Exclusiones contextuales de archivos y carpetas
Se aplica a:
Microsoft Defender para Empresas
Antivirus de Microsoft Defender
Microsoft Defender para individuos
En este artículo o sección se describe la funcionalidad de exclusiones de archivos y carpetas contextuales para Microsoft Defender Antivirus en Windows. Esta funcionalidad le permite ser más específico al definir en qué contexto Microsoft Defender Antivirus no debe examinar un archivo o carpeta, aplicando restricciones.
Información general
Las exclusiones están pensadas principalmente para mitigar los efectos en el rendimiento. Se ven penalizado por un valor de protección reducido. Estas restricciones le permiten limitar esta reducción de protección especificando las circunstancias en las que se debe aplicar la exclusión. Las exclusiones contextuales no son adecuadas para abordar falsos positivos de forma confiable. Si encuentra un falso positivo, puede enviar archivos para su análisis a través del portal de Microsoft Defender XDR (se requiere suscripción) o a través del sitio web de Inteligencia de seguridad de Microsoft. Para un método de supresión temporal, considere la posibilidad de crear un indicador de permiso personalizado en Microsoft Defender para punto de conexión.
Hay cuatro restricciones que puede aplicar para limitar la aplicabilidad de una exclusión:
- Restricción de tipo de ruta de acceso de archivo o carpeta. Puede restringir las exclusiones para que solo se apliquen si el destino es un archivo o una carpeta haciendo que la intención sea específica. Si el destino es un archivo pero se especifica que la exclusión es una carpeta, no se aplicará. Por el contrario, si el destino es una carpeta, pero se especifica que la exclusión es un archivo, se aplicará la exclusión.
- Restricción del tipo de examen. Permite definir el tipo de examen necesario para que se aplique una exclusión. Por ejemplo, solo quiere excluir una carpeta determinada de exámenes completos, pero no de un examen de "recursos" (examen de destino).
- Restricción del tipo de desencadenador de examen. Puede usar esta restricción para especificar que la exclusión solo se debe aplicar cuando un evento específico inició el examen:
- bajo demanda
- en el acceso
- o que se origina en la supervisión del comportamiento
- Restricción del proceso. Permite definir que una exclusión solo se debe aplicar cuando un proceso específico tiene acceso a un archivo o carpeta.
Configuración de restricciones
Normalmente, las restricciones se aplican agregando el tipo de restricción a la ruta de exclusión de archivos o carpetas.
| Restriction | TypeName | valor |
|---|---|---|
| Archivo o carpeta | PathType | archivo folder |
| Tipo de examen | ScanType | Rápido Completo |
| Desencadenador de examen | ScanTrigger | Ondemand OnAccess BM |
| Proceso | Proceso | "<image_path>" |
Requisitos
Esta funcionalidad requiere Microsoft Defender Antivirus:
- Plataforma: 4.18.2205.7 o posterior
- Motor: 1.1.19300.2 o posterior
Sintaxis
Como punto de partida, es posible que ya tenga exclusiones en su lugar que desee hacer más específicas. Para formar la cadena de exclusión, defina primero la ruta de acceso al archivo o carpeta que se va a excluir y, a continuación, agregue el nombre de tipo y el valor asociado, como se muestra en el ejemplo siguiente.
<PATH>\:{TypeName:value,TypeName:value}
Tenga en cuenta que todos lostipos y valores distinguen mayúsculas de minúsculas.
Nota:
Las condiciones dentro {} de DEBEN ser true para que la restricción coincida. Por ejemplo, si especifica dos desencadenadores de examen, esto no puede ser true y la exclusión no se aplicará. Para especificar dos restricciones del mismo tipo, cree dos exclusiones independientes.
Ejemplos
La cadena siguiente excluye "c:\documents\design.doc" solo si es un archivo y solo en los exámenes en el acceso:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
La cadena siguiente excluye "c:\documents\design.doc" solo si se examina (a su acceso) debido a que un proceso que tiene el nombre de imagen "winword.exe":
c:\documents\design.doc\:{Process:"winword.exe"}
Las rutas de acceso de archivos y carpetas pueden contener caracteres comodín, como en el ejemplo siguiente:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
La ruta de acceso de la imagen de proceso puede contener caracteres comodín, como en el ejemplo siguiente:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Restricción de archivos o carpetas
Puede restringir las exclusiones para que solo se apliquen si el destino es un archivo o una carpeta haciendo que la intención sea específica. Si el destino es un archivo pero se especifica que la exclusión es una carpeta, no se aplicará la exclusión. Por el contrario, si el destino es una carpeta, pero se especifica que la exclusión es un archivo, se aplicará la exclusión.
Comportamiento predeterminado de exclusiones de archivos o carpetas
Si no especifica ninguna otra opción, el archivo o carpeta se excluye de todos los tipos de exámenes y la exclusión se aplica independientemente de si el destino es un archivo o una carpeta. Para obtener más información sobre cómo personalizar exclusiones para que solo se apliquen a un tipo de examen específico, consulte Restricción del tipo de examen.
Nota:
Los caracteres comodín se admiten en exclusiones de archivos o carpetas.
Folders
Para asegurarse de que una exclusión solo se aplica si el destino es una carpeta, no un archivo, puede usar la restricción PathType:folder . Por ejemplo:
C:\documents\*\:{PathType:folder}
Archivos
Para asegurarse de que una exclusión solo se aplica si el destino es un archivo, no una carpeta, puede usar la restricción de archivo PathType: .
Ejemplo:
C:\documents\*.mdb\:{PathType:file}
Restricción del tipo de examen
De forma predeterminada, las exclusiones se aplican a todos los tipos de examen:
- recurso: un único archivo o carpeta se examina de forma dirigida (por ejemplo, hacer clic con el botón derecho, Examinar)
- quick: ubicaciones de inicio comunes utilizadas por malware, memoria y ciertas claves del Registro
- full: incluye ubicaciones de examen rápido y sistema de archivos completo (todos los archivos y carpetas)
Para mitigar los problemas de rendimiento, puede excluir que un tipo de examen específico examine una carpeta o un conjunto de archivos. También puede definir el tipo de examen necesario para que se aplique una exclusión.
Para excluir que una carpeta se examine solo durante un examen completo, especifique un tipo de restricción junto con la exclusión de archivos o carpetas, como en el ejemplo siguiente:
C:\documents\:{ScanType:full}
Para excluir que una carpeta se examine solo durante un examen rápido, especifique un tipo de restricción junto con la exclusión de archivos o carpetas:
C:\program.exe\:{ScanType:quick}
Si desea asegurarse de que esta exclusión solo se aplica a un archivo específico y no a una carpeta (c:\foo.exe podría ser una carpeta), aplique también la restricción PathType:
C:\program.exe\:{ScanType:quick,PathType:file}
Restricción del desencadenador de examen
De forma predeterminada, las exclusiones básicas se aplican a todos los desencadenadores de examen. La restricción ScanTrigger le permite especificar que la exclusión solo se debe aplicar cuando un evento específico inició el examen; a petición (incluidos los exámenes rápidos, completos y dirigidos), el acceso o el origen de la supervisión del comportamiento (incluidos los exámenes de memoria).
- OnDemand: un examen se desencadenó mediante una acción de comando o administrador. Recuerde que los exámenes rápidos y completos programados también pertenecen a esta categoría.
- OnAccess: se abre, escribe, lee o modifica un archivo o carpeta (normalmente se considera protección en tiempo real)
- BM: un desencadenador de comportamiento hace que la supervisión del comportamiento examine un archivo específico.
Para excluir un archivo o carpeta y su contenido de que solo se examinen cuando se examina el archivo después de acceder a él, defina una restricción de desencadenador de examen como el ejemplo siguiente:
c:\documents\:{ScanTrigger:OnAccess}
Restricción del proceso
Esta restricción le permite definir que una exclusión solo se debe aplicar cuando un proceso específico tiene acceso a un archivo o carpeta. Un escenario común es cuando se quiere evitar excluir el proceso, ya que esa evitación haría que Antivirus de Defender ignorara otras operaciones por ese proceso. Los caracteres comodín se admiten en el nombre o la ruta de acceso del proceso.
Nota:
El uso de una gran cantidad de restricciones de exclusión de procesos en una máquina puede afectar negativamente al rendimiento. Además, si una exclusión está restringida a un proceso o proceso determinado, otros procesos activos (como la indexación, la copia de seguridad y las actualizaciones) todavía pueden desencadenar exámenes de archivos.
Para excluir un archivo o carpeta solo cuando un proceso específico acceda a él, cree un archivo o una exclusión de carpeta normales y agregue el proceso al que restringir la exclusión. Por ejemplo:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Cómo establecer la configuración
Después de crear las exclusiones contextuales deseadas, puede usar la herramienta de administración existente para configurar las exclusiones de archivos y carpetas mediante la cadena que ha creado.
Consulte: Configuración y validación de exclusiones para exámenes de antivirus de Microsoft Defender
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de