Bağlamsal dosya ve klasör dışlamaları
Şunlar için geçerlidir:
İş için Microsoft Defender
Microsoft Defender Virüsten Koruma
Bireyler için Microsoft Defender
Bu makalede/bölümde Windows'ta Microsoft Defender Virüsten Koruma için bağlamsal dosya ve klasör dışlamaları özelliği açıklanmaktadır. Bu özellik, kısıtlama uygulayarak Virüsten Koruma Microsoft Defender hangi bağlam altında bir dosyayı veya klasörü taramaması gerektiğini tanımlarken daha belirgin olmanıza olanak tanır.
Genel bakış
Dışlamalar öncelikli olarak performans üzerindeki etkileri azaltmaya yöneliktir. Daha düşük koruma değeri cezasıyla gelirler. Bu kısıtlamalar, dışlamanın uygulanacağı koşulları belirterek bu koruma azaltmasını sınırlamanıza olanak sağlar. Bağlamsal dışlamalar, hatalı pozitif sonuçları güvenilir bir şekilde ele almak için uygun değildir. Hatalı bir pozitif sonuçla karşılaşırsanız, dosyaları analiz için Microsoft Defender XDR portalından (abonelik gereklidir) veya Microsoft Güvenlik Zekası web sitesinden gönderebilirsiniz. Geçici bir gizleme yöntemi için Uç Nokta için Microsoft Defender'de özel bir izin verme göstergesi oluşturmayı göz önünde bulundurun.
Bir dışlamanın uygulanabilirliğini sınırlamak için uygulayabileceğiniz dört kısıtlama vardır:
- Dosya/klasör yolu türü kısıtlaması. Dışlamaları yalnızca hedef bir dosya veya bir klasörse geçerli olacak şekilde kısıtlayabilir ve amacı belirli hale getirebilirsiniz. Hedef bir dosyaysa ancak dışlama bir klasör olarak belirtilmişse, geçerli olmaz. Buna karşılık, hedef klasörse ancak dışlama bir dosya olarak belirtilmişse, dışlama uygulanır.
- Tarama türü kısıtlaması. Bir dışlamanın uygulanması için gerekli tarama türünü tanımlamanızı sağlar. Örneğin, belirli bir klasörü yalnızca Tam taramalar'ın dışında tutmak istersiniz, ancak "kaynak" taramasından (hedefli tarama) hariç tutmak istemezsiniz.
- Tarama tetikleyici türü kısıtlaması. Dışlamanın yalnızca tarama belirli bir olay tarafından başlatıldığında uygulanacağını belirtmek için bu kısıtlamayı kullanabilirsiniz:
- isteğe bağlı
- erişimde
- veya davranışsal izlemeden kaynaklanır
- İşlem kısıtlaması. Dışlamanın yalnızca belirli bir işlem tarafından bir dosya veya klasöre erişildiğinde geçerli olması gerektiğini tanımlamanızı sağlar.
Kısıtlamaları yapılandırma
Kısıtlamalar genellikle dosya veya klasör dışlama yoluna kısıtlama türü eklenerek uygulanır.
| Kısıtlama | Typename | Değer |
|---|---|---|
| Dosya/klasör | PathType | Dosya Klasör |
| Tarama türü | ScanType | Hızlı Tam |
| Tarama tetikleyicisi | ScanTrigger | Ondemand OnAccess BM |
| Işlem | Işlem | "<image_path>" |
Gereksinimler
Bu özellik Microsoft Defender Virüsten Koruma gerektirir:
- Platform: 4.18.2205.7 veya üzeri
- Motor: 1.1.19300.2 veya üzeri
Sözdizimi
Başlangıç noktası olarak, daha belirgin hale getirmek istediğiniz dışlamalar zaten mevcut olabilir. Dışlama dizesini oluşturmak için, önce dışlanacak dosya veya klasörün yolunu tanımlayın, ardından aşağıdaki örnekte gösterildiği gibi tür adını ve ilişkili değeri ekleyin.
<PATH>\:{TypeName:value,TypeName:value}
Tümtürlerin ve değerlerin büyük/küçük harfe duyarlı olduğunu unutmayın.
Not
Kısıtlamanın eşleşmesi için içindeki {} koşullar DOĞRU OLMALIDIR. Örneğin, iki tarama tetikleyicisi belirtirseniz bu doğru olamaz ve dışlama uygulanmaz. Aynı türde iki kısıtlama belirtmek için iki ayrı dışlama oluşturun.
Örnekler
Aşağıdaki dize yalnızca bir dosyaysa ve yalnızca erişim içi taramalarda "c:\documents\design.doc" hariç tutar:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
Aşağıdaki dize, yalnızca "winword.exe" görüntü adına sahip bir işlem tarafından erişildiği için taranmışsa (erişimde) "c:\documents\design.doc" öğesini dışlar:
c:\documents\design.doc\:{Process:"winword.exe"}
Dosya ve klasör yolları, aşağıdaki örnekte olduğu gibi joker karakterler içerebilir:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
İşlem görüntüsü yolu, aşağıdaki örnekte olduğu gibi joker karakterler içerebilir:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Dosya/klasör kısıtlaması
Dışlamaları yalnızca hedef bir dosya veya klasörse geçerli olacak şekilde kısıtlayabilir ve amacı belirli hale getirebilirsiniz. Hedef bir dosyaysa ancak dışlama bir klasör olarak belirtilmişse, dışlama uygulanmaz. Buna karşılık, hedef klasörse ancak dışlama bir dosya olarak belirtilmişse, dışlama uygulanır.
Dosya/klasör dışlamaları varsayılan davranışı
Başka bir seçenek belirtmezseniz, dosya/klasör tüm tarama türlerinin dışında tutulur ve hedef bir dosya veya klasör olmasına bakılmaksızın dışlama uygulanır. Dışlamaları yalnızca belirli bir tarama türüne uygulanacak şekilde özelleştirme hakkında daha fazla bilgi için bkz . Tarama türü kısıtlaması.
Not
Dosya/klasör dışlamalarında joker karakterler desteklenir.
Klasörler
Dışlamanın yalnızca hedef bir dosya değil bir klasörse geçerli olduğundan emin olmak için PathType:folder kısıtlamasını kullanabilirsiniz. Örneğin:
C:\documents\*\:{PathType:folder}
Dosyalar
Dışlamanın yalnızca hedef bir dosyaysa geçerli olduğundan emin olmak için PathType: dosya kısıtlamasını kullanabilirsiniz.
Örneğin:
C:\documents\*.mdb\:{PathType:file}
Tarama türü kısıtlaması
Varsayılan olarak, dışlamalar tüm tarama türleri için geçerlidir:
- kaynak: Tek bir dosya veya klasör hedefli bir şekilde taranır (örneğin, sağ tıklama, Tarama)
- hızlı: kötü amaçlı yazılım, bellek ve belirli kayıt defteri anahtarları tarafından kullanılan yaygın başlangıç konumları
- full: Hızlı tarama konumlarını ve tam dosya sistemini (tüm dosya ve klasörler) içerir
Performans sorunlarını azaltmak için, belirli bir tarama türü tarafından taranan bir klasörü veya dosya kümesini dışlayabilirsiniz. Bir dışlamanın uygulanması için gerekli tarama türünü de tanımlayabilirsiniz.
Bir klasörü yalnızca tam tarama sırasında taranmasının dışında tutmak için, aşağıdaki örnekte olduğu gibi dosya veya klasör dışlaması ile birlikte bir kısıtlama türü belirtin:
C:\documents\:{ScanType:full}
Bir klasörün yalnızca hızlı tarama sırasında taranmasını dışlamak için, dosya veya klasör dışlaması ile birlikte bir kısıtlama türü belirtin:
C:\program.exe\:{ScanType:quick}
Bu dışlamanın bir klasör için değil yalnızca belirli bir dosya için geçerli olduğundan emin olmak istiyorsanız (c:\foo.exe bir klasör olabilir), PathType kısıtlamasını da uygulayın:
C:\program.exe\:{ScanType:quick,PathType:file}
Tarama tetikleyicisi kısıtlaması
Varsayılan olarak, temel dışlamalar tüm tarama tetikleyicileri için geçerlidir. ScanTrigger kısıtlaması, dışlamanın yalnızca tarama belirli bir olay tarafından başlatıldığında geçerli olmasını belirtmenizi sağlar; isteğe bağlı (hızlı, tam ve hedefli taramalar dahil), erişimde veya davranışsal izlemeden (bellek taramaları dahil) kaynaklanır.
- OnDemand: Bir komut veya yönetici eylemi tarafından bir tarama tetiklendi. Zamanlanmış hızlı ve tam taramaların da bu kategoriye girildiğini unutmayın.
- OnAccess: Bir dosya veya klasör açılır/yazılır/okunur/değiştirilir (genellikle gerçek zamanlı koruma olarak kabul edilir)
- BM: Davranış tetikleyicisi, davranışsal izlemenin belirli bir dosyayı taramasına neden olur
Bir dosya veya klasörü ve içeriğini yalnızca dosyaya erişildikten sonra taranırken taranmasını dışlamak için, aşağıdaki örnek gibi bir tarama tetikleyicisi kısıtlaması tanımlayın:
c:\documents\:{ScanTrigger:OnAccess}
İşlem kısıtlaması
Bu kısıtlama, dışlamanın yalnızca belirli bir işlem tarafından bir dosya veya klasöre erişilirken geçerli olması gerektiğini tanımlamanızı sağlar. Yaygın bir senaryo, bu önlemenin Defender Virüsten Koruma'nın bu işlemdeki diğer işlemleri yoksaymasına neden olacağından, işlemi dışlamaktan kaçınmak istemenizdir. İşlem adında/yolunda joker karakterler desteklenir.
Not
Makinede büyük miktarda işlem dışlama kısıtlaması kullanılması performansı olumsuz etkileyebilir. Ayrıca, bir dışlama belirli bir işlem veya işlemle sınırlıysa, diğer etkin işlemler (dizin oluşturma, yedekleme, güncelleştirmeler gibi) dosya taramalarını tetikleyebilir.
Bir dosya veya klasörü yalnızca belirli bir işlem tarafından erişildiğinde dışlamak için, normal bir dosya veya klasör dışlaması oluşturun ve dışlamanın kısıtlanması için işlemi ekleyin. Örneğin:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Yapılandırma
İstediğiniz bağlamsal dışlamaları oluşturduktan sonra, oluşturduğunuz dizeyi kullanarak dosya ve klasör dışlamalarını yapılandırmak için mevcut yönetim aracınızı kullanabilirsiniz.
Bkz. Microsoft Defender Virüsten Koruma taramaları için dışlamaları yapılandırma ve doğrulama
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin