Környezetfüggő fájl- és mappakizárások
Érintett szolgáltatás:
Microsoft Defender Vállalati verzió
Microsoft Defender víruskereső
egyéni Microsoft Defender
Ez a cikk/szakasz a windowsos Microsoft Defender víruskereső környezetfüggő fájl- és mappakizárási képességét ismerteti. Ez a képesség lehetővé teszi, hogy pontosabban határozza meg, hogy melyik környezetben Microsoft Defender víruskeresőnek ne kelljen fájlokat vagy mappákat beolvasnia korlátozásokkal.
Áttekintés
A kizárások elsősorban a teljesítményre gyakorolt hatás mérséklésére szolgálnak. Csökkentett védelmi érték büntetését szabják ki. Ezek a korlátozások lehetővé teszik a védelem csökkentésének korlátozását olyan körülmények megadásával, amelyek mellett a kizárást alkalmazni kell. A környezetfüggő kizárások nem alkalmasak a téves riasztások megbízható kezelésére. Ha téves pozitív eredményt tapasztal, fájlokat küldhet elemzésre a Microsoft Defender XDR portálon (előfizetés szükséges) vagy a Microsoft biztonsági intelligencia webhelyen keresztül. Ideiglenes letiltási módszer esetén érdemes lehet egyéni engedélyezési jelzőt létrehozni Végponthoz készült Microsoft Defender.
A kizárás alkalmazhatóságának korlátozására négy korlátozás alkalmazható:
- Fájl-/mappaelérési út típusának korlátozása. A kizárásokat korlátozhatja úgy, hogy csak akkor alkalmazzanak, ha a cél egy fájl vagy egy mappa, ha a szándékot határozza meg. Ha a cél egy fájl, de a kizárás mappaként van megadva, az nem lesz alkalmazva. Ezzel szemben, ha a cél mappa, de a kizárás fájlként van megadva, a kizárás érvényes lesz.
- Vizsgálattípus-korlátozás. Lehetővé teszi, hogy meghatározza a kizáráshoz szükséges vizsgálati típust. Például csak egy bizonyos mappát szeretne kizárni a Teljes vizsgálatokból, de az "erőforrás" vizsgálatból (célzott vizsgálat) nem.
- Beolvasási eseményindító típuskorlátozása. Ezzel a korlátozással megadhatja, hogy a kizárás csak akkor legyen érvényes, ha a vizsgálatot egy adott esemény kezdeményezte:
- igény szerint
- a hozzáférésről
- vagy a viselkedésfigyelésből származik
- Folyamatkorlátozás. Lehetővé teszi annak meghatározását, hogy a kizárás csak akkor alkalmazandó, ha egy fájlhoz vagy mappához egy adott folyamat fér hozzá.
Korlátozások konfigurálása
A korlátozásokat általában úgy alkalmazza a rendszer, hogy hozzáadja a korlátozás típusát a fájl vagy mappa kizárási útvonalához.
| Korlátozás | TypeName | Érték |
|---|---|---|
| Fájl/mappa | Elérési út típusa | Fájl Mappa |
| Vizsgálat típusa | ScanType | Gyors Teljes |
| Beolvasási eseményindító | ScanTrigger | Ondemand OnAccess BM |
| Folyamat | Folyamat | "<image_path>" |
Követelmények
Ehhez a képességhez Microsoft Defender víruskereső szükséges:
- Platform: 4.18.2205.7 vagy újabb
- Motor: 1.1.19300.2 vagy újabb
Szintaxis
Kiindulásként előfordulhat, hogy már vannak olyan kizárások, amelyeket konkrétabbá szeretne tenni. A kizárási sztring létrehozásához először adja meg a kizárni kívánt fájl vagy mappa elérési útját, majd adja hozzá a típusnevet és a társított értéket az alábbi példában látható módon.
<PATH>\:{TypeName:value,TypeName:value}
Ne feledje, hogy mindentípus és érték megkülönbözteti a kis- és nagybetűket.
Megjegyzés:
{} A korlátozásnak igaznak kell lennie a megadott feltételeknek. Ha például két vizsgálati eseményindítót ad meg, az nem lehet igaz, és a kizárás nem lesz érvényes. Két azonos típusú korlátozás megadásához hozzon létre két külön kizárást.
Példák
A következő sztring csak akkor zárja ki a "c:\documents\design.doc" karakterláncot, ha az fájl, és csak a hozzáférésen belüli vizsgálatokban:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
A következő sztring csak akkor zárja ki a "c:\documents\design.doc" kifejezést, ha beolvasták (hozzáféréskor), mert egy "winword.exe" nevű folyamat hozzáfért hozzá:
c:\documents\design.doc\:{Process:"winword.exe"}
A fájl- és mappaelérési utak helyettesítő karaktereket tartalmazhatnak, ahogyan az alábbi példában is látható:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
A folyamatkép elérési útja helyettesítő karaktereket tartalmazhat, ahogyan az alábbi példában látható:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Fájl-/mappakorlátozás
A kizárásokat korlátozhatja úgy, hogy csak akkor alkalmazzanak, ha a cél egy fájl vagy mappa, ha a szándékot határozza meg. Ha a cél egy fájl, de a kizárás mappaként van megadva, a kizárás nem lesz érvényes. Ezzel szemben, ha a cél mappa, de a kizárás fájlként van megadva, a kizárás érvényes lesz.
