Környezetfüggő fájl- és mappakizárások

Ez a cikk/szakasz a windowsos Microsoft Defender víruskereső környezetfüggő fájl- és mappakizárási képességét ismerteti. Ez a képesség lehetővé teszi, hogy pontosabban határozza meg, hogy melyik környezetben Microsoft Defender víruskeresőnek ne kelljen fájlokat vagy mappákat beolvasnia korlátozásokkal.

Áttekintés

A kizárások elsősorban a teljesítményre gyakorolt hatás mérséklésére szolgálnak. Csökkentett védelmi érték büntetését szabják ki. Ezek a korlátozások lehetővé teszik a védelem csökkentésének korlátozását olyan körülmények megadásával, amelyek mellett a kizárást alkalmazni kell. A környezetfüggő kizárások nem alkalmasak a téves riasztások megbízható kezelésére. Ha téves pozitív eredményt tapasztal, fájlokat küldhet elemzésre az Microsoft Defender portálon (előfizetés szükséges), vagy a Microsoft biztonsági intelligencia webhelyen keresztül. Ideiglenes letiltási módszer esetén érdemes lehet egyéni engedélyezési jelzőt létrehozni Végponthoz készült Microsoft Defender.

A kizárás alkalmazhatóságának korlátozására négy korlátozás alkalmazható:

• Fájl-/mappaelérési út típusának korlátozása. A kizárásokat korlátozhatja úgy, hogy csak akkor alkalmazzanak, ha a cél egy fájl vagy egy mappa, ha a szándékot határozza meg. Ha a cél egy fájl, de a kizárás mappaként van megadva, a kizárás nem érvényes. Ezzel szemben, ha a cél mappa, de a kizárás fájlként van megadva, a kizárás érvényes.

• Vizsgálattípus-korlátozás. Lehetővé teszi, hogy meghatározza a kizáráshoz szükséges vizsgálati típust. Például csak egy bizonyos mappát szeretne kizárni a Teljes vizsgálatokból, de az "erőforrás" vizsgálatból (célzott vizsgálat) nem.

• Beolvasási eseményindító típuskorlátozása. Ezzel a korlátozással megadhatja, hogy a kizárás csak akkor legyen érvényes, ha a vizsgálatot egy adott esemény kezdeményezi, például:

  • igény szerint;
  • hozzáféréssel; vagy
  • viselkedésmonitorozásból származnak.

• Folyamatkorlátozás. Lehetővé teszi annak meghatározását, hogy a kizárás csak akkor alkalmazandó, ha egy fájlhoz vagy mappához egy adott folyamat fér hozzá.

Korlátozások konfigurálása

A korlátozásokat általában úgy alkalmazza a rendszer, hogy hozzáadja a korlátozás típusát a fájl vagy mappa kizárási útvonalához.

Korlátozás	TypeName	érték
Fájl/mappa	PathType	file folder
Vizsgálat típusa	ScanType	quick full
Beolvasási eseményindító	ScanTrigger	OnDemand OnAccess Viselkedésfigyelés
Folyamat	Process	<path>

Követelmények

Ehhez a képességhez Microsoft Defender víruskereső szükséges.

• Platformverzió: 4.18.2205.7 vagy újabb
• Motorverzió: 1.1.19300.2 vagy újabb

Lásd: Microsoft Defender víruskereső biztonsági intelligenciája és termékfrissítései.

Szintaxis

Kiindulásként előfordulhat, hogy már vannak olyan kizárások, amelyeket pontosabban szeretne megadni. A kizárási sztring létrehozásához először adja meg a kizárni kívánt fájl vagy mappa elérési útját, majd adja hozzá a típusnevet és a társított értéket az alábbi példában látható módon.

<PATH>\:{TypeName:value,TypeName:value}

Ne feledje, hogy mindentípus és érték megkülönbözteti a kis- és nagybetűket.

Megjegyzés:

{} A korlátozásnak igaznak kell lennie a megadott feltételeknek. Ha például két vizsgálati eseményindítót ad meg, az nem lehet igaz, és a kizárás nem lesz érvényes. Két azonos típusú korlátozás megadásához hozzon létre két külön kizárást.

Példák

A következő sztring csak akkor zárja ki c:\documents\design.doc , ha fájlról van szó, és csak a hozzáférésen belüli vizsgálatokban:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

A következő sztring csak akkor zárja ki c:\documents\design.doc , ha beolvasták (hozzáféréskor), mert egy képnévvel winword.exerendelkező folyamat éri el:

c:\documents\design.doc\:{Process:"winword.exe"}

A fájl- és mappaelérési utak helyettesítő karaktereket tartalmazhatnak, ahogyan az alábbi példában látható:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

A folyamat képének elérési útja helyettesítő karaktereket tartalmazhat, ahogyan az alábbi példában is látható:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Fájl-/mappakorlátozás

A kizárásokat korlátozhatja úgy, hogy csak akkor alkalmazzanak, ha a cél egy fájl vagy mappa, ha a szándékot határozza meg. Ha a cél egy fájl, de a kizárás mappaként van megadva, a kizárás nem érvényes. Ezzel szemben, ha a cél mappa, de a kizárás fájlként van megadva, a kizárás érvényes.

