コンテキスト ファイルとフォルダーの除外
適用対象:
Microsoft Defender for Business
Microsoft Defender ウイルス対策
個人向けのMicrosoft Defender
この記事/セクションでは、Windows 上の Microsoft Defender ウイルス対策のコンテキスト ファイルとフォルダーの除外機能について説明します。 この機能を使用すると、制限を適用して、ウイルス対策Microsoft Defenderファイルまたはフォルダーをスキャンしないコンテキストを定義するときに、より具体的にすることができます。
概要
除外は、主にパフォーマンスへの影響を軽減することを目的としています。 彼らは保護価値の低下のペナルティを受ける。 これらの制限を使用すると、除外が適用される状況を指定することで、この保護の削減を制限できます。 コンテキストによる除外は、信頼性の高い方法で誤検知に対処するのに適していません。 誤検知が発生した場合は、Microsoft Defender XDR ポータル (サブスクリプションが必要) またはMicrosoft セキュリティ インテリジェンスWeb サイトから分析のためにファイルを送信できます。 一時的な抑制方法については、Microsoft Defender for Endpointでカスタム許可インジケーターを作成することを検討してください。
除外の適用を制限するために適用できる制限は 4 つあります。
- ファイル/フォルダーのパスの種類の制限。 ターゲットがファイルの場合、または意図を特定することによってフォルダーである場合にのみ、除外を適用するように制限できます。 ターゲットがファイルであっても、除外がフォルダーとして指定されている場合は、適用されません。 逆に、ターゲットがフォルダーであっても、除外がファイルとして指定されている場合は、除外が適用されます。
- スキャンの種類の制限。 除外を適用するために必要なスキャンの種類を定義できます。 たとえば、フル スキャンから特定のフォルダーのみを除外する必要がありますが、"リソース" スキャン (ターゲット スキャン) からは除外しません。
- スキャン トリガーの種類の制限。 この制限を使用して、特定のイベントによってスキャンが開始されたときにのみ除外を適用するように指定できます。
- オン デマンド
- アクセス時
- または動作監視から発生する
- プロセスの制限。 特定のプロセスによってファイルまたはフォルダーにアクセスされている場合にのみ除外を適用するように定義できます。
制限の構成
制限は通常、ファイルまたはフォルダーの除外パスに制限の種類を追加することによって適用されます。
| Restriction | TypeName | 値 |
|---|---|---|
| ファイル/フォルダー | PathType | file folder |
| スキャンの種類 | ScanType | クイック 完全 |
| スキャン トリガー | ScanTrigger | オンデマンド OnAccess Bm |
| プロセス | プロセス | "<image_path>" |
要件
この機能には、ウイルス対策Microsoft Defender必要があります。
- プラットフォーム: 4.18.2205.7 以降
- エンジン: 1.1.19300.2 以降
構文
出発点として、より具体的にしたい除外が既に設定されている場合があります。 除外文字列を形成するには、最初に除外するファイルまたはフォルダーへのパスを定義し、次の例に示すように型名と関連付けられた値を追加します。
<PATH>\:{TypeName:value,TypeName:value}
すべての型と値では大文字と小文字が区別されます。
注:
制限が一致するためには、内部 {} の条件が true である必要があります。 たとえば、2 つのスキャン トリガーを指定した場合、これは true にすることはできません。除外は適用されません。 同じ型の 2 つの制限を指定するには、2 つの個別の除外を作成します。
例
次の文字列は、"c:\documents\design.doc" がファイルであり、オンアクセス スキャンでのみ除外されます。
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
次の文字列は、"c:\documents\design.doc" という winword.exe イメージ名を持つプロセスによってアクセスされるためにスキャン (オンアクセス) された場合にのみ除外されます。
c:\documents\design.doc\:{Process:"winword.exe"}
ファイルとフォルダーのパスには、次の例のようにワイルドカードが含まれる場合があります。
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
プロセス イメージ パスには、次の例のようにワイルドカードが含まれる場合があります。
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
ファイル/フォルダーの制限
