管理排除项引用
每个版本的 Defender for Endpoint 都通过受支持的管理工具提供对排除项的管理。 本文总结了如何使用各种管理工具配置排除项。
管理 Windows 设备的排除项
下表显示了每个管理工具支持哪些排除类型。 在表中,使用了某些缩写:
- “自定义 AV”是指自定义防病毒排除项。
- “仅限 ASR”仅指攻击面减少功能的排除项。
- “每个规则的 ASR”是指每个规则排除的攻击面减少。
- “CFA”是指受控文件夹访问权限
- “自动化”是指自动调查 & 修正的文件夹排除项。
- “禁用自动”是指在 Windows Server 2016 及更高版本上禁用自动防病毒排除。
| 管理 | 自定义 AV | 仅限 ASR | 每个规则的 ASR | 终审 法院 | 自动化 | 禁用自动 |
|---|---|---|---|---|---|---|
| Defender 门户 |
|
|
|
|
|
|
| Intune |
|
|
|
|
|
|
| MDM CSP |
|
|
|
|
|
|
| PowerShell |
|
|
|
|
|
|
| GPO |
|
|
|
|
|
|
| WMI |
|
|
|
|
|
|
| 配置管理器 |
|
|
|
|
|
|
Microsoft Defender门户
可以在Microsoft Defender门户中管理许多排除项。
| 排除类型 | 说明 |
|---|---|
| 自定义防病毒排除项 | 1. 在Microsoft Defender门户中,转到“终结点>配置管理>终结点安全策略>”“Windows 策略”。 2.选择“ 创建新策略”。 3.对于“平台”,请选择“Windows 10”、“Windows 11”和“Windows Server”。 4. 选择模板并定义排除项。 Microsoft Defender防病毒排除项和Microsoft Defender防病毒都支持自定义防病毒排除项。 |
| 仅攻击面减少排除项 | 1. 在Microsoft Defender门户中,转到“终结点>配置管理>终结点安全策略>”“Windows 策略”。 2.选择“创建新策略” 3.对于“平台”,请选择“Windows 10”、“Windows 11”和“Windows Server”。 4.选择 “攻击面减少规则” 模板。 5. 向下滚动到 “仅攻击面减少排除项” 并定义排除项。 |
| 每个规则排除的攻击面减少规则 | 1. 在Microsoft Defender门户中,转到“终结点>配置管理>终结点安全策略>”“Windows 策略”。 2.选择“创建新策略” 3.对于“平台”,请选择“Windows 10”、“Windows 11”和“Windows Server”。 4.选择 “攻击面减少规则” 模板。 5. 向下滚动到规则以创建排除项。 6. 将其从 “未配置” 更改为 Block、Audit或 Warn。 7.选择“ 添加 ”以指定要排除的路径。 |
| 受控文件夹访问排除 | 1. 在Microsoft Defender门户中,转到“终结点>配置管理>终结点安全策略>”“Windows 策略”。 2.选择“创建新策略” 3.对于“平台”,请选择“Windows 10”、“Windows 11”和“Windows Server”。 4.选择 “攻击面减少规则” 模板。 5. 向下滚动到 “受控文件夹访问允许的应用程序” 并定义排除项。 |
| 自动化文件夹排除 | 1. 在Microsoft Defender门户中,转到“设置终结点>规则>”“自动化文件夹排除项”> 2. 选择“ 新建文件夹排除” 并定义排除项。 |
| 自动防病毒排除 | Microsoft Defender门户中不支持。 |
注意
IP Address Exclusions无法在Microsoft Defender门户中配置。
了解详细信息:
Intune
许多排除项可以在Microsoft Intune管理中心进行管理。
| 排除类型 | 说明 |
|---|---|
| 自定义防病毒排除 | 1. 在 Intune 管理中心,转到“家庭>终结点安全>防病毒”。 2.选择“ 创建策略”。 3.对于 “平台”,选择“ Windows”。 4.选择模板。 Microsoft Defender防病毒排除和Microsoft Defender防病毒都支持自定义防病毒排除 |
| 攻击面减少规则仅限排除项 | 1. 在Intune管理中心,转到“主页>终结点安全>攻击面减少”。 2.选择“ 创建策略”。 3.对于 “平台”,选择“ Windows”。 4. 对于 “配置文件”,选择“ 攻击面减少规则”。 5. 在 “配置设置”下,向下滚动到 “仅攻击面减少排除项”。 |
| 每个规则排除的攻击面减少 | 1. 在Intune管理中心,转到“主页>终结点安全>攻击面减少”。 2.选择“ 创建策略”。 3.对于 “平台”,选择“ Windows”。 4. 对于 “配置文件”,选择“ 攻击面减少规则”。 5. 在 “配置设置”下,向下滚动到规则以创建排除项。 6.将其从 Not configured 更改为 Block、Audit或 Warn。 7.选择“ 添加” 以输入要排除的路径。 |
| 受控文件夹访问排除 | 1. 在Intune管理中心,转到“主页>终结点安全>攻击面减少”。 2.选择“ 创建策略”。 3.对于 “平台”,选择“ Windows”。 4. 对于 “配置文件”,选择“ 攻击面减少规则”。 5. 在 “配置设置”下,向下滚动到 “受控文件夹访问允许的应用程序”。 |
| 自动化文件夹排除 | 不支持 |
| 自动防病毒排除 | Intune管理中心不支持。 |
了解详细信息:
MDM CSP
| 排除类型 | OMA-URI |
|---|---|
| 自定义防病毒排除: ExcludedProcesses |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses |
| 自定义防病毒排除: ExcludedPaths |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths |
| 自定义防病毒排除: ExcludedExtensions |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions |
| 仅攻击面减少排除项: AttackSurfaceReductionOnlyExclusions |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions |
| 受控文件夹访问排除: ControlledFolderAccessAllowedApplications |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications |
了解详细信息:
PowerShell
在 Set-MpPreferenceDefender PowerShell 模块中使用 或Get-MpPreference。
| 排除类型 | Flag | 说明 |
|---|---|---|
| 自定义防病毒排除 | ExclusionIpAddress |
要从计划和实时扫描中排除的 IP 地址 |
| 自定义防病毒排除 | ExclusionPath |
要从计划扫描和实时扫描中排除的文件路径 |
| 自定义防病毒排除 | ExclusionProcess |
从计划和实时扫描中排除这些进程打开的文件 |
| 自定义防病毒排除 | ExclusionExtension |
要从计划扫描、自定义扫描和实时扫描中排除的文件扩展名(如 obj 或 lib) |
| 仅排除攻击面减少 | AttackSurfaceReductionOnlyExclusions |
指定要排除的文件和路径 |
| 每个规则排除的攻击面减少 | 不适用 | 不支持 |
| 受控文件夹访问异常 | ControlledFolderAccessAllowedApplications |
指定可在受控文件夹中进行更改的应用程序 |
| 自动化文件夹排除 | 不适用 | 不支持 |
| 自动防病毒排除 (仅适用于Windows Server 2016及更高版本) |
DisableAutoExclusions |
禁用自动防病毒排除 |
组策略 对象 (GPO)
| 排除类型 | 设置位置 | 参考 |
|---|---|---|
| 自定义防病毒排除 - 路径 | Windows 组件>Microsoft Defender防病毒>排除路径>排除项 | 请参阅使用组策略配置文件夹或文件扩展名排除项 |
| 自定义防病毒排除 - 进程 | Windows 组件>Microsoft Defender防病毒>排除>进程排除 | 请参阅使用组策略从扫描中排除指定进程打开的文件 |
| 攻击面减少仅排除项 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少>从攻击面减少规则中排除文件和路径 | 请参阅组策略 |
| 每个规则排除的攻击面减少规则 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少>将排除项列表应用于特定攻击面减少 (ASR) 规则 | 请参阅组策略 |
| 自动防病毒排除 | Windows 组件>已启用Microsoft Defender防病毒>排除项> | 请参阅使用组策略禁用Windows Server 2016、Windows Server 2019 和 Windows Server 2022 上的自动排除列表 |
| 自动化文件夹排除 | 不支持 | |
| 受控文件夹访问排除项 | Windows 组件>Microsoft Defender防病毒>Windows Defender Exploit Guard>受控文件夹访问>配置允许的应用程序 | 请参阅 使用组策略允许特定应用 |
Windows Management Instrumentation (WMI)
| 排除类型 | 属性 |
|---|---|
| 自定义防病毒排除 - 路径 | ExclusionPath |
| 自定义防病毒排除 - 扩展 | ExclusionExtension |
| 自定义防病毒排除 - 进程 | ExclusionProcess |
| 攻击面减少仅排除项 | 不支持 |
| 每个规则排除的攻击面减少规则 | 不支持 |
| 自动防病毒排除 | DisableAutoExclusions |
| 受控文件夹访问排除项 | 不支持 |
| 自动化文件夹排除 | 不支持 |
了解详细信息:
Configuration Manager
| 排除类型 | 参考 |
|---|---|
| 自定义防病毒排除 | 请参阅 排除设置 |
| 攻击面减少仅排除项 | 请参阅Microsoft Configuration Manager |
| 每个规则排除的攻击面减少规则 | 不支持 |
| 受控文件夹访问排除项 | 请参阅Microsoft Configuration Manager |
| 自动化文件夹排除 | 不支持 |
管理 Linux 的排除项
可以从 Linux 上的 Defender for Endpoint 中排除某些文件、文件夹、进程和进程打开的文件。
请参阅在 Linux 上配置和验证Microsoft Defender for Endpoint排除项。
管理 macOS 的排除项
可以从 Mac 上的 Defender for Endpoint 扫描中排除某些文件、文件夹、进程和进程打开的文件。
请参阅配置和验证 macOS 上Microsoft Defender for Endpoint的排除项。