Partilhar via


Configurar e validar exclusões com base na extensão de ficheiro e na localização da pasta

Aplica-se a:

Plataformas

  • Windows

Pode definir exclusões para Microsoft Defender Antivírus que se aplicam a análises agendadas, análises a pedido e proteção e monitorização sempre ativas e em tempo real. Geralmente, não precisa de aplicar exclusões. Se precisar de aplicar exclusões, pode escolher entre os seguintes tipos:

Importante

Microsoft Defender as exclusões antivírus aplicam-se a algumas capacidades de Microsoft Defender para Endpoint, como regras de redução da superfície de ataque. Algumas Microsoft Defender exclusões de Antivírus são aplicáveis a algumas exclusões de regras do ASR. Veja Referência das regras de redução da superfície de ataque - Microsoft Defender Exclusões de antivírus e regras ASR. Os ficheiros que excluir através dos métodos descritos neste artigo ainda podem acionar alertas de Deteção e Resposta de Pontos Finais (EDR) e outras deteções. Para excluir ficheiros amplamente, adicione-os aos Microsoft Defender para Endpoint indicadores personalizados.

Antes de começar

Veja Recomendações para definir exclusões antes de definir as listas de exclusão.

Listas de exclusão

Para excluir determinados ficheiros de Microsoft Defender análises antivírus, modifique as listas de exclusão. Microsoft Defender Antivírus inclui muitas exclusões automáticas com base em comportamentos conhecidos do sistema operativo e ficheiros de gestão típicos, como os utilizados na gestão empresarial, na gestão de bases de dados e noutros cenários empresariais.

Nota

As exclusões também se aplicam a deteções de aplicações potencialmente indesejadas (PUA ). As exclusões automáticas aplicam-se apenas a Windows Server 2016 e posteriores. Estas exclusões não são visíveis na aplicação Segurança do Windows e no PowerShell.

A tabela seguinte lista alguns exemplos de exclusões com base na extensão de ficheiro e na localização da pasta.

Exclusão Exemplos Lista de exclusão
Qualquer ficheiro com uma extensão específica Todos os ficheiros com a extensão especificada, em qualquer parte do computador.

Sintaxe válida: .test e test
Exclusões de extensões
Qualquer ficheiro numa pasta específica Todos os ficheiros na c:\test\sample pasta Exclusões de ficheiros e pastas
Um ficheiro específico numa pasta específica Apenas o ficheiro c:\sample\sample.test Exclusões de ficheiros e pastas
Um processo específico O ficheiro executável c:\test\process.exe Exclusões de ficheiros e pastas

Características das listas de exclusão

  • As exclusões de pastas aplicam-se a todos os ficheiros e pastas nessa pasta, a menos que a subpasta seja um ponto de reação. As subpastas de ponto de nova análise têm de ser excluídas separadamente.
  • As extensões de ficheiro aplicam-se a qualquer nome de ficheiro com a extensão definida se um caminho ou pasta não estiver definido.

Notas importantes sobre exclusões baseadas em extensões de ficheiros e localizações de pastas

  • A utilização de carateres universais, como o asterisco (*), altera a forma como as regras de exclusão são interpretadas. Consulte a secção Utilizar carateres universais nas listas de exclusão de nome de ficheiro e de pasta ou extensão para obter informações importantes sobre como funcionam os carateres universais.

  • Não exclua unidades de rede mapeadas. Especifique o caminho de rede real.

  • As pastas que são pontos de reanálise são criadas após o início do serviço Antivírus Microsoft Defender e as que foram adicionadas à lista de exclusão não são incluídas. Reinicie o serviço reiniciando o Windows para que os novos pontos de reanálise sejam reconhecidos como um destino de exclusão válido.

  • As exclusões aplicam-se a análises agendadas, análises a pedido e proteção em tempo real, mas não em todas as capacidades do Defender para Endpoint. Para definir exclusões no Defender para Endpoint, utilize indicadores personalizados.

