Исключения в антивирусной программе Microsoft Defender

Исключения указывают Антивирусу Microsoft Defender не проверять определенные файлы, папки или процессы во время проверки. Каждое исключение — это брешь в защите, которая ослабляет вашу защиту, поэтому используйте исключения только при необходимости. Определите исключение только для решения конкретной проблемы, например проблемы с производительностью или совместимостью приложений, и сначала рассмотрите варианты, такие как пользовательские индикаторы . Не исключайте что-то просто потому, что вы думаете, что это может быть проблема позже. Дополнительные сведения об элементах, которые никогда не следует исключать, см. в статье Исключения, которых следует избегать в Microsoft Defender Antivirus и Defender for Endpoint. Дополнительные сведения о компромиссах см. в разделе "Обзор исключений и индикаторов" в Microsoft Defender для конечной точки.

Microsoft Defender Антивирусная программа поддерживает следующие типы исключений:

  • Встроенные исключения: предопределенные исключения для файлов операционной системы, которые Microsoft Defender Antivirus применяет автоматически и которые не требуют настройки с вашей стороны. Дополнительные сведения см. в статье о встроенных исключениях.
  • Пользовательские исключения: исключения, которые определяются самостоятельно:
    • Исключения файлов и папок: исключить определенный файл или все в папке. Также называется исключениями путей.
    • Исключения расширений файлов: исключите любой файл, имеющий определенное расширение, независимо от расположения.
    • Исключения процессов: исключите все файлы, которые открывает определенный процесс.
    • Контекстные исключения: сузите исключение пути, чтобы оно применялось только в определенном контексте, например только при открытии определенного процесса файла.

Сведения о настройке любого из пользовательских типов исключений см. в разделе "Настройка настраиваемых исключений" для Microsoft Defender антивирусной программы.

Важные моменты об исключениях

При определении исключений следует учитывать следующие моменты:

  • Исключения могут напрямую влиять на то, будет ли антивирусная программа Microsoft Defender блокировать, устранять угрозы или проверять события, связанные с исключенными файлами, папками или процессами. Они также влияют на функции, зависящие от антивирусного модуля, такие как защита от вредоносных программ, индикаторы компрометации файлов (IOC) и индикаторы компрометации сертификатов (IOC). Исключения процессов на любой платформе также препятствуют защите сети и сокращению поверхностей атак (ASR) проверять трафик или применять правила для исключенных процессов.

  • Даже при настройке исключений Microsoft Defender антивирусная программа выполняет минимальную оценку, чтобы определить, применяется ли исключение. Эта оценка не включает полное сканирование содержимого. При выполнении условий исключения Microsoft Defender антивирусная программа пропускает сканирование указанного файла, папки или процесса.

  • В Windows Server антивирусная программа Microsoft Defender также применяет предопределенные автоматические исключения для установленных ролей сервера и встроенных исключений для файлов операционной системы. Эти предопределенные исключения отличаются от определяемых пользовательских исключений. Дополнительные сведения см. в статье Исключения антивирусной программы Microsoft Defender в Windows Server.

  • Исключения применяются к запланированным сканированиям, проверкам по запросу, защите в режиме реального времени и потенциально нежелательным обнаружениям приложений (PUA), но не ко всем Defender для возможностей конечной точки. Чтобы исключить файлы для Microsoft Defender for Endpoint в целом, используйте пользовательские индикаторы.

  • Исключения Microsoft Defender Antivirus применяются к некоторым правилам ASR. Дополнительные сведения см. в разделе Исключения файлов и папок для правил ASR.

  • Исключенные файлы по-прежнему могут вызывать предупреждения системы обнаружения и реагирования на конечных точках (EDR), а также по-прежнему могут приводить к антивирусным поведенческим или эвристическим обнаружениям в портале Microsoft Defender. Чтобы исключить файлы более широко, добавьте их в пользовательские индикаторы Microsoft Defender для конечной точки .

  • Не исключайте сопоставленные сетевые диски. Укажите фактический сетевой путь.

  • Подстановочные знаки (например, *) изменяют интерпретацию правил исключения. Дополнительные сведения см. в разделе Подстановочные знаки в исключениях Microsoft Defender Antivirus.

