Kaustade, failide või protsesside välistamine Microsoft Defenderis aitavad teil parandada süsteemi jõudlust, kui märkate skannimise ajal protsessori äkilisi tõuse või aeglustumist. Õigesti kasutatuna takistavad need välistused teadaolevate radade tarbetut skannimist ilma kaitset ülemäära kahjustamata, kuid on oluline mõista nende piiranguid ja turvalisuse mõju.
Selles juhendis me ütleme teile Kuidas luua põhilisi ja kontekstuaalseid välistusi (tingimustega, mis põhinevad skannimise tüübil, päästikul, protsessil või sellel, kas tegemist on faili/kaustaga), täpne süntaks, mida peaksite kasutama, meetodid nende konfigureerimiseks Windowsi turberakendusest, rühmapoliitikast, PowerShellist või WMI-st ja Kuidas neid tööriistade ja EICAR-testfaili abil valideerida.
Mis on Microsoft Defenderi erandid ja millal neid kasutada?
Erandid lubavad seda microsofti kaitsja marsruutide, laienduste või protsesside väljajätmine analüüside ajal. Need on peamiselt mõeldud jõudlusmõjude leevendamiseks stsenaariumides, kus on palju kettale juurdepääsu või kompileerimist, ning nendega kaasneb karistus: kaitsetaseme vähendamine väljajäetud piirkonnas.
Kontekstuaalsed välistused lisavad täpsust tänu piirangud, mis piiravad nende kohaldamist (näiteks ainult kiirskannimisel või ainult siis, kui sellele pääseb juurde konkreetne protsess). Siiski ei ole need soovitatav viis valepositiivsete tulemuste lahendamine Usaldusväärselt: kui kahtlustate ekslikku tuvastamist, esitage fail analüüsimiseks Microsoft Defenderi portaali (kui teil on tellimus) või Microsofti turbeluure veebisaidi kaudu; ajaline meetodkaaluge Defender for Endpointis lipu „lubamine” loomist.
NB! Kui täiendavaid piiranguid ei ole sätestatud, kehtib põhiline välistus kõik eksamitüübid ja käivitajadja see ei tee vahet, kas sihtkohaks on fail või kaust. Allpool näete, kuidas seda käitumist täpsustada.
Piirangute tĂĽĂĽbid, mida saate rakendada
Defender lubab nelja peamist piirangut piirata rakendatavust välistamise kohta. Kõik need lisatakse välistamisahelasse ja on tõstutundlik (nii tüübid kui ka väärtused).
- Tee tüüp (fail või kaust): Sunnib välistuse kehtima ainult siis, kui sihtkoht on fail või kaustaKui sihtkoht ei ühti, siis erand ei kehti.
- Skannimistüüp (eksami tüüp): piirab väljajätmist eksamitega kiire o täis„Ressurssi“ (suunatud eksamit) käsitletakse eraldi, kui seda kasutatakse. Skannimise käivitaja.
- Skannimise käivitaja (päästik): Määrab, millal välistus aktiveeritakse: Nõudlusel (manuaalsed ja ajastatud toimingud, sh kiired ja täielikud), Juurdepääsul (reaalajas kaitse) või BM (käitumisjärelevalve).
- Protsess (protsess): muudab välistamise kehtivaks ainult juhul, kui juurdepääs pärineb konkreetne käivitatav fail; toetab metamärke tee või nime sees.
Vaikimisi mõjutavad klassikalised väljajätmised järgmiste eksemplaride eksameid: ressurss, kiire ja täieliknii nõudmisel kui ka reaalajas ning mälu (käitumine). Piirangutega saate rakenduse akent vastavalt vajadusele kohandada ainult hädavajalik.
Kontekstuaalsete välistuste süntaks ja näited
Välistamisstring algab baasteest ja lisab lõigu tüüp:väärtus breketite vahel. Pea meeles, et kõik TüübiNimi y väärtus tõstutundlik.
