Настройка и проверка исключений на основе расширения файла и расположения папки

Вы можете определить исключения для Microsoft Defender антивирусной программы, которые применяются к запланированным проверкам, проверкам по запросу и постоянной защите и мониторингу в режиме реального времени. Как правило, вам не нужно применять исключения. Если необходимо применить исключения, можно выбрать один из следующих типов:

Важно!

  • Исключения Microsoft Defender Antivirus применяются к некоторым правилам уменьшения поверхности атаки (ASR). Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.
  • Файлы, исключенные с помощью методов, описанных в этой статье, по-прежнему могут вызывать оповещения системы обнаружения и реагирования на конечных точках (EDR) и другие срабатывания. Чтобы исключить файлы в широком масштабе, добавьте их в пользовательские индикаторы Microsoft Defender для конечной точки.
  • Microsoft Defender антивирусная программа получает сведения из системных переменных среды, а не из переменных среды пользователя. Таким образом, переменные среды, такие как %USERPROFILE% , скорее всего, интерпретируются иначе, чем ожидалось. Дополнительные сведения см. в разделе Системные переменные среды этой статьи.

Предварительные условия

Поддерживаемые операционные системы

Исключения расширений файлов и папок, описанные в этой статье, поддерживаются в следующих операционных системах:

  • Windows

Перед началом

См . раздел Рекомендации по определению исключений перед определением списков исключений.

Типы списков исключений для расширений и папок файлов

Чтобы исключить определенные файлы из Microsoft Defender антивирусной проверки, измените списки исключений. антивирусная программа Microsoft Defender включает множество автоматических исключений на основе известных действий операционной системы и типичных файлов управления. Например, вы можете:

  • Файлы, используемые в управлении предприятием.
  • Файлы, используемые в управлении базами данных.
  • Файлы, используемые в других корпоративных сценариях.

Примечание.

Исключения также применяются к обнаружениям потенциально нежелательных приложений (PUA). Автоматические исключения применяются только к Windows Server 2016 и более поздним версиям. Эти исключения не отображаются в приложении Безопасность Windows и в PowerShell.

В следующей таблице перечислены некоторые примеры исключений на основе расширения файла и расположения папки.

Исключения Примеры Список исключений
Любой файл с определенным расширением Все файлы с указанным расширением в любом месте компьютера.

Допустимый синтаксис: .test и test
Исключения для расширений
Любой файл или папка в определенной папке Все файлы и папки в папке c:\test\sample Исключения файлов и папок
Определенный файл в определенной папке Только файл c:\sample\sample.test Исключения файлов и папок
Определенный процесс Исполняемый файл c:\test\process.exe Исключения файлов и папок

Характеристики списков исключений

Списки исключений имеют следующие характеристики:

  • Исключения для папок применяются ко всем файлам и папкам в этой папке, если только подпапка не является точкой повторной обработки. Необходимо отдельно исключить вложенные папки точек повторного выполнения.
  • Исключения расширений файлов применяются к любому файлу с этим расширением, если путь или папка также не указаны.

Важные примечания об исключениях на основе расширений файлов и расположений папок

При определении исключений по расширению файла или расположению папки следует учитывать следующие рекомендации.

Настройка списка исключений на основе имени папки или расширения файла

Для определения исключений для антивирусной программы Microsoft Defender можно использовать следующие методы.

Использование Intune для настройки исключений имен файлов, папок или расширений файлов

Дополнительные сведения см. в следующей статье:

Использование Configuration Manager для настройки исключений имен файлов, папок или расширений файлов

Дополнительные сведения см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры исключения.

Используйте групповую политику, чтобы настроить исключения для папок или расширений файлов

Примечание.

Если исключение задает полный путь к файлу, то исключается только этот файл в этом расположении. Если исключение указывает папку, то все файлы и вложенные папки в ней исключаются.

  1. Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

  2. В редакторе управления групповая политикаперейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.

  3. Разверните дерево до Компоненты Windows>Антивирусная программа Microsoft Defender>Исключения.

  4. Откройте параметр Исключения пути для редактирования и добавьте исключения.

    1. Задайте для параметра значение Включено.

    2. В разделе Параметры выберите Показать.

    3. Укажите каждую папку в отдельной строке в столбце Имя значения .

    4. Если вы указываете файл, обязательно введите полный путь к файлу, включая букву диска, путь к папке, имя файла и расширение.

    5. Введите 0 в столбце Значение .

    6. Нажмите кнопку OK.

    7. Откройте параметр Исключения расширений для редактирования и добавьте исключения.

    8. Задайте для параметра значение Включено.

    9. В разделе Параметры выберите Показать.

    10. Введите расширение каждого файла в отдельной строке в столбце Имя значения .

    11. Введите 0 в столбце Значение .

    12. Нажмите кнопку OK.

Использование командлетов PowerShell для настройки исключений имен файлов, папок или расширений файлов

Используйте следующие командлеты в модуле Defender (модуль PowerShell, предоставляющий командлеты управления антивирусной программой Microsoft Defender) для управления исключениями:

  • Set-MpPreference: создание или замена списка исключений.

    Важно!

    Если вы уже создали список исключений с помощью командлетов Set-MpPreference или Add-MpPreference, то при следующем использовании Set-MpPreference существующий список исключений перезаписывается указанными вами записями.

  • Add-MpPreference: добавление записей в существующий список исключений.

  • Remove-MpPreference: удалите записи из существующего списка исключений.

Используйте следующие параметры для этих командлетов:

  • ExcludeExtension: исключить файлы с указанным расширением. Используйте следующий синтаксис: "Extension1","Extension2"..."ExtensionN".

  • ExclusionPath:

    • Исключите указанный файл по указанному пути.

      или

    • Исключите все файлы в указанной папке (включая файлы во вложенных папках).

    Используйте следующий синтаксис: "Entry1","Entry2",..."EntryN".

Например, следующая команда добавляет расширение файла .test в список исключений, чтобы антивирусная программа Microsoft Defender пропускала файлы с этим расширением во время проверок:

Add-MpPreference -ExclusionExtension ".test"

Дополнительные сведения см. в статье Настройка и запуск Microsoft Defender антивирусной программы с помощью командлетов PowerShell.

Использование инструментария управления Windows (WMI) для настройки исключений имен файлов, папок или расширений файлов

Используйте методы Set, Add и Removeкласса MSFT_MpPreference для следующих свойств:

  • ExclusionExtension
  • ExclusionPath

Методы Set, Add и Remove в классе MSFT_MpPreference аналогичны командлетам Set-MpPreference, Add-MpPreference и Remove-MpPreference в модуле Defender в PowerShell.

Дополнительные сведения см. в разделе API WMIv2 в Защитнике Windows.

Использование приложения Безопасность Windows для настройки исключений имен файлов, папок или расширений файлов

Дополнительные сведения см. в разделе Добавление исключений в приложение Безопасность Windows.

Используйте подстановочные знаки в списках исключений имен файлов и путей к папкам или расширений

Вы можете использовать звездочку *, вопросительный знак ?или переменные среды (например, %ALLUSERSPROFILE%) в качестве подстановочных знаков для исключений имени файла или пути к папке. Можно комбинировать *, ? и переменные среды в одном исключении.

То, как антивирусная программа Microsoft Defender интерпретирует подстановочные знаки, отличается от обычного использования в других приложениях и языках:

  • Служба антивирусной Microsoft Defender запускается в системном контексте с помощью учетной записи LocalSystem. Служба получает сведения из системных переменных среды, а не из переменных среды пользователя . Используйте в качестве подстановочных знаков только следующие типы переменных среды:
    • Системные переменные среды.
    • Переменные среды, применяемые к процессам, выполняющимся в качестве учетной записи NT AUTHORITY\SYSTEM.
  • Для каждой записи можно использовать не более шести подстановочных знаков.
  • Вместо буквы диска нельзя использовать подстановочный знак.
  • Звездочка * в исключении папки указывает на одну папку. Используйте несколько экземпляров \*\ для обозначения нескольких вложенных папок с неуказанными именами.

В следующей таблице описано, как можно использовать подстановочные знаки, и приведены некоторые примеры.

Подстановочный знак Примеры
* (звездочка)

Имена файлов и расширения файлов: заменяет любое количество символов и применяется только к файлам в последней папке, определенной в записи.

Исключения папок: заменяет одну папку. Используйте несколько * с косыми чертами \ папок, чтобы указать несколько вложенных папок. После того как количество папок, заданных с помощью подстановочных знаков, и именованных папок совпадает, включаются также все вложенные папки.
C:\MyData\*.txt включает C:\MyData\notes.txt.

C:\somepath\*\Data включает любой файл в C:\somepath\Archives\Data и его вложенные папки, а также в C:\somepath\Authorized\Data и его вложенные папки.

C:\Serv\*\*\Backup включает любой файл в C:\Serv\Primary\Denied\Backup и его вложенные папки, а также в C:\Serv\Secondary\Allowed\Backup и его вложенные папки.
? (вопросительный знак)

Имена файлов и расширения файлов: заменяет один символ и применяется только к файлам в последней папке, указанной в записи.

Исключения папок: заменяет один символ в имени папки. После сопоставления количества папок с подстановочными знаками и именованных папок также включаются все вложенные папки.
C:\MyData\my?.zip включает C:\MyData\my1.zip.

C:\somepath\?\Data включает любой файл в C:\somepath\P\Data и его вложенные папки.

C:\somepath\test0?\Data включает любой файл в C:\somepath\test01\Data и его вложенные папки.
Переменные среды

Указанная переменная заполняется в виде пути при вычислении исключения.
%ALLUSERSPROFILE%\CustomLogFiles включает C:\ProgramData\CustomLogFiles\Folder1\file1.txt.
Комбинируйте и сочетайте

Вы можете объединить переменные среды, * и ? в одной записи исключения.
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe включать C:\Program Files\Contoso Labs\v1\bin\contoso.exe.

Важно!

Если вы смешиваете исключение файла с исключением папки, правила останавливаются на совпадении исключения файлов в соответствующей папке и не будут искать совпадения файлов во вложенных папках.

Например, c:\data\*\marked\date* исключает все файлы, имена которых начинаются с "date", в папках c:\data\final\marked и c:\data\review\marked, но не в их подпапках.

Системные переменные среды

В следующей таблице перечислены переменные среды системных учетных записей и соответствующие расположения по умолчанию. Некоторые из этих расположений отличаются от соответствующих переменных среды учетной записи пользователя.

Переменная системной среды Перенаправляет в это место
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Просмотр списка исключений

Важно!

Изменения, внесенные вами в список исключений с помощью групповой политики, отображаются в списках приложения Безопасность Windows. Изменения, которые вы вносите в список исключений в приложении "Безопасность Windows", не отображаются в списках групповой политики.

Элементы в списке исключений можно получить с помощью одного из следующих методов:

Проверка исключения указанного пути с помощью MpCmdRun

Вы можете использовать программу командной строкиMpCmdRun.exe в антивирусной программе Microsoft Defender версии 4.18.2111-5.0 или более поздней (декабрь 2021 г.), чтобы проверить, исключены ли определенные пути к папкам или файлам и папкам, выполнив следующие команды в командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора):

Совет

Первая команда изменяет каталог на последнюю версию платформы< защиты от вредоносных >программ в %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в %ProgramFiles%\Windows Defender.

(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -CheckExclusion -Path <PathAndFile or Path>

Например, команда MpCmdRun.exe -CheckExclusion -Path C:\Data\Test возвращает следующие выходные данные:

  • Путь исключен:

    C:\Data\Test [\Device\HarddiskVolume1\Data\Test] исключён. Код выхода — 0.

  • Путь не исключен:

    C:\Data\Test [\Device\HarddiskVolume1\Data\Test] не исключён. Код выхода — 1.

Получение исключений с помощью PowerShell

Следующая команда получает из параметров Microsoft Defender Antivirus все настроенные в настоящее время исключения по расширениям файлов и путям и отображает их по типу. Выполните команду в окне PowerShell с повышенными привилегиями:

$p=Get-MpPreference; @(
  $p.ExclusionExtension | ForEach-Object {[pscustomobject]@{Type='ExclusionExtension'; Value=$_}}
  $p.ExclusionPath      | ForEach-Object {[pscustomobject]@{Type='ExclusionPath';      Value=$_}}
)

Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.

Проверка списков исключений с помощью тестового файла EICAR

Чтобы скачать тестовый файл, можно проверить работу списков исключений с помощью PowerShell с командлетом Invoke-WebRequest или классом .NET WebClient.

В следующей команде PowerShell замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключаете расширение .testing, замените test.txt на test.testing. Если вы тестируете путь, убедитесь, что вы выполняете командлет в этом пути.

Следующая команда скачивает безвредный антивирусный файл EICAR, чтобы убедиться, что исключение предотвращает обнаружение антивирусной программы Microsoft Defender:

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Если Microsoft Defender антивирусная программа сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.

Кроме того, можно использовать класс .NET WebClient для скачивания того же тестового файла EICAR, если Invoke-WebRequest он недоступен. Замените c:\test.txt путь к файлу, соответствующий правилу исключения, которое вы проверяете:

$client = new-object System.Net.WebClient

$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Если у вас нет доступа к Интернету, вы можете создать тестовый файл EICAR локально, не скачав его. Следующая команда PowerShell записывает стандартную тестовую строку EICAR непосредственно в текстовый файл на диске, который можно использовать, чтобы проверить, обнаруживает ли антивирусная программа Microsoft Defender этот файл или исключает его:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.

См. также

Дополнительные сведения об исключениях антивирусной программы Microsoft Defender см. в следующих статьях: