Configuración de exclusiones para archivos abiertos por procesos

Se aplica a:

Plataformas

  • Windows

Puede excluir los archivos abiertos por procesos específicos de Microsoft Defender exámenes antivirus. Tenga en cuenta que estos tipos de exclusiones son para archivos abiertos por procesos y no por los propios procesos. Para excluir un proceso, agregue una exclusión de archivo (consulte Configurar y validar exclusiones basadas en la extensión de archivo y la ubicación de la carpeta).

Consulte Puntos importantes sobre exclusiones y revise la información de Administración de exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus antes de definir las listas de exclusión.

En este artículo se describe cómo configurar listas de exclusión.

Ejemplos de exclusiones de procesos

Exclusión Ejemplo
Cualquier archivo de la máquina abierto por cualquier proceso con un nombre de archivo específico La especificación test.exe excluiría los archivos abiertos por:

c:\sample\test.exe

d:\internal\files\test.exe

Cualquier archivo en el equipo abierto por cualquier proceso en una carpeta específica La especificación c:\test\sample\* excluiría los archivos abiertos por:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Cualquier archivo de la máquina abierto por un proceso específico en una carpeta específica La especificación c:\test\process.exe excluiría los archivos abiertos solo por c:\test\process.exe

Al agregar un proceso a la lista de exclusión de procesos, Microsoft Defender Antivirus no examinará los archivos abiertos por ese proceso, independientemente de dónde se encuentren los archivos. Sin embargo, el propio proceso se examinará a menos que también se haya agregado a la lista de exclusión de archivos.

Las exclusiones solo se aplican a la protección y supervisión en tiempo real always-on. No se aplican a exámenes programados o a petición.

Los cambios realizados con directiva de grupo en las listas de exclusión se mostrarán en las listas de la aplicación Seguridad de Windows. Sin embargo, los cambios realizados en la aplicación Seguridad de Windows no se mostrarán en las listas de directiva de grupo.

Puede agregar, quitar y revisar las listas de exclusiones en directiva de grupo, Microsoft Configuration Manager, Microsoft Intune y con la aplicación Seguridad de Windows, y puede usar caracteres comodín para personalizar aún más las listas.

También puede usar cmdlets de PowerShell y WMI para configurar las listas de exclusión, incluida la revisión de las listas.

De forma predeterminada, los cambios locales realizados en las listas (por los usuarios con privilegios de administrador; los cambios realizados con PowerShell y WMI) se combinan con las listas según se definen (e implementan) por directiva de grupo, Configuration Manager o Intune. Las listas de directiva de grupo tienen prioridad si hay conflictos.

Puede configurar cómo se combinan las listas de exclusiones definidas local y globalmente para permitir que los cambios locales invaliden la configuración de implementación administrada.

Nota:

Las reglas de reducción de la superficie expuesta a ataques y protección de red se ven afectadas directamente por las exclusiones de procesos en todas las plataformas, lo que significa que una exclusión de procesos en cualquier sistema operativo (Windows, MacOS, Linux) hará que Protección de red o ASR no puedan inspeccionar el tráfico ni aplicar reglas para ese proceso específico.

Nombre de imagen frente a ruta de acceso completa para exclusiones de procesos

Se pueden establecer dos tipos diferentes de exclusiones de procesos. Un proceso puede excluirse por nombre de imagen o por ruta de acceso completa. El nombre de la imagen es simplemente el nombre de archivo del proceso, sin la ruta de acceso.

Por ejemplo, dado que el proceso MyProcess.exe que se ejecuta desde C:\MyFolder\ la ruta de acceso completa a este proceso sería C:\MyFolder\MyProcess.exe y el nombre de la imagen es MyProcess.exe.

Las exclusiones de nombres de imagen son mucho más amplias: una exclusión en MyProcess.exe excluirá los procesos con este nombre de imagen, independientemente de la ruta de acceso desde la que se ejecuten. Por ejemplo, si el proceso MyProcess.exe se excluye por nombre de imagen, también se excluirá si se ejecuta desde , desde C:\MyOtherFoldermedios extraíbles, etc. Por lo tanto, se recomienda que, siempre que sea posible, se use la ruta de acceso completa.

Uso de caracteres comodín en la lista de exclusión de procesos

El uso de caracteres comodín en la lista de exclusión de procesos es diferente de su uso en otras listas de exclusión. Cuando la exclusión del proceso se define solo como un nombre de imagen, no se permite el uso de caracteres comodín. Sin embargo, cuando se usa una ruta de acceso completa, se admiten caracteres comodín y el comportamiento del carácter comodín se comporta como se describe en Exclusiones de archivos y carpetas.

También se admite el uso de variables de entorno (como %ALLUSERSPROFILE%) como caracteres comodín al definir elementos en la lista de exclusión de procesos. Los detalles y una lista completa de variables de entorno admitidas se describen en Exclusiones de archivos y carpetas.

En la tabla siguiente se describe cómo se pueden usar los caracteres comodín en la lista de exclusión de procesos, cuando se proporciona una ruta de acceso:

Carácter comodín Ejemplo de uso Coincidencias de ejemplo
* (asterisco)

Reemplaza cualquier número de caracteres.

C:\MyFolder\* Cualquier archivo abierto por C:\MyFolder\MyProcess.exe o C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Cualquier archivo abierto por C:\MyFolder1\MyFolder2\MyProcess.exe o C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Cualquier archivo abierto por C:\MyOtherFolder\MyFolder\MyProcess.exe o C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (signo de interrogación)

Reemplaza un carácter.

