Folyamatok által megnyitott fájlok kizárásainak konfigurálása
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
Az adott folyamatok által megnyitott fájlokat kizárhatja Microsoft Defender víruskereső vizsgálatokból. Vegye figyelembe, hogy ezek a kizárási típusok a folyamatok által megnyitott fájlokra, nem pedig magukra a folyamatokra alkalmazhatók. Egy folyamat kizárásához adjon hozzá egy fájlkizárást (lásd: Kizárások konfigurálása és érvényesítése fájlkiterjesztés és mappahely alapján).
A kizárási listák definiálása előtt olvassa el a Fontos szempontok a kizárásokról című témakört, és tekintse át a Kizárások kezelése Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső esetében című témakört.
Ez a cikk a kizárási listák konfigurálását ismerteti.
Példák folyamatkizárásokra
Kizárási | Példa |
---|---|
A gépen lévő bármely olyan fájl, amelyet egy adott fájlnévvel rendelkező folyamat nyit meg | A beállítással test.exe kizárhatók a következő által megnyitott fájlok:
|
A gépen lévő bármely fájl, amelyet egy adott mappában lévő folyamat nyit meg | A beállítással c:\test\sample\* kizárhatók a következő által megnyitott fájlok: |
A gépen lévő bármely fájl, amelyet egy adott folyamat nyit meg egy adott mappában | A beállítás csak c:\test\process.exe a által megnyitott fájlokat zárja ki c:\test\process.exe |
Amikor hozzáad egy folyamatot a folyamat kizárási listájához, Microsoft Defender víruskereső nem ellenőrzi az adott folyamat által megnyitott fájlokat, függetlenül attól, hogy hol találhatók a fájlok. A rendszer azonban magát a folyamatot is ellenőrzi, kivéve, ha a fájlkizárási listához is hozzáadta.
A kizárások csak a mindig valós idejű védelemre és monitorozásra vonatkoznak. Ezek nem vonatkoznak az ütemezett és az igény szerinti vizsgálatokra.
A kizárási listák Csoportházirend végrehajtott módosításai megjelennek a Windows biztonság alkalmazásban lévő listákban. A Windows biztonság alkalmazásban végzett módosítások azonban nem jelennek meg a Csoportházirend listában.
Hozzáadhatja, eltávolíthatja és áttekintheti a listákat a Csoportházirend, Microsoft Configuration Manager, Microsoft Intune és az Windows biztonság alkalmazásban, és helyettesítő karakterekkel tovább szabhatja a listákat.
A kizárási listákat PowerShell-parancsmagokkal és WMI-kkel is konfigurálhatja, beleértve a listák áttekintését is.
Alapértelmezés szerint a listákon végzett helyi módosítások (rendszergazdai jogosultságokkal rendelkező felhasználók, a PowerShell és a WMI használatával végzett módosítások) egyesülnek a listákkal a Csoportházirend, Configuration Manager vagy Intune által definiált (és telepített) módon. Ütközések esetén a Csoportházirend listák elsőbbséget élveznek.
Beállíthatja, hogy a helyi és a globálisan definiált kizárási listák hogyan legyenek egyesítve, hogy a helyi módosítások felülbírálják a felügyelt üzembehelyezési beállításokat.
Megjegyzés:
A hálózatvédelmi és támadásifelület-csökkentési szabályokat közvetlenül érintik a folyamatkizárások az összes platformon, ami azt jelenti, hogy egy folyamatkizárás bármely operációs rendszeren (Windows, MacOS, Linux) azt eredményezi, hogy a Hálózatvédelem vagy az ASR nem tudja megvizsgálni a forgalmat, vagy nem tudja kikényszeríteni az adott folyamatra vonatkozó szabályokat.
Folyamatkizárások képneve és teljes elérési útja
Két különböző típusú folyamatkizárás állítható be. Egy folyamat kizárható képnév vagy teljes elérési út alapján. A kép neve egyszerűen a folyamat fájlneve, elérési út nélkül.
Ha például a folyamat MyProcess.exe
C:\MyFolder\MyProcess.exe
a teljes elérési útról C:\MyFolder\
fut, a rendszerkép neve MyProcess.exe
.
A képnévkizárások sokkal szélesebb körűek – a kizárással MyProcess.exe
a rendszer kizárja az ezzel a rendszerképnévvel rendelkező folyamatokat, függetlenül attól, hogy milyen elérési úton futnak. Így ha például a folyamat MyProcess.exe
képnévvel van kizárva, akkor az is ki lesz zárva, ha a ,-ból, cserélhető adathordozóról, et cetera-ból C:\MyOtherFolder
fut. Ezért javasoljuk, hogy amikor csak lehetséges, a teljes elérési utat használja.
Helyettesítő karakterek használata a folyamatkizárási listában
A helyettesítő karakterek használata a folyamatkizárási listában eltér a többi kizárási listában használttól. Ha a folyamatkizárás csak képnévként van definiálva, a helyettesítő karakterek használata nem engedélyezett. Teljes elérési út használata esetén azonban a helyettesítő karakterek támogatottak, és a helyettesítő karakterek viselkedése a Fájl- és mappakivételek című cikkben leírtak szerint működik.
A környezeti változók (például %ALLUSERSPROFILE%
) helyettesítő karakterként való használata is támogatott a folyamatkizárási lista elemeinek definiálásakor. A részleteket és a támogatott környezeti változók teljes listáját a Fájl- és mappakizárások című témakörben találja.
Az alábbi táblázat azt ismerteti, hogyan használhatók a helyettesítő karakterek a folyamatkizárási listában, ha meg van adva egy elérési út:
Helyettesítő | Példa a használatra | Példa egyezések |
---|---|---|
* (csillag)Tetszőleges számú karaktert cserél le. |
C:\MyFolder\* |
A vagy a által C:\MyFolder\MyProcess.exe megnyitott bármely fájl C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
A vagy a által C:\MyFolder1\MyFolder2\MyProcess.exe megnyitott bármely fájl C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
A vagy a által C:\MyOtherFolder\MyFolder\MyProcess.exe megnyitott bármely fájl C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (kérdőjel) Egy karaktert cserél le. |
C:\MyFolder\MyProcess??.exe |
A vagy C:\MyFolder\MyProcessAA.exe a által C:\MyFolder\MyProcess42.exe megnyitott bármely fájlC:\MyFolder\MyProcessF5.exe |
Környezeti változók | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Bármely fájl, amelyet a következő nyitott meg: C:\ProgramData\MyFolder\MyProcess.exe |
Környezetfüggő folyamatkizárások
Vegye figyelembe, hogy egy folyamatkizárás környezeti kizárással is meghatározható, így például egy adott fájl csak akkor zárható ki, ha egy adott folyamat nyitja meg.
A megadott folyamatok által megnyitott fájlok kizárási listájának konfigurálása
A Microsoft Intune használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból
További információ: Eszközkorlátozási beállítások konfigurálása Microsoft Intune és Microsoft Defender víruskereső eszközkorlátozási beállításainak konfigurálása Windows 10 a Intune-ben.
A Microsoft Configuration Manager használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból
A Microsoft Configuration Manager (aktuális ág) konfigurálásával kapcsolatos részletekért lásd: Kártevőirtó-házirendek létrehozása és telepítése: Kizárási beállítások.
A Csoportházirend használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból
A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend felügyeleti konzolt, kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd kattintson a Szerkesztés parancsra.
A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja elemre, és kattintson a Felügyeleti sablonok elemre.
Bontsa ki a fát a Windows-összetevőkre > Microsoft Defender víruskereső > kizárások elemre.
Kattintson duplán a Folyamatkizárások elemre, és adja hozzá a kizárásokat:
- Állítsa a beállítást Engedélyezve értékre.
- A Beállítások szakaszban kattintson a Megjelenítés... elemre.
- Adja meg az egyes folyamatokat a saját sorában az Érték neve oszlop alatt. A folyamatkizárások különböző típusait a példatáblában tekinti meg. Írja be a 0 értéket az Érték oszlopba az összes folyamathoz.
Kattintson az OK gombra.
PowerShell-parancsmagok használata a megadott folyamatok által megnyitott fájlok vizsgálatból való kizárásához
A folyamatok által megnyitott fájlok kizárásainak hozzáadásához vagy eltávolításához a PowerShell használatához három parancsmag és a -ExclusionProcess
paraméter együttes használata szükséges. A parancsmagok mind a Defender modulban találhatók.
