Configurer des exclusions pour les fichiers ouverts par les processus
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Antivirus Microsoft Defender
Plateformes
- Windows
Vous pouvez exclure des fichiers ouverts par des processus spécifiques des analyses antivirus Microsoft Defender. Notez que ces types d’exclusions concernent les fichiers ouverts par les processus et non par les processus eux-mêmes. Pour exclure un processus, ajoutez une exclusion de fichier (consultez Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier).
Consultez Points importants sur les exclusions et passez en revue les informations dans Gérer les exclusions pour Microsoft Defender pour point de terminaison et Microsoft Defender Antivirus avant de définir vos listes d’exclusions.
Cet article explique comment configurer des listes d’exclusion.
Exemples d’exclusions de processus
Exclusion | Exemple |
---|---|
Tout fichier sur l’ordinateur ouvert par n’importe quel processus avec un nom de fichier spécifique | La spécification exclut les test.exe fichiers ouverts par :
|
Tout fichier sur l’ordinateur ouvert par n’importe quel processus dans un dossier spécifique | La spécification exclut les c:\test\sample\* fichiers ouverts par : |
Tout fichier sur l’ordinateur ouvert par un processus spécifique dans un dossier spécifique | La spécification exclut les c:\test\process.exe fichiers ouverts uniquement par c:\test\process.exe |
Lorsque vous ajoutez un processus à la liste d’exclusion de processus, Microsoft Defender Antivirus n’analyse pas les fichiers ouverts par ce processus, quel que soit l’emplacement des fichiers. Toutefois, le processus lui-même sera analysé, sauf s’il a également été ajouté à la liste d’exclusions de fichiers.
Les exclusions s’appliquent uniquement à la protection et à la surveillance en temps réel toujours activées. Elles ne s’appliquent pas aux analyses planifiées ou à la demande.
Les modifications apportées avec stratégie de groupe aux listes d’exclusion s’affichent dans les listes de l’application Sécurité Windows. Toutefois, les modifications apportées à l’application Sécurité Windows ne s’affichent pas dans les listes stratégie de groupe.
Vous pouvez ajouter, supprimer et examiner les listes pour les exclusions dans stratégie de groupe, Microsoft Configuration Manager, Microsoft Intune et avec l’application Sécurité Windows, et vous pouvez utiliser des caractères génériques pour personnaliser davantage les listes.
Vous pouvez également utiliser les applets de commande PowerShell et WMI pour configurer les listes d’exclusion, y compris l’examen de vos listes.
Par défaut, les modifications locales apportées aux listes (par les utilisateurs disposant de privilèges d’administrateur ; les modifications apportées avec PowerShell et WMI) sont fusionnées avec les listes telles que définies (et déployées) par stratégie de groupe, Configuration Manager ou Intune. Les listes stratégie de groupe sont prioritaires en cas de conflits.
Vous pouvez configurer la façon dont les listes d’exclusions définies localement et globalement sont fusionnées pour autoriser les modifications locales à remplacer les paramètres de déploiement managé.
Remarque
Les règles de protection réseau et de réduction de la surface d’attaque sont directement affectées par les exclusions de processus sur toutes les plateformes, ce qui signifie qu’une exclusion de processus sur n’importe quel système d’exploitation (Windows, MacOS, Linux) entraîne l’impossibilité d’inspecter le trafic ou d’appliquer des règles pour ce processus spécifique.
Nom de l’image et chemin d’accès complet pour les exclusions de processus
Deux types d’exclusions de processus peuvent être définis. Un processus peut être exclu par le nom de l’image ou par le chemin d’accès complet. Le nom de l’image est simplement le nom de fichier du processus, sans le chemin d’accès.
Par exemple, étant donné que le processus MyProcess.exe
en cours d’exécution à partir du C:\MyFolder\
chemin d’accès complet à ce processus serait C:\MyFolder\MyProcess.exe
et que le nom de l’image est MyProcess.exe
.
Les exclusions de nom d’image sont beaucoup plus larges : une exclusion sur MyProcess.exe
exclut tous les processus portant ce nom d’image, quel que soit le chemin d’accès à partir duquel ils sont exécutés. Par exemple, si le processus MyProcess.exe
est exclu par le nom de l’image, il est également exclu s’il est exécuté à partir de , à partir d’un C:\MyOtherFolder
média amovible, etc. Par conséquent, il est recommandé d’utiliser le chemin d’accès complet dans la mesure du possible.
Utiliser des caractères génériques dans la liste d’exclusions de processus
L’utilisation de caractères génériques dans la liste d’exclusions de processus est différente de leur utilisation dans d’autres listes d’exclusion. Lorsque l’exclusion de processus est définie comme nom d’image uniquement, l’utilisation de caractères génériques n’est pas autorisée. Toutefois, lorsqu’un chemin d’accès complet est utilisé, les caractères génériques sont pris en charge et le comportement des caractères génériques se comporte comme décrit dans Exclusions de fichiers et de dossiers
L’utilisation de variables d’environnement (telles que %ALLUSERSPROFILE%
) comme caractères génériques lors de la définition d’éléments dans la liste d’exclusions de processus est également prise en charge. Les détails et la liste complète des variables d’environnement prises en charge sont décrits dans Exclusions de fichiers et de dossiers.
Le tableau suivant décrit comment les caractères génériques peuvent être utilisés dans la liste d’exclusion de processus, lorsqu’un chemin d’accès est fourni :
Caractère générique | Exemple d’utilisation | Exemples de correspondances |
---|---|---|
* (astérisque)Remplace n’importe quel nombre de caractères. |
C:\MyFolder\* |
Tout fichier ouvert par C:\MyFolder\MyProcess.exe ou C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Tout fichier ouvert par C:\MyFolder1\MyFolder2\MyProcess.exe ou C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Tout fichier ouvert par C:\MyOtherFolder\MyFolder\MyProcess.exe ou C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (point d’interrogation) Remplace un caractère. |
C:\MyFolder\MyProcess??.exe |
Tout fichier ouvert par C:\MyFolder\MyProcess42.exe ou ou C:\MyFolder\MyProcessAA.exe C:\MyFolder\MyProcessF5.exe |
Variables d’environnement | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Tout fichier ouvert par C:\ProgramData\MyFolder\MyProcess.exe |
Exclusions de processus contextuels
Notez qu’une exclusion de processus peut également être définie via une exclusion contextuelle , ce qui permet par exemple d’exclure un fichier spécifique uniquement s’il est ouvert par un processus spécifique.
Configurer la liste des exclusions pour les fichiers ouverts par des processus spécifiés
Utiliser Microsoft Intune pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés
Pour plus d’informations, consultez Configurer les paramètres de restriction d’appareil dans Microsoft Intune et Microsoft Defender Paramètres de restriction d’appareil antivirus pour Windows 10 dans Intune.
Utiliser Microsoft Configuration Manager pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés
Pour plus d’informations sur la configuration des Microsoft Configuration Manager (Current Branch), consultez Comment créer et déployer des stratégies anti-programme malveillant : paramètres d’exclusion.
Utiliser stratégie de groupe pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés
Sur votre ordinateur de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.
Dans le Rédacteur gestion stratégie de groupe, accédez à Configuration de l’ordinateur, puis cliquez sur Modèles d’administration.
Développez l’arborescence composants > Windows Microsoft Defender Exclusions d’antivirus>.
Double-cliquez sur Exclusions de processus et ajoutez les exclusions :
- Définissez l’option sur Activé.
- Dans la section Options , cliquez sur Afficher....
- Entrez chaque processus sur sa propre ligne sous la colonne Nom de la valeur . Consultez l’exemple de tableau pour connaître les différents types d’exclusions de processus. Entrez 0 dans la colonne Valeur pour tous les processus.
Cliquez sur OK.
Utiliser des applets de commande PowerShell pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés
L’utilisation de PowerShell pour ajouter ou supprimer des exclusions pour les fichiers qui ont été ouverts par des processus nécessite l’utilisation d’une combinaison de trois applets de commande avec le -ExclusionProcess
paramètre . Les applets de commande se trouvent toutes dans le module Defender.
Le format des applets de commande est le suivant :
<cmdlet> -ExclusionProcess "<item>"
Les éléments suivants sont autorisés en tant qu’applet de <commande> :
Action de configuration | Applet de commande PowerShell |
---|---|
Créer ou remplacer la liste | Set-MpPreference |
Ajouter à la liste | Add-MpPreference |
Supprimer des éléments de la liste | Remove-MpPreference |
Importante
Si vous avez créé une liste, avec Set-MpPreference
ou Add-MpPreference
, l’utilisation de l’applet Set-MpPreference
de commande remplacera la liste existante.
Par exemple, l’extrait de code suivant entraîne Microsoft Defender analyses antivirus pour exclure tout fichier ouvert par le processus spécifié :
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Gérer l’antivirus avec les applets de commande PowerShell et les applets de commande antivirus Microsoft Defender.
Utiliser l’instruction WMI (Windows Management Instruction) pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés
Utilisez les méthodes Set, Add et Remove de la classe MSFT_MpPreference pour les propriétés suivantes :
ExclusionProcess
L’utilisation de Set, Add et Remove est analogue à leurs équivalents dans PowerShell : Set-MpPreference
, Add-MpPreference
et Remove-MpPreference
.
Pour plus d’informations et les paramètres autorisés, consultez API Windows Defender WMIv2.
Utiliser l’application Sécurité Windows pour exclure des analyses les fichiers qui ont été ouverts par des processus spécifiés
Suivez les instructions fournies dans Ajouter des exclusions dans l’application Sécurité Windows.
Passer en revue la liste des exclusions
Vous pouvez récupérer les éléments de la liste d’exclusion avec MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune ou l’application Sécurité Windows.
Si vous utilisez PowerShell, vous pouvez récupérer la liste de deux manières :
- Récupérez les status de toutes les préférences antivirus Microsoft Defender. Chacune des listes est affichée sur des lignes distinctes, mais les éléments de chaque liste sont combinés dans la même ligne.
- Écrivez la status de toutes les préférences dans une variable et utilisez cette variable pour appeler uniquement la liste spécifique qui vous intéresse. Chaque utilisation de
Add-MpPreference
est écrite sur une nouvelle ligne.
Valider la liste d’exclusions à l’aide de MpCmdRun
Pour case activée des exclusions avec l’outil en ligne de commande dédié mpcmdrun.exe, utilisez la commande suivante :
MpCmdRun.exe -CheckExclusion -path <path>
Remarque
La vérification des exclusions avec MpCmdRun nécessite Microsoft Defender Antivirus CAMP version 4.18.1812.3 (publiée en décembre 2018) ou ultérieure.
Passez en revue la liste des exclusions avec toutes les autres préférences antivirus Microsoft Defender à l’aide de PowerShell
Utilisez l’applet de commande suivante :
Get-MpPreference
Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Utiliser des applets de commande PowerShell pour configurer et exécuter Microsoft Defender Antivirus et les applets de commande antivirus Microsoft Defender .
Récupérer une liste d’exclusions spécifique à l’aide de PowerShell
Utilisez l’extrait de code suivant (entrez chaque ligne en tant que commande distincte) ; remplacez WDAVprefs par l’étiquette que vous souhaitez nommer la variable :
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus, consultez Utiliser des applets de commande PowerShell pour configurer et exécuter Microsoft Defender Antivirus et les applets de commande antivirus Microsoft Defender.
Conseil
Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :
- Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
- Microsoft Defender pour point de terminaison sur Mac
- Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
- Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
- Microsoft Defender pour point de terminaison Linux
- Configurer Defender pour point de terminaison pour des fonctionnalités Android
- configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS
Articles connexes
- Configurer et valider des exclusions dans les analyses antivirus Microsoft Defender
- Configurer et valider des exclusions en fonction du nom de fichier, de l’extension et de l’emplacement du dossier
- Configurer Microsoft Defender exclusions antivirus sur Windows Server
- Erreurs courantes à éviter lors de la définition d’exclusions
- Personnaliser, lancer et examiner les résultats des analyses et des corrections Microsoft Defender antivirus
- Antivirus Microsoft Defender dans Windows 10
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.