שתף באמצעות

קביעת תצורה של אי-הכללות עבור קבצים שנפתחים על-ידי תהליכים

  • מאמר

חל על:

פלטפורמות

  • Windows

באפשרותך לא לכלול קבצים שנפתחים על-ידי תהליכים ספציפיים בסריקה Microsoft Defender אנטי-וירוס. שים לב כי סוגי אי-הכללות אלה מיועדים לקבצים שנפתחים על-ידי תהליכים ולא על-ידי התהליכים עצמם. כדי לא לכלול תהליך, הוסף אי-הכללה של קובץ (ראה קביעת תצורה ואי-אימות של פריטים שאינם נכללים בהתבסס על סיומת הקובץ ומיקום התיקיה).

ראה נקודות חשובות אודות אי-הכללות ועיין במידע במאמר ניהול אי-הכללות עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס לפני הגדרת רשימות אי-ההכללה שלך.

מאמר זה מתאר כיצד לקבוע תצורה של רשימות אי-כלילה.

דוגמאות לפריטים שאינם נכללים בתהליך

הדרה דוגמה
כל קובץ במחשב שנפתח על-ידי כל תהליך עם שם קובץ ספציפי ציון הקבצים שלא test.exe ייכללו ייפתחו על-ידי:

c:\sample\test.exe

d:\internal\files\test.exe
כל קובץ במחשב שנפתח על-ידי כל תהליך תחת תיקיה ספציפית ציון הקבצים שלא c:\test\sample\* ייכללו ייפתחו על-ידי:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
כל קובץ במחשב שנפתח על-ידי תהליך ספציפי בתיקיה ספציפית ציון הקבצים שלא c:\test\process.exe ייכללו ייפתחו רק על-ידי c:\test\process.exe

בעת הוספת תהליך לרשימת אי-ההכללה של התהליך, Microsoft Defender האנטי-וירוס לא יסרוק קבצים שנפתחו על-ידי תהליך זה, ללא קשר למיקום הקבצים. עם זאת, התהליך עצמו יוסר, אלא אם הוא נוסף גם לרשימת אי-ההכללה של הקובץ.

אי-ההכללה חלה רק על הגנה וניטור בזמן אמת. הן אינן חלות על סריקות מתוזמנות או לפי דרישה.

שינויים שבוצעו מדיניות קבוצתית ברשימות אי-ההכללה יוצגו ברשימות ביישום אבטחת Windows שלך. עם זאת, שינויים שבוצעו אבטחת Windows היישום לא יוצגו ברשימות מדיניות קבוצתית אלה.

באפשרותך להוסיף, להסיר ולס לסקור את הרשימות עבור פריטים שאינם נכללים ב- מדיניות קבוצתית, Microsoft Configuration Manager, Microsoft Intune ותישום אבטחת Windows, ובאפשרותך להשתמש בתווים כלליים כדי להמשיך ולהתאים אישית את הרשימות.

באפשרותך גם להשתמש ברכיבי cmdlet של PowerShell וב- WMI כדי לקבוע את התצורה של רשימות אי-ההכללה, כולל סקירת הרשימות שלך.

כברירת מחדל, שינויים מקומיים שבוצעו ברשימות (על-ידי משתמשים בעלי הרשאות מנהל מערכת; שינויים שבוצעו באמצעות PowerShell ו- WMI) ממוזגים עם הרשימות כפי שהוגדרו (ונפרסו) על-ידי מדיניות קבוצתית, Configuration Manager או Intune. רשימות מדיניות קבוצתית מקבלות עדיפות אם קיימות התנגשויות.

באפשרותך לקבוע את האופן שבו רשימות אי-הכללה המוגדרות באופן מקומי וכללי ימוזגו כדי לאפשר לשינויים מקומיים לעקוף הגדרות פריסה מנוהלות.

הערה

כללי הפחתת פני השטח של ההגנה על הרשת והתקיפה מושפעים ישירות מהכללים של התהליך בכל הפלטפורמות, כלומר אי הכללת תהליך בכל מערכת הפעלה (Windows, MacOS, Linux) תגרום לכך שהגנת רשת או ASR לא יוכלו לבדוק את התעבורה או לאכוף כללים עבור תהליך ספציפי זה.

שם תמונה לעומת נתיב מלא עבור אי-הכללות בתהליך

ניתן להגדיר שני סוגים שונים של אי-הכללות בתהליך. ייתכן שתהליך לא ייכלל בשם התמונה, או בנתיב מלא. שם התמונה הוא פשוט שם הקובץ של התהליך, ללא הנתיב.

לדוגמה, בהינתן MyProcess.exe התהליך C:\MyFolder\ שפועל מהנתיב המלא לתהליך זה יהיה C:\MyFolder\MyProcess.exe ושם התמונה הוא MyProcess.exe.

אי-הכללות של שמות תמונות הן רחבות הרבה יותר - MyProcess.exe אי הכללה ב- לא תכלול תהליכים עם שם תמונה זה, ללא קשר לנתיב שבו הם מופעלים. לכן, לדוגמה, MyProcess.exe אם התהליך אינו נכלל בשם התמונה, C:\MyOtherFolderהוא גם לא ייכלל אם הוא יופעל מ- , ממדיה נשלפת, וכו'. לכן מומלץ כי כאשר הדבר אפשרי, נעשה שימוש בנתיב המלא.

שימוש בתווים כלליים ברשימת אי-ההכללה של התהליך

השימוש בתווים כלליים ברשימת אי-ההכללה של התהליך שונה מהשימוש בהם ברשימות אי-הכללה אחרות. כאשר אי-הכללת התהליך מוגדרת כשם תמונה בלבד, השימוש בתווים כלליים אינו מותר. עם זאת, כאשר נעשה שימוש בנתיב מלא, תווים כלליים נתמכים והתנהגות התווים הכלליים מתנהגת כמתואר בפריטים שאינם נכללים בקובץ ובתיקיה

השימוש במשתנה סביבה (כגון %ALLUSERSPROFILE%) כגון תווים כלליים בעת הגדרת פריטים ברשימת אי-ההכללה של התהליך נתמך גם הוא. פרטים ורשימה מלאה של משתני סביבה נתמכים מתוארים בפריטים שאינם נכללים בקובץ ובתיקיה.

הטבלה הבאה מתארת כיצד ניתן להשתמש בתווים הכלליים ברשימת אי-ההכללה של התהליך, כאשר נתיב מסופק:

בתווים כלליים שימוש לדוגמה התאמות לדוגמה
* (כוכבית) אני לא יכול לעשות את זה.

החלפת מספר כלשהו של תווים.

 C:\MyFolder\* כל קובץ שנפתח על-ידי C:\MyFolder\MyProcess.exe או C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe כל קובץ שנפתח על-ידי C:\MyFolder1\MyFolder2\MyProcess.exe או C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe כל קובץ שנפתח על-ידי C:\MyOtherFolder\MyFolder\MyProcess.exe או C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (סימן שאלה)

החלפת תו אחד.

 C:\MyFolder\MyProcess??.exe כל קובץ שנפתח על-ידי C:\MyFolder\MyProcess42.exe או C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
משתני סביבה %ALLUSERSPROFILE%\MyFolder\MyProcess.exe כל קובץ שנפתח על-ידי C:\ProgramData\MyFolder\MyProcess.exe

אי-הכללות של תהליך הקשרי

שים לב כי אי הכללה בתהליך עשויה להיות מוגדרת גם באמצעות אי הכללה הקשרית המאפשרת לדוגמה שלא לכלול קובץ ספציפי רק אם הוא נפתח על-ידי תהליך ספציפי.

קביעת התצורה של רשימת הפריטים שאינם נכללים עבור קבצים שנפתחו על-ידי תהליכים שצוינו

השתמש Microsoft Intune כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה

לקבלת מידע נוסף, ראה קביעת הגדרות הגבלת מכשיר בהגדרות Microsoft Intuneוהגדרות Microsoft Defender אנטי-וירוס עבור Windows 10 במכשיר Intune.

השתמש Microsoft Configuration Manager כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה

ראה כיצד ליצור ולפרוס פריטי מדיניות למניעת תוכנות זדוניות: הגדרות אי הכללה לקבלת פרטים אודות קביעת התצורה של Microsoft Configuration Manager (הענף הנוכחי).

השתמש מדיניות קבוצתית כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה

  1. במחשב הניהול מדיניות קבוצתית, פתח את מסוף הניהול של מדיניות קבוצתית, לחץ באמצעות לחצן העכבר הימני מדיניות קבוצתית האובייקט שברצונך לקבוע את תצורתו ולחץ על ערוך.

  2. בתיבת הדו מדיניות קבוצתית ניהול עורך, עבור אל תצורת מחשב ולחץ על תבניות ניהול.

  3. הרחב את העץ לרכיבי Windows כדי Microsoft Defender > פריטים שאינם > נכללים באנטי-וירוס.

  4. לחץ פעמיים על אי-הכללות בתהליך והוסף את הפריטים שלא ייכללו:

    1. הגדר את האפשרות כזמינה.
    2. תחת המקטע אפשרויות , לחץ על הצג....
    3. הזן כל תהליך בשורה משלו תחת העמודה שם ערך. עיין בטבלת הדוגמה עבור הסוגים השונים של אי-הכללות בתהליך. הזן 0 בעמודה ערך עבור כל התהליכים.

  5. לחץ על אישור.

שימוש ברכיבי cmdlet של PowerShell כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה

שימוש ב- PowerShell להוספה או הסרה של פריטים שאינם נכללים בקבצים שנפתחו על-ידי תהליכים דורש שימוש בשילוב של שלושה רכיבי cmdlet עם הפרמטר -ExclusionProcess . כל רכיבי ה- cmdlet נמצאים במודול Defender.

התבנית עבור רכיבי ה- cmdlet היא:

<cmdlet> -ExclusionProcess "<item>"

הרכיבים הבאים מותרים כ- <cmdlet>:

פעולת תצורה cmdlet של PowerShell
Create או החלף את הרשימה Set-MpPreference
הוסף לרשימה Add-MpPreference
הסרת פריטים מהרשימה Remove-MpPreference

חשוב

אם יצרת רשימה, עם או Set-MpPreferenceAdd-MpPreference, שימוש חוזר Set-MpPreference ב- cmdlet יחליף את הרשימה הקיימת.

לדוגמה, מקטע הקוד הבא יגרום לסריקה Microsoft Defender אנטי-וירוס לא לכלול כל קובץ שנפתח על-ידי התהליך שצוין:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

לקבלת מידע נוסף אודות אופן השימוש ב- PowerShell עם אנטי-וירוס של Microsoft Defender, ראה ניהול אנטי-וירוס באמצעות רכיבי cmdlet של PowerShell ורכיבי cmdlet של אנטי Microsoft Defender Antivirus.

השתמש בהדרכה לניהול Windows (WMI) כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה

השתמש בפעולות השירות Set, Add ו - Removeשל MSFT_MpPreference המחלקה עבור המאפיינים הבאים:

ExclusionProcess

השימוש בערכה,הוספהוהסרה הוא אנלוגי למשתתפים המקבילים שלהם ב- PowerShell: Set-MpPreference, , Add-MpPreferenceו- Remove-MpPreference.

לקבלת מידע נוסף ופרמטרים מותרים, ראה Windows Defender WMIv2 API.

השתמש ביישום אבטחת Windows כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה

בצע את ההוראות תחת הוספת פריטים שאינם נכללים ביישום אבטחת Windows שלך.

סקור את רשימת הפריטים שאינם נכללים

באפשרותך לאחזר את הפריטים ברשימת אי-ההכללה עם MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune או את אבטחת Windows האפליקציה.

אם אתה משתמש ב- PowerShell, באפשרותך לאחזר את הרשימה בשתי דרכים:

  • אחזר את המצב של כל Microsoft Defender אנטי-וירוס. כל אחת מהרשימות מוצגת בשורות נפרדות, אך הפריטים בתוך כל רשימה משולבים באותה שורה.
  • כתוב את המצב של כל ההעדפות למשתנה והשתמש במשתנה זה כדי להתקשר לרשימה הספציפית שבה אתה מעוניין בלבד. כל שימוש Add-MpPreference בשורה חדשה נכתב.

אימות רשימת אי-ההכללה באמצעות MpCmdRun

כדי לבדוק אי-הכללות באמצעות כלי שורת הפקודה היי ייעודי mpcmdrun.exe, השתמש בפקודה הבאה:

MpCmdRun.exe -CheckExclusion -path <path>

הערה

בדיקת פריטים שאינם נכללים ב- MpCmdRun דורשת שימוש Microsoft Defender Antivirus CAMP גירסה 4.18.1812.3 (שהופצה בדצמבר 2018) ואילך.

סקור את רשימת הפריטים שאינם נכללים לצד כל שאר ההעדפות Microsoft Defender אנטי-וירוס באמצעות PowerShell

השתמש ב- cmdlet הבא:

Get-MpPreference

לקבלת מידע נוסף אודות אופן השימוש ב- PowerShell עם אנטי-וירוס של Microsoft Defender, ראה שימוש ברכיבי cmdlet של PowerShell כדי לקבוע את התצורה של רכיבי ה- cmdlet של האנטי Microsoft Defender Antivirusו- Microsoft Defender Antivirus ולהפעיל אותם.

אחזור רשימת אי-הכללות ספציפית באמצעות PowerShell

השתמש במקטעי הקוד הבאים (הזן כל שורה כפקודה נפרדת); החלף את WDAVprefs בכל תווית שברצונך לבחור עבור המשתנה:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

לקבלת מידע נוסף אודות אופן השימוש ב- PowerShell עם אנטי-וירוס של Microsoft Defender, ראה שימוש ברכיבי cmdlet של PowerShell כדי לקבוע את התצורה של רכיבי ה- cmdlet של האנטי Microsoft Defender Antivirusו- Microsoft Defender Antivirus ולהפעיל אותם.

עצה

אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.