一般來說,你不需要為 Microsoft Defender 防毒軟體定義排除事項。 不過,你可以排除檔案、資料夾、程序和程序開啟的檔案,排除在 Microsoft Defender 防毒掃描中。 這類排除事項稱為 自訂排除條款。 本文說明如何使用 Microsoft Intune 來定義 Microsoft Windows 中 Microsoft Defender 防毒軟體的自訂排除功能。
自訂排除條款適用於 排程掃描、 按需掃描以及 全天候即時保護與監控。 程序開啟檔案的排除僅適用於即時保護。
提示
- 關於 Microsoft Defender 防毒軟體與 Defender for Endpoint 的抑制、提交與排除事項的詳細概述,請參閱 適用於端點的 Microsoft Defender 與 Microsoft Defender 防毒軟體的排除事項。
- 如果你使用其他方式在 Windows (裝置上分發排除內容給 Microsoft Defender 防毒軟體,例如Microsoft Configuration Manager或群組原則) ,或你想了解更多關於自訂排除的資訊,請參考以下文章:
- 以下方法可用來保護裝置上設定的排除項目:
- 防毒軟體排除的干擾保護。
-
隱藏排除事項從本地管理員:
- 它不會移除裝置中現有的排除項目。
- 排除項目在 Get-MpPreference 或 Registry Editor 中無法顯示。
- HideExclusionsFromLocalUsers:若啟用 HideExclusionsFromLocalAdmins,則隱含啟用。
- 排除的檔案仍可在 Microsoft Defender 入口網站產生防毒警示。 例如,排除的檔案可以觸發行為或啟發式偵測。
必要條件
支援的作業系統
- Windows
關於排除條款的重要要點
-
注意
排除條款要節制使用。 排除條款技術上是一種保護缺口,會降低 Microsoft Defender 防毒軟體的防護。 在定義排除條款時,請考慮所有選項。 欲了解更多資訊,請參閱管理 適用於端點的 Microsoft Defender 與 Microsoft Defender 防毒的排除事項。
排除項目可能直接影響 Microsoft Defender 防毒軟體是否能阻擋、修復或檢查與排除檔案、資料夾或程序相關的事件。
定期檢視並審核排除事項。 在審查過程中重新檢查並強化緩解措施。 為避免混淆,資安團隊應保留為何需要某項排除的背景說明。
排除選項只針對特定問題 (例如效能或應用程式相容性) 。 不要因為覺得未來可能會有問題就排除它。
在 Intune 中建立 Microsoft Defender 防毒排除政策
要使用 Microsoft Defender 防毒排除設定檔在 Microsoft Intune 建立新的防毒政策,請執行以下步驟:
在 Microsoft Intune 管理中心https://intune.microsoft.com,請前往端點安全。
關於端點安全|概覽頁面,在管理區選防毒軟體。 或者,直接進入 端點安全 |防毒 頁面,請使用 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus。
在端點安全|防毒軟體頁面,在防毒政策區段選擇建立政策。
在開啟的 「建立設定檔 」飛出視窗中,請設定以下設定:
- 平台:選擇 視窗。
- 設定檔:選擇 Microsoft Defender 防毒病毒排除項目。
選取 [建立]。
建立 政策 精靈會打開。 在 基礎 標籤中,請設定以下設定:
- 名稱:輸入原則的唯一描述性名稱。
- 描述:輸入選擇性描述。
選取 [下一步]。
在 設定 標籤中,請設定以下部分或全部:
- 排除的副檔名 區塊:依檔案類型副名的排除。 排除條款適用於任何帶有該副檔名的檔案,不論地點為何。 欲了解更多資訊,請參閱 排除擴充功能。
- 排除路徑 章節:依地點排除 (路徑) 。 也稱為檔案與資料夾排除。 將每條路徑分開,每行進入一條路徑。 欲了解更多資訊,請參閱 排除路徑。
- 排除程序 區塊:指定程序開啟檔案的排除項目。 將清單中的每個檔案類型分開,每行用一種檔案類型。 流程本身並不被排除。 要排除程序,可以使用檔案和資料夾排除功能。 欲了解更多資訊,請參閱 排除程序。
要新增排除項目,請選擇 新增,然後在出現的方框中輸入該數值。 視需要重複此步驟多次。
提示
例如環境變數 (,
%USERPROFILE%) 在排除設定中不會被解讀。 我們建議使用明確的檔案路徑。要移除排除或空框,請勾選條目旁的勾選框,然後選擇 「移除」。
要匯入包含排除項目的 .csv 檔案,請選擇 匯入。
完成 設定 標籤後,選擇 「下一步」。
在 範圍標籤 標籤中,預設選擇了名為 Default 的範圍標籤,但你可以移除它並選擇其他現有 範圍標籤。 完成時,按 [下一步]。
在「 分配 」標籤中,點擊搜尋框或開始輸入團體名稱,然後從結果中選擇。
你可以選擇 「全部使用者 」或 「所有裝置」。
當你選擇自訂群組時,可以使用目標類型設定來包含或排除群組成員。
視需要重複此步驟多次。
完成 作業標籤後 ,選擇 「下一步」。
在 「Review + 建立 」分頁,檢視你的設定。 使用 返回 或選擇分頁來進行更改。
當你在 「Review + 建立 」分頁完成後,選擇 「儲存」。
回到端點安全 |防毒頁面,列出了新的防毒政策。 政策類型值為 Microsoft Defender 防毒病毒排除項目。
修改 Microsoft Defender 中的排除項目,在 Intune 中修改防毒排除政策
若要修改使用Microsoft Defender防毒排除設定檔的現有防毒Microsoft Intune政策,請執行以下步驟:
在 Microsoft Intune 管理中心https://intune.microsoft.com,請前往端點安全。
關於端點安全|概覽頁面,在管理區選防毒軟體。 或者,直接進入 端點安全 |防毒 頁面,請使用 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus。
在端點安全|防毒軟體頁面,在防毒政策區塊選擇一項政策,其中政策類型值為 Microsoft Defender 防毒病毒排除項目。
在打開的政策屬性頁面,選擇「 編輯 」選項中的 「設定設定」。
在開啟的編輯政策頁面的設定標籤中,新增或移除排除項目:
- 排除的副檔名 區塊:依檔案類型副名的排除。 排除條款適用於任何帶有該副檔名的檔案,不論地點為何。 欲了解更多資訊,請參閱 排除擴充功能。
- 排除路徑 章節:依地點排除 (路徑) 。 也稱為檔案與資料夾排除。 將每條路徑分開,每行進入一條路徑。 欲了解更多資訊,請參閱 排除路徑。
- 排除程序 區塊:指定程序開啟檔案的排除項目。 將清單中的每個檔案類型分開,每行用一種檔案類型。 流程本身並不被排除。 要排除程序,可以使用檔案和資料夾排除功能。 欲了解更多資訊,請參閱 排除程序。
要新增排除項目,請選擇 新增,然後在出現的方框中輸入該數值。 視需要重複此步驟多次。
要移除排除或空框,請勾選條目旁的勾選框,然後選擇 「移除」。
若要匯入包含新排除項目的 .csv 檔案,請選擇 匯入。
若要將現有排除資料匯出為 .csv 檔案,請選擇 匯出。
完成 設定 標籤後,選擇 「下一步」。
在 「評論」標籤中,檢視你的設定。 使用 返回 或選擇 設定 標籤來進行變更。
當你在 評論 標籤結束後,選擇 「儲存」。
回到政策屬性頁面,排除清單的更新可見於 Defender 的設定>區塊。
Exchange 伺服器上的防毒排除功能
2016 Microsoft Exchange Server 或以後版本支援與 AMSI) (反惡意軟體掃描介面整合。 欲了解更多資訊,請參閱 Exchange Server AMSI 整合。
許多組織為了效能考量,會將 Exchange Server 資料夾排除在防毒掃描之外。 Microsoft 建議在 Exchange 伺服器上審核 Microsoft Defender 防毒軟體的排除項目,並評估是否能在不影響效能的情況下移除排除項目。 你可以使用群組原則、PowerShell 或像 Microsoft Intune 這類系統管理工具來管理排除項目。
若要稽核 Exchange Server 上的 Microsoft Defender 防毒程式排除項目,請從提升的 PowerShell 提示字元執行 Get-MpPreference 指令。
如果你無法移除 Exchange 程序和資料夾的排除,請記得在 Microsoft Defender 防毒軟體中快速掃描會掃描 Exchange 目錄和檔案,無論有沒有排除。