Configurar e validar exclusões com base na extensão de arquivo e no local da pasta
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
Você pode definir exclusões para Microsoft Defender Antivírus que se aplicam a exames agendados, exames sob demanda e proteção e monitoramento em tempo real. Geralmente, você não precisa aplicar exclusões. Se você precisar aplicar exclusões, poderá escolher no seguinte:
- Exclusões com base em extensões de arquivo e locais de pasta (descrito neste artigo)
- Exclusões para arquivos abertos por processos
Importante
Microsoft Defender exclusões antivírus se aplicam a alguns recursos Microsoft Defender para Ponto de Extremidade, como regras de redução de superfície de ataque. Algumas exclusões Microsoft Defender Antivírus são aplicáveis a algumas exclusões de regra ASR. Consulte Referência de regras de redução de superfície de ataque – Microsoft Defender exclusões antivírus e regras ASR. Os arquivos que você exclui usando os métodos descritos neste artigo ainda podem disparar alertas de EDR (Detecção e Resposta ao Ponto de Extremidade) e outras detecções. Para excluir arquivos amplamente, adicione-os aos indicadores personalizados Microsoft Defender para Ponto de Extremidade.
Antes de começar
Consulte Recomendações para definir exclusões antes de definir suas listas de exclusão.
Listas de exclusão
Para excluir determinados arquivos de verificações Microsoft Defender Antivírus, modifique suas listas de exclusão. Microsoft Defender Antivírus inclui muitas exclusões automáticas com base em comportamentos conhecidos do sistema operacional e arquivos de gerenciamento típicos, como aqueles usados no gerenciamento empresarial, gerenciamento de banco de dados e outros cenários e situações empresariais.
Observação
As exclusões também se aplicam a detecções de PUA (aplicativos potencialmente indesejados ). As exclusões automáticas se aplicam apenas a Windows Server 2016 e posteriores. Essas exclusões não estão visíveis no aplicativo Segurança do Windows e no PowerShell.
A tabela a seguir lista alguns exemplos de exclusões com base na extensão de arquivo e no local da pasta.
Exclusão | Exemplos | Lista de exclusão |
---|---|---|
Qualquer arquivo com uma extensão específica | Todos os arquivos com a extensão especificada, em qualquer lugar do computador. Sintaxe válida: .test e test |
Exclusões de extensão |
Qualquer arquivo em uma pasta específica | Todos os arquivos na c:\test\sample pasta |
Exclusões de arquivos e pastas |
Um arquivo específico em uma pasta específica | Somente o arquivo c:\sample\sample.test |
Exclusões de arquivos e pastas |
Um processo específico | O arquivo executável c:\test\process.exe |
Exclusões de arquivos e pastas |
Características das listas de exclusão
- As exclusões de pasta se aplicam a todos os arquivos e pastas nessa pasta, a menos que a subpasta seja um ponto de reparso. As subpastas de ponto de reparse devem ser excluídas separadamente.
- As extensões de arquivo se aplicam a qualquer nome de arquivo com a extensão definida se um caminho ou pasta não for definido.
Notas importantes sobre exclusões com base em extensões de arquivo e locais de pasta
O uso de curingas como o asterisco (*) altera a forma como as regras de exclusão são interpretadas. Consulte a seção Usar curingas nas listas de exclusão de nome do arquivo e caminho de pasta ou extensão para obter informações importantes sobre como os curingas funcionam.
Não exclua unidades de rede mapeadas. Especifique o caminho de rede real.
As pastas que são pontos de reparse são criadas após o início do serviço Microsoft Defender Antivírus e as que foram adicionadas à lista de exclusão não estão incluídas. Reinicie o serviço reiniciando o Windows para que novos pontos de reparse sejam reconhecidos como um destino de exclusão válido.
As exclusões se aplicam a verificações agendadas, exames sob demanda e proteção em tempo real, mas não em todos os recursos do Defender para Ponto de Extremidade. Para definir exclusões no Defender para Ponto de Extremidade, use indicadores personalizados.
Por padrão, as alterações locais feitas nas listas (por usuários com privilégios de administrador, incluindo alterações feitas com PowerShell e WMI) são mescladas com as listas definidas (e implantadas) por Política de Grupo, Configuration Manager ou Intune. As listas de Política de Grupo têm precedência quando há conflitos. Além disso, as alterações na lista de exclusão feitas com Política de Grupo estão visíveis no aplicativo Segurança do Windows.
Para permitir que as alterações locais substituam as configurações de implantação gerenciada, configure como as listas de exclusões definidas local e globalmente são mescladas.
Configurar a lista de exclusões com base no nome da pasta ou na extensão do arquivo
Você pode escolher entre vários métodos para definir exclusões para Microsoft Defender Antivírus.
Use Intune para configurar exclusões de nome de arquivo, pasta ou extensão de arquivo
Confira os seguintes artigos:
- Definir configurações de restrição de dispositivo no Microsoft Intune
- Microsoft Defender configurações de restrição de dispositivo Antivírus para Windows 10 no Intune
Use Configuration Manager para configurar exclusões de nome de arquivo, pasta ou extensão de arquivo
Confira Como criar e implantar políticas antimalware: configurações de exclusão para obter detalhes sobre como configurar Microsoft Configuration Manager (branch atual).
Usar Política de Grupo para configurar exclusões de extensão de arquivo ou pasta
Observação
Se você especificar um caminho totalmente qualificado para um arquivo, somente esse arquivo será excluído. Se uma pasta for definida na exclusão, todos os arquivos e subdiretórios nessa pasta serão excluídos.
No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo, clique com o botão direito do mouse no Objeto de Política de Grupo que deseja configurar e selecione Editar.
No Política de Grupo Gerenciamento Editor vá para configuração de computador e selecione Modelos administrativos.
Expanda a árvore para componentes> do Windows Microsoft Defender Exclusões antivírus>.
Abra a configuração Exclusões de Caminho para edição e adicione suas exclusões.
- Defina a opção como Habilitada.
- Na seção Opções , selecione Mostrar.
- Especifique cada pasta em sua própria linha na coluna Nome do valor .
- Se você estiver especificando um arquivo, verifique se você insere um caminho totalmente qualificado para o arquivo, incluindo a letra da unidade, o caminho da pasta, o nome do arquivo e a extensão.
- Insira 0 na coluna Valor .
Escolha OK.
Abra a configuração Exclusões de Extensão para edição e adicione suas exclusões.
- Defina a opção como Habilitada.
- Na seção Opções , selecione Mostrar.
- Insira cada extensão de arquivo em sua própria linha na coluna Nome do valor .
- Insira 0 na coluna Valor .
Escolha OK.
Usar cmdlets do PowerShell para configurar exclusões de nome de arquivo, pasta ou extensão de arquivo
Usar o PowerShell para adicionar ou remover exclusões para arquivos com base na extensão, local ou nome do arquivo requer usar uma combinação de três cmdlets e o parâmetro de lista de exclusão apropriado. Os cmdlets estão todos no módulo defender.
O formato para os cmdlets é o seguinte:
<cmdlet> -<exclusion list> "<item>"
A tabela a seguir lista cmdlets que você pode usar na <cmdlet>
parte do cmdlet do PowerShell:
Ação de configuração | Cmdlet do PowerShell |
---|---|
Create ou substituir a lista | Set-MpPreference |
Adicionar à lista | Add-MpPreference |
Remover item da lista | Remove-MpPreference |
A tabela a seguir lista os valores que você pode usar na <exclusion list>
parte do cmdlet do PowerShell:
Tipo de exclusão | Parâmetro do PowerShell |
---|---|
Todos os arquivos com uma extensão de arquivo especificada | -ExclusionExtension |
Todos os arquivos em uma pasta (incluindo arquivos em subdiretórios) ou um arquivo específico | -ExclusionPath |
Importante
Se você criou uma lista, com Set-MpPreference
ou Add-MpPreference
, usar o Set-MpPreference
cmdlet novamente substituirá a lista existente.
Por exemplo, o snippet de código a seguir faria com que Microsoft Defender verificações antivírus excluíssem qualquer arquivo com a extensão de .test
arquivo:
Add-MpPreference -ExclusionExtension ".test"
Dica
Para obter mais informações, confira Usar cmdlets do PowerShell para configurar e executar cmdlets Microsoft Defender Antivírus e Defender Antivírus.
Usar a WMI (Instrumentação de Gerenciamento do Windows) para configurar exclusões de nome de arquivo, pasta ou extensão de arquivo
Use os métodos Definir, Adicionar e Remover da classe MSFT_MpPreference para as seguintes propriedades:
ExclusionExtension
ExclusionPath
Usar Set, Add e Remove é análogo aos seus equivalentes no PowerShell: Set-MpPreference
, Add-MpPreference
e Remove-MpPreference
.
Dica
Para obter mais informações, consulte Windows Defender APIs WMIv2.
Use o aplicativo Segurança do Windows para configurar exclusões de nome de arquivo, pasta ou extensão de arquivo
Consulte Adicionar exclusões no aplicativo Segurança do Windows para obter instruções.
Usar curingas nas listas de exclusão do nome do arquivo e do caminho da pasta ou da extensão
Você pode usar o asterisco *
, ponto de interrogação ?
ou variáveis de ambiente (como %ALLUSERSPROFILE%
) como curingas ao definir itens na lista de exclusão do nome do arquivo ou do caminho da pasta. A forma como esses curingas são interpretados difere do uso habitual em outros aplicativos e idiomas. Leia esta seção para entender suas limitações específicas.
Importante
Há limitações principais e cenários de uso para esses curingas:
- O uso da variável de ambiente é limitado a variáveis de máquina e aquelas aplicáveis a processos em execução como uma conta NT AUTHORITY\SYSTEM.
- Você só pode usar um máximo de seis curingas por entrada.
- Você não pode usar um curinga no lugar de uma letra de unidade.
- Um asterisco
*
em uma exclusão de pasta está em vigor para uma única pasta. Use várias instâncias de\*\
para indicar várias pastas aninhadas com nomes não especificados.
A tabela a seguir descreve como os curingas podem ser usados e fornece alguns exemplos.
Curinga | Exemplos |
---|---|
* (asterisco)Em inclusões de extensão de arquivo e nome do arquivo, o asterisco substitui qualquer número de caracteres e se aplica apenas a arquivos na última pasta definida no argumento. Em exclusões de pasta, o asterisco substitui uma única pasta. Use vários * com barras \ de pasta para indicar várias pastas aninhadas. Depois de corresponder ao número de pastas curinga e nomeadas, todas as subpastas também serão incluídas. |
C:\MyData\*.txt Inclui C:\MyData\notes.txt C:\somepath\*\Data inclui qualquer arquivo em C:\somepath\Archives\Data e suas subpastas e C:\somepath\Authorized\Data suas subpastasC:\Serv\*\*\Backup inclui qualquer arquivo em C:\Serv\Primary\Denied\Backup e suas subpastas e C:\Serv\Secondary\Allowed\Backup suas subpastas |
? (ponto de interrogação)Em inclusões de extensão de arquivo e nome do arquivo, o ponto de interrogação substitui um único caractere e se aplica apenas aos arquivos na última pasta definida no argumento. Em exclusões de pasta, o ponto de interrogação substitui um único caractere em um nome de pasta. Depois de corresponder ao número de pastas curinga e nomeadas, todas as subpastas também serão incluídas. |
C:\MyData\my?.zip Inclui C:\MyData\my1.zip C:\somepath\?\Data inclui qualquer arquivo em C:\somepath\P\Data e suas subpastasC:\somepath\test0?\Data incluiria qualquer arquivo em C:\somepath\test01\Data e suas subpastas |
Variáveis de ambiente A variável definida é preenchida como um caminho quando a exclusão é avaliada. |
%ALLUSERSPROFILE%\CustomLogFiles incluiria C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Importante
Se você misturar um argumento de exclusão de arquivo com um argumento de exclusão de pasta, as regras param na correspondência do argumento do arquivo na pasta correspondente e não procurarão correspondências de arquivo em nenhuma subpasta.
Por exemplo, você pode excluir todos os arquivos que começam com "date" nas pastas c:\data\final\marked
e c:\data\review\marked
usando o argumento c:\data\*\marked\date*
de regra .