Üldine vorming: <PATH>\:{TypeName:value,TypeName:value}Näiteks konkreetse faili väljajätmiseks ainult Kui tegemist on failiga ja ainult eksamites sellele juurdepääsu korral:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
Sama faili väljajätmiseks, kui seda puudutab protsess, mille kujutiseks on nimi winword.exe:
c:\documents\design.doc\:{Process:"winword.exe"}
Failide/kaustade teedes aktsepteeritakse metamärke, näiteks:
Se aceptan caracteres comodĂn en failide/kaustade teed, nagu:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Näiteks ka protsessi kujutise teel:
c:\documents\design.doc\:{Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}
Piira kaustaga: kui soovite rakendada väljajätmist ainult siis, kui sihtkohaks on kaust (mitte fail), kasutage:
C:\documents\*\:{PathType:folder}
Piira failiga: selle tagamiseks ainult arhiivis (ja mitte sarnase nimega kaust):
C:\documents\*.mdb\:{PathType:file}
Piirang eksamitüübi järgi: välista marsruut ainult põhjalikud eksamid:
C:\documents\:{ScanType:full}
Piirdu kiirskannimisega ja veendu, et tegemist on failiga (nt C:\program.exe):
C:\program.exe\:{ScanType:quick,PathType:file}
Rakenda kausta ja selle sisu jaoks ainult reaalajas (OnAccess):
c:\documents\:{ScanTrigger:OnAccess}
Seos konkreetsete protsessidega (mitu saab kombineerida) Protsess ja kasutage metamärke):
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\\Program Files*\\Microsoft Office\\root\\Office??\\winword.exe"}
Windows Defenderis välistuste konfigureerimise meetodid
Kõigepealt kontrollige, kas vastate nõuetele miinimumnõuded Kontekstuaalsete välistuste korral: platvorm 4.18.2205.7 või uuem ja mootor 1.1.19300.2 või uuem. Hoidke Defender ajakohasena tagada ühilduvus.
Windowsi turberakendusest
See on kõige otsem tee neile, kes soovivad failide, kaustade, laienduste või protsesside välistamine ilma skripte kasutamata. Minge Windowsi turbe juurde, minge viirusetõrje ja ohutõrje juurde ning lisage väljajätmiste alale vajalikud üksused. Microsoft märgib, et üldiselt pole vaja midagi välistada, aga kui te peate seda tegema, valige välistamise tüüp hoolikalt.
Välistamisloendid ja levinumad tüübid
Kõige levinumad tüübid hõlmavad järgmist faililaiendid, liinidel (terved kaustad või konkreetsed failid) ja protsessidMõned tüüpilised näited vastavalt dokumentatsioonile:
- Pikendus: kõik failid, mille laiend asub mis tahes asukohas (nt kehtiv süntaks:
.testotest). - Kaust: kõik, mis sees on
c:\test\sample(failid ja alamkaustad). - Konkreetne fail: ainult
c:\sample\sample.test. - Protsess: käivitatav fail
c:\test\process.exe.
Pidage seda meeles kaustade väljajätmised Need hõlmavad kõiki selles kaustas olevaid üksusi, välja arvatud juhul, kui alamkaust on reanalüüsi punkt, sel juhul peaksite selle eraldi välja jätma. Ja et Extensions rakenduvad igale failinimele, millel on see lõpp, kui te ei defineeri teed.
Grupipoliitika (GPO)
Hallatud keskkondade puhul võimaldab GPO teil tsentraliseerida marsruudi ja laienduse välistamised:
- Avage rĂĽhmapoliitika halduskonsool ja muutke soovitud rĂĽhmapoliitika objekti.
- Liikuge jaotisse Arvuti konfiguratsioon > Haldusmallid > Windowsi komponendid > Microsoft Defenderi viirusetõrje > Erandid.
- En Tee välistamised: Luba, puudutage valikut Kuva, määrake iga kausta/faili täielik tee (draiv, kaustad, nimi ja laiend). Sisestage veergu Väärtus 0.
- En Laienduste välistamised: luba, vajuta Näita, lisa iga laiendus omaette reale ja pane 0 väärtuses.
See meetod sobib ideaalselt standardiseeri konfiguratsioone mitmes arvutis ilma igaühe käsitsi sekkumiseta.
PowerShell
PowerShelli abil saate cmdlettide abil luua, lisada või eemaldada välistamisloenditesse kirjeid. Defenderi moodulÜldine muster on:
<cmdlet> -<exclusion list> "<item>"
- Loo või kirjuta loend üle:
Set-MpPreference - Lisa nimekirja:
Add-MpPreference - Eemalda ĂĽksus:
Remove-MpPreference
Loetlege kõige levinumate parameetrite loend:
- -Väljajätmise laiendus kõigi vastete puhul laiendatult.
