상황별 파일 및 폴더 제외

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1

• 엔드포인트용 Microsoft Defender 플랜 2

• 비즈니스용 Microsoft Defender

• Microsoft Defender 바이러스 백신

• 개인을 위한 Microsoft Defender

이 문서/섹션에서는 Windows의 Microsoft Defender 바이러스 백신에 대한 컨텍스트 파일 및 폴더 제외 기능에 대해 설명합니다. 이 기능을 사용하면 제한 사항을 적용하여 바이러스 백신이 파일이나 폴더를 검색하지 않아야 하는 컨텍스트 Microsoft Defender 정의할 때 보다 구체적으로 지정할 수 있습니다.

개요

제외는 주로 성능에 미치는 영향을 완화하기 위한 것입니다. 그들은 감소 된 보호 가치의 처벌에 와서. 이러한 제한을 사용하면 제외가 적용되어야 하는 상황을 지정하여 이러한 보호 감소를 제한할 수 있습니다. 상황별 제외는 신뢰할 수 있는 방식으로 가양성 문제를 해결하는 데 적합하지 않습니다. 가양성인 경우 Microsoft Defender XDR 포털(구독 필요) 또는 Microsoft 보안 인텔리전스웹 사이트를 통해 분석을 위해 파일을 제출할 수 있습니다. 임시 억제 방법의 경우 엔드포인트용 Microsoft Defender 사용자 지정 허용 표시기를 만드는 것이 좋습니다.

제외의 적용 가능성을 제한하기 위해 적용할 수 있는 네 가지 제한 사항이 있습니다.

• 파일/폴더 경로 형식 제한입니다. 대상이 파일이거나 의도를 구체적으로 지정하여 폴더인 경우에만 제외를 적용하도록 제한할 수 있습니다. 대상이 파일이지만 제외가 폴더로 지정된 경우 적용되지 않습니다. 반대로 대상이 폴더이지만 제외를 파일로 지정하면 제외가 적용됩니다.
• 검사 유형 제한. 제외를 적용하는 데 필요한 검사 유형을 정의할 수 있습니다. 예를 들어 전체 검사에서 특정 폴더만 제외하려고 하지만 "리소스" 검사(대상 검색)에서는 제외하지 않습니다.
• 검사 트리거 유형 제한. 이 제한을 사용하여 특정 이벤트에 의해 검사가 시작된 경우에만 제외가 적용되도록 지정할 수 있습니다.
  • 주문형
  • 액세스 중
  • 또는 동작 모니터링에서 발생
• 프로세스 제한. 특정 프로세스에서 파일 또는 폴더에 액세스하는 경우에만 제외가 적용되도록 정의할 수 있습니다.

제한 구성

제한은 일반적으로 파일 또는 폴더 제외 경로에 제한 형식을 추가하여 적용됩니다.

제한	Typename	값
파일/폴더	PathType	파일 폴더
검사 유형	ScanType	빠른 전체
검사 트리거	ScanTrigger	온디맨드 OnAccess Bm
프로세스	프로세스	"<image_path>"

요구 사항

이 기능을 사용하려면 Microsoft Defender 바이러스 백신이 필요합니다.

• 플랫폼: 4.18.2205.7 이상
• 엔진: 1.1.19300.2 이상

구문

시작점으로, 더 구체적으로 지정하려는 제외 사항이 이미 있을 수 있습니다. 제외 문자열을 구성하려면 먼저 제외할 파일 또는 폴더의 경로를 정의한 다음, 다음 예제와 같이 형식 이름 및 연결된 값을 추가합니다.

<PATH>\:{TypeName:value,TypeName:value}

모든형식과 값은 대/소문자를 구분합니다.

참고

제한이 일치하려면 내부의 {} 조건이 true여야 합니다. 예를 들어 두 개의 검사 트리거를 지정하면 true가 될 수 없으며 제외는 적용되지 않습니다. 동일한 형식의 두 가지 제한을 지정하려면 두 개의 별도 제외를 만듭니다.

예제

다음 문자열은 파일이고 액세스 시 검사에서만 "c:\documents\design.doc"을 제외합니다.

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

다음 문자열은 이미지 이름이 "winword.exe"인 프로세스에서 액세스하기 때문에 검사(액세스 시)된 경우에만 "c:\documents\design.doc"을 제외합니다.

c:\documents\design.doc\:{Process:"winword.exe"}

파일 및 폴더 경로에는 다음 예제와 같이 와일드카드가 포함될 수 있습니다.

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

프로세스 이미지 경로에는 다음 예제와 같이 와일드카드가 포함될 수 있습니다.

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

파일/폴더 제한

대상이 파일 또는 폴더인 경우에만 의도를 구체적으로 지정하여 제외를 적용하도록 제한할 수 있습니다. 대상이 파일이지만 제외가 폴더로 지정된 경우 제외는 적용되지 않습니다. 반대로 대상이 폴더이지만 제외를 파일로 지정하면 제외가 적용됩니다.

파일/폴더 제외 기본 동작

다른 옵션을 지정하지 않으면 파일/폴더가 모든 유형의 검사에서 제외 되고 대상이 파일인지 폴더인지에 관계없이 제외가 적용됩니다. 특정 검사 유형에만 적용할 제외를 사용자 지정하는 방법에 대한 자세한 내용은 검사 유형 제한을 참조하세요.

참고

와일드카드는 파일/폴더 제외에서 지원됩니다.

폴더

제외가 대상이 폴더인 경우에만 적용되도록 하려면 PathType:folder 제한을 사용할 수 있는 파일이 아닙니다. 예시:

C:\documents\*\:{PathType:folder}

파일

대상이 파일인 경우에만 제외가 적용되도록 하려면 PathType: 파일 제한을 사용할 수 있는 폴더가 아닙니다.

예:

C:\documents\*.mdb\:{PathType:file}

검사 유형 제한

기본적으로 제외는 모든 검사 유형에 적용됩니다.

• resource: 단일 파일 또는 폴더가 대상 지정 방식으로 검사됩니다(예: 마우스 오른쪽 단추 클릭, 검사).
• 빠른: 맬웨어, 메모리 및 특정 레지스트리 키에서 활용하는 일반적인 시작 위치
• full: 빠른 검사 위치 및 전체 파일 시스템(모든 파일 및 폴더) 포함

성능 문제를 완화하기 위해 특정 검사 유형으로 검색되는 폴더 또는 파일 집합을 제외할 수 있습니다. 제외를 적용하는 데 필요한 검사 유형을 정의할 수도 있습니다.

전체 검사 중에만 폴더를 검사하지 않도록 제외하려면 다음 예제와 같이 파일 또는 폴더 제외와 함께 제한 유형을 지정합니다.

C:\documents\:{ScanType:full}

빠른 검사 중에만 폴더를 검사하지 않도록 제외하려면 파일 또는 폴더 제외와 함께 제한 유형을 지정합니다.

C:\program.exe\:{ScanType:quick}

이 제외가 특정 파일에만 적용되고 폴더(c:\foo.exe 폴더일 수 있음)에만 적용되도록 하려면 PathType 제한도 적용합니다.

C:\program.exe\:{ScanType:quick,PathType:file}

검사 트리거 제한

기본적으로 기본 제외는 모든 검사 트리거에 적용됩니다. ScanTrigger 제한을 사용하면 특정 이벤트에 의해 검사가 시작된 경우에만 제외가 적용되도록 지정할 수 있습니다. 요청 시(빠른, 전체 검사 및 대상 검색 포함), 액세스 시 또는 동작 모니터링(메모리 검사 포함)에서 발생합니다.

• OnDemand: 명령 또는 관리자 작업에 의해 검사가 트리거되었습니다. 예약된 빠른 검사와 전체 검사도 이 범주에 속합니다.
• OnAccess: 파일 또는 폴더가 열리거나 작성/읽기/수정됨(일반적으로 실시간 보호로 간주됨)
• BM: 동작 트리거로 인해 동작 모니터링이 특정 파일을 검사합니다.

파일에 액세스한 후에만 파일 또는 폴더 및 해당 내용이 검사되지 않도록 제외하려면 다음 예제와 같은 검사 트리거 제한을 정의합니다.

c:\documents\:{ScanTrigger:OnAccess}

프로세스 제한

이 제한을 사용하면 특정 프로세스에서 파일 또는 폴더에 액세스하는 경우에만 제외가 적용되도록 정의할 수 있습니다. 일반적인 시나리오는 해당 회피로 인해 Defender 바이러스 백신이 해당 프로세스의 다른 작업을 무시하게 되므로 프로세스를 제외하지 않으려는 경우입니다. 와일드카드는 프로세스 이름/경로에서 지원됩니다.

참고

컴퓨터에서 많은 양의 프로세스 제외 제한을 사용하면 성능에 부정적인 영향을 줄 수 있습니다. 또한 제외가 특정 프로세스 또는 프로세스로 제한되는 경우 다른 활성 프로세스(예: 인덱싱, 백업, 업데이트)는 여전히 파일 검사를 트리거할 수 있습니다.

특정 프로세스에서 액세스할 때만 파일 또는 폴더를 제외하려면 일반 파일 또는 폴더 제외를 만들고 제외를 제한하는 프로세스를 추가합니다. 예시:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

구성 방법

원하는 컨텍스트 제외를 생성한 후 기존 관리 도구를 사용하여 만든 문자열을 사용하여 파일 및 폴더 제외를 구성할 수 있습니다.

참조: Microsoft Defender 바이러스 백신 검사에 대한 제외 구성 및 유효성 검사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.