Vyloučení kontextových souborů a složek
Platí pro:
Microsoft Defender pro firmy
Antivirová ochrana v programu Microsoft Defender
Microsoft Defender pro jednotlivce
Tento článek/část popisuje funkci vyloučení kontextových souborů a složek pro Microsoft Defender Antivirovou ochranu ve Windows. Díky této funkci můžete být konkrétnější, když definujete, v jakém kontextu by Microsoft Defender Antivirová ochrana neměla kontrolovat soubor nebo složku, a to použitím omezení.
Přehled
Vyloučení jsou primárně určena ke zmírnění dopadů na výkon. Jsou trestem snížené hodnoty ochrany. Tato omezení umožňují omezit toto omezení ochrany tím, že určíte okolnosti, za kterých se má vyloučení vztahovat. Kontextová vyloučení nejsou vhodná pro spolehlivé řešení falešně pozitivních výsledků. Pokud narazíte na falešně pozitivní výsledky, můžete soubory odeslat k analýze prostřednictvím portálu Microsoft Defender XDR (vyžaduje se předplatné) nebo prostřednictvím Microsoft Bezpečnostní analýza webu. V případě dočasné metody potlačení zvažte vytvoření vlastního indikátoru povolení v Microsoft Defender for Endpoint.
Existují čtyři omezení, která můžete použít k omezení použitelnosti vyloučení:
- Omezení typu cesty k souboru nebo složce Vyloučení můžete omezit tak, aby se použila jenom v případě, že je cílem soubor nebo složka, a to tak, že záměr specifikujete. Pokud je cílem soubor, ale jako vyloučení je určena složka, nebude to platit. Pokud je naopak cílem složka, ale vyloučení je určeno jako soubor, použije se vyloučení.
- Omezení typu kontroly. Umožňuje definovat požadovaný typ kontroly pro vyloučení, které se má použít. Chcete například vyloučit jenom určitou složku z úplných kontrol, ale ne z kontroly "prostředků" (cílené kontroly).
- Omezení typu triggeru kontroly. Toto omezení můžete použít k určení, že vyloučení se má použít pouze v případě, že byla kontrola inicializována konkrétní událostí:
- na vyžádání
- při přístupu
- nebo pocházející z monitorování chování
- Omezení procesu. Umožňuje definovat, že vyloučení by se mělo použít pouze v případě, že k souboru nebo složce přistupuje určitý proces.
Konfigurace omezení
Omezení se obvykle uplatňují přidáním typu omezení do cesty pro vyloučení souboru nebo složky.
| Omezení | Typename | Hodnotu |
|---|---|---|
| Soubor nebo složka | Typ cesty | Soubor Složky |
| Typ kontroly | ScanType | Rychlé Plné |
| Trigger procházení | ScanTrigger | Ondemand OnAccess BM |
| Proces | Proces | "<image_path>" |
Požadavky
Tato funkce vyžaduje Microsoft Defender Antivirovou ochranu:
- Platforma: 4.18.2205.7 nebo novější
- Motor: 1.1.19300.2 nebo novější
Syntaxe
Jako výchozí bod je možné, že už máte zavedená vyloučení, která chcete upřesnit. Pokud chcete vytvořit řetězec vyloučení, definujte nejprve cestu k souboru nebo složce, které chcete vyloučit, a pak přidejte název typu a přidruženou hodnotu, jak je znázorněno v následujícím příkladu.
<PATH>\:{TypeName:value,TypeName:value}
Mějte na paměti, že u všechtypů a hodnot se rozlišují malá a velká písmena.
Poznámka
Aby se omezení shodovaly, musí být splněné podmínky uvnitř {} . Pokud například zadáte dva triggery kontroly, nemůže to být pravda a vyloučení se nepoužije. Pokud chcete zadat dvě omezení stejného typu, vytvořte dvě samostatná vyloučení.
Příklady
Následující řetězec vyloučí "c:\documents\design.doc" pouze v případě, že se jedná o soubor a pouze v přístupových kontrolách:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
Následující řetězec nezahrnuje "c:\documents\design.doc" jenom v případě, že je kontrolovaný (při přístupu) kvůli tomu, že k němu přistupuje proces s názvem image "winword.exe":
c:\documents\design.doc\:{Process:"winword.exe"}
Cesty k souborům a složkám můžou obsahovat zástupné cardy, jako v následujícím příkladu:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Cesta k obrázku procesu může obsahovat zástupné é ou, jako v následujícím příkladu:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Omezení souborů nebo složek
Vyloučení můžete omezit tak, aby se použila pouze v případě, že je cílem soubor nebo složka, a to tak, že záměr specifikujete. Pokud je cílem soubor, ale vyloučení je určené jako složka, vyloučení se nepoužije. Pokud je naopak cílem složka, ale vyloučení je určeno jako soubor, použije se vyloučení.
