關聯式檔案和資料夾排除
本文/章節說明 Windows 上 Microsoft Defender 防病毒軟體的內容檔案和資料夾排除功能。 當您透過套用限制來定義哪些內容 Microsoft Defender 防病毒軟體不應該掃描檔案或資料夾時,此功能可讓您更明確。
概觀
排除主要是為了減輕對效能的影響。 它們會降低保護值的懲罰。 這些限制可讓您藉由指定應套用排除的情況來限制這項保護。 內容型排除不適用於以可靠的方式處理誤判。 如果您遇到誤判,您可以透過 Microsoft Defender 入口網站提交檔案, () 或透過 Microsoft 安全情報 網站所需的訂用帳戶。 針對暫時隱藏方法,請考慮在 適用於端點的 Microsoft Defender 中建立自定義允許指標。
您可以套用四個限制來限制排除的適用性:
檔案/資料夾路徑類型限制。 您可以將排除範圍限制為僅在目標為檔案時才套用,或藉由指定意圖來限制資料夾。 如果目標為檔案,但指定排除為資料夾,則不適用排除。 相反地,如果目標是資料夾,但將排除指定為檔案,則會套用排除。
掃描類型限制。 可讓您定義要套用排除的必要掃描類型。 例如,您只想要從完整掃描中排除特定資料夾,而不是從「資源」掃描中排除 (目標掃描) 。
掃描觸發程式類型限制。 您可以使用此限制來指定排除範圍應該只在掃描由特定事件起始時套用,例如:
- 視需要;
- 存取時;或
- 源自行為監視。
進程限制。 可讓您定義只有在特定進程存取檔案或資料夾時,才應套用排除。
設定限制
限制通常會藉由將限制類型新增至檔案或資料夾排除路徑來套用。
| Restriction | TypeName | 數值 |
|---|---|---|
| 檔案/資料夾 | PathType |
file folder |
| 掃描類型 | ScanType |
quick full |
| 掃描觸發程式 | ScanTrigger |
OnDemand OnAccess 行為監視 |
| 程序 | Process |
<path> |
需求
這項功能需要 Microsoft Defender 防病毒軟體。
- 平臺版本: 4.18.2205.7 或更新版本
- 引擎版本: 1.1.19300.2 或更新版本
請參閱 Microsoft Defender 防病毒軟體安全情報和產品更新。
語法
作為起點,您可能已經有想要更具體的排除專案。 若要形成排除字串,請先定義要排除之檔案或資料夾的路徑,然後新增類型名稱和相關聯的值,如下列範例所示。
<PATH>\:{TypeName:value,TypeName:value}
請記住, 所有類型 和 值 都區分大小寫。
注意事項
{}內的條件必須為 true,限制才會相符。 例如,如果您指定兩個掃描觸發程式,這不可以是 true,而且不會套用排除。 若要指定相同類型的兩個限制,請建立兩個不同的排除範圍。
範例
下列字串只會在 c:\documents\design.doc 檔案且僅在存取掃描中排除:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
下列字串只會在 c:\documents\design.doc 存取) 掃描 (時排除,因為具有映像名稱 winword.exe的進程會存取該字串:
c:\documents\design.doc\:{Process:"winword.exe"}
檔案和資料夾路徑可以包含通配符,如下列範例所示:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
行程映射路徑可以包含通配符,如下列範例所示:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
檔案/資料夾限制
您可以藉由指定意圖,將排除範圍限製為僅在目標為檔案或資料夾時才套用。 如果目標為檔案,但指定排除為資料夾,則不適用排除。 相反地,如果目標是資料夾,但將排除指定為檔案,則會套用排除。
檔案/資料夾排除預設行為
如果您未指定任何其他選項,則檔案/資料夾會從所有類型的掃描中排除, 而且 不論目標是檔案或資料夾,都會套用排除。 如需自定義排除專案僅適用於特定掃描類型的詳細資訊,請參閱 掃描類型限制。
注意事項
檔案/資料夾排除專案支援通配符。
資料夾
若要確保排除只有在目標為資料夾時才適用,而非檔案,您可以使用 PathType:folder 限制。 例如:
C:\documents\*\:{PathType:folder}
檔案
若要確定排除只適用於目標為檔案,而非資料夾,您可以使用 PathType: 檔案限制。 例如:
C:\documents\*.mdb\:{PathType:file}
掃描類型限制
根據預設,排除範圍會套用至所有掃描類型:
- resource:以目標方式掃描單一檔案或資料夾 (例如,按兩下滑鼠右鍵、掃描)
- 快速:惡意代碼、記憶體和特定登錄機碼所使用的常見啟動位置
- 完整:包含快速掃描位置和完整的文件系統 (所有檔案和資料夾)
若要減輕效能問題,您可以排除特定掃描類型掃描的資料夾或一組檔案。 您也可以定義要套用排除的必要掃描類型。
若要排除只在完整掃描期間掃描的資料夾,請指定限制類型以及檔案或資料夾排除,如下列範例所示:
C:\documents\:{ScanType:full}
若要排除只在快速掃描期間掃描資料夾,請指定限制類型以及檔案或資料夾排除,如下列範例所示:
C:\program.exe\:{ScanType:quick}
如果您想要確定此排除範圍只適用於特定檔案,而非資料夾, (c:\foo.exe 可以是資料夾) ,也請 PathType 套用限制,如下列範例所示:
C:\program.exe\:{ScanType:quick,PathType:file}
掃描觸發程式限制
根據預設,基本排除專案會套用至所有掃描觸發程式。 ScanTrigger 限制可讓您指定只有在特定事件起始掃描時,才應套用排除;隨選 (包括快速、完整和目標掃描) 、存取或源自行為監視 (包括記憶體掃描) 。
- OnDemand:由命令或系統管理員動作觸發的掃描。 請記住,排定的快速和完整掃描也屬於此類別。
- OnAccess:檔案或資料夾會開啟/寫入/讀取/修改 (通常視為實時保護)
- BM:行為觸發程式會導致行為監視掃描特定檔案
若要排除檔案或資料夾及其內容,使其只能在存取檔案之後進行掃描時進行掃描,請定義掃描觸發程式限制,如下列範例所示:
c:\documents\:{ScanTrigger:OnAccess}
進程限制
這項限制可讓您定義只有在特定進程存取檔案或資料夾時,才應套用排除。 常見的案例是,當您想要避免排除程式時,因為該規避會導致 Defender 防毒軟體 忽略該程式的其他作業。 進程名稱/路徑支援通配符。
注意事項
在計算機上使用大量的進程排除限制可能會對效能造成負面影響。 此外,如果排除僅限於特定進程或進程,其他作用中的進程 (例如索引編製、備份、更新) 仍可觸發檔案掃描。
若只要在特定進程存取時才排除檔案或資料夾,請建立一般檔案或資料夾排除,並新增程式以限制排除範圍。 例如:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
如何設定
建構所需的內容相關排除項目之後,您可以使用現有的管理工具,使用您建立的字串來設定檔案和資料夾排除專案。
請參閱設定和驗證 Microsoft Defender 防病毒軟體掃描的排除專案。
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。