Kontextuella fil- och mappundantag

I den här artikeln/avsnittet beskrivs funktionen för kontextuella fil- och mappundantag för Microsoft Defender Antivirus i Windows. Med den här funktionen kan du vara mer specifik när du definierar under vilken kontext Microsoft Defender Antivirus inte ska genomsöka en fil eller mapp genom att tillämpa begränsningar.

Översikt

Undantag är främst avsedda att minimera påverkan på prestanda. De kommer på straff med reducerat skyddsvärde. Med de här begränsningarna kan du begränsa den här skyddsminskningen genom att ange under vilka omständigheter undantaget ska gälla. Sammanhangsbaserade undantag är inte lämpliga för att hantera falska positiva identifieringar på ett tillförlitligt sätt. Om du stöter på en falsk positiv identifiering kan du skicka filer för analys via Microsoft Defender-portalen (prenumeration krävs) eller via Microsoft Säkerhetsinsikter webbplats. Överväg att skapa en anpassad tillåt-indikator i Microsoft Defender för Endpoint för en tillfällig undertryckningsmetod.

Det finns fyra begränsningar som du kan använda för att begränsa tillämpligheten för ett undantag:

• Begränsning av fil-/mappsökvägstyp. Du kan begränsa undantag till att endast gälla om målet är en fil eller en mapp genom att göra avsikten specifik. Om målet är en fil men undantaget har angetts som en mapp gäller inte undantaget. Omvänt gäller undantaget om målet är en mapp men undantaget har angetts som en fil.

• Begränsning av skanningstyp. Gör att du kan definiera vilken genomsökningstyp som krävs för att ett undantag ska gälla. Du vill till exempel bara exkludera en viss mapp från Fullständiga genomsökningar men inte från en "resursgenomsökning" (riktad genomsökning).

• Sök igenom begränsning av utlösartyp. Du kan använda den här begränsningen för att ange att undantaget endast ska gälla när genomsökningen initieras av en specifik händelse, till exempel:

  • på begäran.
  • vid åtkomst; eller
  • från beteendeövervakning.

• Processbegränsning. Gör att du kan definiera att ett undantag endast ska gälla när en fil eller mapp används av en specifik process.

Konfigurera begränsningar

Begränsningar tillämpas vanligtvis genom att begränsningstypen läggs till i sökvägen för fil- eller mappundantag.

Begränsning	TypeName	värde
Fil/mapp	PathType	file folder
Genomsökningstyp	ScanType	quick full
Genomsökningsutlösare	ScanTrigger	OnDemand OnAccess Beteendeövervakning
Process	Process	<path>

Krav

Den här funktionen kräver Microsoft Defender Antivirus.

• Plattformsversion: 4.18.2205.7 eller senare
• Motorversion: 1.1.19300.2 eller senare

Se Microsoft Defender Säkerhetsinformation för antivirusprogram och produktuppdateringar.

Syntax

Som utgångspunkt kanske du redan har undantag som du vill göra mer specifika. Om du vill skapa undantagssträngen definierar du först sökvägen till den fil eller mapp som ska undantas och lägger sedan till typnamnet och det associerade värdet, enligt följande exempel.

<PATH>\:{TypeName:value,TypeName:value}

Tänk på att allatyper och värden är skiftlägeskänsliga.

Obs!

Villkor i {} MÅSTE vara sanna för att begränsningen ska matcha. Om du till exempel anger två genomsökningsutlösare kan detta inte vara sant och undantaget gäller inte. Om du vill ange två begränsningar av samma typ skapar du två separata undantag.

Exempel

Följande sträng exkluderar c:\documents\design.doc endast om det är en fil och endast i on-access-genomsökningar:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Följande sträng exkluderar c:\documents\design.doc endast om den genomsöks (vid åtkomst), på grund av att den används av en process med avbildningsnamnet winword.exe:

c:\documents\design.doc\:{Process:"winword.exe"}

Sökvägar för filer och mappar kan innehålla jokertecken, som i följande exempel:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Sökvägen till processbilden kan innehålla jokertecken, som i följande exempel:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Begränsning av fil/mapp

Du kan begränsa undantag till att endast gälla om målet är en fil eller en mapp genom att göra avsikten specifik. Om målet är en fil men undantaget har angetts som en mapp gäller inte undantaget. Omvänt gäller undantaget om målet är en mapp men undantaget har angetts som en fil.

Standardbeteende för fil-/mappundantag

Om du inte anger några andra alternativ undantas filen/mappen från alla typer av genomsökningar och undantaget gäller oavsett om målet är en fil eller mapp. Mer information om hur du anpassar undantag för att endast gälla för en viss genomsökningstyp finns i Begränsning av skanningstyp.

Obs!

Jokertecken stöds i fil-/mappundantag.

Mappar

För att säkerställa att ett undantag endast gäller om målet är en mapp, inte en fil kan du använda begränsningen PathType:folder . Till exempel:

C:\documents\*\:{PathType:folder}

Filer

Om du vill se till att ett undantag endast gäller om målet är en fil, inte en mapp kan du använda begränsningen PathType: file. Till exempel:

C:\documents\*.mdb\:{PathType:file}

Begränsning för genomsökningstyp

Som standard gäller undantag för alla genomsökningstyper:

• resurs: en enskild fil eller mapp genomsöks på ett målriktat sätt (till exempel högerklicka, Genomsök)
• snabb: vanliga startplatser som används av skadlig kod, minne och vissa registernycklar
• full: innehåller snabbgenomsökningsplatser och fullständigt filsystem (alla filer och mappar)

För att undvika prestandaproblem kan du exkludera en mapp eller en uppsättning filer från att genomsökas av en viss genomsökningstyp. Du kan också definiera vilken genomsökningstyp som krävs för att ett undantag ska gälla.

Om du vill utesluta att en mapp endast genomsöks under en fullständig genomsökning anger du en begränsningstyp tillsammans med fil- eller mappundantag, som i följande exempel:

C:\documents\:{ScanType:full}

Om du vill utesluta att en mapp endast genomsöks under en snabbsökning anger du en begränsningstyp tillsammans med fil- eller mappundantag, som i följande exempel:

C:\program.exe\:{ScanType:quick}

Om du vill se till att det här undantaget endast gäller för en specifik fil och inte en mapp (c:\foo.exe kan vara en mapp), tillämpar du även begränsningen PathType , som i följande exempel:

C:\program.exe\:{ScanType:quick,PathType:file}

Sök igenom utlösarbegränsning

Som standard gäller grundläggande undantag för alla genomsökningsutlösare. Med ScanTrigger-begränsning kan du ange att undantaget endast ska gälla när genomsökningen initierades av en specifik händelse. på begäran (inklusive snabba, fullständiga och riktade genomsökningar), vid åtkomst eller från beteendeövervakning (inklusive minnesgenomsökningar).

• OnDemand: en genomsökning som utlöses av ett kommando eller en administratörsåtgärd. Kom ihåg att schemalagda snabb- och fullständiga genomsökningar också hör till den här kategorin.
• OnAccess: en fil eller mapp öppnas/skrivs/läses/ändras (betraktas vanligtvis som realtidsskydd)
• BM: en beteendeutlösare gör att beteendeövervakningen genomsöker en specifik fil

Om du vill undanta en fil eller mapp och dess innehåll från att genomsökas endast när filen genomsöks efter att den har använts, definierar du en begränsning för genomsökningsutlösaren, till exempel:

c:\documents\:{ScanTrigger:OnAccess}

Processbegränsning

Med den här begränsningen kan du definiera att ett undantag endast ska gälla när en fil eller mapp används av en specifik process. Ett vanligt scenario är när du vill undvika att utesluta processen eftersom undvikande skulle göra att Defender Antivirus ignorerar andra åtgärder i den processen. Jokertecken stöds i processnamnet/sökvägen.

Obs!

Användning av en stor mängd begränsningar för processundantag på en dator kan påverka prestanda negativt. Om ett undantag är begränsat till en viss process eller processer kan dessutom andra aktiva processer (till exempel indexering, säkerhetskopiering, uppdateringar) fortfarande utlösa filgenomsökningar.

Om du bara vill exkludera en fil eller mapp när den används av en specifik process skapar du ett normalt fil- eller mappundantag och lägger till processen för att begränsa undantaget till. Till exempel:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Så här konfigurerar du

När du har skapat önskade sammanhangsbaserade undantag kan du använda ditt befintliga hanteringsverktyg för att konfigurera fil- och mappundantag med hjälp av strängen som du skapade.

Se Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar.

Se även

• Översikt över undantag
• Vanliga misstag att undvika när man definierar undantag

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.