上下文文件和文件夹排除
本文/部分介绍 Windows 上Microsoft Defender防病毒的上下文文件和文件夹排除功能。 通过应用限制,使用此功能可以更具体地定义Microsoft Defender防病毒不应扫描文件或文件夹的上下文。
概述
排除项主要用于缓解对性能的影响。 他们受到保护价值降低的处罚。 通过这些限制,可以通过指定应应用排除的环境来限制这种保护减少。 上下文排除项不适合以可靠方式解决误报。 如果遇到误报,可以通过Microsoft Defender门户 (订阅) 或Microsoft 安全智能网站提交文件进行分析。 对于临时抑制方法,请考虑在Microsoft Defender for Endpoint创建自定义允许指示器。
可以应用四个限制来限制排除项的适用性:
文件/文件夹路径类型限制。 可以通过指定意向,将排除限制为仅当目标为文件或文件夹时才适用。 如果目标是文件,但排除项被指定为文件夹,则排除项不适用。 相反,如果目标为文件夹,但排除项被指定为文件,则排除项适用。
扫描类型限制。 使你能够定义要应用的排除项所需的扫描类型。 例如,你只想从完全扫描中排除特定文件夹,而不希望从“资源”扫描中排除 (目标扫描) 。
扫描触发器类型限制。 可以使用此限制来指定仅当扫描由特定事件启动时,才应应用排除,例如:
- on demand;
- 访问时;或
- 源自行为监视。
进程限制。 使你能够定义仅当特定进程访问文件或文件夹时,才应应用排除项。
配置限制
通常通过将限制类型添加到文件或文件夹排除路径来应用限制。
| Restriction | TypeName | 值 |
|---|---|---|
| 文件/文件夹 | PathType |
file folder |
| 扫描类型 | ScanType |
quick full |
| 扫描触发器 | ScanTrigger |
OnDemand OnAccess 行为监视 |
| 流程 | Process |
<path> |
要求
此功能需要Microsoft Defender防病毒。
- 平台版本: 4.18.2205.7 或更高版本
- 引擎版本: 1.1.19300.2 或更高版本
请参阅Microsoft Defender防病毒安全智能和产品更新。
语法
首先,你可能已经有了要进行更具体操作的排除项。 若要形成排除字符串,请先定义要排除的文件或文件夹的路径,然后添加类型名称和关联值,如以下示例所示。
<PATH>\:{TypeName:value,TypeName:value}
请记住,所有类型和值都区分大小写。
注意
内部 {} 条件必须为 true,限制才能匹配。 例如,如果指定两个扫描触发器,则这不能为 true,并且排除将不适用。 若要指定同一类型的两个限制,请创建两个单独的排除项。
示例
以下字符串仅当它是文件且仅在按访问扫描中排除 c:\documents\design.doc :
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
以下字符串仅在扫描 (访问) 时排除 c:\documents\design.doc ,因为具有映像名称 winword.exe的进程正在对其进行访问:
c:\documents\design.doc\:{Process:"winword.exe"}
文件和文件夹路径可以包含通配符,如以下示例所示:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
进程映像路径可以包含通配符,如以下示例所示:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
文件/文件夹限制
可以通过指定意向,将排除限制为仅当目标为文件或文件夹时才适用。 如果目标是文件,但排除项被指定为文件夹,则排除项不适用。 相反,如果目标为文件夹,但排除项被指定为文件,则排除项适用。
文件/文件夹排除默认行为
如果未指定任何其他选项,则文件/文件夹将从所有类型的扫描中排除, 并且 无论目标是文件还是文件夹,都会应用排除项。 有关自定义排除项以仅应用于特定扫描类型的详细信息,请参阅 扫描类型限制。
注意
文件/文件夹排除项支持通配符。
Folders
若要确保排除仅当目标为文件夹(而不是文件)时才适用,可以使用 PathType:folder 限制。 例如:
C:\documents\*\:{PathType:folder}
文件
若要确保排除仅在目标为文件(而不是文件夹)时才适用,可以使用 PathType:文件限制。 例如:
C:\documents\*.mdb\:{PathType:file}
扫描类型限制
默认情况下,排除项适用于所有扫描类型:
- 资源:以有针对性的方式扫描单个文件或文件夹, (例如右键单击、扫描)
- 快速:恶意软件、内存和某些注册表项使用的常见启动位置
- full:包括快速扫描位置和完整的文件系统 (所有文件和文件夹)
若要缓解性能问题,可以排除特定扫描类型对文件夹或一组文件进行扫描。 还可以定义要应用的排除项所需的扫描类型。
若要仅在完全扫描期间排除文件夹,请将限制类型与文件或文件夹排除一起指定,如以下示例所示:
C:\documents\:{ScanType:full}
若要仅在快速扫描期间将文件夹排除在扫描之外,请将限制类型与文件或文件夹排除一起指定,如以下示例所示:
C:\program.exe\:{ScanType:quick}
如果要确保此排除项仅适用于特定文件,而不是文件夹 (c:\foo.exe 可以是) 的文件夹,也应用限制 PathType ,如以下示例所示:
C:\program.exe\:{ScanType:quick,PathType:file}
扫描触发器限制
默认情况下,基本排除项适用于所有扫描触发器。 使用 ScanTrigger 限制,可以指定仅当扫描由特定事件启动时才适用排除项;按需 (包括快速、完整和有针对性的扫描,) 访问或源自行为监视 (包括内存扫描) 。
- OnDemand:由命令或管理员操作触发的扫描。 请记住,计划的快速和完全扫描也属于此类别。
- OnAccess:打开/写入/读取/修改文件或文件夹 (通常被视为实时保护)
- BM:行为触发器导致行为监视扫描特定文件
若要仅在访问后扫描文件时排除文件或文件夹及其内容,请定义扫描触发器限制,如以下示例所示:
c:\documents\:{ScanTrigger:OnAccess}
进程限制
通过此限制,可以定义仅当特定进程访问文件或文件夹时,才应应用排除项。 一种常见的情况是,你想要避免排除进程,因为避免会导致Defender 防病毒忽略该进程的其他操作。 进程名称/路径支持通配符。
注意
在计算机上使用大量进程排除限制可能会对性能产生负面影响。 此外,如果排除仅限于特定进程,则其他活动进程 ((如索引、备份、更新) )仍可以触发文件扫描。
若要仅在特定进程访问时排除文件或文件夹,请创建一个普通的文件或文件夹排除,并添加用于限制排除的进程。 例如:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
如何配置
构造所需的上下文排除项后,可以使用现有的管理工具使用创建的字符串来配置文件和文件夹排除项。
请参阅配置和验证Microsoft Defender防病毒扫描的排除项。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。