排除项
在 反恶意软件 > 排除项 部分,您可以配置由 Bitdefender 安全代理支持的各种排除类型:
-
策略内排除项 - 这些是专门在当前策略中定义的排除项,适用于为满足组织需求而定制的内部应用程序或自定义工具。
-
配置配置文件排除项 - 这些排除项创建于 配置配置文件 部分,可添加到一个或多个策略中,实现跨策略的集中管理和排除列表复用。
-
推荐的供应商与产品排除项 - 这些是由 Bitdefender 以确保与常见第三方软件的兼容性。启用此选项时,您可以选择在策略中应用哪些排除项。
反恶意软件排除项应仅在特殊情况下使用,或遵循微软及 Bitdefender 的建议。关于微软的建议,请参考 官方文档 .
策略内排除项
策略内反恶意软件排除项适用于以下一种或多种扫描方式:
-
实时扫描
-
执行时扫描
-
按需扫描
-
高级威胁控制 (ATC/IDS)
-
勒索软件缓解
重要提示
-
若您使用EICAR测试文件定期测试反恶意软件防护,应将其从实时扫描中排除。
-
若使用VMware Horizon View 7和App Volumes AppStacks,请参阅此 VMware文档 .
点击切换按钮启用 策略内排除项 部分。
添加排除规则步骤:
-
从菜单中选择排除类型:
-
文件 :仅排除指定文件。
-
文件夹 :排除指定文件夹及其所有子文件夹内的文件和进程。
-
扩展名 :所有具有指定扩展名的项目。
-
进程 :被排除进程访问的任何对象。
-
文件哈希 :具有指定哈希值的文件。 GravityZone 支持SHA-256哈希算法。
注意
添加 文件哈希 类型的排除项可能会因执行校验和计算而导致CPU使用率升高。
-
证书哈希 :指定证书哈希(指纹)下的所有应用程序和PowerShell脚本(适用于Windows端点)。
-
威胁名称 :具有检测名称的任何项目(不适用于Linux操作系统)。
-
命令行 :指定的命令行(仅适用于Windows操作系统)。
警告
在与NSX集成的无代理VMware环境中,只能排除文件夹和扩展名。
-
-
提供所选排除类型的具体详细信息:
文件、文件夹或进程
输入要从扫描中排除的项目的路径。您有以下几种有用的路径编写选项:
-
显式声明路径:
例如:
C:\temp要为UNC路径添加排除项,请使用以下任一语法:
\\主机名\共享名\文件路径\\IP地址\共享名\文件路径 -
使用下拉菜单中可用的系统变量:
对于进程排除项,您还必须添加应用程序可执行文件的名称。
例如:
%ProgramFiles%- 排除ProgramFiles文件夹。%WINDIR%\system32– 排除system32文件夹(位于Windows文件夹内)。注意
建议使用 系统变量 (在适用情况下),以确保路径在所有目标计算机上均有效。
-
使用通配符:
Windows和Linux
在这些操作系统中,仅可使用以下通配符:
-
星号(*)可替代零个或多个字符(路径分隔符除外)。
-
双星号(**)可替代零个或多个字符(包括路径分隔符)。
-
问号(?)仅替代一个字符。
注意
可通过多个问号定义特定数量字符的任意组合。例如,
????可替代任意四个字符的组合。
例如:
C:\Test\*.*– 排除Test文件夹中的所有文件。C:\Test\*.png– 排除Test文件夹中的所有PNG文件。C:\Test\*- 排除Test文件夹中的所有文件。**\file.txt- 排除所有名为file.txt的文件,无论这些文件位于何处。**\my_folder\*\file.txt- 排除所有位于my_folder之上各级文件夹及my_folder下一级子文件夹中包含file.txt.**\application*.exe- 排除所有名称以application开头且后跟一个或多个字符的变体文件,无论文件位于何处。C:\MyApp\**- 排除MyApp文件夹中的所有文件和子文件夹,无视深度层级。C:\Program Files\WindowsApps\Microsoft.Not??.exe– 排除Microsoft Notes相关进程。注意
双星号(**)误用可能导致非预期排除,建议谨慎使用。
macOS
该操作系统仅支持以下通配符:
-
星号(*)替代除路径分隔符外的零个或多个字符。
-
问号(?)替代恰好一个字符。
注意
您可以使用多个问号来定义特定数量字符的任意组合。例如:
????可替代少于或恰好四个字符的任意组合。
例如:
/Test/*- 这将排除Test文件夹下的所有文件和子文件夹。/Test/*.png- 这将排除.png扩展名的所有文件(位于Test文件夹内)。/Applications/MyApp.app/*- 这将排除MyApp.app文件夹下的所有文件和子文件夹。/Test/my_????- 这将排除my_开头且包含任意四个其他字符的所有文件和文件夹(位于Test文件夹内)。这些文件和文件夹可能是:my_test,my_file。此排除规则仅对以my_且后续字符不超过四个字符。 -
扩展名
输入一个或多个要排除扫描的文件扩展名,用分号";"分隔。可输入带或不带前置点的扩展名。例如输入txt可排除文本文件。
注意
在基于Linux的系统上,文件扩展名区分大小写,同名不同扩展名的文件被视为不同对象。例如,
file.txt与file.TXT.文件哈希、证书哈希、威胁名称或命令行
根据排除规则输入文件哈希值、证书指纹(哈希值)、威胁的准确名称或命令行。每个排除项只能使用一个条目。
-
-
选择规则适用的扫描方法。某些排除项可能仅适用于其中一个扫描模块(访问时扫描、按需扫描、ATC/IDS、 勒索软件缓解 ),而其他排除项可能建议应用于所有模块。
-
可选项:添加描述。
-
点击
添加
按钮。
新规则将被添加至策略中。
编辑排除项步骤:
-
点击表格中的
更多
图标。
-
在菜单中点击 编辑 .
-
进行必要修改。
-
点击
确定
按钮保存更改。
或者,点击
取消
按钮放弃更改。
要从列表中移除单个排除项:
-
点击表格中的
更多
图标。
-
在菜单中点击 删除 .
该排除项将从表格中移除。
要从列表中移除多个排除项:
-
勾选需要删除的排除项对应的复选框。
-
点击表格上方的 删除 按钮。
这些排除项将从表格中移除。
重要提示
按需扫描排除项不适用于上下文扫描。上下文扫描需右键点击文件或文件夹并选择 使用 Bitdefender终端安全工具 .
导入排除项
您可以通过导入方式在更多策略中复用这些排除规则。
导入自定义排除项的方法:
-
点击表格顶部的 导入 按钮。随后将打开 导入排除项 窗口。
-
点击 浏览 并选择CSV文件。
-
点击 导入 .
表格将填充有效规则。
注意
如果CSV文件中包含无效规则,系统会通过警告提示对应的行号。
CSV文件中的每一行对应一条规则,字段按以下顺序排列:
<排除类型>, <待排除对象>, <模块>
以下是CSV字段的可用取值:
排除类型:
-
1,表示文件排除2,表示文件夹排除3,表示扩展名排除4,表示进程排除5,表示文件哈希排除6,表示证书哈希排除7,表示威胁名称排除8,表示命令行排除 -
待排除对象:
路径或文件扩展名
-
模块:
1,用于按需扫描2,用于实时访问扫描3,适用于所有模块4,用于ATC/IDS6,用于勒索软件防护
例如,包含反恶意软件排除项的CSV文件可能如下所示:
1,"d:\\temp",1 2,%WinDir%,3 4,"%WINDIR%\\system32",4
注意
Windows路径必须使用双反斜杠(\\)字符。例如,
%WinDir%\\System32\\LogFiles
.
导出排除项
要导出排除项:
-
点击 导出 表格顶部的按钮。
注意
该 导出 按钮仅对已保存的策略可用。为确保导出最新规则,请在更改后保存策略。
-
在确认窗口中,点击 导出 .
排除项将作为CSV文件保存至本地默认下载文件夹。
配置文件的排除项
添加配置文件排除项的步骤:
-
点击开关启用 配置文件的排除项 部分。
-
至少选择一个排除列表并点击 应用 .
-
点击
添加
按钮。
注意
有关创建和管理排除列表的更多详情,请参阅 配置文件 .
厂商与产品排除项
厂商与产品排除项 包含 Bitdefender 安全代理中所有推荐的排除项。此选项默认启用。
警告
若需扫描所有类型对象,可选择禁用厂商与产品排除项,但这将显著影响机器性能并延长扫描时间。
自定义厂商与产品排除项列表的步骤:
-
点击 自定义 按钮。
-
在下拉列表中至少选择一个厂商或产品并点击 应用 .
-
点击
添加
按钮。
仅选定的排除项会应用于策略。
