配置 Microsoft Defender 防病毒的自定义排除项

  • 项目

适用于:

平台

  • Windows

通常,不需要为Microsoft Defender防病毒定义排除项。 但是,如有必要,可以从防病毒扫描 Microsoft Defender中排除文件、文件夹、进程和进程打开的文件。 这些类型的排除项称为自定义排除项。 本文介绍如何使用 Microsoft Intune 为 Microsoft Defender 防病毒定义自定义排除项,并包含指向其他资源的链接以获取详细信息。

自定义排除项适用于 计划扫描按需扫描以及 始终启用的实时保护和监视。 进程打开的文件的排除项仅适用于实时保护。

提示

有关 Microsoft Defender 防病毒和 Defender for Endpoint 的抑制、提交和排除的详细概述,请参阅 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项。

配置和验证排除

警告

请谨慎使用Microsoft Defender防病毒扩展。 请务必查看管理Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项中的信息。

如果使用 Microsoft Intune 管理Microsoft Defender防病毒或Microsoft Defender for Endpoint,请使用以下过程来定义排除项:

如果使用其他工具(例如Configuration Manager或组策略),或者想要有关自定义排除项的更多详细信息,请参阅以下文章:

在 Intune (中管理现有策略的防病毒排除)

  1. Microsoft Intune管理中心,选择“终结点安全>防病毒”,然后选择现有策略。 (如果没有现有策略,或者想要创建新策略,请跳到Create Intune.)

  2. 选择 “属性”,然后在 “配置设置”旁边选择 “编辑”。

  3. 展开Microsoft Defender防病毒排除项,然后指定排除项。

    • 排除的扩展 是按文件类型扩展名定义的排除项。 这些扩展名适用于具有定义扩展名且没有文件路径或文件夹的任何文件名。 必须用 | 字符分隔列表中的每种文件类型。 例如,lib|obj。 有关详细信息,请参阅 ExcludedExtensions
    • 排除的路径 是按其位置 (路径) 定义的排除项。 这些类型的排除也称为文件和文件夹排除。 使用 | 字符分隔列表中的每个路径。 例如,C:\Example|C:\Example1。 有关详细信息,请参阅 ExcludedPaths
    • 排除的进程 是某些进程打开的文件的排除项。 使用 | 字符分隔列表中的每种文件类型。 例如,C:\Example. exe|C:\Example1.exe。 这些排除项不适用于实际进程。 若要排除进程,可以使用文件和文件夹排除项。 有关详细信息,请参阅 ExcludedProcesses

  4. 选择“ 查看 + 保存”,然后选择“ 保存”。

Create Intune中排除项的新防病毒策略

  1. Microsoft Intune管理中心,选择“终结点安全性>防病毒>+ Create策略”。

  2. 选择平台 (,例如Windows 10、Windows 11和 Windows Server) 。

  3. 对于“配置文件”,请选择“Microsoft Defender防病毒排除项”,然后选择“Create”。

  4. “Create配置文件”步骤中,指定配置文件的名称和说明,然后选择“下一步”。

  5. “配置设置 ”选项卡上,指定防病毒排除项,然后选择“ 下一步”。

    • 排除的扩展 是按文件类型扩展名定义的排除项。 这些扩展名适用于具有定义扩展名且没有文件路径或文件夹的任何文件名。 使用 | 字符分隔列表中的每种文件类型。 例如,lib|obj。 有关详细信息,请参阅 ExcludedExtensions
    • 排除的路径 是按其位置 (路径) 定义的排除项。 这些类型的排除也称为文件和文件夹排除。 使用 | 字符分隔列表中的每个路径。 例如,C:\Example|C:\Example1。 有关详细信息,请参阅 ExcludedPaths
    • 排除的进程 是某些进程打开的文件的排除项。 使用 | 字符分隔列表中的每种文件类型。 例如,C:\Example. exe|C:\Example1.exe。 这些排除项不适用于实际进程。 若要排除进程,可以使用文件和文件夹排除项。 有关详细信息,请参阅 ExcludedProcesses

  6. 在“ 范围标记 ”选项卡上,如果在组织中使用范围标记,请为要创建的策略指定范围标记。 (请参阅 作用域标记。)

  7. 在“ 分配 ”选项卡上,指定应向其应用策略的用户和组,然后选择“ 下一步”。 (如果需要有关分配的帮助,请参阅在 Microsoft Intune.) 中分配用户和设备配置文件

  8. 在“查看 + 创建”选项卡上,查看设置,然后选择“Create”。

有关排除项的要点

定义排除项会降低 Microsoft Defender 防病毒提供的保护。 应始终评估与实施排除项相关的风险,并且只应排除你确信不是恶意的文件。

排除项直接影响Microsoft Defender防病毒阻止、修正或检查与添加到排除列表的文件、文件夹或进程相关的事件的能力。 自定义排除可能会影响直接依赖于防病毒引擎 (的功能,例如针对恶意软件、 文件 IOC证书 IOC) 的保护。 进程排除也会影响网络保护和攻击面减少规则。 具体而言,任何平台上的进程排除都会导致网络保护和 ASR 无法检查流量或强制实施该特定进程的规则。

定义排除项时,请记住以下几点:

  • 从技术上讲,排除是一个保护差距。 定义排除项时,请考虑所有选项。 请参阅 提交、抑制和排除

  • 定期查看排除项。 在评审过程中重新检查并重新强制实施缓解措施。

  • 理想情况下,避免在尝试主动时定义排除项。 例如,不要仅仅因为认为将来有问题而排除某些内容。 仅对特定问题使用排除项,例如与性能或应用程序兼容性相关的问题,排除项可以缓解。

  • 查看和审核对排除项列表的更改。 安全团队应保留有关为何添加特定排除项的上下文,以避免以后出现混淆。 安全团队应该能够提供有关排除原因的问题的具体答案。

审核 Exchange 系统上的防病毒排除项

自 2021 年 6 月 Exchange 季度汇报以来,Microsoft Exchange 一直支持与反恶意软件扫描接口 (AMSI) 集成 (请参阅) 在 Exchange 服务器上运行 Windows 防病毒软件。 强烈建议安装这些更新并确保 AMSI 正常工作。 请参阅Microsoft Defender防病毒安全智能和产品更新

出于性能原因,许多组织从防病毒扫描中排除 Exchange 目录。 Microsoft 建议审核 Exchange 系统上的防病毒排除Microsoft Defender,并评估是否可以在不影响环境中性能的情况下删除排除项,以确保最高级别的保护。 可以使用组策略、PowerShell 或Microsoft Intune等系统管理工具来管理排除项。

若要审核Exchange Server Microsoft Defender防病毒排除项,请从提升的 PowerShell 提示符运行 Get-MpPreference 命令。 (请参阅 Get-MpPreference.)

如果无法删除 Exchange 进程和文件夹的排除项,请记住,在 Microsoft Defender 防病毒中运行快速扫描会扫描 Exchange 目录和文件,而不考虑排除项。

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区