קביעת תצורה של אי-הכללות עבור קבצים שנפתחים על-ידי תהליכים
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- האנטי-וירוס של Microsoft Defender
פלטפורמות
- Windows
באפשרותך לא לכלול קבצים שנפתחים על-ידי תהליכים ספציפיים בסריקה Microsoft Defender אנטי-וירוס. שים לב כי סוגי אי-הכללות אלה מיועדים לקבצים שנפתחים על-ידי תהליכים ולא על-ידי התהליכים עצמם. כדי לא לכלול תהליך, הוסף אי-הכללה של קובץ (ראה קביעת תצורה ואי-אימות של פריטים שאינם נכללים בהתבסס על סיומת הקובץ ומיקום התיקיה).
ראה נקודות חשובות אודות אי-הכללות ועיין במידע במאמר ניהול אי-הכללות עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס לפני הגדרת רשימות אי-ההכללה שלך.
מאמר זה מתאר כיצד לקבוע תצורה של רשימות אי-כלילה.
דוגמאות לפריטים שאינם נכללים בתהליך
הדרה | דוגמה |
---|---|
כל קובץ במחשב שנפתח על-ידי כל תהליך עם שם קובץ ספציפי | ציון הקבצים שלא test.exe ייכללו ייפתחו על-ידי:
|
כל קובץ במחשב שנפתח על-ידי כל תהליך תחת תיקיה ספציפית | ציון הקבצים שלא c:\test\sample\* ייכללו ייפתחו על-ידי: |
כל קובץ במחשב שנפתח על-ידי תהליך ספציפי בתיקיה ספציפית | ציון הקבצים שלא c:\test\process.exe ייכללו ייפתחו רק על-ידי c:\test\process.exe |
בעת הוספת תהליך לרשימת אי-ההכללה של התהליך, Microsoft Defender האנטי-וירוס לא יסרוק קבצים שנפתחו על-ידי תהליך זה, ללא קשר למיקום הקבצים. עם זאת, התהליך עצמו יוסר, אלא אם הוא נוסף גם לרשימת אי-ההכללה של הקובץ.
אי-ההכללה חלה רק על הגנה וניטור בזמן אמת. הן אינן חלות על סריקות מתוזמנות או לפי דרישה.
שינויים שבוצעו מדיניות קבוצתית ברשימות אי-ההכללה יוצגו ברשימות ביישום אבטחת Windows שלך. עם זאת, שינויים שבוצעו אבטחת Windows היישום לא יוצגו ברשימות מדיניות קבוצתית אלה.
באפשרותך להוסיף, להסיר ולס לסקור את הרשימות עבור פריטים שאינם נכללים ב- מדיניות קבוצתית, Microsoft Configuration Manager, Microsoft Intune ותישום אבטחת Windows, ובאפשרותך להשתמש בתווים כלליים כדי להמשיך ולהתאים אישית את הרשימות.
באפשרותך גם להשתמש ברכיבי cmdlet של PowerShell וב- WMI כדי לקבוע את התצורה של רשימות אי-ההכללה, כולל סקירת הרשימות שלך.
כברירת מחדל, שינויים מקומיים שבוצעו ברשימות (על-ידי משתמשים בעלי הרשאות מנהל מערכת; שינויים שבוצעו באמצעות PowerShell ו- WMI) ממוזגים עם הרשימות כפי שהוגדרו (ונפרסו) על-ידי מדיניות קבוצתית, Configuration Manager או Intune. רשימות מדיניות קבוצתית מקבלות עדיפות אם קיימות התנגשויות.
באפשרותך לקבוע את האופן שבו רשימות אי-הכללה המוגדרות באופן מקומי וכללי ימוזגו כדי לאפשר לשינויים מקומיים לעקוף הגדרות פריסה מנוהלות.
הערה
כללי הפחתת פני השטח של ההגנה על הרשת והתקיפה מושפעים ישירות מהכללים של התהליך בכל הפלטפורמות, כלומר אי הכללת תהליך בכל מערכת הפעלה (Windows, MacOS, Linux) תגרום לכך שהגנת רשת או ASR לא יוכלו לבדוק את התעבורה או לאכוף כללים עבור תהליך ספציפי זה.
שם תמונה לעומת נתיב מלא עבור אי-הכללות בתהליך
ניתן להגדיר שני סוגים שונים של אי-הכללות בתהליך. ייתכן שתהליך לא ייכלל בשם התמונה, או בנתיב מלא. שם התמונה הוא פשוט שם הקובץ של התהליך, ללא הנתיב.
לדוגמה, בהינתן MyProcess.exe
התהליך C:\MyFolder\
שפועל מהנתיב המלא לתהליך זה יהיה C:\MyFolder\MyProcess.exe
ושם התמונה הוא MyProcess.exe
.
אי-הכללות של שמות תמונות הן רחבות הרבה יותר - MyProcess.exe
אי הכללה ב- לא תכלול תהליכים עם שם תמונה זה, ללא קשר לנתיב שבו הם מופעלים. לכן, לדוגמה, MyProcess.exe
אם התהליך אינו נכלל בשם התמונה, C:\MyOtherFolder
הוא גם לא ייכלל אם הוא יופעל מ- , ממדיה נשלפת, וכו'. לכן מומלץ כי כאשר הדבר אפשרי, נעשה שימוש בנתיב המלא.
שימוש בתווים כלליים ברשימת אי-ההכללה של התהליך
השימוש בתווים כלליים ברשימת אי-ההכללה של התהליך שונה מהשימוש בהם ברשימות אי-הכללה אחרות. כאשר אי-הכללת התהליך מוגדרת כשם תמונה בלבד, השימוש בתווים כלליים אינו מותר. עם זאת, כאשר נעשה שימוש בנתיב מלא, תווים כלליים נתמכים והתנהגות התווים הכלליים מתנהגת כמתואר בפריטים שאינם נכללים בקובץ ובתיקיה
השימוש במשתנה סביבה (כגון %ALLUSERSPROFILE%
) כגון תווים כלליים בעת הגדרת פריטים ברשימת אי-ההכללה של התהליך נתמך גם הוא. פרטים ורשימה מלאה של משתני סביבה נתמכים מתוארים בפריטים שאינם נכללים בקובץ ובתיקיה.
הטבלה הבאה מתארת כיצד ניתן להשתמש בתווים הכלליים ברשימת אי-ההכללה של התהליך, כאשר נתיב מסופק:
בתווים כלליים | שימוש לדוגמה | התאמות לדוגמה |
---|---|---|
* (כוכבית) אני לא יכול לעשות את זה.החלפת מספר כלשהו של תווים. |
C:\MyFolder\* |
כל קובץ שנפתח על-ידי C:\MyFolder\MyProcess.exe או C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
כל קובץ שנפתח על-ידי C:\MyFolder1\MyFolder2\MyProcess.exe או C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
כל קובץ שנפתח על-ידי C:\MyOtherFolder\MyFolder\MyProcess.exe או C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (סימן שאלה) החלפת תו אחד. |
C:\MyFolder\MyProcess??.exe |
כל קובץ שנפתח על-ידי C:\MyFolder\MyProcess42.exe או C:\MyFolder\MyProcessAA.exe C:\MyFolder\MyProcessF5.exe |
משתני סביבה | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
כל קובץ שנפתח על-ידי C:\ProgramData\MyFolder\MyProcess.exe |
אי-הכללות של תהליך הקשרי
שים לב כי אי הכללה בתהליך עשויה להיות מוגדרת גם באמצעות אי הכללה הקשרית המאפשרת לדוגמה שלא לכלול קובץ ספציפי רק אם הוא נפתח על-ידי תהליך ספציפי.
קביעת התצורה של רשימת הפריטים שאינם נכללים עבור קבצים שנפתחו על-ידי תהליכים שצוינו
השתמש Microsoft Intune כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה
לקבלת מידע נוסף, ראה קביעת הגדרות הגבלת מכשיר בהגדרות Microsoft Intuneוהגדרות Microsoft Defender אנטי-וירוס עבור Windows 10 במכשיר Intune.
השתמש Microsoft Configuration Manager כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה
ראה כיצד ליצור ולפרוס פריטי מדיניות למניעת תוכנות זדוניות: הגדרות אי הכללה לקבלת פרטים אודות קביעת התצורה של Microsoft Configuration Manager (הענף הנוכחי).
השתמש מדיניות קבוצתית כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה
במחשב הניהול מדיניות קבוצתית, פתח את מסוף הניהול של מדיניות קבוצתית, לחץ באמצעות לחצן העכבר הימני מדיניות קבוצתית האובייקט שברצונך לקבוע את תצורתו ולחץ על ערוך.
בתיבת הדו מדיניות קבוצתית ניהול עורך, עבור אל תצורת מחשב ולחץ על תבניות ניהול.
הרחב את העץ לרכיבי Windows כדי Microsoft Defender > פריטים שאינם > נכללים באנטי-וירוס.
לחץ פעמיים על אי-הכללות בתהליך והוסף את הפריטים שלא ייכללו:
- הגדר את האפשרות כזמינה.
- תחת המקטע אפשרויות , לחץ על הצג....
- הזן כל תהליך בשורה משלו תחת העמודה שם ערך. עיין בטבלת הדוגמה עבור הסוגים השונים של אי-הכללות בתהליך. הזן 0 בעמודה ערך עבור כל התהליכים.
לחץ על אישור.
שימוש ברכיבי cmdlet של PowerShell כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה
שימוש ב- PowerShell להוספה או הסרה של פריטים שאינם נכללים בקבצים שנפתחו על-ידי תהליכים דורש שימוש בשילוב של שלושה רכיבי cmdlet עם הפרמטר -ExclusionProcess
. כל רכיבי ה- cmdlet נמצאים במודול Defender.
