Configurar e validar exclusões com base na extensão de ficheiro e na localização da pasta
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Antivírus do Microsoft Defender
Plataformas
- Windows
Pode definir exclusões para Microsoft Defender Antivírus que se aplicam a análises agendadas, análises a pedido e proteção e monitorização sempre ativas e em tempo real. Geralmente, não precisa de aplicar exclusões. Se precisar de aplicar exclusões, pode escolher entre os seguintes tipos:
- Exclusões baseadas em extensões de ficheiros e localizações de pastas (descrito neste artigo)
- Exclusões de ficheiros abertos por processos
Importante
Microsoft Defender as exclusões antivírus aplicam-se a algumas capacidades de Microsoft Defender para Endpoint, como regras de redução da superfície de ataque. Algumas Microsoft Defender exclusões de Antivírus são aplicáveis a algumas exclusões de regras do ASR. Veja Referência das regras de redução da superfície de ataque - Microsoft Defender Exclusões de antivírus e regras ASR. Os ficheiros que excluir através dos métodos descritos neste artigo ainda podem acionar alertas de Deteção e Resposta de Pontos Finais (EDR) e outras deteções. Para excluir ficheiros amplamente, adicione-os aos Microsoft Defender para Endpoint indicadores personalizados.
Antes de começar
Veja Recomendações para definir exclusões antes de definir as listas de exclusão.
Listas de exclusão
Para excluir determinados ficheiros de Microsoft Defender análises antivírus, modifique as listas de exclusão. Microsoft Defender Antivírus inclui muitas exclusões automáticas com base em comportamentos conhecidos do sistema operativo e ficheiros de gestão típicos, como os utilizados na gestão empresarial, na gestão de bases de dados e noutros cenários empresariais.
Nota
As exclusões também se aplicam a deteções de aplicações potencialmente indesejadas (PUA ). As exclusões automáticas aplicam-se apenas a Windows Server 2016 e posteriores. Estas exclusões não são visíveis na aplicação Segurança do Windows e no PowerShell.
A tabela seguinte lista alguns exemplos de exclusões com base na extensão de ficheiro e na localização da pasta.
Exclusão | Exemplos | Lista de exclusão |
---|---|---|
Qualquer ficheiro com uma extensão específica | Todos os ficheiros com a extensão especificada, em qualquer parte do computador. Sintaxe válida: .test e test |
Exclusões de extensões |
Qualquer ficheiro ou pasta numa pasta específica | Todos os ficheiros e pastas na c:\test\sample pasta |
Exclusões de ficheiros e pastas |
Um ficheiro específico numa pasta específica | Apenas o ficheiro c:\sample\sample.test |
Exclusões de ficheiros e pastas |
Um processo específico | O ficheiro executável c:\test\process.exe |
Exclusões de ficheiros e pastas |
Características das listas de exclusão
- As exclusões de pastas aplicam-se a todos os ficheiros e pastas nessa pasta, a menos que a subpasta seja um ponto de reação. As subpastas de ponto de nova análise têm de ser excluídas separadamente.
- As extensões de ficheiro aplicam-se a qualquer nome de ficheiro com a extensão definida se um caminho ou pasta não estiver definido.
Notas importantes sobre exclusões baseadas em extensões de ficheiros e localizações de pastas
A utilização de carateres universais, como o asterisco (*), altera a forma como as regras de exclusão são interpretadas. Consulte a secção Utilizar carateres universais nas listas de exclusão de nome de ficheiro e de pasta ou extensão para obter informações importantes sobre como funcionam os carateres universais.
Não exclua unidades de rede mapeadas. Especifique o caminho de rede real.
As pastas que são pontos de reanálise são criadas após o início do serviço Antivírus Microsoft Defender e as que foram adicionadas à lista de exclusão não são incluídas. Reinicie o serviço reiniciando o Windows para que os novos pontos de reanálise sejam reconhecidos como um destino de exclusão válido.
As exclusões aplicam-se a análises agendadas, análises a pedido e proteção em tempo real, mas não em todas as capacidades do Defender para Endpoint. Para definir exclusões no Defender para Endpoint, utilize indicadores personalizados.
Por predefinição, as alterações locais efetuadas às listas (por utilizadores com privilégios de administrador, incluindo alterações efetuadas com o PowerShell e o WMI) são intercaladas com as listas definidas (e implementadas) por Política de Grupo, Configuration Manager ou Intune. As listas de Política de Grupo têm precedência quando existem conflitos. Além disso, as alterações à lista de exclusão efetuadas com Política de Grupo são visíveis na aplicação Segurança do Windows.
Para permitir que as alterações locais substituam as definições de implementação gerida, configure a forma como as listas de exclusões definidas localmente e globalmente são intercaladas.
Configurar a lista de exclusões com base no nome da pasta ou na extensão de ficheiro
Pode escolher entre vários métodos para definir exclusões para Microsoft Defender Antivírus.
Utilizar Intune para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro
Veja os seguintes artigos:
- Configurar definições de restrição de dispositivos no Microsoft Intune
- Microsoft Defender definições de restrição de dispositivos antivírus para Windows 10 no Intune
Utilizar Configuration Manager para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro
Veja Como criar e implementar políticas antimalware: Definições de exclusão para obter detalhes sobre como configurar Microsoft Configuration Manager (ramo atual).
Utilizar Política de Grupo para configurar exclusões de extensões de ficheiros ou pastas
Nota
Se especificar um caminho completamente qualificado para um ficheiro, apenas esse ficheiro será excluído. Se uma pasta for definida na exclusão, todos os ficheiros e subdiretórios nessa pasta serão excluídos.
No seu computador de gestão de Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.
No Política de Grupo Management Revisor aceda a Configuração do computador e selecione Modelos administrativos.
Expanda a árvore para componentes> do Windows Microsoft DefenderExclusões>de Antivírus.
Abra a definição Exclusões de Caminho para edição e adicione as exclusões.
Defina a opção como Ativado.
Na secção Opções , selecione Mostrar.
Especifique cada pasta na sua própria linha na coluna Nome do valor .
Se estiver a especificar um ficheiro, certifique-se de que introduz um caminho completamente qualificado para o ficheiro, incluindo a letra de unidade, o caminho da pasta, o nome do ficheiro e a extensão.
Introduza 0 na coluna Valor .
Selecione OK.
Abra a definição Exclusões de Extensão para editar e adicionar as exclusões.
Defina a opção como Ativado.
Na secção Opções , selecione Mostrar.
Introduza cada extensão de ficheiro na sua própria linha na coluna Nome do valor .
Introduza 0 na coluna Valor .
Selecione OK.
Utilizar cmdlets do PowerShell para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro
A utilização do PowerShell para adicionar ou remover exclusões de ficheiros com base na extensão, localização ou nome de ficheiro requer a utilização de uma combinação de três cmdlets e o parâmetro de lista de exclusão adequado. Os cmdlets estão todos no módulo do Defender.
O formato dos cmdlets é o seguinte:
<cmdlet> -<exclusion list> "<item>"
A tabela seguinte lista os cmdlets que pode utilizar na <cmdlet>
parte do cmdlet do PowerShell:
Ação de configuração | Cmdlet do PowerShell |
---|---|
Criar ou substituir a lista | Set-MpPreference |
Adicionar à lista | Add-MpPreference |
Remover item da lista | Remove-MpPreference |
A tabela seguinte lista os valores que pode utilizar na <exclusion list>
parte do cmdlet do PowerShell:
Tipo de exclusão | Parâmetro do PowerShell |
---|---|
Todos os ficheiros com uma extensão de ficheiro especificada | -ExclusionExtension |
Todos os ficheiros numa pasta (incluindo ficheiros em subdiretórios) ou um ficheiro específico | -ExclusionPath |
Importante
Se tiver criado uma lista, com Set-MpPreference
ou Add-MpPreference
, a utilização do Set-MpPreference
cmdlet substitui novamente a lista existente.
Por exemplo, o fragmento de código seguinte faria com que Microsoft Defender análises antivírus excluíssem qualquer ficheiro com a extensão de .test
ficheiro:
Add-MpPreference -ExclusionExtension ".test"
Sugestão
Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.
Utilizar o Windows Management Instrumentation (WMI) para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro
Utilize os métodos Definir, Adicionar e Remover da classe MSFT_MpPreference para as seguintes propriedades:
ExclusionExtension
ExclusionPath
Utilizar Definir, Adicionar e Remover é análogo aos seus homólogos no PowerShell: Set-MpPreference
, Add-MpPreference
e Remove-MpPreference
.
Sugestão
Para obter mais informações, veja APIs WMIv2 do Windows Defender.
Utilizar a aplicação Segurança do Windows para configurar exclusões de nome de ficheiro, pasta ou extensão de ficheiro
Veja Adicionar exclusões na aplicação Segurança do Windows para obter instruções.
Utilizar carateres universais nas listas de exclusão de ficheiros e caminhos de pastas ou extensões
Pode utilizar o asterisco *
, o ponto de interrogação ?
ou as variáveis de ambiente (como %ALLUSERSPROFILE%
) como carateres universais ao definir itens na lista de exclusão do nome do ficheiro ou do caminho da pasta. Pode combinar variáveis *
de ambiente e ?
numa única exclusão. A forma como estes carateres universais são interpretados difere da utilização habitual noutras aplicações e idiomas. Certifique-se de que lê esta secção para compreender as limitações específicas.
Importante
Existem limitações fundamentais e cenários de utilização para estes carateres universais:
- A utilização de variáveis de ambiente está limitada a variáveis de computador e às aplicáveis aos processos em execução como uma conta NT AUTHORITY\SYSTEM.
- Só pode utilizar um máximo de seis carateres universais por entrada.
- Não pode utilizar um caráter universal em vez de uma letra de unidade.
- Um asterisco
*
numa exclusão de pastas está implementado para uma única pasta. Utilize várias instâncias de\*\
para indicar múltiplas pastas aninhadas com nomes não especificados.
A tabela seguinte descreve como os carateres universais podem ser utilizados e fornece alguns exemplos.
Caráter universal | Exemplos |
---|---|
* (asterisco)Nas inclusãos de nome de ficheiro e extensão de ficheiro, o asterisco substitui qualquer número de carateres e aplica-se apenas a ficheiros na última pasta definida no argumento. Nas exclusões de pastas, o asterisco substitui uma única pasta. Utilize várias * com barras \ de pastas para indicar várias pastas aninhadas. Depois de corresponderem ao número de pastas com caráter selvagem e com nome, todas as subpastas também são incluídas. |
C:\MyData\*.txt inclui C:\MyData\notes.txt C:\somepath\*\Data inclui qualquer ficheiro nas C:\somepath\Archives\Data respetivas subpastas, bem como C:\somepath\Authorized\Data as respetivas subpastasC:\Serv\*\*\Backup inclui qualquer ficheiro nas C:\Serv\Primary\Denied\Backup respetivas subpastas, bem como C:\Serv\Secondary\Allowed\Backup as respetivas subpastas |
? (ponto de interrogação)Nas inclusãos de nome de ficheiro e extensão de ficheiro, o ponto de interrogação substitui um único caráter e aplica-se apenas a ficheiros na última pasta definida no argumento. Nas exclusões de pastas, o ponto de interrogação substitui um único caráter num nome de pasta. Depois de corresponderem ao número de pastas com caráter selvagem e com nome, todas as subpastas também são incluídas. |
C:\MyData\my?.zip inclui C:\MyData\my1.zip C:\somepath\?\Data inclui qualquer ficheiro no C:\somepath\P\Data e respetivas subpastasC:\somepath\test0?\Data incluiria qualquer ficheiro no C:\somepath\test01\Data e as respetivas subpastas |
Variáveis de ambiente A variável definida é preenchida como um caminho quando a exclusão é avaliada. |
%ALLUSERSPROFILE%\CustomLogFiles incluiria C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Misturar e Corresponder Variáveis de ambiente e ? podem ser combinadas * numa única exclusão |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe incluiria c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Importante
Se misturar um argumento de exclusão de ficheiro com um argumento de exclusão de pasta, as regras param no argumento de ficheiro na pasta correspondente e não procuram correspondências de ficheiros em subpastas.
Por exemplo, pode excluir todos os ficheiros que começam com "data" nas pastas c:\data\final\marked
e c:\data\review\marked
através do argumento c:\data\*\marked\date*
de regra .
Este argumento não corresponde a quaisquer ficheiros em subpastas em c:\data\final\marked
ou c:\data\review\marked
.
Variáveis de ambiente do sistema
A tabela seguinte lista e descreve as variáveis de ambiente da conta de sistema.
Esta variável de ambiente de sistema... | Redireciona para este |
---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Rever a lista de exclusões
Pode obter os itens na lista de exclusão com um dos seguintes métodos:
Importante
As alterações à lista de exclusão efetuadas com Política de Grupo serão apresentadas nas listas de Segurança do Windows aplicação. As alterações efetuadas na aplicação Segurança do Windows não serão apresentadas nas listas de Política de Grupo.
Se utilizar o PowerShell, pode obter a lista das duas formas seguintes:
- Obtenha o estado de todas as preferências do Antivírus Microsoft Defender. Cada lista é apresentada em linhas separadas, mas os itens dentro de cada lista são combinados na mesma linha.
- Escreva o estado de todas as preferências numa variável e utilize essa variável para chamar apenas a lista específica na qual está interessado. Cada utilização de
Add-MpPreference
é escrita numa nova linha.
Validar a lista de exclusão com MpCmdRun
Para verificar as exclusões com a ferramenta de linha de comandos dedicada mpcmdrun.exe, utilize o seguinte comando:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Nota
Verificar exclusões com MpCmdRun
requer Microsoft Defender Versão do Antivírus 4.18.2111-5.0 (lançada em dezembro de 2021) ou posterior.
Reveja a lista de exclusões juntamente com todas as outras preferências do Antivírus Microsoft Defender com o PowerShell
Utilize o seguinte cmdlet:
Get-MpPreference
No exemplo seguinte, os itens contidos na ExclusionExtension
lista estão realçados:
Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.
Obter uma lista de exclusões específica com o PowerShell
Utilize o seguinte fragmento de código (introduza cada linha como um comando separado); substitua WDAVprefs por qualquer etiqueta que pretenda atribuir à variável:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
No exemplo seguinte, a lista é dividida em novas linhas para cada utilização do Add-MpPreference
cmdlet:
Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.
Validar listas de exclusões com o ficheiro de teste EICAR
Pode validar que as suas listas de exclusão estão a funcionar com o PowerShell com o Invoke-WebRequest
cmdlet ou a classe WebClient .NET para transferir um ficheiro de teste.
No fragmento do PowerShell seguinte, substitua por test.txt
um ficheiro em conformidade com as regras de exclusão. Por exemplo, se estiver a excluir a .testing
extensão, substitua por test.testing
test.txt
. Se estiver a testar um caminho, certifique-se de que executa o cmdlet nesse caminho.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Se Microsoft Defender Antivírus comunica software maligno, a regra não está a funcionar. Se não existir nenhum relatório de software maligno e o ficheiro transferido existir, significa que a exclusão está a funcionar. Pode abrir o ficheiro para confirmar que os conteúdos são os mesmos que são descritos no site do ficheiro de teste EICAR.
Também pode utilizar o seguinte código do PowerShell, que chama a classe WebClient .NET para transferir o ficheiro de teste , tal como acontece com o Invoke-WebRequest
cmdlet; substitua por c:\test.txt
um ficheiro em conformidade com a regra que está a validar:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Se não tiver acesso à Internet, pode criar o seu próprio ficheiro de teste EICAR ao escrever a cadeia EICAR num novo ficheiro de texto com o seguinte comando do PowerShell:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Também pode copiar a cadeia para um ficheiro de texto em branco e tentar guardá-la com o nome do ficheiro ou na pasta que está a tentar excluir.
Consulte também
- Configurar e validar exclusões nas análises do Antivírus do Microsoft Defender
- Configurar e validar exclusões para ficheiros abertos por processos
- Configurar exclusões do Antivírus do Microsoft Defender no Windows Server
- Erros comuns a evitar ao definir exclusões
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.