Исключения контекстно-зависимых файлов и папок
Область применения:
Microsoft Defender для бизнеса
Антивирусная программа в Microsoft Defender
Microsoft Defender для физических лиц
В этой статье или разделе описывается возможность исключения контекстных файлов и папок для Microsoft Defender антивирусной программы в Windows. Эта возможность позволяет определить, в каком контексте Microsoft Defender антивирусная программа не должна сканировать файл или папку, применяя ограничения.
Обзор
Исключения в первую очередь предназначены для устранения последствий для производительности. Они приходят в наказание за снижение стоимости защиты. Эти ограничения позволяют ограничить это сокращение защиты, указав обстоятельства, при которых должно применяться исключение. Контекстные исключения не подходят для надежной обработки ложноположительных результатов. Если вы столкнулись с ложным срабатыванием, вы можете отправить файлы для анализа на портале Microsoft Defender XDR (требуется подписка) или через веб-сайт портал для обнаружения угроз (Microsoft). Для временного метода подавления рассмотрите возможность создания пользовательского индикатора разрешений в Microsoft Defender для конечной точки.
Существует четыре ограничения, которые можно применить, чтобы ограничить применимость исключения:
- Ограничение типа пути к файлу или папке. Исключения можно ограничить только в том случае, если целевым объектом является файл или папка, определив намерение. Если целевой объект является файлом, но исключение указано как папка, оно не применяется. И наоборот, если целевой папкой является папка, но исключение указано как файл, будет применено исключение.
- Ограничение типа сканирования. Позволяет определить необходимый тип сканирования для применения исключения. Например, требуется исключить только определенную папку из полного сканирования, но не из проверки ресурсов (целевая проверка).
- Ограничение типа триггера сканирования. Это ограничение можно использовать, чтобы указать, что исключение должно применяться только в том случае, если проверка была инициирована определенным событием:
- по запросу
- при доступе
- или из поведенческого мониторинга
- Ограничение процесса. Позволяет определить, что исключение должно применяться только при доступе к файлу или папке определенного процесса.
Настройка ограничений
Ограничения обычно применяются путем добавления типа ограничения в путь исключения файла или папки.
| Ограничение | TypeName | значение |
|---|---|---|
| Файл или папка | PathType | file folder |
| Тип сканирования | ScanType | Быстрый Полный |
| Триггер сканирования | ScanTrigger | Ondemand OnAccess BM |
| Процесс | Процесс | "<image_path>" |
Требования
Для этой возможности требуется Microsoft Defender антивирусная программа:
- Платформа: 4.18.2205.7 или более поздней версии
- Обработчик: 1.1.19300.2 или более поздней версии
Синтаксис
В качестве отправной точки, возможно, у вас уже есть исключения, которые вы хотите сделать более конкретными. Чтобы сформировать строку исключения, сначала определите путь к файлу или папке для исключения, а затем добавьте имя типа и связанное значение, как показано в следующем примере.
<PATH>\:{TypeName:value,TypeName:value}
Помните, что регистр учитывается для всехтипов и значений .
Примечание.
Условия внутри {} должны соответствовать ограничению. Например, если указать два триггера сканирования, это не может быть true, и исключение не будет применено. Чтобы указать два ограничения одного типа, создайте два отдельных исключения.
Примеры
Следующая строка исключает "c:\documents\design.doc", только если это файл и только при проверке при доступе:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
Следующая строка исключает "c:\documents\design.doc" только в том случае, если он сканирован (при доступе) из-за доступа к нему процесса с именем образа "winword.exe":
c:\documents\design.doc\:{Process:"winword.exe"}
Путь к файлам и папкам может содержать подстановочные знаки, как показано в следующем примере:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Путь к изображению процесса может содержать подстановочные знаки, как показано в следующем примере:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Ограничение файлов и папок
Исключения можно ограничить только в том случае, если целевым объектом является файл или папка, сделав намерение конкретным. Если целевой объект является файлом, но исключение указано как папка, исключение не применяется. И наоборот, если целевой папкой является папка, но исключение указано как файл, будет применено исключение.
