Tilannekohtaiset tiedosto- ja kansiopoikkeukset
Tässä artikkelissa/osiossa kuvataan windowsin Microsoft Defender virustentorjuntaohjelman tilannekohtainen tiedosto- ja kansiopoikkeusominaisuus. Tämän ominaisuuden avulla voit määrittää tarkemmin, missä kontekstissa Microsoft Defender virustentorjuntaohjelman ei tulisi tarkistaa tiedostoa tai kansiota, käyttämällä rajoituksia.
Yleiskatsaus
Poissulkemisten pääasiallinen tarkoitus on lieventää suorituskykyyn aiheutuvia vaikutuksia. Niistä seuraa pienempi suoja-arvon alentaminen. Näiden rajoitusten avulla voit rajoittaa tätä suojauksen vähentämistä määrittämällä olosuhteet, joissa poissulkemista sovelletaan. Kontekstuaaliset poikkeukset eivät sovellu väärien positiivisten käsittelemiseen luotettavalla tavalla. Jos havaitset false-positiivisen, voit lähettää tiedostoja analysoitaville Microsoft Defender -portaalissa (tilaus vaaditaan) tai Microsoftin suojaustiedustelu sivuston kautta. Jos kyseessä on tilapäinen estomenetelmä, harkitse mukautetun sallimisilmaisimen luomista Microsoft Defender for Endpoint.
Poikkeuksen soveltuvuuden rajoittamiseksi voidaan soveltaa neljää rajoitusta:
Tiedosto- tai kansiopolkutyyppirajoitus. Voit rajoittaa poissulkemiset koskemaan vain, jos kohde on tiedosto tai kansio, määrittämällä tarkoituksen erityiseksi. Jos kohde on tiedosto, mutta poissulkeminen on määritetty kansioksi, poissulkemista ei sovelleta. Jos taas kohde on kansio, mutta poissulkeminen on määritetty tiedostoksi, poikkeus on voimassa.
Skannaustyyppirajoitus. Mahdollistaa poikkeuksen käyttöön sulkemisen pakollisen tarkistustyypin määrittämisen. Haluat esimerkiksi jättää pois vain tietyn kansion täydestä tarkistuksesta, mutta et resurssiskannauksesta (kohdistettu tarkistus).
Skannauskäynnistintyyppirajoitus. Tämän rajoituksen avulla voit määrittää, että poissulkemista sovelletaan vain, kun skannaus aloitetaan tietyllä tapahtumalla, kuten:
- pyydettäessä;
- käyttöoikeuden aikana; tai
- jotka ovat peräisin toiminnan valvonnasta.
Prosessirajoitus. Tämän avulla voit määrittää, että poikkeusta käytetään vain, kun tietty prosessi käyttää tiedostoa tai kansiota.
Rajoitusten määrittäminen
Rajoituksia sovelletaan yleensä lisäämällä rajoitustyyppi tiedoston tai kansion poissulkemispolkuun.
| Rajoitus | TypeName | arvo |
|---|---|---|
| Tiedosto tai kansio | PathType |
file folder |
| Skannaustyyppi | ScanType |
quick full |
| Skannauskäynnistin | ScanTrigger |
OnDemand OnAccess Toiminnan valvonta |
| Prosessi | Process |
<path> |
Vaatimukset
Tämä ominaisuus edellyttää Microsoft Defender virustentorjuntaa.
- Käyttöympäristön versio: 4.18.2205.7 tai uudempi
- Moduulin versio: 1.1.19300.2 tai uudempi
Katso Microsoft Defender virustentorjunnan suojaustiedot ja tuotepäivitykset.
Syntaksi
Lähtökohtana saattaa jo olla poissulkemisia, joita haluat tarkentaa. Jos haluat muodostaa poissulkemismerkkijonon, määritä ensin polku tiedostoon tai kansioon, joka jätetään pois, ja lisää sitten tyypin nimi ja liittyvä arvo seuraavassa esimerkissä esitetyllä tavalla.
<PATH>\:{TypeName:value,TypeName:value}
Muista, että kaikissatyypeissä ja arvoissa kirjainkoko on merkitsevä.
Huomautus
{} Rajoituksen on vastattava ehtoja, jotta rajoitus vastaa toisiaan. Jos määrität esimerkiksi kaksi tarkistuskäynnistintä, tämä ei voi olla tosi eikä poissulkemista sovelleta. Jos haluat määrittää kaksi samaa tyyppiä olevaa rajoitusta, luo kaksi erillistä poikkeusta.
Esimerkkejä
Seuraava merkkijono jättää pois c:\documents\design.doc vain, jos se on tiedosto ja vain käytönaikaisessa tarkistuksessa:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
Seuraava merkkijono jättää pois c:\documents\design.doc vain, jos se tarkistetaan (käyttöoikeuden yhteydessä), koska sitä käyttää prosessi, jolla on kuvan nimi winword.exe:
c:\documents\design.doc\:{Process:"winword.exe"}
Tiedosto- ja kansiopolut voivat sisältää yleismerkkejä, kuten seuraavassa esimerkissä:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Prosessin kuvan polku voi sisältää yleismerkkejä, kuten seuraavassa esimerkissä:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Tiedosto- tai kansiorajoitus
Voit rajoittaa poissulkemiset koskemaan vain, jos kohde on tiedosto tai kansio, tekemällä aikomuksista tarkkoja. Jos kohde on tiedosto, mutta poissulkeminen on määritetty kansioksi, poissulkemista ei sovelleta. Jos taas kohde on kansio, mutta poissulkeminen on määritetty tiedostoksi, poikkeus on voimassa.
Tiedoston tai kansion oletustoiminta ei ole käytössä
Jos et määritä muita asetuksia, tiedosto tai kansio jätetään pois kaikentyyppisistä tarkistuksista, ja poissulkeminen pätee riippumatta siitä, onko kohde tiedosto vai kansio. Lisätietoja poissulkemisten mukauttamisesta vain tiettyyn tarkistustyyppiin on kohdassa Tarkistuksen tyyppirajoitus.
Huomautus
Yleismerkkejä tuetaan tiedosto-/kansiopoikkeamisissa.
Kansiot
Voit varmistaa, että poissulkemista käytetään vain, jos kohde on kansio, ei tiedostoa, käyttämällä PathType:folder-rajoitusta . Esimerkki:
C:\documents\*\:{PathType:folder}
Tiedostot
Voit varmistaa, että poissulkemista käytetään vain, jos kohde on tiedosto, ei kansiota, jota voit käyttää PathType: -tiedostorajoituksen avulla. Esimerkki:
C:\documents\*.mdb\:{PathType:file}
Skannaustyyppirajoitus
Oletusarvoisesti poikkeukset koskevat kaikkia tarkistustyyppejä:
- resource: yksittäinen tiedosto tai kansio skannataan kohdennetulla tavalla (esimerkiksi napsauttamalla hiiren kakkospainiketta, skannaamalla)
- quick: haittaohjelmien, muistin ja tiettyjen rekisteriavainten käyttämät yleiset käynnistyssijainnit
- full: sisältää nopean tarkistuksen sijainnit ja täydellisen tiedostojärjestelmän (kaikki tiedostot ja kansiot)
Suorituskykyongelmien lieventämiseksi voit sulkea pois tietyn tarkistustyypin skannaamasta kansiota tai tiedostojoukkoa. Voit myös määrittää vaadittavan skannaustyypin, jotta poissulkeminen voidaan ottaa käyttöön.
Jos haluat jättää pois kansion skannaamisen vain täyden tarkistuksen aikana, määritä rajoitustyyppi yhdessä tiedoston tai kansiopoikkeuksen kanssa, kuten seuraavassa esimerkissä:
C:\documents\:{ScanType:full}
Jos haluat jättää pois kansion skannaamisen vain pikatarkistusta varten, määritä rajoitustyyppi yhdessä tiedoston tai kansiopoikkeuksen kanssa, kuten seuraavassa esimerkissä:
C:\program.exe\:{ScanType:quick}
Jos haluat varmistaa, että tämä poikkeus koskee vain tiettyä tiedostoa eikä kansiota (c:\foo.exe voi olla kansio), ota rajoitus käyttöön PathType seuraavan esimerkin mukaisesti:
C:\program.exe\:{ScanType:quick,PathType:file}
Skannauskäynnistinrajoitus
Oletusarvoisesti peruspoikkeukset koskevat kaikkia tarkistuksen käynnistimiä. ScanTrigger-rajoituksen avulla voit määrittää, että poissulkemisen tulisi olla käytössä vain, kun tietty tapahtuma aloitti tarkistuksen. tarvittaessa (mukaan lukien nopeat, täydet ja kohdistetut tarkistukset) käytön aikana tai toiminnan valvonnasta (mukaan lukien muistitarkistuksia).
- OnDemand: tarkistus, joka käynnistetään komennon tai järjestelmänvalvojan toiminnolla. Muista, että ajoitetut nopeat ja täydet tarkistukset kuuluvat myös tähän luokkaan.
- OnAccess: Tiedosto tai kansio avataan, kirjoitetaan, luetaan/muokataan (yleensä reaaliaikainen suojaus)
- BM: käyttäytymisen käynnistin saa toiminnan seurannan tarkistamaan tietyn tiedoston
Jos haluat sulkea pois tiedoston tai kansion ja sen sisällön tarkistuksen vain, kun tiedostoa skannataan käytön jälkeen, määritä tarkistuksen käynnistinrajoitus, kuten seuraava esimerkki:
c:\documents\:{ScanTrigger:OnAccess}
Prosessirajoitus
Tämän rajoituksen avulla voit määrittää, että poissulkemista käytetään vain, kun tietty prosessi käyttää tiedostoa tai kansiota. Yleinen skenaario on, kun haluat välttää prosessin poissulkemisen, koska välttely aiheuttaisi sen, että Defenderin virustentorjunta ohittaisivat prosessin muut toiminnot. Yleismerkkejä tuetaan prosessin nimessä/polussa.
Huomautus
Suuren prosessin poissulkemisrajoitusten käyttö laitteessa voi vaikuttaa haitallisesti suorituskykyyn. Lisäksi jos poissulkeminen on rajoitettu tiettyyn prosessiin tai prosesseihin, muut aktiiviset prosessit (kuten indeksointi, varmuuskopiointi, päivitykset) voivat silti käynnistää tiedostojen tarkistukset.
Jos haluat sulkea pois tiedoston tai kansion vain tietyssä prosessissa, luo normaali tiedosto- tai kansiopoikkeama ja lisää prosessi, joka rajoittaa poissulkemisen. Esimerkki:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Määrittäminen
Kun olet luonut haluamasi kontekstipoikkeukset, voit käyttää olemassa olevaa hallintatyökalua määrittämään tiedostojen ja kansioiden poissulkemiset käyttämällä luomaasi merkkijonoa.
Katso Microsoft Defender virustentorjuntatarkistusten poissulkemisten määrittäminen ja vahvistaminen.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Poissulkemisten yleiskatsaus
- Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.