Udostępnij za pośrednictwem

Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu

  • Artykuł

Dotyczy:

Platformy

  • System Windows

Można zdefiniować wykluczenia dla programu antywirusowego Microsoft Defender, które mają zastosowanie do zaplanowanych skanów, skanów na żądanie oraz zawsze włączonej ochrony i monitorowania w czasie rzeczywistym. Ogólnie rzecz biorąc, nie musisz stosować wykluczeń. Jeśli musisz zastosować wykluczenia, możesz wybrać spośród następujących typów:

Ważna

Microsoft Defender wykluczenia programu antywirusowego mają zastosowanie do niektórych funkcji Ochrona punktu końcowego w usłudze Microsoft Defender, takich jak reguły zmniejszania obszaru podatnego na ataki. Niektóre Microsoft Defender wykluczenia programu antywirusowego mają zastosowanie do niektórych wykluczeń reguł usługi ASR. Zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki — Microsoft Defender wykluczenia programu antywirusowego i reguły usługi ASR. Pliki wykluczane przy użyciu metod opisanych w tym artykule mogą nadal wyzwalać alerty wykrywania i reagowania punktów końcowych (EDR) oraz inne wykrycia. Aby ogólnie wykluczyć pliki, dodaj je do Ochrona punktu końcowego w usłudze Microsoft Defender niestandardowych wskaźników.

Przed rozpoczęciem

Zobacz Zalecenia dotyczące definiowania wykluczeń przed zdefiniowaniem list wykluczeń.

Listy wykluczeń

Aby wykluczyć niektóre pliki ze skanowania programu antywirusowego Microsoft Defender, zmodyfikuj listy wykluczeń. program antywirusowy Microsoft Defender obejmuje wiele automatycznych wykluczeń opartych na znanych zachowaniach systemu operacyjnego i typowych plikach zarządzania, takich jak te używane w scenariuszach zarządzania przedsiębiorstwem, zarządzania bazami danych i innych scenariuszach przedsiębiorstwa.

Uwaga

Wykluczenia dotyczą również wykrywania potencjalnie niechcianych aplikacji (PUA ). Automatyczne wykluczenia mają zastosowanie tylko do Windows Server 2016 i nowszych. Te wykluczenia nie są widoczne w aplikacji Zabezpieczenia Windows i w programie PowerShell.

Poniższa tabela zawiera kilka przykładów wykluczeń opartych na rozszerzeniu pliku i lokalizacji folderu.

Wykluczenia Przykłady Lista wykluczeń
Dowolny plik z określonym rozszerzeniem Wszystkie pliki z określonym rozszerzeniem w dowolnym miejscu na maszynie.

Prawidłowa składnia: .test i test		 Wykluczenia rozszerzeń
Dowolny plik lub folder w określonym folderze Wszystkie pliki i foldery w folderze c:\test\sample Wykluczenia plików i folderów
Określony plik w określonym folderze Tylko plik c:\sample\sample.test Wykluczenia plików i folderów
Określony proces Plik wykonywalny c:\test\process.exe Wykluczenia plików i folderów

Charakterystyka list wykluczeń

  • Wykluczenia folderów mają zastosowanie do wszystkich plików i folderów w tym folderze, chyba że podfolder jest punktem ponownej analizy. Podfoldery punktu ponownej analizy muszą być wykluczone oddzielnie.
  • Rozszerzenia plików mają zastosowanie do dowolnej nazwy pliku ze zdefiniowanym rozszerzeniem, jeśli ścieżka lub folder nie jest zdefiniowany.

Ważne uwagi dotyczące wykluczeń opartych na rozszerzeniach plików i lokalizacjach folderów

  • Użycie symboli wieloznacznych, takich jak gwiazdka (*), zmienia sposób interpretacji reguł wykluczeń. Zobacz sekcję Używanie symboli wieloznacznych na liście wykluczeń nazwy pliku i folderu lub rozszerzenia , aby uzyskać ważne informacje o sposobie działania symboli wieloznacznych.

  • Nie wykluczaj zamapowanych dysków sieciowych. Określ rzeczywistą ścieżkę sieci.

  • Foldery, które są punktami ponownej analizy, są tworzone po uruchomieniu usługi antywirusowej Microsoft Defender, a te, które zostały dodane do listy wykluczeń, nie są uwzględniane. Uruchom ponownie usługę, ponownie uruchamiając system Windows, aby nowe punkty ponownej analizy zostały uznane za prawidłowy cel wykluczeń.

