Искључите фасцикле или дискове из скенирања програма Windows Defender

  • Изузећа смањују заштиту: ограничите их ограничењима на основу руте, прегледа, окидача и процеса.
  • Конфигуришите их из Windows безбедности, GPO/Intune/SCCM или помоћу PowerShell/WMI.
  • Подржава џокере и променљиве окружења за преносива и прецизна правила.
  • Валидирајте помоћу Get-MpPreference, MpCmdRun и EICAR тест датотеке.
Lorena Figueredo

КСНУМКС Минутос

Искључите фасцикле или дискове из скенирања програма Windows Defender

Када Microsoft Defender скенира цео рачунар, понекад је добра идеја искључити одређене елементе како би се побољшале перформансе или избегли непотребни падови система. Конфигуришите изузетке за датотеке, фасцикле, екстензије или процесе То је прави начин да се то уради, али постоје важне нијансе како би се избегло превелико смањење заштите.

У следећим редовима ћете пронаћи комплетан и веома практичан водич о томе како да искључите оно што вам је потребно, како из апликације Windows Security, тако и путем PowerShell, GPO, Intune/Configuration Manager и WMIТакође укључује напредна контекстуална искључења (према типу испита, окидачу и процесу), употребу џокер знакова и променљивих окружења, као и методе валидације са MpCmdRun и EICAR тест датотеку.

Шта су изузеци и када их користити?

Изузеци се првенствено користе за ублажавање утицаја на перформансе у одређеним сценаријима (нпр. током изградње, прављења резервних копија или задатака који захтевају интензиван улаз/излаз). Њихова примена подразумева смањење заштите, па је препоручљиво да их фино подесите и да их не користите олако.

Поред основних изузећа, Microsoft Defender Antivirus подржава контекстуална изузећа са ограничењима. Ова ограничења ограничавају када и како се изузеће примењује.по типу путање (датотека/фасцикла), типу скенирања (брзо/потпуно/циљано), окидачу (на захтев, при приступу, праћењем понашања) и процесу приступања.

Важно: Контекстуална искључења нису идеална за поуздано руковање лажно позитивним резултатима. У случају стварног лажно позитивног резултата, исправан поступак је пошаљите датотеку компанији Microsoft на анализу (Defender портал или сајт Security Intelligence) или, привремено у пословним окружењима, користите индикаторе дозвола у Defender-у за крајњу тачку.

Контекстуална искључења: типови ограничења и синтакса

Начин за креирање контекстуалног изузећа је додавање суфикса са витичастим заградама путањи датотеке или фасцикле који дефинише намеру. Основна синтакса је: <RUTA>\:{TypeName:value,TypeName:value}. Напоменути да Сва имена и вредности типова разликују велика и мала слова.

Четири доступна ограничења су следећа. Можете их комбиновати како би се најбоље уклопио контекст у коме се изузеће примењује:

  • Тип путање да би се назначило да ли је одредиште „датотека“ или „фасцикла“.
  • Тип скенирања да се искључивање ограничи на „брзе“ или „потпуне“ испите. „Ресурсни/усмерени“ испит спада у основна искључења када се изводи на захтев.
  • ScanTrigger за окидач: „OnDemand“ (ручно или заказано), „OnAccess“ (у реалном времену при отварању/читању/писању) или праћење понашања (често скраћено „BM“).
  • Proces да ограничите изузеће на одређени процес (џокерски знакови у путањи или називу слике су дозвољени).

Типични примери: прецизирајте своја изузећа ограничавајући их по врсти испита или процеса како би се ризик смањио.

Примери контекстуалних изузећа

Захтеви верзије за контекстуална изузећа

Да бисте користили изузетке са ограничењима која су вам потребна Мицрософт Дефендер Антивирус ажурирано. Минимална верзија платформе: 4.18.2205.7; минимална верзија мотора: 1.1.19300.2Проверите ажурирања производа и безбедносне информације како бисте осигурали компатибилност.

Синтакса и примери контекстуалних искључења

Полазећи од постојећих изузетака, можете их учинити прецизнијим додавањем ограничења. Не заборавите да поштујете велика/мала слова у TypeName и вредностима. Основна синтакса: <RUTA>\:{TypeName:value,TypeName:value}.

Пример 1: Искључи само ако је одредиште датотека и само приликом скенирања при приступу. Конкретна датотека искључује се у реалном времену: c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}.

Пример 2: Искључите датотеку само ако јој приступа одређени процес. Овде се искључење примењује када се процес чија се слика позива винворд.еке додирните датотеку: c:\documents\design.doc\:{Process:"winword.exe"}.

Пример 3: Џокери су дозвољени у путањама датотека или фасцикли. Искључује .doc документе на испитима на захтев: c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}.

Пример 4: Путања слике процеса може да садржи џокере. Ограничење по верзији система Office: c:\documents\design.doc\:{Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}.

Ограничење по типу путање: датотека или фасцикла

Ако не наведете ништа, изузеће се примењује на одредиште без обзира да ли је у питању датотека или фасцикла, и на све типове испита. Да би се присилно важило само ако је у питању фасцикла САД PathType:folder. Пример: C:\documents\*\:{PathType:folder}.

Да бисте осигурали да се изузетак примењује само на датотеке (никада на фасциклу), користите PathType:датотека. Пример: C:\documents\*.mdb\:{PathType:file}.

Документована необична напомена: ако је циљ датотека, али ви назначите да је изузеће фасцикла, оно се не примењује; Међутим, ако је одредиште фасцикла и наведете „датотека“, примењује сеИмајте ово на уму приликом дизајнирања правила.

Ограничи по типу испита: брзи, потпуни и усмерени

Подразумевано, основно изузеће ће утицати на било који испит (брзи, свеобухватни или испит усмерен на ресурсе). Да би се ублажио утицај можете га сузити на врсту испита која вас занима.

Пример: Искључивање фасцикле само током целог испита: C:\documents\:{ScanType:full}. Дакле, не меша се брзом или циљаном анализом.

Пример: Искључите једну ставку само током брзог скенирања: C:\program.exe\:{ScanType:quick}Ако желите да се уверите да је у питању датотека, а не фасцикла са сличним именом, додајте PathType:датотека: C:\program.exe\:{ScanType:quick,PathType:file}.

Ограничи по окидачу испита

Категорије гађања су: На захтев (ручно/командима и такође програмирано), На приступу (заштита у реалном времену) и праћење понашања (понекад скраћено БМ, укључује анализу меморије).

Пример: Искључите фасциклу и њен садржај само приликом скенирања при приступу (у реалном времену): c:\documents\:{ScanTrigger:OnAccess}. Наставиће се да се анализира у ручним или заказаним испитима ако не додате никаква додатна ограничења.

Ограничи приступ по процесу

Ова опција је веома корисна ако не желите да искључите цео процес (што би било опасно), али само одређени приступи из тог процеса до одређене датотеке или фасцикле. Џокери су дозвољени у називу слике или путањи.

Пример: ограничавање на Word, Access или генеричку путању за Office: c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}. Искључење функционише само када приступ покрене један од тих процеса.

Како конфигурисати изузетке у апликацији Windows безбедност

Са графичког интерфејса, то је веома једноставно. Отворите поље за претрагу и идите на „Безбедност система Windows“. Идите на „Антивирус и заштита од претњи“ и изаберите „Управљање подешавањима“ у одељку „Подешавања антивирусне и заштитне заштите“.

Померите се надоле до „Изузеци“ и изаберите „Додај или уклони изузетке“. Кликните на „Додај изузетак“ да бисте изабрали тип: Датотека, фасцикла, тип датотеке или процесИскључићете датотеку, целу фасциклу (укључујући подфасцикле), екстензију на било којој локацији или процес по имену.

Да бисте изузели фасциклу, изаберите „Фасцикла“, идите до путање и потврдите са „Изаберите фасциклу“. Од тада биће искључени из анализе према основним правилима искључења.

Ако касније желите да уклоните изузетак, на листи изузетих ставки кликните на икону поред ставке и изаберите "Уклони"То је непосредни и реверзибилни процес.

Конфигуришите изузетке помоћу Intune-а и Configuration Manager-а

У корпоративним окружењима, изузетке можете применити централно. Са Microsoft Intune-ом Имате конфигурационе профиле за Defender који прихватају листе изузећа по путањи, екстензији или процесу.

Ако користиш Мајкрософтов менаџер конфигурације (SCCM), конфигуришите их у антималвер политици (тренутна грана) у оквиру опција за искључење. Ове платформе олакшавају одржавање доследност и усклађеност на свим управљаним рачунарима.

Конфигуришите изузетке помоћу групних смерница (GPO)

Отворите конзолу за управљање групним политикама (GPMC), пронађите GPO који желите да измените и кликните на дугме Уреди. Идите на Конфигурација рачунара > Административни шаблони > Windows компоненте > Microsoft Defender Antivirus > Изузеци.

За „Изузећа путање“: Подесите опцију на „Омогућено“ и кликните на „Прикажи“. Унесите сваку фасциклу или датотеку у посебан ред (Ако је у питању датотека, наведите диск, пуну путању, име и екстензију.) У колони „Вредност“ користите „0“.

За „Изузећа екстензија“: подесите на „Омогућено“, идите на „Прикажи“ и напишите свако проширење по линији (са или без тачке). Поново, „0“ у колони „Вредност“.

PowerShell: Додавање, уклањање и листање изузетака

ПоверСхелл

Дефендер укључује командлете у уграђеном модулу. Да бисте креирали или заменили листу, користите Сет-МпПреференце, да бисте додали елементе Адд-МпПреференце и да их уклонимо Ремове-МпПреференцеОпшти облик је: <cmdlet> -<lista de exclusión> "<elemento>".

Главни параметри су -ПутањаИзузећа (одређена датотека или фасцикла, са поддиректоријумима) и -Проширење за искључење (све екстензије које наведете). Пример за искључивање екстензије: Add-MpPreference -ExclusionExtension ".test". Дакле, било која .test датотека биће изостављен из анализе.

Да бисте прегледали потпуни статус подешавања, покрените Get-MpPreference. Можеш да га бациш променљивој и упитати својства као што је ExclusionPath o ExclusionExtension:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

Запамтите да свака употреба Адд-МпПреференце додајте нови ред на листу; ако желите да је поново направите од нуле користите Сет-МпПреференце са комплетном листом коју желите да задржите.

WMI (MSFT_MpPreference) за изузећа

Такође можете управљати изузецима користећи WMI са класом MSFT_MpPreferenceКористите његове методе Set, Add и Remove на релевантним својствима, као што су ExclusionPath y ExclusionExtension. Понашање је аналогно за PowerShell cmdlets: Set = преписује, Add = додаје, Remove = брише.

Карактеристике и обим листа искључења

Изузеци фасцикли се примењују на све датотеке и подфасцикле, осим на подфасцикле које су тачке реанализе (тачке репарсирања), које морају бити експлицитно искључене. Ово спречава неочекивано понашање на преусмереним рутама.

Изузеци продужења се примењују на било која датотека са том екстензијом, без обзира на њихову локацију, све док истовремено не дефинишете одређену руту.

Коришћење џокер знакова и променљивих окружења

У изузецима путања (фасцикле или датотеке) можете користити звездица (*), знак питања (?) и тип променљивих окружења %ALLUSERSPROFILE%Ови џокер знакови се не тумаче потпуно исто као у другим језицима, па је добра идеја знати њихова правила.

Звездица (*): У именима датотека и екстензијама замењује било који број знакова и утиче само на датотеке у последњој дефинисаној фасцикли; у изузецима фасцикли, сваки * замењује фасциклу. Можете их спојити обрнутим косим цртама да бисте представили више нивоа: након упаривања броја џокера и имена, укључене су све подфасцикле.

Упитник (?): у именима датотека и екстензијама замењује један знак и примењује се на последњу фасциклу. У изузецима фасцикли, замењује знак унутар имена фасцикле и, када се пронађе подударање, укључује подфасцикле.

Променљиве окружења: Механизам ће проширити променљиву у путању приликом процене изузећа. Могу се комбиновати са * и ? у истом правилу.

  • Примери са *: C:\MyData\*.txt укључује C:\MyData\notes.txt; C:\somepath\*\Data укључује C:\somepath\Archives\Data и његове подфасцикле; C:\Serv\*\*\Backup укључује руте као што су C:\Serv\Primary\Denied\Backup y C:\Serv\Secondary\Allowed\Backup.
  • Примери са ?: C:\MyData\my?.zip укључује C:\MyData\my1.zip; C:\somepath\?\Data укључује C:\somepath\P\Data; C:\somepath\test0?\Data укључује C:\somepath\test01\Data.
  • Променљиве: %ALLUSERSPROFILE%\CustomLogFiles то покрива C:\ProgramData\CustomLogFiles\Folder1\file1.txt.
  • Комбинација: %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe укључује руте као што су C:\Program Files\Contoso Labs\v1\bin\contoso.exe.

Променљиве системског окружења (системски налог)

Испод је корисна листа уобичајених променљивих окружења и њихово типично проширење у оперативном систему Windows. Користите их у изузецима за преносивија правила између тимова:

  • % АППДАТА% → C:\Windows\system32\config\systemprofile\Appdata\Roaming
  • %APPDATA%\Microsoft\Internet Explorer\Брзо покретање → C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Брзо покретање
  • %APPDATA%\Microsoft\Windows\Старт мени → C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
  • %APPDATA%\Microsoft\Windows\Старт мени\Програми → C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
  • %ЛОЦАЛАППДАТА% → C:\WINDOWS\system32\config\systemprofile\AppData\Local
  • % ПрограмДата% → C:\ProgramData
  • % Програмски фајлови% → C:\Program Files
  • %ProgramFiles%\Common Files → C:\Program Files\Common Files
  • %ProgramFiles%\Windows бочна трака\Гаџети → C:\Program Files\Windows Sidebar\Gadgets
  • % ПрограмФилес (к86)% → C:\Program Files (x86)
  • %ProgramFiles(x86)%\Common Files → C:\Program Files (x86)\Common Files
  • %СистемДриве% → Ц:
  • %СистемскиДрив%\Програмске датотеке → C:\Program Files
  • %Системски погон%\Програмске датотеке (x86) → C:\Program Files (x86)
  • %СистемскиДрив%\Корисници → C:\Корисници
  • %СистемскиДрив%\Корисници\Јавни → C:\Корисници\Јавно
  • %СистемРоот% → C:\Windows
  • % виндир% → C:\Windows
  • %виндир%\Фонтс → C:\Windows\Fonts
  • %windir%\Ресурси → C:\Windows\Resources
  • %windir%\resources\0409 → C:\Windows\resources\0409
  • %windir%\system32 → C:\Windows\System32
  • %АЛЛУСЕРСПРОФИЛЕ% → C:\ProgramData
  • %ALLUSERSPROFILE%\Подаци апликације → C:\ProgramData\Application Data
  • %ALLUSERSPROFILE%\Документи → C:\ProgramData\Documents
  • %ALLUSERSPROFILE%\Документи\Моја музика\Узорци музике → C:\ProgramData\Documents\My Music\Sample Music
  • %ALLUSERSPROFILE%\Документи\Моја музика → C:\ProgramData\Documents\My Music
  • %ALLUSERSPROFILE%\Документи\Моје слике → C:\ProgramData\Documents\My Pictures
  • %ALLUSERSPROFILE%\Документи\Моје слике\Примерне слике → C:\ProgramData\Documents\My Pictures\Sample Pictures
  • %ALLUSERSPROFILE%\Документи\Моји видео снимци → C:\ProgramData\Documents\My Videos
  • %ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore → C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
  • %ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer → C:\ProgramData\Microsoft\Windows\GameExplorer
  • %ALLUSERSPROFILE%\Microsoft\Windows\Мелодије звона → C:\ProgramData\Microsoft\Windows\Мелодије звона
  • %ALLUSERSPROFILE%\Microsoft\Windows\Старт мени → C:\ProgramData\Microsoft\Windows\Старт мени
  • %ALLUSERSPROFILE%\Microsoft\Windows\Старт мени\Програми → C:\ProgramData\Microsoft\Windows\Start Menu\Programs
  • %ALLUSERSPROFILE%\Microsoft\Windows\Старт мени\Програми\Административни алати → C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
  • %ALLUSERSPROFILE%\Microsoft\Windows\Старт мени\Програми\Покретање → C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
  • %ALLUSERSPROFILE%\Microsoft\Windows\Шаблони → C:\ProgramData\Microsoft\Windows\Templates
  • %ALLUSERSPROFILE%\Старт мени → C:\ProgramData\Start Menu
  • %ALLUSERSPROFILE%\Старт мени\Програми → C:\ProgramData\Start Menu\Programs
  • %ALLUSERSPROFILE%\Старт мени\Програми\Административни алати → C:\ProgramData\Start Menu\Programs\Administrative Tools
  • %ALLUSERSPROFILE%\Шаблони → C:\ProgramData\Templates
  • %LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates → C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
  • %LOCALAPPDATA%\Microsoft\Windows\History → C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
  • %ПУБЛИЦ% → C:\Корисници\Јавно
  • %PUBLIC%\Слике налога → C:\Корисници\Јавни\СликеНалога
  • %PUBLIC%\Десктоп → C:\Корисници\Јавно\Радна површина
  • %ЈАВНИ%\Документи → C:\Корисници\Јавни\Документи
  • %ЈАВНО%\Преузимања → C:\Корисници\Јавно\Преузимања
  • %PUBLIC%\Музика\Узорци музике → C:\Корисници\Јавно\Музика\Узорци музике
  • %PUBLIC%\Музика\Узорци плејлиста → C:\Корисници\Јавно\Музика\Узорци плејлиста
  • %PUBLIC%\Слике\Примерне слике → C:\Корисници\Јавно\Слике\Примерне слике
  • %PUBLIC%\RecordedTV.library-ms → C:\Корисници\Јавни\СнимљенаТВ.library-ms
  • %ЈАВНИ%\Видео снимци → C:\Корисници\Јавни\Видео снимци
  • %PUBLIC%\Видео снимци\Примери видео снимака → C:\Корисници\Јавни\Видео снимци\Примери видео снимака
  • %ПРОФИЛ КОРИСНИКА% → C:\Windows\system32\config\systemprofile
  • %КОРИСНИЧКИПРОФИЛ%\ПодациАпликације\Локално → C:\Windows\system32\config\systemprofile\AppData\Local
  • %КОРИСНИЧКИПРОФИЛ%\Подаци апликације\ЛокалноНиско → C:\Windows\system32\config\systemprofile\AppData\LocalLow
  • %USERPROFILE%\AppData\Roaming → C:\Windows\system32\config\systemprofile\AppData\Roaming

Прегледајте и потврдите своја изузећа

Поред тога Get-MpPreference У PowerShell-у можете да валидирате одређене случајеве помоћу алатке командне линије МпЦмдРун.екеПокрените CMD као администратор, идите до фасцикле Defender платформе и користите -CheckExclusion:

cd "%ProgramData%\Microsoft\Windows Defender\Platform"
cd 4.18.2111-5.0  (cambia a la versión de plataforma instalada)
MpCmdRun.exe -CheckExclusion -path <ruta a comprobar>

Да бисте заиста проверили да ли се изузеће поштује, можете користити EICAR тест датотеку. Преузмите је са Инвоке-ВебРекуест или са Систем.Нет.ВебЦлиент и видите да ли ће Дефендер реаговати. Ако сте правилно искључили, не би требало да га открије у контексту који обухвата ваше правило.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
$client = New-Object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Без интернета, можете креирати EICAR садржај локално користећи PowerShell: напишите стринг тачно стандардно у привременој датотеци унутар путање/стања које покрива ваше изузеће.

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Добре праксе и кључни подсетници

Искључите фасцикле или дискове из скенирања програма Windows Defender

Избегавајте искључивање целих процеса ако можете да га замените са ограничење процеса на одређеној путањи; на овај начин не прескачете непотребне провере за ту извршну датотеку на другим локацијама.

Кад год је то могуће, ограничите изузећа на врста испита и окидач специфично. На пример, искључивање велике фасцикле само у потпуном скенирању, а не и у скенирању приликом приступа, смањује ризике.

Имајте на уму да се тумачење џокер знакова разликује од других окружења. Тестирајте своја правила са MpCmdRun и, ако је могуће, са EICAR садржајем унутар тачног контекста (путање/процеса) који сте искључили.

Редовно ажурирајте Defender како бисте имали користи од побољшања контроле искључења. Контекстуална изузећа захтевају минималне верзије платформа и мотор. Редовно проверавајте напомене о производу.

Савладавање изузетака Microsoft Defender-а вам омогућава да фино подесите перформансе без претераног угрожавања безбедности. Са контекстуалним правилима заснованим на типу путање, скенирању, окидачу и процесу, плус централизованим управљањем помоћу GPO/Intune/SCCM и снагом PowerShell/WMI, можете искључити оно што је праведно и неопходно и проверите то помоћу MpCmdRun, Get-MpPreference и EICAR да бисте били сигурни.