Excluir copias de seguridad (instantáneas de volumen) de Windows Defender

Question 1

Puede usar PowerShell para agregar un patrón comodín para todas las instantáneas HD a la lista de exclusión de Windows Defender. La GUI de configuración de Defender no le permite usar comodines, pero el comando de PowerShell sí:

PS C:\> Add-MpPreference -ExclusionPath "\Device\HarddiskVolumeShadowCopy*\"

O, si está utilizando cmd.exe:

C:\> powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "\Device\HarddiskVolumeShadowCopy*\"

Answer

Puede usar PowerShell para agregar un patrón comodín para todas las instantáneas HD a la lista de exclusión de Windows Defender. La GUI de configuración de Defender no le permite usar comodines, pero el comando de PowerShell sí:

PS C:\> Add-MpPreference -ExclusionPath "\Device\HarddiskVolumeShadowCopy*\"

O, si está utilizando cmd.exe:

C:\> powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "\Device\HarddiskVolumeShadowCopy*\"

Question 2

No estoy seguro de que excluir una instantánea de volumen sea realmente lo que deba hacer. Pensé que estaba en el mismo barco que tú... Copias de seguridad y restauración de Windows informaba de copias de seguridad fallidas debido a malware. Las únicas referencias que pude encontrar en Windows Defender fueron a una ruta similar a Device\HarddiskVolumeShadowCopy5\Download\something.crx, y buscar rutas similares en mis unidades reales no mostró nada.

Mi primera pista fue que cuando intenté rehacer la copia de seguridad manualmente, noté que el primer paso era "Crear volumen de sombra". Esto me hizo pensar que Defender no debe ser tan estúpido después de todo, y tal vez estaba detectando algo que se copiaba desde una unidad de origen. Después de investigar más a fondo, resulta que algunos enlaces simbólicos (alias de carpetas) que había creado confundían el problema y finalmente encontré el archivo reportado (¡descargado hace más de 5 años!) del que se quejaba. Ahora bien, por qué los análisis completos de Defender no lo encuentran, pero el acceso en tiempo real durante la copia de seguridad sí, es un tema aparte.

Probablemente no seas tan inepto como yo para localizar los archivos de malware reportados, pero tal vez tengas un villano tenaz que tiene problemas para limpiarse, pero se esconde bien, o que sigue reinfectando el sistema. de otro vector.

Answer

No estoy seguro de que excluir una instantánea de volumen sea realmente lo que deba hacer. Pensé que estaba en el mismo barco que tú... Copias de seguridad y restauración de Windows informaba de copias de seguridad fallidas debido a malware. Las únicas referencias que pude encontrar en Windows Defender fueron a una ruta similar a Device\HarddiskVolumeShadowCopy5\Download\something.crx, y buscar rutas similares en mis unidades reales no mostró nada.

Mi primera pista fue que cuando intenté rehacer la copia de seguridad manualmente, noté que el primer paso era "Crear volumen de sombra". Esto me hizo pensar que Defender no debe ser tan estúpido después de todo, y tal vez estaba detectando algo que se copiaba desde una unidad de origen. Después de investigar más a fondo, resulta que algunos enlaces simbólicos (alias de carpetas) que había creado confundían el problema y finalmente encontré el archivo reportado (¡descargado hace más de 5 años!) del que se quejaba. Ahora bien, por qué los análisis completos de Defender no lo encuentran, pero el acceso en tiempo real durante la copia de seguridad sí, es un tema aparte.

Probablemente no seas tan inepto como yo para localizar los archivos de malware reportados, pero tal vez tengas un villano tenaz que tiene problemas para limpiarse, pero se esconde bien, o que sigue reinfectando el sistema. de otro vector.

Question 3

Utilice la notificación:

vaya a la notificación haciendo clic en ella, o vaya a [Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección contra virus y subprocesos > Historial de amenazas > Ver historial completo].
luego expanda la amenaza > Acciones > Permitir.

esto parece funcionar mejor que intentar excluir una ruta al volumen oculto "archivo:\Device\HarddiskVolumeShadowCopy16\Download\some_file.exe", que no reconoce.

Answer

Utilice la notificación:

vaya a la notificación haciendo clic en ella, o vaya a [Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección contra virus y subprocesos > Historial de amenazas > Ver historial completo].
luego expanda la amenaza > Acciones > Permitir.

esto parece funcionar mejor que intentar excluir una ruta al volumen oculto "archivo:\Device\HarddiskVolumeShadowCopy16\Download\some_file.exe", que no reconoce.

Question 4

El defensor no tiene una opción para permitir "amenazas" vss. En mi caso, no son amenazas, son archivos de nirsoft que ya excluí en Defender, pero cuando se realiza una copia de seguridad se muestran como amenazas en vss y no se permiten exclusiones para vss, solo poner en cuarentena y eliminar, por lo que es necesario excluir esos archivos de las copias de seguridad por completo

Answer

El defensor no tiene una opción para permitir "amenazas" vss. En mi caso, no son amenazas, son archivos de nirsoft que ya excluí en Defender, pero cuando se realiza una copia de seguridad se muestran como amenazas en vss y no se permiten exclusiones para vss, solo poner en cuarentena y eliminar, por lo que es necesario excluir esos archivos de las copias de seguridad por completo

Excluir copias de seguridad (instantáneas de volumen) de Windows Defender

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada