Partilhar via


Configurar exclusões para ficheiros abertos por processos

Aplica-se a:

Plataformas

  • Windows

Pode excluir ficheiros abertos por processos específicos de Microsoft Defender análises antivírus. Tenha em atenção que estes tipos de exclusões destinam-se a ficheiros que são abertos por processos e não pelos próprios processos. Para excluir um processo, adicione uma exclusão de ficheiro (veja Configurar e validar exclusões com base na extensão de ficheiro e na localização da pasta).

Veja Pontos importantes sobre exclusões e reveja as informações em Gerir exclusões para Microsoft Defender para Endpoint e Microsoft Defender Antivírus antes de definir as suas listas de exclusão.

Este artigo descreve como configurar listas de exclusão.

Exemplos de exclusões de processos

Exclusão Exemplos:
Qualquer ficheiro no computador aberto por qualquer processo com um nome de ficheiro específico Especificar test.exe excluiria ficheiros abertos por:

c:\sample\test.exe

d:\internal\files\test.exe

Qualquer ficheiro no computador aberto por qualquer processo numa pasta específica Especificar c:\test\sample\* excluiria ficheiros abertos por:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Qualquer ficheiro no computador aberto por um processo específico numa pasta específica Especificar c:\test\process.exe excluiria ficheiros abertos apenas por c:\test\process.exe

Quando adiciona um processo à lista de exclusão de processos, Microsoft Defender Antivírus não analisará os ficheiros abertos por esse processo, independentemente da localização dos ficheiros. No entanto, o processo em si será analisado, a menos que também tenha sido adicionado à lista de exclusão de ficheiros.

As exclusões aplicam-se apenas à proteção e monitorização sempre ativadas em tempo real. Não se aplicam a análises agendadas ou a pedido.

As alterações efetuadas com Política de Grupo às listas de exclusão serão apresentadas nas listas na aplicação Segurança do Windows. No entanto, as alterações efetuadas na aplicação Segurança do Windows não serão apresentadas nas listas de Política de Grupo.

Pode adicionar, remover e rever as listas de exclusões em Política de Grupo, Microsoft Configuration Manager, Microsoft Intune e com a aplicação Segurança do Windows, e pode utilizar carateres universais para personalizar ainda mais as listas.

Também pode utilizar cmdlets do PowerShell e WMI para configurar as listas de exclusão, incluindo rever as suas listas.

Por predefinição, as alterações locais efetuadas às listas (por utilizadores com privilégios de administrador; as alterações efetuadas com o PowerShell e o WMI) são intercaladas com as listas definidas (e implementadas) por Política de Grupo, Configuration Manager ou Intune. As listas de Política de Grupo têm precedência se existirem conflitos.

Pode configurar a forma como as listas de exclusões definidas localmente e globalmente são intercaladas para permitir que as alterações locais substituam as definições de implementação geridas.

Nota

As regras de proteção de rede e redução da superfície de ataque são diretamente afetadas pelas exclusões de processos em todas as plataformas, o que significa que uma exclusão de processos em qualquer SO (Windows, MacOS, Linux) resultará na impossibilidade da Proteção de Rede ou do ASR de inspecionar ou impor regras para esse processo específico.

Nome da imagem vs. caminho completo para exclusões de processos

Podem ser definidos dois tipos diferentes de exclusões de processos. Um processo pode ser excluído pelo nome da imagem ou pelo caminho completo. O nome da imagem é simplesmente o nome do ficheiro do processo, sem o caminho.

Por exemplo, dado que o processo MyProcess.exe em execução a partir do C:\MyFolder\ caminho completo para este processo seria C:\MyFolder\MyProcess.exe e o nome da imagem é MyProcess.exe.

As exclusões de nomes de imagem são muito mais amplas – uma exclusão em MyProcess.exe excluirá quaisquer processos com este nome de imagem, independentemente do caminho a partir do qual são executados. Por exemplo, se o processo MyProcess.exe for excluído pelo nome da imagem, também será excluído se for executado a partir de , a partir de C:\MyOtherFoldersuportes de dados amovíveis, etc. Como tal, recomenda-se que, sempre que possível, seja utilizado o caminho completo.

Utilizar carateres universais na lista de exclusão de processos

A utilização de carateres universais na lista de exclusão de processos é diferente da sua utilização noutras listas de exclusão. Quando a exclusão do processo é definida apenas como um nome de imagem, a utilização de carateres universais não é permitida. No entanto, quando é utilizado um caminho completo, os carateres universais são suportados e o comportamento do caráter universal comporta-se conforme descrito em Exclusões de Ficheiros e Pastas

A utilização de variáveis de ambiente (como %ALLUSERSPROFILE%) como carateres universais ao definir itens na lista de exclusão de processos também é suportada. Os detalhes e uma lista completa das variáveis de ambiente suportadas estão descritos em Exclusões de Ficheiros e Pastas.

A tabela seguinte descreve como os carateres universais podem ser utilizados na lista de exclusão de processos, quando um caminho é fornecido:

Caráter universal Utilização de exemplo Correspondências de exemplo
* (asterisco)

Substitui qualquer número de carateres.

C:\MyFolder\* Qualquer ficheiro aberto por C:\MyFolder\MyProcess.exe ou C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Qualquer ficheiro aberto por C:\MyFolder1\MyFolder2\MyProcess.exe ou C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Qualquer ficheiro aberto por C:\MyOtherFolder\MyFolder\MyProcess.exe ou C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (ponto de interrogação)

Substitui um caráter.

C:\MyFolder\MyProcess??.exe Qualquer ficheiro aberto por C:\MyFolder\MyProcess42.exe ou ou C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Variáveis de Ambiente %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Qualquer ficheiro aberto por C:\ProgramData\MyFolder\MyProcess.exe

Exclusões de Processos Contextuais

Tenha em atenção que uma exclusão de processo também pode ser definida através de uma exclusão contextual , permitindo, por exemplo, que um ficheiro específico seja excluído apenas se for aberto por um processo específico.

Configurar a lista de exclusões para ficheiros abertos por processos especificados

Utilizar Microsoft Intune para excluir ficheiros que foram abertos por processos especificados de análises

Para obter mais informações, veja Configurar definições de restrição de dispositivos no Microsoft Intune e Microsoft Defender definições de restrição de dispositivos antivírus para Windows 10 no Intune.

Utilizar Microsoft Configuration Manager para excluir ficheiros que foram abertos por processos especificados de análises

Veja Como criar e implementar políticas antimalware: Definições de exclusão para obter detalhes sobre como configurar Microsoft Configuration Manager (ramo atual).

Utilizar Política de Grupo para excluir ficheiros que foram abertos por processos especificados de análises

  1. No computador de gestão Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e clique em Editar.

  2. No Revisor gestão de Política de Grupo, aceda a Configuração do computador e clique em Modelos administrativos.

  3. Expanda a árvore para componentes > do Windows Microsoft Defender Exclusões > de Antivírus.

  4. Faça duplo clique em Exclusões de Processos e adicione as exclusões:

    1. Defina a opção como Ativado.
    2. Na secção Opções , clique em Mostrar....
    3. Introduza cada processo na sua própria linha na coluna Nome do valor . Veja a tabela de exemplo para os diferentes tipos de exclusões de processos. Introduza 0 na coluna Valor para todos os processos.
  5. Clique em OK.

Utilizar cmdlets do PowerShell para excluir ficheiros que foram abertos por processos especificados de análises

A utilização do PowerShell para adicionar ou remover exclusões de ficheiros que foram abertos por processos requer a utilização de uma combinação de três cmdlets com o -ExclusionProcess parâmetro . Os cmdlets estão todos no módulo do Defender.

O formato dos cmdlets é:

<cmdlet> -ExclusionProcess "<item>"

O seguinte é permitido como cmdlet<>:

Ação de configuração Cmdlet do PowerShell
Criar ou substituir a lista Set-MpPreference
Adicionar à lista Add-MpPreference
Remover itens da lista Remove-MpPreference

Importante

Se tiver criado uma lista, com Set-MpPreference ou Add-MpPreference, a utilização do Set-MpPreference cmdlet novamente substituirá a lista existente.

Por exemplo, o fragmento de código seguinte faria com Microsoft Defender análises antivírus excluam qualquer ficheiro aberto pelo processo especificado:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Para obter mais informações sobre como utilizar o PowerShell com Microsoft Defender Antivírus, veja Gerir o antivírus com cmdlets do PowerShell e cmdlets do Antivírus Microsoft Defender.

Utilize a Instrução de Gestão do Windows (WMI) para excluir ficheiros que tenham sido abertos por processos especificados de análises

Utilize os métodos Definir, Adicionar e Remover da classe MSFT_MpPreference para as seguintes propriedades:

ExclusionProcess

A utilização de Definir, Adicionar e Remover é análoga aos seus homólogos no PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Para obter mais informações e parâmetros permitidos, veja APIs WMIv2 do Windows Defender.

Utilize a aplicação Segurança do Windows para excluir ficheiros que foram abertos por processos especificados de análises

Siga as instruções em Adicionar exclusões na aplicação Segurança do Windows.

Rever a lista de exclusões

Pode obter os itens na lista de exclusão com MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune ou a aplicação Segurança do Windows.

Se utilizar o PowerShell, pode obter a lista de duas formas:

  • Obtenha o estado de todas as preferências do Antivírus Microsoft Defender. Cada uma das listas é apresentada em linhas separadas, mas os itens dentro de cada lista são combinados na mesma linha.
  • Escreva o estado de todas as preferências numa variável e utilize essa variável para chamar apenas a lista específica na qual está interessado. Cada utilização de Add-MpPreference é escrita numa nova linha.

Validar a lista de exclusão com MpCmdRun

Para verificar as exclusões com a ferramenta de linha de comandos dedicada mpcmdrun.exe, utilize o seguinte comando:

MpCmdRun.exe -CheckExclusion -path <path>

Nota

A verificação de exclusões com MpCmdRun requer Microsoft Defender versão 4.18.1812.3 (lançada em dezembro de 2018) ou posterior.

Reveja a lista de exclusões juntamente com todas as outras preferências do Antivírus Microsoft Defender com o PowerShell

Utilize o seguinte cmdlet:

Get-MpPreference

Para obter mais informações sobre como utilizar o PowerShell com o Antivírus Microsoft Defender, veja Utilizar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets antivírus e antivírus Microsoft Defender .

Obter uma lista de exclusões específica com o PowerShell

Utilize o seguinte fragmento de código (introduza cada linha como um comando separado); substitua WDAVprefs por qualquer etiqueta que pretenda atribuir à variável:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Para obter mais informações sobre como utilizar o PowerShell com o Antivírus Microsoft Defender, veja Utilizar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets antivírus e antivírus Microsoft Defender.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.