Contextuele bestands- en map-uitsluitingen
Van toepassing op:
Microsoft Defender voor Bedrijven
Microsoft Defender Antivirus
Microsoft Defender voor personen
In dit artikel/gedeelte wordt de mogelijkheid voor het uitsluiten van bestanden en mappen beschreven voor Microsoft Defender Antivirus in Windows. Met deze mogelijkheid kunt u specifieker zijn wanneer u definieert onder welke context Microsoft Defender Antivirus een bestand of map niet mag scannen, door beperkingen toe te passen.
Overzicht
Uitsluitingen zijn voornamelijk bedoeld om de invloed op de prestaties te beperken. Ze komen op straffe van verminderde beschermingswaarde. Met deze beperkingen kunt u deze beveiligingsbeperking beperken door omstandigheden op te geven waaronder de uitsluiting moet worden toegepast. Contextuele uitsluitingen zijn niet geschikt om fout-positieven op een betrouwbare manier aan te pakken. Als u een fout-positief ondervindt, kunt u bestanden voor analyse indienen via de Microsoft Defender XDR portal (abonnement vereist) of via de Microsoft-beveiligingsinformatie-website. Voor een tijdelijke onderdrukkingsmethode kunt u een aangepaste machtigingsindicator maken in Microsoft Defender voor Eindpunt.
Er zijn vier beperkingen die u kunt toepassen om de toepasbaarheid van een uitsluiting te beperken:
- Beperking van bestands-/mappadtype. U kunt uitsluitingen beperken tot alleen van toepassing als het doel een bestand of een map is door de intentie specifiek te maken. Als het doel een bestand is, maar de uitsluiting is opgegeven als een map, is dit niet van toepassing. Als het doel daarentegen map is, maar de uitsluiting is opgegeven als een bestand, is de uitsluiting van toepassing.
- Beperking van scantype. Hiermee kunt u het vereiste scantype definiëren om een uitsluiting toe te passen. U wilt bijvoorbeeld alleen een bepaalde map uitsluiten van volledige scans, maar niet van een resourcescan (gerichte scan).
- Beperking van het type scantrigger. U kunt deze beperking gebruiken om op te geven dat de uitsluiting alleen van toepassing moet zijn wanneer de scan is gestart door een specifieke gebeurtenis:
- op aanvraag
- over toegang
- of afkomstig zijn van gedragsbewaking
- Procesbeperking. Hiermee kunt u definiëren dat een uitsluiting alleen moet worden toegepast wanneer een bestand of map wordt geopend door een specifiek proces.
Beperkingen configureren
Beperkingen worden doorgaans toegepast door het beperkingstype toe te voegen aan het uitsluitingspad van het bestand of de map.
| Beperking | Typename | waarde |
|---|---|---|
| Bestand/map | PathType | Bestand Map |
| Scantype | ScanType | Snelle Volledige |
| Scantrigger | ScanTrigger | Ondemand OnAccess BM |
| Proces | Proces | "<image_path>" |
Vereisten
Voor deze mogelijkheid is Microsoft Defender Antivirus vereist:
- Platform: 4.18.2205.7 of hoger
- Engine: 1.1.19300.2 of hoger
Syntaxis
Als uitgangspunt hebt u mogelijk al uitsluitingen die u specifieker wilt maken. Als u de uitsluitingsreeks wilt maken, definieert u eerst het pad naar het bestand of de map die moet worden uitgesloten en voegt u vervolgens de typenaam en de bijbehorende waarde toe, zoals wordt weergegeven in het volgende voorbeeld.
<PATH>\:{TypeName:value,TypeName:value}
Houd er rekening mee dat alletypen en waarden hoofdlettergevoelig zijn.
Opmerking
Voorwaarden binnen {} MOETEN waar zijn om de beperking te laten overeenkomen. Als u bijvoorbeeld twee scantriggers opgeeft, kan dit niet waar zijn en is de uitsluiting niet van toepassing. Als u twee beperkingen van hetzelfde type wilt opgeven, maakt u twee afzonderlijke uitsluitingen.
Voorbeelden
De volgende tekenreeks sluit 'c:\documents\design.doc' alleen uit als het een bestand is en alleen in scans bij toegang:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
De volgende tekenreeks sluit 'c:\documents\design.doc' alleen uit als deze wordt gescand (bij toegang) omdat deze wordt geopend via een proces met de naam van de afbeelding 'winword.exe':
c:\documents\design.doc\:{Process:"winword.exe"}
Bestands- en mappaden kunnen jokertekens bevatten, zoals in het volgende voorbeeld:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Het pad naar de procesafbeelding kan jokertekens bevatten, zoals in het volgende voorbeeld:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Bestands-/mapbeperking
U kunt uitsluitingen beperken tot alleen van toepassing als het doel een bestand of een map is door de intentie specifiek te maken. Als het doel een bestand is, maar de uitsluiting is opgegeven als een map, is de uitsluiting niet van toepassing. Als het doel daarentegen map is, maar de uitsluiting is opgegeven als een bestand, is de uitsluiting van toepassing.