Fájl-/mappakizárások alapértelmezett viselkedése
Ha nem ad meg más beállításokat, a fájl/mappa minden típusú vizsgálatból ki lesz zárva, és a kizárás attól függetlenül érvényes, hogy a cél egy fájl vagy mappa. A kizárások csak egy adott vizsgálati típusra való testreszabásáról a Vizsgálati típus korlátozása című témakörben talál további információt.
Megjegyzés:
A helyettesítő karaktereket fájl-/mappakizárások támogatják.
Mappák
Ha gondoskodni szeretne arról, hogy a kizárás csak akkor érvényes, ha a cél egy mappa, nem pedig fájl, használhatja a PathType:folder korlátozást. Például:
C:\documents\*\:{PathType:folder}
Fájlok
Ha meg szeretne győződni arról, hogy a kizárás csak akkor érvényes, ha a cél egy fájl, nem pedig mappa, használhatja a PathType: fájlkorlátozást.
Példa:
C:\documents\*.mdb\:{PathType:file}
Vizsgálati típus korlátozása
Alapértelmezés szerint a kizárások az összes vizsgálati típusra érvényesek:
- erőforrás: a rendszer egyetlen fájlt vagy mappát vizsgál meg célzottan (például jobb gombbal kattint, Beolvasás)
- gyors: a kártevők, a memória és bizonyos beállításkulcsok által használt gyakori indítási helyek
- full: gyorsvizsgálati helyeket és teljes fájlrendszert (minden fájlt és mappát) tartalmaz
A teljesítményproblémák mérséklése érdekében kizárhat egy mappát vagy fájlkészletet egy adott vizsgálati típus általi vizsgálatból. A kizáráshoz szükséges vizsgálati típust is megadhatja.
Ha egy mappát csak teljes vizsgálat során szeretne kizárni a vizsgálatból, adjon meg egy korlátozástípust a fájl- vagy mappakizárással együtt, ahogyan az alábbi példában látható:
C:\documents\:{ScanType:full}
Ha egy mappát csak a gyorsvizsgálat során szeretne kizárni a vizsgálatból, adjon meg egy korlátozástípust a fájl- vagy mappakizárással együtt:
C:\program.exe\:{ScanType:quick}
Ha meg szeretné győződni arról, hogy ez a kizárás csak egy adott fájlra vonatkozik, mappára nem (c:\foo.exe mappa lehet), alkalmazza a PathType korlátozást is:
C:\program.exe\:{ScanType:quick,PathType:file}
Beolvasási eseményindító korlátozása
Alapértelmezés szerint az alapvető kizárások az összes vizsgálati eseményindítóra vonatkoznak. A ScanTrigger korlátozása lehetővé teszi annak megadását, hogy a kizárás csak akkor alkalmazandó, ha a vizsgálatot egy adott esemény kezdeményezte; igény szerint (beleértve a gyors, teljes és célzott vizsgálatokat), hozzáféréssel vagy viselkedésfigyeléssel (beleértve a memóriavizsgálatokat is).
- OnDemand: a vizsgálatot egy parancs- vagy rendszergazdai művelet aktiválta. Ne feledje, hogy az ütemezett gyors és teljes vizsgálatok is ebbe a kategóriába tartoznak.
- OnAccess: egy fájl vagy mappa megnyitása/írása/olvasása/módosítása (általában valós idejű védelemnek minősül)
- BM: egy viselkedési eseményindító hatására a viselkedésfigyelés egy adott fájlt vizsgál
Ha ki szeretne zárni egy fájlt vagy mappát és annak tartalmát, hogy csak akkor legyen beolvasva, amikor a fájlt a hozzáférés után beolvassa, határozzon meg egy vizsgálati eseményindító-korlátozást, például az alábbi példát:
c:\documents\:{ScanTrigger:OnAccess}
Folyamatkorlátozás
Ez a korlátozás lehetővé teszi annak meghatározását, hogy a kizárás csak akkor alkalmazandó, ha egy fájlhoz vagy mappához egy adott folyamat fér hozzá. Gyakori forgatókönyv, ha el szeretné kerülni a folyamat kizárását, mivel ez az elkerülés miatt a Defender víruskereső figyelmen kívül hagyja az adott folyamat egyéb műveleteit. A folyamat neve/elérési útja támogatja a helyettesítő karaktereket.
Megjegyzés:
Ha nagy mennyiségű folyamatkizárási korlátozást használ egy gépen, az hátrányosan befolyásolhatja a teljesítményt. Emellett, ha egy kizárás egy bizonyos folyamatra vagy folyamatra korlátozódik, más aktív folyamatok (például indexelés, biztonsági mentés, frissítések) továbbra is elindíthatják a fájlvizsgálatokat.
Ha egy fájlt vagy mappát csak akkor szeretne kizárni, ha egy adott folyamat éri el, hozzon létre egy normál fájl- vagy mappakizárást, és adja hozzá a kizárást korlátozó folyamatot. Például:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Konfigurálás
A kívánt környezetfüggő kizárások létrehozása után a meglévő felügyeleti eszközzel konfigurálhatja a fájl- és mappakizárásokat a létrehozott sztringgel.
Lásd: Kizárások konfigurálása és érvényesítése Microsoft Defender víruskereső vizsgálatokhoz
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: