Dosya uzantısına ve klasör konumuna göre dışlamaları yapılandırma ve doğrulama
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender Virüsten Koruma
Platform
- Windows
zamanlanmış taramalar, isteğe bağlı taramalar ve her zaman açık, gerçek zamanlı koruma ve izleme için geçerli olan Microsoft Defender Virüsten Koruma için dışlamalar tanımlayabilirsiniz. Genel olarak, dışlamaları uygulamanız gerekmez. Dışlamaları uygulamanız gerekiyorsa aşağıdaki türlerden birini seçebilirsiniz:
- Dosya uzantılarına ve klasör konumlarına dayalı dışlamalar (bu makalede açıklanmıştır)
- İşlemler tarafından açılan dosyalar için dışlamalar
Önemli
Microsoft Defender Virüsten Koruma dışlamaları, saldırı yüzeyi azaltma kuralları gibi bazı Uç Nokta için Microsoft Defender özellikleri için geçerlidir. Bazı Microsoft Defender Virüsten Koruma dışlamaları bazı ASR kuralı dışlamaları için geçerlidir. Bkz. Saldırı yüzeyi azaltma kuralları başvurusu - virüsten koruma dışlamaları ve ASR kuralları Microsoft Defender. Bu makalede açıklanan yöntemleri kullanarak dışladığınız dosyalar, Uç Nokta Algılama ve Yanıt (EDR) uyarılarını ve diğer algılamaları tetikleyebilir. Dosyaları geniş kapsamlı bir şekilde dışlamak için bunları Uç Nokta için Microsoft Defender özel göstergelerine ekleyin.
Başlamadan önce
Dışlama listelerinizi tanımlamadan önce dışlamaları tanımlama önerileri bölümüne bakın.
Dışlama listeleri
Bazı dosyaları Microsoft Defender Virüsten Koruma taramalarının dışında tutmak için dışlama listelerinizi değiştirin. Microsoft Defender Virüsten Koruma, bilinen işletim sistemi davranışlarına ve kurumsal yönetim, veritabanı yönetimi ve diğer kurumsal senaryolarda kullanılanlar gibi tipik yönetim dosyalarına dayalı birçok otomatik dışlama içerir.
Not
Dışlamalar , istenmeyebilecek uygulamalar (PUA) algılamaları için de geçerlidir. Otomatik dışlamalar yalnızca Windows Server 2016 ve üzeri için geçerlidir. Bu dışlamalar Windows Güvenliği uygulamasında ve PowerShell'de görünmez.
Aşağıdaki tabloda dosya uzantısına ve klasör konumuna göre bazı dışlama örnekleri listelemektedir.
Dışlama | Örnekler | Dışlama listesi |
---|---|---|
Belirli bir uzantıya sahip herhangi bir dosya | Belirtilen uzantıya sahip tüm dosyalar, makinenin herhangi bir yerinde. Geçerli söz dizimi: .test ve test |
Uzantı dışlamaları |
Belirli bir klasör altındaki herhangi bir dosya | Klasörün altındaki c:\test\sample tüm dosyalar |
Dosya ve klasör dışlamaları |
Belirli bir klasördeki belirli bir dosya | Yalnızca dosya c:\sample\sample.test |
Dosya ve klasör dışlamaları |
Belirli bir işlem | Yürütülebilir dosya c:\test\process.exe |
Dosya ve klasör dışlamaları |
Dışlama listelerinin özellikleri
- Alt klasör yeniden ayrıştırma noktası olmadığı sürece, klasör dışlamaları söz konusu klasörün altındaki tüm dosya ve klasörler için geçerlidir. Yeniden ayrıştırma noktası alt klasörleri ayrı ayrı dışlanmalıdır.
- Bir yol veya klasör tanımlanmamışsa, dosya uzantıları tanımlı uzantıya sahip herhangi bir dosya adına uygulanır.
Dosya uzantılarına ve klasör konumlarına göre dışlamalar hakkında önemli notlar
Yıldız (*) gibi joker karakterlerin kullanılması, dışlama kurallarının yorumlanma şeklini değiştirir. Joker karakterlerin nasıl çalıştığı hakkında önemli bilgiler için dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakter kullanma bölümüne bakın.
Eşlenen ağ sürücülerini dışlama. Gerçek ağ yolunu belirtin.
Yeniden ayrıştırma noktaları olan klasörler, Microsoft Defender Virüsten Koruma hizmeti başlatıldıktan sonra oluşturulur ve dışlama listesine eklenenler dahil değildir. Yeni yeniden ayrıştırma noktalarının geçerli bir dışlama hedefi olarak tanınması için Windows'ı yeniden başlatarak hizmeti yeniden başlatın.
Dışlamalar zamanlanmış taramalar, isteğe bağlı taramalar ve gerçek zamanlı koruma için geçerlidir ancak tüm Uç Nokta için Defender özelliklerinde geçerli değildir. Uç Nokta için Defender'da dışlamaları tanımlamak için özel göstergeler kullanın.
Varsayılan olarak, listelerde yapılan yerel değişiklikler (PowerShell ve WMI ile yapılan değişiklikler de dahil olmak üzere yönetici ayrıcalıklarına sahip kullanıcılar tarafından) grup ilkesi, Configuration Manager veya Intune tarafından tanımlandığı (ve dağıtıldığı) listelerle birleştirilir. çakışmalar olduğunda grup ilkesi listeleri önceliklidir. Ayrıca, grup ilkesi ile yapılan dışlama listesi değişiklikleri Windows Güvenliği uygulamasında görünür.
Yerel değişikliklerin yönetilen dağıtım ayarlarını geçersiz kılmasını sağlamak için yerel ve genel olarak tanımlanmış dışlama listelerinin nasıl birleştirildiğini yapılandırın.
Dışlama listesini klasör adına veya dosya uzantısına göre yapılandırma
Microsoft Defender Virüsten Koruma için dışlamaları tanımlamak için çeşitli yöntemler arasından seçim yapabilirsiniz.
Dosya adı, klasör veya dosya uzantısı dışlamalarını yapılandırmak için Intune kullanma
Aşağıdaki makalelere bakın:
- Microsoft Intune'de cihaz kısıtlama ayarlarını yapılandırma
- Intune'da Windows 10 için virüsten koruma cihaz kısıtlama ayarlarını Microsoft Defender
Dosya adı, klasör veya dosya uzantısı dışlamalarını yapılandırmak için Configuration Manager kullanma
Microsoft Configuration Manager (geçerli dal) yapılandırma ayrıntıları için bkz. Kötü amaçlı yazılımdan koruma ilkeleri oluşturma ve dağıtma: Dışlama ayarları.
Klasör veya dosya uzantısı dışlamalarını yapılandırmak için grup ilkesi kullanma
Not
Bir dosyanın tam yolunu belirtirseniz, yalnızca bu dosya dışlanır. Dışlamada bir klasör tanımlanmışsa, bu klasörün altındaki tüm dosyalar ve alt dizinler dışlanır.
grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu açın, yapılandırmak istediğiniz grup ilkesi Nesnesine sağ tıklayın ve düzenle'yi seçin.
grup ilkesi Yönetimi DüzenleyiciBilgisayar yapılandırması'na gidin ve Yönetim şablonları'nı seçin.
Ağacı Windows bileşenleri>Microsoft Defender Virüsten Koruma>Dışlamaları olarak genişletin.
Düzenlemek için Yol Dışlamaları ayarını açın ve dışlamalarınızı ekleyin.
Seçeneği Etkin olarak ayarlayın.
Seçenekler bölümünde Göster'i seçin.
Her klasörü Değer adı sütununun altında kendi satırında belirtin.
Bir dosya belirtiyorsanız, sürücü harfi, klasör yolu, dosya adı ve uzantı da dahil olmak üzere dosyanın tam yolunu girdiğinizden emin olun.
Değer sütununa 0 girin.
Tamam'ı seçin.
Düzenleme için Uzantı Dışlamaları ayarını açın ve dışlamalarınızı ekleyin.
Seçeneği Etkin olarak ayarlayın.
Seçenekler bölümünde Göster'i seçin.
Her dosya uzantısını Değer adı sütununun altına kendi satırına girin.
Değer sütununa 0 girin.
Tamam'ı seçin.
Dosya adı, klasör veya dosya uzantısı dışlamalarını yapılandırmak için PowerShell cmdlet'lerini kullanma
Uzantıya, konuma veya dosya adına göre dosyalar için dışlama eklemek veya kaldırmak için PowerShell kullanmak için üç cmdlet'in ve uygun dışlama listesi parametresinin bir bileşiminin kullanılması gerekir. Cmdlet'lerin tümü Defender modülündedir.
Cmdlet'lerin biçimi aşağıdaki gibidir:
<cmdlet> -<exclusion list> "<item>"
Aşağıdaki tabloda, PowerShell cmdlet'inin <cmdlet>
bölümünde kullanabileceğiniz cmdlet'ler listelenir:
Yapılandırma eylemi | PowerShell cmdlet'i |
---|---|
Listeyi oluşturma veya üzerine yazma | Set-MpPreference |
Listeye ekle | Add-MpPreference |
Öğeyi listeden kaldırma | Remove-MpPreference |
Aşağıdaki tabloda, PowerShell cmdlet'inin <exclusion list>
bölümünde kullanabileceğiniz değerler listelenir:
Dışlama türü | PowerShell parametresi |
---|---|
Belirtilen dosya uzantısına sahip tüm dosyalar | -ExclusionExtension |
Klasör altındaki tüm dosyalar (alt dizinlerdeki dosyalar dahil) veya belirli bir dosya | -ExclusionPath |
Önemli
veya Add-MpPreference
ile Set-MpPreference
bir liste oluşturduysanız, cmdlet'ini Set-MpPreference
kullanarak varolan listenin üzerine yeniden yazar.
Örneğin, aşağıdaki kod parçacığı Microsoft Defender Virüsten Koruma taramalarının dosya uzantısına sahip tüm dosyaları dışlamasına .test
neden olabilir:
Add-MpPreference -ExclusionExtension ".test"
İpucu
Daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Defender Virüsten Koruma cmdlet'lerini yapılandırmak ve çalıştırmak için PowerShellcmdlet'lerini kullanma.
Dosya adı, klasör veya dosya uzantısı dışlamalarını yapılandırmak için Windows Yönetim Araçları'nı (WMI) kullanma
Aşağıdaki özellikler için MSFT_MpPreference sınıfının Set, Add ve Remove yöntemlerini kullanın:
ExclusionExtension
ExclusionPath
Ayarla, Ekle ve Kaldır'ın kullanılması, PowerShell'deki karşılıklarına benzer: Set-MpPreference
, Add-MpPreference
, ve Remove-MpPreference
.
İpucu
Daha fazla bilgi için bkz. Windows Defender WMIv2 API'leri.
Dosya adı, klasör veya dosya uzantısı dışlamalarını yapılandırmak için Windows Güvenliği uygulamasını kullanın
Yönergeler için bkz. Windows Güvenliği uygulamasında dışlama ekleme.
Dosya adı ve klasör yolu veya uzantı dışlama listelerinde joker karakterler kullanın
Dosya adı veya klasör yolu dışlama listesindeki öğeleri tanımlarken joker karakter olarak yıldız *
işareti , soru işareti ?
veya ortam değişkenlerini (örneğin %ALLUSERSPROFILE%
) kullanabilirsiniz. ile ortam değişkenlerini tek bir dışlamada karıştırabilir, ?
eşleştirebilirsiniz*
. Bu joker karakterlerin yorumlandıkları yöntem, diğer uygulama ve dillerdeki normal kullanımlarından farklıdır. Belirli sınırlamalarını anlamak için bu bölümü okuduğunuzdan emin olun.
Önemli
Bu joker karakterler için önemli sınırlamalar ve kullanım senaryoları vardır:
- Ortam değişkeni kullanımı, makine değişkenleriyle ve NT AUTHORITY\SYSTEM hesabı olarak çalışan işlemler için geçerlidir.
- Giriş başına en fazla altı joker karakter kullanabilirsiniz.
- Sürücü harfi yerine joker karakter kullanamazsınız.
- Bir klasör dışlamadaki yıldız
*
işareti, tek bir klasör için yerinde durur. Birden çok örneğini\*\
kullanarak belirtilmemiş adlara sahip birden çok iç içe klasör belirtin.
Aşağıdaki tabloda joker karakterlerin nasıl kullanılabildiği açıklanır ve bazı örnekler sağlanır.
Joker karakter | Örnekler |
---|---|
* (yıldız işareti)Dosya adı ve dosya uzantısı eklemelerinde, yıldız işareti herhangi bir sayıda karakterin yerini alır ve yalnızca bağımsız değişkende tanımlanan son klasördeki dosyalara uygulanır. Klasör dışlamalarında yıldız işareti tek bir klasörün yerini alır. Birden çok * iç içe klasörü belirtmek için klasör eğik çizgileriyle \ birden çok kullanın. Joker karakterli ve adlandırılmış klasörlerin sayısı eşleştirildikten sonra tüm alt klasörler de eklenir. |
C:\MyData\*.txt Içerir C:\MyData\notes.txt C:\somepath\*\Data içindeki herhangi bir dosyayı C:\somepath\Archives\Data ve alt klasörlerini ve C:\somepath\Authorized\Data alt klasörlerini içerirC:\Serv\*\*\Backup içindeki herhangi bir dosyayı C:\Serv\Primary\Denied\Backup ve alt klasörlerini ve C:\Serv\Secondary\Allowed\Backup alt klasörlerini içerir |
? (soru işareti)Dosya adı ve dosya uzantısı eklemelerinde, soru işareti tek bir karakterin yerini alır ve yalnızca bağımsız değişkende tanımlanan son klasördeki dosyalara uygulanır. Klasör dışlamalarında, soru işareti bir klasör adındaki tek bir karakterin yerini alır. Joker karakterli ve adlandırılmış klasörlerin sayısı eşleştirildikten sonra tüm alt klasörler de eklenir. |
C:\MyData\my?.zip Içerir C:\MyData\my1.zip C:\somepath\?\Data içindeki herhangi bir dosyayı C:\somepath\P\Data ve alt klasörlerini içerirC:\somepath\test0?\Data içindeki herhangi bir dosyayı C:\somepath\test01\Data ve alt klasörlerini içerebilir |
Ortam değişkenleri Tanımlı değişken, dışlama değerlendirildiğinde bir yol olarak doldurulur. |
%ALLUSERSPROFILE%\CustomLogFiles şunları içerir: C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Karıştır ve Eşleştir Ortam değişkenleri * ve ? tek bir dışlamada birleştirilebilir |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe şunları içerir: c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Önemli
Bir dosya dışlama bağımsız değişkenini klasör dışlama bağımsız değişkeniyle karıştırırsanız, kurallar eşleşen klasörde dosya bağımsız değişkeniyle eşleşir ve hiçbir alt klasörde dosya eşleşmelerini aramaz.
Örneğin, klasörlerde c:\data\final\marked
"tarih" ile başlayan tüm dosyaları ve c:\data\review\marked
kural bağımsız değişkenini c:\data\*\marked\date*
kullanarak dışlayabilirsiniz.
Bu bağımsız değişken, veya c:\data\review\marked
altındaki c:\data\final\marked
alt klasörlerdeki hiçbir dosyayla eşleşmiyor.
Sistem ortamı değişkenleri
Aşağıdaki tabloda sistem hesabı ortam değişkenleri listelenip açıklanmaktadır.
Bu sistem ortamı değişkeni... | Buna yeniden yönlendirir |
---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Dışlama listesini gözden geçirin
Aşağıdaki yöntemlerden birini kullanarak dışlama listesindeki öğeleri alabilirsiniz:
Önemli
grup ilkesi ile yapılan dışlama listesi değişiklikleri, Windows Güvenliği uygulama listelerinde gösterilir. Windows Güvenliği uygulamasında yapılan değişiklikler grup ilkesi listelerinde gösterilmez.
PowerShell kullanıyorsanız, listeyi aşağıdaki iki yolla alabilirsiniz:
- Tüm Microsoft Defender Virüsten Koruma tercihlerinin durumunu alın. Her liste ayrı satırlarda görüntülenir, ancak her liste içindeki öğeler aynı satırda birleştirilir.
- Tüm tercihlerin durumunu bir değişkene yazın ve bu değişkeni yalnızca ilgilendiğiniz listeyi çağırmak için kullanın. her kullanımı
Add-MpPreference
yeni bir satıra yazılır.
MpCmdRun kullanarak dışlama listesini doğrulama
mpcmdrun.exeayrılmış komut satırı aracıyla dışlamaları denetlemek için aşağıdaki komutu kullanın:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Not
ile MpCmdRun
dışlamaların denetleniyor Microsoft Defender Virüsten Koruma sürümü 4.18.2111-5.0 (Aralık 2021'de yayımlandı) veya üzeri gerekir.
PowerShell kullanarak diğer tüm Microsoft Defender Virüsten Koruma tercihlerinin yanı sıra dışlama listesini gözden geçirin
Aşağıdaki cmdlet'i kullanın:
Get-MpPreference
Aşağıdaki örnekte, listede yer alan ExclusionExtension
öğeler vurgulanır:
Daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Defender Virüsten Koruma cmdlet'lerini yapılandırmak ve çalıştırmak için PowerShellcmdlet'lerini kullanma.
PowerShell kullanarak belirli bir dışlama listesini alma
Aşağıdaki kod parçacığını kullanın (her satırı ayrı bir komut olarak girin); WDAVprefs değerini değişkeni adlandırmak istediğiniz etiketle değiştirin:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
Aşağıdaki örnekte, liste cmdlet'in Add-MpPreference
her kullanımı için yeni satırlara ayrılmıştır:
Daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Defender Virüsten Koruma cmdlet'lerini yapılandırmak ve çalıştırmak için PowerShellcmdlet'lerini kullanma.
EICAR test dosyasıyla dışlama listelerini doğrulama
Bir test dosyasını indirmek için cmdlet veya .NET WebClient sınıfıyla Invoke-WebRequest
PowerShell kullanarak dışlama listelerinizin çalıştığını doğrulayabilirsiniz.
Aşağıdaki PowerShell kod parçacığında öğesini dışlama kurallarınıza uygun bir dosyayla değiştirin test.txt
. Örneğin, uzantıyı .testing
dışlamıyorsanız yerine değerini ile test.testing
değiştirintest.txt
. Bir yolu test ediyorsanız, cmdlet'ini bu yol içinde çalıştırdığınızdan emin olun.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Microsoft Defender Virüsten Koruma kötü amaçlı yazılım bildiriyorsa kural çalışmıyor demektir. Kötü amaçlı yazılım raporu yoksa ve indirilen dosya varsa, dışlama çalışıyor demektir. İçeriğin EICAR test dosyası web sitesinde açıklananla aynı olduğunu onaylamak için dosyayı açabilirsiniz.
Test dosyasını indirmek için .NET WebClient sınıfını çağıran aşağıdaki PowerShell kodunu da kullanabilirsiniz; cmdlet'inde Invoke-WebRequest
olduğu gibi değerini, doğruladığınız kurala uygun bir dosyayla değiştirin c:\test.txt
:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
İnternet erişiminiz yoksa, aşağıdaki PowerShell komutuyla EICAR dizesini yeni bir metin dosyasına yazarak kendi EICAR test dosyanızı oluşturabilirsiniz:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Ayrıca dizeyi boş bir metin dosyasına kopyalayabilir ve dosya adıyla veya dışlamaya çalıştığınız klasöre kaydetmeye çalışabilirsiniz.
Ayrıca bkz.
- Microsoft Defender Virüsten Koruma taramalarında dışlamaları yapılandırma ve doğrulama
- İşlemler tarafından açılan dosyalar için dışlamaları yapılandırma ve doğrulama
- Windows Server'da Microsoft Defender Virüsten Koruma dışlamalarını yapılandırma
- Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.