Поделиться через


Исключения контекстно-зависимых файлов и папок

В этой статье или разделе описывается возможность исключения контекстных файлов и папок для Microsoft Defender антивирусной программы в Windows. Эта возможность позволяет определить, в каком контексте Microsoft Defender антивирусная программа не должна сканировать файл или папку, применяя ограничения.

Обзор

Исключения в первую очередь предназначены для устранения последствий для производительности. Они приходят в наказание за снижение стоимости защиты. Эти ограничения позволяют ограничить это сокращение защиты, указав обстоятельства, при которых должно применяться исключение. Контекстные исключения не подходят для надежной обработки ложноположительных результатов. Если возникает ложноположительный результат, вы можете отправить файлы для анализа на портале Microsoft Defender (требуется подписка) или через веб-сайт портал для обнаружения угроз (Microsoft). Для временного метода подавления рассмотрите возможность создания пользовательского индикатора разрешений в Microsoft Defender для конечной точки.

Существует четыре ограничения, которые можно применить, чтобы ограничить применимость исключения:

  • Ограничение типа пути к файлу или папке. Исключения можно ограничить только в том случае, если целевым объектом является файл или папка, определив намерение. Если целевой объект является файлом, но исключение указано как папка, исключение не применяется. И наоборот, если целевой папкой является папка, но исключение указано как файл, применяется исключение.

  • Ограничение типа сканирования. Позволяет определить необходимый тип сканирования для применения исключения. Например, требуется исключить только определенную папку из полного сканирования, но не из проверки ресурсов (целевая проверка).

  • Ограничение типа триггера сканирования. Это ограничение можно использовать, чтобы указать, что исключение должно применяться только в том случае, если проверка инициируется определенным событием, например:

    • по запросу;
    • при доступе; или
    • исходя из мониторинга поведения.
  • Ограничение процесса. Позволяет определить, что исключение должно применяться только при доступе к файлу или папке определенного процесса.

Настройка ограничений

Ограничения обычно применяются путем добавления типа ограничения в путь исключения файла или папки.

Ограничение TypeName значение
Файл или папка PathType file
folder
Тип сканирования ScanType quick
full
Триггер сканирования ScanTrigger OnDemand
OnAccess
Мониторинг поведения
Процесс Process <path>

Требования

Для этой возможности требуется антивирусная программа Microsoft Defender.

  • Версия платформы: 4.18.2205.7 или более поздняя
  • Версия обработчика: 1.1.19300.2 или более поздняя

См. Microsoft Defender сведения об аналитике безопасности антивирусной программы и обновлениях продуктов.

Синтаксис

В качестве отправной точки у вас уже могут быть исключения, которые вы хотите сделать более конкретными. Чтобы сформировать строку исключения, сначала определите путь к файлу или папке для исключения, а затем добавьте имя типа и связанное значение, как показано в следующем примере.

<PATH>\:{TypeName:value,TypeName:value}

Помните, что регистр учитывается для всехтипов и значений .

Примечание.

Условия внутри {} должны соответствовать ограничению. Например, если указать два триггера сканирования, это не может быть true, и исключение не будет применено. Чтобы указать два ограничения одного типа, создайте два отдельных исключения.

Примеры

Следующая строка исключает c:\documents\design.doc , только если это файл, и только при проверке при доступе:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Следующая строка исключается c:\documents\design.doc только в том случае, если она сканируется (при доступе), так как к ней обращается процесс с именем winword.exeобраза :

c:\documents\design.doc\:{Process:"winword.exe"}

Путь к файлам и папкам может содержать подстановочные знаки, как показано в следующем примере:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Путь к изображению процесса может содержать подстановочные знаки, как показано в следующем примере:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Ограничение файлов и папок

Исключения можно ограничить только в том случае, если целевым объектом является файл или папка, сделав намерение конкретным. Если целевой объект является файлом, но исключение указано как папка, исключение не применяется. И наоборот, если целевой папкой является папка, но исключение указано как файл, применяется исключение.

Поведение исключений файлов и папок по умолчанию

Если другие параметры не указаны, файл или папка будут исключены из всех типов проверок, и исключение применяется независимо от того, является ли целевой файл или папка. Дополнительные сведения о настройке исключений для применения только к определенному типу сканирования см. в разделе Ограничение типа сканирования.

Примечание.

Подстановочные знаки поддерживаются в исключениях файлов и папок.

Folders

Чтобы убедиться, что исключение применяется только в том случае, если целевой папкой является папка, а не файл, можно использовать ограничение PathType:folder . Например:

C:\documents\*\:{PathType:folder}

Файлы

Чтобы убедиться, что исключение применяется только в том случае, если целевым объектом является файл, а не папка, можно использовать ограничение pathType: file. Например:

C:\documents\*.mdb\:{PathType:file}

Ограничение типа сканирования

По умолчанию исключения применяются ко всем типам сканирования:

  • ресурс: один файл или папка сканируется целевым образом (например, щелчок правой кнопкой мыши, сканирование).
  • quick: распространенные расположения запуска, используемые вредоносными программами, памятью и определенными разделами реестра
  • full: включает в себя расположения быстрой проверки и полную файловую систему (все файлы и папки).

Чтобы устранить проблемы с производительностью, можно исключить папку или набор файлов из проверки с помощью определенного типа сканирования. Вы также можете определить необходимый тип сканирования для применения исключения.

Чтобы исключить проверку папки только во время полной проверки, укажите тип ограничения вместе с исключением файла или папки, как показано в следующем примере:

C:\documents\:{ScanType:full}

Чтобы исключить папку из проверки только во время быстрой проверки, укажите тип ограничения вместе с исключением файла или папки, как показано в следующем примере:

C:\program.exe\:{ScanType:quick}

Если вы хотите убедиться, что это исключение применяется только к определенному файлу, а не к папке (c:\foo.exe может быть папка), также примените PathType ограничение, как показано в следующем примере:

C:\program.exe\:{ScanType:quick,PathType:file}

Ограничение триггера сканирования

По умолчанию основные исключения применяются ко всем триггерам сканирования. Ограничение ScanTrigger позволяет указать, что исключение должно применяться только в том случае, если сканирование было инициировано определенным событием. по запросу (включая быстрые, полные и целевые проверки), при доступе или исходя из мониторинга поведения (включая сканирование памяти).

  • OnDemand: проверка, активируемая командой или действием администратора. Помните, что запланированные быстрые и полные проверки также относятся к этой категории.
  • OnAccess: файл или папка открывается, записывается, читается или изменяется (обычно это защита в режиме реального времени).
  • BM: триггер поведения приводит к тому, что поведенческий мониторинг сканирует определенный файл.

Чтобы исключить файл или папку и их содержимое из проверки только при проверке файла после доступа к файлу, определите ограничение триггера сканирования, например в следующем примере:

c:\documents\:{ScanTrigger:OnAccess}

Ограничение процесса

Это ограничение позволяет определить, что исключение должно применяться только при доступе к файлу или папке определенным процессом. Распространенный сценарий заключается в том, что требуется избежать исключения процесса, так как это позволит антивирусная программа Defender игнорировать другие операции этого процесса. В имени или пути процесса поддерживаются подстановочные знаки.

Примечание.

Использование большого количества ограничений на исключение процессов на компьютере может негативно сказаться на производительности. Кроме того, если исключение ограничено определенным процессом или процессами, другие активные процессы (например, индексирование, резервное копирование, обновления) по-прежнему могут активировать сканирование файлов.

Чтобы исключить файл или папку только при доступе к определенному процессу, создайте обычное исключение файла или папки и добавьте процесс, которым можно ограничить исключение. Например:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Способ настройки

После создания необходимых контекстных исключений можно использовать существующее средство управления для настройки исключений файлов и папок с помощью созданной строки.

См. раздел Настройка и проверка исключений для проверки Microsoft Defender антивирусной программы.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.