Configurar exclusões para ficheiros abertos por processos
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
Pode excluir ficheiros abertos por processos específicos de Microsoft Defender análises antivírus. Tenha em atenção que estes tipos de exclusões destinam-se a ficheiros que são abertos por processos e não pelos próprios processos. Para excluir um processo, adicione uma exclusão de ficheiro (veja Configurar e validar exclusões com base na extensão de ficheiro e na localização da pasta).
Veja Pontos importantes sobre exclusões e reveja as informações em Gerir exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus antes de definir as suas listas de exclusão.
Este artigo descreve como configurar listas de exclusão.
Exemplos de exclusões de processos
| Exclusão | Exemplo |
|---|---|
| Qualquer ficheiro no computador aberto por qualquer processo com um nome de ficheiro específico | Especificar test.exe excluiria ficheiros abertos por:
|
| Qualquer ficheiro no computador aberto por qualquer processo numa pasta específica | Especificar c:\test\sample\* excluiria ficheiros abertos por: |
| Qualquer ficheiro no computador aberto por um processo específico numa pasta específica | Especificar c:\test\process.exe excluiria ficheiros abertos apenas por c:\test\process.exe |
Quando adiciona um processo à lista de exclusão de processos, Microsoft Defender Antivírus não analisará os ficheiros abertos por esse processo, independentemente da localização dos ficheiros. No entanto, o processo em si será analisado, a menos que também tenha sido adicionado à lista de exclusão de ficheiros.
As exclusões aplicam-se apenas à proteção e monitorização sempre ativadas em tempo real. Não se aplicam a análises agendadas ou a pedido.
As alterações efetuadas com Política de Grupo às listas de exclusão serão apresentadas nas listas na aplicação Segurança do Windows. No entanto, as alterações efetuadas na aplicação Segurança do Windows não serão apresentadas nas listas de Política de Grupo.
Pode adicionar, remover e rever as listas de exclusões em Política de Grupo, Microsoft Configuration Manager, Microsoft Intune e com a aplicação Segurança do Windows, e pode utilizar carateres universais para personalizar ainda mais as listas.
Também pode utilizar cmdlets do PowerShell e WMI para configurar as listas de exclusão, incluindo rever as suas listas.
Por predefinição, as alterações locais efetuadas às listas (por utilizadores com privilégios de administrador; as alterações efetuadas com o PowerShell e o WMI) são intercaladas com as listas definidas (e implementadas) por Política de Grupo, Configuration Manager ou Intune. As listas de Política de Grupo têm precedência se existirem conflitos.
Pode configurar a forma como as listas de exclusões definidas localmente e globalmente são intercaladas para permitir que as alterações locais substituam as definições de implementação geridas.
Observação
As regras de proteção de rede e redução da superfície de ataque são diretamente afetadas pelas exclusões de processos em todas as plataformas, o que significa que uma exclusão de processos em qualquer SO (Windows, MacOS, Linux) resultará na impossibilidade da Proteção de Rede ou do ASR de inspecionar ou impor regras para esse processo específico.
Nome da imagem vs. caminho completo para exclusões de processos
Podem ser definidos dois tipos diferentes de exclusões de processos. Um processo pode ser excluído pelo nome da imagem ou pelo caminho completo. O nome da imagem é simplesmente o nome do ficheiro do processo, sem o caminho.
Por exemplo, dado que o processo MyProcess.exe em execução a partir do C:\MyFolder\ caminho completo para este processo seria C:\MyFolder\MyProcess.exe e o nome da imagem é MyProcess.exe.
As exclusões de nomes de imagem são muito mais amplas – uma exclusão em MyProcess.exe excluirá quaisquer processos com este nome de imagem, independentemente do caminho a partir do qual são executados. Por exemplo, se o processo MyProcess.exe for excluído pelo nome da imagem, também será excluído se for executado a partir de , a partir de C:\MyOtherFoldersuportes de dados amovíveis, etc. Como tal, recomenda-se que, sempre que possível, seja utilizado o caminho completo.
Utilizar carateres universais na lista de exclusão de processos
A utilização de carateres universais na lista de exclusão de processos é diferente da sua utilização noutras listas de exclusão. Quando a exclusão do processo é definida apenas como um nome de imagem, a utilização de carateres universais não é permitida. No entanto, quando é utilizado um caminho completo, os carateres universais são suportados e o comportamento do caráter universal comporta-se conforme descrito em Exclusões de Ficheiros e Pastas
A utilização de variáveis de ambiente (como %ALLUSERSPROFILE%) como carateres universais ao definir itens na lista de exclusão de processos também é suportada. Os detalhes e uma lista completa das variáveis de ambiente suportadas estão descritos em Exclusões de Ficheiros e Pastas.
A tabela seguinte descreve como os carateres universais podem ser utilizados na lista de exclusão de processos, quando um caminho é fornecido:
| Curinga | Utilização de exemplo | Correspondências de exemplo |
|---|---|---|
* (asterisco)Substitui qualquer número de carateres. |
C:\MyFolder\* |
Qualquer ficheiro aberto por C:\MyFolder\MyProcess.exe ou C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Qualquer ficheiro aberto por C:\MyFolder1\MyFolder2\MyProcess.exe ou C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Qualquer ficheiro aberto por C:\MyOtherFolder\MyFolder\MyProcess.exe ou C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
| '?' (ponto de interrogação) Substitui um caráter. |
C:\MyFolder\MyProcess??.exe |
Qualquer ficheiro aberto por C:\MyFolder\MyProcess42.exe ou ou C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe |
| Variáveis de Ambiente | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Qualquer ficheiro aberto por C:\ProgramData\MyFolder\MyProcess.exe |
Exclusões de Processos Contextuais
Tenha em atenção que uma exclusão de processo também pode ser definida através de uma exclusão contextual , permitindo, por exemplo, que um ficheiro específico seja excluído apenas se for aberto por um processo específico.
Configurar a lista de exclusões para ficheiros abertos por processos especificados
Utilizar Microsoft Intune para excluir ficheiros que foram abertos por processos especificados de análises
Para obter mais informações, veja Configurar definições de restrição de dispositivos no Microsoft Intune e Microsoft Defender definições de restrição de dispositivos antivírus para Windows 10 no Intune.
Utilizar Microsoft Configuration Manager para excluir ficheiros que foram abertos por processos especificados de análises
Veja Como criar e implementar políticas antimalware: Definições de exclusão para obter detalhes sobre como configurar Microsoft Configuration Manager (ramo atual).
Utilizar Política de Grupo para excluir ficheiros que foram abertos por processos especificados de análises
No computador de gestão Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e clique em Editar.
Na Editor gestão de Política de Grupo, aceda a Configuração do computador e clique em Modelos administrativos.
Expanda a árvore para componentes > do Windows Microsoft Defender Exclusões > de Antivírus.
Faça duplo clique em Exclusões de Processos e adicione as exclusões:
- Defina a opção como Ativado.
- Na secção Opções , clique em Mostrar....
- Introduza cada processo na sua própria linha na coluna Nome do valor . Veja a tabela de exemplo para os diferentes tipos de exclusões de processos. Introduza 0 na coluna Valor para todos os processos.
Clique em OK.
Utilizar cmdlets do PowerShell para excluir ficheiros que foram abertos por processos especificados de análises
A utilização do PowerShell para adicionar ou remover exclusões de ficheiros que foram abertos por processos requer a utilização de uma combinação de três cmdlets com o -ExclusionProcess parâmetro . Os cmdlets estão todos no módulo do Defender.
O formato dos cmdlets é:
<cmdlet> -ExclusionProcess "<item>"
O seguinte é permitido como cmdlet<>:
| Ação de configuração | Cmdlet do PowerShell |
|---|---|
| Criar ou substituir a lista | Set-MpPreference |
| Adicionar à lista | Add-MpPreference |
| Remover itens da lista | Remove-MpPreference |
Importante
Se tiver criado uma lista, com Set-MpPreference ou Add-MpPreference, a utilização do Set-MpPreference cmdlet novamente substituirá a lista existente.
Por exemplo, o fragmento de código seguinte faria com Microsoft Defender análises antivírus excluam qualquer ficheiro aberto pelo processo especificado:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Para obter mais informações sobre como utilizar o PowerShell com Microsoft Defender Antivírus, veja Gerir o antivírus com cmdlets do PowerShell e cmdlets do Antivírus Microsoft Defender.
Utilize a Instrução de Gestão do Windows (WMI) para excluir ficheiros que tenham sido abertos por processos especificados de análises
Utilize os métodos Definir, Adicionar e Remover da classe MSFT_MpPreference para as seguintes propriedades:
ExclusionProcess
A utilização de Definir, Adicionar e Remover é análoga aos seus homólogos no PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.
Para obter mais informações e parâmetros permitidos, veja APIs WMIv2 do Windows Defender.
Utilize a aplicação Segurança do Windows para excluir ficheiros que foram abertos por processos especificados de análises
Siga as instruções em Adicionar exclusões na aplicação Segurança do Windows.
Rever a lista de exclusões
Pode obter os itens na lista de exclusão com MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune ou a aplicação Segurança do Windows.
Se utilizar o PowerShell, pode obter a lista de duas formas:
- Obtenha a status de todas as preferências do Antivírus Microsoft Defender. Cada uma das listas é apresentada em linhas separadas, mas os itens dentro de cada lista são combinados na mesma linha.
- Escreva o status de todas as preferências numa variável e utilize essa variável para chamar apenas a lista específica em que está interessado. Cada utilização de
Add-MpPreferenceé escrita numa nova linha.
Validar a lista de exclusão com MpCmdRun
Para marcar exclusões com a ferramenta de linha de comandos dedicada mpcmdrun.exe, utilize o seguinte comando:
MpCmdRun.exe -CheckExclusion -path <path>
Observação
A verificação de exclusões com MpCmdRun requer Microsoft Defender versão 4.18.1812.3 (lançada em dezembro de 2018) ou posterior.
Reveja a lista de exclusões juntamente com todas as outras preferências do Antivírus Microsoft Defender com o PowerShell
Utilize o seguinte cmdlet:
Get-MpPreference
Para obter mais informações sobre como utilizar o PowerShell com o Antivírus Microsoft Defender, veja Utilizar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets antivírus e antivírus Microsoft Defender .
Obter uma lista de exclusões específica com o PowerShell
Utilize o seguinte fragmento de código (introduza cada linha como um comando separado); substitua WDAVprefs por qualquer etiqueta que pretenda atribuir à variável:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Para obter mais informações sobre como utilizar o PowerShell com o Antivírus Microsoft Defender, veja Utilizar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets antivírus e antivírus Microsoft Defender.
Dica
Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Artigos relacionados
- Configurar e validar exclusões nas análises do Antivírus do Microsoft Defender
- Configurar e validar exclusões com base no nome do ficheiro, na extensão e na localização da pasta
- Configurar exclusões do Antivírus do Microsoft Defender no Windows Server
- Erros comuns a evitar ao definir exclusões
- Personalizar, iniciar e rever os resultados das análises e remediação do Antivírus do Microsoft Defender
- Microsoft Defender Antivirus no Windows 10
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.