Kontextuella fil- och mappundantag
Gäller för:
Microsoft Defender för företag
Microsoft Defender Antivirus
Microsoft Defender för enskilda användare
I den här artikeln/avsnittet beskrivs funktionen för kontextuella fil- och mappundantag för Microsoft Defender Antivirus i Windows. Med den här funktionen kan du vara mer specifik när du definierar under vilken kontext Microsoft Defender Antivirus inte ska genomsöka en fil eller mapp genom att tillämpa begränsningar.
Översikt
Undantag är främst avsedda att minimera påverkan på prestanda. De kommer på straff med reducerat skyddsvärde. Med de här begränsningarna kan du begränsa den här skyddsminskningen genom att ange under vilka omständigheter undantaget ska gälla. Sammanhangsbaserade undantag är inte lämpliga för att hantera falska positiva identifieringar på ett tillförlitligt sätt. Om du stöter på en falsk positiv identifiering kan du skicka filer för analys via Microsoft Defender XDR-portalen (prenumeration krävs) eller via Microsoft Säkerhetsinsikter webbplats. Överväg att skapa en anpassad tillåt-indikator i Microsoft Defender för Endpoint för en tillfällig undertryckningsmetod.
Det finns fyra begränsningar som du kan använda för att begränsa tillämpligheten för ett undantag:
- Begränsning av fil-/mappsökvägstyp. Du kan begränsa undantag till att endast gälla om målet är en fil eller en mapp genom att göra avsikten specifik. Om målet är en fil men undantaget har angetts som en mapp gäller det inte. Omvänt gäller undantaget om målet är en mapp men undantaget har angetts som en fil.
- Begränsning av skanningstyp. Gör att du kan definiera vilken genomsökningstyp som krävs för att ett undantag ska gälla. Du vill till exempel bara exkludera en viss mapp från Fullständiga genomsökningar men inte från en "resursgenomsökning" (riktad genomsökning).
- Sök igenom begränsning av utlösartyp. Du kan använda den här begränsningen för att ange att undantaget endast ska gälla när genomsökningen initierades av en specifik händelse:
- på begäran
- vid åtkomst
- eller kommer från beteendeövervakning
- Processbegränsning. Gör att du kan definiera att ett undantag endast ska gälla när en fil eller mapp används av en specifik process.
Konfigurera begränsningar
Begränsningar tillämpas vanligtvis genom att begränsningstypen läggs till i sökvägen för fil- eller mappundantag.
| Begränsning | Typename | värde |
|---|---|---|
| Fil/mapp | PathType | Filen Mappen |
| Genomsökningstyp | ScanType | Snabb Full |
| Genomsökningsutlösare | ScanTrigger | Ondemand OnAccess BM |
| Process | Process | "<image_path>" |
Krav
Den här funktionen kräver Microsoft Defender Antivirus:
- Plattform: 4.18.2205.7 eller senare
- Motor: 1.1.19300.2 eller senare
Syntax
Som utgångspunkt kanske du redan har undantag som du vill göra mer specifika. Om du vill skapa undantagssträngen definierar du först sökvägen till den fil eller mapp som ska undantas och lägger sedan till typnamnet och det associerade värdet, enligt följande exempel.
<PATH>\:{TypeName:value,TypeName:value}
Tänk på att allatyper och värden är skiftlägeskänsliga.
Obs!
Villkor i {} MÅSTE vara sanna för att begränsningen ska matcha. Om du till exempel anger två genomsökningsutlösare kan detta inte vara sant och undantaget gäller inte. Om du vill ange två begränsningar av samma typ skapar du två separata undantag.
Exempel
Följande sträng exkluderar endast "c:\documents\design.doc" om det är en fil och endast i åtkomstgenomsökningar:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
Följande sträng exkluderar endast "c:\documents\design.doc" om den genomsöks (vid åtkomst) på grund av att den används av en process med avbildningsnamnet "winword.exe":
c:\documents\design.doc\:{Process:"winword.exe"}
Sökvägar för filer och mappar kan innehålla jokertecken, som i följande exempel:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Sökvägen till processbilden kan innehålla jokertecken, som i följande exempel:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Begränsning av fil/mapp
Du kan begränsa undantag till att endast gälla om målet är en fil eller en mapp genom att göra avsikten specifik. Om målet är en fil men undantaget har angetts som en mapp gäller inte undantaget. Omvänt gäller undantaget om målet är en mapp men undantaget har angetts som en fil.
