Konfigurace vyloučení pro soubory otevřené procesy
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Antivirová ochrana v programu Microsoft Defender
Platformy
- Windows
Soubory, které jsou otevřeny určitými procesy, můžete vyloučit z Microsoft Defender antivirové kontroly. Všimněte si, že tyto typy vyloučení se vztahují na soubory, které jsou otevřeny procesy, a ne samotné procesy. Pokud chcete vyloučit proces, přidejte vyloučení souborů (viz Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky).
Před definováním seznamů vyloučení si projděte důležité body týkající se vyloučení a přečtěte si informace v tématu Správa vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.
Tento článek popisuje, jak nakonfigurovat seznamy vyloučení.
Příklady vyloučení procesů
| Vyloučení | Příklad |
|---|---|
| Libovolný soubor na počítači, který je otevřen libovolným procesem s konkrétním názvem souboru |
test.exe Zadáním by se vyloučily soubory otevřené pomocí:
|
| Libovolný soubor na počítači, který je otevřen libovolným procesem v konkrétní složce |
c:\test\sample\* Zadáním by se vyloučily soubory otevřené pomocí: |
| Libovolný soubor v počítači, který je otevřen určitým procesem v konkrétní složce | Zadáním by se c:\test\process.exe vyloučily pouze soubory otevřené c:\test\process.exe |
Když přidáte proces do seznamu vyloučení procesů, Microsoft Defender Antivirus nebude kontrolovat soubory otevřené tímto procesem bez ohledu na to, kde se soubory nacházejí. Samotný proces se ale zkontroluje, pokud nebyl také přidán do seznamu vyloučení souborů.
Vyloučení se vztahují pouze na nepřetržitou ochranu a monitorování v reálném čase. Nevztahují se na naplánované kontroly nebo kontroly na vyžádání.
Změny provedené pomocí Zásady skupiny seznamů vyloučení se zobrazí v seznamech v aplikaci Zabezpečení Windows. Změny provedené v aplikaci Zabezpečení Windows se ale v seznamech Zásady skupiny nezobrazí.
Seznamy můžete přidávat, odebírat a kontrolovat vyloučení v Zásady skupiny, Microsoft Configuration Manager, Microsoft Intune a pomocí aplikace Zabezpečení Windows. Seznamy můžete dále přizpůsobit pomocí zástupných znaků.
Ke konfiguraci seznamů vyloučení, včetně kontroly seznamů, můžete použít rutiny PowerShellu a rozhraní WMI.
Ve výchozím nastavení se místní změny provedené v seznamech (uživateli s oprávněními správce; změny provedené pomocí PowerShellu a rozhraní WMI) sloučí se seznamy tak, jak jsou definovány (a nasazeny) pomocí Zásady skupiny, Configuration Manager nebo Intune. Seznamy Zásady skupiny mají přednost v případě konfliktů.
Můžete nakonfigurovat, jak se místně a globálně definované seznamy vyloučení slučují , aby místní změny přepsaly nastavení spravovaného nasazení.
Poznámka
Pravidla ochrany sítě a omezení potenciální oblasti útoku jsou přímo ovlivněna vyloučeními procesů na všech platformách, což znamená, že vyloučení procesů v jakémkoli operačním systému (Windows, MacOS, Linux) způsobí, že network Protection nebo ASR nebudou moct kontrolovat provoz nebo vynucovat pravidla pro daný konkrétní proces.
Název image vs úplná cesta pro vyloučení procesů
Je možné nastavit dva různé typy vyloučení procesů. Proces může být vyloučený podle názvu image nebo úplné cesty. Název image je jednoduše název souboru procesu bez cesty.
Například vzhledem k tomu, že proces MyProcess.exe spuštěný z C:\MyFolder\ úplné cesty k tomuto procesu bude C:\MyFolder\MyProcess.exe a název image je MyProcess.exe.
Vyloučení názvů imagí jsou mnohem širší – vyloučení na vyloučí všechny procesy s tímto názvem image bez ohledu na MyProcess.exe cestu, ze které se spouští. Pokud je například proces MyProcess.exe vyloučený podle názvu image, bude vyloučen také, pokud je spuštěn z C:\MyOtherFolder, z vyměnitelného média atd. Proto se doporučuje, aby se vždy, když je to možné, použila úplná cesta.
Použití zástupných znaků v seznamu vyloučení procesů
Použití zástupných znaků v seznamu vyloučení procesů se liší od jejich použití v jiných seznamech vyloučení. Pokud je vyloučení procesu definováno pouze jako název obrázku, není použití zástupných znaků povoleno. Pokud se ale použije úplná cesta, zástupné cardy se podporují a chování zástupných znaků se chová podle popisu v tématu Vyloučení souborů a složek.
Podporuje se také použití proměnných prostředí (například %ALLUSERSPROFILE%) jako zástupných znaků při definování položek v seznamu vyloučení procesů. Podrobnosti a úplný seznam podporovaných proměnných prostředí jsou popsané v tématu Vyloučení souborů a složek.
Následující tabulka popisuje použití zástupných znaků v seznamu vyloučení procesů při zadání cesty:
| Zástupný znak | Příklad použití | Příklady shod |
|---|---|---|
* (hvězdička)Nahradí libovolný počet znaků. |
C:\MyFolder\* |
Libovolný soubor otevřený uživatelem C:\MyFolder\MyProcess.exe nebo C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Libovolný soubor otevřený uživatelem C:\MyFolder1\MyFolder2\MyProcess.exe nebo C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Libovolný soubor otevřený uživatelem C:\MyOtherFolder\MyFolder\MyProcess.exe nebo C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (otazník) Nahradí jeden znak. |
C:\MyFolder\MyProcess??.exe |
Všechny soubory otevřené uživatelem C:\MyFolder\MyProcess42.exe nebo C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe |
| Proměnné prostředí | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Libovolný soubor otevřený uživatelem C:\ProgramData\MyFolder\MyProcess.exe |
Vyloučení kontextových procesů
Upozorňujeme, že vyloučení procesu může být také definováno prostřednictvím kontextového vyloučení , které například umožňuje vyloučit konkrétní soubor pouze v případě, že je otevřen určitým procesem.
Konfigurace seznamu vyloučení pro soubory otevřené zadanými procesy
Použití Microsoft Intune k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol
Další informace najdete v tématu Konfigurace nastavení omezení zařízení v Microsoft Intune a Microsoft Defender Nastavení omezení zařízení antivirové ochrany pro Windows 10 v Intune.
Použití Microsoft Configuration Manager k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol
Podrobnosti o konfiguraci Microsoft Configuration Manager (aktuální větev) najdete v tématu Vytvoření a nasazení antimalwarových zásad: Nastavení vyloučení.
Použití Zásady skupiny k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol
Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a klikněte na Upravit.
V Editor správa Zásady skupiny přejděte na Konfigurace počítače a klikněte na Šablony pro správu.
Rozbalte strom na součásti systému > Windows Microsoft Defender vyloučení antivirové ochrany>.
Poklikejte na Vyloučení procesu a přidejte vyloučení:
- Nastavte možnost na Povoleno.
- V části Možnosti klikněte na Zobrazit....
- Do sloupce Název hodnoty zadejte každý proces na samostatném řádku. Různé typy vyloučení procesů najdete v ukázkové tabulce. Zadejte 0 do sloupce Hodnota pro všechny procesy.
Klikněte na OK.
Použití rutin PowerShellu k vyloučení souborů, které byly otevřeny zadanými procesy, z kontrol
Použití PowerShellu k přidání nebo odebrání vyloučení pro soubory, které byly otevřeny procesy, vyžaduje použití kombinace tří rutin s parametrem -ExclusionProcess . Všechny rutiny jsou v modulu Defender.
Formát rutin je:
<cmdlet> -ExclusionProcess "<item>"
Jako rutina <jsou povolené následující:>
| Akce konfigurace | Rutina PowerShellu |
|---|---|
| Vytvoření nebo přepsání seznamu | Set-MpPreference |
| Přidat do seznamu | Add-MpPreference |
| Odebrání položek ze seznamu | Remove-MpPreference |
Důležité
Pokud jste vytvořili seznam, buď pomocí Set-MpPreference nebo Add-MpPreference, pomocí rutiny Set-MpPreference znovu přepíšete existující seznam.
Například následující fragment kódu způsobí, že Microsoft Defender antivirové kontroly vyloučí všechny soubory otevřené zadaným procesem:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Další informace o tom, jak používat PowerShell s Microsoft Defender Antivirus, najdete v tématu Správa antivirového softwaru pomocí rutin PowerShellu a rutin Microsoft Defender Antivirus.
Použití WMI (Windows Management Instruction) k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol
Metody Set, Add a Removetřídy MSFT_MpPreference použijte pro následující vlastnosti:
ExclusionProcess
Použití možností Nastavit, Přidat a Odebrat je podobné jejich protějškům v PowerShellu: Set-MpPreference, Add-MpPreference, a Remove-MpPreference.
Další informace a povolené parametry najdete v tématu Rozhraní API WMIv2 v programu Windows Defender.
Použití aplikace Zabezpečení Windows k vyloučení souborů, které byly otevřeny zadanými procesy z kontrol
Postupujte podle pokynů v tématu Přidání vyloučení v aplikaci Zabezpečení Windows.
Kontrola seznamu vyloučení
Položky v seznamu vyloučení můžete načíst pomocí MpCmdRun, PowerShellu, Microsoft Configuration Manager, Intune nebo aplikace Zabezpečení Windows.
Pokud používáte PowerShell, můžete seznam načíst dvěma způsoby:
- Načte stav všech předvoleb antivirové ochrany Microsoft Defender. Každý ze seznamů se zobrazuje na samostatných řádcích, ale položky v každém seznamu jsou sloučeny do stejného řádku.
- Napište stav všech předvoleb do proměnné a použijte ji k volání jenom konkrétního seznamu, který vás zajímá. Každé použití je
Add-MpPreferencezapsáno na nový řádek.
Ověření seznamu vyloučení pomocí MpCmdRun
Pokud chcete zkontrolovat vyloučení pomocí vyhrazeného nástroje příkazového řádku mpcmdrun.exe, použijte následující příkaz:
MpCmdRun.exe -CheckExclusion -path <path>
Poznámka
Kontrola vyloučení pomocí MpCmdRun vyžaduje Microsoft Defender Antivirus CAMP verze 4.18.1812.3 (vydaná v prosinci 2018) nebo novější.
Zkontrolujte seznam vyloučení spolu se všemi ostatními předvolbami Microsoft Defender Antivirové ochrany pomocí PowerShellu.
Použijte následující rutinu:
Get-MpPreference
Další informace o používání PowerShellu s Microsoft Defender Antivirus najdete v tématu Použití rutin PowerShellu ke konfiguraci a spuštění rutin Microsoft Defender Antivirus a Microsoft Defender Antivirus .
Načtení konkrétního seznamu vyloučení pomocí PowerShellu
Použijte následující fragment kódu (zadejte každý řádek jako samostatný příkaz); nahraďte WDAVprefs libovolným popiskem, který chcete pojmenovat proměnnou:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Další informace o používání PowerShellu s Microsoft Defender Antivirus najdete v tématu Použití rutin PowerShellu ke konfiguraci a spouštění rutin Microsoft Defender Antivirus a Microsoft Defender Antivirus.
Tip
Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:
- Nastavení předvoleb pro Microsoft Defender pro koncový bod v macOSu
- Microsoft Defender for Endpoint v systému Mac
- Nastavení zásad antivirové ochrany macOSu pro antivirovou ochranu v Microsoft Defenderu pro Intune
- Nastavení předvoleb pro Microsoft Defender pro koncový bod v Linuxu
- Microsoft Defender for Endpoint v systému Linux
- Konfigurace funkcí Defender for Endpoint v Androidu
- Konfigurace funkcí Microsoft Defender for Endpoint v iOSu
Související články
- Konfigurace a ověření vyloučení v kontrolách antivirové ochrany Microsoft Defender
- Konfigurace a ověření vyloučení na základě názvu souboru, přípony a umístění složky
- Konfigurace vyloučení Microsoft Defender antivirové ochrany na Windows Serveru
- Běžné chyby, kterým je třeba se vyhnout při definování vyloučení
- Přizpůsobení, zahájení a kontrola výsledků kontrol a nápravy Microsoft Defender Antivirus
- Microsoft Defender Antivirus v Windows 10
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.