Compartilhar via


Exclusões de arquivos e pastas contextuais

Este artigo/secção descreve a capacidade contextual de exclusões de ficheiros e pastas para Microsoft Defender Antivírus no Windows. Esta capacidade permite-lhe ser mais específico quando define em que contexto Microsoft Defender o Antivírus não deve analisar um ficheiro ou pasta ao aplicar restrições.

Visão Geral

As exclusões destinam-se principalmente a mitigar os efeitos no desempenho. Eles vêm com a pena de redução do valor de protecção. Estas restrições permitem-lhe limitar esta redução de proteção ao especificar as circunstâncias em que a exclusão deve ser aplicada. As exclusões contextuais não são adequadas para lidar com falsos positivos de uma forma fiável. Se encontrar um falso positivo, pode submeter ficheiros para análise através do portal do Microsoft Defender (subscrição necessária) ou através do site Inteligência de Segurança da Microsoft. Para um método de supressão temporária, considere criar um indicador de permissão personalizado no Microsoft Defender para Ponto de Extremidade.

Existem quatro restrições que pode aplicar para limitar a aplicabilidade de uma exclusão:

  • Restrição de tipo de caminho de ficheiro/pasta. Pode restringir as exclusões a aplicar apenas se o destino for um ficheiro ou uma pasta ao tornar a intenção específica. Se o destino for um ficheiro, mas a exclusão for especificada para ser uma pasta, a exclusão não se aplica. Por outro lado, se o destino for uma pasta, mas a exclusão for especificada para ser um ficheiro, aplica-se a exclusão.

  • Restrição de tipo de análise. Permite-lhe definir o tipo de análise necessário para aplicar uma exclusão. Por exemplo, só quer excluir uma determinada pasta de Análises completas, mas não de uma análise de "recurso" (análise direcionada).

  • Restrição do tipo de acionador de análise. Pode utilizar esta restrição para especificar que a exclusão só deve ser aplicada quando a análise é iniciada por um evento específico, como:

    • a pedido;
    • no acesso; ou
    • com origem na monitorização comportamental.
  • Restrição de processos. Permite-lhe definir que uma exclusão só deve ser aplicada quando um ficheiro ou pasta está a ser acedido por um processo específico.

Configurar restrições

Normalmente, as restrições são aplicadas ao adicionar o tipo de restrição ao caminho de exclusão de ficheiros ou pastas.

Restrição TypeName valor
Ficheiro/pasta PathType file
folder
Tipo de análise ScanType quick
full
Acionador de análise ScanTrigger OnDemand
OnAccess
Monitorização de comportamento
Processo Process <path>

Requisitos

Esta capacidade requer Microsoft Defender Antivírus.

  • Versão da plataforma: 4.18.2205.7 ou posterior
  • Versão do motor: 1.1.19300.2 ou posterior

Veja Microsoft Defender informações de segurança e atualizações de produtos do Antivírus.

Sintaxe

Como ponto de partida, poderá já ter exclusões que pretende tornar mais específicas. Para formar a cadeia de exclusão, primeiro defina o caminho para o ficheiro ou pasta a excluir e, em seguida, adicione o nome do tipo e o valor associado, conforme mostrado no exemplo seguinte.

<PATH>\:{TypeName:value,TypeName:value}

Tenha em atenção que todos ostipos e valores são sensíveis às maiúsculas e minúsculas .

Observação

As condições dentro {} de MUST são verdadeiras para que a restrição corresponda. Por exemplo, se especificar dois acionadores de análise, tal não pode ser verdadeiro e a exclusão não será aplicada. Para especificar duas restrições do mesmo tipo, crie duas exclusões separadas.

Exemplos

A cadeia seguinte só é excluída c:\documents\design.doc se for um ficheiro e apenas em análises no acesso:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

A cadeia seguinte só é excluída c:\documents\design.doc se for analisada (no acesso), porque está a ser acedida por um processo com o nome winword.exeda imagem :

c:\documents\design.doc\:{Process:"winword.exe"}

Os caminhos de ficheiros e pastas podem conter carateres universais, como no exemplo seguinte:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

O caminho da imagem do processo pode conter carateres universais, como no exemplo seguinte:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Restrição de ficheiros/pastas

Pode restringir as exclusões a aplicar apenas se o destino for um ficheiro ou uma pasta ao tornar a intenção específica. Se o destino for um ficheiro, mas a exclusão for especificada para ser uma pasta, a exclusão não se aplica. Por outro lado, se o destino for uma pasta, mas a exclusão for especificada para ser um ficheiro, aplica-se a exclusão.

Comportamento predefinido das exclusões de ficheiros/pastas

Se não especificar outras opções, o ficheiro/pasta é excluído de todos os tipos de análises e a exclusão aplica-se independentemente de o destino ser um ficheiro ou uma pasta. Para obter mais informações sobre como personalizar exclusões para aplicar apenas a um tipo de análise específico, veja Restrição de tipo de análise.

Observação

Os carateres universais são suportados em exclusões de ficheiros/pastas.

Folders

Para garantir que uma exclusão só se aplica se o destino for uma pasta, não um ficheiro, pode utilizar a restrição PathType:folder . Por exemplo:

C:\documents\*\:{PathType:folder}

Arquivos

Para se certificar de que uma exclusão só se aplica se o destino for um ficheiro, não uma pasta, pode utilizar a restrição PathType: ficheiro. Por exemplo:

C:\documents\*.mdb\:{PathType:file}

Restrição de tipo de análise

Por predefinição, as exclusões aplicam-se a todos os tipos de análise:

  • recurso: um único ficheiro ou pasta é analisado de forma direcionada (por exemplo, clique com o botão direito do rato, Analisar)
  • rápido: localizações de arranque comuns utilizadas por software maligno, memória e determinadas chaves de registo
  • completo: inclui localizações de análise rápida e sistema de ficheiros completo (todos os ficheiros e pastas)

Para mitigar problemas de desempenho, pode excluir uma pasta ou um conjunto de ficheiros de serem analisados por um tipo de análise específico. Também pode definir o tipo de análise necessário para aplicar uma exclusão.

Para excluir uma pasta de ser analisada apenas durante uma análise completa, especifique um tipo de restrição juntamente com a exclusão de ficheiros ou pastas, como no exemplo seguinte:

C:\documents\:{ScanType:full}

Para excluir uma pasta de ser analisada apenas durante uma análise rápida, especifique um tipo de restrição juntamente com a exclusão de ficheiros ou pastas, como no exemplo seguinte:

C:\program.exe\:{ScanType:quick}

Se quiser certificar-se de que esta exclusão se aplica apenas a um ficheiro específico e não a uma pasta (c:\foo.exe pode ser uma pasta), aplique também a PathType restrição, tal como no exemplo seguinte:

C:\program.exe\:{ScanType:quick,PathType:file}

Restrição do acionador de análise

Por predefinição, as exclusões básicas aplicam-se a todos os acionadores de análise. A restrição ScanTrigger permite-lhe especificar que a exclusão só deve ser aplicada quando a análise foi iniciada por um evento específico; a pedido (incluindo análises rápidas, completas e direcionadas), no acesso ou com origem na monitorização comportamental (incluindo análises de memória).

  • OnDemand: uma análise acionada por um comando ou ação de administrador. Lembre-se de que as análises rápidas e completas agendadas também se enquadram nesta categoria.
  • OnAccess: um ficheiro ou pasta é aberto/escrito/lido/modificado (normalmente considerado proteção em tempo real)
  • BM: um acionador comportamental faz com que a monitorização comportamental analise um ficheiro específico

Para excluir um ficheiro ou pasta e os respetivos conteúdos de serem analisados apenas quando o ficheiro está a ser analisado depois de ser acedido, defina uma restrição de acionador de análise, como o seguinte exemplo:

c:\documents\:{ScanTrigger:OnAccess}

Restrição de processos

Esta restrição permite-lhe definir que uma exclusão só deve ser aplicada quando um ficheiro ou pasta está a ser acedido por um processo específico. Um cenário comum é quando pretende evitar excluir o processo, uma vez que essa prevenção faria com que Defender Antivírus ignorassem outras operações por esse processo. Os carateres universais são suportados no nome/caminho do processo.

Observação

A utilização de uma grande quantidade de restrições de exclusão de processos numa máquina virtual pode afetar negativamente o desempenho. Além disso, se uma exclusão estiver restrita a um determinado processo ou processo, outros processos ativos (como indexação, cópia de segurança, atualizações) ainda podem acionar análises de ficheiros.

Para excluir um ficheiro ou pasta apenas quando acedido por um processo específico, crie uma exclusão normal de ficheiros ou pastas e adicione o processo para restringir a exclusão. Por exemplo:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Como configurar

Depois de construir as exclusões contextuais pretendidas, pode utilizar a ferramenta de gestão existente para configurar exclusões de ficheiros e pastas com a cadeia que criou.

Veja Configure and validate exclusions for Microsoft Defender Antivirus scans (Configurar e validar exclusões para análises de Antivírus do Microsoft Defender).

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.