  • Por predefinição, as alterações locais efetuadas às listas (por utilizadores com privilégios de administrador, incluindo alterações efetuadas com o PowerShell e o WMI) são intercaladas com as listas definidas (e implementadas) por Política de Grupo, Configuration Manager ou Intune. As listas de Política de Grupo têm precedência quando existem conflitos. Além disso, as alterações à lista de exclusão efetuadas com Política de Grupo são visíveis na aplicação Segurança do Windows.

  • Para permitir que as alterações locais substituam as definições de implementação gerida, configure a forma como as listas de exclusões definidas localmente e globalmente são intercaladas.

Configurar a lista de exclusões com base no nome da pasta ou na extensão de ficheiro

Pode escolher entre vários métodos para definir exclusões para Microsoft Defender Antivírus.

Utilizar Intune para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro

Veja os seguintes artigos:

Utilizar Configuration Manager para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro

Veja Como criar e implementar políticas antimalware: Definições de exclusão para obter detalhes sobre como configurar Microsoft Configuration Manager (ramo atual).

Utilizar Política de Grupo para configurar exclusões de extensões de ficheiros ou pastas

Nota

Se especificar um caminho completamente qualificado para um ficheiro, apenas esse ficheiro será excluído. Se uma pasta for definida na exclusão, todos os ficheiros e subdiretórios nessa pasta serão excluídos.

  1. No seu computador de gestão de Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.

  2. No Política de Grupo Management Revisor aceda a Configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para componentes> do Windows Microsoft DefenderExclusões>de Antivírus.

  4. Abra a definição Exclusões de Caminho para edição e adicione as exclusões.

    1. Defina a opção como Ativado.

    2. Na secção Opções , selecione Mostrar.

    3. Especifique cada pasta na sua própria linha na coluna Nome do valor .

    4. Se estiver a especificar um ficheiro, certifique-se de que introduz um caminho completamente qualificado para o ficheiro, incluindo a letra de unidade, o caminho da pasta, o nome do ficheiro e a extensão.

    5. Introduza 0 na coluna Valor .

    6. Selecione OK.

  5. Abra a definição Exclusões de Extensão para editar e adicionar as exclusões.

    1. Defina a opção como Ativado.

    2. Na secção Opções , selecione Mostrar.

    3. Introduza cada extensão de ficheiro na sua própria linha na coluna Nome do valor .

    4. Introduza 0 na coluna Valor .

    5. Selecione OK.

Utilizar cmdlets do PowerShell para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro

A utilização do PowerShell para adicionar ou remover exclusões de ficheiros com base na extensão, localização ou nome de ficheiro requer a utilização de uma combinação de três cmdlets e o parâmetro de lista de exclusão adequado. Os cmdlets estão todos no módulo do Defender.

O formato dos cmdlets é o seguinte:

<cmdlet> -<exclusion list> "<item>"

A tabela seguinte lista os cmdlets que pode utilizar na <cmdlet> parte do cmdlet do PowerShell:

Ação de configuração Cmdlet do PowerShell
Criar ou substituir a lista Set-MpPreference
Adicionar à lista Add-MpPreference
Remover item da lista Remove-MpPreference

A tabela seguinte lista os valores que pode utilizar na <exclusion list> parte do cmdlet do PowerShell:

Tipo de exclusão Parâmetro do PowerShell
Todos os ficheiros com uma extensão de ficheiro especificada -ExclusionExtension
Todos os ficheiros numa pasta (incluindo ficheiros em subdiretórios) ou um ficheiro específico -ExclusionPath

Importante

Se tiver criado uma lista, com Set-MpPreference ou Add-MpPreference, a utilização do Set-MpPreference cmdlet substitui novamente a lista existente.

Por exemplo, o fragmento de código seguinte faria com que Microsoft Defender análises antivírus excluíssem qualquer ficheiro com a extensão de .test ficheiro:

Add-MpPreference -ExclusionExtension ".test"

Utilizar o Windows Management Instrumentation (WMI) para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro

Utilize os métodos Definir, Adicionar e Remover da classe MSFT_MpPreference para as seguintes propriedades:

ExclusionExtension
ExclusionPath

Utilizar Definir, Adicionar e Remover é análogo aos seus homólogos no PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Sugestão

Para obter mais informações, veja APIs WMIv2 do Windows Defender.

Utilizar a aplicação Segurança do Windows para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro

Veja Adicionar exclusões na aplicação Segurança do Windows para obter instruções.

Utilizar carateres universais nas listas de exclusão de ficheiros e caminhos de pastas ou extensões

Pode utilizar o asterisco *, o ponto de interrogação ?ou as variáveis de ambiente (como %ALLUSERSPROFILE%) como carateres universais ao definir itens na lista de exclusão do nome do ficheiro ou do caminho da pasta. Pode combinar variáveis * de ambiente e ? numa única exclusão. A forma como estes carateres universais são interpretados difere da utilização habitual noutras aplicações e idiomas. Certifique-se de que lê esta secção para compreender as limitações específicas.

Importante

Existem limitações fundamentais e cenários de utilização para estes carateres universais:

  • A utilização de variáveis de ambiente está limitada a variáveis de computador e às aplicáveis aos processos em execução como uma conta NT AUTHORITY\SYSTEM.
  • Só pode utilizar um máximo de seis carateres universais por entrada.
  • Não pode utilizar um caráter universal em vez de uma letra de unidade.
  • Um asterisco * numa exclusão de pastas está implementado para uma única pasta. Utilize várias instâncias de \*\ para indicar múltiplas pastas aninhadas com nomes não especificados.

A tabela seguinte descreve como os carateres universais podem ser utilizados e fornece alguns exemplos.

Caráter universal Exemplos
* (asterisco)

Nas inclusãos de nome de ficheiro e extensão de ficheiro, o asterisco substitui qualquer número de carateres e aplica-se apenas a ficheiros na última pasta definida no argumento.

Nas exclusões de pastas, o asterisco substitui uma única pasta. Utilize várias * com barras \ de pastas para indicar várias pastas aninhadas. Depois de corresponderem ao número de pastas com caráter selvagem e com nome, todas as subpastas também são incluídas.
C:\MyData\*.txt inclui C:\MyData\notes.txt

C:\somepath\*\Data inclui qualquer ficheiro nas C:\somepath\Archives\Data respetivas subpastas, bem como C:\somepath\Authorized\Data as respetivas subpastas

C:\Serv\*\*\Backup inclui qualquer ficheiro nas C:\Serv\Primary\Denied\Backup respetivas subpastas, bem como C:\Serv\Secondary\Allowed\Backup as respetivas subpastas
? (ponto de interrogação)

Nas inclusãos de nome de ficheiro e extensão de ficheiro, o ponto de interrogação substitui um único caráter e aplica-se apenas a ficheiros na última pasta definida no argumento.

Nas exclusões de pastas, o ponto de interrogação substitui um único caráter num nome de pasta. Depois de corresponderem ao número de pastas com caráter selvagem e com nome, todas as subpastas também são incluídas.
C:\MyData\my?.zip inclui C:\MyData\my1.zip

C:\somepath\?\Data inclui qualquer ficheiro no C:\somepath\P\Data e respetivas subpastas

C:\somepath\test0?\Data incluiria qualquer ficheiro no C:\somepath\test01\Data e as respetivas subpastas
Variáveis de ambiente

A variável definida é preenchida como um caminho quando a exclusão é avaliada.
%ALLUSERSPROFILE%\CustomLogFiles incluiria C:\ProgramData\CustomLogFiles\Folder1\file1.txt
Misturar e Corresponder

Variáveis de ambiente e ? podem ser combinadas * numa única exclusão
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe incluiria c:\Program Files\Contoso Labs\v1\bin\contoso.exe

Importante

Se misturar um argumento de exclusão de ficheiro com um argumento de exclusão de pasta, as regras param no argumento de ficheiro na pasta correspondente e não procuram correspondências de ficheiros em subpastas. Por exemplo, pode excluir todos os ficheiros que começam com "data" nas pastas c:\data\final\marked e c:\data\review\marked através do argumento c:\data\*\marked\date*de regra . Este argumento não corresponde a quaisquer ficheiros em subpastas em c:\data\final\marked ou c:\data\review\marked.

