設定 Microsoft Defender 防病毒軟體的自定義排除專案

  • 發行項

適用於:

平台

  • Windows

一般而言,您不應該定義 Microsoft Defender 防病毒軟體的排除專案。 不過,如有必要,您可以從 Microsoft Defender 防病毒軟體掃描中排除檔案、資料夾、進程和進程開啟的檔案。 這些類型的排除稱為自定義排除。 本文說明如何使用 Microsoft Intune 定義 Microsoft Defender 防病毒軟體的自定義排除專案,並包含其他資源的連結以取得詳細資訊。

自定義排除專案適用於 排程掃描隨選掃描,以及 一律開啟的即時保護和監視。 進程開啟檔案的排除範圍僅適用於實時保護。

提示

如需跨 Microsoft Defender 防病毒軟體和適用於端點的 Defender 的隱藏、提交和排除的詳細概觀,請參閱 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案。

設定及驗證排除範圍

注意

請謹慎使用 Microsoft Defender 防病毒軟體擴充功能。 請務必檢閱管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體排除項目中的資訊。

如果您使用 Microsoft Intune 來管理 Microsoft Defender 防病毒軟體或 適用於端點的 Microsoft Defender,請使用下列程式來定義排除專案:

如果您使用另一個工具,例如 Configuration Manager 或 群組原則,或您想要有關自定義排除專案的詳細資訊,請參閱下列文章:

管理現有原則 Intune (中的防病毒軟體排除)

  1. Microsoft Intune 系統管理中心,選擇 [端點安全>性防病毒軟體],然後選取現有的原則。 (如果您沒有現有的原則,或想要建立新的原則,請跳至 Create Intune 中排除的新防病毒軟體原則 )

  2. 選擇 [屬性],然後選擇 [ 組態設定] 旁的 [ 編輯]

  3. 展開 [Microsoft Defender 防病毒軟體排除專案],然後指定您的排除專案。

    • 排除的擴展名 是您依擴展名定義的排除專案。 這些擴展名適用於任何具有已定義擴展名但不含檔案路徑或資料夾的檔名。 分隔清單中的每個檔案類型都必須以 | 字元分隔。 例如,lib|obj。 如需詳細資訊,請參閱 ExcludedExtensions
    • 排除的路徑 是您根據其位置 (路徑) 定義的排除專案。 這些類型的排除也稱為檔案和資料夾排除。 使用字元分隔清單 | 中的每個路徑。 例如,C:\Example|C:\Example1。 如需詳細資訊,請參閱 ExcludedPaths
    • 排除的進程 是特定進程開啟之檔案的排除專案。 使用字元分隔清單 | 中的每個檔案類型。 例如,C:\Example. exe|C:\Example1.exe。 這些排除專案不適用於實際的進程。 若要排除進程,您可以使用檔案和資料夾排除專案。 如需詳細資訊,請參閱 ExcludedProcesses

  4. 選擇 [檢閱 + 儲存],然後選擇 [ 儲存]

Create 新的防病毒軟體原則,Intune

  1. Microsoft Intune 系統管理中心,選擇 [端點安全>性防病毒軟體>+ Create 原則]

  2. 選取平臺 (,例如 Windows 10、Windows 11 和 Windows Server) 。

  3. 針對 [配置檔],選取 [Microsoft Defender 防病毒軟體排除專案],然後選擇 [Create]

  4. [Create 配置檔] 步驟中,指定配置檔的名稱和描述,然後選擇 [下一步]

  5. 在 [ 組態設定] 索引標籤上 ,指定您的防病毒軟體排除專案,然後選擇 [ 下一步]

    • 排除的擴展名 是您依擴展名定義的排除專案。 這些擴展名適用於任何具有已定義擴展名但不含檔案路徑或資料夾的檔名。 使用字元分隔清單 | 中的每個檔案類型。 例如,lib|obj。 如需詳細資訊,請參閱 ExcludedExtensions
    • 排除的路徑 是您根據其位置 (路徑) 定義的排除專案。 這些類型的排除也稱為檔案和資料夾排除。 使用字元分隔清單 | 中的每個路徑。 例如,C:\Example|C:\Example1。 如需詳細資訊,請參閱 ExcludedPaths
    • 排除的進程 是特定進程開啟之檔案的排除專案。 使用字元分隔清單 | 中的每個檔案類型。 例如,C:\Example. exe|C:\Example1.exe。 這些排除專案不適用於實際的進程。 若要排除進程,您可以使用檔案和資料夾排除專案。 如需詳細資訊,請參閱 ExcludedProcesses

  6. 在 [ 範圍卷標] 索引 標籤上,如果您在組織中使用範圍標籤,請為您要建立的原則指定範圍標籤。 (請參閱 範圍標籤.)

  7. 在 [ 指派] 索引標籤 上,指定應套用您原則的使用者和群組,然後選擇 [ 下一步]。 (如果您需要指派的協助,請參閱在 Microsoft Intune.) 中指派使用者和裝置配置檔

  8. 在 [檢閱 + 建立] 索引標籤上,檢閱設定,然後選擇 [Create]

排除範圍的相關重點

定義排除專案可降低 Microsoft Defender 防病毒軟體所提供的保護。 您應該一律評估與實作排除專案相關聯的風險,而且應該只排除您確信不是惡意的檔案。

排除專案會直接影響 Microsoft Defender 防病毒軟體封鎖、補救或檢查與新增至排除清單的檔案、資料夾或進程相關的事件的能力。 自定義排除專案可能會影響直接相依於防病毒軟體引擎 (的功能,例如防範惡意代碼、 檔案IOC憑證IOC) 。 進程排除也會影響 網路保護受攻擊面縮小規則。 具體而言,任何平臺上的進程排除都會導致網路保護和 ASR 無法檢查流量,或強制執行該特定程序的規則。

當您定義排除專案時,請記住下列幾點:

  • 從技術上而言,排除範圍是保護差距。 定義排除專案時,請考慮您所有的選項。 請參閱提交、歸併和排除。

  • 定期檢閱排除專案。 重新檢查並重新強制執行風險降低,作為檢閱程式的一部分。

  • 在理想情況下,請避免在嘗試主動時定義排除專案。 例如,不要只因為您認為未來可能會有問題而排除某些專案。 僅針對特定問題使用排除專案,例如與排除專案可能降低效能或應用程式相容性的相關問題。

  • 檢閱和稽核排除清單的變更。 您的安全性小組應該保留新增特定排除範圍的原因內容,以避免稍後混淆。 您的安全性小組應該能夠提供有關排除為何存在問題的特定解答。

稽核 Exchange 系統上的防病毒軟體排除專案

自 Exchange (2021 年 6 月每季 匯報 起,Microsoft Exchange 已支援與反惡意代碼掃描介面 (AMSI) 整合,請參閱在 Exchange 伺服器上執行 Windows 防病毒軟體) 。 強烈建議您安裝這些更新,並確定AMSI正常運作。 請參閱 Microsoft Defender 防病毒軟體安全情報和產品更新

基於效能考慮,許多組織會將 Exchange 目錄從防病毒軟體掃描中排除。 Microsoft 建議在 Exchange 系統上稽核 Microsoft Defender 防病毒軟體排除專案,並評估是否可以移除排除專案,而不會影響您環境中的效能,以確保最高層級的保護。 您可以使用 群組原則、PowerShell 或系統管理工具來管理排除專案,例如 Microsoft Intune。

若要稽核 Exchange Server 上 Microsoft Defender 防病毒軟體排除專案,請從提升許可權的 PowerShell 提示字元執行 Get-MpPreference 命令。 (請參閱 Get-MpPreference.)

如果無法移除 Exchange 進程和資料夾的排除專案,請記住,在 Microsoft Defender 防病毒軟體中執行快速掃描會掃描 Exchange 目錄和檔案,而不論排除項目為何。

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。