Configurar exclusões personalizadas para Microsoft Defender Antivírus

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender Antivírus

Plataformas

• Windows

Em geral, você não deve precisar definir exclusões para Microsoft Defender Antivírus. No entanto, se necessário, você pode excluir arquivos, pastas, processos e arquivos abertos por processo de Microsoft Defender verificações antivírus. Esses tipos de exclusões são conhecidos como exclusões personalizadas. Este artigo descreve como definir exclusões personalizadas para Microsoft Defender Antivírus com Microsoft Intune e inclui links para outros recursos para obter mais informações.

Exclusões personalizadas se aplicam a verificações agendadas, exames sob demanda e proteção e monitoramento sempre em tempo real. Exclusões para arquivos abertos por processo só se aplicam à proteção em tempo real.

Dica

Para obter uma visão geral detalhada de supressões, envios e exclusões em Microsoft Defender Antivírus e Defender para Ponto de Extremidade, consulte Exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.

Configurar e validar exclusões

Cuidado

Use Microsoft Defender extensões antivírus com moderação. Examine as informações em Gerenciar exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.

Se você estiver usando Microsoft Intune para gerenciar Microsoft Defender Antivírus ou Microsoft Defender para Ponto de Extremidade, use os seguintes procedimentos para definir exclusões:

• Gerenciar exclusões de antivírus no Intune (para políticas existentes)
• Criar uma nova política antivírus com exclusões no Intune

Se você estiver usando outra ferramenta, como Configuration Manager ou Política de Grupo ou quiser obter informações mais detalhadas sobre exclusões personalizadas, confira estes artigos:

• Configurar e validar exclusões com base na extensão de arquivo e no local da pasta
• Configurar exclusões para arquivos abertos por processos

Gerenciar exclusões de antivírus no Intune (para políticas existentes)

1. No centro de administração Microsoft Intune, escolhaAntivírus de segurança> do ponto de extremidade e selecione uma política existente. (Se você não tiver uma política existente ou quiser criar uma nova política, pule para Criar uma nova política antivírus com exclusões no Intune.)

2. Escolha Propriedades e, ao lado das configurações de configuração, escolha Editar.

3. Expanda Microsoft Defender Exclusões antivírus e especifique suas exclusões.

   • Extensões excluídas são exclusões que você define por extensão de tipo de arquivo. Essas extensões se aplicam a qualquer nome de arquivo que tenha a extensão definida sem o caminho ou pasta do arquivo. Separar cada tipo de arquivo na lista deve ser separado com um | caractere. Por exemplo, lib|obj. Para obter mais informações, consulte ExcludeedExtensions.
   • Caminhos excluídos são exclusões que você define pelo local (caminho). Esses tipos de exclusões também são conhecidos como exclusões de arquivo e pasta. Separe cada caminho na lista com um | caractere. Por exemplo, C:\Example|C:\Example1. Para obter mais informações, consulte ExcludeedPaths.
   • Processos excluídos são exclusões para arquivos abertos por determinados processos. Separe cada tipo de arquivo na lista com um | caractere. Por exemplo, C:\Example. exe|C:\Example1.exe. Essas exclusões não são para os processos reais. Para excluir processos, você pode usar exclusões de arquivos e pastas. Para obter mais informações, consulte ExcludeedProcesses.

4. Escolha Revisar + salvar e, em seguida, escolha Salvar.

Criar uma nova política antivírus com exclusões no Intune

1. No centro de administração Microsoft Intune, escolha Políticade Criação do Antivírus>+de segurança> do ponto de extremidade.

2. Selecione uma plataforma (como Windows 10, Windows 11 e Windows Server).

3. Para Perfil, selecione Microsoft Defender exclusões antivírus e escolha Criar.

4. Na etapa Criar perfil , especifique um nome e uma descrição para o perfil e escolha Avançar.

5. Na guia Configuração de configuração, especifique suas exclusões antivírus e escolha Avançar.

   • Extensões excluídas são exclusões que você define por extensão de tipo de arquivo. Essas extensões se aplicam a qualquer nome de arquivo que tenha a extensão definida sem o caminho ou pasta do arquivo. Separe cada tipo de arquivo na lista com um | caractere. Por exemplo, lib|obj. Para obter mais informações, consulte ExcludeedExtensions.
   • Caminhos excluídos são exclusões que você define pelo local (caminho). Esses tipos de exclusões também são conhecidos como exclusões de arquivo e pasta. Separe cada caminho na lista com um | caractere. Por exemplo, C:\Example|C:\Example1. Para obter mais informações, consulte ExcludeedPaths.
   • Processos excluídos são exclusões para arquivos abertos por determinados processos. Separe cada tipo de arquivo na lista com um | caractere. Por exemplo, C:\Example. exe|C:\Example1.exe. Essas exclusões não são para os processos reais. Para excluir processos, você pode usar exclusões de arquivos e pastas. Para obter mais informações, consulte ExcludeedProcesses.

6. Na guia Marcas de escopo , se você estiver usando marcas de escopo em sua organização, especifique marcas de escopo para a política que você está criando. (Confira Marcas de escopo.)

7. Na guia Atribuições, especifique os usuários e grupos a quem sua política deve ser aplicada e escolha Avançar. (Se você precisar de ajuda com atribuições, consulte Atribuir perfis de usuário e dispositivo em Microsoft Intune.)

8. Na guia Revisar + criar , examine as configurações e escolha Criar.

Pontos importantes sobre exclusões

Definir exclusões reduz a proteção oferecida pelo Microsoft Defender Antivírus. Você sempre deve avaliar os riscos associados à implementação de exclusões e só deve excluir arquivos que você está confiante de que não são mal-intencionados.

As exclusões afetam diretamente a capacidade de Microsoft Defender Antivírus bloquear, corrigir ou inspecionar eventos relacionados aos arquivos, pastas ou processos que são adicionados à lista de exclusão. Exclusões personalizadas podem afetar recursos que dependem diretamente do mecanismo antivírus (como proteção contra malware, IOCs de arquivo e IOCs de certificado). As exclusões de processo também afetam as regras de proteção de rede e redução de superfície de ataque. Especificamente, uma exclusão de processo em qualquer plataforma faz com que a proteção de rede e o ASR não possam inspecionar o tráfego ou impor regras para esse processo específico.

Lembre-se dos seguintes pontos quando estiver definindo exclusões:

• As exclusões são tecnicamente uma lacuna de proteção. Considere todas as opções ao definir exclusões. Consulte Envios, supressões e exclusões.

• Examine as exclusões periodicamente. Verifique novamente e imponha mitigações como parte do processo de revisão.

• Idealmente, evite definir exclusões na tentativa de ser proativo. Por exemplo, não exclua algo só porque você acha que pode ser um problema no futuro. Use exclusões apenas para problemas específicos, como aqueles relativos a desempenho ou compatibilidade de aplicativo que as exclusões poderiam atenuar.

• Examine e audite as alterações na lista de exclusões. Sua equipe de segurança deve preservar o contexto em torno de por que uma determinada exclusão foi adicionada para evitar confusão mais tarde. Sua equipe de segurança deve ser capaz de fornecer respostas específicas para perguntas sobre por que as exclusões existem.

Auditar exclusões de antivírus nos sistemas do Exchange

O Microsoft Exchange tem suporte à integração com a AMSI (Interface de Verificação Antimalware) desde o Atualizações Trimestral do Exchange de junho de 2021 (consulte Executando o software antivírus do Windows em servidores exchange). É altamente recomendável instalar essas atualizações e verificar se o AMSI está funcionando corretamente. Consulte Microsoft Defender inteligência de segurança antivírus e atualizações de produtos.

Muitas organizações excluem os diretórios do Exchange de exames antivírus por motivos de desempenho. A Microsoft recomenda auditar Microsoft Defender exclusões antivírus nos sistemas do Exchange e avaliar se as exclusões podem ser removidas sem afetar o desempenho em seu ambiente para garantir o nível mais alto de proteção. As exclusões podem ser gerenciadas usando Política de Grupo, PowerShell ou ferramentas de gerenciamento de sistemas como Microsoft Intune.

Para auditar Microsoft Defender exclusões do Antivírus em um Exchange Server, execute o comando Get-MpPreference de um prompt do PowerShell elevado. (Confira Get-MpPreference.)

Se as exclusões não puderem ser removidas para os processos e pastas do Exchange, tenha em mente que a execução de uma verificação rápida no Microsoft Defender Antivírus verifica os diretórios e arquivos do Exchange, independentemente das exclusões.

Confira também

• Microsoft Defender exclusões antivírus em Windows Server 2016 e posterior
• Erros comuns a evitar ao definir exclusões
• Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
• Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no Linux
• Configurar e validar exclusões para Microsoft Defender para Ponto de Extremidade no macOS

Dica

Você deseja aprender mais? Envolva-se com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Comunidade Tecnológica.