Exclusões de arquivos e pastas contextuais
Aplica-se a:
Microsoft Defender para Empresas
Microsoft Defender Antivírus
Microsoft Defender para indivíduos
Este artigo/seção descreve o recurso de exclusões de pasta e arquivo contextual para Microsoft Defender Antivírus no Windows. Essa funcionalidade permite que você seja mais específico quando você define em qual contexto Microsoft Defender Antivírus não deve examinar um arquivo ou pasta, aplicando restrições.
Visão Geral
As exclusões destinam-se principalmente a reduzir os efeitos no desempenho. Eles vêm na penalidade de valor de proteção reduzido. Essas restrições permitem limitar essa redução de proteção especificando as circunstâncias em que a exclusão deve ser aplicada. Exclusões contextuais não são adequadas para lidar com falsos positivos de forma confiável. Se você encontrar um falso positivo, poderá enviar arquivos para análise por meio do portal Microsoft Defender XDR (assinatura necessária) ou por meio do site Inteligência de Segurança da Microsoft. Para um método de supressão temporária, considere criar um indicador de permissão personalizado em Microsoft Defender para Ponto de Extremidade.
Há quatro restrições que você pode aplicar para limitar a aplicabilidade de uma exclusão:
- Restrição de tipo de caminho de arquivo/pasta. Você pode restringir as exclusões a serem aplicadas somente se o destino for um arquivo ou uma pasta, tornando a intenção específica. Se o destino for um arquivo, mas a exclusão for especificada como uma pasta, ela não será aplicada. Por outro lado, se o destino for pasta, mas a exclusão for especificada como um arquivo, a exclusão será aplicada.
- Restrição de tipo de verificação. Permite que você defina o tipo de verificação necessário para que uma exclusão seja aplicada. Por exemplo, você só deseja excluir uma determinada pasta de verificações completas, mas não de uma verificação de "recurso" (verificação direcionada).
- Verificar a restrição de tipo de gatilho. Você pode usar essa restrição para especificar que a exclusão só deve ser aplicada quando a verificação foi iniciada por um evento específico:
- on demand
- no acesso
- ou originando-se do monitoramento comportamental
- Restrição de processo. Permite que você defina que uma exclusão só deve ser aplicada quando um arquivo ou pasta estiver sendo acessado por um processo específico.
Configurando restrições
Normalmente, as restrições são aplicadas adicionando o tipo de restrição ao caminho de exclusão de arquivo ou pasta.
| Restrição | TypeName | valor |
|---|---|---|
| Arquivo/pasta | Pathtype | file folder |
| Tipo de verificação | ScanType | Rápido Cheio |
| Gatilho de verificação | ScanTrigger | Ondemand OnAccess BM |
| Processo | Processo | "<image_path>" |
Requisitos
Essa funcionalidade requer Microsoft Defender Antivírus:
- Plataforma: 4.18.2205.7 ou posterior
- Mecanismo: 1.1.19300.2 ou posterior
Sintaxe
Como ponto de partida, talvez você já tenha exclusões em vigor que deseja tornar mais específicas. Para formar a cadeia de caracteres de exclusão, primeiro defina o caminho para o arquivo ou pasta a ser excluído e adicione o nome do tipo e o valor associado, conforme mostrado no exemplo a seguir.
<PATH>\:{TypeName:value,TypeName:value}
Tenha em mente que todos ostipos e valores são sensíveis a casos.
Observação
As condições dentro {} devem ser verdadeiras para que a restrição corresponda. Por exemplo, se você especificar dois gatilhos de verificação, isso não poderá ser verdadeiro e a exclusão não será aplicada. Para especificar duas restrições do mesmo tipo, crie duas exclusões separadas.
Exemplos
A cadeia de caracteres a seguir exclui "c:\documents\design.doc" somente se for um arquivo e somente em verificações de acesso:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
A cadeia de caracteres a seguir exclui "c:\documents\design.doc" somente se ela for digitalizada (no acesso) devido ao acesso por um processo que tem o nome da imagem "winword.exe":
c:\documents\design.doc\:{Process:"winword.exe"}
Os caminhos de arquivo e pasta podem conter curingas, como no exemplo a seguir:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
O caminho da imagem do processo pode conter curingas, como no exemplo a seguir:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Restrição de arquivo/pasta
Você pode restringir as exclusões a serem aplicadas somente se o destino for um arquivo ou uma pasta, tornando a intenção específica. Se o destino for um arquivo, mas a exclusão for especificada como uma pasta, a exclusão não será aplicada. Por outro lado, se o destino for pasta, mas a exclusão for especificada como um arquivo, a exclusão será aplicada.
