Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Файлы, открытые определенными процессами, можно исключить из Microsoft Defender проверок антивирусной программы. Эти типы исключений относятся к файлам, которые открываются процессами, а не самими процессами. Чтобы исключить процесс, добавьте исключение файла (см . раздел Настройка и проверка исключений на основе расширения файла и расположения папки).
Перед определением списков исключений см. раздел Важные моменты об исключениях и ознакомьтесь со сведениями в статье Управление исключениями для Microsoft Defender для конечной точки и Microsoft Defender антивирусной программы.
В этой статье описывается настройка списков исключений.
Предварительные условия
Поддерживаемые операционные системы
- Windows
Примеры исключений процессов
| Исключения | Пример |
|---|---|
| Любой файл, открытый любым процессом с определенным именем файла |
test.exe исключает файлы, открытые:
|
| Любой файл, открытый любым процессом в определенной папке |
c:\test\sample\* исключает файлы, открытые:
|
| Любой файл, открытый определенным процессом в определенной папке |
c:\test\process.exeисключить файлы, открытые только.c:\test\process.exe |
При добавлении процесса в список исключений процессов антивирусная программа Microsoft Defender не сканирует файлы, открытые этим процессом, независимо от расположения файлов. Однако сам процесс сканируется, если он не добавлен в список исключений файлов.
Исключения применяются только к постоянной защите и мониторингу в режиме реального времени. Они не применяются к запланированным проверкам или проверкам по запросу.
Изменения, внесенные групповая политика в списки исключений, будут отображаться в списках в приложении Безопасность Windows. Однако изменения, внесенные в приложение Безопасность Windows, не будут отображаться в списках групповая политика.
Вы можете добавлять, удалять и просматривать списки на наличие исключений в групповая политика, Microsoft Configuration Manager, Microsoft Intune и с помощью приложения Безопасность Windows, а также использовать подстановочные знаки для дальнейшей настройки списков.
Вы также можете использовать командлеты PowerShell и WMI для настройки списков исключений, включая проверку списков.
По умолчанию локальные изменения, внесенные в списки (пользователями с правами администратора; изменения, внесенные с помощью PowerShell и WMI), объединяются со списками, определенными (и развернутыми) групповая политика, Configuration Manager или Intune. При возникновении конфликтов приоритет имеют списки групповая политика.
Вы можете настроить слияние локальных и глобально определенных списков исключений , чтобы разрешить локальным изменениям переопределять параметры управляемого развертывания.
Примечание.
На правила защиты сети и уменьшения направлений атак непосредственно влияют исключения процессов на всех платформах. Это означает, что исключение процесса в любой ОС (Windows, macOS, Linux) приводит к тому, что защита сети или ASR не смогут проверить трафик или применить правила для этого конкретного процесса.
Имя образа и полный путь для исключений процесса
Можно задать два разных типа исключений процессов. Процесс может быть исключен по имени образа или по полному пути. Имя образа — это просто имя файла процесса без пути.
Например, при выполнении процесса MyProcess.exe из C:\MyFolder\ полного пути к этому процессу будет иметь значение C:\MyFolder\MyProcess.exe , а имя образа — MyProcess.exe.
Исключения имен образов являются гораздо более широкими: исключение в MyProcess.exe исключает любые процессы с этим именем образа, независимо от пути, по которому они выполняются. Например, если процесс MyProcess.exe исключен по имени образа, он также будет исключен, если он выполняется с C:\MyOtherFolder, со съемных носителей и т. д. Поэтому рекомендуется по возможности использовать полный путь.
Использование подстановочных знаков в списке исключений процесса
Использование подстановочных знаков в списке исключений процесса отличается от их использования в других списках исключений. Если исключение процесса определено только как имя образа, использование подстановочных знаков запрещено. Однако при использовании полного пути поддерживаются подстановочные знаки и поведение с подстановочными знаками, как описано в разделе Исключения файлов и папок.
Также поддерживается использование переменных среды (например, %ALLUSERSPROFILE%) в качестве подстановочных знаков при определении элементов в списке исключений процесса. Подробные сведения и полный список поддерживаемых переменных среды описаны в разделе Исключения файлов и папок.
В следующей таблице описано, как можно использовать подстановочные знаки в списке исключений процесса при указании пути:
| Подстановочный знак | Пример использования | Примеры совпадений |
|---|---|---|
* (звездочка) Заменяет любое количество символов. |
C:\MyFolder\* |
Любой файл, открытый C:\MyFolder\MyProcess.exe или C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Любой файл, открытый C:\MyFolder1\MyFolder2\MyProcess.exe или C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Любой файл, открытый C:\MyOtherFolder\MyFolder\MyProcess.exe или C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (вопросительный знак) Заменяет один символ. |
C:\MyFolder\MyProcess??.exe |
Любой файл, открытый C:\MyFolder\MyProcess42.exe или C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe |
| Переменные среды | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Любой файл, открытый C:\ProgramData\MyFolder\MyProcess.exe |
Исключения контекстных процессов
Исключение процесса также может быть определено с помощью контекстного исключения , позволяющего, например, исключить конкретный файл только в том случае, если он открыт определенным процессом.
Настройка списка исключений для файлов, открытых указанными процессами
Используйте Microsoft Intune, чтобы исключить файлы, открытые указанными процессами, из проверок
Дополнительные сведения см. в разделах Настройка параметров ограничения устройств в Microsoft Intune и Microsoft Defender параметры ограничения антивирусных устройств для Windows 10 в Intune.
Используйте Microsoft Configuration Manager, чтобы исключить файлы, открытые указанными процессами, из проверок
Дополнительные сведения о настройке Microsoft Configuration Manager (текущая ветвь) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры исключения.
Используйте групповая политика, чтобы исключить файлы, открытые указанными процессами, из проверок
На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.
В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
Разверните дерево для компонентов > Windows Microsoft Defender исключения антивирусной программы>.
Дважды щелкните Обработать исключения и добавьте исключения:
- Задайте для параметра значение Включено.
- В разделе Параметры выберите Показать....
- Введите каждый процесс в отдельной строке в столбце Имя значения . Различные типы исключений процессов см. в таблице с примерами. Введите 0 в столбце Значение для всех процессов.
Нажмите OK.
Использование командлетов PowerShell для исключения файлов, открытых указанными процессами, из проверок
Использование PowerShell для добавления или удаления исключений для файлов, открытых процессами, требует использования сочетания трех командлетов с параметром -ExclusionProcess . Все командлеты находятся в модуле Defender.
Формат командлетов:
<cmdlet> -ExclusionProcess "<item>"
В качестве командлета> разрешено следующее<:
| Действие настройки | Командлет PowerShell |
|---|---|
| Создание или перезапись списка | Set-MpPreference |
| Добавить в список | Add-MpPreference |
| Удаление элементов из списка | Remove-MpPreference |
Важно!
Если вы создаете список с помощью или Set-MpPreferenceAdd-MpPreference, с помощью Set-MpPreferenceкомандлета , перезаписывает существующий список.
Например, следующий фрагмент кода приведет к тому, что Microsoft Defender проверки антивирусной программы исключит любой файл, открытый указанным процессом:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Дополнительные сведения об использовании PowerShell с Microsoft Defender антивирусной программой см. в разделах Управление антивирусной программой с помощью командлетов PowerShell и Microsoft Defender антивирусных командлетов.
Использование инструментария управления Windows (WMI) для исключения файлов, открытых указанными процессами, из проверок
Используйте методы Set, Add и Remove класса MSFT_MpPreference для следующих свойств:
ExclusionProcess
Использование команд Set, Add и Remove аналогично их аналогам в PowerShell: Set-MpPreference, Add-MpPreferenceи Remove-MpPreference.
Дополнительные сведения и разрешенные параметры см. в разделе API WMIv2 в Защитнике Windows.
Используйте приложение Безопасность Windows, чтобы исключить из проверок файлы, открытые указанными процессами.
Следуйте инструкциям в разделе Добавление исключений в приложение Безопасность Windows.
Просмотр списка исключений
Элементы в списке исключений можно получить с помощью MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune или приложения Безопасность Windows.
Проверка списка исключений с помощью MpCmdRun
Сведения об проверка исключений с помощью средства командной строки MpCmdRun см. в статье Проверка исключения указанного пути с помощью MpCmdRun.
Просмотр списка исключений с помощью PowerShell
Выполните следующие команды в окне PowerShell с повышенными привилегиями (окно PowerShell, открытое путем выбора запуска от имени администратора):
$p=Get-MpPreference; @(
$p.ExclusionExtension | ForEach-Object {[pscustomobject]@{Type='ExclusionExtension'; Value=$_}}
$p.ExclusionPath | ForEach-Object {[pscustomobject]@{Type='ExclusionPath'; Value=$_}}
$p.ExclusionProcess | ForEach-Object {[pscustomobject]@{Type='ExclusionProcess'; Value=$_}}
)
Дополнительные сведения об использовании PowerShell с антивирусной программой Microsoft Defender см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусных и Microsoft Defender антивирусных командлетов.
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Статьи по теме
- Настройка и проверка исключений в Microsoft Defender проверки антивирусной программы
- Настройка и проверка исключений с учетом имени файлов, расширений и расположения папки.
- Исключения в антивирусной программе в Microsoft Defender в системе Windows Server
- Распространенные ошибки, которых следует избегать при определении исключений
- Настройка, запуск и проверка результатов проверок и исправлений антивирусной программы Microsoft Defender
- Антивирусная программа в Microsoft Defender (Windows 10)