Поделиться через


Настройка и проверка исключений на основе расширения файла и расположения папки

Область применения:

Платформы

  • Windows

Вы можете определить исключения для Microsoft Defender антивирусной программы, которые применяются к запланированным проверкам, проверкам по запросу и постоянной защите и мониторингу в режиме реального времени. Как правило, вам не нужно применять исключения. Если необходимо применить исключения, можно выбрать один из следующих типов:

Важно!

Microsoft Defender исключения антивирусной программы применяются к некоторым Microsoft Defender для конечной точки возможностям, таким как правила сокращения направлений атак. Некоторые исключения Microsoft Defender антивирусной программы применимы к некоторым исключениям правил ASR. См. статью Справочник по правилам сокращения направлений атак Microsoft Defender исключения антивирусной программы и правила ASR. Файлы, которые исключаются с помощью методов, описанных в этой статье, по-прежнему могут запускать оповещения обнаружения конечных точек и реагирования (EDR) и другие обнаружения. Чтобы широко исключить файлы, добавьте их в Microsoft Defender для конечной точки пользовательские индикаторы.

Подготовка к работе

См . раздел Рекомендации по определению исключений перед определением списков исключений.

Списки исключений

Чтобы исключить определенные файлы из Microsoft Defender антивирусной проверки, измените списки исключений. антивирусная программа Microsoft Defender включает множество автоматических исключений на основе известных действий операционной системы и типичных файлов управления, например тех, которые используются в управлении предприятием, управлении базами данных и других корпоративных сценариях.

Примечание.

Исключения также применяются к потенциально нежелательным приложениям (PUA ). Автоматические исключения применяются только к Windows Server 2016 и более поздним версиям. Эти исключения не отображаются в приложении Безопасность Windows и в PowerShell.

В следующей таблице перечислены некоторые примеры исключений на основе расширения файла и расположения папки.

Исключения Примеры Список исключений
Любой файл с определенным расширением Все файлы с указанным расширением в любом месте компьютера.

Допустимый синтаксис: .test и test
Исключения расширений
Любой файл в определенной папке Все файлы в папке c:\test\sample Исключения файлов и папок
Определенный файл в определенной папке Только файл c:\sample\sample.test Исключения файлов и папок
Определенный процесс Исполняемый файл c:\test\process.exe Исключения файлов и папок

Характеристики списков исключений

  • Исключения папок применяются ко всем файлам и папкам в этой папке, если вложенная папка не является точкой повторного обработки. Вложенные папки точек повторного синтайза должны быть исключены отдельно.
  • Расширения файлов применяются к любому имени файла с заданным расширением, если путь или папка не определены.

Важные примечания об исключениях на основе расширений файлов и расположений папок

Настройка списка исключений на основе имени папки или расширения файла

Для определения исключений для антивирусной программы Microsoft Defender можно выбрать один из нескольких методов.

Использование Intune для настройки исключений имен файлов, папок или расширений файлов

См. следующие статьи:

Использование Configuration Manager для настройки исключений имен файлов, папок или расширений файлов

Дополнительные сведения о настройке Microsoft Configuration Manager (текущая ветвь) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры исключения.

Использование групповая политика для настройки исключений расширений папок или файлов

Примечание.

Если указать полный путь к файлу, то исключается только этот файл. Если папка определена в исключении, то все файлы и вложенные каталоги в этой папке исключаются.

  1. Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

  2. В групповая политика управление Редакторперейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.

  3. Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Исключения антивирусной программы>.

  4. Откройте параметр Исключения пути для редактирования и добавьте исключения.

    1. Задайте для параметра значение Включено.

    2. В разделе Параметры выберите Показать.

    3. Укажите каждую папку в отдельной строке в столбце Имя значения .

    4. Если вы указываете файл, обязательно введите полный путь к файлу, включая букву диска, путь к папке, имя файла и расширение.

    5. Введите 0 в столбце Значение .

    6. Нажмите кнопку OK.

  5. Откройте параметр Исключения расширений для редактирования и добавьте исключения.

    1. Задайте для параметра значение Включено.

    2. В разделе Параметры выберите Показать.

    3. Введите расширение каждого файла в отдельной строке в столбце Имя значения .

    4. Введите 0 в столбце Значение .

    5. Нажмите кнопку OK.

Использование командлетов PowerShell для настройки исключений имен файлов, папок или расширений файлов

Использование PowerShell для добавления или удаления исключений для файлов на основе расширения, расположения или имени файла требует использования сочетания трех командлетов и соответствующего параметра списка исключений. Все командлеты находятся в модуле Defender.

Для командлетов используется следующий формат:

<cmdlet> -<exclusion list> "<item>"

В следующей таблице перечислены командлеты, которые можно использовать в <cmdlet> части командлета PowerShell:

Действие настройки Командлет PowerShell
Создание или перезапись списка Set-MpPreference
Добавить в список Add-MpPreference
Удаление элемента из списка Remove-MpPreference

В следующей таблице перечислены значения, которые можно использовать в <exclusion list> части командлета PowerShell:

Тип исключения Параметр PowerShell
Все файлы с указанным расширением -ExclusionExtension
Все файлы в папке (включая файлы в подкаталогах) или определенный файл -ExclusionPath

Важно!

Если вы создали список с Set-MpPreference помощью или Add-MpPreference, с помощью командлета Set-MpPreference снова перезаписывает существующий список.

Например, следующий фрагмент кода приведет к исключению любого файла с расширением .test Microsoft Defender антивирусной программы:

Add-MpPreference -ExclusionExtension ".test"

Использование инструментария управления Windows (WMI) для настройки исключений имен файлов, папок или расширений файлов

Используйте методы Set, Add и Remove класса MSFT_MpPreference для следующих свойств:

ExclusionExtension
ExclusionPath

Использование команд Set, Add и Remove аналогично их аналогам в PowerShell: Set-MpPreference, Add-MpPreferenceи Remove-MpPreference.

Совет

Дополнительные сведения см. в разделе API WMIv2 в Защитнике Windows.

Использование приложения Безопасность Windows для настройки исключений имен файлов, папок или расширений файлов

Инструкции см. в разделе Добавление исключений в приложение Безопасность Windows.

Использование подстановочных знаков в списках исключений имени файла и папки или расширений

Вы можете использовать звездочку *, вопросительный знак ?или переменные среды (например %ALLUSERSPROFILE%, ) в качестве подстановочных знаков при определении элементов в списке исключений имени файла или пути к папке. Можно объединить и сопоставить * переменные и ? среды в одном исключении. Способ интерпретации этих подстановочных знаков отличается от их обычного использования в других приложениях и языках. Обязательно ознакомьтесь с этим разделом, чтобы понять их конкретные ограничения.

Важно!

Существуют ключевые ограничения и сценарии использования для этих подстановочных знаков:

  • Использование переменных среды ограничено переменными компьютера и теми, которые применимы к процессам, выполняемым в качестве учетной записи NT AUTHORITY\SYSTEM.
  • Для каждой записи можно использовать не более шести подстановочных знаков.
  • Вместо буквы диска нельзя использовать подстановочный знак.
  • Звездочка * в исключении папки стоит на месте для одной папки. Используйте несколько экземпляров для \*\ указания нескольких вложенных папок с неопределенными именами.

В следующей таблице описано, как можно использовать подстановочные знаки, и приведены некоторые примеры.

Подстановочный знак Примеры
* (звездочка)

В включениях имени файла и расширений файлов звездочка заменяет любое количество символов и применяется только к файлам в последней папке, определенной в аргументе .

В исключениях папок звездочка заменяет одну папку. Используйте несколько * с косыми чертами \ папок, чтобы указать несколько вложенных папок. После сопоставления количества папок с подстановочными знаками и именованных папок также включаются все вложенные папки.
C:\MyData\*.txt Включает C:\MyData\notes.txt

C:\somepath\*\Data включает любой файл в C:\somepath\Archives\Data и его вложенные папки, а также C:\somepath\Authorized\Data его вложенные папки

C:\Serv\*\*\Backup включает любой файл в C:\Serv\Primary\Denied\Backup и его вложенные папки, а также C:\Serv\Secondary\Allowed\Backup его вложенные папки
? (вопросительный знак)

В включениях имени файла и расширений файлов вопросительный знак заменяет один символ и применяется только к файлам в последней папке, определенной в аргументе .

В исключениях папок вопросительный знак заменяет один символ в имени папки. После сопоставления количества папок с подстановочными знаками и именованных папок также включаются все вложенные папки.
C:\MyData\my?.zip Включает C:\MyData\my1.zip

C:\somepath\?\Data включает любой файл в C:\somepath\P\Data и его вложенные папки

C:\somepath\test0?\Data будет включать любой файл в C:\somepath\test01\Data и его вложенные папки
Переменные среды

Определенная переменная заполняется в виде пути при вычислении исключения.
%ALLUSERSPROFILE%\CustomLogFiles будет включать C:\ProgramData\CustomLogFiles\Folder1\file1.txt
Сочетание и соответствие

Переменные * среды и ? могут быть объединены в одно исключение
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe будет включать c:\Program Files\Contoso Labs\v1\bin\contoso.exe

Важно!

Если вы смешиваете аргумент исключения файла с аргументом исключения папки, правила останавливаются на совпадении аргументов файла в соответствующей папке и не будут искать совпадения файлов во всех вложенных папках. Например, можно исключить все файлы, которые начинаются с "date" в папках c:\data\final\marked и c:\data\review\marked с помощью аргумента c:\data\*\marked\date*правила . Этот аргумент не соответствует файлам во вложенных папках в c:\data\final\marked или c:\data\review\marked.

Системные переменные среды

В следующей таблице перечислены и описаны переменные среды системной учетной записи.

Эта системная переменная среды... Перенаправления на эту страницу
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Просмотр списка исключений

Элементы в списке исключений можно получить с помощью одного из следующих методов:

Важно!

Изменения в списке исключений, внесенные с помощью групповая политика, будут отображаться в списках Безопасность Windows приложения. Изменения, внесенные в приложение Безопасность Windows, не будут отображаться в списках групповая политика.

При использовании PowerShell список можно получить двумя способами:

  • Получите состояние всех Microsoft Defender настроек антивирусной программы. Каждый список отображается в отдельных строках, но элементы в каждом списке объединяются в одну строку.
  • Запишите состояние всех настроек в переменную и используйте эту переменную, чтобы вызывать только конкретный список, который вас интересует. Каждое Add-MpPreference использование записывается в новую строку.

Проверка списка исключений с помощью MpCmdRun

Чтобы проверка исключений с помощью выделенного средства командной строки mpcmdrun.exe, используйте следующую команду:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Примечание.

Для проверки исключений с MpCmdRunтребуется Microsoft Defender антивирусная версия 4.18.2111-5.0 (выпущенная в декабре 2021 г.) или более поздняя.

Просмотрите список исключений наряду со всеми остальными Microsoft Defender настройками антивирусной программы с помощью PowerShell

Используйте следующий командлет:

Get-MpPreference

В следующем примере элементы, содержащиеся в списке ExclusionExtension , выделены:

Выходные данные PowerShell для Get-MpPreference

Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.

Получение определенного списка исключений с помощью PowerShell

Используйте следующий фрагмент кода (введите каждую строку как отдельную команду); замените WDAVprefs любой меткой, которую вы хотите назвать переменной:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

В следующем примере список разделен на новые строки для каждого использования командлета Add-MpPreference :

Выходные данные PowerShell, показывающие только записи в списке исключений

Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.

Проверка списков исключений с помощью тестового файла EICAR

Вы можете проверить, работают ли списки исключений, с помощью PowerShell с командлетом Invoke-WebRequest или классом .NET WebClient для скачивания тестового файла.

В следующем фрагменте кода PowerShell замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключаете .testing расширение, замените test.txttest.testingна . Если вы тестируете путь, убедитесь, что вы выполняете командлет в этом пути.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Если Microsoft Defender антивирусная программа сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.

Вы также можете использовать следующий код PowerShell, который вызывает класс .NET WebClient для скачивания тестового файла, как в Invoke-WebRequest командлете; замените c:\test.txt файлом, соответствующим проверяемому правилу:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Если у вас нет доступа к Интернету, вы можете создать собственный тестовый файл EICAR, написав строку EICAR в новый текстовый файл с помощью следующей команды PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.