poikkeukseksi |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe sisällyttäisi c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Tärkeää
Jos sekoitat tiedoston poissulkemisargumentin kansion poissulkemisargumenttiin, säännöt pysähtyvät siihen, että tiedostoargumentti vastaa vastaavassa kansiossa, eivätkä etsi tiedostovastaavuuksia alikansioista.
Voit esimerkiksi jättää pois kaikki tiedostot, joiden alussa on "päivämäärä", kansioissa c:\data\final\marked ja c:\data\review\marked käyttämällä sääntöargumenttia c:\data\*\marked\date*.
Tämä argumentti ei vastaa alikansioiden tiedostoja, jotka ovat kohdassa c:\data\final\marked tai c:\data\review\marked.
Järjestelmän ympäristömuuttujat
Seuraavassa taulukossa on lueteltu järjestelmätilin ympäristömuuttujat.
| Tämä järjestelmän ympäristömuuttuja... | Ohjaa uudelleen tähän kohteeseen |
|---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Tarkista poissulkemisten luettelo
Voit noutaa poissulkemisluettelon kohteet jollakin seuraavista menetelmistä:
Tärkeää
ryhmäkäytäntö avulla tehdyt poissulkemisluettelon muutokset näkyvätWindowsin suojaus sovelluksen luetteloissa. Windowsin suojaus sovellukseen tehdyt muutokset eivät näy ryhmäkäytäntö luetteloissa.
Jos käytät PowerShelliä, voit noutaa luettelon kahdella tavalla:
- Nouda kaikkien Microsoft Defender virustentorjunta-asetusten tila. Jokainen luettelo näkyy erillisillä riveillä, mutta kunkin luettelon kohteet yhdistetään samalle riville.
- Kirjoita kaikkien asetusten tila muuttujaan ja käytä tätä muuttujaa kutsumaan vain haluamaasi luetteloa. Jokainen -käyttötarkoitus
Add-MpPreferencekirjoitetaan uudelle riville.
Vahvista poissulkemisluettelo mpCmdRunin avulla
Voit tarkistaa poikkeukset erillisellä komentorivityökalulla mpcmdrun.exekäyttämällä seuraavaa komentoa:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Huomautus
Poikkeusten MpCmdRun tarkistaminen edellyttää Microsoft Defender virustentorjuntaohjelman versiota 4.18.2111-5.0 (julkaistu joulukuussa 2021) tai uudempaa versiota.
Tarkista poissulkemisten luettelo muiden Microsoft Defender virustentorjunta-asetusten lisäksi PowerShellin avulla
Käytä seuraavaa cmdlet-komentoa:
Get-MpPreference
Seuraavassa esimerkissä ExclusionExtension luettelon sisältämät kohteet on korostettu:
Lisätietoja on artikkelissa Microsoft Defender virustentorjunnan ja Defenderin virustentorjunta cmdlet-komentojen määrittäminen ja suorittaminen PowerShellincmdlet-komentojen avulla.
Tietyn poissulkemisluettelon noutaminen PowerShellin avulla
Käytä seuraavaa koodikatkelmakoodia (kirjoita kukin rivi erillisenä komentona); korvaa WDAVprefs millä tahansa selitteellä, jonka haluat nimetä muuttujalle:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
Seuraavassa esimerkissä luettelo jaetaan uusiin riveihin kutakin cmdlet-komentoa Add-MpPreference varten:
Lisätietoja on artikkelissa Microsoft Defender virustentorjunnan ja Defenderin virustentorjunta cmdlet-komentojen määrittäminen ja suorittaminen PowerShellincmdlet-komentojen avulla.
Vahvista poissulkemisluettelot EICAR-testitiedoston avulla
Voit varmistaa, että poissulkemisluettelot toimivat, käyttämällä PowerShelliä joko Invoke-WebRequest cmdlet-komennon tai .NET WebClient -luokan kanssa testitiedoston lataamiseen.
Korvaa seuraavassa PowerShell-katkelmassa tiedostolla, test.txt joka on poissulkemissääntöjen mukainen. Jos esimerkiksi suljet laajennuksen .testing pois, korvaa kohteella test.txttest.testing. Jos testaat polkua, varmista, että suoritat cmdlet-komennon kyseisessä polussa.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Jos Microsoft Defender virustentorjuntaohjelma ilmoittaa haittaohjelmasta, sääntö ei toimi. Jos haittaohjelmasta ei ole raporttia ja ladattu tiedosto on olemassa, poissulkeminen toimii. Voit avata tiedoston vahvistaaksesi, että sisältö on sama kuin mitä on kuvattu EICAR-testitiedoston verkkosivuilla.
Voit myös käyttää seuraavaa PowerShell-koodia, joka kutsuu .NET WebClient -luokkaa testitiedoston Invoke-WebRequest lataamiseksi - kuten cmdlet-komennon kanssa; korvaa c:\test.txt tiedostolla, joka noudattaa vahvistamaasi sääntöä:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Jos sinulla ei ole Internet-yhteyttä, voit luoda oman EICAR-testitiedoston kirjoittamalla EICAR-merkkijonon uuteen tekstitiedostoon seuraavalla PowerShell-komennolla:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Voit myös kopioida merkkijonon tyhjään tekstitiedostoon ja yrittää tallentaa sen tiedostonimellä tai kansioon, jota yrität sulkea pois.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Poikkeusten määrittäminen ja vahvistaminen Microsoft Defender virustentorjuntatarkistukset
- Prosessien avaamien tiedostojen poissulkemisten määrittäminen ja vahvistaminen
- Microsoft Defender virustentorjunnan poissulkemisten määrittäminen Windows Serverissä
- Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.