- -Välistamisrada konkreetsete failide või kaustade (sh alamkataloogide) jaoks.
Näide failide laiendiga välistamiseks .test:
Add-MpPreference -ExclusionExtension ".test"
Samuti saate seda konkreetsete marsruutide jaoks kombineerida ja säilitada versiooni juhtimine (Lisamiseks lisa, eemaldamiseks eemalda kirjeid ilma ülejäänud hävitamata).
WMI
Kui automatiseerite WMI abil, kasutage meetodeid komplekt, lisama y eemalda klassist MSFT_MpPreference väljajätmisomaduste kohta (mis on samaväärsed nende PowerShelli vastetega). See on kasulik viis integratsioon haldustööriistadega olemasolev
Praktiline soovitus protsessori koormuse vähendamiseks
Mõned kasutajad teatavad, et Defender tarbib liiga palju protsessorit Pärast taaskäivitamist ei reageeri süsteem mõnda aega. Üks meede, mida nad on proovinud, on nende konkreetsete kaustade väljajätmine:
C:\Program Files\Windows DefenderC:\Program Files\Windows Defender Advanced Threat ProtectionC:\Windows\SoftwareDistribution
Lisariski peetakse madal nendel juhtudel (SoftwareDistribution salvestab Windows Update'i allalaadimisi ja Defenderi teed sisaldavad oma binaarfaile), kuid see on ikkagi katvuse vähendamineKaalu seda valikut ainult siis, kui see sinu sooritust tõesti mõjutab, ja jälgi käitumist pärast seda.
Toetatud metamärgid ja keskkonnamuutujad
Defender võimaldab teil kasutada tärn (*), küsimärk (?) y Keskkonnamuutujad tee ja failinime väljajätmistes. Pange tähele, et nende tõlgendamine erineb veidi teiste tööriistade omast, seega on hea mõte mõista nende ulatust.
- * failinimedes/laiendites: asendab suvalise arvu märke ja kehtib ainult argumendi viimases kaustas asuvatele failidele.
- * kaustade väljajätmistes: asendab ühe kausta. Kasutage mitut kombinatsiooni.
*\mitme taseme tähistamiseks. Pärast kõigi kaustade (metamärgi ja nimega) sobitamist lisatakse ka alamkaustad. - ? failinimedes/laiendites: asendab argumendi viimases kaustas ühe märgi.
- kaustades?: Asendab kausta nimes ühe tähemärgi; seejärel kaasatakse selle alamkaustad.
- Keskkonnamuutujad: Välistamise hindamisel laienevad need oma efektiivsele teele. Neid saab kombineerida
*y?.
Kasulikud näited:
C:\MyData\*.txthõlmab ka C:\MinuAndmed\märkmed.txt.C:\somepath\*\Datahõlmab ka C:\somepath\Archives\Data y C:\somepath\Authorized\Data (ja selle alamkaustad).C:\Serv\*\*\Backuphõlmab ka C:\Serv\Primary\Denied\Backup y C:\Serv\Teisene\Lubatud\Varundus (ja selle alamkaustad).C:\MyData\my?.ziphõlmab ka C:\MinuAndmed\minu1.zip.C:\somepath\?\Datahõlmab ka C:\tee\P\Andmed ja alamkaustad.C:\somepath\test0?\Datahõlmab ka C:\somepath\test01\Data ja alamkaustad.%ALLUSERSPROFILE%\CustomLogFilessee katab C:\ProgramData\CustomLogFiles\Kaust1\fail1.txt.%PROGRAMFILES%\Contoso*\v?\bin\contoso.exehõlmab ka C:\Program Files\Contoso Labs\v1\bin\contoso.exe.
