Excluir carpetas del análisis en Microsoft Defender: guía completa

  • Usa exclusiones contextuales (PathType, ScanType, ScanTrigger, Process) para limitar el impacto en la protección.
  • Configura exclusiones desde Seguridad de Windows, GPO, PowerShell o WMI según tu entorno.
  • Valida reglas con MpCmdRun, Get-MpPreference y el archivo de prueba EICAR.
Daniel Terrasa

10 minutos

defender

Excluir carpetas, archivos o procesos en Microsoft Defender puede ayudarte a mejorar el rendimiento del sistema cuando notas picos de CPU o lentitud durante los análisis. Bien empleadas, estas exclusiones evitan escaneos innecesarios en rutas conocidas sin comprometer más de la cuenta la protección, pero conviene entender sus límites y el impacto de seguridad.

En esta guía te contamos cómo crear exclusiones básicas y contextuales (con condiciones según tipo de análisis, desencadenador, proceso o si es archivo/carpeta), la sintaxis exacta que debes usar, métodos para configurarlas desde la app Seguridad de Windows, Directiva de grupo, PowerShell o WMI, y cómo validarlas con herramientas y el archivo de prueba EICAR.

Qué son las exclusiones de Microsoft Defender y cuándo usarlas

Las exclusiones permiten que Microsoft Defender la omisión de rutas, extensiones o procesos durante sus análisis. Están pensadas principalmente para mitigar efectos de rendimiento en escenarios con muchos accesos a disco o compilaciones, y conllevan una penalización: reducción del nivel de protección en el ámbito excluido.

Las exclusiones contextuales agregan precisión gracias a restricciones que limitan cuándo se aplican (por ejemplo, solo en análisis rápidos, o únicamente si accede un proceso concreto). Aun así, no son la vía recomendada para resolver falsos positivos de forma fiable: si sospechas de una detección errónea, envía el archivo para análisis mediante el portal de Microsoft Defender (si dispones de suscripción) o vía el sitio de Microsoft Security Intelligence; como método temporal, valora crear un indicador de “permitir” en Defender for Endpoint.

Importante: si no se especifica ninguna restricción adicional, una exclusión básica se aplica a todos los tipos de examen y desencadenadores, y no distingue si el destino es archivo o carpeta. Más abajo verás cómo afinar este comportamiento.

microsoft defender

Tipos de restricciones que puedes aplicar

Defender permite cuatro grandes restricciones para acotar la aplicabilidad de una exclusión. Todas ellas se añaden a la cadena de exclusión y son sensible a mayúsculas (tanto tipos como valores).

  • PathType (archivo o carpeta): fuerza que la exclusión se aplique únicamente si el destino es un file o un folder. Si el destino no coincide, la exclusión no se aplica.
  • ScanType (tipo de examen): limita la exclusión a exámenes quick o full. El “recurso” (examen dirigido) se trata por separado al usar ScanTrigger.
  • ScanTrigger (desencadenador): define cuándo se activa la exclusión: OnDemand (acciones manuales y programadas, incluye rápidos y completos), OnAccess (protección en tiempo real) o BM (supervisión de comportamiento).
  • Process (proceso): hace que la exclusión solo rija si el acceso proviene de un ejecutable concreto; admite comodines en ruta o nombre.

De forma predeterminada, las exclusiones clásicas afectan a los exámenes de recurso, quick y full, tanto a demanda como en tiempo real y memoria (comportamiento). Con restricciones, puedes ajustar la ventana de aplicación a solo lo imprescindible.

Sintaxis de las exclusiones contextuales y ejemplos

La cadena de exclusión parte de la ruta base y añade una sección de tipo:valor entre llaves. Recuerda que todos los TypeName y value distinguen mayúsculas y minúsculas.

Formato general: <PATH>\:{TypeName:value,TypeName:value}. Por ejemplo, para excluir un archivo concreto solo si es archivo y únicamente en exámenes al acceder:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Para excluir el mismo archivo si lo toca un proceso con imagen denominada winword.exe:

c:\documents\design.doc\:{Process:"winword.exe"}

Se aceptan caracteres comodín en rutas de archivos/carpetas, como:

Se aceptan caracteres comodín en rutas de archivos/carpetas, como:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

También en la ruta de imagen del proceso, por ejemplo:

c:\documents\design.doc\:{Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}

Restringir a carpeta: si quieres aplicar la exclusión solo si el destino es una carpeta (no un archivo), usa:

C:\documents\*\:{PathType:folder}

Restringir a archivo: para asegurar que sea exclusivamente archivo (y no una carpeta con nombre similar):

C:\documents\*.mdb\:{PathType:file}

Limitar por tipo de examen: excluir una ruta únicamente en exámenes completos:

C:\documents\:{ScanType:full}

Limitar a exámenes rápidos y garantizar que es un archivo (por ejemplo, C:\program.exe):

C:\program.exe\:{ScanType:quick,PathType:file}

Aplicar solo en tiempo real (OnAccess) para una carpeta y su contenido:

c:\documents\:{ScanTrigger:OnAccess}

Vincular a procesos concretos (se pueden combinar varios Process y usar comodines):

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}

excluir carpetas análisis widows defender

Métodos para configurar exclusiones en Windows Defender

Antes de nada, verifica que cumples los requisitos mínimos para exclusiones contextuales: Plataforma 4.18.2205.7 o superior y Motor 1.1.19300.2 o superior. Mantén actualizado Defender para garantizar compatibilidad.

Desde la aplicación Seguridad de Windows

Es la vía más directa para quien desea excluir archivos, carpetas, extensiones o procesos sin usar scripts. Entra en Seguridad de Windows, ve a protección antivirus y contra amenazas, y en el área de exclusiones, añade los elementos que necesites. Microsoft indica que, por lo general, no es necesario excluir nada, pero si debes hacerlo, elige con cuidado el tipo de exclusión.

Listas de exclusión y tipos habituales

Los tipos más comunes incluyen extensiones de archivo, rutas (carpetas completas o archivos concretos) y procesos. Algunos ejemplos típicos según la documentación:

  • Extensión: todos los ficheros con una extensión en cualquier ubicación (p. ej., sintaxis válida: .test o test).
  • Carpeta: todo lo contenido dentro de c:\test\sample (archivos y subcarpetas).
  • Archivo específico: solo c:\sample\sample.test.
  • Proceso: el ejecutable c:\test\process.exe.

Ten presente que las exclusiones de carpeta abarcan todos los elementos de esa carpeta salvo que una subcarpeta sea un punto de reanálisis, en cuyo caso debes excluirla aparte. Y que las extensiones aplican a cualquier nombre de archivo con esa terminación si no defines una ruta.

Directiva de grupo (GPO)

Para entornos gestionados, GPO permite centralizar exclusiones de rutas y extensiones:

  1. Abre la Consola de administración de directivas de grupo, edita el GPO deseado.
  2. Navega a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Microsoft Defender Antivirus > Exclusiones.
  3. En Exclusiones de ruta de acceso: habilita, pulsa Mostrar, especifica cada carpeta/archivo con ruta completa (unidad, carpetas, nombre y extensión). En la columna Valor introduce 0.
  4. En Exclusiones de extensión: habilita, pulsa Mostrar, añade cada extensión en su propia línea y pon 0 en Valor.

Este método resulta ideal para padronizar configuraciones en múltiples equipos sin intervención manual en cada uno.

PowerShell

Con PowerShell puedes crear, añadir o quitar entradas en las listas de exclusión mediante los cmdlets del módulo Defender. El patrón general es:

<cmdlet> -<exclusion list> "<item>"

  • Crear o sobrescribir lista: Set-MpPreference
  • Añadir a la lista: Add-MpPreference
  • Quitar elemento: Remove-MpPreference

Parámetros de lista disponibles para lo más habitual:

  • -ExclusionExtension para todas las coincidencias por extensión.
  • -ExclusionPath para archivos concretos o carpetas (incluye subdirectorios).

Ejemplo para excluir cualquier archivo con la extensión .test:

Add-MpPreference -ExclusionExtension ".test"

También puedes combinarlo para rutas concretas y mantener control de versiones (Add para añadir, Remove para retirar entradas sin destruir el resto).

WMI

Si automatizas con WMI, utiliza los métodos Set, Add y Remove de la clase MSFT_MpPreference sobre las propiedades de exclusiones (equivalentes a sus homólogos de PowerShell). Es una vía útil para integración con herramientas de gestión existentes.

Recomendación práctica para aliviar uso de CPU

Algunos usuarios reportan que Defender consume demasiada CPU tras reiniciar y que el sistema se vuelve poco responsivo durante un rato. Una medida que han probado consiste en excluir estas carpetas específicas:

  • C:\Program Files\Windows Defender
  • C:\Program Files\Windows Defender Advanced Threat Protection
  • C:\Windows\SoftwareDistribution

El riesgo adicional se considera bajo en estos casos (SoftwareDistribution almacena las descargas de Windows Update y las rutas de Defender contienen sus propios binarios), pero no deja de ser una reducción de cobertura. Valora esta opción solo si realmente te afecta el rendimiento y monitoriza el comportamiento posterior.

Uso de comodines en exclusiones de Defender

Comodines y variables de entorno admitidos

Defender permite emplear asterisco (*), interrogación (?) y variables de entorno en las exclusiones por ruta y nombre de archivo. Ojo, su interpretación difiere ligeramente de otras herramientas, así que conviene entender su alcance.

  • * en nombres de archivo/extensión: sustituye cualquier número de caracteres y se aplica solo a archivos de la última carpeta del argumento.
  • * en exclusiones de carpetas: sustituye una única carpeta. Usa varias combinaciones *\ para indicar múltiples niveles. Tras coincidir con todas las carpetas (comodín y nombradas), también se incluyen las subcarpetas.
  • ? en nombres de archivo/extensión: sustituye un único carácter en la última carpeta del argumento.
  • ? en carpetas: reemplaza un solo carácter dentro del nombre de una carpeta; luego, se incluyen sus subcarpetas.
  • Variables de entorno: se expanden a su ruta efectiva al evaluar la exclusión. Pueden combinarse con * y ?.

Ejemplos útiles:

  • C:\MyData\*.txt incluye C:\MyData\notes.txt.
  • C:\somepath\*\Data incluye C:\somepath\Archives\Data y C:\somepath\Authorized\Data (y sus subcarpetas).
  • C:\Serv\*\*\Backup incluye C:\Serv\Primary\Denied\Backup y C:\Serv\Secondary\Allowed\Backup (y sus subcarpetas).
  • C:\MyData\my?.zip incluye C:\MyData\my1.zip.
  • C:\somepath\?\Data incluye C:\somepath\P\Data y subcarpetas.
  • C:\somepath\test0?\Data incluye C:\somepath\test01\Data y subcarpetas.
  • %ALLUSERSPROFILE%\CustomLogFiles cubre C:\ProgramData\CustomLogFiles\Folder1\file1.txt.
  • %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe incluye C:\Program Files\Contoso Labs\v1\bin\contoso.exe.

A continuación, una lista de variables de entorno del sistema frecuentes y a dónde apuntan al expandirse (cuenta del sistema):

Variable Destino
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Validar exclusiones en Microsoft Defender

Validar y revisar tus listas de exclusión

Hay varias formas de comprobar que tus exclusiones están activas. Con la utilidad de línea de comandos MpCmdRun.exe puedes validar una ruta específica, y con PowerShell puedes listar todas las preferencias del motor.

MpCmdRun.exe (comprobación dedicada)

Abre un símbolo del sistema como administrador y navega a la carpeta de la plataforma de Defender, cuyo nombre cambia según la actualización instalada. Después, ejecuta el chequeo de la ruta:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0
MpCmdRun.exe -CheckExclusion -path <path>

Donde <path> es el archivo o carpeta que quieres verificar. Si aparece como excluido, la regla está funcionando.

PowerShell (preferencias y listas específicas)

Para revisar de un vistazo todas las preferencias de Defender, usa:

Get-MpPreference

Si quieres quedarte solo con las listas de exclusión y ver cada línea como se añadió (útil cuando usaste Add-MpPreference varias veces), ejecuta:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

Así podrás auditar extensiones y rutas excluidas actualmente y mantener el control de tu configuración.

Validación con archivo de prueba EICAR

Para una comprobación funcional, usa el test estándar EICAR. Si está bien excluido el destino, el archivo no será bloqueado; si se detecta malware, la regla no aplica al contexto:

Descarga con PowerShell usando Invoke-WebRequest (ajusta el nombre y la ubicación a tu regla):

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Alternativa con .NET WebClient (cambia la ruta a una cubierta por tu exclusión):

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\\test.txt")

Si no tienes Internet, puedes crear el contenido EICAR localmente para probar la reacción del motor en la ruta:

[io.file]::WriteAllText("test.txt","X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*")

Cuando la exclusión es efectiva, verás que el archivo se guarda en la ruta sin que Defender lo bloquee; de lo contrario, el motor intervendrá y notificará.

Estas técnicas están diseñadas para equilibrar rendimiento y seguridad. Prioriza exclusiones contextuales y bien acotadas (por tipo de examen, desencadenador o proceso) y evita excluir ubicaciones amplias salvo necesidad. Para falsos positivos persistentes, remite muestras a Microsoft en lugar de ampliar las exclusiones.