Standaardgedrag voor uitsluitingen van bestanden/mappen
Als u geen andere opties opgeeft, wordt het bestand/de map uitgesloten van alle typen scans en is de uitsluiting van toepassing, ongeacht of het doel een bestand of een map is. Zie Beperking van scantype voor meer informatie over het aanpassen van uitsluitingen om alleen van toepassing te zijn op een specifiek scantype.
Opmerking
Jokertekens worden ondersteund in bestands-/mapuitsluitingen.
Mappen
Om ervoor te zorgen dat een uitsluiting alleen van toepassing is als het doel een map is, niet een bestand, kunt u de beperking PathType:folder gebruiken. Bijvoorbeeld:
C:\documents\*\:{PathType:folder}
Bestanden
Om ervoor te zorgen dat een uitsluiting alleen van toepassing is als het doel een bestand is, niet een map, kunt u de pathtype: bestandsbeperking gebruiken.
Voorbeeld:
C:\documents\*.mdb\:{PathType:file}
Beperking van scantype
Uitsluitingen zijn standaard van toepassing op alle scantypen:
- resource: één bestand of map wordt op een gerichte manier gescand (bijvoorbeeld met de rechtermuisknop klikken, scannen)
- snel: algemene opstartlocaties die worden gebruikt door malware, geheugen en bepaalde registersleutels
- volledig: bevat locaties voor snelle scan en het volledige bestandssysteem (alle bestanden en mappen)
Om prestatieproblemen te verhelpen, kunt u een map of een set bestanden uitsluiten van het scannen door een specifiek scantype. U kunt ook het vereiste scantype definiëren om een uitsluiting toe te passen.
Als u wilt uitsluiten dat een map alleen tijdens een volledige scan wordt gescand, geeft u een beperkingstype op samen met de uitsluiting van het bestand of de map, zoals in het volgende voorbeeld:
C:\documents\:{ScanType:full}
Als u wilt uitsluiten dat een map alleen tijdens een snelle scan wordt gescand, geeft u een beperkingstype op, samen met de uitsluiting van het bestand of de map:
C:\program.exe\:{ScanType:quick}
Als u ervoor wilt zorgen dat deze uitsluiting alleen van toepassing is op een specifiek bestand en niet op een map (c:\foo.exe kan een map zijn), past u ook de PathType-beperking toe:
C:\program.exe\:{ScanType:quick,PathType:file}
Beperking van scantrigger
Standaard zijn basisuitsluitingen van toepassing op alle scantriggers. Met scanTrigger-beperking kunt u opgeven dat de uitsluiting alleen van toepassing moet zijn wanneer de scan is gestart door een specifieke gebeurtenis; op aanvraag (inclusief snelle, volledige en gerichte scans), op toegang of afkomstig van gedragsbewaking (inclusief geheugenscans).
- OnDemand: een scan is geactiveerd door een opdracht of beheeractie. Houd er rekening mee dat geplande snelle en volledige scans ook onder deze categorie vallen.
- OnAccess: een bestand of map wordt geopend/geschreven/gelezen/gewijzigd (doorgaans beschouwd als realtime-beveiliging)
- BM: een gedragstrigger zorgt ervoor dat de gedragsbewaking een specifiek bestand scant
Als u wilt voorkomen dat een bestand of map en de inhoud ervan alleen worden gescand wanneer het bestand wordt gescand nadat het is geopend, definieert u een beperking voor scantriggers, zoals in het volgende voorbeeld:
c:\documents\:{ScanTrigger:OnAccess}
Procesbeperking
Met deze beperking kunt u definiëren dat een uitsluiting alleen moet worden toegepast wanneer een bestand of map wordt geopend door een specifiek proces. Een veelvoorkomend scenario is wanneer u wilt voorkomen dat u het proces uitsluit, omdat dit ertoe zou leiden dat Defender Antivirus andere bewerkingen door dat proces negeert. Jokertekens worden ondersteund in de procesnaam/het pad.
Opmerking
Het gebruik van een grote hoeveelheid uitsluitingsbeperkingen voor processen op een computer kan de prestaties nadelig beïnvloeden. Als een uitsluiting is beperkt tot een bepaald proces of bepaalde processen, kunnen andere actieve processen (zoals indexering, back-up, updates) bovendien nog steeds bestandsscans activeren.
Als u een bestand of map alleen wilt uitsluiten wanneer deze wordt geopend via een specifiek proces, maakt u een normale uitsluiting van bestanden of mappen en voegt u het proces toe om de uitsluiting te beperken tot. Bijvoorbeeld:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Configureren
Nadat u de gewenste contextuele uitsluitingen hebt samengesteld, kunt u uw bestaande beheerprogramma gebruiken om bestands- en mapuitsluitingen te configureren met behulp van de tekenreeks die u hebt gemaakt.
Zie Uitsluitingen configureren en valideren voor Microsoft Defender Antivirus-scans
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor