Bağlamsal dosya ve klasör dışlamaları

Bu makalede/bölümde Windows'ta Microsoft Defender Virüsten Koruma için bağlamsal dosya ve klasör dışlamaları özelliği açıklanmaktadır. Bu özellik, kısıtlama uygulayarak Virüsten Koruma Microsoft Defender hangi bağlam altında bir dosyayı veya klasörü taramaması gerektiğini tanımlarken daha belirgin olmanıza olanak tanır.

Genel bakış

Dışlamalar öncelikli olarak performans üzerindeki etkileri azaltmaya yöneliktir. Daha düşük koruma değeri cezasıyla gelirler. Bu kısıtlamalar, dışlamanın uygulanacağı koşulları belirterek bu koruma azaltmasını sınırlamanıza olanak sağlar. Bağlamsal dışlamalar, hatalı pozitif sonuçları güvenilir bir şekilde ele almak için uygun değildir. Hatalı bir pozitif sonuçla karşılaşırsanız dosyaları analiz için Microsoft Defender portalından (abonelik gereklidir) veya Microsoft Güvenlik Zekası web sitesinden gönderebilirsiniz. Geçici bir gizleme yöntemi için Uç Nokta için Microsoft Defender'de özel bir izin verme göstergesi oluşturmayı göz önünde bulundurun.

Bir dışlamanın uygulanabilirliğini sınırlamak için uygulayabileceğiniz dört kısıtlama vardır:

• Dosya/klasör yolu türü kısıtlaması. Dışlamaları yalnızca hedef bir dosya veya bir klasörse geçerli olacak şekilde kısıtlayabilir ve amacı belirli hale getirebilirsiniz. Hedef bir dosyaysa ancak dışlama bir klasör olarak belirtilmişse, dışlama uygulanmaz. Buna karşılık, hedef klasörse ancak dışlama bir dosya olarak belirtilmişse, dışlama uygulanır.

• Tarama türü kısıtlaması. Bir dışlamanın uygulanması için gerekli tarama türünü tanımlamanızı sağlar. Örneğin, belirli bir klasörü yalnızca Tam taramalar'ın dışında tutmak istersiniz, ancak "kaynak" taramasından (hedefli tarama) hariç tutmak istemezsiniz.

• Tarama tetikleyici türü kısıtlaması. Dışlamanın yalnızca tarama belirli bir olay tarafından başlatıldığında geçerli olmasını belirtmek için bu kısıtlamayı kullanabilirsiniz, örneğin:

  • isteğe bağlı olarak;
  • erişimde; veya
  • davranışsal izlemeden kaynaklanır.

• İşlem kısıtlaması. Dışlamanın yalnızca belirli bir işlem tarafından bir dosya veya klasöre erişildiğinde geçerli olması gerektiğini tanımlamanızı sağlar.

Kısıtlamaları yapılandırma

Kısıtlamalar genellikle dosya veya klasör dışlama yoluna kısıtlama türü eklenerek uygulanır.

Kısıtlama	TypeName	değer
Dosya/klasör	PathType	file folder
Tarama türü	ScanType	quick full
Tarama tetikleyicisi	ScanTrigger	OnDemand OnAccess Davranış izleme
İşlem	Process	<path>

Gereksinimler

Bu özellik Microsoft Defender Virüsten Koruma gerektirir.

• Platform sürümü: 4.18.2205.7 veya üzeri
• Altyapı sürümü: 1.1.19300.2 veya üzeri

Bkz. Virüsten koruma güvenlik bilgileri ve ürün güncelleştirmelerini Microsoft Defender.

Sözdizimi

Başlangıç noktası olarak, daha belirgin hale getirmek istediğiniz dışlamalar zaten mevcut olabilir. Dışlama dizesini oluşturmak için, önce dışlanacak dosya veya klasörün yolunu tanımlayın, ardından aşağıdaki örnekte gösterildiği gibi tür adını ve ilişkili değeri ekleyin.

<PATH>\:{TypeName:value,TypeName:value}

Tümtürlerin ve değerlerin büyük/küçük harfe duyarlı olduğunu unutmayın.

Not

Kısıtlamanın eşleşmesi için içindeki {} koşullar DOĞRU OLMALIDIR. Örneğin, iki tarama tetikleyicisi belirtirseniz bu doğru olamaz ve dışlama uygulanmaz. Aynı türde iki kısıtlama belirtmek için iki ayrı dışlama oluşturun.

Örnekler

Aşağıdaki dize yalnızca bir dosyaysa ve yalnızca erişim içi taramalarda hariç tutulur c:\documents\design.doc :

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Aşağıdaki dize yalnızca görüntü adına winword.exesahip bir işlem tarafından erişildiğinden taranıyorsa (erişimde) hariç tutulurc:\documents\design.doc:

c:\documents\design.doc\:{Process:"winword.exe"}

Dosya ve klasör yolları, aşağıdaki örnekte olduğu gibi joker karakterler içerebilir:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

İşlem görüntüsü yolu, aşağıdaki örnekte olduğu gibi joker karakterler içerebilir:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Dosya/klasör kısıtlaması

Dışlamaları yalnızca hedef bir dosya veya klasörse geçerli olacak şekilde kısıtlayabilir ve amacı belirli hale getirebilirsiniz. Hedef bir dosyaysa ancak dışlama bir klasör olarak belirtilmişse, dışlama uygulanmaz. Buna karşılık, hedef klasörse ancak dışlama bir dosya olarak belirtilmişse, dışlama uygulanır.

