Настройка исключений для файлов, открытых процессами
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Файлы, открытые определенными процессами, можно исключить из Microsoft Defender проверки антивирусной программы. См . раздел Рекомендации по определению исключений перед определением списков исключений.
В этой статье описывается настройка списков исключений.
Примеры исключений
| Исключения | Пример |
|---|---|
| Любой файл на компьютере, который открывается любым процессом с определенным именем файла | При указании test.exe будут исключены файлы, открытые:
|
| Любой файл на компьютере, который открывается любым процессом в определенной папке | При указании c:\test\sample\* будут исключены файлы, открытые: |
| Любой файл на компьютере, который открывается определенным процессом в определенной папке | При указании c:\test\process.exe будут исключены только файлы, открытые c:\test\process.exe |
При добавлении процесса в список исключений процессов антивирусная программа Microsoft Defender не будет сканировать файлы, открытые этим процессом, независимо от расположения файлов. Однако сам процесс будет проверяться, если он также не был добавлен в список исключений файлов.
Исключения применяются только к постоянной защите и мониторингу в режиме реального времени. Они не применяются к запланированным проверкам или проверкам по запросу.
Изменения, внесенные с помощью групповая политика в списки исключений, будут отображаться в списках в приложении Безопасность Windows. Однако изменения, внесенные в приложение Безопасность Windows, не будут отображаться в списках групповая политика.
Вы можете добавлять, удалять и просматривать списки на наличие исключений в групповая политика, Microsoft Configuration Manager, Microsoft Intune и с помощью приложения Безопасность Windows, а также использовать подстановочные знаки для дальнейшей настройки списков.
Вы также можете использовать командлеты PowerShell и WMI для настройки списков исключений, включая просмотр списков.
По умолчанию локальные изменения, внесенные в списки (пользователями с правами администратора; изменения, внесенные с помощью PowerShell и WMI), будут объединены со списками, определенными (и развернутыми) групповая политика, Configuration Manager или Intune. Списки групповая политика будут иметь приоритет в случае конфликтов.
Вы можете настроить слияние локальных и глобально определенных списков исключений , чтобы разрешить локальным изменениям переопределять параметры управляемого развертывания.
Настройка списка исключений для файлов, открытых указанными процессами
Используйте Microsoft Intune, чтобы исключить файлы, открытые указанными процессами, из проверок
Дополнительные сведения см. в статьях Настройка параметров ограничения устройств в Microsoft Intune и Параметры ограничений устройств антивирусной программы в Microsoft Defender для Windows 10 в Intune.
Использование Microsoft Configuration Manager для исключения файлов, открытых указанными процессами, из проверок
Дополнительные сведения о настройке Microsoft Configuration Manager (текущая ветвь) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры исключения.
Используйте групповая политика, чтобы исключить файлы, открытые указанными процессами, из проверок
На компьютере управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.
В редакторе управления групповая политикаперейдите в раздел Конфигурация компьютера и щелкните Административные шаблоны.
Разверните дерево для компонентов > Windows Microsoft Defender исключения антивирусной программы>.
Дважды щелкните Обработать исключения и добавьте исключения:
- Задайте для параметра значение Включено.
- В разделе Параметры щелкните Показать....
- Введите каждый процесс в отдельной строке в столбце Имя значения . Различные типы исключений процессов см. в таблице с примерами. Введите 0 в столбце Значение для всех процессов.
Нажмите кнопку ОК.
Использование командлетов PowerShell для исключения файлов, открытых указанными процессами, из проверок
Использование PowerShell для добавления или удаления исключений для файлов, открытых процессами, требует использования сочетания трех командлетов с параметром -ExclusionProcess . Все командлеты находятся в модуле Defender.
Формат командлетов:
<cmdlet> -ExclusionProcess "<item>"
В качестве командлета> разрешено следующее<:
| Действие конфигурации | Командлет PowerShell |
|---|---|
| Создание или перезапись списка | Set-MpPreference |
| Добавить в список | Add-MpPreference |
| Удаление элементов из списка | Remove-MpPreference |
Важно!
Если вы создали список с Set-MpPreference помощью или Add-MpPreference, с помощью командлета Set-MpPreference будет перезапись существующего списка.
Например, следующий фрагмент кода приведет к тому, что Microsoft Defender проверки антивирусной программы исключит любой файл, открытый указанным процессом:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Дополнительные сведения об использовании PowerShell с Microsoft Defender антивирусной программой см. в разделах Управление антивирусной программой с помощью командлетов PowerShell и Microsoft Defender антивирусных командлетов.
Использование инструкции управления Windows (WMI) для исключения файлов, открытых указанными процессами, из проверок
Используйте методы Set, Add и Remove класса MSFT_MpPreference для следующих свойств:
ExclusionProcess
Использование команд Set, Add и Remove аналогично их аналогам в PowerShell: Set-MpPreference, Add-MpPreferenceи Remove-MpPreference.
Дополнительные сведения и допустимые параметры см. в разделе API Защитник Windows WMIv2.
Используйте приложение Безопасность Windows, чтобы исключить из проверок файлы, открытые указанными процессами.
Инструкции см. в разделе Добавление исключений в приложение Безопасность Windows.
Использование подстановочных знаков в списке исключений процесса
Использование подстановочных знаков в списке исключений процесса отличается от их использования в других списках исключений.
В частности, нельзя использовать подстановочный знак вопросительного знака (?), а подстановочный знак звездочки (*) можно использовать только в конце полного пути. Переменные среды (например, %ALLUSERSPROFILE%) по-прежнему можно использовать в качестве подстановочных знаков при определении элементов в списке исключений процесса.
В следующей таблице описано, как можно использовать подстановочные знаки в списке исключений процесса.
| Подстановочный знак | Пример использования | Примеры совпадений |
|---|---|---|
* (звездочка)Заменяет любое количество символов |
C:\MyData\* |
Любой файл, открытый C:\MyData\file.exe |
| Переменные среды Определенная переменная заполняется в виде пути при вычислении исключения. |
%ALLUSERSPROFILE%\CustomLogFiles\file.exe |
Любой файл, открытый C:\ProgramData\CustomLogFiles\file.exe |
Просмотр списка исключений
Элементы в списке исключений можно получить с помощью MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune или приложения Безопасность Windows.
При использовании PowerShell список можно получить двумя способами:
- Получите состояние всех Microsoft Defender настроек антивирусной программы. Каждый из списков будет отображаться в отдельных строках, но элементы в каждом списке будут объединены в одну строку.
- Запишите состояние всех параметров в переменную и используйте эту переменную, чтобы вызывать только конкретный список, который вас интересует. Каждое
Add-MpPreferenceиспользование записывается в новую строку.
Проверка списка исключений с помощью MpCmdRun
Чтобы проверить исключения с помощью выделенного средства командной строки mpcmdrun.exe, используйте следующую команду:
MpCmdRun.exe -CheckExclusion -path <path>
Примечание.
Для проверки исключений с помощью MpCmdRun требуется Microsoft Defender Антивирусная программа CAMP версии 4.18.1812.3 (выпущена в декабре 2018 г.) или более поздней.
Просмотрите список исключений наряду со всеми остальными Microsoft Defender настройками антивирусной программы с помощью PowerShell
Используйте следующий командлет:
Get-MpPreference
Дополнительные сведения об использовании PowerShell с Microsoft Defender антивирусной программы см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусной программы и Microsoft Defender антивирусной программы.
Получение определенного списка исключений с помощью PowerShell
Используйте следующий фрагмент кода (введите каждую строку как отдельную команду); замените WDAVprefs любой меткой, которую вы хотите назвать переменной:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Дополнительные сведения об использовании PowerShell с Microsoft Defender антивирусной программы см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусной программы и Microsoft Defender антивирусной программы.
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Связанные статьи
- Настройка и проверка исключений в Microsoft Defender проверки антивирусной программы
- Настройка и проверка исключений с учетом имени файлов, расширений и расположения папки.
- Исключения в антивирусной программе в Microsoft Defender в системе Windows Server
- Распространенные ошибки, которых следует избегать при определении исключений
- Настройка, запуск и проверка результатов проверок и исправлений антивирусной программы Microsoft Defender
- Антивирусная программа в Microsoft Defender (Windows 10)