Esse argumento não corresponde a nenhum arquivo em subpastas em c:\data\final\marked
ou c:\data\review\marked
.
Variáveis de ambiente do sistema
A tabela a seguir lista e descreve as variáveis de ambiente da conta do sistema.
Essa variável de ambiente do sistema... | Redirecionamentos para isso |
---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Examinar a lista de exclusões
Você pode recuperar os itens na lista de exclusão usando um dos seguintes métodos:
Importante
As alterações na lista de exclusão feitas com Política de Grupo serão exibidas nas listas de Segurança do Windows aplicativo. As alterações feitas no aplicativo Segurança do Windows não serão exibidas nas listas de Política de Grupo.
Se você usar o PowerShell, poderá recuperar a lista das duas seguintes maneiras:
- Recupere o status de todas as preferências Microsoft Defender Antivírus. Cada lista é exibida em linhas separadas, mas os itens dentro de cada lista são combinados na mesma linha.
- Escreva o status de todas as preferências em uma variável e use essa variável para chamar apenas a lista específica na qual você está interessado. Cada uso de
Add-MpPreference
é gravado em uma nova linha.
Validar a lista de exclusão usando MpCmdRun
Para marcar exclusões com a ferramenta de linha de comando dedicada mpcmdrun.exe, use o seguinte comando:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Observação
Verificar exclusões com MpCmdRun
requer Microsoft Defender Versão 4.18.2111-5.0 do Antivírus (lançada em dezembro de 2021) ou posterior.
Examine a lista de exclusões ao lado de todas as outras preferências Microsoft Defender Antivírus usando o PowerShell
Use o seguinte cmdlet:
Get-MpPreference
No exemplo a seguir, os itens contidos na ExclusionExtension
lista são realçados:
Para obter mais informações, confira Usar cmdlets do PowerShell para configurar e executar cmdlets Microsoft Defender Antivírus e Defender Antivírus.
Recuperar uma lista de exclusões específica usando o PowerShell
Use o snippet de código a seguir (insira cada linha como um comando separado); substitua WDAVprefs por qualquer rótulo que você queira nomear a variável:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
No exemplo a seguir, a lista é dividida em novas linhas para cada uso do Add-MpPreference
cmdlet:
Para obter mais informações, confira Usar cmdlets do PowerShell para configurar e executar cmdlets Microsoft Defender Antivírus e Defender Antivírus.
Validar listas de exclusões com o arquivo de teste EICAR
Você pode validar que suas listas de exclusão estão funcionando usando o PowerShell com o Invoke-WebRequest
cmdlet ou a classe .NET WebClient para baixar um arquivo de teste.
No snippet do PowerShell a seguir, substitua por test.txt
um arquivo que esteja em conformidade com suas regras de exclusão. Por exemplo, se você excluiu a .testing
extensão, substitua por test.testing
test.txt
. Se você estiver testando um caminho, verifique se você executará o cmdlet dentro desse caminho.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Se Microsoft Defender Antivírus relatar malware, a regra não estará funcionando. Se não houver nenhum relatório de malware e o arquivo baixado existir, a exclusão estará funcionando. Você pode abrir o arquivo para confirmar que o conteúdo é o mesmo descrito no site do arquivo de teste do EICAR.
Você também pode usar o seguinte código do PowerShell, que chama a classe .NET WebClient para baixar o arquivo de teste - como acontece com o Invoke-WebRequest
cmdlet; substitua c:\test.txt
por um arquivo que esteja em conformidade com a regra que você está validando:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Se você não tiver acesso à Internet, poderá criar seu próprio arquivo de teste EICAR escrevendo a cadeia de caracteres EICAR em um novo arquivo de texto com o seguinte comando do PowerShell:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Você também pode copiar a cadeia de caracteres em um arquivo de texto em branco e tentar salvá-la com o nome do arquivo ou na pasta que você está tentando excluir.
Dica
Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar o Microsoft Defender para Ponto de Extremidade em recursos do iOS
Confira também
- Configurar e validar exclusões em verificações Microsoft Defender Antivírus
- Configurar e validar exclusões para arquivos abertos por processos
- Configurar exclusões Microsoft Defender Antivírus no Windows Server
- Erros comuns a evitar ao definir exclusões
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de