關聯式檔案和資料夾排除
適用於:
適用於企業的 Microsoft Defender
Microsoft Defender 防毒軟體
Microsoft適用於個人的 Defender
本文/章節說明 Windows 上適用於 Microsoft Defender 防病毒軟體的內容檔案和資料夾排除功能。 當您透過套用限制來定義哪些內容Microsoft Defender 防病毒軟體不應該掃描檔案或資料夾時,此功能可讓您更加明確。
概觀
排除主要是為了減輕對效能的影響。 它們會降低保護值的懲罰。 這些限制可讓您藉由指定應套用排除的情況來限制這項保護。 內容型排除不適用於以可靠的方式處理誤判。 如果您遇到誤判,您可以透過 Microsoft Defender XDR 入口網站 提交檔案, (所需的訂用帳戶) 或 透過 Microsoft Security Intelligence 網站。 針對暫時隱藏方法,請考慮在適用於端點的 Defender Microsoft建立自定義允許指標。
您可以套用四個限制來限制排除的適用性:
- 檔案/資料夾路徑類型限制。 您可以將排除範圍限制為僅在目標為檔案時才套用,或藉由指定意圖來限制資料夾。 如果目標為檔案,但將排除專案指定為資料夾,則不會套用。 相反地,如果目標是資料夾,但將排除指定為檔案,則會套用排除。
- 掃描類型限制。 可讓您定義要套用排除的必要掃描類型。 例如,您只想要從完整掃描中排除特定資料夾,而不是從「資源」掃描中排除 (目標掃描) 。
-
掃描觸發程式類型限制。 您可以使用此限制來指定只有在特定事件起始掃描時,才應套用排除:
- on demand
- 存取時
- 或源自行為監視
- 進程限制。 可讓您定義只有在特定進程存取檔案或資料夾時,才應套用排除。
設定限制
限制通常會藉由將限制類型新增至檔案或資料夾排除路徑來套用。
Restriction | TypeName | 數值 |
---|---|---|
檔案/資料夾 | PathType | 檔 資料夾 |
掃描類型 | ScanType | 快 滿 |
掃描觸發程式 | ScanTrigger | OnDemand OnAccess BM |
程序 | 程序 | “<image_path>” |
需求
此功能需要Microsoft Defender 防病毒軟體:
- 平臺: 4.18.2205.7 或更新版本
- 引擎: 1.1.19300.2 或更新版本
語法
作為起點,您可能已經有想要更具體的排除專案。 若要形成排除字串,請先定義要排除之檔案或資料夾的路徑,然後新增類型名稱和相關聯的值,如下列範例所示。
<PATH>\:{TypeName:value,TypeName:value}
請記住, 所有類型 和 值 都區分大小寫。
注意事項
{}
內的條件必須為 true,限制才會相符。 例如,如果您指定兩個掃描觸發程式,這不可以是 true,而且不會套用排除。 若要指定相同類型的兩個限制,請建立兩個不同的排除範圍。
範例
下列字串只會在檔案且僅在存取權掃描中排除 「c:\documents\design.doc」:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
下列字串只有在 (存取) 掃描時,才會排除 “c:\documents\design.doc”,因為映射名稱為 “winword.exe” 的進程會加以存取:
c:\documents\design.doc\:{Process:"winword.exe"}
檔案和資料夾路徑可能包含通配符,如下列範例所示:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
行程映射路徑可能包含通配符,如下列範例所示:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
檔案/資料夾限制
您可以藉由指定意圖,將排除範圍限製為僅在目標為檔案或資料夾時才套用。 如果目標為檔案,但指定排除為資料夾,則不會套用排除。 相反地,如果目標是資料夾,但將排除指定為檔案,則會套用排除。
檔案/資料夾排除預設行為
如果您未指定任何其他選項,則檔案/資料夾會從所有類型的掃描中排除, 而且 不論目標是檔案或資料夾,都會套用排除。 如需自定義排除專案僅適用於特定掃描類型的詳細資訊,請參閱 掃描類型限制。
注意事項
檔案/資料夾排除專案支援通配符。
資料夾
若要確保排除只有在目標為資料夾時才適用,而非檔案,您可以使用 PathType:folder 限制。 例如:
C:\documents\*\:{PathType:folder}
檔案
若要確定排除只適用於目標為檔案,而非資料夾,您可以使用 PathType: 檔案限制。
例如:
C:\documents\*.mdb\:{PathType:file}
掃描類型限制
根據預設,排除範圍會套用至所有掃描類型:
- resource:以目標方式掃描單一檔案或資料夾 (例如,按兩下滑鼠右鍵、掃描)
- 快速:惡意代碼、記憶體和特定登錄機碼所使用的常見啟動位置
- 完整:包含快速掃描位置和完整的文件系統 (所有檔案和資料夾)
若要減輕效能問題,您可以排除特定掃描類型掃描的資料夾或一組檔案。 您也可以定義要套用排除的必要掃描類型。
若要排除只在完整掃描期間掃描的資料夾,請指定限制類型以及檔案或資料夾排除,如下列範例所示:
C:\documents\:{ScanType:full}
若要排除只在快速掃描期間掃描的資料夾,請指定限制類型以及檔案或資料夾排除:
C:\program.exe\:{ScanType:quick}
如果您想要確定此排除範圍只適用於特定檔案,而非資料夾 (c:\foo.exe 可以是資料夾) ,請同時套用 PathType 限制:
C:\program.exe\:{ScanType:quick,PathType:file}
掃描觸發程式限制
根據預設,基本排除專案會套用至所有掃描觸發程式。 ScanTrigger 限制可讓您指定只有在特定事件起始掃描時,才應套用排除;隨選 (包括快速、完整和目標掃描) 、存取或源自行為監視 (包括記憶體掃描) 。
- OnDemand:掃描是由命令或系統管理員動作觸發。 請記住,排定的快速和完整掃描也屬於此類別。
- OnAccess:檔案或資料夾會開啟/寫入/讀取/修改 (通常視為實時保護)
- BM:行為觸發程式會導致行為監視掃描特定檔案
若要排除檔案或資料夾及其內容,使其只能在存取檔案之後進行掃描時進行掃描,請定義掃描觸發程式限制,如下列範例所示:
c:\documents\:{ScanTrigger:OnAccess}
進程限制
這項限制可讓您定義只有在特定進程存取檔案或資料夾時,才應套用排除。 常見的案例是,當您想要避免排除程式時,因為該規避會導致 Defender 防病毒軟體忽略該程式的其他作業。 進程名稱/路徑支援通配符。
注意事項
在計算機上使用大量的進程排除限制可能會對效能造成負面影響。 此外,如果排除僅限於特定進程或進程,其他作用中的進程 (例如索引編製、備份、更新) 仍可觸發檔案掃描。
若只要在特定進程存取時才排除檔案或資料夾,請建立一般檔案或資料夾排除,並新增程式以限制排除範圍。 例如:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
如何設定
建構所需的內容相關排除項目之後,您可以使用現有的管理工具,使用您建立的字串來設定檔案和資料夾排除專案。
請參閱: 設定及驗證 Microsoft Defender 防病毒軟體掃描的排除專案
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應