Allpool on nimekiri sĂĽsteemi keskkonnamuutujad sagedased ja kuhu nad laienedes osutavad (sĂĽsteemikonto):
| Muutuja | Sihtkoht |
|---|---|
| % AppData% | C:\Windows\system32\config\systemprofile\Appdata\Roaming |
| %APPDATA%\Microsoft\Internet Explorer\Kiirkäivitus | C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Kiirkäivitus |
| %APPDATA%\Microsoft\Windows\Start-menĂĽĂĽ | C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start-menĂĽĂĽ |
| %APPDATA%\Microsoft\Windows\Start-menĂĽĂĽ\Programmid | C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start-menĂĽĂĽ\Programmid |
| % LOCALAPPDATA% | C:\WINDOWS\system32\config\systemprofile\AppData\Local |
| % ProgramData% | C: \ ProgramData |
| % Programmi failid% | C: \ Program Files |
| %ProgramFiles%\Ăśldised failid | C:\Program Files\Ăśldised failid |
| %ProgramFiles%\Windowsi kĂĽlgriba\vidinad | C:\Program Files\Windows Sidebar\Gadgets |
| %ProgramFiles%\Ăśldised failid | C:\Program Files\Ăśldised failid |
| %ProgramFiles(x86)% | C: \ Program Files (x86) |
| %ProgramFiles(x86)%\Ăśldised failid | C:\Program Files (x86)\Common Files |
| %SĂĽsteemidraiv% | C: |
| %SystemDrive%\Program Files | C: \ Program Files |
| %SystemDrive%\Program Files (x86) | C: \ Program Files (x86) |
| %SystemDrive%\Users | C:\Kasutajad |
| %SystemDrive%\Users\Public | C:\Kasutajad\Avalik |
| %SystemRoot% | C: \ Windows |
| % windir% | C: \ Windows |
| %windir%\Fonts | C: \ Windows \ Fontid |
| %windir%\Ressursid | C:\Windows\Ressursid |
| %windir%\resources\0409 | C:\Windows\ressursid\0409 |
| %windir%\system32 | C: \ Windows \ System32 |
| %ALLUSERSPROFIL% | C: \ ProgramData |
| %ALLUSERSPROFILE%\Rakenduse andmed | C:\ProgramData\Application Data |
| %ALLUSERSPROFILE%\Dokumendid | C:\ProgramData\Documents |
| %ALLUSERSPROFILE%\Dokumendid\Minu muusika\Näidismuusika | C:\ProgramData\Documents\Minu muusika\Näidismuusika |
| %ALLUSERSPROFILE%\Dokumendid\Minu muusika | C:\ProgramData\Documents\Minu muusika |
| %ALLUSERSPROFILE%\Dokumendid\Minu pildid | C:\ProgramData\Documents\Minu pildid |
| %ALLUSERSPROFILE%\Dokumendid\Minu pildid\Näidispildid | C:\ProgramData\Documents\Minu pildid\Näidispildid |
| %ALLUSERSPROFILE%\Dokumendid\Minu videod | C:\ProgramData\Documents\Minu videod |
| %ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore | C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
| %ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer | C:\ProgramData\Microsoft\Windows\GameExplorer |
| %ALLUSERSPROFILE%\Microsoft\Windows\Ringtones | C:\ProgramData\Microsoft\Windows\Ringtones |
| %ALLUSERSPROFILE%\Microsoft\Windows\Start-menĂĽĂĽ | C:\ProgramData\Microsoft\Windows\Start-menĂĽĂĽ |
| %ALLUSERSPROFILE%\Microsoft\Windows\Start-menĂĽĂĽ\Programmid | C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs |
| %ALLUSERSPROFILE%\Microsoft\Windows\Start menüü\Programmid\Haldustööriistad | C:\ProgramData\Microsoft\Windows\Start Menüü\Programmid\Haldustööriistad |
| %ALLUSERSPROFILE%\Microsoft\Windows\Start-menüü\Programmid\Käivitusprogramm | C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ StartUp |
| %ALLUSERSPROFILE%\Microsoft\Windows\Templates | C:\ProgramData\Microsoft\Windows\Templates |
| %ALLUSERSPROFILE%\Start-menĂĽĂĽ | C:\ProgramData\Start-menĂĽĂĽ |
| %ALLUSERSPROFILE%\Start-menĂĽĂĽ\Programmid | C:\ProgramData\Start menĂĽĂĽ\Programmid |
| %ALLUSERSPROFILE%\Start-menüü\Programmid\Haldustööriistad | C:\ProgramData\Start Menüü\Programmid\Haldustööriistad |
| %ALLUSERSPROFILE%\Mallid | C:\ProgramData\Templates |
