Exclusions de fichiers et de dossiers contextuels

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1

• Microsoft Defender pour point de terminaison Plan 2

• Microsoft Defender pour les PME

• Antivirus Microsoft Defender

• Microsoft Defender pour les particuliers

Cet article/section décrit la fonctionnalité contextuelle d’exclusions de fichiers et de dossiers pour Microsoft Defender Antivirus sur Windows. Cette fonctionnalité vous permet d’être plus spécifique lorsque vous définissez le contexte dans lequel Microsoft Defender Antivirus ne doit pas analyser un fichier ou un dossier, en appliquant des restrictions.

Vue d’ensemble

Les exclusions sont principalement destinées à atténuer les effets sur les performances. Ils sont passibles d’une valeur de protection réduite. Ces restrictions vous permettent de limiter cette réduction de protection en spécifiant les circonstances dans lesquelles l’exclusion doit s’appliquer. Les exclusions contextuelles ne conviennent pas pour traiter les faux positifs de manière fiable. Si vous rencontrez un faux positif, vous pouvez envoyer des fichiers à des fins d’analyse via le portail Microsoft Defender XDR (abonnement obligatoire) ou via le site web Renseignement de sécurité Microsoft. Pour une méthode de suppression temporaire, envisagez de créer un indicateur d’autorisation personnalisé dans Microsoft Defender pour point de terminaison.

Vous pouvez appliquer quatre restrictions pour limiter l’applicabilité d’une exclusion :

• Restriction du type de chemin d’accès au fichier/dossier. Vous pouvez limiter les exclusions à s’appliquer uniquement si la cible est un fichier ou un dossier en rendant l’intention spécifique. Si la cible est un fichier mais que l’exclusion est spécifiée comme étant un dossier, elle ne s’applique pas. À l’inverse, si la cible est un dossier, mais que l’exclusion est spécifiée comme étant un fichier, l’exclusion s’applique.
• Restriction du type d’analyse. Vous permet de définir le type d’analyse requis pour qu’une exclusion s’applique. Par exemple, vous souhaitez uniquement exclure un dossier spécifique des analyses complètes, mais pas d’une analyse « ressource » (analyse ciblée).
• Restriction du type de déclencheur d’analyse. Vous pouvez utiliser cette restriction pour spécifier que l’exclusion ne doit s’appliquer que lorsque l’analyse a été lancée par un événement spécifique :
  • à la demande
  • sur l’accès
  • ou provenant de la surveillance comportementale
• Restriction de processus. Vous permet de définir qu’une exclusion doit s’appliquer uniquement lorsqu’un fichier ou un dossier est accessible par un processus spécifique.

Configuration des restrictions

Les restrictions sont généralement appliquées en ajoutant le type de restriction au chemin d’exclusion de fichier ou de dossier.

Restriction	TypeName	valeur
Fichier/dossier	PathType	file folder
Type d’analyse	ScanType	Rapide Plein
Déclencheur d’analyse	ScanTrigger	Ondemand OnAccess BM
Processus	Processus	« <image_path> »

Conditions requises

Cette fonctionnalité nécessite Microsoft Defender Antivirus :

• Plateforme : 4.18.2205.7 ou version ultérieure
• Moteur : 1.1.19300.2 ou version ultérieure

Syntaxe

Comme point de départ, vous avez peut-être déjà des exclusions en place que vous souhaitez rendre plus précises. Pour former la chaîne d’exclusion, définissez d’abord le chemin du fichier ou du dossier à exclure, puis ajoutez le nom de type et la valeur associée, comme indiqué dans l’exemple suivant.

<PATH>\:{TypeName:value,TypeName:value}

N’oubliez pas que tous lestypes et valeurs respectent la casse.

Remarque

Les conditions à l’intérieur {} doivent être vraies pour que la restriction corresponde. Par exemple, si vous spécifiez deux déclencheurs d’analyse, cela ne peut pas être vrai et l’exclusion ne s’applique pas. Pour spécifier deux restrictions du même type, créez deux exclusions distinctes.

Exemples

La chaîne suivante exclut « c:\documents\design.doc » uniquement s’il s’agit d’un fichier et uniquement dans les analyses à l’accès :

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

La chaîne suivante exclut « c:\documents\design.doc » uniquement si elle est analysée (sur accès) en raison d’un accès par un processus portant le nom d’image « winword.exe » :

c:\documents\design.doc\:{Process:"winword.exe"}

Les chemins d’accès aux fichiers et aux dossiers peuvent contenir des caractères génériques, comme dans l’exemple suivant :

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Le chemin d’accès de l’image de processus peut contenir des caractères génériques, comme dans l’exemple suivant :

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Restriction de fichier/dossier

Vous pouvez limiter les exclusions à s’appliquer uniquement si la cible est un fichier ou un dossier en rendant l’intention spécifique. Si la cible est un fichier, mais que l’exclusion est spécifiée comme étant un dossier, l’exclusion ne s’applique pas. À l’inverse, si la cible est un dossier, mais que l’exclusion est spécifiée comme étant un fichier, l’exclusion s’applique.