  • По умолчанию локальные изменения в списке исключений, внесенные администраторами (включая изменения, внесенные с помощью PowerShell и Windows Management Instrumentation (WMI)), объединяются с исключениями, развернутыми через групповую политику, Configuration Manager или Microsoft Intune. Исключения, развернутые групповой политикой, имеют приоритет при возникновении конфликта, и они отображаются в приложении Безопасность Windows. Сведения о том, как локальные изменения переопределяют управляемые параметры, см. в статье "Настройка объединения локальных и глобальных списков исключений".

  • Периодически просматривайте и проверяйте исключения. Повторно проверьте и усильте меры по снижению рисков в рамках проверки, а также сохраните контекст, поясняющий, почему потребовалось каждое исключение.

Встроенные исключения

Microsoft Defender Антивирусная программа включает встроенные исключения для файлов операционной системы во всех поддерживаемых версиях Windows клиента и сервера. Эти исключения поставляются и поддерживаются в актуальном состоянии с помощью обновлений аналитики угроз по мере изменения ландшафта угроз, поэтому они применяются без какой-либо ручной настройки. Они не отображаются в стандартных списках исключений в приложении Безопасность Windows.

Tip

Расположения по умолчанию, описанные в этой статье, могут отличаться от расположений на устройствах.

  • Файлы temp.edb в Windows:

    • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
    • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
  • Файлы Центра обновления Windows или файлы автоматического обновления:

    • %windir%\SoftwareDistribution\Datastore\Datastore.edb
    • %windir%\SoftwareDistribution\Datastore\*\edb.chk
    • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
    • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
    • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
  • Файлы безопасности Windows:

    • %windir%\Security\database\*.chk
    • %windir%\Security\database\*.edb
    • %windir%\Security\database\*.jrs
    • %windir%\Security\database\*.log
    • %windir%\Security\database\*.sdb
  • Файлы групповой политики:

    • %allusersprofile%\NTUser.pol
    • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
    • %SystemRoot%\System32\GroupPolicy\User\registry.pol

В поддерживаемых версиях Windows Server антивирусная программа Microsoft Defender применяет дополнительные встроенные исключения для функций сервера (например, службы Windows Internet Name Service и службы репликации файлов), а также автоматические исключения для установленных ролей сервера. Дополнительные сведения см. в статье Исключения антивирусной программы Microsoft Defender в Windows Server.

Исключения файлов и папок

Исключения файлов и папок доступны для отдельных файлов и целых папок, которые хранятся вместе в списке исключений одного пути. Исключение для файлов и папок всегда применяется к определенному пути. Чтобы исключить все файлы, имеющие определенное расширение независимо от расположения, используйте отдельное исключение расширения.

  • Файлы: доступны следующие типы исключений:

    • Отдельный файл, указанный полным путем, например c:\sample\sample.test. Исключается только этот файл в этом местоположении.
    • Исполняемый файл программы с указанием полного пути, например c:\test\process.exe. Исключение для исполняемого файла не позволяет антивирусной программе Microsoft Defender проверять сам файл, но не файлы, которые открывает эта программа. Чтобы пропустить открываемые файлы, используйте исключение процесса .

    Note

    Значение, содержащее только имя файла, например sample.test, не позволяет надёжно исключить файл. Укажите полный путь к файлу. Подстановочные знаки обозначают ровно одну папку каждый, поэтому c:\*\sample.test совпадает с файлом только в папках, расположенных на один уровень ниже c:\, а не в корне или в папках с более глубокой вложенностью.

  • Папки: Исключить всё в папке, например все файлы и вложенные папки в c:\test\sample. Применяются следующие условия:

    • Исключение охватывает все файлы и подпапки в этой папке, за исключением подпапок точки повторной обработки. Добавьте отдельную запись исключения для папки для каждой подпапки точки повторной обработки, которую нужно исключить.
    • Папка с точкой повторной обработки, созданная после запуска службы Microsoft Defender Antivirus, не распознается как допустимый объект для исключения до перезапуска Windows.

Исключения по расширениям файлов

Исключения расширений файлов хранятся в отдельном списке исключений расширений, отличных от исключений файлов и папок. Значение, например test , рассматривается как расширение, только потому что оно находится в списке расширений, а не в списке путей к файлам и папкам.

