Prosessien avaamien tiedostojen poissulkemisten määrittäminen

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Voit jättää pois tiedostot, jotka avataan tietyillä prosesseilla virustentorjuntatarkistuksia Microsoft Defender. Huomaa, että tämäntyyppiset poikkeukset koskevat tiedostoja, jotka avataan prosesseilla eivätkä itse prosesseilla. Jos haluat sulkea prosessin pois, lisää tiedosto, joka sisältää poikkeuksen (katso Määritä ja vahvista poikkeukset tiedostotunnisteen ja kansion sijainnin perusteella).

Katso Tärkeitä poissulkemisia koskevia kohtia ja lue lisätietoja kohdasta Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta ennen poissulkemisluetteloiden määrittämistä.

Tässä artikkelissa kuvataan poissulkemisluetteloiden määrittäminen.

Esimerkkejä prosessin poissulkemisista

Syrjäytymisen Esimerkki
Mikä tahansa tietokoneessa oleva tiedosto, joka avataan millä tahansa prosessilla, jolla on tietty tiedostonimi test.exe Määrittäminen jättää pois tiedostot, jotka avaa:

c:\sample\test.exe

d:\internal\files\test.exe
Mikä tahansa tiedosto tietokoneessa, jonka mikä tahansa prosessi avaa tietyssä kansiossa c:\test\sample\* Määrittäminen jättää pois tiedostot, jotka avaa:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
Mikä tahansa tiedosto tietokoneessa, jonka tietty prosessi avaa tietyssä kansiossa c:\test\process.exe Määrittäminen jättää pois vain avaamat tiedostotc:\test\process.exe

Kun lisäät prosessin prosessin poissulkemisluetteloon, Microsoft Defender virustentorjunta ei tarkista prosessin avaamia tiedostoja riippumatta siitä, missä tiedostot sijaitsevat. Itse prosessi kuitenkin tarkistetaan, ellei sitä ole lisätty myös poissulkemisluetteloon.

Poikkeukset koskevat vain aina voimassa olevaa reaaliaikaista suojausta ja valvontaa. Ne eivät koske ajoitettuja tai pyydettäessä suoritettavaa tarkistusta.

Poissulkemisluetteloihin ryhmäkäytäntö tehdyt muutokset näkyvätWindowsin suojaus sovelluksen luetteloissa. Windowsin suojaus sovellukseen tehdyt muutokset eivät kuitenkaan näy ryhmäkäytäntö luetteloissa.

Voit lisätä, poistaa ja tarkastella poissulkemisten luetteloita ryhmäkäytäntö, Microsoft Configuration Manager, Microsoft Intune ja Windowsin suojaus sovelluksessa. Yleismerkkien avulla voit mukauttaa luetteloita edelleen.

Voit käyttää myös PowerShellin cmdlet-komentoja ja WMI:tä poissulkevien luetteloiden määrittämiseen, mukaan lukien luetteloiden tarkistaminen.

Oletusarvon mukaan luetteloihin tehdyt paikalliset muutokset (järjestelmänvalvojan oikeuksilla tehdyt muutokset, PowerShellin ja WMI:n avulla tehdyt muutokset) yhdistetään luetteloihin sellaisina kuin ne on määritetty (ja otettu käyttöön) ryhmäkäytäntö, Configuration Manager tai Intune. ryhmäkäytäntö luettelot ovat etusijalla ristiriitojen ilmetessä.

Voit määrittää, miten paikallisesti ja yleisesti määritetyt poissulkemisluettelot yhdistetään , jotta paikalliset muutokset voivat ohittaa hallitut käyttöönottoasetukset.

Huomautus

Verkon suojauksen ja hyökkäyksen pinnan vähentämissääntöihin vaikuttavat suoraan prosessipoikkeukset kaikissa ympäristöissä, mikä tarkoittaa sitä, että prosessien poissulkeminen kaikissa käyttöjärjestelmissä (Windows, MacOS, Linux) johtaa siihen, että verkkosuojaus tai ASR ei pysty tarkastamaan liikennettä tai valvomaan kyseisen prosessin sääntöjä.

Kuvan nimi vs. koko polku prosessin poissulkemisille

Kaksi erityyppistä prosessin poissulkemista voidaan määrittää. Prosessi voidaan jättää pois kuvan nimen tai koko polun mukaan. Kuvan nimi on vain prosessin tiedostonimi ilman polkua.

Kun otetaan huomioon esimerkiksi prosessi MyProcess.exe , joka on käynnissä koko polusta C:\MyFolder\ tähän prosessiin, ja C:\MyFolder\MyProcess.exe kuvan nimi on MyProcess.exe.

Kuvan nimen poissulkemiset ovat paljon laajempia MyProcess.exe – pois jättäminen jättää pois kaikki tämän kuvan nimen prosessit riippumatta siitä, mistä polusta ne suoritetaan. Jos prosessi MyProcess.exe esimerkiksi jätetään kuvan nimen mukaan pois, se jätetään pois myös, jos se suoritetaan siirrettävästä tietovälineestä C:\MyOtherFolderjne. Siksi on suositeltavaa, että koko polku on käytössä aina, kun se on mahdollista.

Yleismerkkien käyttäminen prosessin poissulkemisluettelossa

Yleismerkkien käyttö prosessin poissulkemisluettelossa eroaa niiden käytöstä muissa poissulkemisluetteloissa. Kun prosessin poissulkeminen määritetään vain kuvan nimeksi, yleismerkkien käyttöä ei sallita. Kuitenkin kun koko polkua käytetään, yleismerkkejä tuetaan ja yleismerkkitoiminta toimii kohdassa Tiedosto- ja Kansiopoikkeukset kuvatulla tavalla

Tuetaan myös ympäristömuuttujien (kuten %ALLUSERSPROFILE%) käyttämistä yleismerkkinä, kun määritetään prosessin poissulkemisluettelon kohteita. Lisätietoja ja täydellinen luettelo tuetuista ympäristömuuttujista on kohdassa Tiedosto- ja Kansiopoikkeukset.

Seuraavassa taulukossa kuvataan, miten yleismerkkejä voidaan käyttää prosessin poissulkemisluettelossa, kun polku annetaan:

Yleismerkki Esimerkkikäytöstä Esimerkkivastaavuus
* (tähti)

Korvaa minkä tahansa merkkimäärän.

 C:\MyFolder\* Mikä tahansa tiedosto, jonka on C:\MyFolder\MyProcess.exe avannut tai C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Mikä tahansa tiedosto, jonka on C:\MyFolder1\MyFolder2\MyProcess.exe avannut tai C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Mikä tahansa tiedosto, jonka on C:\MyOtherFolder\MyFolder\MyProcess.exe avannut tai C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (kysymysmerkki)

Korvaa yhden merkin.

 C:\MyFolder\MyProcess??.exe Mikä tahansa tiedosto, jonka C:\MyFolder\MyProcess42.exe on avannut tai C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Ympäristömuuttujat %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Mikä tahansa avaamasi tiedosto C:\ProgramData\MyFolder\MyProcess.exe

Kontekstiprosessipoikkeukset

Huomaa, että prosessin poissulkeminen voidaan määritellä myös asiayhteyden poikkeuksen kautta, jolloin esimerkiksi tietty tiedosto voidaan sulkea pois vain, jos se avataan tietyssä prosessissa.

Määritä määritettyjen prosessien avaamien tiedostojen poissulkemisten luettelo

Microsoft Intune avulla voit jättää pois tiedostot, jotka on avattu määritetyillä prosesseilla, skannauksista

Lisätietoja on artikkelissa Laiterajoitusasetusten määrittäminen Microsoft Intune ja Microsoft Defender virustentorjuntaohjelman laiterajoitusasetukset Windows 10 Intune.

Microsoft Configuration Manager avulla voit jättää pois tiedostot, jotka on avattu määritetyillä prosesseilla, skannauksista

Lisätietoja Microsoft Configuration Manager (nykyisen haaran) määrittämisestä on kohdassa Haittaohjelmien torjuntakäytäntöjen luominen ja käyttöönotto: Poissulkemisasetukset.

ryhmäkäytäntö avulla voit jättää pois tiedostot, jotka on avattu määritetyillä prosesseilla, skannauksista

  1. Avaa ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse Muokkaa.

  2. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset ja valitse Hallintamallit.

  3. Laajenna puu windows-osiin > , Microsoft Defender virustentorjuntapoikkeukset>.

  4. Kaksoisnapsauta Prosessipoikkeukset-kohtaa ja lisää poikkeukset:

    1. Määritä asetuksen arvoksi Käytössä.
    2. Valitse Asetukset-osiossaNäytä....
    3. Kirjoita kukin prosessi omalle rivilleen Arvon nimi - sarakkeeseen. Katso esimerkkitaulukosta erityyppiset prosessin poissulkemiset. Kirjoita kaikkien prosessien Arvo-sarakkeeseen 0.

  5. Napsauta OK.

PowerShellin cmdlet-komentojen avulla voit sulkea pois tiedostoja, jotka on avattu määritetyillä prosesseilla skannauksista

Prosessien avaamien tiedostojen poissulkemisten lisääminen tai poistaminen PowerShellin avulla edellyttää kolmen cmdlet-komennon ja parametrin yhdistelmää -ExclusionProcess . Cmdlet-komennot ovat kaikki Defender-moduulissa.

Cmdlet-komentojen muoto on seuraava:

<cmdlet> -ExclusionProcess "<item>"

Cmdlet-komentona <>voi olla seuraavat:

Määritystoiminto PowerShellin cmdlet-komento
Create tai korvata luettelon Set-MpPreference
Lisää luetteloon Add-MpPreference
Poista kohteita luettelosta Remove-MpPreference

Tärkeää

Jos olet luonut luettelon joko -komennolla tai Add-MpPreference-komennollaSet-MpPreference, cmdlet-komento Set-MpPreference korvaa aiemmin luodun luettelon.

Esimerkiksi seuraava koodikatkelma aiheuttaisi sen, että Microsoft Defender virustentorjuntatarkistuksia poistaisivat määritetyn prosessin avaamat tiedostot:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Lisätietoja PowerShellin käyttämisestä Microsoft Defender virustentorjunnan kanssa on artikkelissa Virustentorjunnan hallinta PowerShellin cmdlet-komennoilla ja Microsoft Defender virustentorjunnan cmdlet-komennoilla.

Windowsin hallintaohjeiden (WMI) avulla voit sulkea pois tiedostoja, jotka on avattu määritetyillä prosesseilla skannauksista

Käytä MSFT_MpPreference luokan Joukko-, Lisää- ja Poista-menetelmiä seuraavissa ominaisuuksissa:

ExclusionProcess

Set-, Add- ja Remove-parametrien käyttö vastaa powerShellin Set-MpPreferencevastaavia: , Add-MpPreferenceja Remove-MpPreference.

Lisätietoja ja sallitut parametrit on kohdassa Windows Defender WMIv2-ohjelmointirajapinnat.

Windowsin suojaus sovelluksen avulla voit jättää pois tiedostot, jotka on avattu määritetyillä prosesseilla skannauksista

Noudata ohjeita kohdassa Lisää poissulkemisia Windowsin suojaus -sovelluksessa.

Tarkista poissulkemisten luettelo

Voit noutaa poissulkemisluettelon kohteet MpCmdRun-, PowerShell-, Microsoft Configuration Manager-, Intune- tai Windowsin suojaus -sovelluksella.

Jos käytät PowerShelliä, voit noutaa luettelon kahdella tavalla:

  • Nouda kaikkien Microsoft Defender virustentorjunta-asetusten tila. Jokainen luettelo näkyy erillisillä riveillä, mutta kunkin luettelon kohteet yhdistetään samalle riville.
  • Kirjoita kaikkien asetusten tila muuttujaan ja käytä tätä muuttujaa kutsumaan vain haluamaasi luetteloa. Jokainen -käyttötarkoitus Add-MpPreference kirjoitetaan uudelle riville.

Vahvista poissulkemisluettelo mpCmdRunin avulla

Voit tarkistaa poikkeukset erillisellä komentorivityökalulla mpcmdrun.exekäyttämällä seuraavaa komentoa:

MpCmdRun.exe -CheckExclusion -path <path>

Huomautus

Poissulkemisten tarkistaminen MpCmdRunin avulla edellyttää Microsoft Defender Antivirus CAMP -versiota 4.18.1812.3 (julkaistu joulukuussa 2018) tai uudempaa versiota.

Tarkista poissulkemisten luettelo muiden Microsoft Defender virustentorjunta-asetusten lisäksi PowerShellin avulla

Käytä seuraavaa cmdlet-komentoa:

Get-MpPreference

Lisätietoja PowerShellin käyttämisestä Microsoft Defender virustentorjunnan kanssa on artikkelissa PowerShellin cmdlet-komentojen käyttäminen Microsoft Defender virustentorjunnan jaMicrosoft Defender virustentorjunnan cmdlet-komentojen määrittämiseen ja suorittamiseen.

Tietyn poissulkemisluettelon noutaminen PowerShellin avulla

Käytä seuraavaa koodikatkelmakoodia (kirjoita kukin rivi erillisenä komentona); korvaa WDAVprefs millä tahansa selitteellä, jonka haluat nimetä muuttujalle:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Lisätietoja PowerShellin käyttämisestä Microsoft Defender virustentorjunnan kanssa on artikkelissa PowerShellin cmdlet-komentojen käyttäminen Microsoft Defender virustentorjunnan jaMicrosoft Defender virustentorjunnan cmdlet-komentojen määrittämiseen ja suorittamiseen.

Vihje

Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.