Настройка и проверка исключений на основе расширения файла и расположения папки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Вы можете определить исключения для Microsoft Defender антивирусной программы, которые применяются к запланированным проверкам, проверкам по запросу и постоянной защите и мониторингу в режиме реального времени. Как правило, вам не нужно применять исключения. Если необходимо применить исключения, можно выбрать один из следующих типов:
- Исключения на основе расширений файлов и расположений папок (описано в этой статье)
- Исключения для файлов, открытых процессами
Важно!
Microsoft Defender исключения антивирусной программы применяются к некоторым Microsoft Defender для конечной точки возможностям, таким как правила сокращения направлений атак. Некоторые исключения Microsoft Defender антивирусной программы применимы к некоторым исключениям правил ASR. См. статью Справочник по правилам сокращения направлений атак Microsoft Defender исключения антивирусной программы и правила ASR. Файлы, которые исключаются с помощью методов, описанных в этой статье, по-прежнему могут запускать оповещения обнаружения конечных точек и реагирования (EDR) и другие обнаружения. Чтобы широко исключить файлы, добавьте их в Microsoft Defender для конечной точки пользовательские индикаторы.
Подготовка к работе
См . раздел Рекомендации по определению исключений перед определением списков исключений.
Списки исключений
Чтобы исключить определенные файлы из Microsoft Defender антивирусной проверки, измените списки исключений. антивирусная программа Microsoft Defender включает множество автоматических исключений на основе известных действий операционной системы и типичных файлов управления, например тех, которые используются в управлении предприятием, управлении базами данных и других корпоративных сценариях.
Примечание.
Исключения также применяются к потенциально нежелательным приложениям (PUA ). Автоматические исключения применяются только к Windows Server 2016 и более поздним версиям. Эти исключения не отображаются в приложении Безопасность Windows и в PowerShell.
В следующей таблице перечислены некоторые примеры исключений на основе расширения файла и расположения папки.
| Исключения | Примеры | Список исключений |
|---|---|---|
| Любой файл с определенным расширением | Все файлы с указанным расширением в любом месте компьютера. Допустимый синтаксис: .test и test |
Исключения расширений |
| Любой файл в определенной папке | Все файлы в папке c:\test\sample |
Исключения файлов и папок |
| Определенный файл в определенной папке | Только файл c:\sample\sample.test |
Исключения файлов и папок |
| Определенный процесс | Исполняемый файл c:\test\process.exe |
Исключения файлов и папок |
Характеристики списков исключений
- Исключения папок применяются ко всем файлам и папкам в этой папке, если вложенная папка не является точкой повторного обработки. Вложенные папки точек повторного синтайза должны быть исключены отдельно.
- Расширения файлов применяются к любому имени файла с заданным расширением, если путь или папка не определены.
Важные примечания об исключениях на основе расширений файлов и расположений папок
Использование подстановочных знаков, таких как звездочка (*), изменяет способ интерпретации правил исключения. Важные сведения о работе подстановочных знаков см. в разделе Использование подстановочных знаков в именах файлов и папках или списках исключений расширений .
Не исключайте сопоставленные сетевые диски. Укажите фактический сетевой путь.
Папки, которые являются точками повторного анализа, создаются после запуска службы антивирусной программы Microsoft Defender, а те, которые были добавлены в список исключений, не включаются. Перезапустите службу, перезапустив Windows, чтобы новые точки повторного анализа были распознаны как допустимый целевой объект исключения.
Исключения применяются к запланированным проверкам, проверкам по запросу и защите в режиме реального времени, но не ко всем возможностям Defender для конечной точки. Чтобы определить исключения в Defender для конечной точки, используйте пользовательские индикаторы.
По умолчанию локальные изменения, внесенные в списки (пользователями с правами администратора, включая изменения, внесенные с помощью PowerShell и WMI), объединяются со списками, определенными (и развернутыми) групповая политика, Configuration Manager или Intune. Списки групповая политика имеют приоритет при возникновении конфликтов. Кроме того, изменения в списке исключений, внесенные с помощью групповая политика, отображаются в приложении Безопасность Windows.
Чтобы разрешить локальным изменениям переопределять параметры управляемого развертывания, настройте способ объединения списков исключений, определяемых локально и глобально.
Настройка списка исключений на основе имени папки или расширения файла
Для определения исключений для антивирусной программы Microsoft Defender можно выбрать один из нескольких методов.
Использование Intune для настройки исключений имен файлов, папок или расширений файлов
См. следующие статьи:
- Настройка параметров ограничений устройств в Microsoft Intune
- Microsoft Defender параметры ограничения антивирусных устройств для Windows 10 в Intune
Использование Configuration Manager для настройки исключений имен файлов, папок или расширений файлов
Дополнительные сведения о настройке Microsoft Configuration Manager (текущая ветвь) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры исключения.
Использование групповая политика для настройки исключений расширений папок или файлов
Примечание.
Если указать полный путь к файлу, то исключается только этот файл. Если папка определена в исключении, то все файлы и вложенные каталоги в этой папке исключаются.
Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.
В групповая политика управление Редакторперейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.
Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Исключения антивирусной программы>.
Откройте параметр Исключения пути для редактирования и добавьте исключения.
Задайте для параметра значение Включено.
В разделе Параметры выберите Показать.
Укажите каждую папку в отдельной строке в столбце Имя значения .
Если вы указываете файл, обязательно введите полный путь к файлу, включая букву диска, путь к папке, имя файла и расширение.
Введите 0 в столбце Значение .
Нажмите кнопку OK.
Откройте параметр Исключения расширений для редактирования и добавьте исключения.
Задайте для параметра значение Включено.
В разделе Параметры выберите Показать.
Введите расширение каждого файла в отдельной строке в столбце Имя значения .
Введите 0 в столбце Значение .
Нажмите кнопку OK.
Использование командлетов PowerShell для настройки исключений имен файлов, папок или расширений файлов
Использование PowerShell для добавления или удаления исключений для файлов на основе расширения, расположения или имени файла требует использования сочетания трех командлетов и соответствующего параметра списка исключений. Все командлеты находятся в модуле Defender.
Для командлетов используется следующий формат:
<cmdlet> -<exclusion list> "<item>"
В следующей таблице перечислены командлеты, которые можно использовать в <cmdlet> части командлета PowerShell:
| Действие настройки | Командлет PowerShell |
|---|---|
| Создание или перезапись списка | Set-MpPreference |
| Добавить в список | Add-MpPreference |
| Удаление элемента из списка | Remove-MpPreference |
В следующей таблице перечислены значения, которые можно использовать в <exclusion list> части командлета PowerShell:
| Тип исключения | Параметр PowerShell |
|---|---|
| Все файлы с указанным расширением | -ExclusionExtension |
| Все файлы в папке (включая файлы в подкаталогах) или определенный файл | -ExclusionPath |
Важно!
Если вы создали список с Set-MpPreference помощью или Add-MpPreference, с помощью командлета Set-MpPreference снова перезаписывает существующий список.
Например, следующий фрагмент кода приведет к исключению любого файла с расширением .test Microsoft Defender антивирусной программы:
Add-MpPreference -ExclusionExtension ".test"
Совет
Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.
Использование инструментария управления Windows (WMI) для настройки исключений имен файлов, папок или расширений файлов
Используйте методы Set, Add и Remove класса MSFT_MpPreference для следующих свойств:
ExclusionExtension
ExclusionPath
Использование команд Set, Add и Remove аналогично их аналогам в PowerShell: Set-MpPreference, Add-MpPreferenceи Remove-MpPreference.
Совет
Дополнительные сведения см. в разделе API WMIv2 в Защитнике Windows.
Использование приложения Безопасность Windows для настройки исключений имен файлов, папок или расширений файлов
Инструкции см. в разделе Добавление исключений в приложение Безопасность Windows.
Использование подстановочных знаков в списках исключений имени файла и папки или расширений
Вы можете использовать звездочку *, вопросительный знак ?или переменные среды (например %ALLUSERSPROFILE%, ) в качестве подстановочных знаков при определении элементов в списке исключений имени файла или пути к папке. Можно объединить и сопоставить * переменные и ? среды в одном исключении. Способ интерпретации этих подстановочных знаков отличается от их обычного использования в других приложениях и языках. Обязательно ознакомьтесь с этим разделом, чтобы понять их конкретные ограничения.
Важно!
Существуют ключевые ограничения и сценарии использования для этих подстановочных знаков:
- Использование переменных среды ограничено переменными компьютера и теми, которые применимы к процессам, выполняемым в качестве учетной записи NT AUTHORITY\SYSTEM.
- Для каждой записи можно использовать не более шести подстановочных знаков.
- Вместо буквы диска нельзя использовать подстановочный знак.
- Звездочка
*в исключении папки стоит на месте для одной папки. Используйте несколько экземпляров для\*\указания нескольких вложенных папок с неопределенными именами.
В следующей таблице описано, как можно использовать подстановочные знаки, и приведены некоторые примеры.
| Подстановочный знак | Примеры |
|---|---|
* (звездочка)В включениях имени файла и расширений файлов звездочка заменяет любое количество символов и применяется только к файлам в последней папке, определенной в аргументе . В исключениях папок звездочка заменяет одну папку. Используйте несколько * с косыми чертами \ папок, чтобы указать несколько вложенных папок. После сопоставления количества папок с подстановочными знаками и именованных папок также включаются все вложенные папки. |
C:\MyData\*.txt Включает C:\MyData\notes.txt C:\somepath\*\Data включает любой файл в C:\somepath\Archives\Data и его вложенные папки, а также C:\somepath\Authorized\Data его вложенные папкиC:\Serv\*\*\Backup включает любой файл в C:\Serv\Primary\Denied\Backup и его вложенные папки, а также C:\Serv\Secondary\Allowed\Backup его вложенные папки |
? (вопросительный знак)В включениях имени файла и расширений файлов вопросительный знак заменяет один символ и применяется только к файлам в последней папке, определенной в аргументе . В исключениях папок вопросительный знак заменяет один символ в имени папки. После сопоставления количества папок с подстановочными знаками и именованных папок также включаются все вложенные папки. |
C:\MyData\my?.zip Включает C:\MyData\my1.zip C:\somepath\?\Data включает любой файл в C:\somepath\P\Data и его вложенные папкиC:\somepath\test0?\Data будет включать любой файл в C:\somepath\test01\Data и его вложенные папки |
| Переменные среды Определенная переменная заполняется в виде пути при вычислении исключения. |
%ALLUSERSPROFILE%\CustomLogFiles будет включать C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
| Сочетание и соответствие Переменные * среды и ? могут быть объединены в одно исключение |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe будет включать c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Важно!
Если вы смешиваете аргумент исключения файла с аргументом исключения папки, правила останавливаются на совпадении аргументов файла в соответствующей папке и не будут искать совпадения файлов во всех вложенных папках.
Например, можно исключить все файлы, которые начинаются с "date" в папках c:\data\final\marked и c:\data\review\marked с помощью аргумента c:\data\*\marked\date*правила .
Этот аргумент не соответствует файлам во вложенных папках в c:\data\final\marked или c:\data\review\marked.
Системные переменные среды
В следующей таблице перечислены и описаны переменные среды системной учетной записи.
| Эта системная переменная среды... | Перенаправления на эту страницу |
|---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Просмотр списка исключений
Элементы в списке исключений можно получить с помощью одного из следующих методов:
Важно!
Изменения в списке исключений, внесенные с помощью групповая политика, будут отображаться в списках Безопасность Windows приложения. Изменения, внесенные в приложение Безопасность Windows, не будут отображаться в списках групповая политика.
При использовании PowerShell список можно получить двумя способами:
- Получите состояние всех Microsoft Defender настроек антивирусной программы. Каждый список отображается в отдельных строках, но элементы в каждом списке объединяются в одну строку.
- Запишите состояние всех настроек в переменную и используйте эту переменную, чтобы вызывать только конкретный список, который вас интересует. Каждое
Add-MpPreferenceиспользование записывается в новую строку.
Проверка списка исключений с помощью MpCmdRun
Чтобы проверка исключений с помощью выделенного средства командной строки mpcmdrun.exe, используйте следующую команду:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Примечание.
Для проверки исключений с MpCmdRunтребуется Microsoft Defender антивирусная версия 4.18.2111-5.0 (выпущенная в декабре 2021 г.) или более поздняя.
Просмотрите список исключений наряду со всеми остальными Microsoft Defender настройками антивирусной программы с помощью PowerShell
Используйте следующий командлет:
Get-MpPreference
В следующем примере элементы, содержащиеся в списке ExclusionExtension , выделены:
Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.
Получение определенного списка исключений с помощью PowerShell
Используйте следующий фрагмент кода (введите каждую строку как отдельную команду); замените WDAVprefs любой меткой, которую вы хотите назвать переменной:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
В следующем примере список разделен на новые строки для каждого использования командлета Add-MpPreference :
Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.
Проверка списков исключений с помощью тестового файла EICAR
Вы можете проверить, работают ли списки исключений, с помощью PowerShell с командлетом Invoke-WebRequest или классом .NET WebClient для скачивания тестового файла.
В следующем фрагменте кода PowerShell замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключаете .testing расширение, замените test.txttest.testingна . Если вы тестируете путь, убедитесь, что вы выполняете командлет в этом пути.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Если Microsoft Defender антивирусная программа сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.
Вы также можете использовать следующий код PowerShell, который вызывает класс .NET WebClient для скачивания тестового файла, как в Invoke-WebRequest командлете; замените c:\test.txt файлом, соответствующим проверяемому правилу:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Если у вас нет доступа к Интернету, вы можете создать собственный тестовый файл EICAR, написав строку EICAR в новый текстовый файл с помощью следующей команды PowerShell:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.
См. также
- Настройка и проверка исключений в Microsoft Defender проверки антивирусной программы
- Настройка и проверка исключений для файлов, открытых процессами
- Исключения в антивирусной программе в Microsoft Defender в системе Windows Server
- Распространенные ошибки, которых следует избегать при определении исключений
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.