配置 Microsoft Defender 防病毒的自定义排除项

通常，不需要为Microsoft Defender防病毒定义排除项。 但是，可以从防病毒扫描中排除文件、文件夹、进程和进程打开的文件Microsoft Defender。 这些类型的排除项称为 自定义排除项。 本文介绍如何使用 Microsoft Intune 为 Microsoft Windows 中的 Microsoft Defender 防病毒定义自定义排除项。

自定义排除项适用于 计划扫描、 按需扫描以及 始终启用的实时保护和监视。 进程打开的文件的排除项仅适用于实时保护。

提示

• 有关 Microsoft Defender 防病毒和 Defender for Endpoint 的抑制、提交和排除的详细概述，请参阅 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项。
• 如果使用其他方法将排除项分发到 Windows 设备上Microsoft Defender防病毒， (例如Microsoft Configuration Manager或组策略) ，或者需要有关自定义排除项的详细信息，请参阅以下文章：
  • 根据文件扩展名和文件夹位置配置和验证排除项
  • 为进程打开的文件配置排除项
• 以下方法可用于保护设备上配置的排除项：
  • 防病毒排除项的篡改保护。
  • HideExclusionsFromLocalAdmins：
    • 不会从设备中删除现有排除项。
    • 排除项在 Get-MpPreference 或注册表编辑器中不可见。
  • HideExclusionsFromLocalUsers：如果启用了 HideExclusionsFromLocalAdmins，则隐式启用。
• 排除的文件仍可在Microsoft Defender门户中生成防病毒警报。 例如，排除的文件可以触发行为或启发式检测。

先决条件

支持的操作系统

• Windows

有关排除项的要点

• 警告

  请谨慎使用排除项。 从技术上讲，排除项是降低防病毒保护Microsoft Defender的保护差距。 定义排除项时，请考虑所有选项。 有关详细信息，请参阅管理Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项。

• 排除可能会直接影响Microsoft Defender防病毒是否可以阻止、修正或检查与排除的文件、文件夹或进程相关的事件。

  • 自定义排除可能会影响依赖于防病毒引擎的功能。 例如：
    • 恶意软件保护。
    • 文件 IOC。
    • 证书 IOC。
  • 任何平台上的进程排除会阻止网络保护和攻击面减少规则检查流量或强制执行已排除进程的规则。

• 定期查看和审核排除项。 在评审过程中重新检查并重新强制实施缓解措施。 为了避免混淆，安全团队应保留有关为何需要特定排除项的上下文。

• 仅对特定问题使用排除项， (例如性能或应用兼容性) 。 不要仅仅因为认为将来可能会有问题而排除某些内容。

在 Intune 中创建Microsoft Defender防病毒排除策略

若要使用 Microsoft Defender 防病毒排除配置文件在 Microsoft Intune 中创建新的 AV 策略，请执行以下步骤：

1. 在 Microsoft Intune 管理中心中https://intune.microsoft.com，转到“终结点安全性”。

2. 在终结点安全性 |“概述”页，在“管理”部分选择“防病毒”。 或者，直接转到 终结点安全性 |“防病毒 ”页，使用 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus。

3. 在终结点安全性的“摘要”选项卡上|“防病毒”页，在“AV 策略”部分选择“创建策略”。

4. 在打开 的“创建配置文件” 浮出控件上，配置以下设置：

   • 平台：选择 “Windows”。
   • 配置文件：选择“Microsoft Defender防病毒排除项”。

   选择“创建”。

5. 此时会打开 “创建策略 ”向导。 在“ 基本信息 ”选项卡上，配置以下设置：

   • 名称：输入策略的唯一描述性名称。
   • 说明：输入可选说明。

   选择 下一步。

6. 在“ 配置设置 ”选项卡上，配置以下部分或全部设置：

   • 排除的扩展 部分：按文件类型扩展名排除。 排除项适用于具有该扩展名的任何文件，而不考虑位置。 有关详细信息，请参阅 ExcludedExtensions。
   • 排除的路径 部分：按位置 (路径) 排除项。 也称为 文件和文件夹排除。 分隔每个路径，并每行输入一个路径。 有关详细信息，请参阅 ExcludedPaths。
   • 排除的进程 部分：指定进程打开的文件的排除项。 分隔列表中的每种文件类型，每行一个文件类型。 不会排除进程本身。 若要排除进程，可以使用文件和文件夹排除项。 有关详细信息，请参阅 ExcludedProcesses。

   若要添加排除项，请选择“ 添加”，然后在出现的框中输入值。 根据需要重复执行此步骤（次数不限）。

   提示

   • Microsoft Defender防病毒服务使用 LocalSystem 帐户在系统上下文中运行。 该服务从 系统 环境变量（而不是 用户 环境变量）获取信息。 因此，像 这样的 %USERPROFILE% 环境变量的解释方式可能与预期不同。 有关详细信息，请参阅 系统环境变量。

   • 请勿在 Microsoft Defender 防病毒中使用用户环境变量作为文件夹和进程排除项的通配符。 仅使用以下类型的环境变量作为通配符：

   • 系统环境变量。

   • 应用于作为 NT AUTHORITY\SYSTEM 帐户运行的进程的环境变量。

   有关详细信息，请参阅 在文件名和文件夹路径或扩展排除列表中使用通配符。

   若要删除排除项或空框，请选择条目旁边的检查框，然后选择“删除”。

   若要导入排除项的 .csv 文件，请选择“ 导入”。

   完成“ 配置设置 ”选项卡后，选择“ 下一步”。

7. 在“ 作用域标记 ”选项卡上，默认选择名为 “默认 ”的范围标记，但你可以将其删除并选择其他现有 范围标记。 完成后，请选择“下一步”。

8. 在“ 分配 ”选项卡上，单击搜索框或开始键入组名称，然后从结果中选择它。

   可以选择“ 所有用户 ”或“ 所有设备”。

   选择自定义组时，可以使用 “目标类型 ”设置 来包括 或 排除 组成员。

   根据需要重复执行此步骤（次数不限）。

   完成“ 分配 ”选项卡后，选择“ 下一步”。

9. 在“ 审阅 + 创建 ”选项卡上，查看设置。 使用 “后退 ”或选择选项卡进行更改。

   完成“ 查看 + 创建 ”选项卡后，选择“ 保存”。

返回终结点安全性的“ 摘要 ”选项卡 |“防病毒 ”页中列出了新的 AV 策略。 策略类型值Microsoft Defender防病毒排除项。

在 Intune 中修改Microsoft Defender防病毒排除策略中的排除项

若要修改使用 Microsoft Defender 防病毒排除配置文件的 Microsoft Intune 中的现有 AV 策略，请执行以下步骤：

1. 在 Microsoft Intune 管理中心中https://intune.microsoft.com，转到“终结点安全性”。

2. 在终结点安全性 |“概述”页，在“管理”部分选择“防病毒”。 或者，直接转到 终结点安全性 |“防病毒 ”页，使用 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus。

3. 在终结点安全性的“摘要”选项卡上|“防病毒”页，在“AV 策略”部分选择策略，其中“策略类型”值Microsoft Defender防病毒排除项。

4. 在打开的策略属性页上，选择“配置设置”旁边的“编辑”。

5. 在打开的“编辑策略”页的“配置设置”选项卡上，添加或删除排除项：

   • 排除的扩展 部分：按文件类型扩展名排除。 排除项适用于具有该扩展名的任何文件，而不考虑位置。 有关详细信息，请参阅 ExcludedExtensions。
   • 排除的路径 部分：按位置 (路径) 排除项。 也称为 文件和文件夹排除。 分隔每个路径，并每行输入一个路径。 有关详细信息，请参阅 ExcludedPaths。
   • 排除的进程 部分：指定进程打开的文件的排除项。 分隔列表中的每种文件类型，每行一个文件类型。 不会排除进程本身。 若要排除进程，可以使用文件和文件夹排除项。 有关详细信息，请参阅 ExcludedProcesses。

   若要添加排除项，请选择“ 添加”，然后在出现的框中输入值。 根据需要重复执行此步骤（次数不限）。

   若要删除排除项或空框，请选择条目旁边的检查框，然后选择“删除”。

   若要导入包含新排除项的 .csv 文件，请选择“ 导入”。

   若要将现有排除项导出到 .csv 文件，请选择“ 导出”。

   完成“ 配置设置 ”选项卡后，选择“ 下一步”。

6. 在“ 审阅”选项卡上，查看设置。 使用 “后退 ”或选择“ 配置设置 ”选项卡进行更改。

   完成“ 审阅 ”选项卡后，选择“ 保存”。

返回策略属性页，“ 配置设置>Defender ”部分会显示对排除列表的更新。

Exchange 服务器上的防病毒排除项

Microsoft Exchange Server 2016 或更高版本支持与反恶意软件扫描接口 (AMSI) 集成。 有关详细信息，请参阅 Exchange Server AMSI 集成。

出于性能原因，许多组织从防病毒扫描中排除Exchange Server文件夹。 Microsoft建议在 Exchange 服务器上审核Microsoft Defender防病毒排除项，并评估是否可以在不影响性能的情况下删除排除项。 可以使用 组策略、PowerShell 或系统管理工具（如 Microsoft Intune）管理排除项。

若要审核Exchange Server Microsoft Defender防病毒排除项，请从提升的 PowerShell 提示符运行 Get-MpPreference cmdlet。

如果无法删除 Exchange 进程和文件夹的排除项，请记住，Microsoft Defender防病毒中的快速扫描会扫描 Exchange 目录和文件，而不考虑排除项。

另请参阅

• Microsoft Defender Windows Server 2016 及更高版本上的防病毒排除项
• 定义排除时要避免的常见错误
• Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
• 在 Linux 上配置和验证Microsoft Defender for Endpoint排除项
• 在 macOS 上配置和验证Microsoft Defender for Endpoint排除项