Uitsluitingen configureren voor bestanden die zijn geopend door processen

  • Artikel

Van toepassing op:

Platforms

  • Windows

U kunt bestanden die worden geopend door specifieke processen uitsluiten van Microsoft Defender Antivirus-scans. Houd er rekening mee dat deze soorten uitsluitingen zijn bedoeld voor bestanden die worden geopend door processen en niet voor de processen zelf. Als u een proces wilt uitsluiten, voegt u een bestandsuitsluiting toe (zie Uitsluitingen configureren en valideren op basis van bestandsextensie en maplocatie).

Zie Belangrijke punten over uitsluitingen en raadpleeg de informatie in Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus voordat u uw uitsluitingslijsten definieert.

In dit artikel wordt beschreven hoe u uitsluitingslijsten configureert.

Voorbeelden van procesuitsluitingen

Uitsluiting Voorbeeld
Elk bestand op de computer dat wordt geopend door een proces met een specifieke bestandsnaam Als u test.exe opgeeft, worden bestanden uitgesloten die zijn geopend door:

c:\sample\test.exe

d:\internal\files\test.exe
Elk bestand op de computer dat wordt geopend door een proces in een specifieke map Als u c:\test\sample\* opgeeft, worden bestanden uitgesloten die zijn geopend door:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
Elk bestand op de computer dat wordt geopend door een specifiek proces in een specifieke map Als u c:\test\process.exe opgeeft, worden bestanden uitgesloten die alleen worden geopend door c:\test\process.exe

Wanneer u een proces toevoegt aan de lijst met procesuitsluitingen, scant Microsoft Defender Antivirus geen bestanden die door dat proces worden geopend, ongeacht waar de bestanden zich bevinden. Het proces zelf wordt echter gescand, tenzij het ook is toegevoegd aan de lijst met bestandsuitsluitingen.

De uitsluitingen zijn alleen van toepassing op permanente realtime-beveiliging en bewaking. Ze zijn niet van toepassing op geplande scans of scans op aanvraag.

Wijzigingen die zijn aangebracht met groepsbeleid in de uitsluitingslijsten, worden weergegeven in de lijsten in de Windows-beveiliging-app. Wijzigingen in de Windows-beveiliging-app worden echter niet weergegeven in de groepsbeleid lijsten.

U kunt de lijsten toevoegen, verwijderen en controleren op uitsluitingen in groepsbeleid, Microsoft Configuration Manager, Microsoft Intune en met de Windows-beveiliging-app, en u kunt jokertekens gebruiken om de lijsten verder aan te passen.

U kunt ook PowerShell-cmdlets en WMI gebruiken om de uitsluitingslijsten te configureren, inclusief het controleren van uw lijsten.

Standaard worden lokale wijzigingen in de lijsten (door gebruikers met beheerdersbevoegdheden; wijzigingen die zijn aangebracht met PowerShell en WMI) samengevoegd met de lijsten zoals gedefinieerd (en geïmplementeerd) door groepsbeleid, Configuration Manager of Intune. De groepsbeleid lijsten hebben voorrang als er conflicten zijn.

U kunt configureren hoe lokaal en globaal gedefinieerde uitsluitingslijsten worden samengevoegd om lokale wijzigingen toe te staan dat beheerde implementatie-instellingen worden overschreven.

Opmerking

Regels voor netwerkbeveiliging en kwetsbaarheid voor aanvallen worden rechtstreeks beïnvloed door procesuitsluitingen op alle platforms, wat betekent dat een procesuitsluiting op elk besturingssysteem (Windows, MacOS, Linux) ertoe leidt dat Netwerkbeveiliging of ASR geen verkeer kan inspecteren of regels kan afdwingen voor dat specifieke proces.

Naam van installatiekopie versus volledig pad voor procesuitsluitingen

Er kunnen twee verschillende soorten procesuitsluitingen worden ingesteld. Een proces kan worden uitgesloten op basis van de naam van de installatiekopieën of het volledige pad. De naam van de afbeelding is gewoon de bestandsnaam van het proces, zonder het pad.

Bijvoorbeeld, gezien het proces MyProcess.exe dat wordt uitgevoerd van C:\MyFolder\ het volledige pad naar dit proces C:\MyFolder\MyProcess.exe en de naam van de installatiekopieën is MyProcess.exe.

Uitsluitingen van afbeeldingsnamen zijn veel breder: met een uitsluiting op MyProcess.exe worden alle processen met deze afbeeldingsnaam uitgesloten, ongeacht het pad waaruit ze worden uitgevoerd. Dus als het proces MyProcess.exe bijvoorbeeld wordt uitgesloten door de naam van de afbeelding, wordt het ook uitgesloten als het wordt uitgevoerd van C:\MyOtherFolder, van verwisselbare media, enzovoort. Daarom wordt aanbevolen om waar mogelijk het volledige pad te gebruiken.

Jokertekens gebruiken in de lijst met procesuitsluitingen

Het gebruik van jokertekens in de lijst met procesuitsluitingen verschilt van het gebruik ervan in andere uitsluitingslijsten. Wanneer de procesuitsluiting is gedefinieerd als alleen een afbeeldingsnaam, is het gebruik van jokertekens niet toegestaan. Wanneer echter een volledig pad wordt gebruikt, worden jokertekens ondersteund en gedraagt het gedrag van jokertekens zich zoals beschreven in Bestands- en mapuitsluitingen

Het gebruik van omgevingsvariabelen (zoals %ALLUSERSPROFILE%) als jokertekens bij het definiëren van items in de lijst met procesuitsluitingen wordt ook ondersteund. Details en een volledige lijst met ondersteunde omgevingsvariabelen worden beschreven in Bestands- en mapuitsluitingen.

In de volgende tabel wordt beschreven hoe de jokertekens kunnen worden gebruikt in de lijst met procesuitsluitingen wanneer een pad wordt opgegeven:

Jokerteken Voorbeeld van gebruik Voorbeeldovereenkomsten
* (sterretje)

Vervangt een willekeurig aantal tekens.

 C:\MyFolder\* Elk bestand geopend door C:\MyFolder\MyProcess.exe of C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Elk bestand geopend door C:\MyFolder1\MyFolder2\MyProcess.exe of C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Elk bestand geopend door C:\MyOtherFolder\MyFolder\MyProcess.exe of C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (vraagteken)

Vervangt één teken.

 C:\MyFolder\MyProcess??.exe Elk bestand geopend door C:\MyFolder\MyProcess42.exe of of C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Omgevingsvariabelen %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Elk bestand geopend door C:\ProgramData\MyFolder\MyProcess.exe

Contextuele procesuitsluitingen

Houd er rekening mee dat een procesuitsluiting ook kan worden gedefinieerd via een contextuele uitsluiting , zodat bijvoorbeeld een specifiek bestand alleen kan worden uitgesloten als het wordt geopend door een specifiek proces.

De lijst met uitsluitingen configureren voor bestanden die zijn geopend door opgegeven processen

Gebruik Microsoft Intune om bestanden die zijn geopend door opgegeven processen uit te sluiten van scans

Zie Instellingen voor apparaatbeperking configureren in Microsoft Intune en Microsoft Defender Instellingen voor beperking van antivirusapparaten voor Windows 10 in Intune voor meer informatie.

Gebruik Microsoft Configuration Manager om bestanden die zijn geopend door opgegeven processen uit te sluiten van scans

Zie Antimalwarebeleid maken en implementeren: Uitsluitingsinstellingen voor meer informatie over het configureren van Microsoft Configuration Manager (current branch).

Gebruik groepsbeleid om bestanden die zijn geopend door opgegeven processen uit te sluiten van scans

  1. Open op uw groepsbeleid beheercomputer de groepsbeleid-beheerconsole, klik met de rechtermuisknop op het groepsbeleid-object dat u wilt configureren en klik op Bewerken.

  2. Ga in de Editor groepsbeleid Management naar Computerconfiguratie en klik op Beheersjablonen.

  3. Vouw de structuur uit naar Windows-onderdelen > Microsoft Defender Antivirusuitsluitingen>.

  4. Dubbelklik op Uitsluitingen proces en voeg de uitsluitingen toe:

    1. Stel de optie in op Ingeschakeld.
    2. Klik in de sectie Opties op Weergeven....
    3. Voer elk proces in op een eigen regel onder de kolom Waardenaam . Zie de voorbeeldtabel voor de verschillende typen procesuitsluitingen. Voer 0 in de kolom Waarde in voor alle processen.

  5. Klik op OK.

PowerShell-cmdlets gebruiken om bestanden die zijn geopend door opgegeven processen uit te sluiten van scans

Als u PowerShell wilt gebruiken om uitsluitingen toe te voegen of te verwijderen voor bestanden die zijn geopend door processen, moet u een combinatie van drie cmdlets met de -ExclusionProcess parameter gebruiken. De cmdlets bevinden zich allemaal in de Defender-module.

De indeling voor de cmdlets is:

<cmdlet> -ExclusionProcess "<item>"

De volgende zijn toegestaan als de <cmdlet>:

Configuratieactie PowerShell-cmdlet
de lijst Creatie of overschrijven Set-MpPreference
Toevoegen aan de lijst Add-MpPreference
Items uit de lijst verwijderen Remove-MpPreference

Belangrijk

Als u een lijst hebt gemaakt, met Set-MpPreference of Add-MpPreference, wordt de Set-MpPreference bestaande lijst overschreven door de cmdlet opnieuw te gebruiken.

Het volgende codefragment zorgt er bijvoorbeeld voor dat Microsoft Defender Antivirus-scans elk bestand uitsluiten dat wordt geopend door het opgegeven proces:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Zie Antivirus beheren met PowerShell-cmdlets en Microsoft Defender Antivirus-cmdlets voor meer informatie over het gebruik van PowerShell met Microsoft Defender Antivirus.

Windows Management Instruction (WMI) gebruiken om bestanden die zijn geopend door opgegeven processen uit te sluiten van scans

Gebruik de methoden Instellen, Toevoegen en Verwijderen van de klasse MSFT_MpPreference voor de volgende eigenschappen:

ExclusionProcess

Het gebruik van Instellen, Toevoegen en Verwijderen is vergelijkbaar met hun tegenhangers in PowerShell: Set-MpPreference, Add-MpPreferenceen Remove-MpPreference.

Zie Windows Defender WMIv2-API's voor meer informatie en toegestane parameters.

Gebruik de Windows-beveiliging-app om bestanden die zijn geopend door opgegeven processen uit te sluiten van scans

Volg de instructies in Uitsluitingen toevoegen in de Windows-beveiliging-app.

Bekijk de lijst met uitsluitingen

U kunt de items in de uitsluitingslijst ophalen met MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune of de Windows-beveiliging-app.

Als u PowerShell gebruikt, kunt u de lijst op twee manieren ophalen:

  • Haal de status van alle Microsoft Defender Antivirusvoorkeuren op. Elk van de lijsten wordt op afzonderlijke regels weergegeven, maar de items in elke lijst worden gecombineerd tot dezelfde regel.
  • Schrijf de status van alle voorkeuren naar een variabele en gebruik deze variabele om alleen de specifieke lijst aan te roepen waarin u geïnteresseerd bent. Elk gebruik van Add-MpPreference wordt naar een nieuwe regel geschreven.

De uitsluitingslijst valideren met behulp van MpCmdRun

Gebruik de volgende opdracht om uitsluitingen te controleren met het toegewezen opdrachtregelprogramma mpcmdrun.exe:

MpCmdRun.exe -CheckExclusion -path <path>

Opmerking

Voor het controleren van uitsluitingen met MpCmdRun is Microsoft Defender Antivirus CAMP versie 4.18.1812.3 (uitgebracht in december 2018) of hoger.

Bekijk de lijst met uitsluitingen naast alle andere Microsoft Defender Antivirus-voorkeuren met behulp van PowerShell

Gebruik de volgende cmdlet:

Get-MpPreference

Zie PowerShell-cmdlets gebruiken om Microsoft Defender Antivirus- en Microsoft Defender Antivirus-cmdlets te configureren en uit te voeren voor meer informatie over het gebruik van PowerShell met Microsoft Defender Antivirus.

Een specifieke uitsluitingslijst ophalen met behulp van PowerShell

Gebruik het volgende codefragment (voer elke regel in als een afzonderlijke opdracht); vervang WDAVprefs door het label dat u de variabele wilt noemen:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Zie PowerShell-cmdlets gebruiken om Microsoft Defender Antivirus- en Microsoft Defender Antivirus-cmdlets te configureren en uit te voeren voor meer informatie over het gebruik van PowerShell met Microsoft Defender Antivirus.

Tip

Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.