Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier

S’applique à :

Plateformes

  • Windows

Vous pouvez définir des exclusions pour Microsoft Defender Antivirus qui s’appliquent aux analyses planifiées, aux analyses à la demande et à la protection et à la surveillance en temps réel toujours activées. En règle générale, vous n’avez pas besoin d’appliquer d’exclusions. Si vous avez besoin d’appliquer des exclusions, vous pouvez choisir parmi les options suivantes :

Importante

Microsoft Defender exclusions antivirus s’appliquent à certaines fonctionnalités Microsoft Defender pour point de terminaison, telles que les règles de réduction de la surface d’attaque (ASR). Certaines exclusions Microsoft Defender antivirus s’appliquent à certaines exclusions de règle ASR. Consultez Informations de référence sur les règles de réduction de la surface d’attaque - Microsoft Defender Exclusions antivirus et règles ASR. Les fichiers que vous excluez à l’aide des méthodes décrites dans cet article peuvent toujours déclencher des alertes de détection et de réponse de point de terminaison (EDR) et d’autres détections. Pour exclure des fichiers à grande échelle, ajoutez-les au Microsoft Defender pour point de terminaison indicateurs personnalisés.

Avant de commencer

Consultez Recommandations pour définir des exclusions avant de définir vos listes d’exclusions.

Listes d’exclusions

Pour exclure certains fichiers des analyses antivirus Microsoft Defender, modifiez vos listes d’exclusions. Microsoft Defender Antivirus inclut de nombreuses exclusions automatiques basées sur des comportements connus du système d’exploitation et des fichiers de gestion classiques, tels que ceux utilisés dans la gestion d’entreprise, la gestion de base de données et d’autres scénarios et situations d’entreprise.

Remarque

Les exclusions s’appliquent également aux détections d’applications potentiellement indésirables (PUA ). Les exclusions automatiques s’appliquent uniquement aux Windows Server 2016 et versions ultérieures. Ces exclusions ne sont pas visibles dans l’application Sécurité Windows et dans PowerShell.

Le tableau suivant répertorie quelques exemples d’exclusions basées sur l’extension de fichier et l’emplacement du dossier.

Exclusion Exemples Liste d’exclusions
Tout fichier avec une extension spécifique Tous les fichiers avec l’extension spécifiée, n’importe où sur l’ordinateur.

Syntaxe valide : .test et test

Exclusions d’extension
N’importe quel fichier sous un dossier spécifique Tous les fichiers sous le c:\test\sample dossier Exclusions de fichiers et de dossiers
Un fichier spécifique dans un dossier spécifique c:\sample\sample.test Fichier uniquement Exclusions de fichiers et de dossiers
Un processus spécifique Fichier exécutable c:\test\process.exe Exclusions de fichiers et de dossiers

Caractéristiques des listes d’exclusion

  • Les exclusions de dossier s’appliquent à tous les fichiers et dossiers de ce dossier, sauf si le sous-dossier est un point d’analyse. Les sous-dossiers de point d’analyse doivent être exclus séparément.
  • Les extensions de fichier s’appliquent à n’importe quel nom de fichier avec l’extension définie si aucun chemin d’accès ou dossier n’est défini.

Remarques importantes sur les exclusions basées sur les extensions de fichiers et les emplacements des dossiers

Configurer la liste des exclusions en fonction du nom de dossier ou de l’extension de fichier

Vous pouvez choisir parmi plusieurs méthodes pour définir des exclusions pour Microsoft Defender Antivirus.

Utiliser Intune pour configurer des exclusions de nom de fichier, de dossier ou d’extension de fichier

Consultez les articles suivants :

Utiliser Configuration Manager pour configurer des exclusions de nom de fichier, de dossier ou d’extension de fichier

Pour plus d’informations sur la configuration de Microsoft Endpoint Manager (Current Branch), consultez Comment créer et déployer des stratégies anti-programme malveillant : paramètres d’exclusion .

Utiliser stratégie de groupe pour configurer des exclusions d’extension de dossier ou de fichier

Remarque

Si vous spécifiez un chemin d’accès complet à un fichier, seul ce fichier est exclu. Si un dossier est défini dans l’exclusion, tous les fichiers et sous-répertoires de ce dossier sont exclus.

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, faites un clic droit sur l’objet de stratégie de groupe à configurer, puis sélectionnez Modifier.

  2. Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence composants> Windows Microsoft DefenderExclusions antivirus>.

  4. Ouvrez le paramètre Exclusions de chemin d’accès à modifier et ajoutez vos exclusions.

    1. Définissez l’option sur Activé.
    2. Dans la section Options , sélectionnez Afficher.
    3. Spécifiez chaque dossier sur sa propre ligne sous la colonne Nom de la valeur .
    4. Si vous spécifiez un fichier, veillez à entrer un chemin d’accès complet au fichier, y compris la lettre de lecteur, le chemin du dossier, le nom de fichier et l’extension.
    5. Entrez 0 dans la colonne Valeur .
  5. Sélectionnez OK.

  6. Ouvrez le paramètre Exclusions d’extension pour modifier et ajoutez vos exclusions.

    1. Définissez l’option sur Activé.
    2. Dans la section Options , sélectionnez Afficher.
    3. Entrez chaque extension de fichier sur sa propre ligne sous la colonne Nom de la valeur .
    4. Entrez 0 dans la colonne Valeur .
  7. Sélectionnez OK.

Utiliser les applets de commande PowerShell pour configurer des exclusions de nom de fichier, de dossier ou d’extension de fichier

L’utilisation de PowerShell pour ajouter ou supprimer des exclusions pour des fichiers en fonction de l’extension, de l’emplacement ou du nom de fichier nécessite l’utilisation d’une combinaison de trois applets de commande et du paramètre de liste d’exclusion approprié. Les applets de commande se trouvent toutes dans le module Defender.

Le format des applets de commande est le suivant :

<cmdlet> -<exclusion list> "<item>"

Le tableau suivant répertorie les applets de commande que vous pouvez utiliser dans la <cmdlet> partie de l’applet de commande PowerShell :

Action de configuration Applet de commande PowerShell
Créer ou remplacer la liste Set-MpPreference
Ajouter à la liste Add-MpPreference
Supprimer l’élément de la liste Remove-MpPreference

Le tableau suivant répertorie les valeurs que vous pouvez utiliser dans la <exclusion list> partie de l’applet de commande PowerShell :

Type d’exclusion Paramètre PowerShell
Tous les fichiers avec une extension de fichier spécifiée -ExclusionExtension
Tous les fichiers d’un dossier (y compris les fichiers dans les sous-répertoires) ou d’un fichier spécifique -ExclusionPath

Importante

Si vous avez créé une liste, avec Set-MpPreference ou Add-MpPreference, l’utilisation de l’applet Set-MpPreference de commande remplacera la liste existante.

Par exemple, l’extrait de code suivant entraîne Microsoft Defender’analyse antivirus d’exclure tout fichier avec l’extension de .test fichier :

Add-MpPreference -ExclusionExtension ".test"

Utiliser WMI (Windows Management Instrumentation) pour configurer des exclusions de nom de fichier, de dossier ou d’extension de fichier

Utilisez les méthodes Set, Add et Remove de la classe MSFT_MpPreference pour les propriétés suivantes :

ExclusionExtension
ExclusionPath

L’utilisation de Set, Add et Remove est analogue à leurs équivalents dans PowerShell : Set-MpPreference, Add-MpPreferenceet Remove-MpPreference.

Conseil

Pour plus d’informations, consultez Windows Defender API WMIv2.

Utiliser l’application Sécurité Windows pour configurer des exclusions de nom de fichier, de dossier ou d’extension de fichier

Pour obtenir des instructions, consultez Ajouter des exclusions dans l’application Sécurité Windows.

