根据文件扩展名和文件夹位置配置和验证排除项
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
平台
- Windows
可以为适用于计划扫描、按需扫描和始终启用的实时保护和监视的 Microsoft Defender 防病毒定义排除项。 通常,不需要应用排除项。 如果需要应用排除项,则可以从以下类型中进行选择:
- 基于文件扩展名和文件夹位置的排除项 (本文中所述)
- 进程打开的文件的排除项
重要
Microsoft Defender防病毒排除项适用于某些Microsoft Defender for Endpoint功能,例如攻击面减少规则。 某些Microsoft Defender防病毒排除项适用于某些 ASR 规则排除项。 请参阅攻击面减少规则参考 - Microsoft Defender防病毒排除项和 ASR 规则。 使用本文中所述的方法排除的文件仍可以触发终结点检测和响应 (EDR) 警报和其他检测。 若要广泛排除文件,请将它们添加到Microsoft Defender for Endpoint自定义指示器。
开始之前
在 定义排除列表之前,请参阅有关定义 排除项的建议。
排除列表
若要从防病毒扫描Microsoft Defender排除某些文件,请修改排除列表。 Microsoft Defender防病毒包括许多基于已知操作系统行为和典型管理文件(例如企业管理、数据库管理和其他企业方案中使用的文件)的自动排除项。
注意
排除项也适用于 可能不需要的应用 (PUA) 检测 。 自动排除仅适用于Windows Server 2016及更高版本。 这些排除项在 Windows 安全中心 应用和 PowerShell 中不可见。
下表列出了基于文件扩展名和文件夹位置的排除项的一些示例。
| 排除 | 示例 | 排除列表 |
|---|---|---|
| 具有特定扩展名的任何文件 | 具有指定扩展名的所有文件,位于计算机上的任意位置。 有效语法: .test 和 test |
扩展排除项 |
| 特定文件夹下的任何文件 | 文件夹下 c:\test\sample 的所有文件 |
文件和文件夹排除项 |
| 特定文件夹中的特定文件 | 仅文件c:\sample\sample.test |
文件和文件夹排除项 |
| 特定过程 | 可执行文件 c:\test\process.exe |
文件和文件夹排除项 |
排除列表的特征
- 文件夹排除项适用于该文件夹下的所有文件和文件夹,除非子文件夹是重新分析点。 必须单独排除重新分析点子文件夹。
- 如果未定义路径或文件夹,则文件扩展名适用于具有已定义扩展名的任何文件名。
有关基于文件扩展名和文件夹位置的排除项的重要说明
使用星号 (*) 等通配符可更改排除规则的解释方式。 有关通配符工作原理的重要信息,请参阅在 文件名和文件夹路径或扩展排除列表中使用 通配符部分。
不要排除映射的网络驱动器。 指定实际网络路径。
重新分析点的文件夹在Microsoft Defender防病毒服务启动后创建,并且不包括添加到排除列表的文件夹。 重启 Windows 重启服务,以便将新的重新分析点识别为有效的排除目标。
排除项适用于 计划扫描、 按需扫描和 实时保护,但不适用于所有 Defender for Endpoint 功能。 若要跨 Defender for Endpoint 定义排除项,请使用 自定义指示器。
默认情况下,具有管理员权限的用户 (对列表进行的本地更改(包括使用 PowerShell 和 WMI) 所做的更改)与组策略、Configuration Manager或Intune (定义的列表合并并部署) 。 发生冲突时,组策略列表优先。 此外,使用 组策略 进行的排除列表更改在 Windows 安全中心 应用中可见。
若要允许本地更改替代托管部署设置, 请配置如何合并本地和全局定义的排除列表。
基于文件夹名称或文件扩展名配置排除项列表
可以从多种方法中进行选择,以定义Microsoft Defender防病毒的排除项。
使用Intune配置文件名称、文件夹或文件扩展名排除项
另请参阅以下文章:
使用Configuration Manager配置文件名、文件夹或文件扩展名排除项
有关配置当前) 分支Microsoft Configuration Manager (的详细信息,请参阅如何创建和部署反恶意软件策略:排除设置。
使用 组策略 配置文件夹或文件扩展名排除项
注意
如果指定文件的完全限定路径,则仅排除该文件。 如果在排除项中定义了文件夹,则会排除该文件夹下的所有文件和子目录。
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。
在“组策略管理”编辑器转到“计算机配置”,然后选择“管理模板”。
将树展开到 Windows 组件>Microsoft Defender防病毒>排除项。
打开 “路径排除项 ”设置进行编辑,并添加排除项。
将选项设置为 “已启用”。
在 “选项” 部分下,选择“ 显示”。
在 “值名称 ”列下,在其自己的行中指定每个文件夹。
如果要指定文件,请确保输入文件的完全限定路径,包括驱动器号、文件夹路径、文件名和扩展名。
在“值”列中输入 0。
选择“确定”。
打开 “扩展排除项 ”设置进行编辑并添加排除项。
将选项设置为 “已启用”。
在 “选项” 部分下,选择“ 显示”。
在 “值名称” 列下,在自己的行上输入每个文件扩展名。
在“值”列中输入 0。
选择“确定”。
使用 PowerShell cmdlet 配置文件名、文件夹或文件扩展名排除项
使用 PowerShell 根据扩展名、位置或文件名添加或删除文件的排除项,需要使用三个 cmdlet 和适当的排除列表参数的组合。 这些 cmdlet 都在 Defender 模块中。
cmdlet 的格式如下所示:
<cmdlet> -<exclusion list> "<item>"
下表列出了可在 PowerShell cmdlet 部分使用的 <cmdlet> cmdlet:
| 配置操作 | PowerShell cmdlet |
|---|---|
| 创建或覆盖列表 | Set-MpPreference |
| 添加到列表 | Add-MpPreference |
| 从列表中删除项 | Remove-MpPreference |
下表列出了可在 PowerShell cmdlet 部分使用 <exclusion list> 的值:
| 排除类型 | PowerShell 参数 |
|---|---|
| 具有指定文件扩展名的所有文件 | -ExclusionExtension |
| 文件夹下的所有文件 (包括子目录中的文件) 或特定文件 | -ExclusionPath |
重要
如果已使用 或 Add-MpPreference创建了列表,Set-MpPreference则再次使用 Set-MpPreference cmdlet 覆盖现有列表。
例如,以下代码片段会导致Microsoft Defender防病毒扫描排除扩展名为 .test 的任何文件:
Add-MpPreference -ExclusionExtension ".test"
使用 Windows Management Instrumentation (WMI) 配置文件名、文件夹或文件扩展名排除项
对以下属性使用 MSFT_MpPreference 类的 Set、Add 和 Remove 方法 :
ExclusionExtension
ExclusionPath
使用 Set、 Add 和 Remove 类似于 PowerShell 中的对应项: Set-MpPreference、 Add-MpPreference和 Remove-MpPreference。
提示
有关详细信息,请参阅 Windows Defender WMIv2 API。
使用 Windows 安全中心 应用来配置文件名、文件夹或文件扩展名排除项
有关说明,请参阅在 Windows 安全中心 应用中添加排除项。
在文件名和文件夹路径或扩展名排除列表中使用通配符
在文件名或文件夹路径排除列表中定义项目时,可以使用星号 *、问号 ?或环境变量 (如 %ALLUSERSPROFILE%) 作为通配符。 可以将 和 和 ? 环境变量混合和匹配*到单个排除项中。 这些通配符的解释方式与其他应用和语言中的通常用法不同。 请务必阅读此部分以了解其特定限制。
重要
这些通配符存在一些关键限制和使用方案:
- 环境变量的使用仅限于计算机变量以及那些适用于作为 NT AUTHORITY\SYSTEM 帐户运行的进程的变量。
- 每个条目最多只能使用六个通配符。
- 不能使用通配符来代替驱动器号。
- 文件夹排除中的星号
*对于单个文件夹已到位。 使用 的\*\多个实例来指示具有未指定名称的多个嵌套文件夹。
下表介绍了如何使用通配符,并提供了一些示例。
| 通配符 | 示例 |
|---|---|
* (星号) 在 文件名和文件扩展名包含中,星号将替换任意数量的字符,并且仅适用于参数中定义的最后一个文件夹中的文件。 在 文件夹排除项中,星号将替换单个文件夹。 使用多个 * 和文件夹斜杠 \ 来指示多个嵌套文件夹。 匹配通配符和命名文件夹的数量后,还包括所有子文件夹。 |
C:\MyData\*.txt 包括 C:\MyData\notes.txt C:\somepath\*\Data 包括 中 C:\somepath\Archives\Data 及其子文件夹中的任何文件,以及 C:\somepath\Authorized\Data 及其子文件夹C:\Serv\*\*\Backup 包括 中 C:\Serv\Primary\Denied\Backup 及其子文件夹中的任何文件,以及 C:\Serv\Secondary\Allowed\Backup 及其子文件夹 |
? (问号) 在 文件名和文件扩展名包含中,问号将替换单个字符,并且仅适用于参数中定义的最后一个文件夹中的文件。 在 文件夹排除项中,问号替换文件夹名称中的单个字符。 匹配通配符和命名文件夹的数量后,还包括所有子文件夹。 |
C:\MyData\my?.zip 包括 C:\MyData\my1.zip C:\somepath\?\Data 包括 中的任何 C:\somepath\P\Data 文件及其子文件夹中C:\somepath\test0?\Data 将包含 中 C:\somepath\test01\Data 及其子文件夹中的任何文件 |
| 环境变量 计算排除项时,定义的变量将填充为路径。 |
%ALLUSERSPROFILE%\CustomLogFiles 将包括 C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
| 混合和匹配 环境变量 * 和 ? 可以合并为单个排除项 |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe 将包括 c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
重要
如果将文件排除参数与文件夹排除参数混合使用,规则将停止在匹配文件夹中的文件参数匹配,并且不会在任何子文件夹中查找文件匹配项。
例如,可以通过使用规则参数 c:\data\*\marked\date*排除文件夹中c:\data\final\markedc:\data\review\marked以“date”开头的所有文件。
此参数与 或 c:\data\review\marked下的c:\data\final\marked子文件夹中的任何文件都不匹配。
系统环境变量
下表列出了并描述了系统帐户环境变量。
| 此系统环境变量... | 重定向到此 |
|---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
查看排除项列表
可以使用以下方法之一检索排除列表中的项:
重要
使用 组策略 进行的排除列表更改将显示在Windows 安全中心应用列表中。 Windows 安全中心应用中所做的更改不会显示在组策略列表中。
如果使用 PowerShell,可以通过以下两种方式检索列表:
- 检索所有Microsoft Defender防病毒首选项的状态。 每个列表显示在单独的行上,但每个列表中的项合并到同一行中。
- 将所有首选项的状态写入变量,并使用该变量仅调用你感兴趣的特定列表。 每次使用
Add-MpPreference都会写入新行。
使用 MpCmdRun 验证排除列表
若要使用专用命令行工具 mpcmdrun.exe检查排除项,请使用以下命令:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
注意
使用 MpCmdRun 检查排除项需要Microsoft Defender防病毒版本 4.18.2111-5.0 (于 2021 年 12 月发布) 或更高版本。
使用 PowerShell 查看排除项列表以及所有其他Microsoft Defender防病毒首选项
使用以下 cmdlet:
Get-MpPreference
在以下示例中,突出显示了列表中包含的 ExclusionExtension 项:
有关详细信息,请参阅使用 PowerShell cmdlet 配置并运行 Microsoft Defender 防病毒软件和 Defender for Cloud cmdlet。
使用 PowerShell 检索特定的排除列表
使用以下代码片段 (输入每行作为单独的命令) :将 WDAVprefs 替换为要命名变量的任何标签:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
在以下示例中,每次使用 Add-MpPreference cmdlet 时,该列表被拆分为新行:
有关详细信息,请参阅使用 PowerShell cmdlet 配置并运行 Microsoft Defender 防病毒软件和 Defender for Cloud cmdlet。
使用 EICAR 测试文件验证排除列表
可以通过将 PowerShell 与 Invoke-WebRequest cmdlet 或 .NET WebClient 类结合使用来下载测试文件来验证排除列表是否正常工作。
在以下 PowerShell 代码片段中,将 替换为 test.txt 符合排除规则的文件。 例如,如果要排除扩展, .testing 请将 替换为 test.txttest.testing。 如果要测试路径,请确保在该路径中运行 cmdlet。
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
如果Microsoft Defender防病毒报告恶意软件,则规则不起作用。 如果没有恶意软件报告,并且下载的文件存在,则排除有效。 可以打开该文件以确认内容与 EICAR 测试文件网站上所述的内容相同。
还可以使用以下 PowerShell 代码,该代码调用 .NET WebClient 类来下载测试文件 - 与 cmdlet 一样 Invoke-WebRequest ;将 替换为 c:\test.txt 符合要验证的规则的文件:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
如果没有 Internet 访问权限,可以使用以下 PowerShell 命令将 EICAR 字符串写入新文本文件,从而创建自己的 EICAR 测试文件:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
还可以将字符串复制到空白文本文件中,并尝试使用文件名或尝试排除的文件夹中保存该字符串。
另请参阅
- 在防病毒扫描中配置和验证Microsoft Defender排除项
- 配置并验证进程打开的文件的排除项
- 在 Windows Server 上配置Microsoft Defender防病毒排除项
- 定义排除时要避免的常见错误
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。