  • Исключение расширения, например .test (начальная точка является необязательной), применяется к любому файлу с этим расширением в любом месте устройства.
  • Чтобы ограничить расширение определённым расположением, используйте исключение для файлов и папок с использованием подстановочного знака, например c:\example\*.test.

Исключения для процессов

Исключение для процесса указывает антивирусу Microsoft Defender пропускать файлы, которые открывает этот процесс. Исключения файлов, открытых исключенными процессами, применяются к запланированным сканированиям и защите и мониторингу в режиме реального времени.

Чтобы исключить сам исполняемый файл процесса, добавьте для него отдельное исключение файлов и папок .

Используйте следующие методы, чтобы исключить процесс:

  • Исключения для имен образов: Имя файла процесса без пути, например MyProcess.exe. Исключает файлы, открытые любым процессом с таким именем, независимо от того, откуда он выполняется, включая съемный носитель.
  • Исключения полного пути: имя файла и путь процесса, например C:\MyFolder\MyProcess.exe. Исключает файлы, открытые только этим конкретным процессом. По возможности используйте полный путь.

Ниже приведены некоторые примеры исключения процессов:

  • test.exe исключает любой файл, открытый любым процессом с таким именем, который включает файлы, открытые следующими процессами:
    • c:\sample\test.exe
    • d:\internal\files\test.exe
  • c:\test\test.exe исключает только файлы, открытые этим процессом.
  • c:\test\sample\* исключает любой файл, открытый любым процессом в рамках указанного пути к папке. Например:
    • c:\test\sample\test.exe
    • c:\test\sample\test2.exe
    • c:\test\sample\utility.exe

Контекстные исключения

Контекстное исключение сужает область действия исключения файлов и папок так, что антивирусная программа Microsoft Defender пропускает файл или папку только в конкретном контексте. Например, файл можно исключить только при открытии определенного процесса или типа сканирования. Поскольку каждое исключение повышает производительность, но снижает защиту, контекстные ограничения позволяют ограничить этот компромисс, контролируя, когда применяется исключение.

Для контекстных исключений файлов и папок требуется, чтобы Антивирус Microsoft Defender был основным антивирусным приложением на устройствах Windows:

  • Версия платформы: 4.18.2205.7 (май 2022) или более поздней версии.
  • Версия движка: 1.1.19300.2 (май 2022 г.) или более поздняя версия.

Контекстные исключения файлов и папок — это функция только для Windows. Они недоступны на устройствах Linux или macOS, даже подключенных к Microsoft Defender для конечной точки.

Вы создаете контекстное исключение путем добавления контекстных ограничений в стандартное исключение файлов и папок, а затем применяете его так же, как и любое другое исключение. Сведения о методах конфигурации см. в разделе "Настройка настраиваемых исключений для Microsoft Defender антивирусной программы".

Note

Приложение Безопасность Windows не поддерживает контекстные исключения.

Контекстные исключения файлов и папок используют следующий синтаксис:

<RegularFileOrFolderExclusion>\:{ContextualRestrictionKeyword1:value1,ContextualRestrictionKeyword2:value2,...ContextualRestrictionKeywordN:valueN}

Часть <RegularFileOrFolderExclusion> является стандартным исключением файлов или папок, поэтому она поддерживает те же подстановочные знаки (*, ?и переменные среды) и соответствует тем же правилам сопоставления путей. Дополнительные сведения см. в разделе Подстановочные знаки в исключениях для файлов и папок. В контекстных исключениях символ обратной косой черты (\) всегда должен ставиться непосредственно перед двоеточием (:), которое разделяет путь и ограничения {}, как в ...\:{...}.

Вы добавляете контекстные ограничения в часть {}. Каждое контекстное ограничение имеет ключевое слово и значение, как показано в следующей таблице:

Тип контекстного ограничения Keyword Ценность
Ограничение файлов и папок PathType file

folder
Ограничение типа сканирования ScanType quick

full
Ограничение триггера сканирования ScanTrigger OnDemand

OnAccess

BM (Мониторинг поведения)
Ограничение процесса Process <path>

Important

Ограничения для контекстных ключевых слов (например, PathType) и их значения (например, file, OnAccess и BM) зависят от регистра, как показано в таблице и в следующих примерах. Пути к файлам, папкам и процессам соответствуют обычным правилам путей Windows и не учитывают регистр.

Note

ScanType ScanTrigger Несколько PathTypeпар "ключевое слово-значение" в одном контекстном исключении используют и логику AND. Например, {ScanTrigger:OnAccess,ScanTrigger:OnDemand} никогда не может быть истинным, и исключение никогда не применяется, поскольку у одного события сканирования есть только один триггер сканирования. Чтобы исключить несколько значений ScanType, ScanTrigger или PathType, создайте несколько контекстных исключений.

Несколько Process пар "ключевое слово-значение" в одном контекстном исключении используют логику OR, поэтому можно исключить несколько Process значений в одном исключении. Дополнительные сведения см. в разделе "Контекстные ограничения процесса".

Вы можете объединить различные типы ключевых слов в одном контекстном исключении, как показано в следующих подразделах.

Контекстные исключения не являются надежным способом устранения ложных срабатываний (когда легитимные файлы или процессы ошибочно определяются как вредоносные). Если вы обнаружили ложное срабатывание, вы можете отправить файл в Microsoft на анализ через Microsoft Security Intelligence. С помощью Microsoft Defender для конечной точки Plan 2 или Microsoft Defender XDR можно вместо этого отправлять файлы из портала Microsoft Defender. Если у вас есть Microsoft Defender для конечной точки, можно также создать настраиваемый индикатор разрешения в качестве временного метода подавления. Дополнительные сведения см. в разделе Создание индикаторов для файлов.

Ограничения контекстного пути к файлу или папке

Используйте ключевое слово PathType контекстного ограничения, чтобы указать, что исключение применяется только к файлу или только к папке.

  • Используется PathType:folder для применения исключения только в том случае, если исключенный элемент является папкой, а не файлом. Рассмотрим пример.

    C:\documents\*\:{PathType:folder}

  • Используется PathType:file для применения исключения только в том случае, если исключенный элемент является файлом, а не папкой. Рассмотрим пример.

    C:\documents\*.mdb\:{PathType:file}

  • PathType Если ограничение не соответствует типу исключенного элемента, исключение не применяется:

    • Контекстное ограничение определяет исключение как папку, но отсканированный элемент является файлом.
    • Контекстное ограничение определяет исключение как файл, но отсканированный элемент является папкой.
  • В этом примере из проверок по запросу исключаются файлы .docx внутри любой папки первого уровня на диске C:

    c:\*\*.docx\:{PathType:file,ScanTrigger:OnDemand}

    Если вы не включаете PathType:file в исключение, все папки , имена которых заканчиваются .docx в тех же папках первого уровня, также исключены из проверок по запросу.

Ограничения контекстного типа сканирования

Используйте ключевое ScanType слово контекстного ограничения, чтобы применить исключение только во время определенного типа сканирования:

  • Быстрые проверки (quick): распространенные места автозапуска, используемые вредоносными программами, память и определенные разделы реестра.
  • Полное сканирование (full): области быстрого сканирования, а также вся файловая система (все файлы и папки).

Дополнительные сведения о каждом типе сканирования см. в разделе "Сравнение быстрого сканирования", "Полная проверка" и "Настраиваемое сканирование".

Этот пример исключает указанную папку только во время полной проверки:

C:\documents\:{ScanType:full}

Этот пример исключает указанный файл только во время быстрой проверки:

C:\program.exe\:{ScanType:quick}

Чтобы убедиться, что исключение применяется только к файлам, а не к папкам (c:\program.exe может быть папкой), также используйте PathType контекстное ограничение, как показано в следующем примере:

C:\program.exe\:{ScanType:quick,PathType:file}

Контекстные ограничения триггера сканирования

Используйте ключевое ScanTrigger слово контекстного ограничения, чтобы применить исключение только в том случае, если проверка инициируется определенным событием:

Этот пример исключает указанную папку, только если она сканируется после доступа:

c:\documents\:{ScanTrigger:OnAccess}

Этот пример исключает указанный файл (а не папку), только если он сканируется с помощью команды или действия администратора:

c:\documents\design.docx\:{PathType:file,ScanTrigger:OnDemand}

Контекстные ограничения процесса

Используйте ключевое Process слово контекстного ограничения, чтобы применить исключение только в том случае, если определенный процесс обращается к файлу или папке.

  • Не добавляйте сам процесс в исключения, так как в этом случае Антивирус Microsoft Defender будет игнорировать все остальные операции, выполняемые этим процессом.

  • Подстановочные знаки поддерживаются в имени процесса и пути.

  • Вы можете перечислить несколько процессов в одном контекстном исключении с помощью следующего синтаксиса:

    <RegularFileOrFolderExclusion>\:{Process1:value1,Process2:value2,...ProcessN:valueN}

    В отличие от других контекстных типов ограничений, несколько Process ограничений соответствуют логике OR: исключение применяется, если любой из перечисленных процессов обращается к файлу или папке.

  • Использование множества ограничений процесса на устройстве может снизить производительность.

  • Если исключение ограничено определенным процессом, другие активные процессы (например, индексирование, резервное копирование или обновления) по-прежнему могут активировать сканирование файлов.

Этот пример исключает указанный файл, только если указанный процесс обращается к нему:

c:\documents\design.docx\:{Process:"winword.exe"}

Этот пример исключает указанный файл (а не папку), только если указанные процессы обращаются к нему:

c:\documents\design.docx\:{PathType:file,Process:"winword.exe",Process:"msaccess.exe",Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Подстановочные знаки в исключениях антивирусной программы Microsoft Defender

Звездочку *, вопросительный знак ? или переменные среды можно использовать в качестве подстановочных знаков в исключениях для файлов, папок и процессов. Можно комбинировать *, ? и переменные среды в одном исключении.

То, как антивирус Microsoft Defender интерпретирует подстановочные знаки, отличается от их обычного использования в других приложениях и языках:

  • Служба антивирусной Microsoft Defender запускается в системном контексте с помощью учетной записи LocalSystem. Служба получает сведения из системных переменных среды, а не из переменных среды пользователя . Используйте в качестве подстановочных знаков только следующие типы переменных среды:
  • Для каждой записи можно использовать не более шести подстановочных знаков.
  • Вместо буквы диска нельзя использовать подстановочный знак.

Подстановочные знаки в исключениях файлов и папок

Поведение подстановочных знаков для исключений файлов и папок описано в следующем списке. Так как это записи об исключении, excludes означает, что запись совпадает и пропускает указанный в списке элемент.

  • * (звездочка):
    • В имени или расширении файла: соответствует любому числу символов, но применяется только к файлам в последней папке, именуемой в записи (а не вложенной папке). Например, C:\MyData\*.txt исключает C:\MyData\notes.txt.
    • В пути папки: соответствует одной папке. Используйте несколько вхождений \*\ для вложенных папок без имени. После сопоставления именованных и подстановочных папок все вложенные папки также рассматриваются. Например:
      • C:\somepath\*\Data исключает любой файл в папке C:\somepath\Archives\Data и её подпапках, а также в папке C:\somepath\Authorized\Data и её подпапках.
      • C:\Serv\*\*\Backup исключает все файлы в папке C:\Serv\Primary\Denied\Backup и её вложенных папках, а также в папке C:\Serv\Secondary\Allowed\Backup и её вложенных папках.
  • ? (вопросительный знак):
    • В имени или расширении файла: соответствует одному символу, но применяется только к файлам в последней папке с именем в записи (а не вложенной папке). Например, C:\MyData\my?.zip исключает C:\MyData\my1.zip.
    • В пути папки: соответствует одному символу в имени папки. После сопоставления именованных и подстановочных папок все вложенные папки также рассматриваются. Например, C:\somepath\?\Data исключает любой файл в C:\somepath\P\Data и его подпапках, а C:\somepath\test0?\Data исключает любой файл в C:\somepath\test01\Data и его подпапках.
  • Переменные среды: разворачиваются в путь при проверке исключения. Например, %ALLUSERSPROFILE%\CustomLogFiles исключает C:\ProgramData\CustomLogFiles\Folder1\file1.txt.
  • Сочетание и сопоставление: объединение переменных *среды и ? в одной записи. Например, %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe исключает C:\Program Files\Contoso Labs\v1\bin\contoso.exe.

Important

Если вы смешиваете исключение файла с исключением папки, правила останавливаются на совпадении исключения файлов в соответствующей папке и не будут искать совпадения файлов во вложенных папках.

Например, c:\data\*\marked\date* исключает все файлы, имена которых начинаются с "date", в папках c:\data\final\marked и c:\data\review\marked, но не в их подпапках.

Подстановочные знаки в исключениях процессов

Подстановочные знаки доступны в исключениях процессов, но их использование несколько отличается:

Использование подстановочных знаков для исключений процессов по полному пути описано в следующем списке. Поскольку это записи об исключении, excludes означает, что запись совпадает и пропускает проверку файлов, открытых указанным процессом.

  • * (звездочка): соответствует любому числу символов. Например:
    • C:\MyFolder\* исключает любой файл, открытый C:\MyFolder\MyProcess.exe или C:\MyFolder\AnotherProcess.exe.
    • C:\*\*\MyProcess.exe исключает любой файл, открытый C:\MyFolder1\MyFolder2\MyProcess.exe или C:\MyFolder3\MyFolder4\MyProcess.exe.
    • C:\*\MyFolder\My*.exe исключает любой файл, открытый C:\MyOtherFolder\MyFolder\MyProcess.exe или C:\AnotherFolder\MyFolder\MyOtherProcess.exe.
  • ? (вопросительный знак): соответствует одному символу. Например, C:\MyFolder\MyProcess??.exe исключает все файлы, открытые в C:\MyFolder\MyProcess42.exe, C:\MyFolder\MyProcessAA.exe или C:\MyFolder\MyProcessF5.exe.
  • Переменные среды: разворачиваются в путь при проверке исключения. Например, %ALLUSERSPROFILE%\MyFolder\MyProcess.exe исключает все файлы, открытые с помощью C:\ProgramData\MyFolder\MyProcess.exe.

Системные переменные среды

Поскольку служба антивируса Microsoft Defender запускается от имени учетной записи LocalSystem, переменная среды в исключении разрешается в расположение для учетной записи system, которое часто отличается от расположения для учетной записи user, которого можно было бы ожидать. В следующей таблице перечислены наиболее часто используемые системные переменные среды и соответствующие им расположения по умолчанию. Столбец То же, что и расположение пользователя? указывает, указывает ли переменная на тот же путь в обычном пользовательском контексте (No означает, что она разрешается в другом месте при использовании LocalSystem). Общие сведения о переменных среды Windows см. в разделе "Распознанные переменные среды".

Системная переменная Разрешение на Эквивалентно
местоположение пользователя?
Примеры
%ALLUSERSPROFILE% C:\ProgramData Да %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs

%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore

%ALLUSERSPROFILE%\Microsoft\Windows\Templates
%APPDATA% C:\Windows\System32\config\systemprofile\AppData\Roaming Нет %APPDATA%\Microsoft\Windows\Start Menu

%APPDATA%\Microsoft\Windows\Start Menu\Programs
%CommonProgramFiles% C:\Program Files\Common Files Да
%CommonProgramFiles(x86)% C:\Program Files (x86)\Common Files Да
%LOCALAPPDATA% C:\Windows\System32\config\systemprofile\AppData\Local Нет %LOCALAPPDATA%\Microsoft\Windows\History
%ProgramData% C:\ProgramData Да
%ProgramFiles% C:\Program Files Да %ProgramFiles%\Common Files
%ProgramFiles(x86)% C:\Program Files (x86) Да %ProgramFiles(x86)%\Common Files
%PUBLIC% C:\Users\Public Да %PUBLIC%\Desktop

%PUBLIC%\Documents

%PUBLIC%\Pictures
%SystemDrive% C: Да %SystemDrive%\Program Files

%SystemDrive%\Program Files (x86)

%SystemDrive%\Users
%SystemRoot% C:\Windows Да
%TEMP% C:\Windows\TEMP Нет
%TMP% C:\Windows\TEMP Нет
%USERPROFILE% C:\Windows\System32\config\systemprofile Нет %USERPROFILE%\AppData\Local

%USERPROFILE%\AppData\LocalLow

%USERPROFILE%\AppData\Roaming
%windir% C:\Windows Да %windir%\Fonts

%windir%\System32

%windir%\Resources

См. также