Configurer des exclusions pour les fichiers ouverts par des processus

S’applique à :

Plateformes

  • Windows

Vous pouvez exclure des fichiers ouverts par des processus spécifiques des analyses antivirus Microsoft Defender. Consultez Recommandations pour définir des exclusions avant de définir vos listes d’exclusions.

Cet article explique comment configurer des listes d’exclusions.

Exemples d’exclusions

Exclusion Exemple
Tout fichier sur l’ordinateur ouvert par n’importe quel processus avec un nom de fichier spécifique La spécification exclut les test.exe fichiers ouverts par :

c:\sample\test.exe

d:\internal\files\test.exe

Tout fichier sur l’ordinateur ouvert par n’importe quel processus sous un dossier spécifique La spécification exclut les c:\test\sample\* fichiers ouverts par :

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Tout fichier sur l’ordinateur ouvert par un processus spécifique dans un dossier spécifique Spécifier c:\test\process.exe exclurait les fichiers ouverts uniquement par c:\test\process.exe

Lorsque vous ajoutez un processus à la liste d’exclusion de processus, Microsoft Defender Antivirus n’analyse pas les fichiers ouverts par ce processus, quel que soit l’emplacement des fichiers. Toutefois, le processus lui-même est analysé, sauf s’il a également été ajouté à la liste d’exclusions de fichiers.

Les exclusions s’appliquent uniquement à la protection et à la surveillance en temps réel always-on. Elles ne s’appliquent pas aux analyses planifiées ou à la demande.

Les modifications apportées avec stratégie de groupe aux listes d’exclusion s’affichent dans les listes de l’application Sécurité Windows. Toutefois, les modifications apportées à l’application Sécurité Windows ne s’affichent pas dans les listes stratégie de groupe.

Vous pouvez ajouter, supprimer et examiner les listes pour les exclusions dans stratégie de groupe, microsoft endpoint Configuration Manager, Microsoft Intune et avec l’application Sécurité Windows, et vous pouvez utiliser des caractères génériques pour personnaliser davantage les listes.

Vous pouvez également utiliser les applets de commande PowerShell et WMI pour configurer les listes d’exclusions, notamment en examinant vos listes.

Par défaut, les modifications locales apportées aux listes (par les utilisateurs disposant de privilèges d’administrateur ; les modifications apportées avec PowerShell et WMI) sont fusionnées avec les listes telles que définies (et déployées) par stratégie de groupe, Configuration Manager ou Intune. Les listes stratégie de groupe sont prioritaires en cas de conflits.

Vous pouvez configurer la fusion des listes d’exclusions définies localement et globalement pour permettre aux modifications locales de remplacer les paramètres de déploiement managé.

Configurer la liste des exclusions pour les fichiers ouverts par les processus spécifiés

Utilisez Microsoft Intune pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Consultez Configurer des paramètres de restriction d’appareils dans Microsoft Intune et Paramètres de restriction d’appareil de l’Antivirus Microsoft Defender pour Windows 10 pour obtenir des détails supplémentaires.

Utiliser Microsoft Endpoint Manager pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Découvrez comment créer et déployer des stratégies anti-programme malveillant : Paramètres d’exclusion pour plus d’informations sur la configuration de Microsoft Endpoint Manager (current branch).

Utiliser stratégie de groupe pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

  1. Sur votre ordinateur de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.

  2. Dans l’éditeur de gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis cliquez sur Modèles d’administration.

  3. Développez l’arborescence sur les composants > Windows Microsoft Defender exclusions antivirus>.

  4. Double-cliquez sur Exclusions de processus et ajoutez les exclusions :

    1. Définissez l’option sur Activé.
    2. Dans la section Options , cliquez sur Afficher....
    3. Entrez chaque processus sur sa propre ligne sous la colonne Nom de la valeur. Consultez l’exemple de tableau pour connaître les différents types d’exclusions de processus. Entrez 0 dans la colonne Valeur pour tous les processus.
  5. Cliquez sur OK.

Utiliser des applets de commande PowerShell pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

L’utilisation de PowerShell pour ajouter ou supprimer des exclusions pour les fichiers qui ont été ouverts par des processus nécessite l’utilisation d’une combinaison de trois applets de commande avec le -ExclusionProcess paramètre. Les applets de commande se trouvent toutes dans le module Defender.