| %LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates | C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
| %LOCALAPPDATA%\Microsoft\Windows\Ajalugu | C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
| %AVALIK% | C:\Kasutajad\Avalik |
| %PUBLIC%\Kontopildid | C:\Users\Public\AccountPictures |
| %PUBLIC%\Desktop | C:\Users\Public\Desktop |
| %PUBLIC%\Dokumendid | C:\Kasutajad\Avalikud\Dokumendid |
| %PUBLIC%\Allalaadimised | C:\Kasutajad\Avalikud\Allalaadimised |
| %PUBLIC%\Muusika\Näidismuusika | C:\Users\Public\Music\Sample music |
| %PUBLIC%\Muusika\Näidisesitusloendid | C:\Users\Public\Music\Sample Playlists |
| %PUBLIC%\Pictures\Näidispildid | C:\Kasutajad\Avalikud\Pildid\Näidispildid |
| %PUBLIC%\RecordedTV.library-ms | C:\Users\Public\RecordedTV.library-ms |
| %AVALIKUD%\Videod | C:\Kasutajad\Avalik\Videod |
| %PUBLIC%\Videod\Näidisvideod | C:\Users\Public\Videos\Sample Videos |
| % KASUTAJAPROFIIL% | C: \ Windows \ system32 \ config \ systemprofile |
| %USERPROFILE%\AppData\Local | C:\Windows\system32\config\systemprofile\AppData\Local |
| %USERPROFILE%\AppData\LocalLow | C:\Windows\system32\config\systemprofile\AppData\LocalLow |
| %USERPROFILE%\AppData\Roaming | C:\Windows\system32\config\systemprofile\AppData\Roaming |
Välistamisloendite valideerimine ja ülevaatamine
Selleks on mitu võimalust kontrollige, kas teie välistused on aktiivsedKäsurea utiliidi abil MpCmdRun.exe Saate valideerida konkreetse tee ja PowerShelli abil saate loetleda kõik mootori eelistused.
MpCmdRun.exe (spetsiaalne kontroll)
Avage administraatorina käsuviip ja navigeerige Defender Platformi kausta, mille nimi muutub olenevalt installitud värskendusest. Seejärel käivitage tee kontroll:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0
MpCmdRun.exe -CheckExclusion -path <path>
Kus on fail või kaust, mida soovite kontrollida. Kui see kuvatakse välistatuna, siis reegel töötab.
PowerShell (spetsiifilised eelistused ja loendid)
Kõigi oma Defenderi eelistuste kiireks ülevaatamiseks kasutage järgmist.
Get-MpPreference
Kui soovite säilitada ainult välistamisloendid ja näha iga rida nii, nagu see lisati (kasulik, kui kasutasite Add-MpPreference mitu korda), käivitage:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
Nii et saate auditi laiendused ja marsruudid hetkel välistatud ja säilita oma seadete kontroll.
Valideerimine EICAR-testfailiga
Funktsionaalseks kontrolliks kasutage standardset EICAR-testi. Kui sihtmärk on õigesti välistatud, siis faili ei blokeerita; pahavara tuvastamise korral reegel kontekstile ei kehti:
Laadige PowerShelli abil alla Invoke-WebRequest abil (kohandage reegli nimi ja asukoht):
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Alternatiiv .NET WebClientiga (muutke oma väljajätmise jaoks kesta teed):
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\\test.txt")
Kui sul pole internetiĂĽhendust, saad EICAR-i sisu luua kohapeal, et testida mootori reaktsiooni teel:
[io.file]::WriteAllText("test.txt","X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*")
Kui välistamine on jõustunud, näete, et fail salvestatakse teele ilma Defenderi poolt blokeerimata; vastasel juhul mootor sekkub ja teavitab.
Need tehnikad on loodud selleks, et jõudluse ja ohutuse tasakaalustamineEelistage kontekstuaalseid ja kitsalt määratletud välistusi (uuringu tüübi, päästiku või protsessi järgi) ning vältige üldiste asukohtade välistamist, kui see pole hädavajalik. Püsivate valepositiivsete tulemuste korral saada näidiseid Microsoftile selle asemel, et laiendada väljajätmisi.