Kontekstavhengige fil- og mappeutelukkelser

Denne artikkelen/delen beskriver kontekstavhengig fil- og mappeutelukkelsesfunksjonalitet for Microsoft Defender Antivirus i Windows. Med denne funksjonen kan du være mer spesifikk når du definerer hvilken kontekst Microsoft Defender Antivirus ikke skal skanne en fil eller mappe, ved å bruke begrensninger.

Oversikt

Utelukkelser er hovedsakelig ment å redusere innvirkning på ytelsen. De kommer på straffen for redusert beskyttelse verdi. Med disse begrensningene kan du begrense denne beskyttelsesreduksjonen ved å angi omstendigheter der utelukkelsen skal gjelde. Kontekstuelle utelatelser er ikke egnet for å håndtere falske positiver på en pålitelig måte. Hvis du støter på en falsk positiv, kan du sende filer til analyse gjennom Microsoft Defender portal (abonnement kreves) eller gjennom Microsoft Sikkerhetsintelligens nettstedet. Vurder å opprette en egendefinert tillatelsesindikator i Microsoft Defender for endepunkt for en midlertidig undertrykkelsesmetode.

Det finnes fire begrensninger du kan bruke for å begrense anvendeligheten til en utelatelse:

• Fil-/mappebanetypebegrensning. Du kan begrense utelukkelser til bare å gjelde hvis målet er en fil, eller en mappe ved å gjøre hensikten spesifikk. Hvis målet er en fil, men utelukkelsen er angitt som en mappe, gjelder ikke utelukkelsen. Hvis målet er en mappe, men utelukkelsen er angitt som en fil, gjelder derimot utelukkelsen.

• Begrensning for skannetype. Lar deg definere den nødvendige skannetypen for en utelatelse som skal brukes. Du vil for eksempel bare utelate en bestemt mappe fra Fullstendige skanninger, men ikke fra en «ressurs»-skanning (målrettet skanning).

• Begrensning for skannutløsertype. Du kan bruke denne begrensningen til å angi at utelukkelsen bare skal gjelde når skanningen startes av en bestemt hendelse, for eksempel:

  • ved behov;
  • ved tilgang; eller
  • med opprinnelse fra atferdsovervåking.

• Prosessbegrensning. Lar deg definere at en utelatelse bare skal gjelde når en fil eller mappe åpnes av en bestemt prosess.

Konfigurering av begrensninger

Begrensninger brukes vanligvis ved å legge til begrensningstypen i fil- eller mappeutelukkelsesbanen.

Begrensning	TypeName	verdi
Fil/mappe	PathType	file folder
Skannetype	ScanType	quick full
Skanneutløser	ScanTrigger	OnDemand OnAccess Overvåking av virkemåte
Prosess	Process	<path>

Krav

Denne funksjonen krever Microsoft Defender Antivirus.

• Plattformversjon: 4.18.2205.7 eller nyere
• Motorversjon: 1.1.19300.2 eller nyere

Se Microsoft Defender antivirussikkerhetsintelligens og produktoppdateringer.

Syntaks

Som et utgangspunkt kan det hende at du allerede har utelatelser på plass som du ønsker å gjøre mer spesifikk. Hvis du vil danne utelatelsesstrengen, definerer du først banen til filen eller mappen som skal utelates, og deretter legger du til typenavnet og den tilknyttede verdien, som vist i eksemplet nedenfor.

<PATH>\:{TypeName:value,TypeName:value}

Husk at alletyper og verdier skiller mellom store og små bokstaver.

Obs!

Betingelser i {} MÅ være oppfylt for at begrensningen skal samsvare. Hvis du for eksempel angir to skanneutløsere, kan dette ikke være sant, og utelukkelsen vil ikke gjelde. Hvis du vil angi to begrensninger av samme type, oppretter du to separate utelatelser.

Eksempler

Følgende streng utelates c:\documents\design.doc bare hvis det er en fil, og bare i søk ved tilgang:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Følgende streng utelates c:\documents\design.doc bare hvis den skannes (ved tilgang), på grunn av at den åpnes av en prosess som har bildenavnet winword.exe:

c:\documents\design.doc\:{Process:"winword.exe"}

Fil- og mappebaner kan inneholde jokertegn, som i eksemplet nedenfor:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Prosessbildebanen kan inneholde jokertegn, som i eksemplet nedenfor:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Fil-/mappebegrensning

Du kan begrense utelukkelser til bare å gjelde hvis målet er en fil eller en mappe ved å gjøre hensikten spesifikk. Hvis målet er en fil, men utelukkelsen er angitt som en mappe, gjelder ikke utelukkelsen. Hvis målet er en mappe, men utelukkelsen er angitt som en fil, gjelder derimot utelukkelsen.

Standard virkemåte for fil-/mappeutelukkelse

Hvis du ikke angir andre alternativer, utelates filen/mappen fra alle typer skanninger, og utelukkelsen gjelder uavhengig av om målet er en fil eller en mappe. Hvis du vil ha mer informasjon om hvordan du tilpasser utelatelser slik at de bare gjelder for en bestemt skannetype, kan du se Begrensning av skannetype.

Obs!

Jokertegn støttes i fil-/mappeutelukkelser.

Mapper

Hvis du vil sikre at en utelatelse bare gjelder hvis målet er en mappe, ikke en fil, kan du bruke pathType:folder-begrensningen . Eksempel:

C:\documents\*\:{PathType:folder}

Filer

Hvis du vil sikre at en utelatelse bare gjelder hvis målet er en fil, ikke en mappe, kan du bruke PathType:-filbegrensningen. Eksempel:

C:\documents\*.mdb\:{PathType:file}

Begrensning for skannetype

Som standard gjelder unntak for alle skannetyper:

• ressurs: én enkelt fil eller mappe skannes på en målrettet måte (for eksempel høyreklikk, Skann)
• hurtig: vanlige oppstartsplasseringer som brukes av skadelig programvare, minne og visse registernøkler
• fullstendig: omfatter hurtigsøkplasseringer og fullstendig filsystem (alle filer og mapper)

Hvis du vil redusere ytelsesproblemer, kan du utelate en mappe eller et sett med filer fra å bli skannet av en bestemt skannetype. Du kan også definere den nødvendige skannetypen for en utelatelse som skal brukes.

Hvis du vil utelate at en mappe bare skannes under en fullstendig skanning, angir du en begrensningstype sammen med fil- eller mappeutelukkelse, som i eksemplet nedenfor:

C:\documents\:{ScanType:full}

Hvis du vil utelate at en mappe bare skannes under en hurtigskanning, angir du en begrensningstype sammen med fil- eller mappeutelukkelse, som i eksemplet nedenfor:

C:\program.exe\:{ScanType:quick}

Hvis du vil forsikre deg om at denne utelukkelsen bare gjelder for en bestemt fil og ikke en mappe (c:\foo.exe kan være en mappe), må du også bruke begrensningen PathType , som i eksemplet nedenfor:

C:\program.exe\:{ScanType:quick,PathType:file}

Begrensning for skanningsutløser

Som standard gjelder grunnleggende utelatelser for alle skanneutløsere. Med scanTrigger-begrensning kan du angi at utelukkelsen bare skal gjelde når skanningen ble startet av en bestemt hendelse. ved behov (inkludert raske, fullstendige og målrettede skanninger), ved tilgang eller med opprinnelse fra atferdsovervåking (inkludert minneskanninger).

• OnDemand: en skanning som utløses av en kommando- eller administratorhandling. Husk at planlagte raske og fullstendige skanninger også faller inn under denne kategorien.
• OnAccess: en fil eller mappe åpnes/skrives/leses/endres (vanligvis betraktes som sanntidsbeskyttelse)
• BM: En atferdsutløser fører til at atferdsovervåkingen skanner en bestemt fil

Hvis du vil utelate en fil eller mappe og innholdet fra å bli skannet bare når filen skannes etter at den er åpnet, definerer du en begrensning for skanningsutløseren, for eksempel følgende eksempel:

c:\documents\:{ScanTrigger:OnAccess}

Prosessbegrensning

Med denne begrensningen kan du definere at en utelatelse bare skal gjelde når en fil eller mappe åpnes av en bestemt prosess. Et vanlig scenario er når du vil unngå å ekskludere prosessen, da det vil føre til at Defender Antivirus ignorerer andre operasjoner ved denne prosessen. Jokertegn støttes i prosessnavnet/banen.

Obs!

Bruk av en stor mengde begrensninger for prosessutelukkelse på en maskin kan påvirke ytelsen negativt. Hvis en utelatelse er begrenset til en bestemt prosess eller prosesser, kan i tillegg andre aktive prosesser (for eksempel indeksering, sikkerhetskopiering, oppdateringer) fortsatt utløse filskanninger.

Hvis du vil utelate en fil eller mappe bare når du får tilgang til en bestemt prosess, oppretter du en vanlig fil- eller mappeutelukkelse og legger til prosessen for å begrense utelukkelsen til. Eksempel:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Slik konfigurerer du

Når du har konstruert ønskede kontekstuelle utelatelser, kan du bruke det eksisterende administrasjonsverktøyet til å konfigurere fil- og mappeutelukkelser ved hjelp av strengen du opprettet.

Se Konfigurere og validere utelatelser for Microsoft Defender Antivirus-skanninger.

Se også

• Oversikt over utelatelser
• Vanlige feil du bør unngå når du definerer utelatelser

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.