Kontekstowe wykluczenia plików i folderów

W tym artykule/sekcji opisano możliwości kontekstowych wykluczeń plików i folderów dla programu antywirusowego Microsoft Defender w systemie Windows. Ta funkcja umożliwia bardziej szczegółowe określenie kontekstu, w którym program antywirusowy Microsoft Defender nie powinien skanować pliku lub folderu, stosując ograniczenia.

Omówienie

Wykluczenia mają na celu przede wszystkim ograniczenie wpływu na wydajność. Są one na karę obniżonej wartości ochrony. Te ograniczenia pozwalają ograniczyć tę redukcję ochrony, określając okoliczności, w których powinno mieć zastosowanie wykluczenie. Wykluczenia kontekstowe nie są odpowiednie do niezawodnego rozwiązywania problemów z wynikami fałszywie dodatnimi. Jeśli wystąpi wynik fałszywie dodatni, możesz przesłać pliki do analizy za pośrednictwem portalu Microsoft Defender (wymagana subskrypcja) lub za pośrednictwem witryny internetowej Microsoft Security Intelligence. W przypadku metody tymczasowego pomijania rozważ utworzenie niestandardowego wskaźnika zezwalania w Ochrona punktu końcowego w usłudze Microsoft Defender.

Istnieją cztery ograniczenia, które można zastosować w celu ograniczenia stosowania wykluczenia:

• Ograniczenie typu ścieżki pliku/folderu. Wykluczenia można ograniczyć tylko wtedy, gdy obiektem docelowym jest plik lub folder, określając intencję jako konkretną. Jeśli obiekt docelowy jest plikiem, ale wykluczenie jest określone jako folder, wykluczenie nie ma zastosowania. Z drugiej strony, jeśli obiektem docelowym jest folder, ale wykluczenie jest określone jako plik, ma zastosowanie wykluczenie.

• Ograniczenie typu skanowania. Umożliwia zdefiniowanie wymaganego typu skanowania w celu zastosowania wykluczenia. Na przykład chcesz wykluczyć tylko określony folder z pełnych skanów, ale nie ze skanowania "zasób" (skanowanie docelowe).

• Ograniczenie typu wyzwalacza skanowania. Możesz użyć tego ograniczenia, aby określić, że wykluczenie powinno mieć zastosowanie tylko wtedy, gdy skanowanie jest inicjowane przez określone zdarzenie, takie jak:

  • na żądanie;
  • przy dostępie; lub
  • pochodzących z monitorowania behawioralnego.

• Ograniczenie procesu. Umożliwia zdefiniowanie, że wykluczenie powinno mieć zastosowanie tylko wtedy, gdy plik lub folder jest uzyskiwany przez określony proces.

Konfigurowanie ograniczeń

Ograniczenia są zwykle stosowane przez dodanie typu ograniczenia do ścieżki wykluczenia pliku lub folderu.

Restrykcja	TypeName	wartość
Plik/folder	PathType	file folder
Typ skanowania	ScanType	quick full
Wyzwalacz skanowania	ScanTrigger	OnDemand OnAccess Monitorowanie zachowania
Proces	Process	<path>

Wymagania

Ta funkcja wymaga programu antywirusowego Microsoft Defender.

• Wersja platformy: 4.18.2205.7 lub nowsza
• Wersja aparatu: 1.1.19300.2 lub nowsza

Zobacz Microsoft Defender Analiza zabezpieczeń oprogramowania antywirusowego i aktualizacje produktów.

Składnia

Punktem wyjścia mogą być już wykluczenia, które chcesz określić bardziej szczegółowo. Aby utworzyć ciąg wykluczenia, najpierw zdefiniuj ścieżkę do pliku lub folderu do wykluczenia, a następnie dodaj nazwę typu i skojarzoną wartość, jak pokazano w poniższym przykładzie.

<PATH>\:{TypeName:value,TypeName:value}

Należy pamiętać, że wszystkietypy i wartości uwzględniają wielkość liter.

Uwaga

Warunki wewnątrz {} MUSZĄ być spełnione, aby ograniczenie było zgodne. Jeśli na przykład określisz dwa wyzwalacze skanowania, nie może to być prawda, a wykluczenie nie będzie miało zastosowania. Aby określić dwa ograniczenia tego samego typu, utwórz dwa oddzielne wykluczenia.

Przykłady

Następujący ciąg wyklucza c:\documents\design.doc tylko wtedy, gdy jest to plik i tylko w skanach przy dostępie:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Następujący ciąg jest wykluczany c:\documents\design.doc tylko wtedy, gdy jest skanowany (w trybie dostępu), ponieważ jest uzyskiwany przez proces o nazwie winword.exeobrazu :

c:\documents\design.doc\:{Process:"winword.exe"}

Ścieżki plików i folderów mogą zawierać symbole wieloznaczne, jak w poniższym przykładzie:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Ścieżka obrazu procesu może zawierać symbole wieloznaczne, jak w poniższym przykładzie:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Ograniczenie pliku/folderu

Wykluczenia można ograniczyć tylko wtedy, gdy obiektem docelowym jest plik lub folder, określając konkretną intencję. Jeśli obiekt docelowy jest plikiem, ale wykluczenie jest określone jako folder, wykluczenie nie ma zastosowania. Z drugiej strony, jeśli obiektem docelowym jest folder, ale wykluczenie jest określone jako plik, ma zastosowanie wykluczenie.