Comportement par défaut des exclusions de fichiers/dossiers

Si vous ne spécifiez aucune autre option, le fichier/dossier est exclu de tous les types d’analyses , et l’exclusion s’applique que la cible soit un fichier ou un dossier. Pour plus d’informations sur la personnalisation des exclusions à appliquer uniquement à un type d’analyse spécifique, consultez Restriction de type d’analyse.

Remarque

Les caractères génériques sont pris en charge dans les exclusions de fichiers/dossiers.

Folders

Pour vous assurer qu’une exclusion s’applique uniquement si la cible est un dossier, et non un fichier, vous pouvez utiliser la restriction PathType :folder . Par exemple :

C:\documents\*\:{PathType:folder}

Fichiers

Pour vous assurer qu’une exclusion s’applique uniquement si la cible est un fichier, et non un dossier, vous pouvez utiliser la restriction de fichier PathType : .

Exemple :

C:\documents\*.mdb\:{PathType:file}

Restriction du type d’analyse

Par défaut, les exclusions s’appliquent à tous les types d’analyse :

• ressource : un seul fichier ou dossier est analysé de manière ciblée (par exemple, clic droit, analyse)
• quick : emplacements de démarrage courants utilisés par les programmes malveillants, la mémoire et certaines clés de Registre
• full : inclut des emplacements d’analyse rapides et un système de fichiers complet (tous les fichiers et dossiers)

Pour atténuer les problèmes de performances, vous pouvez exclure un dossier ou un ensemble de fichiers de l’analyse par un type d’analyse spécifique. Vous pouvez également définir le type d’analyse requis pour qu’une exclusion s’applique.

Pour exclure un dossier de l’analyse uniquement pendant une analyse complète, spécifiez un type de restriction avec l’exclusion de fichier ou de dossier, comme dans l’exemple suivant :

C:\documents\:{ScanType:full}

Pour exclure un dossier de l’analyse uniquement pendant une analyse rapide, spécifiez un type de restriction avec l’exclusion de fichier ou de dossier :

C:\program.exe\:{ScanType:quick}

Si vous souhaitez vous assurer que cette exclusion s’applique uniquement à un fichier spécifique et non à un dossier (c:\foo.exe peut être un dossier), appliquez également la restriction PathType :

C:\program.exe\:{ScanType:quick,PathType:file}

Restriction du déclencheur d’analyse

Par défaut, les exclusions de base s’appliquent à tous les déclencheurs d’analyse. La restriction ScanTrigger vous permet de spécifier que l’exclusion ne doit s’appliquer que lorsque l’analyse a été lancée par un événement spécifique ; à la demande (y compris les analyses rapides, complètes et ciblées), sur accès ou provenant de la surveillance comportementale (y compris les analyses de mémoire).

• OnDemand : une analyse a été déclenchée par une commande ou une action de l’administrateur. N’oubliez pas que les analyses rapides et complètes planifiées relèvent également de cette catégorie.
• OnAccess : un fichier ou un dossier est ouvert/écrit/en lecture/modifié (généralement considéré comme une protection en temps réel)
• BM : un déclencheur comportemental provoque l’analyse comportementale d’analyser un fichier spécifique

Pour exclure un fichier ou un dossier et son contenu de l’analyse uniquement lorsque le fichier est analysé après l’accès, définissez une restriction de déclencheur d’analyse telle que l’exemple suivant :

c:\documents\:{ScanTrigger:OnAccess}

Restriction de processus

Cette restriction vous permet de définir qu’une exclusion doit s’appliquer uniquement lorsqu’un fichier ou un dossier est accessible par un processus spécifique. Un scénario courant consiste à éviter d’exclure le processus, car cette évitement amène l’Antivirus Defender à ignorer les autres opérations effectuées par ce processus. Les caractères génériques sont pris en charge dans le nom/le chemin d’accès du processus.

Remarque

L’utilisation d’une grande quantité de restrictions d’exclusion de processus sur une machine peut nuire aux performances. En outre, si une exclusion est limitée à un ou plusieurs processus, d’autres processus actifs (tels que l’indexation, la sauvegarde, les mises à jour) peuvent toujours déclencher des analyses de fichiers.

Pour exclure un fichier ou un dossier uniquement lorsqu’un processus spécifique y accède, créez une exclusion normale de fichier ou de dossier et ajoutez le processus pour limiter l’exclusion. Par exemple :

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Procédure de configuration

Après avoir construit les exclusions contextuelles souhaitées, vous pouvez utiliser votre outil de gestion existant pour configurer des exclusions de fichiers et de dossiers à l’aide de la chaîne que vous avez créée.

Consultez : Configurer et valider des exclusions pour les analyses antivirus Microsoft Defender

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.