C:\MyFolder\MyProcess??.exe Cualquier archivo abierto por C:\MyFolder\MyProcess42.exe o C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Variables de entorno %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Cualquier archivo abierto por C:\ProgramData\MyFolder\MyProcess.exe

Exclusiones de proceso contextual

Tenga en cuenta que una exclusión de proceso también se puede definir a través de una exclusión contextual , lo que permite, por ejemplo, excluir un archivo específico solo si lo abre un proceso específico.

Configurar la lista de exclusiones para los archivos abiertos por procesos especificados

Use Microsoft Intune para excluir los archivos abiertos por procesos especificados de los exámenes.

Para obtener más información, consulte Configuración de las opciones de restricción de dispositivos en Microsoft Intune y Microsoft Defender Configuración de restricciones de dispositivos antivirus para Windows 10 en Intune.

Use Microsoft Configuration Manager para excluir los archivos abiertos por procesos especificados de los exámenes.

Consulte Creación e implementación de directivas antimalware: configuración de exclusión para obtener más información sobre cómo configurar Microsoft Configuration Manager (rama actual).

Use directiva de grupo para excluir los archivos abiertos por procesos especificados de los exámenes.

  1. En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo, haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y haga clic en Editar.

  2. En el Editor administración de directiva de grupo, vaya a Configuración del equipo y haga clic en Plantillas administrativas.

  3. Expanda el árbol a componentes > de Windows Microsoft Defender Exclusiones antivirus>.

  4. Haga doble clic en Exclusiones de proceso y agregue las exclusiones:

    1. Establezca la opción en Habilitado.
    2. En la sección Opciones , haga clic en Mostrar....
    3. Escriba cada proceso en su propia línea en la columna Nombre de valor . Consulte la tabla de ejemplo para ver los distintos tipos de exclusiones de procesos. Escriba 0 en la columna Valor para todos los procesos.
  5. Haga clic en Aceptar.

Uso de cmdlets de PowerShell para excluir archivos abiertos por procesos especificados de exámenes

El uso de PowerShell para agregar o quitar exclusiones de archivos abiertos por procesos requiere usar una combinación de tres cmdlets con el -ExclusionProcess parámetro . Los cmdlets están todos en el módulo de Defender.

El formato de los cmdlets es:

<cmdlet> -ExclusionProcess "<item>"

Se permite lo siguiente como <cmdlet>:

Acción de configuración Cmdlet de PowerShell
Creación o sobrescritura de la lista Set-MpPreference
Agregar a la lista Add-MpPreference
Quitar elementos de la lista Remove-MpPreference

Importante

Si ha creado una lista, con Set-MpPreference o Add-MpPreference, el uso del Set-MpPreference cmdlet volverá a sobrescribir la lista existente.

Por ejemplo, el siguiente fragmento de código provocaría que Microsoft Defender exámenes antivirus excluyan cualquier archivo abierto por el proceso especificado:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Para obtener más información sobre cómo usar PowerShell con Microsoft Defender Antivirus, consulte Administración de antivirus con cmdlets de PowerShell y cmdlets de Microsoft Defender Antivirus.

Usar instrucciones de administración de Windows (WMI) para excluir de los exámenes los archivos abiertos por procesos especificados

Use los métodos Set, Add y Remove de la clase MSFT_MpPreference para las siguientes propiedades:

ExclusionProcess

El uso de Set, Add y Remove es análogo a sus homólogos de PowerShell: Set-MpPreference, Add-MpPreferencey Remove-MpPreference.

Para obtener más información y parámetros permitidos, consulta API WMIv2 de Windows Defender.

Use la aplicación Seguridad de Windows para excluir los archivos abiertos por procesos especificados de los exámenes.

Siga las instrucciones de Agregar exclusiones en la aplicación Seguridad de Windows.

Revisar la lista de exclusiones

Puede recuperar los elementos de la lista de exclusión con MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune o la aplicación Seguridad de Windows.

Si usa PowerShell, puede recuperar la lista de dos maneras:

  • Recupere el estado de todas las preferencias Microsoft Defender Antivirus. Cada una de las listas se muestra en líneas independientes, pero los elementos de cada lista se combinan en la misma línea.
  • Escriba el estado de todas las preferencias en una variable y use esa variable para llamar solo a la lista específica que le interesa. Cada uso de Add-MpPreference se escribe en una nueva línea.

Validación de la lista de exclusión mediante MpCmdRun

Para comprobar las exclusiones con la herramienta de línea de comandos dedicada mpcmdrun.exe, use el siguiente comando:

MpCmdRun.exe -CheckExclusion -path <path>

Nota:

La comprobación de exclusiones con MpCmdRun requiere Microsoft Defender Antivirus CAMP versión 4.18.1812.3 (publicada en diciembre de 2018) o posterior.

Revise la lista de exclusiones junto con el resto de las preferencias Microsoft Defender Antivirus mediante PowerShell.

Use el siguiente cmdlet:

Get-MpPreference

Para obtener más información sobre cómo usar PowerShell con Microsoft Defender Antivirus, vea Uso de cmdlets de PowerShell para configurar y ejecutar Microsoft Defender antivirus y Microsoft Defender cmdlets antivirus .

Recuperación de una lista de exclusiones específica mediante PowerShell

Use el siguiente fragmento de código (escriba cada línea como un comando independiente); reemplace WDAVprefs por la etiqueta que quiera asignar a la variable:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Para obtener más información sobre cómo usar PowerShell con Microsoft Defender Antivirus, consulte Uso de cmdlets de PowerShell para configurar y ejecutar Microsoft Defender antivirus y cmdlets Microsoft Defender Antivirus.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.