Tilannekohtaiset tiedosto- ja kansiopoikkeukset

Koskee seuraavia:

Tässä artikkelissa/osiossa kuvataan windowsin Microsoft Defender virustentorjuntaohjelman tilannekohtainen tiedosto- ja kansiopoikkeusominaisuus. Tämän ominaisuuden avulla voit määrittää tarkemmin, missä kontekstissa Microsoft Defender virustentorjuntaohjelman ei tulisi tarkistaa tiedostoa tai kansiota, käyttämällä rajoituksia.

Yleiskatsaus

Poissulkemisten pääasiallinen tarkoitus on lieventää suorituskykyyn aiheutuvia vaikutuksia. Niistä seuraa pienempi suoja-arvon alentaminen. Näiden rajoitusten avulla voit rajoittaa tätä suojauksen vähentämistä määrittämällä olosuhteet, joissa poissulkemista sovelletaan. Kontekstuaaliset poikkeukset eivät sovellu väärien positiivisten käsittelemiseen luotettavalla tavalla. Jos havaitset false-positiivisen tuloksen, voit lähettää tiedostoja analysoitaville Microsoft Defender XDR portaalin kautta (tilaus vaaditaan) tai Microsoftin suojaustiedustelu sivuston kautta. Jos kyseessä on tilapäinen estomenetelmä, harkitse mukautetun sallimisilmaisimen luomista Microsoft Defender for Endpoint.

Poikkeuksen soveltuvuuden rajoittamiseksi voidaan soveltaa neljää rajoitusta:

  • Tiedosto- tai kansiopolkutyyppirajoitus. Voit rajoittaa poissulkemiset koskemaan vain, jos kohde on tiedosto tai kansio, määrittämällä tarkoituksen erityiseksi. Jos kohde on tiedosto, mutta poissulkeminen on määritetty kansioksi, sitä ei sovelleta. Jos taas kohde on kansio, mutta poissulkeminen on määritetty tiedostoksi, poikkeusta sovelletaan.
  • Skannaustyyppirajoitus. Mahdollistaa poikkeuksen käyttöön sulkemisen pakollisen tarkistustyypin määrittämisen. Haluat esimerkiksi jättää pois vain tietyn kansion täydestä tarkistuksesta, mutta et resurssiskannauksesta (kohdistettu tarkistus).
  • Skannauskäynnistintyyppirajoitus. Tämän rajoituksen avulla voit määrittää, että poissulkemisen tulisi olla voimassa vain, kun tietty tapahtuma käynnisti tarkistuksen:
    • pyydettäessä
    • käyttöoikeuden aikana
    • tai peräisin toiminnan valvonnasta
  • Prosessirajoitus. Tämän avulla voit määrittää, että poikkeusta käytetään vain, kun tietty prosessi käyttää tiedostoa tai kansiota.

Rajoitusten määrittäminen

Rajoituksia sovelletaan yleensä lisäämällä rajoitustyyppi tiedoston tai kansion poissulkemispolkuun.

Rajoitus Typename Arvo
Tiedosto tai kansio Polun tyyppi Tiedosto
Kansio
Skannaustyyppi ScanType Nopea
Koko
Skannauskäynnistin ScanTrigger Ondemand
OnAccess
BM
Prosessi Prosessi "<image_path>"

Vaatimukset

Tämä ominaisuus edellyttää Microsoft Defender virustentorjuntaa:

  • Käyttöympäristö: 4.18.2205.7 tai uudempi
  • Moduuli: 1.1.19300.2 tai uudempi

Syntaksi

Lähtökohtana saattaa jo olla poissulkemisia, joita haluat tarkentaa. Jos haluat muodostaa poissulkemismerkkijonon, määritä ensin polku tiedostoon tai kansioon, joka jätetään pois, ja lisää sitten tyypin nimi ja liittyvä arvo seuraavassa esimerkissä esitetyllä tavalla.

<PATH>\:{TypeName:value,TypeName:value}

Muista, että kaikissatyypeissä ja arvoissa kirjainkoko on merkitsevä.

Huomautus

{} Rajoituksen on vastattava ehtoja, jotta rajoitus vastaa toisiaan. Jos määrität esimerkiksi kaksi tarkistuskäynnistintä, tämä ei voi olla tosi eikä poissulkemista sovelleta. Jos haluat määrittää kaksi samaa tyyppiä olevaa rajoitusta, luo kaksi erillistä poikkeusta.

Esimerkkejä

Seuraava merkkijono jättää pois "c:\documents\design.doc" vain, jos se on tiedosto ja vain käyttöoikeuksien tarkistuksessa:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Seuraava merkkijono jättää pois "c:\documents\design.doc" vain, jos se on skannattu (käytössä) sen vuoksi, että sitä käytetään prosessissa, jonka kuvan nimi on "winword.exe":

c:\documents\design.doc\:{Process:"winword.exe"}

Tiedosto- ja kansiopolut voivat sisältää yleismerkkejä, kuten seuraavassa esimerkissä:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Prosessin kuvan polku voi sisältää yleismerkkejä, kuten seuraavassa esimerkissä:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Tiedosto- tai kansiorajoitus

Voit rajoittaa poissulkemiset koskemaan vain, jos kohde on tiedosto tai kansio, tekemällä aikomuksista tarkkoja. Jos kohde on tiedosto, mutta poissulkeminen on määritetty kansioksi, poissulkemista ei sovelleta. Jos taas kohde on kansio, mutta poissulkeminen on määritetty tiedostoksi, poikkeusta sovelletaan.

Tiedoston tai kansion oletustoiminta ei ole käytössä

Jos et määritä muita asetuksia, tiedosto tai kansio jätetään pois kaikentyyppisistä tarkistuksista, ja poissulkeminen pätee riippumatta siitä, onko kohde tiedosto vai kansio. Lisätietoja poissulkemisten mukauttamisesta vain tiettyyn tarkistustyyppiin on kohdassa Tarkistuksen tyyppirajoitus.

Huomautus

Yleismerkkejä tuetaan tiedosto-/kansiopoikkeamisissa.

Kansiot

Voit varmistaa, että poissulkemista käytetään vain, jos kohde on kansio, ei tiedostoa, käyttämällä PathType:folder-rajoitusta . Esimerkki:

C:\documents\*\:{PathType:folder}

Tiedostot

Voit varmistaa, että poissulkemista käytetään vain, jos kohde on tiedosto, ei kansiota, jota voit käyttää PathType: -tiedostorajoituksen avulla.

Esimerkki:

C:\documents\*.mdb\:{PathType:file}

Skannaustyyppirajoitus

Oletusarvoisesti poikkeukset koskevat kaikkia tarkistustyyppejä:

  • resource: yksittäinen tiedosto tai kansio skannataan kohdennetulla tavalla (esimerkiksi napsauttamalla hiiren kakkospainiketta, skannaamalla)
  • quick: haittaohjelmien, muistin ja tiettyjen rekisteriavainten käyttämät yleiset käynnistyssijainnit
  • full: sisältää nopean tarkistuksen sijainnit ja täydellisen tiedostojärjestelmän (kaikki tiedostot ja kansiot)

Suorituskykyongelmien lieventämiseksi voit sulkea pois tietyn tarkistustyypin skannaamasta kansiota tai tiedostojoukkoa. Voit myös määrittää vaadittavan skannaustyypin, jotta poissulkeminen voidaan ottaa käyttöön.

Jos haluat jättää pois kansion skannaamisen vain täyden tarkistuksen aikana, määritä rajoitustyyppi yhdessä tiedoston tai kansiopoikkeuksen kanssa, kuten seuraavassa esimerkissä:

C:\documents\:{ScanType:full}

Jos haluat jättää pois kansion skannaamisen vain pikatarkistusta varten, määritä rajoitustyyppi yhdessä tiedoston tai kansion poissulkemisen kanssa:

C:\program.exe\:{ScanType:quick}

Jos haluat varmistaa, että tämä poikkeus koskee vain tiettyä tiedostoa eikä kansiota (c:\foo.exe voisi olla kansio), ota myös PathType-rajoitus käyttöön:

C:\program.exe\:{ScanType:quick,PathType:file}

Skannauskäynnistinrajoitus

Oletusarvoisesti peruspoikkeukset koskevat kaikkia tarkistuksen käynnistimiä. ScanTrigger-rajoituksen avulla voit määrittää, että poissulkemisen tulisi olla käytössä vain, kun tietty tapahtuma aloitti tarkistuksen. tarvittaessa (mukaan lukien nopeat, täydet ja kohdistetut tarkistukset), käytön aikana tai toiminnan valvonnasta (mukaan lukien muistitarkistuksia).

  • OnDemand: komento tai järjestelmänvalvojatoiminto käynnisti tarkistuksen. Muista, että ajoitetut nopeat ja täydet tarkistukset kuuluvat myös tähän luokkaan.
  • OnAccess: Tiedosto tai kansio avataan, kirjoitetaan, luetaan/muokataan (yleensä reaaliaikainen suojaus)
  • BM: käyttäytymisen käynnistin saa toiminnan seurannan tarkistamaan tietyn tiedoston

Jos haluat sulkea pois tiedoston tai kansion ja sen sisällön tarkistuksen vain, kun tiedostoa skannataan käytön jälkeen, määritä tarkistuksen käynnistinrajoitus, kuten seuraava esimerkki:

c:\documents\:{ScanTrigger:OnAccess}

Prosessirajoitus

Tämän rajoituksen avulla voit määrittää, että poissulkemista käytetään vain, kun tietty prosessi käyttää tiedostoa tai kansiota. Yleinen skenaario on, kun haluat välttää prosessin poissulkemisen, koska tämän välttäminen saisi Defenderin virustentorjuntaohjelman ohittamaan muut toiminnot kyseisessä prosessissa. Yleismerkkejä tuetaan prosessin nimessä/polussa.

Huomautus

Suuren prosessin poissulkemisrajoitusten käyttö laitteessa voi vaikuttaa haitallisesti suorituskykyyn. Lisäksi jos poissulkeminen on rajoitettu tiettyyn prosessiin tai prosesseihin, muut aktiiviset prosessit (kuten indeksointi, varmuuskopiointi, päivitykset) voivat silti käynnistää tiedostojen tarkistukset.

Jos haluat sulkea pois tiedoston tai kansion vain tietyssä prosessissa, luo normaali tiedosto- tai kansiopoikkeama ja lisää prosessi, joka rajoittaa poissulkemisen. Esimerkki:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Määrittäminen

Kun olet luonut haluamasi kontekstipoikkeukset, voit käyttää olemassa olevaa hallintatyökalua määrittämään tiedostojen ja kansioiden poissulkemiset käyttämällä luomaasi merkkijonoa.

Katso: Microsoft Defender virustentorjuntatarkistusten poissulkemisten määrittäminen ja vahvistaminen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.