Настройка и проверка исключений на основе расширения файла и расположения папки

  • Применяется к: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Вы можете определить исключения для Microsoft Defender антивирусной программы, которые применяются к запланированным проверкам, проверкам по запросу и постоянной защите и мониторингу в режиме реального времени. Как правило, вам не нужно применять исключения. Если необходимо применить исключения, можно выбрать один из следующих типов:

Важно!

  • Microsoft Defender исключения антивирусной программы применяются к некоторым возможностям Microsoft Defender для конечной точки (например, к правилам сокращения направлений атак (ASR). Некоторые Microsoft Defender исключения антивирусной программы применяются к некоторым правилам ASR. Дополнительные сведения см. в статье Справочник по правилам сокращения направлений атак.
  • Исключенные файлы по-прежнему могут активировать оповещения обнаружения и реагирования конечных точек (EDR) и другие обнаружения. Чтобы исключить файлы в целом, добавьте их в Microsoft Defender для конечной точки пользовательские индикаторы.
  • Microsoft Defender антивирусная программа получает сведения из системных переменных среды, а не из переменных среды пользователя. Таким образом, переменные среды, такие как %USERPROFILE% , скорее всего, интерпретируются иначе, чем ожидалось. Дополнительные сведения см. в разделе Системные переменные среды этой статьи.

Предварительные условия

Поддерживаемые операционные системы

  • Windows

Подготовка к работе

См . раздел Рекомендации по определению исключений перед определением списков исключений.

Списки исключений

Чтобы исключить определенные файлы из Microsoft Defender антивирусной проверки, измените списки исключений. антивирусная программа Microsoft Defender включает множество автоматических исключений на основе известных действий операционной системы и типичных файлов управления. Например, вы можете:

  • Files используется в управлении предприятием.
  • Files используется в управлении базами данных.
  • Files используется в других корпоративных сценариях.

Примечание.

Исключения также применяются к потенциально нежелательным приложениям (PUA ). Автоматические исключения применяются только к Windows Server 2016 и более поздним версиям. Эти исключения не отображаются в приложении Безопасность Windows и в PowerShell.

В следующей таблице перечислены некоторые примеры исключений на основе расширения файла и расположения папки.

Исключения Примеры Список исключений
Любой файл с определенным расширением Все файлы с указанным расширением в любом месте компьютера.

Допустимый синтаксис: .test и test		 Исключения расширений
Любой файл или папка в определенной папке Все файлы и папки в папке c:\test\sample Исключения файлов и папок
Определенный файл в определенной папке Только файл c:\sample\sample.test Исключения файлов и папок
Определенный процесс Исполняемый файл c:\test\process.exe Исключения файлов и папок

Характеристики списков исключений

  • Исключения папок применяются ко всем файлам и папкам в этой папке, если вложенная папка не является точкой повторного обработки. Необходимо отдельно исключить вложенные папки точек повторного выполнения.
  • Исключения расширений файлов применяются к любому файлу с этим расширением, если путь или папка также не указаны.

Важные примечания об исключениях на основе расширений файлов и расположений папок

Настройка списка исключений на основе имени папки или расширения файла

Для определения исключений для антивирусной программы Microsoft Defender можно использовать следующие методы.

Использование Intune для настройки исключений имен файлов, папок или расширений файлов

Дополнительные сведения см. в следующей статье:

Использование Configuration Manager для настройки исключений имен файлов, папок или расширений файлов

Дополнительные сведения см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры исключения.

Использование групповая политика для настройки исключений расширений папок или файлов

Примечание.

Если исключение задает полный путь к файлу, то исключается только этот файл в этом расположении. Если исключение указывает папку, то все файлы и вложенные папки в ней исключаются.

  1. Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

  2. В редакторе управления групповая политикаперейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.

  3. Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Исключения антивирусной программы>.

  4. Откройте параметр Исключения пути для редактирования и добавьте исключения.

    1. Задайте для параметра значение Включено.

    2. В разделе Параметры выберите Показать.

    3. Укажите каждую папку в отдельной строке в столбце Имя значения .

    4. Если вы указываете файл, обязательно введите полный путь к файлу, включая букву диска, путь к папке, имя файла и расширение.

    5. Введите 0 в столбце Значение .

    6. Нажмите кнопку OK.

    7. Откройте параметр Исключения расширений для редактирования и добавьте исключения.

    8. Задайте для параметра значение Включено.

    9. В разделе Параметры выберите Показать.

    10. Введите расширение каждого файла в отдельной строке в столбце Имя значения .

    11. Введите 0 в столбце Значение .

    12. Нажмите кнопку OK.

Использование командлетов PowerShell для настройки исключений имен файлов, папок или расширений файлов

Используйте следующие командлеты в модуле Defender для управления исключениями:

  • Set-MpPreference: создание или замена списка исключений.

    Важно!

    Если вы уже создали список исключений с помощью командлетов Set-MpPreference или Add-MpPreference, то при следующем использовании Set-MpPreference существующий список исключений перезаписывается указанными вами записями.

  • Add-MpPreference: добавление записей в существующий список исключений.

  • Remove-MpPreference: удалите записи из существующего списка исключений.

Используйте следующие параметры в этих командлетах:

  • ExcludeExtension: исключить файлы с указанным расширением. Используйте следующий синтаксис: "Extension1","Extension2"..."ExtensionN".

  • ExclusionPath:

    • Исключите указанный файл по указанному пути.

      или

    • Исключите все файлы в указанной папке (включая файлы во вложенных папках).

    Используйте следующий синтаксис: "Entry1","Entry2",..."EntryN".

В этом примере любой файл с расширением .test исключается из Microsoft Defender антивирусной проверки:

Add-MpPreference -ExclusionExtension ".test"

Дополнительные сведения см. в статье Настройка и запуск Microsoft Defender антивирусной программы с помощью командлетов PowerShell.

Использование инструментария управления Windows (WMI) для настройки исключений имен файлов, папок или расширений файлов

Используйте методы Set, Add и Removeкласса MSFT_MpPreference для следующих свойств:

  • ExclusionExtension
  • ExclusionPath

Методы Set, Add и Remove в классе MSFT_MpPreference аналогичны командлетам Set-MpPreference, Add-MpPreference и Remove-MpPreference в модуле Defender в PowerShell.

Дополнительные сведения см. в разделе API WMIv2 в Защитнике Windows.

Использование приложения Безопасность Windows для настройки исключений имен файлов, папок или расширений файлов

Дополнительные сведения см. в разделе Добавление исключений в приложение Безопасность Windows.

Использование подстановочных знаков в списках исключений имени файла и папки или расширений

Вы можете использовать звездочку *, вопросительный знак ?или переменные среды (например, %ALLUSERSPROFILE%) в качестве подстановочных знаков для исключений имени файла или пути к папке. Можно смешивать и сопоставлять *переменные среды , ?и в одном исключении.

То, как антивирусная программа Microsoft Defender интерпретирует подстановочные знаки, отличается от обычного использования в других приложениях и языках:

  • Служба антивирусной Microsoft Defender запускается в системном контексте с помощью учетной записи LocalSystem. Служба получает сведения из системных переменных среды, а не из переменных среды пользователя . Используйте в качестве подстановочных знаков только следующие типы переменных среды:
    • Системные переменные среды.
    • Переменные среды, применяемые к процессам, выполняющимся в качестве учетной записи NT AUTHORITY\SYSTEM.
  • Для каждой записи можно использовать не более шести подстановочных знаков.
  • Вместо буквы диска нельзя использовать подстановочный знак.
  • Звездочка * в исключении папки указывает на одну папку. Используйте несколько экземпляров для \*\ указания нескольких вложенных папок с неопределенными именами.

В следующей таблице описано, как можно использовать подстановочные знаки, и приведены некоторые примеры.

Подстановочный знак Примеры
* (звездочка)

Имена файлов и расширения файлов: заменяет любое количество символов и применяется только к файлам в последней папке, определенной в записи.

Исключения папок: заменяет одну папку. Используйте несколько * с косыми чертами \ папок, чтобы указать несколько вложенных папок. После сопоставления количества папок с подстановочными знаками и именованных папок также включаются все вложенные папки.		 C:\MyData\*.txtвключает .C:\MyData\notes.txt

C:\somepath\*\Data включает любой файл в C:\somepath\Archives\Data и его вложенные папки, а также в C:\somepath\Authorized\Data и его вложенные папки.

C:\Serv\*\*\Backup включает любой файл в C:\Serv\Primary\Denied\Backup и его вложенные папки, а также в C:\Serv\Secondary\Allowed\Backup и его вложенные папки.
? (вопросительный знак)

Имена файлов и расширения файлов: заменяет один символ и применяется только к файлам в последней папке, указанной в записи.

Исключения папок: заменяет один символ в имени папки. После сопоставления количества папок с подстановочными знаками и именованных папок также включаются все вложенные папки.		 C:\MyData\my?.zipвключает .C:\MyData\my1.zip

C:\somepath\?\Data включает любой файл в C:\somepath\P\Data и его вложенные папки.

C:\somepath\test0?\Data включает любой файл в C:\somepath\test01\Data и его вложенные папки.
Переменные среды

Указанная переменная заполняется в виде пути при вычислении исключения.		 %ALLUSERSPROFILE%\CustomLogFilesвключает .C:\ProgramData\CustomLogFiles\Folder1\file1.txt
Сочетание и соответствие

Переменные *среды, и ? можно объединить в одной записи исключения.		 %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe включит C:\Program Files\Contoso Labs\v1\bin\contoso.exe.

Важно!

Если вы смешиваете исключение файла с исключением папки, правила останавливаются на совпадении исключения файлов в соответствующей папке и не будут искать совпадения файлов во вложенных папках.

Например, исключает все файлы, c:\data\*\marked\date* которые начинаются с date в папках c:\data\final\marked и c:\data\review\marked, но не во вложенных папках этих папок.

Системные переменные среды

В следующей таблице перечислены переменные среды системных учетных записей и соответствующие расположения по умолчанию. Некоторые из этих расположений отличаются от соответствующих переменных среды учетной записи пользователя.

Переменная системной среды Перенаправления в это расположение
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Просмотр списка исключений

Элементы в списке исключений можно получить с помощью одного из следующих методов:

Важно!

Изменения в списке исключений, внесенные с помощью групповая политика отображаются в списках Безопасность Windows приложения. Изменения в списке исключений, внесенные в приложении Безопасность Windows, не отображаются в списках групповая политика.

Проверка исключения указанного пути с помощью MpCmdRun

Вы можете использовать программу командной строкиMpCmdRun.exe в антивирусной программе Microsoft Defender версии 4.18.2111-5.0 или более поздней (декабрь 2021 г.), чтобы проверить, исключены ли определенные пути к папкам или файлам и папкам, выполнив следующие команды в командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора):

Совет

Первая команда изменяет каталог на последнюю версию платформы> защиты от вредоносных <программ в %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в %ProgramFiles%\Windows Defender.

(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -CheckExclusion -Path <PathAndFile or Path>

Например, команда MpCmdRun.exe -CheckExclusion -Path C:\Data\Test возвращает следующие выходные данные:

  • Путь исключен:

    C:\Data\Test [\Device\HarddiskVolume1\Data\Test] исключен. Код выхода — 0.

  • Путь не исключен:

    C:\Data\Test [\Device\HarddiskVolume1\Data\Test] не исключен. Код выхода — 1.

Получение исключений с помощью PowerShell

Выполните следующие команды в окне PowerShell с повышенными привилегиями:

$p=Get-MpPreference; @(
  $p.ExclusionExtension | ForEach-Object {[pscustomobject]@{Type='ExclusionExtension'; Value=$_}}
  $p.ExclusionPath      | ForEach-Object {[pscustomobject]@{Type='ExclusionPath';      Value=$_}}
)

Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.

Проверка списков исключений с помощью тестового файла EICAR

Чтобы скачать тестовый файл, можно проверить работу списков исключений с помощью PowerShell с командлетом Invoke-WebRequest или классом .NET WebClient.

В следующей команде PowerShell замените test.txt файлом, соответствующим правилам исключения. Например, если вы исключаете .testing расширение, замените test.txttest.testingна . Если вы тестируете путь, убедитесь, что вы выполняете командлет в этом пути.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Если Microsoft Defender антивирусная программа сообщает о вредоносных программах, правило не работает. Если нет отчета о вредоносных программах и скачанный файл существует, исключение работает. Вы можете открыть файл, чтобы убедиться, что содержимое совпадает с тем, что описано на веб-сайте тестового файла EICAR.

Вы также можете использовать следующие команды PowerShell, которые вызывают класс .NET WebClient для скачивания тестового файла. Замените c:\test.txt файлом, который соответствует правилу, которое вы проверяете:

$client = new-object System.Net.WebClient

$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Если у вас нет доступа к Интернету, вы можете создать собственный тестовый файл EICAR, написав строку EICAR в новый текстовый файл с помощью следующей команды PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Вы также можете скопировать строку в пустой текстовый файл и попытаться сохранить ее с именем файла или в папке, которую вы пытаетесь исключить.

См. также

  • Last updated on