Konfigurowanie wykluczeń dla plików otwieranych przez procesy
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Pliki otwierane przez określone procesy można wykluczyć ze skanowania programu antywirusowego Microsoft Defender. Należy pamiętać, że te typy wykluczeń dotyczą plików otwieranych przez procesy, a nie samych procesów. Aby wykluczyć proces, dodaj wykluczenie pliku (zobacz Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu).
Przed zdefiniowaniem list wykluczeń zobacz Ważne kwestie dotyczące wykluczeń i zapoznaj się z informacjami w temacie Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender.
W tym artykule opisano sposób konfigurowania list wykluczeń.
Przykłady wykluczeń procesów
| Wykluczenia | Przykład |
|---|---|
| Dowolny plik na komputerze, który jest otwierany przez dowolny proces o określonej nazwie pliku | Określenie spowoduje wykluczenie test.exe plików otwartych przez:
|
| Dowolny plik na komputerze, który jest otwierany przez dowolny proces w określonym folderze | Określenie spowoduje wykluczenie c:\test\sample\* plików otwartych przez: |
| Dowolny plik na komputerze, który jest otwierany przez określony proces w określonym folderze | Określenie spowoduje wykluczenie c:\test\process.exe plików otwartych tylko przez c:\test\process.exe |
Po dodaniu procesu do listy wykluczeń procesu program antywirusowy Microsoft Defender nie będzie skanować plików otwartych przez ten proces, niezależnie od tego, gdzie znajdują się pliki. Sam proces zostanie jednak przeskanowany, chyba że został on również dodany do listy wykluczeń plików.
Wykluczenia mają zastosowanie tylko do zawsze włączonej ochrony i monitorowania w czasie rzeczywistym. Nie mają one zastosowania do skanowania zaplanowanego lub na żądanie.
Zmiany wprowadzone za pomocą zasady grupy list wykluczeń będą wyświetlane na listach w aplikacji Zabezpieczenia Windows. Jednak zmiany wprowadzone w aplikacji Zabezpieczenia Windows nie będą wyświetlane na listach zasady grupy.
Możesz dodawać, usuwać i przeglądać listy wykluczeń w zasady grupy, Microsoft Configuration Manager, Microsoft Intune i za pomocą aplikacji Zabezpieczenia Windows, a także używać symboli wieloznacznych do dalszego dostosowywania list.
Możesz również użyć poleceń cmdlet programu PowerShell i usługi WMI, aby skonfigurować listy wykluczeń, w tym przejrzeć listy.
Domyślnie lokalne zmiany wprowadzone na listach (przez użytkowników z uprawnieniami administratora; zmiany wprowadzone za pomocą programu PowerShell i WMI) są scalane z listami zdefiniowanymi (i wdrożonymi) przez zasady grupy, Configuration Manager lub Intune. Listy zasady grupy mają pierwszeństwo w przypadku konfliktów.
Można skonfigurować sposób scalania list wykluczeń zdefiniowanych lokalnie i globalnie , aby umożliwić zmianę lokalną zastąpienia ustawień wdrożenia zarządzanego.
Uwaga
Reguły ochrony sieci i zmniejszania obszaru ataków mają bezpośredni wpływ na wykluczenia procesów na wszystkich platformach, co oznacza, że wykluczenie procesu w systemie operacyjnym (Windows, MacOS, Linux) spowoduje, że usługa Network Protection lub USŁUGA ASR nie będzie w stanie sprawdzić ruchu lub wymusić reguł dla tego konkretnego procesu.
Nazwa obrazu a pełna ścieżka dla wykluczeń procesu
Można ustawić dwa różne typy wykluczeń procesów. Proces może zostać wykluczony przez nazwę obrazu lub pełną ścieżkę. Nazwa obrazu jest po prostu nazwą pliku procesu bez ścieżki.
Na przykład biorąc pod uwagę proces MyProcess.exe uruchamiany z C:\MyFolder\ pełnej ścieżki do tego procesu, C:\MyFolder\MyProcess.exe nazwa obrazu to MyProcess.exe.
Wykluczenia nazw obrazów są znacznie szersze — wykluczenie MyProcess.exe spowoduje wykluczenie wszystkich procesów o tej nazwie obrazu, niezależnie od ścieżki, z jakiej są uruchamiane. Jeśli na przykład proces MyProcess.exe zostanie wykluczony przez nazwę obrazu, zostanie on również wykluczony, jeśli zostanie uruchomiony z C:\MyOtherFoldernośnika wymiennego et cetera. W związku z tym zaleca się, aby zawsze, gdy jest to możliwe, używana była pełna ścieżka.
Używanie symboli wieloznacznych na liście wykluczeń procesu
Użycie symboli wieloznacznych na liście wykluczeń procesu różni się od ich użycia na innych listach wykluczeń. Gdy wykluczenie procesu jest zdefiniowane tylko jako nazwa obrazu, użycie symboli wieloznaczowych jest niedozwolone. Jednak gdy jest używana pełna ścieżka, symbole wieloznaczne są obsługiwane, a zachowanie symboli wieloznacznych działa zgodnie z opisem w sekcji Wykluczenia plików i folderów
Obsługiwane jest również użycie zmiennych środowiskowych (takich jak %ALLUSERSPROFILE%) jako symboli wieloznacznych podczas definiowania elementów na liście wykluczeń procesu. Szczegóły i pełna lista obsługiwanych zmiennych środowiskowych są opisane w temacie Wykluczenia plików i folderów.
W poniższej tabeli opisano sposób użycia symboli wieloznacznych na liście wykluczeń procesu po podaniu ścieżki:
| Symbol wieloznaczny | Przykładowe użycie | Przykładowe dopasowania |
|---|---|---|
* (gwiazdka)Zastępuje dowolną liczbę znaków. |
C:\MyFolder\* |
Dowolny plik otwarty przez C:\MyFolder\MyProcess.exe lub C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Dowolny plik otwarty przez C:\MyFolder1\MyFolder2\MyProcess.exe lub C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Dowolny plik otwarty przez C:\MyOtherFolder\MyFolder\MyProcess.exe lub C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (znak zapytania) Zastępuje jeden znak. |
C:\MyFolder\MyProcess??.exe |
Dowolny plik otwarty przez C:\MyFolder\MyProcess42.exe lub C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe |
| Zmienne środowiskowe | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Dowolny plik otwarty przez C:\ProgramData\MyFolder\MyProcess.exe |
Wykluczenia procesów kontekstowych
Należy pamiętać, że wykluczenie procesu można również zdefiniować za pośrednictwem wykluczenia kontekstowego , co pozwala na przykład na wykluczenie określonego pliku tylko wtedy, gdy jest otwierany przez określony proces.
Konfigurowanie listy wykluczeń dla plików otwartych przez określone procesy
Użyj Microsoft Intune, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania
Aby uzyskać więcej informacji, zobacz Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune (Konfigurowanie ustawień ograniczeń urządzenia w programie Microsoft Intune i Microsoft Defender Antywirusowe dla Windows 10 w Intune).
Użyj Microsoft Configuration Manager, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania
Zobacz Jak utworzyć i wdrożyć zasady ochrony przed złośliwym kodem: ustawienia wykluczeń, aby uzyskać szczegółowe informacje na temat konfigurowania Microsoft Configuration Manager (bieżącej gałęzi).
Użyj zasady grupy, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania
Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i kliknij przycisk Edytuj.
W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera i kliknij pozycję Szablony administracyjne.
Rozwiń drzewo do składników > systemu Windows Microsoft Defender wykluczeń antywirusowych>.
Kliknij dwukrotnie pozycję Wykluczenia procesu i dodaj wykluczenia:
- Ustaw opcję Włączone.
- W sekcji Opcje kliknij pozycję Pokaż....
- Wprowadź każdy proces we własnym wierszu w kolumnie Nazwa wartości . Zapoznaj się z tabelą przykładów dla różnych typów wykluczeń procesów. Wprowadź wartość 0 w kolumnie Wartość dla wszystkich procesów.
Kliknij przycisk OK.
Użyj poleceń cmdlet programu PowerShell, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania
Używanie programu PowerShell do dodawania lub usuwania wykluczeń dla plików, które zostały otwarte przez procesy, wymaga użycia kombinacji trzech poleceń cmdlet z parametrem -ExclusionProcess . Wszystkie polecenia cmdlet znajdują się w module defender.
Format poleceń cmdlet to:
<cmdlet> -ExclusionProcess "<item>"
Następujące elementy <są dozwolone jako polecenie cmdlet>:
| Akcja konfiguracji | Polecenie cmdlet programu PowerShell |
|---|---|
| Tworzenie lub zastępowanie listy | Set-MpPreference |
| Dodaj do listy | Add-MpPreference |
| Usuwanie elementów z listy | Remove-MpPreference |
Ważna
Jeśli utworzono listę za Set-MpPreference pomocą polecenia cmdlet lub Add-MpPreference, ponowne użycie Set-MpPreference polecenia cmdlet spowoduje zastąpienie istniejącej listy.
Na przykład poniższy fragment kodu może spowodować wykluczenie wszystkich plików otwieranych przez określony proces Microsoft Defender skanowania antywirusowego:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Aby uzyskać więcej informacji na temat używania programu PowerShell z programem antywirusowym Microsoft Defender, zobacz Zarządzanie programem antywirusowym przy użyciu poleceń cmdlet programu PowerShell i poleceń cmdlet programu antywirusowego Microsoft Defender.
Użyj instrukcji zarządzania systemem Windows (WMI), aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania
Użyj metod Set, Add i Remove klasy MSFT_MpPreference dla następujących właściwości:
ExclusionProcess
Użycie poleceń Set, Add i Remove jest analogiczne do ich odpowiedników w programie PowerShell: Set-MpPreference, Add-MpPreferencei Remove-MpPreference.
Aby uzyskać więcej informacji i dozwolone parametry, zobacz Interfejsy API WMIv2 usługi Windows Defender.
Użyj aplikacji Zabezpieczenia Windows, aby wykluczyć pliki, które zostały otwarte przez określone procesy ze skanowania
Postępuj zgodnie z instrukcjami w temacie Dodawanie wykluczeń w aplikacji Zabezpieczenia Windows.
Przejrzyj listę wykluczeń
Elementy na liście wykluczeń można pobrać za pomocą aplikacji MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune lub aplikacji Zabezpieczenia Windows.
Jeśli używasz programu PowerShell, możesz pobrać listę na dwa sposoby:
- Pobierz stan wszystkich preferencji programu antywirusowego Microsoft Defender. Każda z list jest wyświetlana w oddzielnych wierszach, ale elementy na każdej liście są łączone w ten sam wiersz.
- Zapisz stan wszystkich preferencji w zmiennej i użyj tej zmiennej, aby wywołać tylko konkretną listę, którą Cię interesuje. Każde użycie
Add-MpPreferencejest zapisywane w nowym wierszu.
Weryfikowanie listy wykluczeń przy użyciu polecenia MpCmdRun
Aby sprawdzić wykluczenia za pomocą dedykowanego narzędzia wiersza polecenia mpcmdrun.exe, użyj następującego polecenia:
MpCmdRun.exe -CheckExclusion -path <path>
Uwaga
Sprawdzanie wykluczeń przy użyciu narzędzia MpCmdRun wymaga Microsoft Defender programu antywirusowego CAMP w wersji 4.18.1812.3 (wydanej w grudniu 2018 r.) lub nowszej.
Przejrzyj listę wykluczeń wraz ze wszystkimi innymi preferencjami programu antywirusowego Microsoft Defender przy użyciu programu PowerShell
Użyj następującego polecenia cmdlet:
Get-MpPreference
Aby uzyskać więcej informacji na temat używania programu PowerShell z programem antywirusowym Microsoft Defender, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Microsoft Defender Antivirus i Microsoft Defender Antivirus .
Pobieranie określonej listy wykluczeń przy użyciu programu PowerShell
Użyj następującego fragmentu kodu (wprowadź każdy wiersz jako oddzielne polecenie); Zastąp elementy WDAVprefs dowolną etykietą, którą chcesz nazwać zmienną:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Aby uzyskać więcej informacji na temat używania programu PowerShell z programem antywirusowym Microsoft Defender, zobacz Konfigurowanie i uruchamianie poleceń cmdlet Microsoft Defender Antivirus i Microsoft Defender Antivirus za pomocą poleceń cmdlet programu PowerShell.
Porada
Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:
- Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
- Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
- Ustawienia zasad ochrony antywirusowej systemu macOS dla programu antywirusowego Microsoft Defender dla usługi Intune
- Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu Android
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS
Artykuły pokrewne
- Konfigurowanie i weryfikowanie wykluczeń w skanowaniach programu antywirusowego Microsoft Defender
- Konfigurowanie i weryfikowanie wykluczeń na podstawie nazwy pliku, rozszerzenia i lokalizacji folderu
- Konfigurowanie wykluczeń programu antywirusowego Microsoft Defender w systemie Windows Server
- Typowe błędy, których należy unikać podczas definiowania wykluczeń
- Dostosowywanie, inicjowanie i przeglądanie wyników skanowania i korygowania programu antywirusowego Microsoft Defender
- program antywirusowy Microsoft Defender w Windows 10
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.