Изключване на папки, файлове или процеси в Microsoft Defender може да ви помогне да подобрите производителността на системата, когато забележите пикове или забавяне на процесора по време на сканиране. Използвани правилно, тези изключения предотвратяват ненужни сканирания по известни пътища, без да компрометират прекомерно защитата, но е важно да се разберат техните ограничения и въздействие върху сигурността.
В това ръководство ви казваме Как да създадете основни и контекстуални изключения (с условия, базирани на тип сканиране, тригер, процес или дали е файл/папка), точния синтаксис, който трябва да използвате, методите за конфигурирането им от приложението за сигурност на Windows, груповите правила, PowerShell или WMI и Как да ги валидирате с инструменти и тестовия файл EICAR.
Какво представляват изключенията на Microsoft Defender и кога да ги използваме?
Изключенията позволяват това Microsoft Defender пропускането на маршрути, разширения или процеси по време на анализите им. Те са предназначени предимно за смекчаване на ефектите върху производителността в сценарии с много достъпи до диск или компилации и носят наказание: намаляване на нивото на защита в изключената зона.
Контекстуалните изключения добавят прецизност благодарение на ограничения, които ограничават кога се прилагат (например, само при бързи сканирания или само ако определен процес го достъпва). Те обаче не са препоръчителният начин за разрешаване на фалшиво положителни резултати Надеждно: Ако подозирате погрешно откриване, изпратете файла за анализ, като използвате портала на Microsoft Defender (ако имате абонамент) или чрез сайта на Microsoft Security Intelligence; времеви метод, помислете за създаване на флаг „разрешено“ в Defender за Endpoint.
Важно: Ако не е посочено допълнително ограничение, се прилага основно изключение всички видове изпити и задействащи фактории не прави разлика дали дестинацията е файл или папка. Ще видите как да настроите това поведение по-долу.
Видове ограничения, които можете да приложите
Защитникът позволява четири основни ограничения за ограничаване на приложимостта на изключване. Всички те се добавят към веригата за изключване и са чувствителност към главни и малки букви (както видовете, така и стойностите).
- Тип път (файл или папка): Принуждава изключението да се прилага само ако местоназначението е досие или папкаАко дестинацията не съвпада, изключението не се прилага.
- Тип на сканиране (вид изпит): ограничава изключването до изпити бързо o пълен„Ресурсът“ (насочен изпит) се третира отделно при използване ScanTrigger.
- ScanTrigger (тригер): Определя кога се активира изключването: OnDemand (ръчни и планирани действия, включително бързи и пълни), OnAccess (защита в реално време) или BM (поведенчески надзор).
- Процес (процес): прави изключението да се прилага само ако достъпът идва от специфичен изпълним файл; поддържа заместващи символи в пътя или името.
По подразбиране класическите изключения засягат изпитите на ресурс, бърз и пълен, както при поискване, така и в реално време, и памет (поведение). С ограничения можете да настроите прозореца на приложението, за да само най-необходимото.
Синтаксис на контекстуални изключения и примери
Низът за изключване започва от основния път и добавя секция от тип:стойност между скобите. Не забравяйте, че всички Име на тип y стойност чувствителност към малки и големи букви.
Общ формат: <PATH>\:{TypeName:value,TypeName:value}Например, за да изключите конкретен файл само Ако е файл и само в изпити при достъп:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
За да се изключи същият файл, ако е докоснат от процес с изображение с име winword.exe:
c:\documents\design.doc\:{Process:"winword.exe"}
В пътищата до файлове/папки се приемат заместващи символи, като например:
Se aceptan caracteres comodín en пътища до файлове/папки, като:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Също така в пътя на образа на процеса, например:
c:\documents\design.doc\:{Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}
Ограничи до папка: ако искате да приложите изключването само ако местоназначението е папка (не е файл), използвайте:
C:\documents\*\:{PathType:folder}
Ограничи до файл: за да се гарантира, че е изключително архив (а не папка с подобно име):
C:\documents\*.mdb\:{PathType:file}
Ограничение по вид на изпита: изключване на маршрут само в обстойни изпити:
C:\documents\:{ScanType:full}
Ограничете се до бързи сканирания и се уверете, че е файл (напр. C:\program.exe):
C:\program.exe\:{ScanType:quick,PathType:file}
Прилагайте само в реално време (OnAccess) за папка и нейното съдържание:
c:\documents\:{ScanTrigger:OnAccess}
Връзка към конкретни процеси (няколко могат да бъдат комбинирани) Процес и използвайте заместващи символи):
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}
Методи за конфигуриране на изключения в Windows Defender
Преди всичко, проверете дали отговаряте на минимални изисквания За контекстуални изключения: Платформа 4.18.2205.7 или по-нова версия и двигател 1.1.19300.2 или по-нова версия. Поддържайте Defender актуален за гарантиране на съвместимост.
От приложението „Защита на Windows“
Това е най-прекият път за желаещите изключване на файлове, папки, разширения или процеси без използване на скриптове. Отидете на „Защита на Windows“, отидете на „Антивирусна и защитна от заплахи“ и в областта „Изключения“ добавете необходимите елементи. Microsoft посочва, че като цяло няма нужда да се изключва нищо, но ако трябва да го направите, изберете внимателно вида на изключването.
Списъци с изключения и често срещани типове
Най-често срещаните видове включват файлови разширения, маршрути (цели папки или конкретни файлове) и процесиНякои типични примери според документацията:
- разширение: всички файлове с разширение на произволно място (напр. валиден синтаксис:
.testotest). - папкавсичко, което се съдържа вътре
c:\test\sample(файлове и подпапки). - Конкретен файл: само
c:\sample\sample.test. - Процесизпълнимия файл
c:\test\process.exe.
Имайте предвид това изключения на папки Те обхващат всички елементи в тази папка, освен ако подпапката не е точка на повторен анализ, в който случай трябва да го изключите отделно. И че extensiones прилага се за всяко име на файл с това окончание, ако не дефинирате път.
Групова политика (GPO)
За управлявани среди, GPO ви позволява да централизирате изключения на маршрути и разширения:
- Отворете конзолата за управление на групови правила, редактирайте желания GPO.
- Отидете до Конфигурация на компютъра > Административни шаблони > Компоненти на Windows > Microsoft Defender Antivirus > Изключения.
- En Изключения на пътища: Активиране, докоснете Показване, посочете всяка папка/файл с пълния път (диск, папки, име и разширение). В колоната Стойност въведете 0.
- En Изключения на разширения: активирайте, натиснете Покажи, добавете всяко разширение на отделен ред и поставете 0 в Стойност.
Този метод е идеален за стандартизиране на конфигурации на множество компютри без ръчна намеса на всеки един от тях.
PowerShell
С PowerShell можете да създавате, добавяте или премахвате записи в списъци с изключения, като използвате командлетите в Модул на защитникаОбщият модел е:
<cmdlet> -<exclusion list> "<item>"
- Създаване или презаписване на списък:
Set-MpPreference - Добави към списъка:
Add-MpPreference - Премахване на елемент:
Remove-MpPreference
Избройте наличните параметри за най-често срещаните:
- -Разширение за изключване за всички мачове с удължаване.
- -ПътИзключване за конкретни файлове или папки (включително поддиректории).
Пример за изключване на всеки файл с разширението .test:
Add-MpPreference -ExclusionExtension ".test"
Можете също да го комбинирате за конкретни маршрути и да запазите контрол на версиите (Добавяне за добавяне, Премахване за премахване на записи без унищожаване на останалите).
WMI
Ако автоматизирате с WMI, използвайте методите комплект, Добави y Премахване на класа MSFT_MpPreference върху свойствата на изключенията (еквивалентни на техните PowerShell еквиваленти). Това е полезен начин за интеграция с инструменти за управление съществуващи.
Практическа препоръка за намаляване на използването на процесора
Някои потребители съобщават, че Defender консумира твърде много процесор След рестартиране системата спира да реагира за известно време. Една от мерките, които са опитали, е да изключат тези конкретни папки:
C:\Program Files\Windows DefenderC:\Program Files\Windows Defender Advanced Threat ProtectionC:\Windows\SoftwareDistribution
Допълнителният риск се взема предвид ниско в тези случаи (SoftwareDistribution съхранява изтегляния на Windows Update, а пътищата на Defender съдържат свои собствени двоични файлове), но все пак е намаляване на покритиетоОбмислете тази опция само ако наистина влияе на производителността ви и следете поведението след това.
Поддържани заместващи символи и променливи на средата
Защитникът ви позволява да използвате звездичка (*), въпросителен знак (?) y Променливи на средата в изключения на пътища и имена на файлове. Обърнете внимание, че тяхната интерпретация се различава леко от другите инструменти, така че е добре да разберете техния обхват.
- * в имената/разширението на файловете: замества произволен брой знаци и се прилага само за файлове в последната папка в аргумента.
- * в изключенията на папките: замества една папка. Използвайте няколко комбинации
*\за да се обозначат няколко нива. След съпоставяне на всички папки (с заместващи символи и с имена), се включват и подпапките. - в имената/разширенията на файловете: замества един символ в последната папка на аргумента.
- в папки: Заменя един символ в името на папка; след това се включват и нейните подпапки.
- Променливи на околната средаТе се разширяват до ефективния си маршрут при оценката на изключването. Могат да се комбинират с
*y?.
Полезни примери:
C:\MyData\*.txtТой включва C:\МоитеДанни\бележки.txt.C:\somepath\*\DataТой включва C:\somepath\Архиви\Данни y C:\somepath\Authorized\Data (и неговите подпапки).C:\Serv\*\*\BackupТой включва C:\Serv\Primary\Denied\Backup y C:\Serv\Secondary\Allowed\Backup (и неговите подпапки).C:\MyData\my?.zipТой включва C:\Моите данни\my1.zip.C:\somepath\?\DataТой включва C:\somepath\P\Data и подпапки.C:\somepath\test0?\DataТой включва C:\somepath\test01\Data и подпапки.%ALLUSERSPROFILE%\CustomLogFilesпокрива C:\ProgramData\CustomLogFiles\Folder1\file1.txt.%PROGRAMFILES%\Contoso*\v?\bin\contoso.exeТой включва C:\Program Files\Contoso Labs\v1\bin\contoso.exe.
По-долу е даден списък на променливи на системната среда чести и къде сочат при разширяване (системен акаунт):
| Променлив | Destino |
|---|---|
| % AppData% | C:\Windows\system32\config\systemprofile\Appdata\Роуминг |
| %APPDATA%\Microsoft\Internet Explorer\Бързо стартиране | C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Бързо стартиране |
| %APPDATA%\Microsoft\Windows\Старт меню | C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Старт меню |
| %APPDATA%\Microsoft\Windows\Старт меню\Програми | C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Старт меню\Програми |
| % LOCALAPPDATA% | C:\WINDOWS\system32\config\systemprofile\AppData\Local |
| % ProgramData% | C:\ProgramData |
| % Програмните файлове% | C: \ Program Files |
| %ProgramFiles%\Common Files | C:\Program Files\Common Files |
| %ProgramFiles%\Странична лента на Windows\Джаджети | C: \ Program Files \ Странична лента на Windows \ Gadgets |
| %ProgramFiles%\Common Files | C:\Program Files\Common Files |
| %ProgramFiles(x86)% | C: \ Program Files (x86) |
| %ProgramFiles(x86)%\Common Files | C:\Program Files (x86)\Common Files |
| %SystemDrive% | C: |
| %СистемноУстройство%\ПрограмниФайлове | C: \ Program Files |
| %СистемноУстройство%\Програмни Файлове (x86) | C: \ Program Files (x86) |
| %СистемноУстройство%\Потребители | C:\Потребители |
| %СистемноУстройство%\Потребители\Публично | C:\Users\Public |
| %SystemRoot% | C: \ Windows |
| % Windir% | C: \ Windows |
| %windir%\Шрифтове | C: \ Windows \ Шрифтове |
| %windir%\Ресурси | C:\Windows\Ресурси |
| %windir%\resources\0409 | C:\Windows\ресурси\0409 |
| %windir%\system32 | C: \ Windows \ System32 |
| %ALLUSERSPROFILE% | C:\ProgramData |
| %ALLUSERSPROFILE%\Данни за приложението | C:\ProgramData\Application Data |
| %ALLUSERSPROFILE%\Документи | C:\ProgramData\Documents |
| %ALLUSERSPROFILE%\Документи\Моята музика\Примерна музика | C:\ProgramData\Documents\Моята музика\Примерна музика |
| %ALLUSERSPROFILE%\Документи\Моята музика | C:\ProgramData\Documents\Моята музика |
| %ALLUSERSPROFILE%\Документи\Моите снимки | C:\ProgramData\Documents\Моите снимки |
| %ALLUSERSPROFILE%\Документи\Моите снимки\Примерни снимки | C:\ProgramData\Documents\Моите снимки\Примерни снимки |
| %ALLUSERSPROFILE%\Документи\Моите видеоклипове | C:\ProgramData\Documents\Моите видеоклипове |
| %ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore | C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
| %ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer | C:\ProgramData\Microsoft\Windows\GameExplorer |
| %ALLUSERSPROFILE%\Microsoft\Windows\Мелодии | C:\ProgramData\Microsoft\Windows\Мелодии |
| %ALLUSERSPROFILE%\Microsoft\Windows\Старт меню | C: ProgramData Microsoft Windows Start Menu |
| %ALLUSERSPROFILE%\Microsoft\Windows\Старт меню\Програми | C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs |
| %ALLUSERSPROFILE%\Microsoft\Windows\Старт меню\Програми\Административни инструменти | C:\ProgramData\Microsoft\Windows\Старт меню\Програми\Административни инструменти |
| %ALLUSERSPROFILE%\Microsoft\Windows\Старт меню\Програми\Стартиране | C: \ ProgramData \ Microsoft \ Windows \ Start меню \ Programs \ StartUp |
| %ALLUSERSPROFILE%\Microsoft\Windows\Шаблони | C:\ProgramData\Microsoft\Windows\Шаблони |
| %ALLUSERSPROFILE%\Стартово меню | C:\ProgramData\Старт меню |
| %ALLUSERSPROFILE%\Старт меню\Програми | C:\ProgramData\Старт меню\Програми |
| %ALLUSERSPROFILE%\Старт меню\Програми\Административни инструменти | C:\ProgramData\Старт меню\Програми\Административни инструменти |
| %ALLUSERSPROFILE%\Шаблони | C:\ProgramData\Templates |
| %LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Шаблони | C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
| %LOCALAPPDATA%\Microsoft\Windows\История | C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
| %ПУБЛИЧНО% | C:\Users\Public |
| %PUBLIC%\Снимки на акаунта | C:\Потребители\Публичен\Снимки на акаунта |
| %PUBLIC%\Настолен компютър | C: \ Users \ Public \ Desktop |
| %PUBLIC%\Документи | C:\Потребители\Публични\Документи |
| %PUBLIC%\Изтегляния | C:\Users\Public\Downloads |
| %PUBLIC%\Музика\Примерна музика | C:\Потребители\Публично\Музика\Примерна музика |
| %PUBLIC%\Музика\Примерни плейлисти | C:\Потребители\Публично\Музика\Примерни плейлисти |
| %PUBLIC%\Pictures\Примерни снимки | C:\Потребители\Публични\Снимки\Примерни снимки |
| %PUBLIC%\RecordedTV.library-ms | C:\Потребители\Публично\Записана телевизия.library-ms |
| %PUBLIC%\Видеоклипове | C:\Потребители\Публични\Видеоклипове |
| %PUBLIC%\Видеоклипове\Примерни видеоклипове | C:\Потребители\Публични\Видеоклипове\Примерни видеоклипове |
| % USERPROFILE% | C:\Windows\system32\config\systemprofile |
| %ПОТРЕБИТЕЛСКИПРОФИЛ%\ДанниНаПриложения\Локални | C:\Windows\system32\config\systemprofile\AppData\Local |
| %ПОТРЕБИТЕЛСКИПРОФИЛ%\AppData\LocalLow | C:\Windows\system32\config\systemprofile\AppData\LocalLow |
| %ПОТРЕБИТЕЛСКИПРОФИЛ%\Данни на приложения\Роуминг | C:\Windows\system32\config\systemprofile\AppData\Roaming |
Валидирайте и прегледайте списъците си с изключения
Има няколко начина за проверете дали изключенията ви са активниС помощната програма за команден ред MpCmdRun.exe Можете да валидирате конкретен път, а с PowerShell можете да изброите всички предпочитания на двигателя.
MpCmdRun.exe (специализирана проверка)
Отворете командния ред като администратор и отидете до папката Defender Platform, чието име се променя в зависимост от инсталираната актуализация. След това изпълнете проверката на пътя:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0
MpCmdRun.exe -CheckExclusion -path <path>
където е файлът или папката, която искате да проверите. Ако се показва като изключена, правилото работи.
PowerShell (специфични предпочитания и списъци)
За да прегледате всички ваши предпочитания за Defender с един поглед, използвайте:
Get-MpPreference
Ако искате да запазите само списъците с изключения и да видите всеки ред, както е бил добавен (полезно, когато сте използвали Add-MpPreference няколко пъти), изпълнете:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
Значи можеш разширения и маршрути за одит в момента изключени и да запазите контрол над настройките си.
Валидиране с тестов файл EICAR
За функционална проверка използвайте стандартния EICAR тест. Ако целта е правилно изключена, файлът няма да бъде блокиран; ако бъде открит зловреден софтуер, правилото не се прилага за контекста:
Изтеглете с PowerShell, използвайки Invoke-WebRequest (променете името и местоположението според вашето правило):
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Алтернатива с .NET WebClient (променете пътя до обвивка за вашето изключване):
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\\test.txt")
Ако нямате достъп до интернет, можете да създадете локално съдържанието на EICAR, за да тествате реакцията на двигателя на пътя:
[io.file]::WriteAllText("test.txt","X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*")
Когато изключването е ефективно, ще видите, че файлът е запазен в пътя, без да бъде блокиран от Defender; в противен случай двигателят ще се намеси и ще уведоми.
Тези техники са предназначени да балансиране на производителност и безопасностПриоритизирайте контекстуални и тясно дефинирани изключения (по вид на изследването, спусък или процес) и избягвайте изключването на широки местоположения, освен ако не е необходимо. За постоянни фалшиво положителни резултати, изпратете мостри до Microsoft вместо разширяване на изключенията.