Поведение исключений файлов и папок по умолчанию
Если другие параметры не указаны, файл или папка будут исключены из всех типов проверок, и исключение применяется независимо от того, является ли целевой файл или папка. Дополнительные сведения о настройке исключений для применения только к определенному типу сканирования см. в разделе Ограничение типа сканирования.
Примечание.
Подстановочные знаки поддерживаются в исключениях файлов и папок.
Folders
Чтобы убедиться, что исключение применяется только в том случае, если целевой папкой является папка, а не файл, можно использовать ограничение PathType:folder . Например:
C:\documents\*\:{PathType:folder}
Файлы
Чтобы убедиться, что исключение применяется только в том случае, если целевым объектом является файл, а не папка, можно использовать ограничение pathType: file.
Пример:
C:\documents\*.mdb\:{PathType:file}
Ограничение типа сканирования
По умолчанию исключения применяются ко всем типам сканирования:
- ресурс: один файл или папка сканируется целевым образом (например, щелчок правой кнопкой мыши, сканирование).
- quick: распространенные расположения запуска, используемые вредоносными программами, памятью и определенными разделами реестра
- full: включает в себя расположения быстрой проверки и полную файловую систему (все файлы и папки).
Чтобы устранить проблемы с производительностью, можно исключить папку или набор файлов из проверки с помощью определенного типа сканирования. Вы также можете определить необходимый тип сканирования для применения исключения.
Чтобы исключить проверку папки только во время полной проверки, укажите тип ограничения вместе с исключением файла или папки, как показано в следующем примере:
C:\documents\:{ScanType:full}
Чтобы исключить проверку папки только во время быстрой проверки, укажите тип ограничения вместе с исключением файла или папки:
C:\program.exe\:{ScanType:quick}
Если вы хотите убедиться, что это исключение применяется только к определенному файлу, а не к папке (c:\foo.exe может быть папкой), также примените ограничение PathType:
C:\program.exe\:{ScanType:quick,PathType:file}
Ограничение триггера сканирования
По умолчанию основные исключения применяются ко всем триггерам сканирования. Ограничение ScanTrigger позволяет указать, что исключение должно применяться только в том случае, если сканирование было инициировано определенным событием. по запросу (включая быстрые, полные и целевые проверки), при доступе или исходя из мониторинга поведения (включая сканирование памяти).
- OnDemand: проверка была активирована командой или действием администратора. Помните, что запланированные быстрые и полные проверки также относятся к этой категории.
- OnAccess: файл или папка открывается, записывается, читается или изменяется (обычно это защита в режиме реального времени).
- BM: триггер поведения приводит к тому, что поведенческий мониторинг сканирует определенный файл.
Чтобы исключить файл или папку и их содержимое из проверки только при проверке файла после доступа к файлу, определите ограничение триггера сканирования, например в следующем примере:
c:\documents\:{ScanTrigger:OnAccess}
Ограничение процесса
Это ограничение позволяет определить, что исключение должно применяться только при доступе к файлу или папке определенным процессом. Распространенный сценарий заключается в том, что требуется избежать исключения процесса, так как это позволит антивирусной программе Defender игнорировать другие операции этого процесса. В имени или пути процесса поддерживаются подстановочные знаки.
Примечание.
Использование большого количества ограничений на исключение процессов на компьютере может негативно сказаться на производительности. Кроме того, если исключение ограничено определенным процессом или процессами, другие активные процессы (например, индексирование, резервное копирование, обновления) по-прежнему могут активировать сканирование файлов.
Чтобы исключить файл или папку только при доступе к определенному процессу, создайте обычное исключение файла или папки и добавьте процесс, которым можно ограничить исключение. Например:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Способ настройки
После создания необходимых контекстных исключений можно использовать существующее средство управления для настройки исключений файлов и папок с помощью созданной строки.
См. раздел Настройка и проверка исключений для Microsoft Defender антивирусной программы
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по