Partilhar via


Exclusões de ficheiros e pastas contextuais

Aplica-se a:

Este artigo/secção descreve a capacidade contextual de exclusões de ficheiros e pastas para Microsoft Defender Antivírus no Windows. Esta capacidade permite-lhe ser mais específico quando define em que contexto Microsoft Defender o Antivírus não deve analisar um ficheiro ou pasta ao aplicar restrições.

Descrição geral

As exclusões destinam-se principalmente a mitigar os efeitos no desempenho. Eles vêm com a pena de redução do valor de protecção. Estas restrições permitem-lhe limitar esta redução de proteção ao especificar as circunstâncias em que a exclusão deve ser aplicada. As exclusões contextuais não são adequadas para lidar com falsos positivos de uma forma fiável. Se encontrar um falso positivo, pode submeter ficheiros para análise através do portal do Microsoft Defender XDR (subscrição necessária) ou através do site Informações de Segurança da Microsoft. Para um método de supressão temporária, considere criar um indicador de permissão personalizado no Microsoft Defender para Endpoint.

Existem quatro restrições que pode aplicar para limitar a aplicabilidade de uma exclusão:

  • Restrição de tipo de caminho de ficheiro/pasta. Pode restringir as exclusões a aplicar apenas se o destino for um ficheiro ou uma pasta ao tornar a intenção específica. Se o destino for um ficheiro, mas a exclusão for especificada para ser uma pasta, não será aplicada. Por outro lado, se o destino for uma pasta, mas a exclusão for especificada para ser um ficheiro, será aplicada a exclusão.
  • Restrição de tipo de análise. Permite-lhe definir o tipo de análise necessário para aplicar uma exclusão. Por exemplo, só quer excluir uma determinada pasta de Análises completas, mas não de uma análise de "recurso" (análise direcionada).
  • Restrição do tipo de acionador de análise. Pode utilizar esta restrição para especificar que a exclusão só deve ser aplicada quando a análise foi iniciada por um evento específico:
    • a pedido
    • no acesso
    • ou com origem na monitorização comportamental
  • Restrição de processos. Permite-lhe definir que uma exclusão só deve ser aplicada quando um ficheiro ou pasta está a ser acedido por um processo específico.

Configurar restrições

Normalmente, as restrições são aplicadas ao adicionar o tipo de restrição ao caminho de exclusão de ficheiros ou pastas.

Restrição TypeName valor
Ficheiro/pasta PathType ficheiro
pasta
Tipo de análise ScanType rápido
cheio
Acionador de análise ScanTrigger OnDemand
OnAccess
BM
Processo Processo "<image_path>"

Requisitos

Esta capacidade requer Microsoft Defender Antivírus:

  • Plataforma: 4.18.2205.7 ou posterior
  • Motor: 1.1.19300.2 ou posterior

Sintaxe

Como ponto de partida, pode já ter exclusões no local que pretende tornar mais específicas. Para formar a cadeia de exclusão, primeiro defina o caminho para o ficheiro ou pasta a excluir e, em seguida, adicione o nome do tipo e o valor associado, conforme mostrado no exemplo seguinte.

<PATH>\:{TypeName:value,TypeName:value}

Tenha em atenção que todos ostipos e valores são sensíveis às maiúsculas e minúsculas .

Nota

As condições dentro {} de MUST são verdadeiras para que a restrição corresponda. Por exemplo, se especificar dois acionadores de análise, tal não pode ser verdadeiro e a exclusão não será aplicada. Para especificar duas restrições do mesmo tipo, crie duas exclusões separadas.

Exemplos

A cadeia seguinte exclui "c:\documents\design.doc" apenas se for um ficheiro e apenas em análises no acesso:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

A cadeia seguinte exclui "c:\documents\design.doc" apenas se for analisada (no acesso) devido ao acesso por um processo com o nome da imagem "winword.exe":

c:\documents\design.doc\:{Process:"winword.exe"}

Os caminhos de ficheiros e pastas podem conter carateres universais, como no exemplo seguinte:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

O caminho da imagem do processo pode conter carateres universais, como no exemplo seguinte:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Restrição de ficheiros/pastas

Pode restringir as exclusões a aplicar apenas se o destino for um ficheiro ou uma pasta ao tornar a intenção específica. Se o destino for um ficheiro, mas a exclusão for especificada para ser uma pasta, a exclusão não será aplicada. Por outro lado, se o destino for uma pasta, mas a exclusão for especificada para ser um ficheiro, será aplicada a exclusão.

Comportamento predefinido das exclusões de ficheiros/pastas

Se não especificar outras opções, o ficheiro/pasta é excluído de todos os tipos de análises e a exclusão aplica-se independentemente de o destino ser um ficheiro ou uma pasta. Para obter mais informações sobre como personalizar exclusões para aplicar apenas a um tipo de análise específico, veja Restrição de tipo de análise.

Nota

Os carateres universais são suportados em exclusões de ficheiros/pastas.

Pastas

Para garantir que uma exclusão só se aplica se o destino for uma pasta, não um ficheiro, pode utilizar a restrição PathType:folder . Por exemplo:

C:\documents\*\:{PathType:folder}

Ficheiros

Para se certificar de que uma exclusão só se aplica se o destino for um ficheiro, não uma pasta, pode utilizar a restrição PathType: ficheiro.

Exemplo:

C:\documents\*.mdb\:{PathType:file}

Restrição de tipo de análise

Por predefinição, as exclusões aplicam-se a todos os tipos de análise:

  • recurso: um único ficheiro ou pasta é analisado de forma direcionada (por exemplo, clique com o botão direito do rato, Analisar)
  • rápido: localizações de arranque comuns utilizadas por software maligno, memória e determinadas chaves de registo
  • completo: inclui localizações de análise rápida e sistema de ficheiros completo (todos os ficheiros e pastas)

Para mitigar problemas de desempenho, pode excluir uma pasta ou um conjunto de ficheiros de serem analisados por um tipo de análise específico. Também pode definir o tipo de análise necessário para aplicar uma exclusão.

Para excluir uma pasta de ser analisada apenas durante uma análise completa, especifique um tipo de restrição juntamente com a exclusão de ficheiros ou pastas, como no exemplo seguinte:

C:\documents\:{ScanType:full}

Para excluir uma pasta de ser analisada apenas durante uma análise rápida, especifique um tipo de restrição juntamente com a exclusão de ficheiros ou pastas:

C:\program.exe\:{ScanType:quick}

Se quiser certificar-se de que esta exclusão se aplica apenas a um ficheiro específico e não a uma pasta (c:\foo.exe pode ser uma pasta), aplique também a restrição PathType:

C:\program.exe\:{ScanType:quick,PathType:file}

Restrição do acionador de análise

Por predefinição, as exclusões básicas aplicam-se a todos os acionadores de análise. A restrição ScanTrigger permite-lhe especificar que a exclusão só deve ser aplicada quando a análise foi iniciada por um evento específico; a pedido (incluindo análises rápidas, completas e direcionadas), no acesso ou provenientes da monitorização comportamental (incluindo análises de memória).

  • OnDemand: uma análise foi acionada por um comando ou ação de administrador. Lembre-se de que as análises rápidas e completas agendadas também se enquadram nesta categoria.
  • OnAccess: um ficheiro ou pasta é aberto/escrito/lido/modificado (normalmente considerado proteção em tempo real)
  • BM: um acionador comportamental faz com que a monitorização comportamental analise um ficheiro específico

Para excluir um ficheiro ou pasta e os respetivos conteúdos de serem analisados apenas quando o ficheiro está a ser analisado depois de ser acedido, defina uma restrição de acionador de análise, como o seguinte exemplo:

c:\documents\:{ScanTrigger:OnAccess}

Restrição de processos

Esta restrição permite-lhe definir que uma exclusão só deve ser aplicada quando um ficheiro ou pasta está a ser acedido por um processo específico. Um cenário comum é quando pretende evitar excluir o processo, uma vez que essa prevenção faria com que o Antivírus do Defender ignorasse outras operações por esse processo. Os carateres universais são suportados no nome/caminho do processo.

Nota

A utilização de uma grande quantidade de restrições de exclusão de processos numa máquina virtual pode afetar negativamente o desempenho. Além disso, se uma exclusão estiver restrita a um determinado processo ou processo, outros processos ativos (como indexação, cópia de segurança, atualizações) ainda podem acionar análises de ficheiros.

Para excluir um ficheiro ou pasta apenas quando acedido por um processo específico, crie uma exclusão normal de ficheiros ou pastas e adicione o processo para restringir a exclusão. Por exemplo:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Como configurar

Depois de construir as exclusões contextuais pretendidas, pode utilizar a ferramenta de gestão existente para configurar exclusões de ficheiros e pastas com a cadeia que criou.

Veja: Configurar e validar exclusões para análises de Antivírus Microsoft Defender

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.