Domyślne zachowanie wykluczeń plików/folderów

Jeśli nie określisz żadnych innych opcji, plik/folder zostanie wykluczony ze wszystkich typów skanowania, a wykluczenie ma zastosowanie niezależnie od tego, czy elementem docelowym jest plik, czy folder. Aby uzyskać więcej informacji na temat dostosowywania wykluczeń tylko do określonego typu skanowania, zobacz Ograniczenie typu skanowania.

Uwaga

Symbole wieloznaczne są obsługiwane w wykluczeniach plików/folderów.

Foldery

Aby upewnić się, że wykluczenie ma zastosowanie tylko wtedy, gdy obiektem docelowym jest folder, a nie plik, możesz użyć ograniczenia PathType:folder . Przykład:

C:\documents\*\:{PathType:folder}

Pliki

Aby upewnić się, że wykluczenie ma zastosowanie tylko wtedy, gdy obiektem docelowym jest plik, a nie folder, możesz użyć ograniczenia PathType: file. Przykład:

C:\documents\*.mdb\:{PathType:file}

Ograniczenie typu skanowania

Domyślnie wykluczenia mają zastosowanie do wszystkich typów skanowania:

• zasób: pojedynczy plik lub folder jest skanowany w sposób docelowy (na przykład kliknięcie prawym przyciskiem myszy, skanowanie)
• Szybki: typowe lokalizacje uruchamiania używane przez złośliwe oprogramowanie, pamięć i niektóre klucze rejestru
• pełny: zawiera szybkie lokalizacje skanowania i kompletny system plików (wszystkie pliki i foldery)

Aby rozwiązać problemy z wydajnością, można wykluczyć folder lub zestaw plików ze skanowania według określonego typu skanowania. Można również zdefiniować wymagany typ skanowania, aby zastosować wykluczenie.

Aby wykluczyć folder ze skanowania tylko podczas pełnego skanowania, określ typ ograniczenia wraz z wykluczeniem pliku lub folderu, jak w poniższym przykładzie:

C:\documents\:{ScanType:full}

Aby wykluczyć folder ze skanowania tylko podczas szybkiego skanowania, określ typ ograniczenia wraz z wykluczeniem pliku lub folderu, jak w poniższym przykładzie:

C:\program.exe\:{ScanType:quick}

Jeśli chcesz się upewnić, że to wykluczenie dotyczy tylko określonego pliku, a nie folderu (c:\foo.exe może być folderem), zastosuj PathType również ograniczenie, jak w poniższym przykładzie:

C:\program.exe\:{ScanType:quick,PathType:file}

Ograniczenie wyzwalacza skanowania

Domyślnie podstawowe wykluczenia mają zastosowanie do wszystkich wyzwalaczy skanowania. Ograniczenie ScanTrigger umożliwia określenie, że wykluczenie powinno mieć zastosowanie tylko wtedy, gdy skanowanie zostało zainicjowane przez określone zdarzenie; na żądanie (w tym szybkie, pełne i ukierunkowane skanowanie), na dostęp lub pochodzące z monitorowania behawioralnego (w tym skanowania pamięci).

• OnDemand: skanowanie wyzwalane przez polecenie lub akcję administratora. Pamiętaj, że zaplanowane szybkie i pełne skanowanie również należy do tej kategorii.
• OnAccess: plik lub folder jest otwierany/zapisywany/odczytywany/modyfikowany (zwykle uważany za ochronę w czasie rzeczywistym)
• BM: wyzwalacz behawioralny powoduje, że monitorowanie zachowania skanuje określony plik

Aby wykluczyć plik lub folder i jego zawartość ze skanowania tylko wtedy, gdy plik jest skanowany po uzyskaniu dostępu, zdefiniuj ograniczenie wyzwalacza skanowania, takie jak następujący przykład:

c:\documents\:{ScanTrigger:OnAccess}

Ograniczenie procesu

To ograniczenie pozwala zdefiniować, że wykluczenie powinno mieć zastosowanie tylko wtedy, gdy plik lub folder jest uzyskiwany przez określony proces. Typowy scenariusz polega na tym, że chcesz uniknąć wykluczania procesu, ponieważ unikanie tego procesu spowodowałoby, że Program antywirusowy Defender zignorować inne operacje tego procesu. Symbole wieloznaczne są obsługiwane w nazwie/ścieżce procesu.

Uwaga

Użycie dużej ilości ograniczeń wykluczania procesów na maszynie może niekorzystnie wpłynąć na wydajność. Ponadto jeśli wykluczenie jest ograniczone do określonego procesu lub procesów, inne aktywne procesy (takie jak indeksowanie, tworzenie kopii zapasowych, aktualizacje) mogą nadal wyzwalać skanowanie plików.

Aby wykluczyć plik lub folder tylko w przypadku uzyskania dostępu przez określony proces, utwórz normalne wykluczenie pliku lub folderu i dodaj proces ograniczający wykluczenie. Przykład:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Jak skonfigurować

Po utworzeniu żądanych wykluczeń kontekstowych możesz użyć istniejącego narzędzia do zarządzania, aby skonfigurować wykluczenia plików i folderów przy użyciu utworzonego ciągu.

Zobacz Konfigurowanie i weryfikowanie wykluczeń dla skanowania programu antywirusowego Microsoft Defender.

Zobacz też

• Omówienie wykluczeń
• Typowe błędy, których należy unikać podczas definiowania wykluczeń

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.