Настройка исключений для файлов, открытых процессами

  • Статья

Область применения:

Платформы

  • Windows

Файлы, открытые определенными процессами, можно исключить из Microsoft Defender проверок антивирусной программы. Обратите внимание, что эти типы исключений относятся к файлам, которые открываются процессами, а не самими процессами. Чтобы исключить процесс, добавьте исключение файла (см . раздел Настройка и проверка исключений на основе расширения файла и расположения папки).

Перед определением списков исключений см. раздел Важные моменты об исключениях и ознакомьтесь со сведениями в статье Управление исключениями для Microsoft Defender для конечной точки и Microsoft Defender антивирусной программы.

В этой статье описывается настройка списков исключений.

Примеры исключений процессов

Исключения Пример
Любой файл на компьютере, который открывается любым процессом с определенным именем файла При указании test.exe будут исключены файлы, открытые:

c:\sample\test.exe

d:\internal\files\test.exe
Любой файл на компьютере, который открывается любым процессом в определенной папке При указании c:\test\sample\* будут исключены файлы, открытые:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
Любой файл на компьютере, который открывается определенным процессом в определенной папке При указании c:\test\process.exe будут исключены только файлы, открытые c:\test\process.exe

При добавлении процесса в список исключений процессов антивирусная программа Microsoft Defender не будет сканировать файлы, открытые этим процессом, независимо от расположения файлов. Однако сам процесс будет проверяться, если он также не был добавлен в список исключений файлов.

Исключения применяются только к постоянной защите и мониторингу в режиме реального времени. Они не применяются к запланированным проверкам или проверкам по запросу.

Изменения, внесенные групповая политика в списки исключений, будут отображаться в списках в приложении Безопасность Windows. Однако изменения, внесенные в приложение Безопасность Windows, не будут отображаться в списках групповая политика.

Вы можете добавлять, удалять и просматривать списки на наличие исключений в групповая политика, Microsoft Configuration Manager, Microsoft Intune и с помощью приложения Безопасность Windows, а также использовать подстановочные знаки для дальнейшей настройки списков.

Вы также можете использовать командлеты PowerShell и WMI для настройки списков исключений, включая проверку списков.

По умолчанию локальные изменения, внесенные в списки (пользователями с правами администратора; изменения, внесенные с помощью PowerShell и WMI), объединяются со списками, определенными (и развернутыми) групповая политика, Configuration Manager или Intune. При возникновении конфликтов приоритет имеют списки групповая политика.

Вы можете настроить слияние локальных и глобально определенных списков исключений , чтобы разрешить локальным изменениям переопределять параметры управляемого развертывания.

Примечание.

На правила сокращения сетевой защиты и направлений атак непосредственно влияют исключения процессов на всех платформах. Это означает, что исключение процесса в любой ОС (Windows, MacOS, Linux) приведет к тому, что защита сети или ASR не смогут проверить трафик или применить правила для этого конкретного процесса.

Имя образа и полный путь для исключений процесса

Можно задать два разных типа исключений процессов. Процесс может быть исключен по имени образа или по полному пути. Имя образа — это просто имя файла процесса без пути.

Например, при выполнении процесса MyProcess.exe из C:\MyFolder\ полного пути к этому процессу будет иметь значение C:\MyFolder\MyProcess.exe , а имя образа — MyProcess.exe.

Исключения имен образов являются гораздо более широкими: исключение в MyProcess.exe будет исключать все процессы с этим именем образа, независимо от пути, по которому они выполняются. Например, если процесс MyProcess.exe исключен по имени образа, он также будет исключен, если он выполняется с C:\MyOtherFolder, со съемных носителей и т. д. Поэтому рекомендуется по возможности использовать полный путь.

Использование подстановочных знаков в списке исключений процесса

Использование подстановочных знаков в списке исключений процесса отличается от их использования в других списках исключений. Если исключение процесса определено только как имя образа, использование подстановочных знаков не допускается. Однако при использовании полного пути поддерживаются подстановочные знаки и поведение с подстановочными знаками, как описано в разделе Исключения файлов и папок.

Также поддерживается использование переменных среды (например, %ALLUSERSPROFILE%) в качестве подстановочных знаков при определении элементов в списке исключений процесса. Подробные сведения и полный список поддерживаемых переменных среды описаны в разделе Исключения файлов и папок.

В следующей таблице описано, как можно использовать подстановочные знаки в списке исключений процесса при указании пути:

Подстановочный знак Пример использования Примеры совпадений
* (звездочка)

Заменяет любое количество символов.

 C:\MyFolder\* Любой файл, открытый C:\MyFolder\MyProcess.exe или C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Любой файл, открытый C:\MyFolder1\MyFolder2\MyProcess.exe или C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Любой файл, открытый C:\MyOtherFolder\MyFolder\MyProcess.exe или C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (вопросительный знак)

Заменяет один символ.

