上下文文件和文件夹排除
适用于:
Microsoft Defender 商业版
Microsoft Defender 防病毒
个人Microsoft Defender
本文/部分介绍 Windows 上Microsoft Defender防病毒的上下文文件和文件夹排除功能。 通过应用限制,使用此功能可以更具体地定义Microsoft Defender防病毒不应扫描文件或文件夹的上下文。
概述
排除项主要用于缓解对性能的影响。 他们受到保护价值降低的处罚。 通过这些限制,可以通过指定应应用排除的环境来限制这种保护减少。 上下文排除项不适合以可靠方式解决误报。 如果遇到误报,可以通过Microsoft Defender XDR门户 (订阅所需的) 或通过Microsoft 安全智能网站提交文件进行分析。 对于临时抑制方法,请考虑在Microsoft Defender for Endpoint创建自定义允许指示器。
可以应用四个限制来限制排除项的适用性:
- 文件/文件夹路径类型限制。 可以通过指定意向,将排除限制为仅当目标为文件或文件夹时才适用。 如果目标是文件,但排除项被指定为文件夹,则不会应用。 相反,如果目标是文件夹,但排除项被指定为文件,则将应用排除项。
- 扫描类型限制。 使你能够定义要应用的排除项所需的扫描类型。 例如,你只想从完全扫描中排除特定文件夹,而不希望从“资源”扫描中排除 (目标扫描) 。
- 扫描触发器类型限制。 可以使用此限制来指定仅当扫描由特定事件启动时,才应应用排除:
- 按需
- 访问时
- 或源自行为监视
- 进程限制。 使你能够定义仅当特定进程访问文件或文件夹时,才应应用排除项。
配置限制
通常通过将限制类型添加到文件或文件夹排除路径来应用限制。
Restriction | TypeName | 值 |
---|---|---|
文件/文件夹 | PathType | file folder |
扫描类型 | ScanType | 快速 全 |
扫描触发器 | ScanTrigger | OnDemand OnAccess Bm |
流程 | 流程 | “<image_path>” |
要求
此功能需要Microsoft Defender防病毒:
- 平台: 4.18.2205.7 或更高版本
- 引擎: 1.1.19300.2 或更高版本
语法
首先,你可能已经有了要更具体的排除项。 若要形成排除字符串,请先定义要排除的文件或文件夹的路径,然后添加类型名称和关联值,如以下示例所示。
<PATH>\:{TypeName:value,TypeName:value}
请记住,所有类型和值都区分大小写。
注意
内部 {}
条件必须为 true,限制才能匹配。 例如,如果指定两个扫描触发器,则这不能为 true,并且排除将不适用。 若要指定同一类型的两个限制,请创建两个单独的排除项。
示例
以下字符串仅当“c:\documents\design.doc”是文件且仅在访问扫描中时才排除:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
以下字符串仅当扫描 (访问) 时,以下字符串才排除“c:\documents\design.doc”,因为映像名称为“winword.exe”的进程对其进行访问:
c:\documents\design.doc\:{Process:"winword.exe"}
文件和文件夹路径可能包含通配符,如以下示例所示:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
进程映像路径可能包含通配符,如以下示例所示:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
文件/文件夹限制
可以通过指定意向,将排除限制为仅当目标为文件或文件夹时才适用。 如果目标是文件,但排除项被指定为文件夹,则排除项将不适用。 相反,如果目标是文件夹,但排除项被指定为文件,则将应用排除项。
文件/文件夹排除默认行为
如果未指定任何其他选项,则文件/文件夹将从所有类型的扫描中排除, 并且 无论目标是文件还是文件夹,都会应用排除项。 有关自定义排除项以仅应用于特定扫描类型的详细信息,请参阅 扫描类型限制。
注意
文件/文件夹排除项支持通配符。
Folders
若要确保排除仅当目标为文件夹(而不是文件)时才适用,可以使用 PathType:folder 限制。 例如:
C:\documents\*\:{PathType:folder}
文件
若要确保排除仅在目标为文件(而不是文件夹)时才适用,可以使用 PathType:文件限制。
示例:
C:\documents\*.mdb\:{PathType:file}
扫描类型限制
默认情况下,排除项适用于所有扫描类型:
- 资源:以有针对性的方式扫描单个文件或文件夹, (例如右键单击、扫描)
- 快速:恶意软件、内存和某些注册表项使用的常见启动位置
- full:包括快速扫描位置和完整的文件系统 (所有文件和文件夹)
若要缓解性能问题,可以排除特定扫描类型对文件夹或一组文件进行扫描。 还可以定义要应用的排除项所需的扫描类型。
若要仅在完全扫描期间排除文件夹,请将限制类型与文件或文件夹排除一起指定,如以下示例所示:
C:\documents\:{ScanType:full}
若要仅在快速扫描期间将文件夹排除在扫描之外,请同时指定限制类型以及文件或文件夹排除:
C:\program.exe\:{ScanType:quick}
如果要确保此排除项仅适用于特定文件,而不适用于文件夹 (c:\foo.exe 可能是) 文件夹,则还要应用 PathType 限制:
C:\program.exe\:{ScanType:quick,PathType:file}
扫描触发器限制
默认情况下,基本排除项适用于所有扫描触发器。 使用 ScanTrigger 限制,可以指定仅当扫描由特定事件启动时才适用排除项;按需 (包括快速、完整和有针对性的扫描,) 访问或源自行为监视 (包括内存扫描) 。
- OnDemand:命令或管理员操作触发了扫描。 请记住,计划的快速和完全扫描也属于此类别。
- OnAccess:打开/写入/读取/修改文件或文件夹 (通常被视为实时保护)
- BM:行为触发器导致行为监视扫描特定文件
若要仅在访问后扫描文件时排除文件或文件夹及其内容,请定义扫描触发器限制,如以下示例所示:
c:\documents\:{ScanTrigger:OnAccess}
进程限制
通过此限制,可以定义仅当特定进程访问文件或文件夹时,才应应用排除项。 一种常见情况是,需要避免排除进程,因为避免该操作会导致 Defender 防病毒忽略该进程的其他操作。 进程名称/路径支持通配符。
注意
在计算机上使用大量进程排除限制可能会对性能产生负面影响。 此外,如果排除仅限于特定进程,则其他活动进程 ((如索引、备份、更新) )仍可以触发文件扫描。
若要仅在特定进程访问时排除文件或文件夹,请创建一个普通的文件或文件夹排除,并添加用于限制排除的进程。 例如:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
如何配置
构造所需的上下文排除项后,可以使用现有的管理工具使用创建的字符串来配置文件和文件夹排除项。
请参阅:配置和验证Microsoft Defender防病毒扫描的排除项
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