Výchozí chování vyloučení souborů nebo složek
Pokud nezadáte žádné další možnosti, soubor nebo složka se vyloučí ze všech typů kontrol a vyloučení platí bez ohledu na to, jestli je cílem soubor nebo složka. Další informace o přizpůsobení vyloučení tak, aby se vztahovala pouze na konkrétní typ kontroly, najdete v tématu Omezení typu kontroly.
Poznámka
Zástupné cardy jsou podporovány ve vyloučení souborů a složek.
Složky
Chcete-li zajistit, aby vyloučení platilo pouze v případě, že cílem je složka, nikoli soubor, můžete použít omezení PathType:folder . Příklady:
C:\documents\*\:{PathType:folder}
Soubory
Pokud chcete zajistit, aby se vyloučení použilo pouze v případě, že je cílem soubor, nikoli složka, můžete použít omezení PathType: file.
Příklad:
C:\documents\*.mdb\:{PathType:file}
Omezení typu kontroly
Ve výchozím nastavení se vyloučení vztahují na všechny typy kontrol:
- prostředek: Jeden soubor nebo složka se kontroluje cíleným způsobem (například kliknutím pravým tlačítkem myši, skenováním).
- quick: běžná spouštěcí umístění využívaná malwarem, pamětí a určitými klíči registru
- full: zahrnuje umístění rychlé kontroly a kompletní systém souborů (všechny soubory a složky).
Pokud chcete zmírnit problémy s výkonem, můžete vyloučit složku nebo sadu souborů z kontroly určitým typem kontroly. Můžete také definovat požadovaný typ kontroly pro vyloučení, které se má použít.
Pokud chcete vyloučit složku z kontroly jenom během úplné kontroly, zadejte spolu s vyloučením souboru nebo složky typ omezení, jako v následujícím příkladu:
C:\documents\:{ScanType:full}
Pokud chcete složku vyloučit z kontroly jenom během rychlé kontroly, zadejte spolu s vyloučením souboru nebo složky typ omezení:
C:\program.exe\:{ScanType:quick}
Pokud chcete zajistit, aby se toto vyloučení vztahovalo pouze na konkrétní soubor, a ne na složku (c:\foo.exe může být složka), použijte také omezení PathType:
C:\program.exe\:{ScanType:quick,PathType:file}
Omezení triggeru kontroly
Ve výchozím nastavení se základní vyloučení vztahují na všechny triggery kontroly. Omezení ScanTrigger umožňuje určit, že vyloučení by mělo platit pouze v případě, že kontrola byla inicializována konkrétní událostí; na vyžádání (včetně rychlých, úplných a cílených kontrol), přístupu nebo pocházejících z monitorování chování (včetně kontrol paměti).
- OnDemand: Kontrola byla aktivována příkazem nebo akcí správce. Nezapomeňte, že do této kategorie spadají také naplánované rychlé a úplné kontroly.
- OnAccess: Soubor nebo složka jsou otevřeny, zapsány, přečteny nebo upraveny (obvykle se považují za ochranu v reálném čase).
- BM: Aktivační událost chování způsobí, že monitorování chování zkontroluje konkrétní soubor.
Pokud chcete vyloučit soubor nebo složku a jeho obsah z kontroly jenom v případě, že se soubor kontroluje po získání přístupu, definujte omezení triggeru kontroly, jako je například následující příklad:
c:\documents\:{ScanTrigger:OnAccess}
Omezení procesu
Toto omezení umožňuje definovat, že vyloučení by se mělo použít pouze v případě, že k souboru nebo složce přistupuje určitý proces. Běžným scénářem je situace, kdy se chcete vyhnout vyloučení procesu, protože toto vyhnutí by způsobilo, že Antivirová ochrana v programu Defender bude ignorovat ostatní operace daného procesu. Zástupné cardy se podporují v názvu nebo cestě procesu.
Poznámka
Použití velkého množství omezení vyloučení procesů na počítači může nepříznivě ovlivnit výkon. Kromě toho platí, že pokud je vyloučení omezeno na určitý proces nebo procesy, ostatní aktivní procesy (například indexování, zálohování, aktualizace) můžou kontroly souborů přesto aktivovat.
Pokud chcete vyloučit soubor nebo složku jenom v případě, že k němu přistupuje určitý proces, vytvořte normální vyloučení souborů nebo složek a přidejte proces, na který chcete vyloučení omezit. Příklady:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Postup konfigurace
Po vytvoření požadovaných kontextových vyloučení můžete pomocí existujícího nástroje pro správu nakonfigurovat vyloučení souborů a složek pomocí řetězce, který jste vytvořili.
Viz Konfigurace a ověření vyloučení pro kontroly antivirové ochrany Microsoft Defender.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro