根據擴展名和資料夾位置來設定和驗證排除專案
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender 防毒軟體
平台
- Windows
您可以定義適用於排程掃描、隨選掃描,以及一律開啟、實時保護和監視的 Microsoft Defender 防病毒軟體排除專案。 一般而言,您不需要套用排除專案。 如果您需要套用排除專案,則可以選擇下列類型:
- 本文所述的擴展名和資料夾位置 (排除專案)
- 由進程開啟之檔案的排除專案
重要事項
Microsoft Defender 防病毒軟體排除專案確實適用於某些 適用於端點的 Microsoft Defender 功能,例如受攻擊面縮小規則。 某些 Microsoft Defender 防病毒軟體排除專案適用於某些 ASR 規則排除專案。 請參閱受攻擊面縮小規則參考 - Microsoft Defender 防病毒軟體排除專案和 ASR 規則。 您使用本文所述的方法排除的檔案,仍然可以觸發端點偵測和回應 (EDR) 警示和其他偵測。 若要廣泛排除檔案,請將檔案新增至 適用於端點的 Microsoft Defender 自定義指標。
開始之前
請參閱定義排除清單之前 定義排除範圍的建議 。
排除清單
若要從防病毒軟體掃描 Microsoft Defender 排除特定檔案,請修改排除清單。 Microsoft Defender 防病毒軟體包含許多根據已知操作系統行為和一般管理檔案的自動排除專案,例如用於企業管理、資料庫管理和其他企業案例的檔案。
注意事項
排除範圍也適用於 可能不需要的應用程式 (PUA) 偵測 。 自動排除專案僅適用於 Windows Server 2016 及更新版本。 這些排除專案不會顯示在 Windows 安全性 應用程式和 PowerShell 中。
下表列出一些以擴展名和資料夾位置為基礎的排除範例。
| 排除 | 範例 | 排除清單 |
|---|---|---|
| 任何具有特定擴展名的檔案 | 所有具有指定擴展名的檔案,位於計算機上的任何位置。 有效的語法: .test 和 test |
延伸模組排除專案 |
| 特定資料夾下的任何檔案或資料夾 | 資料夾下 c:\test\sample 的所有檔案和資料夾 |
檔案和資料夾排除 |
| 特定資料夾中的特定檔案 | 僅限檔案c:\sample\sample.test |
檔案和資料夾排除 |
| 特定程式 | 可執行檔 c:\test\process.exe |
檔案和資料夾排除 |
排除清單的特性
- 除非子資料夾是重新分析點,否則資料夾排除範圍會套用至該資料夾下的所有檔案和資料夾。 重新分析點子資料夾必須分開排除。
- 如果未定義路徑或資料夾,擴展名會套用至具有已定義擴展名的任何檔名。
根據擴展名和資料夾位置排除專案的重要注意事項
使用星號 (*等通配符 ) 改變解譯排除規則的方式。 如需通配符運作方式的重要資訊,請參閱 在檔名和資料夾路徑或擴展名排除清單中使用通 配符一節。
請勿排除對應的網路驅動器機。 指定實際的網路路徑。
重新分析點的資料夾會在 Microsoft Defender 防病毒軟體服務啟動之後建立,且未包含新增至排除清單的資料夾。 針對要辨識為有效排除目標的新重新分析點重新啟動 Windows,以重新啟動服務。
排除範圍適用於 排程掃描、 隨選掃描和 實時保護,但不適用於所有適用於端點的 Defender 功能。 若要跨適用於端點的Defender定義排除專案,請使用 自定義指標。
根據預設,具有系統管理員許可權的使用者 (清單所做的本機變更,包括使用PowerShell和WMI) 所做的變更,會與列表合併,如 (所定義,並由 群組原則、Configuration Manager或 Intune部署) 。 當發生衝突時,群組原則 清單會優先。 此外,使用 群組原則 所做的排除清單變更會顯示在 Windows 安全性 應用程式中。
若要允許本機變更覆寫受控部署設定, 請設定如何合併本機和全域定義的排除清單。
根據資料夾名稱或擴展名設定排除清單
您可以從數種方法中選擇,以定義 Microsoft Defender 防病毒軟體的排除專案。
使用 Intune 來設定檔名、資料夾或擴展名排除專案
請參閱下列文章:
使用 Configuration Manager 來設定檔名、資料夾或擴展名排除專案
如需設定最新分支 (Microsoft Configuration Manager) 的詳細資訊,請參閱如何建立和部署反惡意代碼原則:排除設定。
使用 群組原則 來設定資料夾或擴展名排除專案
注意事項
如果您指定檔案的完整路徑,則只會排除該檔案。 如果在排除範圍中定義資料夾,則會排除該資料夾下的所有檔案和子目錄。
在您的群組原則管理電腦上,開啟 群組原則管理主控台,以滑鼠右鍵按一下您要設定的群組原則物件,然後選擇 [編輯]。
在 [群組原則 管理] 編輯器 移至 [計算機設定],然後選取 [系統管理範本]。
將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>排除專案。
開啟 [路徑排除 ] 設定以進行編輯,並新增您的排除專案。
將選項設定為 [已啟用]。
在 [ 選項] 區段下,選取 [ 顯示]。
在 [ 值名稱 ] 資料行底下,指定其本身行上的每個資料夾。
如果您要指定檔案,請確定您輸入檔案的完整路徑,包括驅動器號、資料夾路徑、檔名和擴展名。
在 [值] 欄位中輸入 0。
選擇 [確定]。
開啟 [ 延伸模組排除 ] 設定以進行編輯,並新增您的排除專案。
將選項設定為 [已啟用]。
在 [ 選項] 區段下,選取 [ 顯示]。
在 [ 值名稱 ] 資料行底下,在自己的行上輸入每個擴展名。
在 [值] 欄位中輸入 0。
選擇 [確定]。
使用 PowerShell Cmdlet 來設定檔名、資料夾或擴展名排除專案
使用 PowerShell 根據擴展名、位置或檔名新增或移除檔案的排除專案,需要使用三個 Cmdlet 和適當排除列表參數的組合。 Cmdlet 全都在 Defender 模組中。
Cmdlet 的格式如下:
<cmdlet> -<exclusion list> "<item>"
下表列出您可以在 PowerShell Cmdlet 部分中 <cmdlet> 使用的 Cmdlet:
| 設定動作 | PowerShell Cmdlet |
|---|---|
| 建立或覆寫清單 | Set-MpPreference |
| 將 新增至清單 | Add-MpPreference |
| 從清單中移除專案 | Remove-MpPreference |
下表列出您可以在 PowerShell Cmdlet 部分中 <exclusion list> 使用的值:
| 排除類型 | PowerShell 參數 |
|---|---|
| 具有指定擴展名的所有檔案 | -ExclusionExtension |
| 資料夾下的所有檔案 (包括子目錄) 或特定檔案中的檔案 | -ExclusionPath |
重要事項
如果您已使用 或 Add-MpPreference建立清單,Set-MpPreference請再次使用 Set-MpPreference Cmdlet 覆寫現有的清單。
例如,下列代碼段會導致 Microsoft Defender 防病毒軟體掃描排除擴展名為 的任何檔案.test:
Add-MpPreference -ExclusionExtension ".test"
提示
如需詳細資訊,請參閱 使用 PowerShell Cmdlets 設定和執行 Microsoft Defender 防毒軟體 和 Defender 防毒軟體 cmdlets。
使用 Windows Management Instrumentation (WMI) 來設定檔名、資料夾或擴展名排除專案
針對下列屬性,請使用 MSFT_MpPreference 類別的 Set、Add 和 Remove 方法 :
ExclusionExtension
ExclusionPath
使用 Set、 Add 與 Remove 類似於 PowerShell 中的對應專案: Set-MpPreference、 Add-MpPreference和 Remove-MpPreference。
提示
如需詳細資訊,請參閱 Windows Defender WMIv2 API。
使用 Windows 安全性 應用程式來設定檔名、資料夾或擴展名排除專案
如需相關指示,請參閱在 Windows 安全性 應用程式中新增排除專案。
在檔案名和資料夾路徑或擴展名排除清單中使用通配符
在檔案名或資料夾路徑排除清單中定義專案時,您可以使用 *星號、問號 ?或環境變數 (例如 %ALLUSERSPROFILE%) 為通配符。 您可以將和和環境?變數混合並比*對成單一排除。 這些通配符的解譯方式與其他應用程式和語言中的一般使用方式不同。 請務必閱讀本節以瞭解其特定限制。
重要事項
這些通配符有主要限制和使用案例:
- 環境變數使用量僅限於機器變數,以及適用於以NT AUTHORITY\SYSTEM 帳戶執行之進程的變數。
- 每個專案最多只能使用六個通配符。
- 您無法使用通配符來取代驅動器號。
- 資料夾排除範圍中的星號
*代表單一資料夾。 使用的\*\多個實例,表示具有未指定名稱的多個巢狀資料夾。
下表描述如何使用通配符,並提供一些範例。
| 萬用字元 | 範例 |
|---|---|
* (星號) 在 檔名和擴展名包含中,星號會取代任意數目的字元,而且只適用於自變數中定義的最後一個資料夾中的檔案。 在 資料夾排除中,星號會取代單一資料夾。 使用多個 * 具有資料夾斜線的 \ ,表示多個巢狀資料夾。 比對通配符和具名資料夾的數目之後,也會包含所有子資料夾。 |
C:\MyData\*.txt 包括 C:\MyData\notes.txt C:\somepath\*\Data 包含中的任何檔案 C:\somepath\Archives\Data 及其子資料夾,以及 C:\somepath\Authorized\Data 及其子資料夾C:\Serv\*\*\Backup 包含中的任何檔案 C:\Serv\Primary\Denied\Backup 及其子資料夾,以及 C:\Serv\Secondary\Allowed\Backup 及其子資料夾 |
? (問號) 在 檔名和擴展名包含中,問號會取代單一字元,而且只適用於自變數中定義的最後一個資料夾中的檔案。 在 資料夾排除中,問號會取代資料夾名稱中的單一字元。 比對通配符和具名資料夾的數目之後,也會包含所有子資料夾。 |
C:\MyData\my?.zip 包括 C:\MyData\my1.zip C:\somepath\?\Data 包含中的任何檔案 C:\somepath\P\Data 及其子資料夾C:\somepath\test0?\Data 會在及其子資料夾中 C:\somepath\test01\Data 包含任何檔案 |
| 環境變數 評估排除專案時,定義的變數會填入為路徑。 |
%ALLUSERSPROFILE%\CustomLogFiles 會包含 C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
| 混合和比對 環境變數 * 和 ? 可以合併成單一排除 |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe 會包含 c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
重要事項
如果您將檔案排除自變數與資料夾排除自變數混合,則規則會在相符資料夾中的檔案自變數相符專案停止,而且不會在任何子資料夾中尋找檔案相符專案。
例如,您可以排除資料夾 c:\data\final\marked 中開頭為 「date」 的所有檔案,以及 c:\data\review\marked 使用規則自變數 c:\data\*\marked\date*。
這個自變數不符合 或c:\data\review\marked下子資料夾c:\data\final\marked中的任何檔案。
系統環境變數
下表列出並描述系統帳戶環境變數。
| 這個系統環境變數... | 重新導向至此 |
|---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
檢閱排除清單
您可以使用下列其中一種方法來擷取排除清單中的專案:
重要事項
使用 群組原則 所做的排除清單變更會顯示在 Windows 安全性 應用程式清單中。 在 Windows 安全性 應用程式中所做的變更將不會顯示在 群組原則 清單中。
如果您使用PowerShell,可以透過下列兩種方式擷取清單:
- 擷取所有 Microsoft Defender 防病毒軟體喜好設定的狀態。 每個清單會顯示在不同的行上,但每個清單內的項目會合併成同一行。
- 將所有喜好設定的狀態寫入變數,並使用該變數只呼叫您感興趣的特定清單。 的每次使用
Add-MpPreference都會寫入新行。
使用 MpCmdRun 驗證排除清單
若要使用專用 的命令行工具 mpcmdrun.exe來檢查排除專案,請使用下列命令:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
注意事項
若要使用 檢查排除MpCmdRun專案,Microsoft Defender 防病毒軟體版本 4.18.2111-5.0 (於 2021 年 12 月發行,) 或更新版本。
使用 PowerShell 檢閱排除清單以及所有其他 Microsoft Defender 防病毒軟體喜好設定
使用下列 Cmdlet:
Get-MpPreference
在下列範例中,清單中 ExclusionExtension 包含的專案會反白顯示:
如需詳細資訊,請參閱 使用 PowerShell Cmdlets 設定和執行 Microsoft Defender 防毒軟體 和 Defender 防毒軟體 cmdlets。
使用 PowerShell 擷取特定排除清單
使用下列代碼段 (將每一行輸入為個別的命令) ;將 WDAVprefs 取代為您想要命名變數的任何標籤:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
在下列範例中,每次使用 Add-MpPreference Cmdlet 時,都會將清單分割成新行:
如需詳細資訊,請參閱 使用 PowerShell Cmdlets 設定和執行 Microsoft Defender 防毒軟體 和 Defender 防毒軟體 cmdlets。
使用 EICAR 測試檔案驗證排除清單
您可以使用 PowerShell 搭配 Invoke-WebRequest Cmdlet 或 .NET WebClient 類別來下載測試檔案,以驗證排除清單是否正常運作。
在下列 PowerShell 代碼段中,將 取代 test.txt 為符合排除規則的檔案。 例如,如果您要排除延伸模組 .testing ,請將 取代 test.txt 為 test.testing。 如果您要測試路徑,請確定您在該路徑內執行 Cmdlet。
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
如果 Microsoft Defender 防病毒軟體報告惡意代碼,則規則無法運作。 如果沒有惡意代碼的報告,且下載的檔案存在,則排除作業正在運作。 您可以開啟 檔案,確認內容與 EICAR 測試檔案網站上所述的內容相同。
您也可以使用下列 PowerShell 程式代碼,其會呼叫 .NET WebClient 類別來下載測試檔案 - 如同 Cmdlet Invoke-WebRequest ;將 取代 c:\test.txt 為符合您要驗證之規則的檔案:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
如果您沒有因特網存取權,您可以使用下列 PowerShell 命令,將 EICAR 字串寫入新的文字檔,以建立自己的 EICAR 測試檔案:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
您也可以將字串複製到空白文本檔,並嘗試使用檔名或您嘗試排除的資料夾來儲存它。
另請參閱
- 設定及驗證 Microsoft Defender 防病毒軟體掃描中的排除專案
- 設定及驗證由進程開啟之檔案的排除專案
- 在 Windows Server 上設定 Microsoft Defender 防病毒軟體排除專案
- 定義排除時應避免的常見錯誤
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。