Configurer des exclusions personnalisées pour Microsoft Defender Antivirus

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Antivirus Microsoft Defender

Plateformes

• Windows

En général, vous n’avez pas besoin de définir des exclusions pour Microsoft Defender Antivirus. Toutefois, si nécessaire, vous pouvez exclure les fichiers, dossiers, processus et fichiers ouverts par le processus des analyses antivirus Microsoft Defender. Ces types d’exclusions sont appelés exclusions personnalisées. Cet article explique comment définir des exclusions personnalisées pour Microsoft Defender Antivirus avec Microsoft Intune et inclut des liens vers d’autres ressources pour plus d’informations.

Les exclusions personnalisées s’appliquent aux analyses planifiées, aux analyses à la demande et à la protection et à la surveillance en temps réel toujours activées. Les exclusions pour les fichiers ouverts par processus s’appliquent uniquement à la protection en temps réel.

Conseil

Pour obtenir une vue d’ensemble détaillée des suppressions, des soumissions et des exclusions dans Microsoft Defender Antivirus et Defender pour point de terminaison, consultez Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender.

Configurer et valider des exclusions

Attention

Utilisez Microsoft Defender extensions antivirus avec parcimonie. Veillez à consulter les informations contenues dans Gérer les exclusions pour Microsoft Defender pour point de terminaison et Microsoft Defender Antivirus.

Si vous utilisez Microsoft Intune pour gérer Microsoft Defender Antivirus ou Microsoft Defender pour point de terminaison, utilisez les procédures suivantes pour définir des exclusions :

• Gérer les exclusions d’antivirus dans Intune (pour les stratégies existantes)
• Créer une stratégie antivirus avec des exclusions dans Intune

Si vous utilisez un autre outil, tel que Configuration Manager ou stratégie de groupe, ou si vous souhaitez obtenir des informations plus détaillées sur les exclusions personnalisées, consultez les articles suivants :

• Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier
• Configurer des exclusions pour les fichiers ouverts par les processus

Gérer les exclusions d’antivirus dans Intune (pour les stratégies existantes)

1. Dans le centre d’administration Microsoft Intune, choisissezAntivirusde sécurité> des points de terminaison, puis sélectionnez une stratégie existante. (Si vous n’avez pas de stratégie existante ou si vous souhaitez en créer une, passez à Créer une stratégie antivirus avec exclusions dans Intune.)

2. Choisissez Propriétés, puis en regard de Paramètres de configuration, choisissez Modifier.

3. Développez Microsoft Defender Exclusions antivirus, puis spécifiez vos exclusions.

   • Les extensions exclues sont des exclusions que vous définissez par extension de type de fichier. Ces extensions s’appliquent à tout nom de fichier qui a l’extension définie sans le chemin d’accès ou le dossier du fichier. Séparer chaque type de fichier dans la liste doit être séparé par un | caractère. Par exemple : lib|obj. Pour plus d’informations, consultez ExcludedExtensions.
   • Les chemins d’accès exclus sont des exclusions que vous définissez par leur emplacement (chemin d’accès). Ces types d’exclusions sont également appelés exclusions de fichiers et de dossiers. Séparez chaque chemin d’accès dans la liste par un | caractère. Par exemple : C:\Example|C:\Example1. Pour plus d’informations, consultez ExcludedPaths.
   • Les processus exclus sont des exclusions pour les fichiers ouverts par certains processus. Séparez chaque type de fichier dans la liste par un | caractère. Par exemple : C:\Example. exe|C:\Example1.exe. Ces exclusions ne concernent pas les processus réels. Pour exclure des processus, vous pouvez utiliser des exclusions de fichiers et de dossiers. Pour plus d’informations, consultez ExcludedProcesses.

4. Choisissez Vérifier + enregistrer, puis Enregistrer.

Créer une stratégie antivirus avec des exclusions dans Intune

1. Dans le centre d’administration Microsoft Intune, choisissezAntivirus>sécurité> des points de terminaison + Créer une stratégie.

2. Sélectionnez une plateforme (par exemple, Windows 10, Windows 11 et Windows Server).

3. Pour Profil, sélectionnez Microsoft Defender Exclusions antivirus, puis choisissez Créer.

4. À l’étape Créer un profil , spécifiez un nom et une description pour le profil, puis choisissez Suivant.

5. Sous l’onglet Paramètres de configuration , spécifiez vos exclusions antivirus, puis choisissez Suivant.

   • Les extensions exclues sont des exclusions que vous définissez par extension de type de fichier. Ces extensions s’appliquent à tout nom de fichier qui a l’extension définie sans le chemin d’accès ou le dossier du fichier. Séparez chaque type de fichier dans la liste par un | caractère. Par exemple : lib|obj. Pour plus d’informations, consultez ExcludedExtensions.
   • Les chemins d’accès exclus sont des exclusions que vous définissez par leur emplacement (chemin d’accès). Ces types d’exclusions sont également appelés exclusions de fichiers et de dossiers. Séparez chaque chemin d’accès dans la liste par un | caractère. Par exemple : C:\Example|C:\Example1. Pour plus d’informations, consultez ExcludedPaths.
   • Les processus exclus sont des exclusions pour les fichiers ouverts par certains processus. Séparez chaque type de fichier dans la liste par un | caractère. Par exemple : C:\Example. exe|C:\Example1.exe. Ces exclusions ne concernent pas les processus réels. Pour exclure des processus, vous pouvez utiliser des exclusions de fichiers et de dossiers. Pour plus d’informations, consultez ExcludedProcesses.

6. Sous l’onglet Balises d’étendue, si vous utilisez des balises d’étendue dans votre organization, spécifiez des balises d’étendue pour la stratégie que vous créez. (Voir Balises d’étendue.)

7. Sous l’onglet Affectations , spécifiez les utilisateurs et les groupes auxquels votre stratégie doit être appliquée, puis choisissez Suivant. (Si vous avez besoin d’aide pour les affectations, consultez Attribuer des profils d’utilisateur et d’appareil dans Microsoft Intune.)

8. Sous l’onglet Vérifier + créer , passez en revue les paramètres, puis choisissez Créer.

Points importants sur les exclusions

La définition d’exclusions réduit la protection offerte par Microsoft Defender Antivirus. Vous devez toujours évaluer les risques associés à l’implémentation d’exclusions, et vous devez exclure uniquement les fichiers dont vous êtes certain qu’ils ne sont pas malveillants.

Les exclusions affectent directement la capacité de Microsoft Defender Antivirus à bloquer, corriger ou inspecter les événements liés aux fichiers, dossiers ou processus ajoutés à la liste d’exclusions. Les exclusions personnalisées peuvent affecter les fonctionnalités qui dépendent directement du moteur antivirus (telles que la protection contre les programmes malveillants, les ICS de fichier et les ICS de certificat). Les exclusions de processus affectent également la protection du réseau et les règles de réduction de la surface d’attaque. Plus précisément, une exclusion de processus sur n’importe quelle plateforme empêche la protection réseau et l’ASR d’inspecter le trafic ou d’appliquer des règles pour ce processus spécifique.

Gardez à l’esprit les points suivants lorsque vous définissez des exclusions :

• Les exclusions constituent techniquement une faille de protection. Tenez compte de toutes vos options lors de la définition d’exclusions. Consultez Soumissions, suppressions et exclusions.

• Examinez régulièrement les exclusions. Revérifier et appliquer à nouveau les atténuations dans le cadre de votre processus de révision.

• Dans l’idéal, évitez de définir des exclusions pour essayer d’être proactif. Par exemple, n’excluez pas quelque chose simplement parce que vous pensez que cela pourrait être un problème à l’avenir. Utilisez des exclusions uniquement pour des problèmes spécifiques, tels que ceux liés aux performances ou à la compatibilité des applications que les exclusions peuvent atténuer.

• Passez en revue et auditez les modifications apportées à votre liste d’exclusions. Votre équipe de sécurité doit conserver le contexte concernant la raison pour laquelle une certaine exclusion a été ajoutée pour éviter toute confusion ultérieurement. Votre équipe de sécurité doit être en mesure de fournir des réponses spécifiques aux questions sur la raison de l’existence des exclusions.

Auditer les exclusions d’antivirus sur les systèmes Exchange

Microsoft Exchange prend en charge l’intégration à l’interface d’analyse anti-programme malveillant (AMSI) depuis la Mises à jour trimestrielle de juin 2021 pour Exchange (voir Exécution d’un logiciel antivirus Windows sur des serveurs Exchange). Il est vivement recommandé d’installer ces mises à jour et de vérifier qu’AMSI fonctionne correctement. Consultez Microsoft Defender Informations de sécurité antivirus et mises à jour des produits.

De nombreuses organisations excluent les répertoires Exchange des analyses antivirus pour des raisons de performances. Microsoft recommande d’auditer Microsoft Defender exclusions antivirus sur les systèmes Exchange et d’évaluer si les exclusions peuvent être supprimées sans affecter les performances de votre environnement pour garantir le niveau de protection le plus élevé. Les exclusions peuvent être gérées à l’aide de stratégie de groupe, de PowerShell ou d’outils de gestion des systèmes comme Microsoft Intune.

Pour auditer Microsoft Defender exclusions antivirus sur un Exchange Server, exécutez la commande Get-MpPreference à partir d’une invite PowerShell avec élévation de privilèges. (Consultez Get-MpPreference.)

Si les exclusions ne peuvent pas être supprimées pour les processus et dossiers Exchange, n’oubliez pas que l’exécution d’une analyse rapide dans Microsoft Defender Antivirus analyse les répertoires et les fichiers Exchange, quelles que soient les exclusions.

Voir aussi

• exclusions antivirus Microsoft Defender sur Windows Server 2016 et versions ultérieures
• Erreurs courantes à éviter lors de la définition d’exclusions
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender
• Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur Linux
• Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur macOS

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.