Le format des applets de commande est le suivant :

<cmdlet> -ExclusionProcess "<item>"

Les éléments suivants sont autorisés en tant qu’applet de <commande> :

Action de configuration Applet de commande PowerShell
Créer ou remplacer la liste Set-MpPreference
Ajouter à la liste Add-MpPreference
Supprimer des éléments de la liste Remove-MpPreference

Importante

Si vous avez créé une liste, avec Set-MpPreference ou Add-MpPreference, l’utilisation de l’applet Set-MpPreference de commande remplacera à nouveau la liste existante.

Par exemple, l’extrait de code suivant entraîne l’exclusion Microsoft Defender analyses antivirus de tout fichier ouvert par le processus spécifié :

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Gérer l’antivirus avec les applets de commande PowerShell et Microsoft Defender applets de commande Antivirus.

Utiliser l’instruction de gestion Windows (WMI) pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Utilisez les méthodes Set, Add et Remove de la classe MSFT_MpPreference pour les propriétés suivantes :

ExclusionProcess

L’utilisation de Set, Add et Remove est analogue à leurs équivalents dans PowerShell : Set-MpPreference, Add-MpPreferenceet Remove-MpPreference.

Pour plus d’informations et les paramètres autorisés, consultez Windows Defender API WMIv2.

Utiliser l’application Sécurité Windows pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés

Pour obtenir des instructions, consultez Ajouter des exclusions dans l’application Sécurité Windows.

Utiliser des caractères génériques dans la liste d’exclusion de processus

L’utilisation de caractères génériques dans la liste d’exclusion de processus est différente de leur utilisation dans d’autres listes d’exclusions.

En particulier, vous ne pouvez pas utiliser le caractère générique de point d’interrogation (?) et le caractère générique astérisque (*) ne peut être utilisé qu’à la fin d’un chemin d’accès complet. Vous pouvez toujours utiliser des variables d’environnement (telles que %ALLUSERSPROFILE%) comme caractères génériques lors de la définition d’éléments dans la liste d’exclusion de processus.

Le tableau suivant décrit comment les caractères génériques peuvent être utilisés dans la liste d’exclusion de processus :

Caractère générique Exemple d’utilisation Exemples de correspondances
* (astérisque)

Remplace un nombre quelconque de caractères

C:\MyData\* Tout fichier ouvert par C:\MyData\file.exe
Variables d’environnement

La variable définie est remplie en tant que chemin d’accès lorsque l’exclusion est évaluée

%ALLUSERSPROFILE%\CustomLogFiles\file.exe Tout fichier ouvert par C:\ProgramData\CustomLogFiles\file.exe

Examiner la liste des exclusions

Vous pouvez récupérer les éléments de la liste d’exclusion avec MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intune ou l’application Sécurité Windows.

Si vous utilisez PowerShell, vous pouvez récupérer la liste de deux manières :

  • Récupérez l’état de toutes les préférences antivirus Microsoft Defender. Chacune des listes s’affiche sur des lignes distinctes, mais les éléments de chaque liste sont combinés dans la même ligne.
  • Écrivez l’état de toutes les préférences dans une variable et utilisez cette variable pour appeler uniquement la liste spécifique qui vous intéresse. Chaque utilisation est Add-MpPreference écrite dans une nouvelle ligne.

Valider la liste d’exclusion à l’aide de MpCmdRun

Pour vérifier les exclusions avec l’outil de ligne de commande dédié mpcmdrun.exe, utilisez la commande suivante :

MpCmdRun.exe -CheckExclusion -path <path>

Remarque

La vérification des exclusions avec MpCmdRun nécessite Microsoft Defender antivirus CAMP version 4.18.1812.3 (publiée en décembre 2018) ou version ultérieure.

Passez en revue la liste des exclusions avec toutes les autres préférences antivirus Microsoft Defender à l’aide de PowerShell

Utilisez l’applet de commande suivante :

Get-MpPreference

Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Utiliser les applets de commande PowerShell pour configurer et exécuter Microsoft Defender Antivirus et Microsoft Defender Antivirus.

Récupérer une liste d’exclusions spécifique à l’aide de PowerShell

Utilisez l’extrait de code suivant (entrez chaque ligne comme commande distincte) ; remplacez WDAVprefs par l’étiquette que vous souhaitez nommer la variable :

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Utiliser les applets de commande PowerShell pour configurer et exécuter Microsoft Defender Antivirus et Microsoft Defender Antivirus.