ターゲットがファイルまたはフォルダーの場合にのみ適用されるように除外を制限するには、意図を特定します。 ターゲットがファイルであり、除外がフォルダーとして指定されている場合、除外は適用されません。 逆に、ターゲットがフォルダーであっても、除外がファイルとして指定されている場合は、除外が適用されます。
ファイル/フォルダーの除外の既定の動作
他のオプションを指定しない場合、ファイル/フォルダーはすべての種類のスキャンから除外 され 、ターゲットがファイルかフォルダーかに関係なく除外が適用されます。 特定のスキャンの種類にのみ適用されるように除外をカスタマイズする方法の詳細については、「 スキャンの種類の制限」を参照してください。
注:
ワイルドカードは、ファイル/フォルダーの除外でサポートされています。
フォルダー
ターゲットがフォルダーであり、ファイルではない場合にのみ除外が適用されるようにするには、 PathType:folder の制限を使用できます。 以下に例を示します。
C:\documents\*\:{PathType:folder}
Files
ターゲットがファイルの場合にのみ除外が適用されるようにするには、PathType: ファイル制限を使用できます。
例:
C:\documents\*.mdb\:{PathType:file}
スキャンの種類の制限
既定では、除外はすべてのスキャンの種類に適用されます。
- リソース: 1 つのファイルまたはフォルダーが対象の方法でスキャンされます (右クリック、スキャンなど)
- クイック: マルウェア、メモリ、特定のレジストリ キーによって利用される一般的なスタートアップの場所
- full: クイック スキャンの場所と完全なファイル システム (すべてのファイルとフォルダー) が含まれています
パフォーマンスの問題を軽減するために、特定のスキャンの種類でスキャンされるフォルダーまたはファイルのセットを除外できます。 除外を適用するために必要なスキャンの種類を定義することもできます。
フル スキャン中にのみフォルダーをスキャンから除外するには、次の例のように、ファイルまたはフォルダーの除外と共に制限の種類を指定します。
C:\documents\:{ScanType:full}
クイック スキャン中にのみフォルダーをスキャンから除外するには、ファイルまたはフォルダーの除外と共に制限の種類を指定します。
C:\program.exe\:{ScanType:quick}
この除外が特定のファイルにのみ適用され、フォルダーではなく (フォルダー c:\foo.exe) ことを確認する場合は、PathType の制限も適用します。
C:\program.exe\:{ScanType:quick,PathType:file}
スキャン トリガーの制限
既定では、基本的な除外はすべてのスキャン トリガーに適用されます。 ScanTrigger の制限を使用すると、特定のイベントによってスキャンが開始されたときにのみ除外を適用するように指定できます。オンデマンド (クイック、フル、ターゲット スキャンを含む)、アクセス時、または動作監視 (メモリ スキャンを含む) から発生します。
- OnDemand: コマンドまたは管理者アクションによってスキャンがトリガーされました。 スケジュールされたクイック スキャンとフル スキャンもこのカテゴリに該当します。
- OnAccess: ファイルまたはフォルダーを開く/書き込む/読み取る/変更する (通常はリアルタイム保護と見なされます)
- BM: 動作トリガーにより、動作監視によって特定のファイルがスキャンされます
ファイルまたはフォルダーとその内容がアクセス後にスキャンされている場合にのみスキャンされないようにするには、次の例のようなスキャン トリガーの制限を定義します。
c:\documents\:{ScanTrigger:OnAccess}
プロセスの制限
この制限により、特定のプロセスによってファイルまたはフォルダーにアクセスされている場合にのみ除外を適用するように定義できます。 一般的なシナリオは、回避によって Defender ウイルス対策がそのプロセスによる他の操作を無視するため、プロセスを除外しないようにする場合です。 ワイルドカードは、プロセス名/パスでサポートされています。
注:
マシンで大量のプロセス除外制限を使用すると、パフォーマンスに悪影響を及ぼす可能性があります。 さらに、除外が特定のプロセスまたはプロセスに制限されている場合でも、他のアクティブなプロセス (インデックス作成、バックアップ、更新など) によってファイル スキャンがトリガーされる可能性があります。
特定のプロセスからアクセスされた場合にのみファイルまたはフォルダーを除外するには、通常のファイルまたはフォルダーの除外を作成し、除外を制限するプロセスを追加します。 以下に例を示します。
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
構成する方法
目的のコンテキスト除外を作成したら、既存の管理ツールを使用して、作成した文字列を使用してファイルとフォルダーの除外を構成できます。
参照: Microsoft Defenderウイルス対策スキャンの除外を構成して検証する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示