Configurer des exclusions pour les fichiers ouverts par les processus

S’applique à :

Plateformes

  • Windows

Vous pouvez exclure des fichiers ouverts par des processus spécifiques des analyses antivirus Microsoft Defender. Notez que ces types d’exclusions concernent les fichiers ouverts par les processus et non par les processus eux-mêmes. Pour exclure un processus, ajoutez une exclusion de fichier (consultez Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier).

Consultez Points importants sur les exclusions et passez en revue les informations dans Gérer les exclusions pour Microsoft Defender pour point de terminaison et Microsoft Defender Antivirus avant de définir vos listes d’exclusions.

Cet article explique comment configurer des listes d’exclusion.

Exemples d’exclusions de processus

Exclusion Exemple
Tout fichier sur l’ordinateur ouvert par n’importe quel processus avec un nom de fichier spécifique La spécification exclut les test.exe fichiers ouverts par :

c:\sample\test.exe

d:\internal\files\test.exe

Tout fichier sur l’ordinateur ouvert par n’importe quel processus dans un dossier spécifique La spécification exclut les c:\test\sample\* fichiers ouverts par :

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Tout fichier sur l’ordinateur ouvert par un processus spécifique dans un dossier spécifique La spécification exclut les c:\test\process.exe fichiers ouverts uniquement par c:\test\process.exe

Lorsque vous ajoutez un processus à la liste d’exclusion de processus, Microsoft Defender Antivirus n’analyse pas les fichiers ouverts par ce processus, quel que soit l’emplacement des fichiers. Toutefois, le processus lui-même sera analysé, sauf s’il a également été ajouté à la liste d’exclusions de fichiers.

Les exclusions s’appliquent uniquement à la protection et à la surveillance en temps réel toujours activées. Elles ne s’appliquent pas aux analyses planifiées ou à la demande.

Les modifications apportées avec stratégie de groupe aux listes d’exclusion s’affichent dans les listes de l’application Sécurité Windows. Toutefois, les modifications apportées à l’application Sécurité Windows ne s’affichent pas dans les listes stratégie de groupe.

Vous pouvez ajouter, supprimer et examiner les listes pour les exclusions dans stratégie de groupe, Microsoft Configuration Manager, Microsoft Intune et avec l’application Sécurité Windows, et vous pouvez utiliser des caractères génériques pour personnaliser davantage les listes.

Vous pouvez également utiliser les applets de commande PowerShell et WMI pour configurer les listes d’exclusion, y compris l’examen de vos listes.

Par défaut, les modifications locales apportées aux listes (par les utilisateurs disposant de privilèges d’administrateur ; les modifications apportées avec PowerShell et WMI) sont fusionnées avec les listes telles que définies (et déployées) par stratégie de groupe, Configuration Manager ou Intune. Les listes stratégie de groupe sont prioritaires en cas de conflits.

Vous pouvez configurer la façon dont les listes d’exclusions définies localement et globalement sont fusionnées pour autoriser les modifications locales à remplacer les paramètres de déploiement managé.

Remarque

Les règles de protection réseau et de réduction de la surface d’attaque sont directement affectées par les exclusions de processus sur toutes les plateformes, ce qui signifie qu’une exclusion de processus sur n’importe quel système d’exploitation (Windows, MacOS, Linux) entraîne l’impossibilité d’inspecter le trafic ou d’appliquer des règles pour ce processus spécifique.

Nom de l’image et chemin d’accès complet pour les exclusions de processus

Deux types d’exclusions de processus peuvent être définis. Un processus peut être exclu par le nom de l’image ou par le chemin d’accès complet. Le nom de l’image est simplement le nom de fichier du processus, sans le chemin d’accès.

Par exemple, étant donné que le processus MyProcess.exe en cours d’exécution à partir du C:\MyFolder\ chemin d’accès complet à ce processus serait C:\MyFolder\MyProcess.exe et que le nom de l’image est MyProcess.exe.

Les exclusions de nom d’image sont beaucoup plus larges : une exclusion sur MyProcess.exe exclut tous les processus portant ce nom d’image, quel que soit le chemin d’accès à partir duquel ils sont exécutés. Par exemple, si le processus MyProcess.exe est exclu par le nom de l’image, il est également exclu s’il est exécuté à partir de , à partir d’un C:\MyOtherFoldermédia amovible, etc. Par conséquent, il est recommandé d’utiliser le chemin d’accès complet dans la mesure du possible.

Utiliser des caractères génériques dans la liste d’exclusions de processus

L’utilisation de caractères génériques dans la liste d’exclusions de processus est différente de leur utilisation dans d’autres listes d’exclusion. Lorsque l’exclusion de processus est définie comme nom d’image uniquement, l’utilisation de caractères génériques n’est pas autorisée. Toutefois, lorsqu’un chemin d’accès complet est utilisé, les caractères génériques sont pris en charge et le comportement des caractères génériques se comporte comme décrit dans Exclusions de fichiers et de dossiers

L’utilisation de variables d’environnement (telles que %ALLUSERSPROFILE%) comme caractères génériques lors de la définition d’éléments dans la liste d’exclusions de processus est également prise en charge. Les détails et la liste complète des variables d’environnement prises en charge sont décrits dans Exclusions de fichiers et de dossiers.

Le tableau suivant décrit comment les caractères génériques peuvent être utilisés dans la liste d’exclusion de processus, lorsqu’un chemin d’accès est fourni :

Caractère générique Exemple d’utilisation Exemples de correspondances
* (astérisque)

Remplace n’importe quel nombre de caractères.

C:\MyFolder\* Tout fichier ouvert par C:\MyFolder\MyProcess.exe ou C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Tout fichier ouvert par C:\MyFolder1\MyFolder2\MyProcess.exe ou C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Tout fichier ouvert par C:\MyOtherFolder\MyFolder\MyProcess.exe ou C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (point d’interrogation)

Remplace un caractère.

C:\MyFolder\MyProcess??.exe Tout fichier ouvert par C:\MyFolder\MyProcess42.exe ou ou C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Variables d’envionment %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Tout fichier ouvert par C:\ProgramData\MyFolder\MyProcess.exe

Exclusions de processus contextuels

Notez qu’une exclusion de processus peut également être définie via une exclusion contextuelle , ce qui permet par exemple d’exclure un fichier spécifique uniquement s’il est ouvert par un processus spécifique.

Configurer la liste des exclusions pour les fichiers ouverts par des processus spécifiés

Utiliser Microsoft Intune pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Pour plus d’informations, consultez Configurer les paramètres de restriction d’appareil dans Microsoft Intune et Microsoft Defender Paramètres de restriction d’appareil antivirus pour Windows 10 dans Intune.

Utiliser Microsoft Configuration Manager pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Pour plus d’informations sur la configuration des Microsoft Configuration Manager (Current Branch), consultez Comment créer et déployer des stratégies anti-programme malveillant : paramètres d’exclusion.

Utiliser stratégie de groupe pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

  1. Sur votre ordinateur de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.

  2. Dans le Rédacteur gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis cliquez sur Modèles d’administration.

  3. Développez l’arborescence composants > Windows Microsoft Defender Exclusions d’antivirus>.

  4. Double-cliquez sur Exclusions de processus et ajoutez les exclusions :

    1. Définissez l’option sur Activé.
    2. Dans la section Options , cliquez sur Afficher....
    3. Entrez chaque processus sur sa propre ligne sous la colonne Nom de la valeur . Consultez l’exemple de tableau pour connaître les différents types d’exclusions de processus. Entrez 0 dans la colonne Valeur pour tous les processus.
  5. Cliquez sur OK.

Utiliser des applets de commande PowerShell pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

L’utilisation de PowerShell pour ajouter ou supprimer des exclusions pour les fichiers qui ont été ouverts par des processus nécessite l’utilisation d’une combinaison de trois applets de commande avec le -ExclusionProcess paramètre . Les applets de commande se trouvent toutes dans le module Defender.

Le format des applets de commande est le suivant :

<cmdlet> -ExclusionProcess "<item>"

Les éléments suivants sont autorisés en tant qu’applet de <commande> :

Action de configuration Applet de commande PowerShell
Créer ou remplacer la liste Set-MpPreference
Ajouter à la liste Add-MpPreference
Supprimer des éléments de la liste Remove-MpPreference

Importante

Si vous avez créé une liste, avec Set-MpPreference ou Add-MpPreference, l’utilisation de l’applet Set-MpPreference de commande remplacera la liste existante.

Par exemple, l’extrait de code suivant entraîne Microsoft Defender analyses antivirus pour exclure tout fichier ouvert par le processus spécifié :

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Gérer l’antivirus avec les applets de commande PowerShell et les applets de commande antivirus Microsoft Defender.

Utiliser l’instruction WMI (Windows Management Instruction) pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Utilisez les méthodes Set, Add et Remove de la classe MSFT_MpPreference pour les propriétés suivantes :

ExclusionProcess

L’utilisation de Set, Add et Remove est analogue à leurs équivalents dans PowerShell : Set-MpPreference, Add-MpPreferenceet Remove-MpPreference.

Pour plus d’informations et les paramètres autorisés, consultez Windows Defender API WMIv2.

Utiliser l’application Sécurité Windows pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Suivez les instructions fournies dans Ajouter des exclusions dans l’application Sécurité Windows.

Passer en revue la liste des exclusions

Vous pouvez récupérer les éléments de la liste d’exclusion avec MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune ou l’application Sécurité Windows.

Si vous utilisez PowerShell, vous pouvez récupérer la liste de deux manières :

  • Récupérez les status de toutes les préférences antivirus Microsoft Defender. Chacune des listes est affichée sur des lignes distinctes, mais les éléments de chaque liste sont combinés dans la même ligne.
  • Écrivez la status de toutes les préférences dans une variable et utilisez cette variable pour appeler uniquement la liste spécifique qui vous intéresse. Chaque utilisation de Add-MpPreference est écrite sur une nouvelle ligne.

Valider la liste d’exclusions à l’aide de MpCmdRun

Pour case activée des exclusions avec l’outil en ligne de commande dédié mpcmdrun.exe, utilisez la commande suivante :

MpCmdRun.exe -CheckExclusion -path <path>

Remarque

La vérification des exclusions avec MpCmdRun nécessite Microsoft Defender Antivirus CAMP version 4.18.1812.3 (publiée en décembre 2018) ou ultérieure.

Passez en revue la liste des exclusions avec toutes les autres préférences antivirus Microsoft Defender à l’aide de PowerShell

Utilisez l’applet de commande suivante :

Get-MpPreference

Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Utiliser des applets de commande PowerShell pour configurer et exécuter Microsoft Defender Antivirus et les applets de commande antivirus Microsoft Defender .

Récupérer une liste d’exclusions spécifique à l’aide de PowerShell

Utilisez l’extrait de code suivant (entrez chaque ligne en tant que commande distincte) ; remplacez WDAVprefs par l’étiquette que vous souhaitez nommer la variable :

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Utiliser des applets de commande PowerShell pour configurer et exécuter Microsoft Defender Antivirus et les applets de commande antivirus Microsoft Defender.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.