Fájl-/mappakizárások alapértelmezett viselkedése

Ha nem ad meg más beállításokat, a fájl/mappa minden típusú vizsgálatból ki lesz zárva, és a kizárás attól függetlenül érvényes, hogy a cél egy fájl vagy mappa. A kizárások csak egy adott vizsgálati típusra való testreszabásáról a Vizsgálati típus korlátozása című témakörben talál további információt.

Megjegyzés:

A helyettesítő karaktereket fájl-/mappakizárások támogatják.

Mappák

Ha gondoskodni szeretne arról, hogy a kizárás csak akkor érvényes, ha a cél egy mappa, nem pedig fájl, használhatja a PathType:folder korlátozást. Például:

C:\documents\*\:{PathType:folder}

Fájlok

Ha meg szeretne győződni arról, hogy a kizárás csak akkor érvényes, ha a cél egy fájl, nem pedig mappa, használhatja a PathType: fájlkorlátozást. Például:

C:\documents\*.mdb\:{PathType:file}

Vizsgálati típus korlátozása

Alapértelmezés szerint a kizárások az összes vizsgálati típusra érvényesek:

• erőforrás: a rendszer egyetlen fájlt vagy mappát vizsgál meg célzottan (például jobb gombbal kattint, Beolvasás)
• gyors: a kártevők, a memória és bizonyos beállításkulcsok által használt gyakori indítási helyek
• full: gyorsvizsgálati helyeket és teljes fájlrendszert (minden fájlt és mappát) tartalmaz

A teljesítményproblémák mérséklése érdekében kizárhat egy mappát vagy fájlkészletet egy adott vizsgálati típus általi vizsgálatból. A kizáráshoz szükséges vizsgálati típust is megadhatja.

Ha egy mappát csak teljes vizsgálat során szeretne kizárni a vizsgálatból, adjon meg egy korlátozástípust a fájl- vagy mappakizárással együtt, ahogyan az alábbi példában látható:

C:\documents\:{ScanType:full}

Ha egy mappát csak egy gyorsvizsgálat során szeretne kizárni a vizsgálatból, adjon meg egy korlátozástípust a fájl- vagy mappakizárással együtt, ahogyan az alábbi példában látható:

C:\program.exe\:{ScanType:quick}

Ha meg szeretné győződni arról, hogy ez a kizárás csak egy adott fájlra vonatkozik, és nem egy mappára (c:\foo.exe mappa lehet), alkalmazza a PathType korlátozást is, ahogy az alábbi példában is látható:

C:\program.exe\:{ScanType:quick,PathType:file}

Beolvasási eseményindító korlátozása

Alapértelmezés szerint az alapvető kizárások az összes vizsgálati eseményindítóra vonatkoznak. A ScanTrigger korlátozása lehetővé teszi annak megadását, hogy a kizárás csak akkor alkalmazandó, ha a vizsgálatot egy adott esemény kezdeményezte; igény szerint (beleértve a gyors, teljes és célzott vizsgálatokat) a viselkedésfigyelésről (beleértve a memóriavizsgálatokat is).

• OnDemand: parancs- vagy rendszergazdai művelet által aktivált vizsgálat. Ne feledje, hogy az ütemezett gyors és teljes vizsgálatok is ebbe a kategóriába tartoznak.
• OnAccess: egy fájl vagy mappa megnyitása/írása/olvasása/módosítása (általában valós idejű védelemnek minősül)
• BM: egy viselkedési eseményindító hatására a viselkedésfigyelés egy adott fájlt vizsgál

Ha ki szeretne zárni egy fájlt vagy mappát és annak tartalmát, hogy csak akkor legyen beolvasva, amikor a fájlt a hozzáférés után beolvassa, határozzon meg egy vizsgálati eseményindító-korlátozást, például az alábbi példát:

c:\documents\:{ScanTrigger:OnAccess}

Folyamatkorlátozás

Ez a korlátozás lehetővé teszi annak meghatározását, hogy a kizárás csak akkor alkalmazandó, ha egy fájlhoz vagy mappához egy adott folyamat fér hozzá. Gyakori eset, ha el szeretné kerülni a folyamat kizárását, mivel ez az elkerülés miatt Defender víruskereső figyelmen kívül hagyja az adott folyamat más műveleteit. A folyamat neve/elérési útja támogatja a helyettesítő karaktereket.

Megjegyzés:

Ha nagy mennyiségű folyamatkizárási korlátozást használ egy gépen, az hátrányosan befolyásolhatja a teljesítményt. Emellett, ha egy kizárás egy bizonyos folyamatra vagy folyamatra korlátozódik, más aktív folyamatok (például indexelés, biztonsági mentés, frissítések) továbbra is elindíthatják a fájlvizsgálatokat.

Ha egy fájlt vagy mappát csak akkor szeretne kizárni, ha egy adott folyamat éri el, hozzon létre egy normál fájl- vagy mappakizárást, és adja hozzá a kizárást korlátozó folyamatot. Például:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Konfigurálás

A kívánt környezetfüggő kizárások létrehozása után a meglévő felügyeleti eszközzel konfigurálhatja a fájl- és mappakizárásokat a létrehozott sztringgel.

Lásd: Kizárások konfigurálása és érvényesítése Microsoft Defender víruskereső vizsgálatokhoz.

Lásd még

• Kizárások áttekintése
• Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.