Compartir a través de


Exclusiones contextuales de archivos y carpetas

En este artículo o sección se describe la funcionalidad de exclusiones de archivos y carpetas contextuales para Microsoft Defender Antivirus en Windows. Esta funcionalidad le permite ser más específico al definir en qué contexto Microsoft Defender Antivirus no debe examinar un archivo o carpeta, aplicando restricciones.

Información general

Las exclusiones están pensadas principalmente para mitigar los efectos en el rendimiento. Se ven penalizado por un valor de protección reducido. Estas restricciones le permiten limitar esta reducción de protección especificando las circunstancias en las que se debe aplicar la exclusión. Las exclusiones contextuales no son adecuadas para abordar falsos positivos de forma confiable. Si encuentra un falso positivo, puede enviar archivos para su análisis a través del portal de Microsoft Defender (se requiere suscripción) o a través del sitio web de Inteligencia de seguridad de Microsoft. Para un método de supresión temporal, considere la posibilidad de crear un indicador de permiso personalizado en Microsoft Defender para punto de conexión.

Hay cuatro restricciones que puede aplicar para limitar la aplicabilidad de una exclusión:

  • Restricción de tipo de ruta de acceso de archivo o carpeta. Puede restringir las exclusiones para que solo se apliquen si el destino es un archivo o una carpeta haciendo que la intención sea específica. Si el destino es un archivo pero se especifica que la exclusión es una carpeta, no se aplica la exclusión. Por el contrario, si el destino es una carpeta pero se especifica que la exclusión es un archivo, se aplica la exclusión.

  • Restricción del tipo de examen. Permite definir el tipo de examen necesario para que se aplique una exclusión. Por ejemplo, solo quiere excluir una carpeta determinada de exámenes completos, pero no de un examen de "recursos" (examen de destino).

  • Restricción del tipo de desencadenador de examen. Puede usar esta restricción para especificar que la exclusión solo se debe aplicar cuando un evento específico inicia el examen, como:

    • a petición;
    • en el acceso; o
    • que se origina en la supervisión del comportamiento.
  • Restricción del proceso. Permite definir que una exclusión solo se debe aplicar cuando un proceso específico tiene acceso a un archivo o carpeta.

Configuración de restricciones

Normalmente, las restricciones se aplican agregando el tipo de restricción a la ruta de exclusión de archivos o carpetas.

Restriction TypeName valor
Archivo o carpeta PathType file
folder
Tipo de examen ScanType quick
full
Desencadenador de examen ScanTrigger OnDemand
OnAccess
Supervisión del comportamiento
Proceso Process <path>

Requisitos

Esta funcionalidad requiere Microsoft Defender Antivirus.

  • Versión de la plataforma: 4.18.2205.7 o posterior
  • Versión del motor: 1.1.19300.2 o posterior

Consulte Microsoft Defender Actualizaciones de productos e inteligencia de seguridad del antivirus.

Sintaxis

Como punto de partida, es posible que ya tenga exclusiones en su lugar que desee hacer más específicas. Para formar la cadena de exclusión, defina primero la ruta de acceso al archivo o carpeta que se va a excluir y, a continuación, agregue el nombre de tipo y el valor asociado, como se muestra en el ejemplo siguiente.

<PATH>\:{TypeName:value,TypeName:value}

Tenga en cuenta que todos lostipos y valores distinguen mayúsculas de minúsculas.

Nota:

Las condiciones dentro {} de DEBEN ser true para que la restricción coincida. Por ejemplo, si especifica dos desencadenadores de examen, esto no puede ser true y la exclusión no se aplicará. Para especificar dos restricciones del mismo tipo, cree dos exclusiones independientes.

Ejemplos

La cadena siguiente solo excluye si es un archivo y solo en los exámenes c:\documents\design.doc en tiempo de acceso:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

La cadena siguiente excluye c:\documents\design.doc solo si se examina (a acceso), debido a que un proceso que tiene el nombre winword.exede imagen accede a ella:

c:\documents\design.doc\:{Process:"winword.exe"}

Las rutas de acceso de archivos y carpetas pueden contener caracteres comodín, como en el ejemplo siguiente:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

La ruta de acceso de la imagen de proceso puede contener caracteres comodín, como en el ejemplo siguiente:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Restricción de archivos o carpetas

Puede restringir las exclusiones para que solo se apliquen si el destino es un archivo o una carpeta haciendo que la intención sea específica. Si el destino es un archivo pero se especifica que la exclusión es una carpeta, no se aplica la exclusión. Por el contrario, si el destino es una carpeta pero se especifica que la exclusión es un archivo, se aplica la exclusión.

Comportamiento predeterminado de exclusiones de archivos o carpetas

Si no especifica ninguna otra opción, el archivo o carpeta se excluye de todos los tipos de exámenes y la exclusión se aplica independientemente de si el destino es un archivo o una carpeta. Para obtener más información sobre cómo personalizar exclusiones para que solo se apliquen a un tipo de examen específico, consulte Restricción del tipo de examen.

Nota:

Los caracteres comodín se admiten en exclusiones de archivos o carpetas.

Folders

Para asegurarse de que una exclusión solo se aplica si el destino es una carpeta, no un archivo, puede usar la restricción PathType:folder . Por ejemplo:

C:\documents\*\:{PathType:folder}

Archivos

Para asegurarse de que una exclusión solo se aplica si el destino es un archivo, no una carpeta, puede usar la restricción de archivo PathType: . Por ejemplo:

C:\documents\*.mdb\:{PathType:file}

Restricción del tipo de examen

De forma predeterminada, las exclusiones se aplican a todos los tipos de examen:

  • recurso: un único archivo o carpeta se examina de forma dirigida (por ejemplo, hacer clic con el botón derecho, Examinar)
  • quick: ubicaciones de inicio comunes utilizadas por malware, memoria y ciertas claves del Registro
  • full: incluye ubicaciones de examen rápido y sistema de archivos completo (todos los archivos y carpetas)

Para mitigar los problemas de rendimiento, puede excluir que un tipo de examen específico examine una carpeta o un conjunto de archivos. También puede definir el tipo de examen necesario para que se aplique una exclusión.

Para excluir que una carpeta se examine solo durante un examen completo, especifique un tipo de restricción junto con la exclusión de archivos o carpetas, como en el ejemplo siguiente:

C:\documents\:{ScanType:full}

Para excluir que una carpeta se examine solo durante un examen rápido, especifique un tipo de restricción junto con la exclusión de archivos o carpetas, como en el ejemplo siguiente:

C:\program.exe\:{ScanType:quick}

Si desea asegurarse de que esta exclusión solo se aplica a un archivo específico y no a una carpeta (c:\foo.exe podría ser una carpeta), aplique también la PathType restricción, como en el ejemplo siguiente:

C:\program.exe\:{ScanType:quick,PathType:file}

Restricción del desencadenador de examen

De forma predeterminada, las exclusiones básicas se aplican a todos los desencadenadores de examen. La restricción ScanTrigger le permite especificar que la exclusión solo se debe aplicar cuando un evento específico inició el examen; a petición (incluidos los exámenes rápidos, completos y dirigidos), el acceso o el origen de la supervisión del comportamiento (incluidos los exámenes de memoria).

  • OnDemand: un examen que se desencadena mediante una acción de comando o administrador. Recuerde que los exámenes rápidos y completos programados también pertenecen a esta categoría.
  • OnAccess: se abre, escribe, lee o modifica un archivo o carpeta (normalmente se considera protección en tiempo real)
  • BM: un desencadenador de comportamiento hace que la supervisión del comportamiento examine un archivo específico.

Para excluir un archivo o carpeta y su contenido de que solo se examinen cuando se examina el archivo después de acceder a él, defina una restricción de desencadenador de examen como el ejemplo siguiente:

c:\documents\:{ScanTrigger:OnAccess}

Restricción del proceso

Esta restricción le permite definir que una exclusión solo se debe aplicar cuando un proceso específico tiene acceso a un archivo o carpeta. Un escenario común es cuando se quiere evitar excluir el proceso, ya que esa evitación haría que Antivirus de Defender omitira otras operaciones por ese proceso. Los caracteres comodín se admiten en el nombre o la ruta de acceso del proceso.

Nota:

El uso de una gran cantidad de restricciones de exclusión de procesos en una máquina puede afectar negativamente al rendimiento. Además, si una exclusión está restringida a un proceso o proceso determinado, otros procesos activos (como la indexación, la copia de seguridad y las actualizaciones) todavía pueden desencadenar exámenes de archivos.

Para excluir un archivo o carpeta solo cuando un proceso específico acceda a él, cree un archivo o una exclusión de carpeta normales y agregue el proceso al que restringir la exclusión. Por ejemplo:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Cómo establecer la configuración

Después de crear las exclusiones contextuales deseadas, puede usar la herramienta de administración existente para configurar las exclusiones de archivos y carpetas mediante la cadena que ha creado.

Consulte Configure and validate exclusions for Microsoft Defender Antivirus scans (Configurar y validar exclusiones para los exámenes de antivirus de Microsoft Defender).

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.