A parancsmagok formátuma a következő:
<cmdlet> -ExclusionProcess "<item>"
Parancsmagként> a <következők engedélyezettek:
Konfigurációs művelet | PowerShell-parancsmag |
---|---|
A lista Létrehozás vagy felülírása | Set-MpPreference |
Hozzáadás a listához | Add-MpPreference |
Elemek eltávolítása a listából | Remove-MpPreference |
Fontos
Ha vagy paranccsal Set-MpPreference
Add-MpPreference
hozott létre listát, a Set-MpPreference
parancsmag ismételt használatával felülírja a meglévő listát.
Az alábbi kódrészlet például azt eredményezheti, hogy Microsoft Defender víruskereső vizsgálat kizárja a megadott folyamat által megnyitott fájlokat:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
A PowerShell Microsoft Defender víruskeresővel való használatáról további információt a Víruskereső kezelése PowerShell-parancsmagokkal és Microsoft Defender víruskereső parancsmagokkal című témakörben talál.
A Windows felügyeleti utasítás (WMI) használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból
A MSFT_MpPreference osztály Set, Add és Remove metódusait a következő tulajdonságokhoz használhatja:
ExclusionProcess
A Set, Add és Remove használata hasonló a PowerShellben használt megfelelőikhez: Set-MpPreference
, Add-MpPreference
és Remove-MpPreference
.
További információ és az engedélyezett paraméterek: Windows Defender WMIv2 API-k.
A Windows biztonság alkalmazással kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból
Kövesse a Kizárások hozzáadása az Windows biztonság alkalmazásban című cikk utasításait.
A kizárások listájának áttekintése
A kizárási listában szereplő elemeket lekérheti az MpCmdRun, a PowerShell, a Microsoft Configuration Manager, a Intune vagy a Windows biztonság alkalmazással.
A PowerShell használata esetén a listát kétféleképpen kérdezheti le:
- Kérje le az összes Microsoft Defender víruskereső beállítás állapotát. Az egyes listák külön sorokban jelennek meg, de az egyes listák elemei ugyanabban a sorban vannak egyesítve.
- Írja be az összes beállítás állapotát egy változóba, és ezzel a változóval csak a kívánt listát hívja meg. A minden használata
Add-MpPreference
egy új sorba lesz írva.
A kizárási lista ellenőrzése az MpCmdRun használatával
A kizárások ellenőrzéséhez a dedikált parancssori eszközzel mpcmdrun.exe, használja a következő parancsot:
MpCmdRun.exe -CheckExclusion -path <path>
Megjegyzés:
A kizárások MpCmdRun használatával történő ellenőrzéséhez Microsoft Defender Antivirus CAMP 4.18.1812.3-es (2018 decemberében kiadott) vagy újabb verziójára van szükség.
Tekintse át a kizárások listáját az összes többi Microsoft Defender víruskereső beállítás mellett a PowerShell használatával
Használja a következő parancsmagot:
Get-MpPreference
A PowerShell Microsoft Defender Víruskeresővel való használatáról további információt a Microsoft Defender Víruskereső és Microsoft Defender Víruskereső parancsmagok konfigurálása és futtatása PowerShell-parancsmagok használatával című témakörben talál.
Adott kizárási lista lekérése a PowerShell használatával
Használja a következő kódrészletet (minden sort külön parancsként írjon be); cserélje le a WDAVprefs elemet arra a címkére, amelynek el szeretné nevezni a változót:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
A PowerShell Microsoft Defender víruskeresővel való használatáról további információt a Microsoft Defender víruskereső és Microsoft Defender víruskereső parancsmagok konfigurálása és futtatása PowerShell-parancsmagok használatával című témakörben talál.
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
- Végponthoz készült Microsoft Defender beállítása macOS rendszeren
- Végponthoz készült Microsoft Defender Macen
- MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Kapcsolódó cikkek
- Kizárások konfigurálása és ellenőrzése Microsoft Defender víruskereső vizsgálatokban
- Kizárások konfigurálása és ellenőrzése a fájlnév, a bővítmény és a mappa helye alapján
- Microsoft Defender víruskereső kizárásainak konfigurálása Windows Serveren
- Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor
- A Microsoft Defender víruskereső vizsgálatainak és szervizelésének eredményeinek testreszabása, kezdeményezése és áttekintése
- Microsoft Defender víruskereső az Windows 10-ban
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: