Configurer des exclusions personnalisées pour Microsoft Defender Antivirus

En général, vous n’avez pas besoin de définir des exclusions pour Microsoft Defender Antivirus. Toutefois, vous pouvez exclure des fichiers, dossiers, processus et fichiers ouverts par processus des analyses antivirus Microsoft Defender. Ces types d’exclusions sont appelés exclusions personnalisées. Cet article explique comment utiliser Microsoft Intune pour définir des exclusions personnalisées pour Microsoft Defender Antivirus dans Microsoft Windows.

Les exclusions personnalisées s’appliquent aux analyses planifiées, aux analyses à la demande et à la protection et à la surveillance en temps réel toujours activées. Les exclusions pour les fichiers ouverts par processus s’appliquent uniquement à la protection en temps réel.

Configuration requise

Systèmes d’exploitation pris en charge

• Windows

Points importants sur les exclusions

• Attention

  Utilisez les exclusions avec parcimonie. Les exclusions sont techniquement un écart de protection qui réduit Microsoft Defender protection antivirus. Tenez compte de toutes les options lorsque vous définissez des exclusions. Pour plus d’informations, consultez Gérer les exclusions pour l’antivirus Microsoft Defender pour point de terminaison et Microsoft Defender.

• Les exclusions peuvent affecter directement si Microsoft Defender Antivirus peut bloquer, corriger ou inspecter les événements liés aux fichiers, dossiers ou processus exclus.

  • L’exclusion personnalisée peut affecter les fonctionnalités qui dépendent du moteur antivirus. Par exemple :
    • Protection contre les programmes malveillants.
    • ICS de fichier.
    • ICS de certificat.
  • Les exclusions de processus sur n’importe quelle plateforme empêchent les règles de protection réseau et de réduction de la surface d’attaque d’inspecter le trafic ou d’appliquer des règles pour les processus exclus.

• Examinez et auditez régulièrement les exclusions. Revérifier et appliquer à nouveau les atténuations dans le cadre de votre processus de révision. Pour éviter toute confusion, votre équipe de sécurité doit conserver le contexte concernant la raison pour laquelle une certaine exclusion a été requise.

• Utilisez des exclusions uniquement pour des problèmes spécifiques (par exemple, les performances ou la compatibilité des applications). N’excluez pas quelque chose simplement parce que vous pensez que cela pourrait être un problème à l’avenir.

Créer des stratégies d’exclusion antivirus Microsoft Defender dans Intune

Pour créer une stratégie AV dans Microsoft Intune à l’aide du profil d’exclusions d’antivirus Microsoft Defender, procédez comme suit :

1. Dans le centre d’administration Microsoft Intune à l’adresse https://intune.microsoft.com, accédez à Sécurité du point de terminaison.

2. Sur la sécurité du point de terminaison | Page Vue d’ensemble , sélectionnez Antivirus dans la section Gérer . Ou, pour accéder directement à la sécurité du point de terminaison | Page antivirus , utilisez https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.

3. Sous l’onglet Résumé de la sécurité du point de terminaison | Page Antivirus , sélectionnez Créer une stratégie dans la section Stratégies AV .

4. Dans le menu volant Créer un profil qui s’ouvre, configurez les paramètres suivants :

   • Plateforme : sélectionnez Windows.
   • Profil : sélectionnez Microsoft Defender exclusions antivirus.

   Sélectionnez Créer.

5. L’Assistant Création d’une stratégie s’ouvre. Sous l’onglet Informations de base , configurez les paramètres suivants :

   • Nom Entrez un nom unique et descriptif pour la stratégie.
   • Description : entrez une description facultative.

   Sélectionnez Suivant.

6. Sous l’onglet Paramètres de configuration , configurez tout ou partie des paramètres suivants :

   • Section Extensions exclues : Exclusions par extension de type de fichier. L’exclusion s’applique à tous les fichiers avec cette extension, quel que soit l’emplacement. Pour plus d’informations, consultez ExcludedExtensions.
   • Section Chemins d’accès exclus : Exclusions par emplacement (chemin d’accès). Également appelées exclusions de fichiers et de dossiers. Séparez chaque chemin et entrez un chemin par ligne. Pour plus d’informations, consultez ExcludedPaths.
   • Section Processus exclus : Exclusions pour les fichiers ouverts par des processus spécifiés. Séparez chaque type de fichier dans la liste, par un type de fichier par ligne. Les processus eux-mêmes ne sont pas exclus. Pour exclure des processus, vous pouvez utiliser des exclusions de fichiers et de dossiers. Pour plus d’informations, consultez ExcludedProcesses.

   Pour ajouter une exclusion, sélectionnez Ajouter, puis entrez la valeur dans la zone qui s’affiche. Répétez cette étape autant de fois que nécessaire.

   Conseil

   • Le service antivirus Microsoft Defender s’exécute dans le contexte système à l’aide du compte LocalSystem. Le service obtient des informations à partir de variables d’environnement système , et non de variables d’environnement utilisateur . Par conséquent, les variables d’environnement comme %USERPROFILE% sont probablement interprétées différemment de ce que vous attendez. Pour plus d’informations, consultez Variables d’environnement système.

   • N’utilisez pas de variables d’environnement utilisateur comme caractères génériques dans les exclusions de dossier et de traitement dans Microsoft Defender Antivirus. Utilisez uniquement les types de variables d’environnement suivants comme caractères génériques :

   • Variables d’environnement système.

   • Variables d’environnement qui s’appliquent aux processus s’exécutant en tant que compte NT AUTHORITY\SYSTEM.

   Pour plus d’informations, consultez Utiliser des caractères génériques dans les listes d’exclusion de nom de fichier et de dossier ou d’extension.

   Pour supprimer une exclusion ou une zone vide, sélectionnez la zone case activée en regard de l’entrée, puis sélectionnez Supprimer.

   Pour importer un fichier .csv d’exclusions, sélectionnez Importer.

   Lorsque vous avez terminé d’accéder à l’onglet Paramètres de configuration , sélectionnez Suivant.

7. Sous l’onglet Balises d’étendue , la balise d’étendue nommée Default est sélectionnée par défaut, mais vous pouvez la supprimer et sélectionner d’autres balises d’étendue existantes. Lorsque vous avez terminé, cliquez sur Suivant.

8. Sous l’onglet Affectations , cliquez dans la zone de recherche ou commencez à taper un nom de groupe, puis sélectionnez-le dans les résultats.

   Vous pouvez sélectionner Tous les utilisateurs ou Tous les appareils.

   Lorsque vous sélectionnez un groupe personnalisé, vous pouvez utiliser le paramètre Type de cible pour Inclure ou Exclure les membres du groupe.

   Répétez cette étape autant de fois que nécessaire.

   Lorsque vous avez terminé d’accéder à l’onglet Affectations , sélectionnez Suivant.

9. Sous l’onglet Vérifier + créer , passez en revue vos paramètres. Utilisez Précédent ou sélectionnez un onglet pour apporter des modifications.

   Lorsque vous avez terminé d’accéder à l’onglet Vérifier + créer , sélectionnez Enregistrer.

Retour sous l’onglet Résumé de la sécurité du point de terminaison | Page Antivirus , la nouvelle stratégie AV est répertoriée. La valeur type de stratégie est Microsoft Defender Exclusions antivirus.

Modifier les exclusions dans Microsoft Defender stratégies d’exclusion antivirus dans Intune

Pour modifier une stratégie AV existante dans Microsoft Intune qui utilise le profil d’exclusions antivirus Microsoft Defender, procédez comme suit :

1. Dans le centre d’administration Microsoft Intune à l’adresse https://intune.microsoft.com, accédez à Sécurité du point de terminaison.

2. Sur la sécurité du point de terminaison | Page Vue d’ensemble , sélectionnez Antivirus dans la section Gérer . Ou, pour accéder directement à la sécurité du point de terminaison | Page antivirus , utilisez https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.

3. Sous l’onglet Résumé de la sécurité du point de terminaison | Page Antivirus, sélectionnez une stratégie dans la section Stratégies AV où la valeur Type de stratégie est Microsoft Defender Exclusions antivirus.

4. Dans la page des propriétés de stratégie qui s’ouvre, sélectionnez Modifier en regard de Paramètres de configuration.

5. Sous l’onglet Paramètres de configuration de la page Modifier la stratégie qui s’ouvre, ajoutez ou supprimez des exclusions :

   • Section Extensions exclues : Exclusions par extension de type de fichier. L’exclusion s’applique à tous les fichiers avec cette extension, quel que soit l’emplacement. Pour plus d’informations, consultez ExcludedExtensions.
   • Section Chemins d’accès exclus : Exclusions par emplacement (chemin d’accès). Également appelées exclusions de fichiers et de dossiers. Séparez chaque chemin et entrez un chemin par ligne. Pour plus d’informations, consultez ExcludedPaths.
   • Section Processus exclus : Exclusions pour les fichiers ouverts par des processus spécifiés. Séparez chaque type de fichier dans la liste, par un type de fichier par ligne. Les processus eux-mêmes ne sont pas exclus. Pour exclure des processus, vous pouvez utiliser des exclusions de fichiers et de dossiers. Pour plus d’informations, consultez ExcludedProcesses.

   Pour ajouter une exclusion, sélectionnez Ajouter, puis entrez la valeur dans la zone qui s’affiche. Répétez cette étape autant de fois que nécessaire.

   Pour supprimer une exclusion ou une zone vide, sélectionnez la zone case activée en regard de l’entrée, puis sélectionnez Supprimer.

   Pour importer un fichier .csv de nouvelles exclusions, sélectionnez Importer.

   Pour exporter les exclusions existantes dans un fichier .csv de, sélectionnez Exporter.

   Lorsque vous avez terminé d’accéder à l’onglet Paramètres de configuration , sélectionnez Suivant.

6. Sous l’onglet Révision, passez en revue vos paramètres. Utilisez Précédent ou sélectionnez l’onglet Paramètres de configuration pour apporter des modifications.

   Lorsque vous avez terminé d’accéder à l’onglet Révision , sélectionnez Enregistrer.

De retour dans la page des propriétés de stratégie, les mises à jour de la liste d’exclusions sont affichées dans la section Paramètres> de configurationDefender.

Exclusions d’antivirus sur les serveurs Exchange

Microsoft Exchange Server 2016 ou version ultérieure prend en charge l’intégration à l’interface d’analyse anti-programme malveillant (AMSI). Pour plus d’informations, consultez Exchange Server’intégration d’AMSI.

De nombreuses organisations excluent les dossiers Exchange Server des analyses antivirus pour des raisons de performances. Microsoft recommande d’auditer Microsoft Defender exclusions antivirus sur les serveurs Exchange et d’évaluer si vous pouvez supprimer les exclusions sans affecter les performances. Vous pouvez gérer les exclusions à l’aide de stratégie de groupe, de PowerShell ou d’outils de gestion des systèmes comme Microsoft Intune.

Pour auditer Microsoft Defender exclusions antivirus sur un Exchange Server, exécutez l’applet de commande Get-MpPreference à partir d’une invite PowerShell avec élévation de privilèges.

Si vous ne pouvez pas supprimer les exclusions pour les processus et dossiers Exchange, n’oubliez pas qu’une analyse rapide dans Microsoft Defender Antivirus analyse les répertoires et fichiers Exchange, quelles que soient les exclusions.

Voir aussi

• exclusions antivirus Microsoft Defender sur Windows Server 2016 et versions ultérieures
• Erreurs courantes à éviter lors de la définition d’exclusions
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender
• Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur Linux
• Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur macOS