Standardbeteende för fil-/mappundantag
Om du inte anger några andra alternativ undantas filen/mappen från alla typer av genomsökningar och undantaget gäller oavsett om målet är en fil eller mapp. Mer information om hur du anpassar undantag för att endast gälla för en viss genomsökningstyp finns i Begränsning av skanningstyp.
Obs!
Jokertecken stöds i fil-/mappundantag.
Mappar
För att säkerställa att ett undantag endast gäller om målet är en mapp, inte en fil kan du använda begränsningen PathType:folder . Till exempel:
C:\documents\*\:{PathType:folder}
Filer
Om du vill se till att ett undantag endast gäller om målet är en fil, inte en mapp kan du använda begränsningen PathType: file.
Exempel:
C:\documents\*.mdb\:{PathType:file}
Begränsning för genomsökningstyp
Som standard gäller undantag för alla genomsökningstyper:
- resurs: en enskild fil eller mapp genomsöks på ett målriktat sätt (till exempel högerklicka, Genomsök)
- snabb: vanliga startplatser som används av skadlig kod, minne och vissa registernycklar
- full: innehåller snabbgenomsökningsplatser och fullständigt filsystem (alla filer och mappar)
För att undvika prestandaproblem kan du exkludera en mapp eller en uppsättning filer från att genomsökas av en viss genomsökningstyp. Du kan också definiera vilken genomsökningstyp som krävs för att ett undantag ska gälla.
Om du vill utesluta att en mapp endast genomsöks under en fullständig genomsökning anger du en begränsningstyp tillsammans med fil- eller mappundantag, som i följande exempel:
C:\documents\:{ScanType:full}
Om du vill utesluta att en mapp endast genomsöks under en snabbsökning anger du en begränsningstyp tillsammans med fil- eller mappundantag:
C:\program.exe\:{ScanType:quick}
Om du vill se till att det här undantaget endast gäller för en specifik fil och inte en mapp (c:\foo.exe kan vara en mapp) tillämpar du även begränsningen PathType:
C:\program.exe\:{ScanType:quick,PathType:file}
Sök igenom utlösarbegränsning
Som standard gäller grundläggande undantag för alla genomsökningsutlösare. Med ScanTrigger-begränsning kan du ange att undantaget endast ska gälla när genomsökningen initierades av en specifik händelse. på begäran (inklusive snabba, fullständiga och riktade genomsökningar), vid åtkomst eller från beteendeövervakning (inklusive minnesgenomsökningar).
- OnDemand: en genomsökning utlöstes av ett kommando eller en administratörsåtgärd. Kom ihåg att schemalagda snabb- och fullständiga genomsökningar också hör till den här kategorin.
- OnAccess: en fil eller mapp öppnas/skrivs/läses/ändras (betraktas vanligtvis som realtidsskydd)
- BM: en beteendeutlösare gör att beteendeövervakningen genomsöker en specifik fil
Om du vill undanta en fil eller mapp och dess innehåll från att genomsökas endast när filen genomsöks efter att den har använts, definierar du en begränsning för genomsökningsutlösaren, till exempel:
c:\documents\:{ScanTrigger:OnAccess}
Processbegränsning
Med den här begränsningen kan du definiera att ett undantag endast ska gälla när en fil eller mapp används av en specifik process. Ett vanligt scenario är när du vill undvika att exkludera processen eftersom det skulle leda till att Defender Antivirus ignorerar andra åtgärder i den processen. Jokertecken stöds i processnamnet/sökvägen.
Obs!
Användning av en stor mängd begränsningar för processundantag på en dator kan påverka prestanda negativt. Om ett undantag är begränsat till en viss process eller processer kan dessutom andra aktiva processer (till exempel indexering, säkerhetskopiering, uppdateringar) fortfarande utlösa filgenomsökningar.
Om du bara vill exkludera en fil eller mapp när den används av en specifik process skapar du ett normalt fil- eller mappundantag och lägger till processen för att begränsa undantaget till. Till exempel:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Så här konfigurerar du
När du har skapat önskade sammanhangsbaserade undantag kan du använda ditt befintliga hanteringsverktyg för att konfigurera fil- och mappundantag med hjälp av strängen som du skapade.
Se: Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för