Configurer et valider des exclusions pour les analyses antivirus Microsoft Defender

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Antivirus Microsoft Defender

Plateformes

• Windows

Vous pouvez exclure certains fichiers, dossiers, processus et fichiers ouverts par processus des analyses antivirus Microsoft Defender. Ces exclusions s’appliquent aux analyses planifiées, auxanalyses à la demande et à la protection et à la surveillance en temps réel toujours activées. Les exclusions pour les fichiers ouverts par processus s’appliquent uniquement à la protection en temps réel.

Conseil

Pour obtenir une vue d’ensemble détaillée des suppressions, des soumissions et des exclusions dans Microsoft Defender Antivirus et Defender pour point de terminaison, consultez Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender.

Configurer et valider des exclusions

Pour configurer et valider les exclusions, consultez les rubriques suivantes :

• Configurez et validez les exclusions en fonction du nom de fichier, de l’extension et de l’emplacement du dossier. Vous pouvez exclure des fichiers des analyses antivirus Microsoft Defender en fonction de leur extension de fichier, de leur nom de fichier ou de leur emplacement.

• Configurez et validez les exclusions pour les fichiers ouverts par les processus. Vous pouvez exclure des fichiers des analyses qui ont été ouvertes par un processus spécifique.

Recommandations pour définir des exclusions

Importante

Microsoft Defender Antivirus inclut de nombreuses exclusions automatiques basées sur des comportements connus du système d’exploitation et des fichiers de gestion classiques, tels que ceux utilisés dans la gestion d’entreprise, la gestion de base de données et d’autres scénarios et situations d’entreprise. Pour plus d’informations, consultez Exclusions automatiques.

La définition d’exclusions réduit la protection offerte par Microsoft Defender Antivirus. Vous devez toujours évaluer les risques associés à l’implémentation des exclusions, et vous devez uniquement exclure les fichiers dont vous êtes certain qu’ils ne sont pas malveillants.

Gardez les points suivants à l’esprit lorsque vous définissez des exclusions :

• Les exclusions constituent techniquement une faille de protection. Tenez compte de toutes vos options lors de la définition d’exclusions. D’autres options peuvent être aussi simples que de s’assurer que l’emplacement exclu dispose des listes de contrôle d’accès (ACL) appropriées ou de définir des stratégies pour le mode audit au début.

• Passez régulièrement en revue les exclusions. Revérifier et appliquer à nouveau les atténuations dans le cadre de votre processus de révision.

• Dans l’idéal, évitez de définir des exclusions afin d’être proactif. Par exemple, n’excluez pas quelque chose simplement parce que vous pensez que cela pourrait être un problème à l’avenir. Utilisez des exclusions uniquement pour des problèmes spécifiques, tels que ceux liés aux performances ou à la compatibilité des applications que les exclusions peuvent atténuer.

• Passez en revue et auditez les modifications apportées à votre liste d’exclusions. Votre équipe de sécurité doit conserver le contexte concernant la raison pour laquelle une certaine exclusion a été ajoutée pour éviter toute confusion ultérieurement. Votre équipe de sécurité doit être en mesure de fournir des réponses spécifiques aux questions sur la raison de l’existence des exclusions.

Auditer les exclusions d’antivirus

Exchange prend en charge l’intégration à l’interface d’analyse des logiciels malveillants (AMSI) depuis la Mises à jour trimestrielle de juin 2021 pour Exchange. Il est vivement recommandé de s’assurer que ces mises à jour sont installées et QU’AMSI utilise les conseils fournis par l’équipe Exchange, car cette intégration permettra à l’antivirus Defender de détecter et de bloquer l’exploitation d’Exchange.

De nombreuses organisations excluent les répertoires Exchange des analyses antivirus pour des raisons de performances. Microsoft recommande d’auditer les exclusions av sur les systèmes Exchange et d’évaluer si elles peuvent être supprimées sans affecter les performances de votre environnement pour garantir le niveau de protection le plus élevé. Les exclusions peuvent être gérées à l’aide de stratégie de groupe, de PowerShell ou d’outils de gestion des systèmes tels que Microsoft Endpoint Configuration Manager.

Pour auditer les exclusions av sur un Exchange Server exécutant l’antivirus Defender, exécutez la commande Get-MpPreference à partir d’une invite PowerShell avec élévation de privilèges.

Si les exclusions ne peuvent pas être supprimées pour les processus et dossiers Exchange, l’exécution d’une analyse rapide dans l’Antivirus Defender analyse les répertoires et fichiers Exchange, quelles que soient les exclusions.

Conseil

Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :

• Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
• Microsoft Defender pour point de terminaison sur Mac
• Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
• Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
• Microsoft Defender pour point de terminaison Linux
• Configurer Defender pour point de terminaison pour des fonctionnalités Android
• configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS

Voir aussi

• exclusions antivirus Microsoft Defender sur Windows Server 2016
• Erreurs courantes à éviter lors de la définition d’exclusions
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender