İşlemler tarafından açılan dosyalar için dışlamaları yapılandırma
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender Virüsten Koruma
Platform
- Windows
Belirli işlemler tarafından açılan dosyaları Microsoft Defender Virüsten Koruma taramalarının dışında tutabilirsiniz. Bu tür dışlamaların, işlemlerin kendileri tarafından değil, işlemler tarafından açılan dosyalara yönelik olduğunu unutmayın. Bir işlemi dışlamak için bir dosya dışlaması ekleyin (bkz. Dosya uzantısına ve klasör konumuna göre dışlamaları yapılandırma ve doğrulama).
Dışlamalarla ilgili önemli noktalara bakın ve dışlama listelerinizi tanımlamadan önce Uç Nokta için Microsoft Defender için dışlamaları yönetme ve Virüsten Koruma'ya Microsoft Defender bilgilerini gözden geçirin.
Bu makalede dışlama listelerinin nasıl yapılandırıldığı açıklanır.
İşlem dışlama örnekleri
| Dışlama | Örnek |
|---|---|
| Makinedeki belirli bir dosya adına sahip herhangi bir işlem tarafından açılan herhangi bir dosya | Belirtilmesi test.exe , aşağıdakiler tarafından açılan dosyaları dışlar:
|
| Makinedeki belirli bir klasör altındaki herhangi bir işlem tarafından açılan herhangi bir dosya | Belirtilmesi c:\test\sample\* , aşağıdakiler tarafından açılan dosyaları dışlar: |
| Makinedeki belirli bir klasördeki belirli bir işlem tarafından açılan herhangi bir dosya | Belirtilmesi c:\test\process.exe yalnızca c:\test\process.exe |
İşlem dışlama listesine bir işlem eklediğinizde, Microsoft Defender Virüsten Koruma dosyalar nerede bulunursa bulunsın bu işlem tarafından açılan dosyaları taramaz. Ancak, dosya dışlama listesine de eklenmediği sürece işlemin kendisi taranır.
Dışlamalar yalnızca her zaman açık gerçek zamanlı koruma ve izleme için geçerlidir. Zamanlanmış veya isteğe bağlı taramalar için geçerli değildir.
Dışlama listelerinde grup ilkesi yapılan değişiklikler Windows Güvenliği uygulamasındaki listelerde gösterilir. Ancak, Windows Güvenliği uygulamasında yapılan değişiklikler grup ilkesi listelerinde gösterilmez.
grup ilkesi, Microsoft Configuration Manager, Microsoft Intune ve Windows Güvenliği uygulamasıyla dışlamalar için listeleri ekleyebilir, kaldırabilir ve gözden geçirebilir ve listeleri daha fazla özelleştirmek için joker karakterler kullanabilirsiniz.
Dışlama listelerini yapılandırmak için listelerinizi gözden geçirmek de dahil olmak üzere PowerShell cmdlet'lerini ve WMI'yi de kullanabilirsiniz.
Varsayılan olarak, listelerde yapılan yerel değişiklikler (yönetici ayrıcalıklarına sahip kullanıcılar tarafından; PowerShell ve WMI ile yapılan değişiklikler), grup ilkesi, Configuration Manager veya Intune tarafından tanımlandığı (ve dağıtıldığı) listelerle birleştirilir. Çakışmalar varsa, grup ilkesi listeleri önceliklidir.
Yerel değişikliklerin yönetilen dağıtım ayarlarını geçersiz kılmasını sağlamak için yerel ve genel olarak tanımlanmış dışlama listelerinin nasıl birleştirildiğini yapılandırabilirsiniz .
Not
Ağ Koruması ve Saldırı yüzeyi azaltma kuralları tüm platformlardaki işlem dışlamalarından doğrudan etkilenir; başka bir deyişle, herhangi bir işletim sisteminde (Windows, MacOS, Linux) bir işlem dışlaması Ağ Koruması'nın veya ASR'nin trafiği inceleyememesine veya belirli bir işlem için kuralları zorlayamamasına neden olur.
İşlem dışlamaları için görüntü adı ile tam yol karşılaştırması
İki farklı işlem dışlama türü ayarlanabilir. Bir işlem görüntü adı veya tam yol tarafından dışlanabilir. Görüntü adı, yol olmadan işlemin dosya adıdır.
Örneğin, bu işlemin tam yolundan çalıştırılan işlem MyProcess.exe şöyle olur C:\MyFolder\MyProcess.exe ve görüntü adı olurMyProcess.exe.C:\MyFolder\
Görüntü adı dışlamaları çok daha geniştir. Üzerindeki bir dışlama MyProcess.exe , çalıştırdıkları yoldan bağımsız olarak bu görüntü adına sahip tüm işlemleri dışlar. Bu nedenle, örneğin, işlem MyProcess.exe görüntü adıyla dışlanırsa, içinden, çıkarılabilir medyadan ve cetera'dan C:\MyOtherFolderçalıştırılırsa da dışlanır. Bu nedenle mümkün olduğunda tam yolun kullanılması önerilir.
İşlem dışlama listesinde joker karakter kullanma
İşlem dışlama listesindeki joker karakterlerin kullanımı, diğer dışlama listelerindeki kullanımlarından farklıdır. İşlem dışlaması yalnızca görüntü adı olarak tanımlandığında joker karakter kullanımına izin verilmez. Ancak tam yol kullanıldığında joker karakterler desteklenir ve joker karakter davranışı Dosya ve Klasör Dışlamaları'nda açıklandığı gibi davranır
İşlem dışlama listesindeki öğeleri tanımlarken joker karakter olarak ortam değişkenlerinin (örneğin %ALLUSERSPROFILE%) kullanılması da desteklenir. Ayrıntılar ve desteklenen ortam değişkenlerinin tam listesi Dosya ve Klasör Dışlamaları bölümünde açıklanmıştır.
Aşağıdaki tabloda, yol sağlandığında joker karakterlerin işlem dışlama listesinde nasıl kullanılabildiği açıklanmaktadır:
| Joker karakter | Örnek kullanım | Örnek eşleşmeler |
|---|---|---|
* (yıldız işareti)Herhangi bir sayıda karakteri değiştirir. |
C:\MyFolder\* |
veya tarafından C:\MyFolder\MyProcess.exe açılan herhangi bir dosya C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
veya tarafından C:\MyFolder1\MyFolder2\MyProcess.exe açılan herhangi bir dosya C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
veya tarafından C:\MyOtherFolder\MyFolder\MyProcess.exe açılan herhangi bir dosya C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (soru işareti) Bir karakteri değiştirir. |
C:\MyFolder\MyProcess??.exe |
veya C:\MyFolder\MyProcessAA.exe veya tarafından C:\MyFolder\MyProcess42.exe açılan herhangi bir dosyaC:\MyFolder\MyProcessF5.exe |
| Ortam Değişkenleri | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Tarafından açılan herhangi bir dosya C:\ProgramData\MyFolder\MyProcess.exe |
Bağlamsal İşlem Dışlamaları
İşlem dışlama işleminin bağlamsal dışlama aracılığıyla da tanımlanabilir ve örneğin belirli bir dosyanın yalnızca belirli bir işlem tarafından açılması durumunda dışlanmasını sağlar.
Belirtilen işlemler tarafından açılan dosyalar için dışlama listesini yapılandırma
Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Microsoft Intune kullanın
Daha fazla bilgi için bkz. Microsoft Intune cihaz kısıtlama ayarlarını yapılandırma ve Intune Windows 10 için Virüsten koruma cihaz kısıtlama ayarlarını Microsoft Defender.
Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Microsoft Configuration Manager kullanın
Microsoft Configuration Manager (geçerli dal) yapılandırma ayrıntıları için bkz. Kötü amaçlı yazılımdan koruma ilkeleri oluşturma ve dağıtma: Dışlama ayarları.
Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için grup ilkesi kullanın
grup ilkesi yönetim bilgisayarınızda, grup ilkesi Yönetim Konsolu'nu açın, yapılandırmak istediğiniz grup ilkesi Nesnesine sağ tıklayın ve Düzenle'ye tıklayın.
grup ilkesi Yönetimi DüzenleyiciBilgisayar yapılandırması'na gidin ve Yönetim şablonları'na tıklayın.
Ağacı Virüsten Koruma > Dışlamaları > Microsoft Defender Windows bileşenlerine genişletin.
İşlem Dışlamaları'na çift tıklayın ve dışlamaları ekleyin:
- Seçeneği Etkin olarak ayarlayın.
- Seçenekler bölümünün altında Göster... öğesine tıklayın.
- Her işlemi Değer adı sütununun altına kendi satırına girin. Farklı işlem dışlama türleri için örnek tabloya bakın. Tüm işlemler için Değer sütununa 0 girin.
Tamam'ı tıklatın.
Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için PowerShell cmdlet'lerini kullanma
İşlemler tarafından açılmış dosyalar için dışlama eklemek veya kaldırmak için PowerShell kullanmak için parametresiyle -ExclusionProcess üç cmdlet'in birleşimini kullanmak gerekir. Cmdlet'lerin tümü Defender modülündedir.
Cmdlet'lerin biçimi:
<cmdlet> -ExclusionProcess "<item>"
Cmdlet> olarak aşağıdakilere <izin verilir:
| Yapılandırma eylemi | PowerShell cmdlet'i |
|---|---|
| Listeyi oluşturma veya üzerine yazma | Set-MpPreference |
| Listeye ekle | Add-MpPreference |
| Listeden öğeleri kaldırma | Remove-MpPreference |
Önemli
veya Add-MpPreferenceile Set-MpPreference bir liste oluşturduysanız, cmdlet'ini Set-MpPreference yeniden kullanmak varolan listenin üzerine yazar.
Örneğin, aşağıdaki kod parçacığı Microsoft Defender Virüsten Koruma taramalarının belirtilen işlem tarafından açılan tüm dosyaları dışlamasına neden olabilir:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
PowerShell'i Microsoft Defender Virüsten Koruma ile kullanma hakkında daha fazla bilgi için bkz. Virüsten korumayı PowerShell cmdlet'leri ve Microsoft Defender Virüsten Koruma cmdlet'leri ile yönetme.
Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Windows Yönetim Yönergesi'ni (WMI) kullanın
Aşağıdaki özellikler için MSFT_MpPreference sınıfının Set, Add ve Remove yöntemlerini kullanın:
ExclusionProcess
Ayarla, Ekle ve Kaldır'ın kullanımı, PowerShell'deki karşılıklarına benzer: Set-MpPreference, Add-MpPreferenceve Remove-MpPreference.
Daha fazla bilgi ve izin verilen parametreler için bkz. Windows Defender WMIv2 API'leri.
Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Windows Güvenliği uygulamasını kullanın
Windows Güvenliği uygulamasında dışlama ekleme başlığındaki yönergeleri izleyin.
Dışlama listesini gözden geçirin
MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune veya Windows Güvenliği uygulamasıyla dışlama listesindeki öğeleri alabilirsiniz.
PowerShell kullanıyorsanız, listeyi iki yolla alabilirsiniz:
- Tüm Microsoft Defender Virüsten Koruma tercihlerinin durumunu alın. Listelerin her biri ayrı satırlarda görüntülenir, ancak her liste içindeki öğeler aynı satırda birleştirilir.
- Tüm tercihlerin durumunu bir değişkene yazın ve bu değişkeni yalnızca ilgilendiğiniz listeyi çağırmak için kullanın. her kullanımı
Add-MpPreferenceyeni bir satıra yazılır.
MpCmdRun kullanarak dışlama listesini doğrulama
mpcmdrun.exeayrılmış komut satırı aracıyla dışlamaları denetlemek için aşağıdaki komutu kullanın:
MpCmdRun.exe -CheckExclusion -path <path>
Not
MpCmdRun ile dışlamaların denetlenmesi için Virüsten Koruma CAMP sürüm 4.18.1812.3 (Aralık 2018'de yayımlandı) veya üzeri Microsoft Defender gerekir.
PowerShell kullanarak diğer tüm Microsoft Defender Virüsten Koruma tercihlerinin yanı sıra dışlama listesini gözden geçirin
Aşağıdaki cmdlet'i kullanın:
Get-MpPreference
PowerShell'i Microsoft Defender Virüsten Koruma ile kullanma hakkında daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Microsoft Defender Virüsten Koruma cmdlet'lerini yapılandırmak ve çalıştırmak için PowerShellcmdlet'lerini kullanma .
PowerShell kullanarak belirli bir dışlama listesini alma
Aşağıdaki kod parçacığını kullanın (her satırı ayrı bir komut olarak girin); WDAVprefs değerini değişkeni adlandırmak istediğiniz etiketle değiştirin:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
PowerShell'i Microsoft Defender Virüsten Koruma ile kullanma hakkında daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Microsoft Defender Virüsten Koruma cmdlet'lerini yapılandırmak ve çalıştırmak için PowerShellcmdlet'lerini kullanma.
İpucu
Diğer platformlar için Antivirüs ile ilgili bilgi arıyorsanız bkz:
- MacOS'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
- Mac'te Uç Nokta için Microsoft Defender
- Intune için Microsoft Defender için macOS Virüsten Koruma ilke ayarları
- Linux'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
- Linux'ta Uç Nokta için Microsoft Defender
- Android özelliklerinde Uç Nokta için Defender’ı yapılandırın
- iOS özelliklerinde Uç Nokta için Microsoft Defender’ı yapılandırın
İlgili makaleler
- Microsoft Defender Virüsten Koruma taramalarında dışlamaları yapılandırma ve doğrulama
- Dosya adı, uzantı ve klasör konumuna göre dışlamaları yapılandırma ve doğrulama
- Windows Server'da Microsoft Defender Virüsten Koruma dışlamalarını yapılandırma
- Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar
- Microsoft Defender Virüsten Koruma taramalarının ve düzeltmelerinin sonuçlarını özelleştirme, başlatma ve gözden geçirme
- Windows 10'de virüsten koruma Microsoft Defender
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.