Configurar exclusões personalizadas para o Antivírus do Microsoft Defender

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Antivírus do Microsoft Defender

Plataformas

• Windows

Em geral, não deve ter de definir exclusões para Microsoft Defender Antivírus. No entanto, se necessário, pode excluir ficheiros, pastas, processos e ficheiros abertos por processos de Microsoft Defender análises antivírus. Estes tipos de exclusões são conhecidos como exclusões personalizadas. Este artigo descreve como definir exclusões personalizadas para Microsoft Defender Antivírus com Microsoft Intune e inclui ligações para outros recursos para obter mais informações.

As exclusões personalizadas aplicam-se a análises agendadas, análises a pedido e proteção e monitorização sempre ativas em tempo real. As exclusões para ficheiros abertos por processos aplicam-se apenas à proteção em tempo real.

Sugestão

Para obter uma descrição geral detalhada das supressões, submissões e exclusões em Microsoft Defender Antivírus e Defender para Ponto Final, veja Exclusões para Microsoft Defender para Endpoint e Antivírus Microsoft Defender.

Configurar e validar exclusões

Atenção

Utilize Microsoft Defender extensões antivírus com moderação. Confirme que revê as informações em Gerir exclusões para Microsoft Defender para Endpoint e Microsoft Defender Antivírus.

Se estiver a utilizar Microsoft Intune para gerir Microsoft Defender Antivírus ou Microsoft Defender para Endpoint, utilize os seguintes procedimentos para definir exclusões:

• Gerir exclusões de antivírus no Intune (para políticas existentes)
• Create uma nova política antivírus com exclusões no Intune

Se estiver a utilizar outra ferramenta, como Configuration Manager ou Política de Grupo, ou quiser obter informações mais detalhadas sobre exclusões personalizadas, consulte estes artigos:

• Configurar e validar exclusões com base na extensão de ficheiro e na localização da pasta
• Configurar exclusões para ficheiros abertos por processos

Gerir exclusões de antivírus no Intune (para políticas existentes)

1. No centro de administração do Microsoft Intune, selecioneAntivírus de segurança> de ponto final e, em seguida, selecione uma política existente. (Se não tiver uma política existente ou quiser criar uma nova política, avance para Create uma nova política antivírus com exclusões no Intune.)

2. Selecione Propriedades e, junto a Definições de configuração, selecione Editar.

3. Expanda Microsoft Defender Exclusões de Antivírus e, em seguida, especifique as exclusões.

   • As Extensões Excluídas são exclusões que define por extensão de tipo de ficheiro. Estas extensões aplicam-se a qualquer nome de ficheiro que tenha a extensão definida sem o caminho ou pasta do ficheiro. Separar cada tipo de ficheiro na lista tem de ser separado por um | caráter. Por exemplo, lib|obj. Para obter mais informações, veja ExcludedExtensions.
   • Os Caminhos Excluídos são exclusões que define pela respetiva localização (caminho). Estes tipos de exclusões também são conhecidos como exclusões de ficheiros e pastas. Separe cada caminho na lista com um | caráter. Por exemplo, C:\Example|C:\Example1. Para obter mais informações, veja ExcludedPaths.
   • Os Processos Excluídos são exclusões para ficheiros abertos por determinados processos. Separe cada tipo de ficheiro na lista com um | caráter. Por exemplo, C:\Example. exe|C:\Example1.exe. Estas exclusões não são para os processos reais. Para excluir processos, pode utilizar exclusões de ficheiros e pastas. Para obter mais informações, veja ExcludedProcesses.

4. Selecione Rever + guardar e, em seguida, selecione Guardar.

Create uma nova política antivírus com exclusões no Intune

1. No centro de administração do Microsoft Intune, selecioneAntivírus> de segurança > de ponto final+ política de Create.

2. Selecione uma plataforma (como Windows 10, Windows 11 e Windows Server).

3. Em Perfil, selecione Microsoft Defender Exclusões de antivírus e, em seguida, selecione Create.

4. No passo Create perfil, especifique um nome e uma descrição para o perfil e, em seguida, selecione Seguinte.

5. No separador Definições de configuração , especifique as exclusões antivírus e, em seguida, selecione Seguinte.

   • As Extensões Excluídas são exclusões que define por extensão de tipo de ficheiro. Estas extensões aplicam-se a qualquer nome de ficheiro que tenha a extensão definida sem o caminho ou pasta do ficheiro. Separe cada tipo de ficheiro na lista com um | caráter. Por exemplo, lib|obj. Para obter mais informações, veja ExcludedExtensions.
   • Os Caminhos Excluídos são exclusões que define pela respetiva localização (caminho). Estes tipos de exclusões também são conhecidos como exclusões de ficheiros e pastas. Separe cada caminho na lista com um | caráter. Por exemplo, C:\Example|C:\Example1. Para obter mais informações, veja ExcludedPaths.
   • Os Processos Excluídos são exclusões para ficheiros abertos por determinados processos. Separe cada tipo de ficheiro na lista com um | caráter. Por exemplo, C:\Example. exe|C:\Example1.exe. Estas exclusões não são para os processos reais. Para excluir processos, pode utilizar exclusões de ficheiros e pastas. Para obter mais informações, veja ExcludedProcesses.

6. No separador Etiquetas de âmbito , se estiver a utilizar etiquetas de âmbito na sua organização, especifique as etiquetas de âmbito para a política que está a criar. (Veja Etiquetas de âmbito.)

7. No separador Atribuições, especifique os utilizadores e grupos a quem a política deve ser aplicada e, em seguida, selecione Seguinte. (Se precisar de ajuda com atribuições, consulte Atribuir perfis de utilizador e de dispositivo no Microsoft Intune.)

8. No separador Rever + criar, reveja as definições e, em seguida, selecione Create.

Pontos importantes sobre exclusões

Definir exclusões reduz a proteção oferecida pelo Antivírus Microsoft Defender. Deve sempre avaliar os riscos associados à implementação de exclusões e só deve excluir ficheiros que tenha a certeza de que não são maliciosos.

As exclusões afetam diretamente a capacidade de Microsoft Defender Antivírus bloquear, remediar ou inspecionar eventos relacionados com os ficheiros, pastas ou processos que são adicionados à lista de exclusão. As exclusões personalizadas podem afetar funcionalidades diretamente dependentes do motor antivírus (como proteção contra software maligno, IOCs de ficheiros e IOCs de certificado). As exclusões de processos também afetam as regras de proteção da rede e de redução da superfície de ataque. Especificamente, uma exclusão de processos em qualquer plataforma faz com que a proteção de rede e o ASR não possam inspecionar o tráfego ou impor regras para esse processo específico.

Tenha em atenção os seguintes pontos quando estiver a definir exclusões:

• Tecnicamente, as exclusões são uma lacuna de proteção. Considere todas as suas opções ao definir exclusões. Veja Submissões, supressões e exclusões.

• Reveja as exclusões periodicamente. Verifique e volte a impor mitigações como parte do processo de revisão.

• Idealmente, evite definir exclusões numa tentativa de ser proativo. Por exemplo, não exclua algo apenas porque acha que poderá ser um problema no futuro. Utilize exclusões apenas para problemas específicos, como os relativos ao desempenho ou à compatibilidade de aplicações que as exclusões podem mitigar.

• Reveja e audite as alterações à sua lista de exclusões. A sua equipa de segurança deve preservar o contexto sobre o motivo pelo qual uma determinada exclusão foi adicionada para evitar confusões mais tarde. A sua equipa de segurança deve ser capaz de fornecer respostas específicas a perguntas sobre o motivo da existência de exclusões.

Auditar exclusões de antivírus em sistemas Exchange

O Microsoft Exchange suporta a integração com a Interface de Análise Antimalware (AMSI) desde o Atualizações Trimestral de Junho de 2021 para o Exchange (consulte Executar software antivírus do Windows em servidores Exchange). É altamente recomendado instalar estas atualizações e garantir que a AMSI está a funcionar corretamente. Veja Microsoft Defender informações de segurança e atualizações de produtos do Antivírus.

Muitas organizações excluem os diretórios do Exchange de análises antivírus por motivos de desempenho. A Microsoft recomenda a auditoria Microsoft Defender exclusões do Antivírus nos sistemas Exchange e avaliar se as exclusões podem ser removidas sem afetar o desempenho no seu ambiente para garantir o nível mais elevado de proteção. As exclusões podem ser geridas com Política de Grupo, o PowerShell ou ferramentas de gestão de sistemas, como Microsoft Intune.

Para auditar Microsoft Defender exclusões de Antivírus num Exchange Server, execute o comando Get-MpPreference a partir de uma linha de comandos elevada do PowerShell. (Consulte Get-MpPreference.)

Se as exclusões não puderem ser removidas para os processos e pastas do Exchange, tenha em atenção que a execução de uma análise rápida no Microsoft Defender Antivírus analisa os diretórios e ficheiros do Exchange, independentemente das exclusões.

Consulte também

• exclusões do Antivírus do Microsoft Defender no Windows Server 2016 e posterior
• Erros comuns a evitar ao definir exclusões
• Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender
• Configurar e validar exclusões para Microsoft Defender para Endpoint no Linux
• Configurar e validar exclusões para Microsoft Defender para Endpoint no macOS

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.