Dosya/klasör dışlamaları varsayılan davranışı

Başka bir seçenek belirtmezseniz, dosya/klasör tüm tarama türlerinin dışında tutulur ve hedef bir dosya veya klasör olmasına bakılmaksızın dışlama uygulanır. Dışlamaları yalnızca belirli bir tarama türüne uygulanacak şekilde özelleştirme hakkında daha fazla bilgi için bkz . Tarama türü kısıtlaması.

Not

Dosya/klasör dışlamalarında joker karakterler desteklenir.

Klasörler

Dışlamanın yalnızca hedef bir dosya değil bir klasörse geçerli olduğundan emin olmak için PathType:folder kısıtlamasını kullanabilirsiniz. Örneğin:

C:\documents\*\:{PathType:folder}

Dosyalar

Dışlamanın yalnızca hedef bir dosyaysa geçerli olduğundan emin olmak için PathType: dosya kısıtlamasını kullanabilirsiniz. Örneğin:

C:\documents\*.mdb\:{PathType:file}

Tarama türü kısıtlaması

Varsayılan olarak, dışlamalar tüm tarama türleri için geçerlidir:

• kaynak: Tek bir dosya veya klasör hedefli bir şekilde taranır (örneğin, sağ tıklama, Tarama)
• hızlı: kötü amaçlı yazılım, bellek ve belirli kayıt defteri anahtarları tarafından kullanılan yaygın başlangıç konumları
• full: Hızlı tarama konumlarını ve tam dosya sistemini (tüm dosya ve klasörler) içerir

Performans sorunlarını azaltmak için, belirli bir tarama türü tarafından taranan bir klasörü veya dosya kümesini dışlayabilirsiniz. Bir dışlamanın uygulanması için gerekli tarama türünü de tanımlayabilirsiniz.

Bir klasörü yalnızca tam tarama sırasında taranmasının dışında tutmak için, aşağıdaki örnekte olduğu gibi dosya veya klasör dışlaması ile birlikte bir kısıtlama türü belirtin:

C:\documents\:{ScanType:full}

Bir klasörü yalnızca hızlı tarama sırasında taranmasının dışında tutmak için, aşağıdaki örnekte olduğu gibi dosya veya klasör dışlaması ile birlikte bir kısıtlama türü belirtin:

C:\program.exe\:{ScanType:quick}

Bu dışlamanın yalnızca belirli bir dosya için geçerli olduğundan ve klasör (c:\foo.exe bir klasör olabileceğinden) emin olmak istiyorsanız, aşağıdaki örnekte olduğu gibi kısıtlamayı PathType da uygulayın:

C:\program.exe\:{ScanType:quick,PathType:file}

Tarama tetikleyicisi kısıtlaması

Varsayılan olarak, temel dışlamalar tüm tarama tetikleyicileri için geçerlidir. ScanTrigger kısıtlaması, dışlamanın yalnızca tarama belirli bir olay tarafından başlatıldığında geçerli olmasını belirtmenizi sağlar; isteğe bağlı (hızlı, tam ve hedefli taramalar dahil), erişimde veya davranışsal izlemeden (bellek taramaları dahil) kaynaklanır.

• OnDemand: Bir komut veya yönetici eylemi tarafından tetiklenen tarama. Zamanlanmış hızlı ve tam taramaların da bu kategoriye girildiğini unutmayın.
• OnAccess: Bir dosya veya klasör açılır/yazılır/okunur/değiştirilir (genellikle gerçek zamanlı koruma olarak kabul edilir)
• BM: Davranış tetikleyicisi, davranışsal izlemenin belirli bir dosyayı taramasına neden olur

Bir dosya veya klasörü ve içeriğini yalnızca dosyaya erişildikten sonra taranırken taranmasını dışlamak için, aşağıdaki örnek gibi bir tarama tetikleyicisi kısıtlaması tanımlayın:

c:\documents\:{ScanTrigger:OnAccess}

İşlem kısıtlaması

Bu kısıtlama, dışlamanın yalnızca belirli bir işlem tarafından bir dosya veya klasöre erişilirken geçerli olması gerektiğini tanımlamanızı sağlar. Yaygın bir senaryo, işlemin dışlanmasını önlemek istemenizdir çünkü bu önleme, Defender Virüsten Koruma bu işlem tarafından diğer işlemleri yoksaymasına neden olur. İşlem adında/yolunda joker karakterler desteklenir.

Not

Makinede büyük miktarda işlem dışlama kısıtlaması kullanılması performansı olumsuz etkileyebilir. Ayrıca, bir dışlama belirli bir işlem veya işlemle sınırlıysa, diğer etkin işlemler (dizin oluşturma, yedekleme, güncelleştirmeler gibi) dosya taramalarını tetikleyebilir.

Bir dosya veya klasörü yalnızca belirli bir işlem tarafından erişildiğinde dışlamak için, normal bir dosya veya klasör dışlaması oluşturun ve dışlamanın kısıtlanması için işlemi ekleyin. Örneğin:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Yapılandırma

İstediğiniz bağlamsal dışlamaları oluşturduktan sonra, oluşturduğunuz dizeyi kullanarak dosya ve klasör dışlamalarını yapılandırmak için mevcut yönetim aracınızı kullanabilirsiniz.

Bkz. Microsoft Defender Virüsten Koruma taramaları için dışlamaları yapılandırma ve doğrulama.

Ayrıca bkz.

• Dışlamalara genel bakış
• Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.