Sdílet prostřednictvím

Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky

  • Článek

Platí pro:

Platformy

  • Windows

Můžete definovat vyloučení pro Microsoft Defender Antivirovou ochranu, která se vztahují na plánované kontroly, kontroly na vyžádání a nepřetržitě zapnutou ochranu a monitorování v reálném čase. Obecně platí, že vyloučení nemusíte používat. Pokud potřebujete použít vyloučení, můžete si vybrat z následujících typů:

Důležité

Microsoft Defender Vyloučení antivirové ochrany se vztahují na některé Microsoft Defender for Endpoint funkce, jako jsou pravidla omezení potenciální oblasti útoku. Některá vyloučení Microsoft Defender Antivirové ochrany se vztahují na některá vyloučení pravidel ASR. Viz Referenční informace k pravidlům omezení potenciální oblasti útoku – vyloučení antivirové ochrany a pravidla ASR Microsoft Defender. Soubory, které vyloučíte pomocí metod popsaných v tomto článku, můžou přesto aktivovat upozornění EDR (Endpoint Detection and Response) a další detekce. Pokud chcete soubory obecně vyloučit, přidejte je do Microsoft Defender for Endpoint vlastních indikátorů.

Než začnete

Před definováním seznamů vyloučení si projděte doporučení k definování vyloučení .

Seznamy vyloučení

Pokud chcete některé soubory vyloučit z Microsoft Defender antivirových kontrol, upravte seznamy vyloučení. Microsoft Defender Antivirus zahrnuje mnoho automatických vyloučení na základě známého chování operačního systému a typických souborů správy, například těch, které se používají při správě podniku, správě databází a dalších podnikových scénářích.

Poznámka

Vyloučení platí i pro detekce potenciálně nežádoucích aplikací (PUA). Automatická vyloučení platí jenom pro Windows Server 2016 a novější. Tato vyloučení se nezobrazují v aplikaci Zabezpečení Windows ani v PowerShellu.

V následující tabulce jsou uvedeny některé příklady vyloučení na základě přípony souboru a umístění složky.

Vyloučení Příklady Seznam vyloučení
Libovolný soubor s konkrétní příponou Všechny soubory se zadanou příponou kdekoli na počítači.

Platná syntaxe: .test a test		 Vyloučení rozšíření
Libovolný soubor nebo složka v konkrétní složce Všechny soubory a složky ve c:\test\sample složce Vyloučení souborů a složek
Konkrétní soubor v konkrétní složce Pouze soubor c:\sample\sample.test Vyloučení souborů a složek
Konkrétní proces Spustitelný soubor c:\test\process.exe Vyloučení souborů a složek

Charakteristiky seznamů vyloučení

  • Vyloučení složek platí pro všechny soubory a složky v této složce, pokud není podsložka spojovacím bodem. Podsložky bodu rozboru musí být vyloučeny samostatně.
  • Přípony souborů platí pro jakýkoli název souboru s definovanou příponou, pokud není definovaná cesta nebo složka.

Důležité poznámky k vyloučením na základě přípon souborů a umístění složek

  • Použití zástupných znaků, jako je hvězdička (*), mění způsob interpretace pravidel vyloučení. Důležité informace o fungování zástupných znaků najdete v části Použití zástupných znaků v seznamech názvů souborů a cest ke složce nebo přípon .

  • Nevylučujte mapované síťové jednotky. Zadejte skutečnou síťovou cestu.

  • Složky, které jsou spojovacími body, se vytvoří po spuštění antivirové služby Microsoft Defender a ty, které byly přidány do seznamu vyloučení, nebudou zahrnuty. Restartujte službu restartováním Systému Windows, aby se nové spojovací body rozpoznaly jako platný cíl vyloučení.

  • Vyloučení platí pro plánované kontroly, kontroly na vyžádání a ochranu v reálném čase, ale ne pro všechny funkce Defenderu for Endpoint. Pokud chcete definovat vyloučení napříč Defenderem for Endpoint, použijte vlastní indikátory.

  • Ve výchozím nastavení se místní změny provedené v seznamech (uživateli s oprávněními správce, včetně změn provedených pomocí PowerShellu a rozhraní WMI) sloučí se seznamy tak, jak jsou definovány (a nasazeny) pomocí Zásady skupiny, Configuration Manager nebo Intune. Seznamy Zásady skupiny mají přednost v případech, kdy dojde ke konfliktům. Kromě toho jsou v aplikaci Zabezpečení Windows viditelné změny seznamu vyloučení provedené pomocí Zásady skupiny.

  • Pokud chcete povolit, aby místní změny přepsaly nastavení spravovaného nasazení, nakonfigurujte způsob sloučení místně a globálně definovaných seznamů vyloučení.

Konfigurace seznamu vyloučení na základě názvu složky nebo přípony souboru

Můžete si vybrat z několika metod definování vyloučení pro Microsoft Defender Antivirus.

Použití Intune ke konfiguraci vyloučení názvů souborů, složek nebo přípon souborů

Projděte si následující články:

Použití Configuration Manager ke konfiguraci vyloučení názvů souborů, složek nebo přípon souborů

Podrobnosti o konfiguraci Microsoft Configuration Manager (aktuální větev) najdete v tématu Vytvoření a nasazení antimalwarových zásad: Nastavení vyloučení.

Použití Zásady skupiny ke konfiguraci vyloučení složek nebo přípon souborů

Poznámka

Pokud zadáte plně kvalifikovanou cestu k souboru, bude vyloučen pouze tento soubor. Pokud je ve vyloučení definována složka, jsou vyloučeny všechny soubory a podadresář v této složce.

  1. Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

  2. V Zásady skupiny Správa Editor přejděte na Konfigurace počítače a vyberte Šablony pro správu.

  3. Rozbalte strom na Součásti> systému Windows Microsoft Defender Vyloučení antivirové ochrany>.

  4. Otevřete nastavení Vyloučení cest pro úpravy a přidejte vyloučení.

    1. Nastavte možnost na Povoleno.

    2. V části Možnosti vyberte Zobrazit.

    3. Zadejte každou složku na vlastním řádku ve sloupci Název hodnoty .

    4. Pokud zadáváte soubor, ujistěte se, že jste zadali plně kvalifikovanou cestu k souboru, včetně písmene jednotky, cesty ke složce, názvu souboru a přípony.

    5. Do sloupce Hodnota zadejte 0.

    6. Zvolte OK.

  5. Otevřete nastavení Vyloučení rozšíření pro úpravy a přidejte vyloučení.

    1. Nastavte možnost na Povoleno.

    2. V části Možnosti vyberte Zobrazit.

    3. Do sloupce Název hodnoty zadejte každou příponu souboru na vlastním řádku.

    4. Do sloupce Hodnota zadejte 0.

    5. Zvolte OK.

Použití rutin PowerShellu ke konfiguraci vyloučení názvů souborů, složek nebo přípon souborů

Použití PowerShellu k přidání nebo odebrání vyloučení souborů na základě přípony, umístění nebo názvu souboru vyžaduje použití kombinace tří rutin a příslušného parametru seznamu vyloučení. Všechny rutiny jsou v modulu Defender.

Formát rutin je následující:

<cmdlet> -<exclusion list> "<item>"

V následující tabulce jsou uvedeny rutiny, které můžete použít v <cmdlet> části rutiny PowerShellu:

Akce konfigurace Rutina PowerShellu
Vytvoření nebo přepsání seznamu Set-MpPreference
Přidat do seznamu Add-MpPreference
Odebrat položku ze seznamu Remove-MpPreference

Následující tabulka uvádí hodnoty, které můžete použít v <exclusion list> části rutiny PowerShellu:

Typ vyloučení Parametr PowerShellu
Všechny soubory se zadanou příponou -ExclusionExtension
Všechny soubory ve složce (včetně souborů v podadresářích) nebo konkrétní soubor -ExclusionPath

Důležité

Pokud jste vytvořili seznam, buď pomocí Set-MpPreference nebo Add-MpPreference, pomocí rutiny Set-MpPreference znovu přepíše existující seznam.

Například následující fragment kódu způsobí, že Microsoft Defender antivirové kontroly vyloučí všechny soubory s příponou .test souboru:

Add-MpPreference -ExclusionExtension ".test"

Tip

Další informace najdete v Použití rutin PowerShellu ke konfiguraci a spuštění Microsoft Defender Antivirus a rutin Defender Antivirus.

Použití rozhraní WMI (Windows Management Instrumentation) ke konfiguraci názvů souborů, složek nebo vyloučení přípon souborů

Pro následující vlastnosti použijte metody Set, Add a Remove třídy MSFT_MpPreference :

ExclusionExtension
ExclusionPath

Použití funkce Nastavit, Přidat a Odebrat je analogické k jejich protějškům v PowerShellu: Set-MpPreference, Add-MpPreferencea Remove-MpPreference.

Tip

Další informace najdete v tématu Rozhraní API WMIv2 v programu Windows Defender.

Použití aplikace Zabezpečení Windows ke konfiguraci vyloučení názvů souborů, složek nebo přípon souborů

Pokyny najdete v tématu Přidání vyloučení v aplikaci Zabezpečení Windows.

Použití zástupných znaků v seznamech vyloučení názvů souborů a cest ke složce nebo přípon

Při definování položek v seznamu vyloučení názvu souboru nebo cesty ke složce můžete použít *hvězdičku , otazník ?nebo proměnné prostředí (například %ALLUSERSPROFILE%) jako zástupné znaménko. Proměnné prostředí a a ? můžete kombinovat a * do jednoho vyloučení. Způsob interpretace těchto zástupných znaků se liší od jejich obvyklého použití v jiných aplikacích a jazycích. Nezapomeňte si přečíst tuto část, abyste porozuměli jejich konkrétním omezením.

Důležité

U těchto zástupných znaků existují klíčová omezení a scénáře použití:

  • Použití proměnných prostředí je omezeno na proměnné počítače a na proměnné, které platí pro procesy spuštěné jako účet NT AUTHORITY\SYSTEM.
  • Na jednu položku můžete použít maximálně šest zástupných znaků.
  • Místo písmene jednotky nelze použít zástupný znak.
  • Hvězdička * v vyloučení složky je na místě pro jednu složku. Více instancí \*\ použijte k označení více vnořených složek s nespecifikovanými názvy.

Následující tabulka popisuje použití zástupných znaků a obsahuje několik příkladů.

Zástupný znak Příklady
* (hvězdička)

V zahrnutí názvu souboru a přípony souboru hvězdička nahrazuje libovolný počet znaků a vztahuje se pouze na soubory v poslední složce definované v argumentu.

Ve výlukách složek hvězdička nahrazuje jednu složku. Pomocí více * lomítek \ složek označíte více vnořených složek. Po porovnání počtu složek se zástupnými čísly a pojmenovanými složkami se zahrnou také všechny podsložky.		 C:\MyData\*.txt zahrnuje C:\MyData\notes.txt

C:\somepath\*\Data zahrnuje všechny soubory v C:\somepath\Archives\Data podsložkách a jejich podsložky a C:\somepath\Authorized\Data jeho podsložky

C:\Serv\*\*\Backup zahrnuje všechny soubory v C:\Serv\Primary\Denied\Backup podsložkách a jejich podsložky a C:\Serv\Secondary\Allowed\Backup jeho podsložky
? (otazník)

V zahrnutí názvu souboru a přípony souboru otazník nahrazuje jeden znak a vztahuje se pouze na soubory v poslední složce definované v argumentu.

Ve vyloučení složek otazník nahrazuje jeden znak v názvu složky. Po porovnání počtu složek se zástupnými čísly a pojmenovanými složkami se zahrnou také všechny podsložky.		 C:\MyData\my?.zip zahrnuje C:\MyData\my1.zip

C:\somepath\?\Data zahrnuje všechny soubory v C:\somepath\P\Data a jeho podsložkách.

C:\somepath\test0?\Data by zahrnovala všechny soubory v C:\somepath\test01\Data a jeho podsložkách
Proměnné prostředí

Definovaná proměnná se při vyhodnocení vyloučení naplní jako cesta.		 %ALLUSERSPROFILE%\CustomLogFiles by zahrnovala C:\ProgramData\CustomLogFiles\Folder1\file1.txt
Mix a shoda

Proměnné * prostředí a ? je možné je zkombinovat do jediného vyloučení		 %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe by zahrnovala c:\Program Files\Contoso Labs\v1\bin\contoso.exe

Důležité

Pokud zkombinujete argument vyloučení souboru s argumentem vyloučení složky, pravidla se zastaví na shodě argumentu soubor v odpovídající složce a nebudou hledat odpovídající soubory v žádné podsložce. Můžete například vyloučit všechny soubory, které začínají na "date" ve složkách c:\data\final\marked a c:\data\review\marked pomocí argumentu c:\data\*\marked\date*pravidla . Tento argument neodpovídá žádným souborům v podsložkách nebo c:\data\final\markedc:\data\review\marked.

Systémové proměnné prostředí

Následující tabulka uvádí a popisuje proměnné prostředí systémového účtu.

Tato systémová proměnná prostředí... Přesměruje na toto
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Kontrola seznamu vyloučení

Položky v seznamu vyloučení můžete načíst pomocí jedné z následujících metod:

Důležité

Změny seznamu vyloučení provedené pomocí Zásady skupiny se zobrazí v seznamech Zabezpečení Windows aplikace. Změny provedené v aplikaci Zabezpečení Windows se v seznamech Zásady skupiny nezobrazí.

Pokud používáte PowerShell, můžete seznam načíst následujícími dvěma způsoby:

  • Načte stav všech předvoleb antivirové ochrany Microsoft Defender. Každý seznam se zobrazuje na samostatných řádcích, ale položky v každém seznamu jsou sloučeny do stejného řádku.
  • Napište stav všech předvoleb do proměnné a použijte ji k volání jenom konkrétního seznamu, který vás zajímá. Každé použití je Add-MpPreference zapsáno na nový řádek.

Ověření seznamu vyloučení pomocí MpCmdRun

Pokud chcete zkontrolovat vyloučení pomocí vyhrazeného nástroje příkazového řádku mpcmdrun.exe, použijte následující příkaz:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Poznámka

Kontrola vyloučení pomocí MpCmdRun vyžaduje Microsoft Defender Antivirus verze 4.18.2111-5.0 (vydaná v prosinci 2021) nebo novější.

Zkontrolujte seznam vyloučení spolu se všemi ostatními předvolbami Microsoft Defender Antivirové ochrany pomocí PowerShellu.

Použijte následující rutinu:

Get-MpPreference

V následujícím příkladu jsou zvýrazněné položky obsažené v ExclusionExtension seznamu:

Výstup PowerShellu pro Get-MpPreference

Další informace najdete v Použití rutin PowerShellu ke konfiguraci a spuštění Microsoft Defender Antivirus a rutin Defender Antivirus.

Načtení konkrétního seznamu vyloučení pomocí PowerShellu

Použijte následující fragment kódu (zadejte každý řádek jako samostatný příkaz); nahraďte WDAVprefs libovolným popiskem, který chcete pojmenovat proměnnou:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

V následujícím příkladu je seznam rozdělený na nové řádky pro každé použití rutiny Add-MpPreference :

Výstup PowerShellu zobrazující pouze položky v seznamu vyloučení

Další informace najdete v Použití rutin PowerShellu ke konfiguraci a spuštění Microsoft Defender Antivirus a rutin Defender Antivirus.

Ověření seznamů vyloučení pomocí testovacího souboru EICAR

Pomocí PowerShellu Invoke-WebRequest můžete ověřit, jestli seznamy vyloučení fungují, a to buď pomocí rutiny, nebo třídy .NET WebClient ke stažení testovacího souboru.

V následujícím fragmentu kódu PowerShellu nahraďte test.txt souborem, který odpovídá vašim pravidlům vyloučení. Pokud například vyloučíte .testing rozšíření, nahraďte test.txt názvem test.testing. Pokud testujete cestu, ujistěte se, že jste v této cestě spustili rutinu .

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Pokud Microsoft Defender Antivirus hlásí malware, pravidlo nefunguje. Pokud neexistuje žádná zpráva o malwaru a stažený soubor existuje, pak vyloučení funguje. Soubor můžete otevřít a potvrdit, že obsah je stejný jako obsah, který je popsán na webu testovacího souboru EICAR.

Můžete také použít následující kód PowerShellu, který volá třídu .NET WebClient ke stažení testovacího souboru – stejně jako u Invoke-WebRequest rutiny; nahraďte c:\test.txt souborem, který odpovídá pravidlu, které ověřujete:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Pokud nemáte přístup k internetu, můžete vytvořit vlastní testovací soubor EICAR zápisem řetězce EICAR do nového textového souboru pomocí následujícího příkazu PowerShellu:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Řetězec můžete také zkopírovat do prázdného textového souboru a pokusit se ho uložit s názvem souboru nebo do složky, kterou se pokoušíte vyloučit.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.