Variáveis de ambiente do sistema

A tabela seguinte lista e descreve as variáveis de ambiente da conta de sistema.

Esta variável de ambiente de sistema... Redireciona para este
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Rever a lista de exclusões

Pode obter os itens na lista de exclusão com um dos seguintes métodos:

Importante

As alterações à lista de exclusão efetuadas com Política de Grupo serão apresentadas nas listas de Segurança do Windows aplicação. As alterações efetuadas na aplicação Segurança do Windows não serão apresentadas nas listas de Política de Grupo.

Se utilizar o PowerShell, pode obter a lista das duas formas seguintes:

  • Obtenha o estado de todas as preferências do Antivírus Microsoft Defender. Cada lista é apresentada em linhas separadas, mas os itens dentro de cada lista são combinados na mesma linha.
  • Escreva o estado de todas as preferências numa variável e utilize essa variável para chamar apenas a lista específica na qual está interessado. Cada utilização de Add-MpPreference é escrita numa nova linha.

Validar a lista de exclusão com MpCmdRun

Para verificar as exclusões com a ferramenta de linha de comandos dedicada mpcmdrun.exe, utilize o seguinte comando:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Nota

Verificar exclusões com MpCmdRun requer Microsoft Defender Versão do Antivírus 4.18.2111-5.0 (lançada em dezembro de 2021) ou posterior.

Reveja a lista de exclusões juntamente com todas as outras preferências do Antivírus Microsoft Defender com o PowerShell

Utilize o seguinte cmdlet:

Get-MpPreference

No exemplo seguinte, os itens contidos na ExclusionExtension lista estão realçados:

Saída do PowerShell para Get-MpPreference

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Obter uma lista de exclusões específica com o PowerShell

Utilize o seguinte fragmento de código (introduza cada linha como um comando separado); substitua WDAVprefs por qualquer etiqueta que pretenda atribuir à variável:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

No exemplo seguinte, a lista é dividida em novas linhas para cada utilização do Add-MpPreference cmdlet:

Saída do PowerShell a mostrar apenas as entradas na lista de exclusão

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Validar listas de exclusões com o ficheiro de teste EICAR

Pode validar que as suas listas de exclusão estão a funcionar com o PowerShell com o Invoke-WebRequest cmdlet ou a classe WebClient .NET para transferir um ficheiro de teste.

No fragmento do PowerShell seguinte, substitua por test.txt um ficheiro em conformidade com as regras de exclusão. Por exemplo, se estiver a excluir a .testing extensão, substitua por test.testingtest.txt . Se estiver a testar um caminho, certifique-se de que executa o cmdlet nesse caminho.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Se Microsoft Defender Antivírus comunica software maligno, a regra não está a funcionar. Se não existir nenhum relatório de software maligno e o ficheiro transferido existir, significa que a exclusão está a funcionar. Pode abrir o ficheiro para confirmar que os conteúdos são os mesmos que são descritos no site do ficheiro de teste EICAR.

Também pode utilizar o seguinte código do PowerShell, que chama a classe WebClient .NET para transferir o ficheiro de teste , tal como acontece com o Invoke-WebRequest cmdlet; substitua por c:\test.txt um ficheiro em conformidade com a regra que está a validar:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Se não tiver acesso à Internet, pode criar o seu próprio ficheiro de teste EICAR ao escrever a cadeia EICAR num novo ficheiro de texto com o seguinte comando do PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Também pode copiar a cadeia para um ficheiro de texto em branco e tentar guardá-la com o nome do ficheiro ou na pasta que está a tentar excluir.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.