Kontekstavhengige fil- og mappeutelukkelser
Gjelder for:
Microsoft Defender for Business
Microsoft Defender Antivirus
Microsoft Defender for enkeltpersoner
Denne artikkelen/delen beskriver kontekstavhengig fil- og mappeutelukkelsesfunksjonalitet for Microsoft Defender Antivirus i Windows. Med denne funksjonen kan du være mer spesifikk når du definerer hvilken kontekst Microsoft Defender Antivirus ikke skal skanne en fil eller mappe, ved å bruke begrensninger.
Oversikt
Utelukkelser er hovedsakelig ment å redusere innvirkning på ytelsen. De kommer på straffen for redusert beskyttelse verdi. Med disse begrensningene kan du begrense denne beskyttelsesreduksjonen ved å angi omstendigheter der utelukkelsen skal gjelde. Kontekstuelle utelatelser er ikke egnet for å håndtere falske positiver på en pålitelig måte. Hvis du støter på en falsk positiv, kan du sende filer til analyse gjennom Microsoft Defender XDR portal (abonnement kreves) eller via Microsoft Sikkerhetsintelligens-nettstedet. Vurder å opprette en egendefinert tillatelsesindikator i Microsoft Defender for endepunkt for en midlertidig undertrykkelsesmetode.
Det finnes fire begrensninger du kan bruke for å begrense anvendeligheten til en utelatelse:
- Fil-/mappebanetypebegrensning. Du kan begrense utelukkelser til bare å gjelde hvis målet er en fil, eller en mappe ved å gjøre hensikten spesifikk. Hvis målet er en fil, men utelukkelsen er angitt som en mappe, gjelder den ikke. Omvendt, hvis målet er en mappe, men utelukkelsen er angitt som en fil, gjelder utelukkelsen.
- Begrensning for skannetype. Lar deg definere den nødvendige skannetypen for en utelatelse som skal brukes. Du vil for eksempel bare utelate en bestemt mappe fra Fullstendige skanninger, men ikke fra en «ressurs»-skanning (målrettet skanning).
- Begrensning for skannutløsertype. Du kan bruke denne begrensningen til å angi at utelukkelsen bare skal gjelde når skanningen ble startet av en bestemt hendelse:
- ved behov
- ved tilgang
- eller kommer fra atferdsovervåking
- Prosessbegrensning. Lar deg definere at en utelatelse bare skal gjelde når en fil eller mappe åpnes av en bestemt prosess.
Konfigurering av begrensninger
Begrensninger brukes vanligvis ved å legge til begrensningstypen i fil- eller mappeutelukkelsesbanen.
Begrensning | Typename | Verdi |
---|---|---|
Fil/mappe | PathType | Filen Mappen |
Skannetype | ScanType | Rask Full |
Skanneutløser | ScanTrigger | Ondemand OnAccess BM |
Prosessen | Prosessen | "<image_path>" |
Krav
Denne funksjonen krever Microsoft Defender Antivirus:
- Plattform: 4.18.2205.7 eller nyere
- Motor: 1.1.19300.2 eller nyere
Syntaks
Som et utgangspunkt kan det hende at du allerede har utelatelser på plass som du ønsker å gjøre mer spesifikk. Hvis du vil danne utelatelsesstrengen, definerer du først banen til filen eller mappen som skal utelates, og deretter legger du til typenavnet og den tilknyttede verdien, som vist i eksemplet nedenfor.
<PATH>\:{TypeName:value,TypeName:value}
Husk at alletyper og verdier skiller mellom store og små bokstaver.
Obs!
Betingelser i {}
MÅ være oppfylt for at begrensningen skal samsvare. Hvis du for eksempel angir to skanneutløsere, kan dette ikke være sant, og utelukkelsen vil ikke gjelde. Hvis du vil angi to begrensninger av samme type, oppretter du to separate utelatelser.
Eksempler
Følgende streng utelater "c:\documents\design.doc" bare hvis det er en fil og bare i søk ved tilgang:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
Følgende streng utelater bare «c:\documents\design.doc» hvis den skannes (ved tilgang) på grunn av at den åpnes av en prosess som har bildenavnet «winword.exe»:
c:\documents\design.doc\:{Process:"winword.exe"}
Fil- og mappebaner kan inneholde jokertegn, som i eksemplet nedenfor:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Prosessbildebanen kan inneholde jokertegn, som i eksemplet nedenfor:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Fil-/mappebegrensning
Du kan begrense utelukkelser til bare å gjelde hvis målet er en fil eller en mappe ved å gjøre hensikten spesifikk. Hvis målet er en fil, men utelukkelsen er angitt som en mappe, gjelder ikke utelukkelsen. Omvendt, hvis målet er en mappe, men utelukkelsen er angitt som en fil, gjelder utelukkelsen.
Standard virkemåte for fil-/mappeutelukkelse
Hvis du ikke angir andre alternativer, utelates filen/mappen fra alle typer skanninger, og utelukkelsen gjelder uavhengig av om målet er en fil eller en mappe. Hvis du vil ha mer informasjon om hvordan du tilpasser utelatelser slik at de bare gjelder for en bestemt skannetype, kan du se Begrensning av skannetype.
Obs!
Jokertegn støttes i fil-/mappeutelukkelser.
Mapper
Hvis du vil sikre at en utelatelse bare gjelder hvis målet er en mappe, ikke en fil, kan du bruke pathType:folder-begrensningen . Eksempel:
C:\documents\*\:{PathType:folder}
Filer
Hvis du vil sikre at en utelatelse bare gjelder hvis målet er en fil, ikke en mappe, kan du bruke PathType:-filbegrensningen.
Eksempel:
C:\documents\*.mdb\:{PathType:file}
Begrensning for skannetype
Som standard gjelder unntak for alle skannetyper:
- ressurs: én enkelt fil eller mappe skannes på en målrettet måte (for eksempel høyreklikk, Skann)
- hurtig: vanlige oppstartsplasseringer som brukes av skadelig programvare, minne og visse registernøkler
- fullstendig: omfatter hurtigsøkplasseringer og fullstendig filsystem (alle filer og mapper)
Hvis du vil redusere ytelsesproblemer, kan du utelate en mappe eller et sett med filer fra å bli skannet av en bestemt skannetype. Du kan også definere den nødvendige skannetypen for en utelatelse som skal brukes.
Hvis du vil utelate at en mappe bare skannes under en fullstendig skanning, angir du en begrensningstype sammen med fil- eller mappeutelukkelse, som i eksemplet nedenfor:
C:\documents\:{ScanType:full}
Hvis du vil utelate at en mappe bare skannes under en hurtigskanning, angir du en begrensningstype sammen med fil- eller mappeutelukkelse:
C:\program.exe\:{ScanType:quick}
Hvis du vil forsikre deg om at denne utelukkelsen bare gjelder for en bestemt fil og ikke en mappe (c:\foo.exe kan være en mappe), må du også bruke PathType-begrensningen:
C:\program.exe\:{ScanType:quick,PathType:file}
Begrensning for skanningsutløser
Som standard gjelder grunnleggende utelatelser for alle skanneutløsere. Med scanTrigger-begrensning kan du angi at utelukkelsen bare skal gjelde når skanningen ble startet av en bestemt hendelse. ved behov (inkludert raske, fullstendige og målrettede skanninger), ved tilgang eller med opprinnelse fra atferdsovervåking (inkludert minneskanninger).
- OnDemand: en skanning ble utløst av en kommando- eller administratorhandling. Husk at planlagte raske og fullstendige skanninger også faller inn under denne kategorien.
- OnAccess: en fil eller mappe åpnes/skrives/leses/endres (vanligvis betraktes som sanntidsbeskyttelse)
- BM: En atferdsutløser fører til at atferdsovervåkingen skanner en bestemt fil
Hvis du vil utelate en fil eller mappe og innholdet fra å bli skannet bare når filen skannes etter at den er åpnet, definerer du en begrensning for skanningsutløseren, for eksempel følgende eksempel:
c:\documents\:{ScanTrigger:OnAccess}
Prosessbegrensning
Med denne begrensningen kan du definere at en utelatelse bare skal gjelde når en fil eller mappe åpnes av en bestemt prosess. Et vanlig scenario er når du vil unngå å ekskludere prosessen, da det vil føre til at Defender Antivirus ignorerer andre operasjoner ved denne prosessen. Jokertegn støttes i prosessnavnet/banen.
Obs!
Bruk av en stor mengde begrensninger for prosessutelukkelse på en maskin kan påvirke ytelsen negativt. Hvis en utelatelse er begrenset til en bestemt prosess eller prosesser, kan i tillegg andre aktive prosesser (for eksempel indeksering, sikkerhetskopiering, oppdateringer) fortsatt utløse filskanninger.
Hvis du vil utelate en fil eller mappe bare når du får tilgang til en bestemt prosess, oppretter du en vanlig fil- eller mappeutelukkelse og legger til prosessen for å begrense utelukkelsen til. Eksempel:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Slik konfigurerer du
Når du har konstruert ønskede kontekstuelle utelatelser, kan du bruke det eksisterende administrasjonsverktøyet til å konfigurere fil- og mappeutelukkelser ved hjelp av strengen du opprettet.
Se: Konfigurere og validere utelatelser for antivirusskanninger for Microsoft Defender
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for