Megosztás a következőn keresztül:

Folyamatok által megnyitott fájlok kizárásainak konfigurálása

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

Az adott folyamatok által megnyitott fájlokat kizárhatja Microsoft Defender víruskereső vizsgálatokból. Vegye figyelembe, hogy ezek a kizárási típusok a folyamatok által megnyitott fájlokra, nem pedig magukra a folyamatokra alkalmazhatók. Egy folyamat kizárásához adjon hozzá egy fájlkizárást (lásd: Kizárások konfigurálása és érvényesítése fájlkiterjesztés és mappahely alapján).

A kizárási listák definiálása előtt olvassa el a Fontos szempontok a kizárásokról című témakört, és tekintse át a Kizárások kezelése Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső esetében című témakört.

Ez a cikk a kizárási listák konfigurálását ismerteti.

Példák folyamatkizárásokra

Kizárási Példa
A gépen lévő bármely olyan fájl, amelyet egy adott fájlnévvel rendelkező folyamat nyit meg A beállítással test.exe kizárhatók a következő által megnyitott fájlok:

c:\sample\test.exe

d:\internal\files\test.exe
A gépen lévő bármely fájl, amelyet egy adott mappában lévő folyamat nyit meg A beállítással c:\test\sample\* kizárhatók a következő által megnyitott fájlok:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
A gépen lévő bármely fájl, amelyet egy adott folyamat nyit meg egy adott mappában A beállítás csak c:\test\process.exe a által megnyitott fájlokat zárja ki c:\test\process.exe

Amikor hozzáad egy folyamatot a folyamat kizárási listájához, Microsoft Defender víruskereső nem ellenőrzi az adott folyamat által megnyitott fájlokat, függetlenül attól, hogy hol találhatók a fájlok. A rendszer azonban magát a folyamatot is ellenőrzi, kivéve, ha a fájlkizárási listához is hozzáadta.

A kizárások csak a mindig valós idejű védelemre és monitorozásra vonatkoznak. Ezek nem vonatkoznak az ütemezett és az igény szerinti vizsgálatokra.

A kizárási listák Csoportházirend végrehajtott módosításai megjelennek a Windows biztonság alkalmazásban lévő listákban. A Windows biztonság alkalmazásban végzett módosítások azonban nem jelennek meg a Csoportházirend listában.

Hozzáadhatja, eltávolíthatja és áttekintheti a listákat a Csoportházirend, Microsoft Configuration Manager, Microsoft Intune és az Windows biztonság alkalmazásban, és helyettesítő karakterekkel tovább szabhatja a listákat.

A kizárási listákat PowerShell-parancsmagokkal és WMI-kkel is konfigurálhatja, beleértve a listák áttekintését is.

Alapértelmezés szerint a listákon végzett helyi módosítások (rendszergazdai jogosultságokkal rendelkező felhasználók, a PowerShell és a WMI használatával végzett módosítások) egyesülnek a listákkal a Csoportházirend, Configuration Manager vagy Intune által definiált (és telepített) módon. Ütközések esetén a Csoportházirend listák elsőbbséget élveznek.

Beállíthatja, hogy a helyi és a globálisan definiált kizárási listák hogyan legyenek egyesítve, hogy a helyi módosítások felülbírálják a felügyelt üzembehelyezési beállításokat.

Megjegyzés:

A hálózatvédelmi és támadásifelület-csökkentési szabályokat közvetlenül érintik a folyamatkizárások az összes platformon, ami azt jelenti, hogy egy folyamatkizárás bármely operációs rendszeren (Windows, MacOS, Linux) azt eredményezi, hogy a Hálózatvédelem vagy az ASR nem tudja megvizsgálni a forgalmat, vagy nem tudja kikényszeríteni az adott folyamatra vonatkozó szabályokat.

Folyamatkizárások képneve és teljes elérési útja

Két különböző típusú folyamatkizárás állítható be. Egy folyamat kizárható képnév vagy teljes elérési út alapján. A kép neve egyszerűen a folyamat fájlneve, elérési út nélkül.

Ha például a folyamat MyProcess.exeC:\MyFolder\MyProcess.exe a teljes elérési útról C:\MyFolder\ fut, a rendszerkép neve MyProcess.exe.

A képnévkizárások sokkal szélesebb körűek – a kizárással MyProcess.exe a rendszer kizárja az ezzel a rendszerképnévvel rendelkező folyamatokat, függetlenül attól, hogy milyen elérési úton futnak. Így ha például a folyamat MyProcess.exe képnévvel van kizárva, akkor az is ki lesz zárva, ha a ,-ból, cserélhető adathordozóról, et cetera-ból C:\MyOtherFolderfut. Ezért javasoljuk, hogy amikor csak lehetséges, a teljes elérési utat használja.

Helyettesítő karakterek használata a folyamatkizárási listában

A helyettesítő karakterek használata a folyamatkizárási listában eltér a többi kizárási listában használttól. Ha a folyamatkizárás csak képnévként van definiálva, a helyettesítő karakterek használata nem engedélyezett. Teljes elérési út használata esetén azonban a helyettesítő karakterek támogatottak, és a helyettesítő karakterek viselkedése a Fájl- és mappakivételek című cikkben leírtak szerint működik.

A környezeti változók (például %ALLUSERSPROFILE%) helyettesítő karakterként való használata is támogatott a folyamatkizárási lista elemeinek definiálásakor. A részleteket és a támogatott környezeti változók teljes listáját a Fájl- és mappakizárások című témakörben találja.

Az alábbi táblázat azt ismerteti, hogyan használhatók a helyettesítő karakterek a folyamatkizárási listában, ha meg van adva egy elérési út:

Helyettesítő Példa a használatra Példa egyezések
* (csillag)

Tetszőleges számú karaktert cserél le.

 C:\MyFolder\* A vagy a által C:\MyFolder\MyProcess.exe megnyitott bármely fájl C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe A vagy a által C:\MyFolder1\MyFolder2\MyProcess.exe megnyitott bármely fájl C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe A vagy a által C:\MyOtherFolder\MyFolder\MyProcess.exe megnyitott bármely fájl C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (kérdőjel)

Egy karaktert cserél le.

 C:\MyFolder\MyProcess??.exe A vagy C:\MyFolder\MyProcessAA.exe a által C:\MyFolder\MyProcess42.exe megnyitott bármely fájlC:\MyFolder\MyProcessF5.exe
Környezeti változók %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Bármely fájl, amelyet a következő nyitott meg: C:\ProgramData\MyFolder\MyProcess.exe

Környezetfüggő folyamatkizárások

Vegye figyelembe, hogy egy folyamatkizárás környezeti kizárással is meghatározható, így például egy adott fájl csak akkor zárható ki, ha egy adott folyamat nyitja meg.

A megadott folyamatok által megnyitott fájlok kizárási listájának konfigurálása

A Microsoft Intune használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból

További információ: Eszközkorlátozási beállítások konfigurálása Microsoft Intune és Microsoft Defender víruskereső eszközkorlátozási beállításainak konfigurálása Windows 10 a Intune-ben.

A Microsoft Configuration Manager használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból

A Microsoft Configuration Manager (aktuális ág) konfigurálásával kapcsolatos részletekért lásd: Kártevőirtó-házirendek létrehozása és telepítése: Kizárási beállítások.

A Csoportházirend használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból

  1. A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend felügyeleti konzolt, kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd kattintson a Szerkesztés parancsra.

  2. A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja elemre, és kattintson a Felügyeleti sablonok elemre.

  3. Bontsa ki a fát a Windows-összetevőkre > Microsoft Defender víruskereső > kizárások elemre.

  4. Kattintson duplán a Folyamatkizárások elemre, és adja hozzá a kizárásokat:

    1. Állítsa a beállítást Engedélyezve értékre.
    2. A Beállítások szakaszban kattintson a Megjelenítés... elemre.
    3. Adja meg az egyes folyamatokat a saját sorában az Érték neve oszlop alatt. A folyamatkizárások különböző típusait a példatáblában tekinti meg. Írja be a 0 értéket az Érték oszlopba az összes folyamathoz.

  5. Kattintson az OK gombra.

PowerShell-parancsmagok használata a megadott folyamatok által megnyitott fájlok vizsgálatból való kizárásához

A folyamatok által megnyitott fájlok kizárásainak hozzáadásához vagy eltávolításához a PowerShell használatához három parancsmag és a -ExclusionProcess paraméter együttes használata szükséges. A parancsmagok mind a Defender modulban találhatók.

A parancsmagok formátuma a következő:

<cmdlet> -ExclusionProcess "<item>"

Parancsmagként> a <következők engedélyezettek:

Konfigurációs művelet PowerShell-parancsmag
A lista Létrehozás vagy felülírása Set-MpPreference
Hozzáadás a listához Add-MpPreference
Elemek eltávolítása a listából Remove-MpPreference

Fontos

Ha vagy paranccsal Set-MpPreferenceAdd-MpPreferencehozott létre listát, a Set-MpPreference parancsmag ismételt használatával felülírja a meglévő listát.

Az alábbi kódrészlet például azt eredményezheti, hogy Microsoft Defender víruskereső vizsgálat kizárja a megadott folyamat által megnyitott fájlokat:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

A PowerShell Microsoft Defender víruskeresővel való használatáról további információt a Víruskereső kezelése PowerShell-parancsmagokkal és Microsoft Defender víruskereső parancsmagokkal című témakörben talál.

A Windows felügyeleti utasítás (WMI) használatával kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból

A MSFT_MpPreference osztály Set, Add és Remove metódusait a következő tulajdonságokhoz használhatja:

ExclusionProcess

A Set, Add és Remove használata hasonló a PowerShellben használt megfelelőikhez: Set-MpPreference, Add-MpPreferenceés Remove-MpPreference.

További információ és az engedélyezett paraméterek: Windows Defender WMIv2 API-k.

A Windows biztonság alkalmazással kizárhatja a megadott folyamatok által megnyitott fájlokat a vizsgálatokból

Kövesse a Kizárások hozzáadása az Windows biztonság alkalmazásban című cikk utasításait.

A kizárások listájának áttekintése

A kizárási listában szereplő elemeket lekérheti az MpCmdRun, a PowerShell, a Microsoft Configuration Manager, a Intune vagy a Windows biztonság alkalmazással.

A PowerShell használata esetén a listát kétféleképpen kérdezheti le:

  • Kérje le az összes Microsoft Defender víruskereső beállítás állapotát. Az egyes listák külön sorokban jelennek meg, de az egyes listák elemei ugyanabban a sorban vannak egyesítve.
  • Írja be az összes beállítás állapotát egy változóba, és ezzel a változóval csak a kívánt listát hívja meg. A minden használata Add-MpPreference egy új sorba lesz írva.

A kizárási lista ellenőrzése az MpCmdRun használatával

A kizárások ellenőrzéséhez a dedikált parancssori eszközzel mpcmdrun.exe, használja a következő parancsot:

MpCmdRun.exe -CheckExclusion -path <path>

Megjegyzés:

A kizárások MpCmdRun használatával történő ellenőrzéséhez Microsoft Defender Antivirus CAMP 4.18.1812.3-es (2018 decemberében kiadott) vagy újabb verziójára van szükség.

Tekintse át a kizárások listáját az összes többi Microsoft Defender víruskereső beállítás mellett a PowerShell használatával

Használja a következő parancsmagot:

Get-MpPreference

A PowerShell Microsoft Defender Víruskeresővel való használatáról további információt a Microsoft Defender Víruskereső és Microsoft Defender Víruskereső parancsmagok konfigurálása és futtatása PowerShell-parancsmagok használatával című témakörben talál.

Adott kizárási lista lekérése a PowerShell használatával

Használja a következő kódrészletet (minden sort külön parancsként írjon be); cserélje le a WDAVprefs elemet arra a címkére, amelynek el szeretné nevezni a változót:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

A PowerShell Microsoft Defender víruskeresővel való használatáról további információt a Microsoft Defender víruskereső és Microsoft Defender víruskereső parancsmagok konfigurálása és futtatása PowerShell-parancsmagok használatával című témakörben talál.

Tipp

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.