  • Wykluczenia mają zastosowanie do zaplanowanych skanów, skanów na żądanie i ochrony w czasie rzeczywistym, ale nie we wszystkich możliwościach usługi Defender for Endpoint. Aby zdefiniować wykluczenia w usłudze Defender for Endpoint, użyj niestandardowych wskaźników.

  • Domyślnie lokalne zmiany wprowadzone na listach (przez użytkowników z uprawnieniami administratora, w tym zmiany wprowadzone za pomocą programu PowerShell i WMI) są scalane z listami zdefiniowanymi (i wdrożonymi) przez zasady grupy, Configuration Manager lub Intune. Listy zasady grupy mają pierwszeństwo w przypadku konfliktów. Ponadto zmiany listy wykluczeń wprowadzone za pomocą zasady grupy są widoczne w aplikacji Zabezpieczenia Windows.

  • Aby zezwolić na lokalne zmiany w celu zastąpienia ustawień wdrożenia zarządzanego, skonfiguruj sposób scalania list wykluczeń zdefiniowanych lokalnie i globalnie.

Konfigurowanie listy wykluczeń na podstawie nazwy folderu lub rozszerzenia pliku

Można wybrać jedną z kilku metod definiowania wykluczeń dla programu antywirusowego Microsoft Defender.

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku przy użyciu Intune

Zobacz następujące artykuły:

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku przy użyciu Configuration Manager

Zobacz Jak utworzyć i wdrożyć zasady ochrony przed złośliwym kodem: ustawienia wykluczeń, aby uzyskać szczegółowe informacje na temat konfigurowania Microsoft Configuration Manager (bieżącej gałęzi).

Konfigurowanie wykluczeń folderu lub rozszerzenia pliku za pomocą zasady grupy

Uwaga

Jeśli określisz w pełni kwalifikowaną ścieżkę do pliku, tylko ten plik zostanie wykluczony. Jeśli folder jest zdefiniowany w wykluczeniu, wszystkie pliki i podkatalogi w tym folderze zostaną wykluczone.

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

  2. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Wykluczenia antywirusowe>.

  4. Otwórz ustawienie Wykluczenia ścieżki do edycji i dodaj wykluczenia.

    1. Ustaw opcję Włączone.

    2. W sekcji Opcje wybierz pozycję Pokaż.

    3. Określ każdy folder we własnym wierszu w kolumnie Nazwa wartości .

    4. Jeśli określasz plik, upewnij się, że wprowadzasz w pełni kwalifikowaną ścieżkę do pliku, w tym literę dysku, ścieżkę folderu, nazwę pliku i rozszerzenie.

    5. Wprowadź wartość 0 w kolumnie Wartość .

    6. Wybierz pozycję OK.

  5. Otwórz ustawienie Wykluczenia rozszerzeń do edycji i dodaj wykluczenia.

    1. Ustaw opcję Włączone.

    2. W sekcji Opcje wybierz pozycję Pokaż.

    3. Wprowadź każde rozszerzenie pliku we własnym wierszu w kolumnie Nazwa wartości .

    4. Wprowadź wartość 0 w kolumnie Wartość .

    5. Wybierz pozycję OK.

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku przy użyciu poleceń cmdlet programu PowerShell

Używanie programu PowerShell do dodawania lub usuwania wykluczeń dla plików na podstawie rozszerzenia, lokalizacji lub nazwy pliku wymaga użycia kombinacji trzech poleceń cmdlet i odpowiedniego parametru listy wykluczeń. Wszystkie polecenia cmdlet znajdują się w module defender.

Format poleceń cmdlet jest następujący:

<cmdlet> -<exclusion list> "<item>"

W poniższej tabeli wymieniono polecenia cmdlet, których można użyć w <cmdlet> części polecenia cmdlet programu PowerShell:

Akcja konfiguracji Polecenie cmdlet programu PowerShell
Tworzenie lub zastępowanie listy Set-MpPreference
Dodaj do listy Add-MpPreference
Usuwanie elementu z listy Remove-MpPreference

W poniższej tabeli wymieniono wartości, których można użyć w <exclusion list> części polecenia cmdlet programu PowerShell:

Typ wykluczenia Parametr programu PowerShell
Wszystkie pliki z określonym rozszerzeniem pliku -ExclusionExtension
Wszystkie pliki w folderze (w tym pliki w podkatalogach) lub określony plik -ExclusionPath

Ważna

Jeśli utworzono listę za pomocą Set-MpPreference polecenia cmdlet lub Add-MpPreference, polecenie Set-MpPreference cmdlet ponownie zastąpi istniejącą listę.

Na przykład poniższy fragment kodu może spowodować, że skanowanie programu antywirusowego Microsoft Defender wykluczy dowolny plik z rozszerzeniem .test pliku:

Add-MpPreference -ExclusionExtension ".test"

Porada

Aby uzyskać więcej informacji, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Microsoft Defender Antivirus i Program antywirusowy Defender.

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku za pomocą narzędzia Windows Management Instrumentation (WMI)

Użyj metod Set, Add i Remove klasy MSFT_MpPreference dla następujących właściwości:

ExclusionExtension
ExclusionPath

Używanie ustawień, dodawania i usuwania jest analogiczne do ich odpowiedników w programie PowerShell: Set-MpPreference, Add-MpPreferencei Remove-MpPreference.

Porada

Aby uzyskać więcej informacji, zobacz Interfejsy API WMIv2 usługi Windows Defender.

Konfigurowanie wykluczeń nazwy pliku, folderu lub rozszerzenia pliku za pomocą aplikacji Zabezpieczenia Windows

Aby uzyskać instrukcje, zobacz Dodawanie wykluczeń w aplikacji Zabezpieczenia Windows.

Użyj symboli wieloznacznych na liście wykluczeń nazwy pliku i folderu lub rozszerzenia

Podczas definiowania elementów na liście wykluczeń nazwy pliku lub ścieżki folderu można użyć gwiazdki *, znaku ?zapytania lub zmiennych środowiskowych (takich jak %ALLUSERSPROFILE%) jako symboli wieloznacznych. Zmienne środowiskowe i zmienne ? środowiskowe można mieszać i dopasowywać * do pojedynczego wykluczenia. Sposób interpretowania tych symboli wieloznacznych różni się od ich zwykłego użycia w innych aplikacjach i językach. Zapoznaj się z tą sekcją, aby zrozumieć ich konkretne ograniczenia.

Ważna

Istnieją kluczowe ograniczenia i scenariusze użycia dla tych symboli wieloznacznych:

  • Użycie zmiennej środowiskowej jest ograniczone do zmiennych maszynowych i tych mających zastosowanie do procesów uruchomionych jako konto NT AUTHORITY\SYSTEM.
  • Można użyć maksymalnie sześciu symboli wieloznacznych na wpis.
  • Nie można użyć symbolu wieloznacznego zamiast litery dysku.
  • Gwiazdka * w wykluczeniu folderu jest w miejscu dla pojedynczego folderu. Użyj wielu wystąpień, \*\ aby wskazać wiele zagnieżdżonych folderów o nieokreślonych nazwach.

W poniższej tabeli opisano sposób użycia symboli wieloznacznych i przedstawiono kilka przykładów.

Symbol wieloznaczny Przykłady
* (gwiazdka)

W dołączaniu nazwy pliku i rozszerzenia pliku gwiazdka zastępuje dowolną liczbę znaków i dotyczy tylko plików w ostatnim folderze zdefiniowanym w argumencie.

W przypadku wykluczeń folderów gwiazdka zastępuje pojedynczy folder. Użyj wielu * z ukośnikami folderów \ , aby wskazać wiele zagnieżdżonych folderów. Po dopasowaniu liczby folderów z symbolami wieloznacznymi i nazwanych uwzględniono również wszystkie podfoldery.		 C:\MyData\*.txt Zawiera C:\MyData\notes.txt

C:\somepath\*\Data zawiera dowolny plik i C:\somepath\Archives\Data jego podfoldery oraz C:\somepath\Authorized\Data jego podfoldery i jego podfoldery

C:\Serv\*\*\Backup zawiera dowolny plik i C:\Serv\Primary\Denied\Backup jego podfoldery oraz C:\Serv\Secondary\Allowed\Backup jego podfoldery i jego podfoldery
? (znak zapytania)

W dołączaniu nazwy pliku i rozszerzenia pliku znak zapytania zastępuje pojedynczy znak i dotyczy tylko plików w ostatnim folderze zdefiniowanym w argumencie.

W przypadku wykluczeń folderów znak zapytania zastępuje pojedynczy znak w nazwie folderu. Po dopasowaniu liczby folderów z symbolami wieloznacznymi i nazwanych uwzględniono również wszystkie podfoldery.		 C:\MyData\my?.zip Zawiera C:\MyData\my1.zip

C:\somepath\?\Data zawiera dowolny plik i C:\somepath\P\Data jego podfoldery

C:\somepath\test0?\Data plików i C:\somepath\test01\Data jego podfolderów
Zmienne środowiskowe

Zdefiniowana zmienna jest wypełniana jako ścieżka podczas oceniania wykluczenia.		 %ALLUSERSPROFILE%\CustomLogFiles będzie obejmować C:\ProgramData\CustomLogFiles\Folder1\file1.txt
Mieszaj i dopasuj

Zmienne środowiskowe * i ? mogą być łączone w pojedyncze wykluczenie		 %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe będzie obejmować c:\Program Files\Contoso Labs\v1\bin\contoso.exe

Ważna

W przypadku mieszania argumentu wykluczenia pliku z argumentem wykluczenia folderu reguły zatrzymują się w dopasowanym folderze argumentu pliku i nie poszukają dopasowań plików w żadnych podfolderach. Można na przykład wykluczyć wszystkie pliki rozpoczynające się od "date" w folderach c:\data\final\marked i c:\data\review\marked za pomocą argumentu c:\data\*\marked\date*reguły . Ten argument nie pasuje do żadnych plików w podfolderach w obszarze c:\data\final\marked lub c:\data\review\marked.

Systemowe zmienne środowiskowe

W poniższej tabeli wymieniono i opisano zmienne środowiskowe konta systemowego.

Ta systemowa zmienna środowiskowa... Przekierowuje do tego
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Przejrzyj listę wykluczeń

Elementy na liście wykluczeń można pobrać przy użyciu jednej z następujących metod:

Ważna

Zmiany listy wykluczeń wprowadzone za pomocą zasady grupy będą wyświetlane na listach aplikacji Zabezpieczenia Windows. Zmiany wprowadzone w aplikacji Zabezpieczenia Windows nie będą wyświetlane na listach zasady grupy.

Jeśli używasz programu PowerShell, możesz pobrać listę na dwa sposoby:

  • Pobierz stan wszystkich preferencji programu antywirusowego Microsoft Defender. Każda lista jest wyświetlana w oddzielnych wierszach, ale elementy na każdej liście są łączone w ten sam wiersz.
  • Zapisz stan wszystkich preferencji w zmiennej i użyj tej zmiennej, aby wywołać tylko konkretną listę, którą Cię interesuje. Każde użycie Add-MpPreference jest zapisywane w nowym wierszu.

Weryfikowanie listy wykluczeń przy użyciu polecenia MpCmdRun

Aby sprawdzić wykluczenia za pomocą dedykowanego narzędzia wiersza polecenia mpcmdrun.exe, użyj następującego polecenia:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Uwaga

Sprawdzanie wykluczeń przy MpCmdRun użyciu programu antywirusowego Microsoft Defender w wersji 4.18.2111-5.0 (wydanej w grudniu 2021 r.) lub nowszej.

Przejrzyj listę wykluczeń wraz ze wszystkimi innymi preferencjami programu antywirusowego Microsoft Defender przy użyciu programu PowerShell

Użyj następującego polecenia cmdlet:

Get-MpPreference

W poniższym przykładzie wyróżniono elementy znajdujące się na ExclusionExtension liście:

Dane wyjściowe programu PowerShell dla polecenia Get-MpPreference

Aby uzyskać więcej informacji, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Microsoft Defender Antivirus i Program antywirusowy Defender.

Pobieranie określonej listy wykluczeń przy użyciu programu PowerShell

Użyj następującego fragmentu kodu (wprowadź każdy wiersz jako oddzielne polecenie); Zastąp elementy WDAVprefs dowolną etykietą, którą chcesz nazwać zmienną:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

W poniższym przykładzie lista jest podzielona na nowe wiersze dla każdego użycia Add-MpPreference polecenia cmdlet:

Dane wyjściowe programu PowerShell zawierające tylko wpisy na liście wykluczeń

Aby uzyskać więcej informacji, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Microsoft Defender Antivirus i Program antywirusowy Defender.

Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR

Możesz sprawdzić, czy listy wykluczeń Invoke-WebRequest działają, używając programu PowerShell z poleceniem cmdlet lub klasą WebClient platformy .NET w celu pobrania pliku testowego.

W poniższym fragmencie kodu programu PowerShell zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczasz rozszerzenie, zastąp .testing ciąg test.txttest.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie cmdlet w tej ścieżce.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Jeśli Microsoft Defender program antywirusowy zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.

Możesz również użyć następującego kodu programu PowerShell, który wywołuje klasę WebClient platformy .NET w celu pobrania pliku testowego — podobnie jak w Invoke-WebRequest przypadku polecenia cmdlet; zastąp c:\test.txt ciąg plikiem zgodnym z weryfikowaną regułą:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR, zapisując ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia programu PowerShell:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.