Utiliser des caractères génériques dans les listes d’exclusion de nom de fichier et de chemin d’accès au dossier ou d’extension

Vous pouvez utiliser l’astérisque *, le point ?d’interrogation ou les variables d’environnement (telles que %ALLUSERSPROFILE%) comme caractères génériques lors de la définition d’éléments dans la liste d’exclusion de nom de fichier ou de chemin d’accès au dossier. La façon dont ces caractères génériques sont interprétés diffère de leur utilisation habituelle dans d’autres applications et langages. Veillez à lire cette section pour comprendre leurs limitations spécifiques.

Importante

Il existe des limitations et des scénarios d’utilisation clés pour ces caractères génériques :

  • L’utilisation des variables d’environnement est limitée aux variables de machine et à celles applicables aux processus s’exécutant en tant que compte NT AUTHORITY\SYSTEM.
  • Vous ne pouvez utiliser que six caractères génériques au maximum par entrée.
  • Vous ne pouvez pas utiliser un caractère générique à la place d’une lettre de lecteur.
  • Un astérisque * dans une exclusion de dossier est en place pour un dossier unique. Utilisez plusieurs instances de \*\ pour indiquer plusieurs dossiers imbriqués avec des noms non spécifiés.

Le tableau suivant décrit comment les caractères génériques peuvent être utilisés et fournit quelques exemples.

Caractère générique Exemples
* (astérisque)

Dans les inclusions de nom de fichier et d’extension de fichier, l’astérisque remplace un nombre quelconque de caractères et s’applique uniquement aux fichiers du dernier dossier défini dans l’argument .

Dans les exclusions de dossier, l’astérisque remplace un dossier unique. Utilisez plusieurs * avec des barres obliques \ de dossier pour indiquer plusieurs dossiers imbriqués. Après avoir fait correspondre le nombre de dossiers génériques et nommés, tous les sous-dossiers sont également inclus.

C:\MyData\*.txt Comprend C:\MyData\notes.txt

C:\somepath\*\Data inclut n’importe quel fichier dans C:\somepath\Archives\Data et ses sous-dossiers, et C:\somepath\Authorized\Data ses sous-dossiers

C:\Serv\*\*\Backup inclut n’importe quel fichier dans C:\Serv\Primary\Denied\Backup et ses sous-dossiers, et C:\Serv\Secondary\Allowed\Backup ses sous-dossiers

? (point d’interrogation)

Dans les inclusions de nom de fichier et d’extension de fichier, le point d’interrogation remplace un caractère unique et s’applique uniquement aux fichiers du dernier dossier défini dans l’argument .

Dans les exclusions de dossier, le point d’interrogation remplace un caractère unique dans un nom de dossier. Après avoir fait correspondre le nombre de dossiers génériques et nommés, tous les sous-dossiers sont également inclus.

C:\MyData\my?.zip Comprend C:\MyData\my1.zip

C:\somepath\?\Data inclut n’importe quel fichier dans C:\somepath\P\Data et ses sous-dossiers

C:\somepath\test0?\Data inclurait n’importe quel fichier dans C:\somepath\test01\Data et ses sous-dossiers

Variables d’environnement

La variable définie est remplie en tant que chemin d’accès lorsque l’exclusion est évaluée.

%ALLUSERSPROFILE%\CustomLogFiles comprendrait C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Importante

Si vous combinez un argument d’exclusion de fichier avec un argument d’exclusion de dossier, les règles s’arrêtent au niveau de la correspondance de l’argument de fichier dans le dossier correspondant et ne recherchent pas de correspondances de fichier dans les sous-dossiers. Par exemple, vous pouvez exclure tous les fichiers qui commencent par « date » dans les dossiers c:\data\final\marked et c:\data\review\marked en utilisant l’argument c:\data\*\marked\date*de règle . Toutefois, cet argument ne correspond à aucun fichier dans les sous-dossiers sous c:\data\final\marked ou c:\data\review\marked.

Variables d’environnement système

Le tableau suivant répertorie et décrit les variables d’environnement du compte système.

Cette variable d’environnement système... Redirige vers ce
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Passer en revue la liste des exclusions

Vous pouvez récupérer les éléments de la liste d’exclusion à l’aide de l’une des méthodes suivantes :

Importante

Les modifications apportées à la liste d’exclusion avec stratégie de groupe s’affichent dans les listes de Sécurité Windows’application. Les modifications apportées à l’application Sécurité Windows ne s’affichent pas dans les listes stratégie de groupe.

Si vous utilisez PowerShell, vous pouvez récupérer la liste des deux manières suivantes :

  • Récupérez l’état de toutes les préférences antivirus Microsoft Defender. Chaque liste est affichée sur des lignes distinctes, mais les éléments de chaque liste sont combinés dans la même ligne.
  • Écrivez l’état de toutes les préférences dans une variable et utilisez cette variable pour appeler uniquement la liste spécifique qui vous intéresse. Chaque utilisation de Add-MpPreference est écrite sur une nouvelle ligne.

Valider la liste d’exclusions à l’aide de MpCmdRun

Pour vérifier les exclusions avec l’outil en ligne de commande dédié mpcmdrun.exe, utilisez la commande suivante :

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Remarque

La vérification des exclusions avec MpCmdRun nécessite Microsoft Defender Antivirus CAMP version 4.18.2111-5.0 (publiée en décembre 2021) ou ultérieure.

Passez en revue la liste des exclusions avec toutes les autres préférences antivirus Microsoft Defender à l’aide de PowerShell

Utilisez l’applet de commande suivante :

Get-MpPreference

Dans l’exemple suivant, les éléments contenus dans la ExclusionExtension liste sont mis en surbrillance :

Sortie PowerShell pour Get-MpPreference

Pour plus d’informations, consultez Utiliser les applets de commande PowerShell pour configurer et exécuter l’antivirus Microsoft Defender et les Applets de commande de l’antivirus Defender.

Récupérer une liste d’exclusions spécifique à l’aide de PowerShell

Utilisez l’extrait de code suivant (entrez chaque ligne en tant que commande distincte) ; remplacez WDAVprefs par l’étiquette que vous souhaitez nommer la variable :

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

Dans l’exemple suivant, la liste est divisée en nouvelles lignes pour chaque utilisation de l’applet Add-MpPreference de commande :

Sortie PowerShell affichant uniquement les entrées de la liste d’exclusion

Pour plus d’informations, consultez Utiliser les applets de commande PowerShell pour configurer et exécuter l’antivirus Microsoft Defender et les Applets de commande de l’antivirus Defender.

Valider les listes d’exclusions avec le fichier de test EICAR

Vous pouvez vérifier que vos listes d’exclusions fonctionnent en utilisant PowerShell avec l’applet Invoke-WebRequest de commande ou la classe WebClient .NET pour télécharger un fichier de test.

Dans l’extrait de code PowerShell suivant, remplacez par test.txt un fichier conforme à vos règles d’exclusion. Par exemple, si vous avez exclu l’extension .testing , remplacez par test.txttest.testing. Si vous testez un chemin d’accès, veillez à exécuter l’applet de commande dans ce chemin.

Invoke-WebRequest "http://www.eicar.org/download/eicar.com.txt" -OutFile "test.txt"

Si Microsoft Defender Antivirus signale un programme malveillant, la règle ne fonctionne pas. S’il n’y a aucun rapport de programme malveillant et que le fichier téléchargé existe, l’exclusion fonctionne. Vous pouvez ouvrir le fichier pour confirmer que le contenu est identique à ce qui est décrit sur le site web du fichier de test EICAR.

Vous pouvez également utiliser le code PowerShell suivant, qui appelle la classe WebClient .NET pour télécharger le fichier de test, comme avec l’applet Invoke-WebRequest de commande ; remplacez par c:\test.txt un fichier conforme à la règle que vous validez :

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Si vous n’avez pas accès à Internet, vous pouvez créer votre propre fichier de test EICAR en écrivant la chaîne EICAR dans un nouveau fichier texte avec la commande PowerShell suivante :

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Vous pouvez également copier la chaîne dans un fichier texte vide et tenter de l’enregistrer avec le nom de fichier ou dans le dossier que vous tentez d’exclure.

Voir aussi