Comportamento padrão de exclusões de arquivo/pasta
Se você não especificar outras opções, o arquivo/pasta será excluído de todos os tipos de verificações e a exclusão se aplica independentemente de o destino ser um arquivo ou uma pasta. Para obter mais informações sobre como personalizar exclusões, aplique-se apenas a um tipo de verificação específico, consulte Restrição de tipo de verificação.
Observação
Há suporte para curingas em exclusões de arquivo/pasta.
Folders
Para garantir que uma exclusão só se aplique se o destino for uma pasta, não um arquivo que você possa usar a restrição PathType:folder . Por exemplo:
C:\documents\*\:{PathType:folder}
Arquivos
Para garantir que uma exclusão só se aplique se o destino for um arquivo, não uma pasta que você possa usar o PathType: restrição de arquivo.
Exemplo:
C:\documents\*.mdb\:{PathType:file}
Restrição de tipo de verificação
Por padrão, as exclusões se aplicam a todos os tipos de verificação:
- recurso: um único arquivo ou pasta é verificado de forma direcionada (por exemplo, clique com o botão direito do mouse, Verificação)
- rápido: locais de inicialização comuns utilizados por malware, memória e determinadas chaves de registro
- completo: inclui locais de verificação rápida e sistema de arquivos completo (todos os arquivos e pastas)
Para mitigar problemas de desempenho, você pode excluir uma pasta ou um conjunto de arquivos de serem verificados por um tipo de verificação específico. Você também pode definir o tipo de verificação necessário para que uma exclusão seja aplicada.
Para excluir uma pasta de ser digitalizada somente durante uma verificação completa, especifique um tipo de restrição junto com o arquivo ou a exclusão da pasta, como no exemplo a seguir:
C:\documents\:{ScanType:full}
Para excluir uma pasta de ser digitalizada somente durante uma verificação rápida, especifique um tipo de restrição junto com o arquivo ou a exclusão da pasta:
C:\program.exe\:{ScanType:quick}
Se você quiser garantir que essa exclusão se aplique apenas a um arquivo específico e não a uma pasta (c:\foo.exe pode ser uma pasta), aplique também a restrição PathType:
C:\program.exe\:{ScanType:quick,PathType:file}
Restrição de gatilho de verificação
Por padrão, as exclusões básicas se aplicam a todos os gatilhos de verificação. A restrição ScanTrigger permite especificar que a exclusão só deve ser aplicada quando a verificação foi iniciada por um evento específico; sob demanda (incluindo verificações rápidas, completas e direcionadas), no acesso ou na origem do monitoramento comportamental (incluindo verificações de memória).
- OnDemand: uma verificação foi disparada por um comando ou ação de administrador. Lembre-se de que as verificações rápidas e completas agendadas também se enquadram nessa categoria.
- OnAccess: um arquivo ou pasta é aberto/escrito/lido/modificado (normalmente considerado proteção em tempo real)
- BM: um gatilho comportamental faz com que o monitoramento comportamental examine um arquivo específico
Para excluir um arquivo ou pasta e seu conteúdo de ser verificado somente quando o arquivo estiver sendo verificado após ser acessado, defina uma restrição de gatilho de verificação, como o exemplo a seguir:
c:\documents\:{ScanTrigger:OnAccess}
Restrição de processo
Essa restrição permite definir que uma exclusão só deve ser aplicada quando um arquivo ou pasta estiver sendo acessado por um processo específico. Um cenário comum é quando você deseja evitar a exclusão do processo, pois essa evasão faria com que o Defender Antivírus ignorasse outras operações por esse processo. Há suporte para curingas no nome/caminho do processo.
Observação
Usar uma grande quantidade de restrições de exclusão de processo em um computador pode afetar negativamente o desempenho. Além disso, se uma exclusão for restrita a determinado processo ou processos, outros processos ativos (como indexação, backup, atualizações) ainda poderão disparar verificações de arquivos.
Para excluir um arquivo ou pasta somente quando acessado por um processo específico, crie um arquivo ou uma exclusão de pasta normal e adicione o processo para restringir a exclusão. Por exemplo:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Como configurar
Depois de construir suas exclusões contextuais desejadas, você pode usar sua ferramenta de gerenciamento existente para configurar exclusões de arquivos e pastas usando a cadeia de caracteres que você criou.
Confira: Configurar e validar exclusões para verificações Microsoft Defender Antivírus
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de