 C:\MyFolder\MyProcess??.exe Любой файл, открытый C:\MyFolder\MyProcess42.exe или C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Переменные среды %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Любой файл, открытый C:\ProgramData\MyFolder\MyProcess.exe

Исключения контекстных процессов

Обратите внимание, что исключение процесса также может быть определено с помощью контекстного исключения , что позволяет, например, конкретный файл быть исключен только в том случае, если он открыт определенным процессом.

Настройка списка исключений для файлов, открытых указанными процессами

Используйте Microsoft Intune, чтобы исключить файлы, открытые указанными процессами, из проверок

Дополнительные сведения см. в разделах Настройка параметров ограничения устройств в Microsoft Intune и Microsoft Defender параметры ограничения антивирусных устройств для Windows 10 в Intune.

Используйте Microsoft Configuration Manager, чтобы исключить файлы, открытые указанными процессами, из проверок

Дополнительные сведения о настройке Microsoft Configuration Manager (текущая ветвь) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры исключения.

Используйте групповая политика, чтобы исключить файлы, открытые указанными процессами, из проверок

  1. На компьютере управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.

  2. В Редактор управления групповая политикаперейдите в раздел Конфигурация компьютера и щелкните Административные шаблоны.

  3. Разверните дерево для компонентов > Windows Microsoft Defender исключения антивирусной программы>.

  4. Дважды щелкните Обработать исключения и добавьте исключения:

    1. Задайте для параметра значение Включено.
    2. В разделе Параметры щелкните Показать....
    3. Введите каждый процесс в отдельной строке в столбце Имя значения . Различные типы исключений процессов см. в таблице с примерами. Введите 0 в столбце Значение для всех процессов.

  5. Нажмите кнопку OK.

Использование командлетов PowerShell для исключения файлов, открытых указанными процессами, из проверок

Использование PowerShell для добавления или удаления исключений для файлов, открытых процессами, требует использования сочетания трех командлетов с параметром -ExclusionProcess . Все командлеты находятся в модуле Defender.

Формат командлетов:

<cmdlet> -ExclusionProcess "<item>"

В качестве командлета> разрешено следующее<:

Действие конфигурации Командлет PowerShell
Create или перезапись списка Set-MpPreference
Добавить в список Add-MpPreference
Удаление элементов из списка Remove-MpPreference

Важно!

Если вы создали список с Set-MpPreference помощью или Add-MpPreference, с помощью командлета Set-MpPreference будет перезапись существующего списка.

Например, следующий фрагмент кода приведет к тому, что Microsoft Defender проверки антивирусной программы исключит любой файл, открытый указанным процессом:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Дополнительные сведения об использовании PowerShell с Microsoft Defender антивирусной программой см. в разделах Управление антивирусной программой с помощью командлетов PowerShell и Microsoft Defender антивирусных командлетов.

Использование инструкции управления Windows (WMI) для исключения файлов, открытых указанными процессами, из проверок

Используйте методы Set, Add и Remove класса MSFT_MpPreference для следующих свойств:

ExclusionProcess

Использование команд Set, Add и Remove аналогично их аналогам в PowerShell: Set-MpPreference, Add-MpPreferenceи Remove-MpPreference.

Дополнительные сведения и допустимые параметры см. в разделе API Защитник Windows WMIv2.

Используйте приложение Безопасность Windows, чтобы исключить из проверок файлы, открытые указанными процессами.

Следуйте инструкциям в разделе Добавление исключений в приложение Безопасность Windows.

Просмотр списка исключений

Элементы в списке исключений можно получить с помощью MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune или приложения Безопасность Windows.

При использовании PowerShell список можно получить двумя способами:

  • Получите состояние всех Microsoft Defender настроек антивирусной программы. Каждый из списков отображается в отдельных строках, но элементы в каждом списке объединяются в одну строку.
  • Запишите состояние всех настроек в переменную и используйте эту переменную, чтобы вызывать только конкретный список, который вас интересует. Каждое Add-MpPreference использование записывается в новую строку.

Проверка списка исключений с помощью MpCmdRun

Чтобы проверка исключений с помощью выделенного средства командной строки mpcmdrun.exe, используйте следующую команду:

MpCmdRun.exe -CheckExclusion -path <path>

Примечание.

Для проверки исключений с помощью MpCmdRun требуется Microsoft Defender Антивирусная программа CAMP версии 4.18.1812.3 (выпущена в декабре 2018 г.) или более поздней.

Просмотрите список исключений наряду со всеми остальными Microsoft Defender настройками антивирусной программы с помощью PowerShell

Используйте следующий командлет:

Get-MpPreference

Дополнительные сведения об использовании PowerShell с антивирусной программой Microsoft Defender см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусных и Microsoft Defender антивирусных командлетов .

Получение определенного списка исключений с помощью PowerShell

Используйте следующий фрагмент кода (введите каждую строку как отдельную команду); замените WDAVprefs любой меткой, которую вы хотите назвать переменной:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Дополнительные сведения об использовании PowerShell с антивирусной программой Microsoft Defender см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусных и Microsoft Defender антивирусных командлетов.

Совет

Если вам нужны сведения об антивирусной программе для других платформ, см.:

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.