Sdílet prostřednictvím


Vyloučení kontextových souborů a složek

Tento článek/část popisuje funkci vyloučení kontextových souborů a složek pro Microsoft Defender Antivirovou ochranu ve Windows. Díky této funkci můžete být konkrétnější, když definujete, v jakém kontextu by Microsoft Defender Antivirová ochrana neměla kontrolovat soubor nebo složku, a to použitím omezení.

Přehled

Vyloučení jsou primárně určena ke zmírnění dopadů na výkon. Jsou trestem snížené hodnoty ochrany. Tato omezení umožňují omezit toto omezení ochrany tím, že určíte okolnosti, za kterých se má vyloučení vztahovat. Kontextová vyloučení nejsou vhodná pro spolehlivé řešení falešně pozitivních výsledků. Pokud narazíte na falešně pozitivní výsledky, můžete soubory odeslat k analýze prostřednictvím portálu Microsoft Defender (vyžaduje se předplatné) nebo prostřednictvím Microsoft Bezpečnostní analýza webu. V případě dočasné metody potlačení zvažte vytvoření vlastního indikátoru povolení v Microsoft Defender for Endpoint.

Existují čtyři omezení, která můžete použít k omezení použitelnosti vyloučení:

  • Omezení typu cesty k souboru nebo složce Vyloučení můžete omezit tak, aby se použila jenom v případě, že je cílem soubor nebo složka, a to tak, že záměr specifikujete. Pokud je cílem soubor, ale vyloučení je určené jako složka, vyloučení se nepoužije. Pokud je naopak cílem složka, ale vyloučení je určeno jako soubor, použije se vyloučení.

  • Omezení typu kontroly. Umožňuje definovat požadovaný typ kontroly pro vyloučení, které se má použít. Chcete například vyloučit jenom určitou složku z úplných kontrol, ale ne z kontroly "prostředků" (cílené kontroly).

  • Omezení typu triggeru kontroly. Toto omezení můžete použít k určení, že vyloučení se má použít pouze v případě, že je kontrola inicializována konkrétní událostí, například:

    • na požádání;
    • o přístupu; nebo
    • pocházející z monitorování chování.
  • Omezení procesu. Umožňuje definovat, že vyloučení by se mělo použít pouze v případě, že k souboru nebo složce přistupuje určitý proces.

Konfigurace omezení

Omezení se obvykle uplatňují přidáním typu omezení do cesty pro vyloučení souboru nebo složky.

Omezení TypeName hodnota
Soubor nebo složka PathType file
folder
Typ kontroly ScanType quick
full
Trigger procházení ScanTrigger OnDemand
OnAccess
Monitorování chování
Proces Process <path>

Požadavky

Tato funkce vyžaduje Microsoft Defender Antivirovou ochranu.

  • Verze platformy: 4.18.2205.7 nebo novější
  • Verze motoru: 1.1.19300.2 nebo novější

Viz Microsoft Defender Antivirová ochrana a aktualizace produktů.

Syntax

Jako výchozí bod je možné, že už máte zavedená vyloučení, která chcete upřesnit. Pokud chcete vytvořit řetězec vyloučení, definujte nejprve cestu k souboru nebo složce, které chcete vyloučit, a pak přidejte název typu a přidruženou hodnotu, jak je znázorněno v následujícím příkladu.

<PATH>\:{TypeName:value,TypeName:value}

Mějte na paměti, že u všechtypů a hodnot se rozlišují malá a velká písmena.

Poznámka

Aby se omezení shodovaly, musí být splněné podmínky uvnitř {} . Pokud například zadáte dva triggery kontroly, nemůže to být pravda a vyloučení se nepoužije. Pokud chcete zadat dvě omezení stejného typu, vytvořte dvě samostatná vyloučení.

Příklady

Následující řetězec vyloučí c:\documents\design.doc jenom v případě, že se jedná o soubor a pouze v přístupových kontrolách:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Následující řetězec vyloučí c:\documents\design.doc jenom v případě, že je naskenovaný (při přístupu), protože k němu přistupuje proces s názvem winword.exeimage:

c:\documents\design.doc\:{Process:"winword.exe"}

Cesty k souborům a složkám můžou obsahovat zástupné cardy, jako v následujícím příkladu:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Cesta k obrázku procesu může obsahovat zástupné é kódy, jako v následujícím příkladu:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Omezení souborů nebo složek

Vyloučení můžete omezit tak, aby se použila pouze v případě, že je cílem soubor nebo složka, a to tak, že záměr specifikujete. Pokud je cílem soubor, ale vyloučení je určené jako složka, vyloučení se nepoužije. Pokud je naopak cílem složka, ale vyloučení je určeno jako soubor, použije se vyloučení.

Výchozí chování vyloučení souborů nebo složek

Pokud nezadáte žádné další možnosti, soubor nebo složka se vyloučí ze všech typů kontrol a vyloučení platí bez ohledu na to, jestli je cílem soubor nebo složka. Další informace o přizpůsobení vyloučení tak, aby se vztahovala pouze na konkrétní typ kontroly, najdete v tématu Omezení typu kontroly.

Poznámka

Zástupné cardy jsou podporovány ve vyloučení souborů a složek.

Složky

Chcete-li zajistit, aby vyloučení platilo pouze v případě, že cílem je složka, nikoli soubor, můžete použít omezení PathType:folder . Příklady:

C:\documents\*\:{PathType:folder}

Soubory

Pokud chcete zajistit, aby se vyloučení použilo pouze v případě, že je cílem soubor, nikoli složka, můžete použít omezení PathType: file. Příklady:

C:\documents\*.mdb\:{PathType:file}

Omezení typu kontroly

Ve výchozím nastavení se vyloučení vztahují na všechny typy kontrol:

  • prostředek: Jeden soubor nebo složka se kontroluje cíleným způsobem (například kliknutím pravým tlačítkem myši, skenováním).
  • quick: běžná spouštěcí umístění využívaná malwarem, pamětí a určitými klíči registru
  • full: zahrnuje umístění rychlé kontroly a kompletní systém souborů (všechny soubory a složky).

Pokud chcete zmírnit problémy s výkonem, můžete vyloučit složku nebo sadu souborů z kontroly určitým typem kontroly. Můžete také definovat požadovaný typ kontroly pro vyloučení, které se má použít.

Pokud chcete vyloučit složku z kontroly jenom během úplné kontroly, zadejte spolu s vyloučením souboru nebo složky typ omezení, jako v následujícím příkladu:

C:\documents\:{ScanType:full}

Pokud chcete vyloučit složku z kontroly jenom během rychlé kontroly, zadejte spolu s vyloučením souboru nebo složky typ omezení, jako v následujícím příkladu:

C:\program.exe\:{ScanType:quick}

Pokud chcete zajistit, aby se toto vyloučení vztahovalo pouze na konkrétní soubor, a ne na složku (c:\foo.exe může být složka), použijte PathType také omezení, jako v následujícím příkladu:

C:\program.exe\:{ScanType:quick,PathType:file}

Omezení triggeru kontroly

Ve výchozím nastavení se základní vyloučení vztahují na všechny triggery kontroly. Omezení ScanTrigger umožňuje určit, že vyloučení by mělo platit pouze v případě, že kontrola byla inicializována konkrétní událostí; na vyžádání (včetně rychlých, úplných a cílených kontrol), přístupu nebo pocházejících z monitorování chování (včetně kontrol paměti).

  • OnDemand: kontrola aktivovaná příkazem nebo akcí správce. Nezapomeňte, že do této kategorie spadají také naplánované rychlé a úplné kontroly.
  • OnAccess: Soubor nebo složka jsou otevřeny, zapsány, přečteny nebo upraveny (obvykle se považují za ochranu v reálném čase).
  • BM: Aktivační událost chování způsobí, že monitorování chování zkontroluje konkrétní soubor.

Pokud chcete vyloučit soubor nebo složku a jeho obsah z kontroly jenom v případě, že se soubor kontroluje po získání přístupu, definujte omezení triggeru kontroly, jako je například následující příklad:

c:\documents\:{ScanTrigger:OnAccess}

Omezení procesu

Toto omezení umožňuje definovat, že vyloučení by se mělo použít pouze v případě, že k souboru nebo složce přistupuje určitý proces. Běžným scénářem je, když se chcete vyhnout vyloučení procesu, protože by Antivirová ochrana v programu Defender Antivirová ochrana v programu Defender ignorovali ostatní operace daného procesu. Zástupné cardy se podporují v názvu nebo cestě procesu.

Poznámka

Použití velkého množství omezení vyloučení procesů na počítači může nepříznivě ovlivnit výkon. Kromě toho platí, že pokud je vyloučení omezeno na určitý proces nebo procesy, ostatní aktivní procesy (například indexování, zálohování, aktualizace) můžou kontroly souborů přesto aktivovat.

Pokud chcete vyloučit soubor nebo složku jenom v případě, že k němu přistupuje určitý proces, vytvořte normální vyloučení souborů nebo složek a přidejte proces, na který chcete vyloučení omezit. Příklady:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Postup konfigurace

Po vytvoření požadovaných kontextových vyloučení můžete pomocí existujícího nástroje pro správu nakonfigurovat vyloučení souborů a složek pomocí řetězce, který jste vytvořili.

Viz Konfigurace a ověření vyloučení pro Microsoft Defender antivirové kontroly.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.