İşlemler tarafından açılan dosyalar için dışlamaları yapılandırma

Şunlar için geçerlidir:

Platform

  • Windows

Belirli işlemler tarafından açılan dosyaları Microsoft Defender Virüsten Koruma taramalarının dışında tutabilirsiniz. Bu tür dışlamaların, işlemlerin kendileri tarafından değil, işlemler tarafından açılan dosyalara yönelik olduğunu unutmayın. Bir işlemi dışlamak için bir dosya dışlaması ekleyin (bkz. Dosya uzantısına ve klasör konumuna göre dışlamaları yapılandırma ve doğrulama).

Dışlamalarla ilgili önemli noktalara bakın ve dışlama listelerinizi tanımlamadan önce Uç Nokta için Microsoft Defender için dışlamaları yönetme ve Virüsten Koruma'ya Microsoft Defender bilgilerini gözden geçirin.

Bu makalede dışlama listelerinin nasıl yapılandırıldığı açıklanır.

İşlem dışlama örnekleri

Dışlama Örnek
Makinedeki belirli bir dosya adına sahip herhangi bir işlem tarafından açılan herhangi bir dosya Belirtilmesi test.exe , aşağıdakiler tarafından açılan dosyaları dışlar:

c:\sample\test.exe

d:\internal\files\test.exe

Makinedeki belirli bir klasör altındaki herhangi bir işlem tarafından açılan herhangi bir dosya Belirtilmesi c:\test\sample\* , aşağıdakiler tarafından açılan dosyaları dışlar:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Makinedeki belirli bir klasördeki belirli bir işlem tarafından açılan herhangi bir dosya Belirtilmesi c:\test\process.exe yalnızca c:\test\process.exe

İşlem dışlama listesine bir işlem eklediğinizde, Microsoft Defender Virüsten Koruma dosyalar nerede bulunursa bulunsın bu işlem tarafından açılan dosyaları taramaz. Ancak, dosya dışlama listesine de eklenmediği sürece işlemin kendisi taranır.

Dışlamalar yalnızca her zaman açık gerçek zamanlı koruma ve izleme için geçerlidir. Zamanlanmış veya isteğe bağlı taramalar için geçerli değildir.

Dışlama listelerinde grup ilkesi yapılan değişiklikler Windows Güvenliği uygulamasındaki listelerde gösterilir. Ancak, Windows Güvenliği uygulamasında yapılan değişiklikler grup ilkesi listelerinde gösterilmez.

grup ilkesi, Microsoft Configuration Manager, Microsoft Intune ve Windows Güvenliği uygulamasıyla dışlamalar için listeleri ekleyebilir, kaldırabilir ve gözden geçirebilir ve listeleri daha fazla özelleştirmek için joker karakterler kullanabilirsiniz.

Dışlama listelerini yapılandırmak için listelerinizi gözden geçirmek de dahil olmak üzere PowerShell cmdlet'lerini ve WMI'yi de kullanabilirsiniz.

Varsayılan olarak, listelerde yapılan yerel değişiklikler (yönetici ayrıcalıklarına sahip kullanıcılar tarafından; PowerShell ve WMI ile yapılan değişiklikler), grup ilkesi, Configuration Manager veya Intune tarafından tanımlandığı (ve dağıtıldığı) listelerle birleştirilir. Çakışmalar varsa, grup ilkesi listeleri önceliklidir.

Yerel değişikliklerin yönetilen dağıtım ayarlarını geçersiz kılmasını sağlamak için yerel ve genel olarak tanımlanmış dışlama listelerinin nasıl birleştirildiğini yapılandırabilirsiniz .

Not

Ağ Koruması ve Saldırı yüzeyi azaltma kuralları tüm platformlardaki işlem dışlamalarından doğrudan etkilenir; başka bir deyişle, herhangi bir işletim sisteminde (Windows, MacOS, Linux) bir işlem dışlaması Ağ Koruması'nın veya ASR'nin trafiği inceleyememesine veya belirli bir işlem için kuralları zorlayamamasına neden olur.

İşlem dışlamaları için görüntü adı ile tam yol karşılaştırması

İki farklı işlem dışlama türü ayarlanabilir. Bir işlem görüntü adı veya tam yol tarafından dışlanabilir. Görüntü adı, yol olmadan işlemin dosya adıdır.

Örneğin, bu işlemin tam yolundan çalıştırılan işlem MyProcess.exe şöyle olur C:\MyFolder\MyProcess.exe ve görüntü adı olurMyProcess.exe.C:\MyFolder\

Görüntü adı dışlamaları çok daha geniştir. Üzerindeki bir dışlama MyProcess.exe , çalıştırdıkları yoldan bağımsız olarak bu görüntü adına sahip tüm işlemleri dışlar. Bu nedenle, örneğin, işlem MyProcess.exe görüntü adıyla dışlanırsa, içinden, çıkarılabilir medyadan ve cetera'dan C:\MyOtherFolderçalıştırılırsa da dışlanır. Bu nedenle mümkün olduğunda tam yolun kullanılması önerilir.

İşlem dışlama listesinde joker karakter kullanma

İşlem dışlama listesindeki joker karakterlerin kullanımı, diğer dışlama listelerindeki kullanımlarından farklıdır. İşlem dışlaması yalnızca görüntü adı olarak tanımlandığında joker karakter kullanımına izin verilmez. Ancak tam yol kullanıldığında joker karakterler desteklenir ve joker karakter davranışı Dosya ve Klasör Dışlamaları'nda açıklandığı gibi davranır

İşlem dışlama listesindeki öğeleri tanımlarken joker karakter olarak ortam değişkenlerinin (örneğin %ALLUSERSPROFILE%) kullanılması da desteklenir. Ayrıntılar ve desteklenen ortam değişkenlerinin tam listesi Dosya ve Klasör Dışlamaları bölümünde açıklanmıştır.

Aşağıdaki tabloda, yol sağlandığında joker karakterlerin işlem dışlama listesinde nasıl kullanılabildiği açıklanmaktadır:

Joker karakter Örnek kullanım Örnek eşleşmeler
* (yıldız işareti)

Herhangi bir sayıda karakteri değiştirir.

C:\MyFolder\* veya tarafından C:\MyFolder\MyProcess.exe açılan herhangi bir dosya C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe veya tarafından C:\MyFolder1\MyFolder2\MyProcess.exe açılan herhangi bir dosya C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe veya tarafından C:\MyOtherFolder\MyFolder\MyProcess.exe açılan herhangi bir dosya C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (soru işareti)

Bir karakteri değiştirir.

C:\MyFolder\MyProcess??.exe veya C:\MyFolder\MyProcessAA.exe veya tarafından C:\MyFolder\MyProcess42.exe açılan herhangi bir dosyaC:\MyFolder\MyProcessF5.exe
Ortam Değişkenleri %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Tarafından açılan herhangi bir dosya C:\ProgramData\MyFolder\MyProcess.exe

Bağlamsal İşlem Dışlamaları

İşlem dışlama işleminin bağlamsal dışlama aracılığıyla da tanımlanabilir ve örneğin belirli bir dosyanın yalnızca belirli bir işlem tarafından açılması durumunda dışlanmasını sağlar.

Belirtilen işlemler tarafından açılan dosyalar için dışlama listesini yapılandırma

Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Microsoft Intune kullanın

Daha fazla bilgi için bkz. Microsoft Intune cihaz kısıtlama ayarlarını yapılandırma ve Intune Windows 10 için Virüsten koruma cihaz kısıtlama ayarlarını Microsoft Defender.

Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Microsoft Configuration Manager kullanın

Microsoft Configuration Manager (geçerli dal) yapılandırma ayrıntıları için bkz. Kötü amaçlı yazılımdan koruma ilkeleri oluşturma ve dağıtma: Dışlama ayarları.

Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için grup ilkesi kullanın

  1. grup ilkesi yönetim bilgisayarınızda, grup ilkesi Yönetim Konsolu'nu açın, yapılandırmak istediğiniz grup ilkesi Nesnesine sağ tıklayın ve Düzenle'ye tıklayın.

  2. grup ilkesi Yönetimi DüzenleyiciBilgisayar yapılandırması'na gidin ve Yönetim şablonları'na tıklayın.

  3. Ağacı Virüsten Koruma > Dışlamaları > Microsoft Defender Windows bileşenlerine genişletin.

  4. İşlem Dışlamaları'na çift tıklayın ve dışlamaları ekleyin:

    1. Seçeneği Etkin olarak ayarlayın.
    2. Seçenekler bölümünün altında Göster... öğesine tıklayın.
    3. Her işlemi Değer adı sütununun altına kendi satırına girin. Farklı işlem dışlama türleri için örnek tabloya bakın. Tüm işlemler için Değer sütununa 0 girin.
  5. Tamam'ı tıklatın.

Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için PowerShell cmdlet'lerini kullanma

İşlemler tarafından açılmış dosyalar için dışlama eklemek veya kaldırmak için PowerShell kullanmak için parametresiyle -ExclusionProcess üç cmdlet'in birleşimini kullanmak gerekir. Cmdlet'lerin tümü Defender modülündedir.

Cmdlet'lerin biçimi:

<cmdlet> -ExclusionProcess "<item>"

Cmdlet> olarak aşağıdakilere <izin verilir:

Yapılandırma eylemi PowerShell cmdlet'i
Listeyi oluşturma veya üzerine yazma Set-MpPreference
Listeye ekle Add-MpPreference
Listeden öğeleri kaldırma Remove-MpPreference

Önemli

veya Add-MpPreferenceile Set-MpPreference bir liste oluşturduysanız, cmdlet'ini Set-MpPreference yeniden kullanmak varolan listenin üzerine yazar.

Örneğin, aşağıdaki kod parçacığı Microsoft Defender Virüsten Koruma taramalarının belirtilen işlem tarafından açılan tüm dosyaları dışlamasına neden olabilir:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

PowerShell'i Microsoft Defender Virüsten Koruma ile kullanma hakkında daha fazla bilgi için bkz. Virüsten korumayı PowerShell cmdlet'leri ve Microsoft Defender Virüsten Koruma cmdlet'leri ile yönetme.

Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Windows Yönetim Yönergesi'ni (WMI) kullanın

Aşağıdaki özellikler için MSFT_MpPreference sınıfının Set, Add ve Remove yöntemlerini kullanın:

ExclusionProcess

Ayarla, Ekle ve Kaldır'ın kullanımı, PowerShell'deki karşılıklarına benzer: Set-MpPreference, Add-MpPreferenceve Remove-MpPreference.

Daha fazla bilgi ve izin verilen parametreler için bkz. Windows Defender WMIv2 API'leri.

Belirtilen işlemler tarafından açılmış dosyaları taramaların dışında tutmak için Windows Güvenliği uygulamasını kullanın

Windows Güvenliği uygulamasında dışlama ekleme başlığındaki yönergeleri izleyin.

Dışlama listesini gözden geçirin

MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune veya Windows Güvenliği uygulamasıyla dışlama listesindeki öğeleri alabilirsiniz.

PowerShell kullanıyorsanız, listeyi iki yolla alabilirsiniz:

  • Tüm Microsoft Defender Virüsten Koruma tercihlerinin durumunu alın. Listelerin her biri ayrı satırlarda görüntülenir, ancak her liste içindeki öğeler aynı satırda birleştirilir.
  • Tüm tercihlerin durumunu bir değişkene yazın ve bu değişkeni yalnızca ilgilendiğiniz listeyi çağırmak için kullanın. her kullanımı Add-MpPreference yeni bir satıra yazılır.

MpCmdRun kullanarak dışlama listesini doğrulama

mpcmdrun.exeayrılmış komut satırı aracıyla dışlamaları denetlemek için aşağıdaki komutu kullanın:

MpCmdRun.exe -CheckExclusion -path <path>

Not

MpCmdRun ile dışlamaların denetlenmesi için Virüsten Koruma CAMP sürüm 4.18.1812.3 (Aralık 2018'de yayımlandı) veya üzeri Microsoft Defender gerekir.

PowerShell kullanarak diğer tüm Microsoft Defender Virüsten Koruma tercihlerinin yanı sıra dışlama listesini gözden geçirin

Aşağıdaki cmdlet'i kullanın:

Get-MpPreference

PowerShell'i Microsoft Defender Virüsten Koruma ile kullanma hakkında daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Microsoft Defender Virüsten Koruma cmdlet'lerini yapılandırmak ve çalıştırmak için PowerShellcmdlet'lerini kullanma .

PowerShell kullanarak belirli bir dışlama listesini alma

Aşağıdaki kod parçacığını kullanın (her satırı ayrı bir komut olarak girin); WDAVprefs değerini değişkeni adlandırmak istediğiniz etiketle değiştirin:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

PowerShell'i Microsoft Defender Virüsten Koruma ile kullanma hakkında daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Microsoft Defender Virüsten Koruma cmdlet'lerini yapılandırmak ve çalıştırmak için PowerShellcmdlet'lerini kullanma.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.