Jeśli zauważyłeś, że Twój komputer zwalnia podczas skanowania lub że legalna aplikacja zachowuje się nietypowo z powodu ochrony w czasie rzeczywistym, być może rozważałeś wykluczenie folderów, plików, a nawet dysków ze skanowania programu antywirusowego Windows Defender. Takie działanie może poprawić wydajność w niektórych scenariuszach, ale warto zrozumieć, co jest wykluczane i w jakich warunkach. Każde wykluczenie zmniejsza powierzchnię ochrony.
Poniżej znajdziesz bardzo kompletny i uporządkowany przewodnik po konfigurowaniu wykluczeń z aplikacji Zabezpieczenia systemu Windows za pomocą zasad grupy, programu PowerShell, usługi Intune lub WMI, a także zaawansowane techniki z ograniczeniami kontekstowymi (według typu skanowania, wyzwalacza, procesu lub ścieżki). Dowiesz się również, jak używać symboli wieloznacznych i zmiennych środowiskowych. Jak sprawdzić, czy wyłączenia są stosowane prawidłowo i dobre praktyki minimalizujące ryzyko.
Czym jest wykluczenie i kiedy należy z niego skorzystać?
Wykluczenie informuje program antywirusowy Windows Defender, aby nie skanował określonego elementu lub zestawu elementów. Może to być plik, folder (i jego zawartość), rozszerzenie pliku lub proces. Głównym celem jest… łagodzenie wpływu na wydajność w scenariuszach, w których analiza zakłóca intensywne obciążenia lub tymczasowe.
Choć wykluczenia są przydatnym narzędziem, wiążą się z pewnymi kosztami: mniejsze zabezpieczenieDlatego firma Microsoft zaleca, aby nie dodawać wykluczeń, chyba że jest to absolutnie konieczne. Nie są one idealnym sposobem na niezawodne rozwiązywanie fałszywych alarmów. Jeśli podejrzewasz, że program Defender błędnie wykrywa plik, prześlij go do weryfikacji za pośrednictwem portalu Microsoft Defender (wymagana subskrypcja) lub witryny Microsoft Security Intelligence. Jako tymczasowe obejście problemu w środowiskach z programem Microsoft Defender dla punktów końcowych można użyć wskaźnik „zezwól” dla pliku, którego to dotyczy.
Dostępne rodzaje wyłączeń
W programie antywirusowym Windows Defender można zdefiniować kilka typów wykluczeń, które dotyczą skanowania zaplanowanego, skanowania na żądanie i ochrony w czasie rzeczywistym. Zazwyczaj nie ma potrzeby wykluczania nic, poza konkretnymi przypadkami:
- Rozszerzenia plików: wyklucza wszystkie pliki z danym rozszerzeniem w dowolnej lokalizacji. Na przykład: .test.
- Ścieżki (plików lub folderów): wyklucza konkretny plik (z pełną ścieżką) lub wszystkie pliki i podfoldery w folderze. Podfoldery, które są punktami ponownej analizy (punkty ponownej analizy) muszą zostać wykluczone osobno.
- Proces: Wyklucz według nazwy procesu lub ścieżki, przydatne dla nie karz procesów zaufania które mają dostęp do wielu plików.
Zaawansowane wykluczenia kontekstowe: Ogranicz, kiedy mają zastosowanie
Oprócz „pustych” wykluczeń, Windows Defender umożliwia definiowanie wykluczeń kontekstowych. Oznacza to, że można ograniczyć sytuacje, w których mają one zastosowanie, jednocześnie zachowując ochronę we wszystkich pozostałych przypadkach. Istnieją cztery główne ograniczenia: PathType, ScanType, ScanTrigger i Process.
Podstawowa składnia wykluczenia kontekstowego jest następująca: <RUTA>\:{TypeName:value,TypeName:value}. Należy pamiętać, że wszystkie nazwy i wartości uwzględniają wielkość liter. Na przykład, Dostęp y onaccess one nie są takie same.
Typy i wartości ograniczeń
- PathType: Określa, czy miejscem docelowym musi być plik, czy folder, aby wykluczenie zostało zastosowane. Wartości: filet o falcówka.
- ScanType: Ogranicza według typu skanowania. Wartości: szybki o pełny (egzamin docelowy jest częścią wyzwalacza OnDemand, patrz poniżej).
- ScanTrigger: Stosuje wykluczenie tylko wtedy, gdy skanowanie zostanie wywołane przez określone zdarzenie. Wartości: Na żądanie (obejmuje szybkie, kompleksowe i ukierunkowane badania), Dostęp (ochrona w czasie rzeczywistym) lub BM (monitorowanie behawioralne, obejmujące testy pamięci i korelację zdarzeń).
- Proces: Wykluczenie ma zastosowanie wyłącznie w przypadku, gdy proces betonowy Uzyskuje dostęp do pliku lub folderu. Akceptuje symbole wieloznaczne w nazwie lub ścieżce.
Praktyczne przykłady wykluczeń kontekstowych
Wyklucz plik tylko z dostępu w czasie rzeczywistym: c:\\documents\\design.doc\:{PathType:file,ScanTrigger:OnAccess}W ten sposób plik jest wykluczany podczas otwierania/modyfikowania, ale można go analizować podczas skanowania na żądanie.
Wyklucz plik tylko wtedy, gdy program Word go otwiera: c:\\documents\\design.doc\:{Process:"winword.exe"}Do lokalizowania wersji możesz również użyć ścieżki wieloznacznej: c:\\documents\\design.doc\:{Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}.
Wykluczanie symboli wieloznacznych w ścieżkach plików: c:\\*\\*.doc\:{PathType:file,ScanTrigger:OnDemand}Pliki .doc nie są tutaj uwzględniane w przypadku egzaminów na żądanie, nie wpływa to jednak na ochronę w czasie rzeczywistym.
PathType: plik lub folder
Jeśli nie określisz PathType, wykluczenie będzie dotyczyć zarówno plików, jak i folderów. Aby wymusić jego zastosowanie tylko wtedy, gdy miejscem docelowym jest folder: C:\\documents\\*\:{PathType:folder}Aby zastosować tylko w przypadku pliku: C:\\documents\\*.mdb\:{PathType:file}.
Typ skanowania: szybki lub pełny
Rodzaje egzaminów to: szybki (typowe lokalizacje rozruchu, pamięć, niektóre klucze rejestru) i pełny (obejmuje szybkie skanowanie + cały system plików). Możesz wykluczyć tylko ścieżkę z pełnego skanowania za pomocą: C:\\documents\:{ScanType:full}. Jeśli chcesz mieć pewność, że to plik, a nie folder: C:\\program.exe\:{ScanType:quick,PathType:file}.
ScanTrigger: Na żądanie, w trybie dostępu lub behawioralnie
Ograniczenie ScanTrigger pozwala na zastosowanie wykluczenia tylko wtedy, gdy skanowanie jest wyzwalane przez określony typ zdarzenia. Na przykład, aby wykluczyć folder tylko podczas dostępu w czasie rzeczywistym: c:\\documents\:{ScanTrigger:OnAccess}Jeśli zaplanujesz pełne badanie, które należy do Na żądanie, więc to wyłączenie nie ma zastosowania.
Proces: ograniczenie według procesu, który uzyskuje dostęp
Ograniczanie według procesu jest bardzo przydatne, aby uniknąć „wybielania” całego procesu (co mogłoby ukryć inne operacje). Lepiej ograniczyć wykluczenie do pliku/folderu i zastosuj go tylko wtedy, gdy dostęp pochodzi z zaufanych procesówPrzykład łączenia wielu procesów i ścieżek za pomocą symboli wieloznacznych: c:\\documents\\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}.
Metody ustawiania wykluczeń
Z aplikacji Zabezpieczenia systemu Windows
W systemach Windows 10 i Windows 11 otwórz Zabezpieczenia systemu Windows z paska wyszukiwania i przejdź do sekcji „Ochrona antywirusowa i przed zagrożeniami”. Następnie kliknij „Zarządzaj ustawieniami” w sekcji „Ustawienia ochrony antywirusowej i przed zagrożeniami”. W sekcji „Wykluczenia” wybierz opcję „Dodaj lub usuń wykluczenia” i użyj przycisku „Dodaj wykluczenie”, aby wybrać opcję. Plik, folder, typ pliku lub procesAby wykluczyć cały dysk, możesz wybrać folder główny (na przykład C: \\) z konsekwencjami, jakie to ze sobą niesie. Aby usunąć istniejące wykluczenie, kliknij element i naciśnij quitar.
Zasady grupy (GPO)
Na komputerze zarządzającym otwórz Konsolę zarządzania zasadami grupy, edytuj żądany obiekt zasad grupy i przejdź do Szablony administracyjne > Składniki systemu Windows > Program antywirusowy Microsoft Defender > Wykluczenia. W sekcji „Wykluczenia ścieżek” ustaw opcję na Włączone, kliknij „Pokaż” i dodaj każdą trasę w osobnym wierszu w kolumnie Nazwa wartości. Wpisz 0 w kolumnie Wartość i potwierdź przyciskiem OK. Powtórz proces w sekcji „Wykluczenia rozszerzeń”, aby dodać rozszerzenia; każde w osobnym wierszu, z 0 w Wartości.
Microsoft Intune
Z poziomu usługi Intune możesz dystrybuować wykluczenia nazw plików, folderów i rozszerzeń za pomocą profili konfiguracji programu antywirusowego Windows Defender. To wygodny sposób na utrzymanie scentralizowane i spójne zarządzanie we flotach sprzętu.
PowerShell
Kluczowe polecenia cmdlet to: Ustaw-MpPreference (utwórz lub nadpisz listę), Dodaj-MpPreference (dodaje) i Usuń-MpPreference (eliminuje). Najczęściej używane parametry: -Rozszerzenie wykluczenia (rozszerzenia) i -Ścieżka wykluczenia (ścieżki i pliki). Format jest następujący <cmdlet> -<lista> "<elemento>", Por ejemplo: Add-MpPreference -ExclusionExtension ".test" o Add-MpPreference -ExclusionPath "C:\\sample\\sample.test".
WMI (Instrumentacja zarządzania systemem Windows)
Użyj klasy MSFT_MpPreference za pomocą metod Set, Add i Remove dla odpowiednich właściwości (takich jak Rozszerzenie wykluczenia y Ścieżka wykluczenia). Zachowanie jest analogiczne do jego Odpowiedniki programu PowerShell: Ustaw-MpPreference, Dodaj-MpPreference i Usuń-MpPreference.
Używanie symboli wieloznacznych i zmiennych środowiskowych
Program Microsoft Defender obsługuje gwiazdkę (*), znak zapytania (?) i zmienne środowiskowe (na przykład, %PROFILWSZYSTKICHUŻYTKOWNIKÓW%) w wykluczeniach ścieżek lub nazw plików. Uwaga: Ich interpretacja różni się od tej typowej dla innych aplikacji, dlatego warto zrozumieć ich zasady.
- W nazwach/rozszerzeniach plików: * zastępuje dowolną liczbę znaków i ? do pojedynczego znaku, stosowanego do plików w ostatnim wskazanym folderze.
- W wykluczeniach folderów: * zastępuje pojedynczy folder na każdym poziomie; można używać wielu * Oddzielone ukośnikami, aby wskazać wiele poziomów. Po dopasowaniu wzorca, są one uwzględniane. wszystkie podfoldery wisząc w tym punkcie.
Przykłady oznaczone gwiazdką: C:\\MyData\\*.txt obejmuje C:\\MyData\\notes.txt. C:\\somepath\\*\\Data obejmuje C:\\somepath\\Archives\\Data y C:\\somepath\\Authorized\\Data (i jego podfoldery). C:\\Serv\\*\\*\\Backup obejmuje C:\\Serv\\Primary\\Denied\\Backup y C:\\Serv\\Secondary\\Allowed\\Backup (i jego podfoldery).
Przykłady z ?: C:\\MyData\\my?.zip obejmuje C:\\MyData\\my1.zip. C\\somepath\\?\\Data zbiega się z C:\\somepath\\P\\Data. C:\\somepath\\test0?\\Data zbiega się z C:\\somepath\\test01\\Data.
Połączenie ze zmiennymi środowiskowymi: %PROGRAMFILES%\\Contoso*\\v?\\bin\\contoso.exe zbiega się z C:\\Program Files\\Contoso Labs\\v1\\bin\\contoso.exe. I %ALLUSERSPROFILE%\\CustomLogFiles rozszerzy się do C:\\ProgramData\\CustomLogFiles Według zespołu.
Najczęstsze zmienne środowiskowe systemu
Oto kilka przydatnych zmiennych środowiskowych podczas tworzenia wykluczeń. Pamiętaj, że rozszerzają się one do swojej rzeczywistej ścieżki w momencie ewaluacji i może się różnić w zależności od architektury lub języka systemu:
| Zmienna | Rozszerzona trasa |
|---|---|
| %% APPDATA | C:\\Windows\\system32\\config\\systemprofile\\Appdata\\Roaming |
| %APPDATA%\\Microsoft\\Internet Explorer\\Szybkie uruchamianie | C:\\Windows\\System32\\config\\systemprofile\\AppData\\Roaming\\Microsoft\\Internet Explorer\\Szybkie uruchamianie |
| %APPDATA%\\Microsoft\\Windows\\Menu Start | C:\\Windows\\System32\\config\\systemprofile\\AppData\\Roaming\\Microsoft\\Windows\\Menu Start |
| %APPDATA%\\Microsoft\\Windows\\Menu Start\\Programy | C:\\Windows\\System32\\config\\systemprofile\\AppData\\Roaming\\Microsoft\\Windows\\Menu Start\\Programy |
| %LOCALAPPDATA% | C:\\WINDOWS\\system32\\config\\systemprofile\\AppData\\Local |
| %Dane programu% | C:\\Dane programu |
| % Pliki programów% | C:\Pliki programów |
| %ProgramFiles%\\Pliki wspólne | C:\\Pliki programów\\Pliki wspólne |
| %ProgramFiles%\\Pasek boczny systemu Windows\\Gadżety | C:\\Pliki programów\\Pasek boczny systemu Windows\\Gadżety |
| %Pliki Programu(x86)% | C:\Pliki programów (x86) |
| %ProgramFiles(x86)%\\Pliki wspólne | C:\\Pliki programów (x86)\\Pliki wspólne |
| % SystemDrive% | C: |
| %SystemDrive%\\Pliki programów | C:\Pliki programów |
| %SystemDrive%\\Pliki programów (x86) | C:\Pliki programów (x86) |
| %SystemDrive%\\Użytkownicy | C:\\Użytkownicy |
| %SystemDrive%\\Użytkownicy\\Publiczny | C:\\Użytkownicy\\Publiczne |
| % SystemRoot% | C:\\Windows |
| % Windir% | C:\\Windows |
| %windir%\\Czcionki | C:\\Windows\\Czcionki |
| %windir%\\Zasoby | C:\\Windows\\Zasoby |
| %windir%\\zasoby\\0409 | C:\\Windows\\zasoby\\0409 |
| %windir%\\system32 | C:\\Windows\\System32 |
| %PROFILWSZYSTKICHUŻYTKOWNIKÓW% | C:\\Dane programu |
| %ALLUSERSPROFILE%\\Dane aplikacji | C:\\Dane programu\\Dane aplikacji |
| %ALLUSERSPROFILE%\\Dokumenty | C:\\Dane programu\\Dokumenty |
| %ALLUSERSPROFILE%\\Dokumenty\\Moja muzyka\\Przykładowa muzyka | C:\\ProgramData\\Documents\\Moja muzyka\\Przykładowa muzyka |
| %ALLUSERSPROFILE%\\Dokumenty\\Moja muzyka | C:\\ProgramData\\Documents\\Moja muzyka |
| %ALLUSERSPROFILE%\\Dokumenty\\Moje zdjęcia | C:\\ProgramData\\Documents\\Moje obrazy |
| %ALLUSERSPROFILE%\\Dokumenty\\Moje zdjęcia\\Przykładowe zdjęcia | C:\\ProgramData\\Documents\\Moje obrazy\\Przykładowe obrazy |
| %ALLUSERSPROFILE%\\Dokumenty\\Moje filmy | C:\\Dane programu\\Dokumenty\\Moje filmy |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\DeviceMetadataStore | C:\\Dane programu\\Microsoft\\Windows\\DeviceMetadataStore |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\GameExplorer | C:\\Dane programu\\Microsoft\\Windows\\GameExplorer |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\Dzwonki | C:\\Dane programu\\Microsoft\\Windows\\Dzwonki |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\Menu Start | C:\\Dane programu\\Microsoft\\Windows\\Menu Start |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\Menu Start\\Programy | C:\\Dane programów\\Microsoft\\Windows\\Menu Start\\Programy |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\Menu Start\\Programy\\Narzędzia administracyjne | C:\\ProgramData\\Microsoft\\Windows\\Menu Start\\Programy\\Narzędzia administracyjne |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\Menu Start\\Programy\\Autostart | C:\\Dane programów\\Microsoft\\Windows\\Menu Start\\Programy\\Autostart |
| %ALLUSERSPROFILE%\\Microsoft\\Windows\\Szablony | C:\\Dane programu\\Microsoft\\Windows\\Szablony |
| %ALLUSERSPROFILE%\\Menu Start | C:\\Dane programu\\Menu Start |
| %ALLUSERSPROFILE%\\Menu Start\\Programy | C:\\Dane programów\\Menu Start\\Programy |
| %ALLUSERSPROFILE%\\Menu Start\\Programy\\Narzędzia administracyjne | C:\\ProgramData\\Menu Start\\Programy\\Narzędzia administracyjne |
| %ALLUSERSPROFILE%\Szablony | C:\\Dane programu\\Szablony |
| %LOCALAPPDATA%\\Microsoft\\Windows\\ConnectedSearch\\Szablony | C:\\Windows\\System32\\config\\systemprofile\\AppData\\Local\\Microsoft\\Windows\\ConnectedSearch\\Templates |
| %LOCALAPPDATA%\\Microsoft\\Windows\\Historia | C:\\Windows\\System32\\config\\systemprofile\\AppData\\Local\\Microsoft\\Windows\\History |
| %PUBLICZNY% | C:\\Użytkownicy\\Publiczne |
| %PUBLIC%\\Zdjęcia konta | C:\\Użytkownicy\\Publiczne\\AccountPictures |
| %PUBLIC%\\Pulpit | C:\\Użytkownicy\\Publiczny\\Pulpit |
| %PUBLIC%\\Dokumenty | C:\\Użytkownicy\\Publiczne\\Dokumenty |
| %PUBLIC%\\Pobrania | C:\Użytkownicy\Publiczne\Pobrane |
| %PUBLIC%\\Muzyka\\Przykładowa muzyka | C:\\Użytkownicy\\Publiczne\\Muzyka\\Przykładowa muzyka |
| %PUBLIC%\\Muzyka\\Przykładowe listy odtwarzania | C:\\Użytkownicy\\Publiczne\\Muzyka\\Przykładowe listy odtwarzania |
| %PUBLIC%\\Zdjęcia\\Przykładowe zdjęcia | C:\\Użytkownicy\\Publiczne\\Obrazy\\Przykładowe zdjęcia |
| %PUBLIC%\\RecordedTV.library-ms | C:\\Użytkownicy\\Publiczne\\RecordedTV.library-ms |
| %PUBLIC%\\Filmy | C:\\Użytkownicy\\Publiczne\\Filmy |
| %PUBLIC%\\Filmy\\Przykładowe filmy | C:\\Użytkownicy\\Publiczne\\Filmy\\Przykładowe filmy |
| % USERPROFILE% | C:\\Windows\\system32\\config\\systemprofile |
| %USERPROFILE%\\AppData\\Lokalne | C:\\Windows\\system32\\config\\systemprofile\\AppData\\Local |
| %USERPROFILE%\\AppData\\LocalLow | C:\\Windows\\system32\\config\\systemprofile\\AppData\\LocalLow |
| %USERPROFILE%\\AppData\\Roaming | C:\\Windows\\system32\\config\\systemprofile\\AppData\\Roaming |
Przejrzyj i zatwierdź wykluczenia
Za pomocą programu PowerShell możesz sprawdzić stan preferencji programu Windows Defender Get-MpPreferenceAby ułatwić czytanie, zapisz dane wyjściowe w zmiennej i wyświetl interesujące Cię właściwości: $WDAVprefs = Get-MpPreferencenastępnie $WDAVprefs.ExclusionExtension y $WDAVprefs.ExclusionPath.
Aby sprawdzić, czy trasa jest wykluczona, użyj narzędzia wiersza poleceń programu Defender: przejdź do folderu platformy i uruchom narzędzie sprawdzające. Na przykład otwórz konsolę jako administrator i uruchom polecenie: cd "%programdata%\\microsoft\\windows defender\\platform", przechodzi do podfolderu bieżącej wersji (np. cd 4.18.2111-5.0) i rzuca MpCmdRun.exe -CheckExclusion -path <ruta>.
Walidacja z plikiem testowym EICAR
Aby bezpiecznie sprawdzić, czy wykluczenie działa, możesz pobrać plik testowy EICAR (nie jest to prawdziwe złośliwe oprogramowanie, ale program antywirusowy je wykrywa). Na przykład: Invoke-WebRequest "https:\/\/secure.eicar.org\/eicar.com.txt" -OutFile "test.txt"Jeśli program Windows Defender wykryje plik, wykluczenie nie zostanie zastosowane. Jeśli nie ma alertu, a plik istnieje, reguła działa.
Alternatywnie, używając .NET z poziomu programu PowerShell: $client = new-object System.Net.WebClient; $client.DownloadFile("http:\/\/www.eicar.org\/download\/eicar.com.txt","c:\\test.txt")Jeżeli nie masz połączenia z Internetem, utwórz zawartość EICAR w pliku tekstowym: ::WriteAllText("test.txt","X5O!P%@AP