התבנית עבור רכיבי ה- cmdlet היא:
<cmdlet> -ExclusionProcess "<item>"
הרכיבים הבאים מותרים כ- <cmdlet>:
פעולת תצורה | cmdlet של PowerShell |
---|---|
Create או החלף את הרשימה | Set-MpPreference |
הוסף לרשימה | Add-MpPreference |
הסרת פריטים מהרשימה | Remove-MpPreference |
חשוב
אם יצרת רשימה, עם או Set-MpPreference
Add-MpPreference
, שימוש חוזר Set-MpPreference
ב- cmdlet יחליף את הרשימה הקיימת.
לדוגמה, מקטע הקוד הבא יגרום לסריקה Microsoft Defender אנטי-וירוס לא לכלול כל קובץ שנפתח על-ידי התהליך שצוין:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
לקבלת מידע נוסף אודות אופן השימוש ב- PowerShell עם אנטי-וירוס של Microsoft Defender, ראה ניהול אנטי-וירוס באמצעות רכיבי cmdlet של PowerShell ורכיבי cmdlet של אנטי Microsoft Defender Antivirus.
השתמש בהדרכה לניהול Windows (WMI) כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה
השתמש בפעולות השירות Set, Add ו - Removeשל MSFT_MpPreference המחלקה עבור המאפיינים הבאים:
ExclusionProcess
השימוש בערכה,הוספהוהסרה הוא אנלוגי למשתתפים המקבילים שלהם ב- PowerShell: Set-MpPreference
, , Add-MpPreference
ו- Remove-MpPreference
.
לקבלת מידע נוסף ופרמטרים מותרים, ראה Windows Defender WMIv2 API.
השתמש ביישום אבטחת Windows כדי לא לכלול קבצים שנפתחו על-ידי תהליכים שצוינו בסריקה
בצע את ההוראות תחת הוספת פריטים שאינם נכללים ביישום אבטחת Windows שלך.
סקור את רשימת הפריטים שאינם נכללים
באפשרותך לאחזר את הפריטים ברשימת אי-ההכללה עם MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune או את אבטחת Windows האפליקציה.
אם אתה משתמש ב- PowerShell, באפשרותך לאחזר את הרשימה בשתי דרכים:
- אחזר את המצב של כל Microsoft Defender אנטי-וירוס. כל אחת מהרשימות מוצגת בשורות נפרדות, אך הפריטים בתוך כל רשימה משולבים באותה שורה.
- כתוב את המצב של כל ההעדפות למשתנה והשתמש במשתנה זה כדי להתקשר לרשימה הספציפית שבה אתה מעוניין בלבד. כל שימוש
Add-MpPreference
בשורה חדשה נכתב.
אימות רשימת אי-ההכללה באמצעות MpCmdRun
כדי לבדוק אי-הכללות באמצעות כלי שורת הפקודה היי ייעודי mpcmdrun.exe, השתמש בפקודה הבאה:
MpCmdRun.exe -CheckExclusion -path <path>
הערה
בדיקת פריטים שאינם נכללים ב- MpCmdRun דורשת שימוש Microsoft Defender Antivirus CAMP גירסה 4.18.1812.3 (שהופצה בדצמבר 2018) ואילך.
סקור את רשימת הפריטים שאינם נכללים לצד כל שאר ההעדפות Microsoft Defender אנטי-וירוס באמצעות PowerShell
השתמש ב- cmdlet הבא:
Get-MpPreference
לקבלת מידע נוסף אודות אופן השימוש ב- PowerShell עם אנטי-וירוס של Microsoft Defender, ראה שימוש ברכיבי cmdlet של PowerShell כדי לקבוע את התצורה של רכיבי ה- cmdlet של האנטי Microsoft Defender Antivirusו- Microsoft Defender Antivirus ולהפעיל אותם.
אחזור רשימת אי-הכללות ספציפית באמצעות PowerShell
השתמש במקטעי הקוד הבאים (הזן כל שורה כפקודה נפרדת); החלף את WDAVprefs בכל תווית שברצונך לבחור עבור המשתנה:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
לקבלת מידע נוסף אודות אופן השימוש ב- PowerShell עם אנטי-וירוס של Microsoft Defender, ראה שימוש ברכיבי cmdlet של PowerShell כדי לקבוע את התצורה של רכיבי ה- cmdlet של האנטי Microsoft Defender Antivirusו- Microsoft Defender Antivirus ולהפעיל אותם.
עצה
אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
- Microsoft Defender עבור נקודת קצה ב- Mac
- הגדרות מדיניות אנטי-וירוס של macOS עבור אנטי-וירוס של Microsoft Defender עבור Intune
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
- בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
- קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
- קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS
מאמרים קשורים
- קביעת תצורה ואימתה של פריטים שאינם נכללים Microsoft Defender אנטי-וירוס
- קביעת תצורה ואימתה של פריטים שאינם נכללים בהתבסס על שם קובץ, סיומת ומיקום תיקיה
- קביעת תצורה Microsoft Defender של אנטי-וירוס ב- Windows Server
- שגיאות נפוצות להימנעות בעת הגדרת אי-הכללות
- התאמה אישית, אתחול וסריקה של תוצאות Microsoft Defender אנטי-וירוס ותיקון
- Microsoft Defender אנטי-וירוס ב- Windows 10
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור