可通过隔离区恢复误删文件并添加白名单避免重复拦截:先在windows安全中心威胁历史记录中还原隔离项,再通过“添加排除项”或powershell命令设置可信路径/文件,必要时临时关闭实时保护验证效果。
如果您在使用Windows系统自带的Microsoft Defender杀毒软件时,发现正常文件被误判为威胁并移入隔离区,可通过隔离区恢复功能找回文件;同时,为避免同类文件再次被拦截,需将可信路径或文件添加至Defender白名单。以下是具体操作步骤:
一、从Defender隔离区恢复被误删文件
Defender将疑似威胁的文件移入隔离区后,并未立即删除,而是保留原始文件副本供用户审核与恢复。恢复操作需通过Windows安全中心进入隔离区界面,筛选并还原目标文件。
1、点击任务栏右下角的盾牌图标(Windows 安全中心),或按Win + I打开设置,进入“更新和安全”→“Windows 安全中心”→“病毒和威胁防护”。
2、在“病毒和威胁防护”页面中,向下滚动至“管理设置”下方,点击“威胁历史记录”。
3、在新页面顶部切换至“隔离项目”选项卡,等待列表加载完成。
4、在隔离项目列表中,找到状态为“已隔离”的目标文件,勾选其左侧复选框。
5、点击页面上方的“还原”按钮,弹出确认提示后选择“还原”,该文件将被移回原始位置并解除隔离状态。
二、将文件或文件夹添加至Defender白名单(排除项)
添加白名单即设置排除项,可让Defender在实时扫描、云交付保护及自动样本提交等所有防护环节跳过指定路径或进程,从而防止重复误报。白名单支持按文件、文件夹、文件类型或进程添加。
1、在“病毒和威胁防护”页面中,点击“管理设置”下的“添加或删除排除项”。
2、点击“添加排除项”按钮,从下拉菜单中选择排除类型:如需保护整个目录,选择“文件夹”;如仅保护单个程序,选择“文件”。
3、若选择“文件夹”,点击“浏览”,定位并选中该文件夹所在路径,例如C:\MyProjects\TrustedApp,然后点击“选择文件夹”。
4、若选择“文件”,点击“浏览”,找到需信任的可执行文件(如C:\Tools\CustomTool.exe),确认添加。
5、添加成功后,该路径或文件将显示在排除项列表中,Defender将不再对其执行任何扫描或拦截动作。
三、通过PowerShell命令批量添加排除项
对于需要配置多个路径或自动化部署场景,可使用PowerShell调用Set-MpPreference命令直接写入排除列表,该方式绕过图形界面,支持通配符与多路径一次性注入。
1、以管理员身份运行Windows PowerShell:在开始菜单搜索“PowerShell”,右键选择“以管理员身份运行”。
2、输入以下命令添加单个文件夹排除:
Set-MpPreference -ExclusionFolder "C:\MyScripts"
3、添加多个文件夹时,使用数组格式:
Set-MpPreference -ExclusionFolder @("C:\MyScripts", "C:\LocalBuilds", "D:\DevTools")
4、添加特定文件类型排除(如所有.bat文件):
Set-MpPreference -ExclusionExtension ".bat"
5、验证是否生效:运行Get-MpPreference | Select-Object Exclusion*,检查输出中是否包含刚设置的路径或扩展名。
四、禁用实时保护临时验证白名单效果
若添加排除项后仍出现误报,可临时关闭实时保护以确认是否为排除机制延迟或冲突所致。此操作仅用于诊断,完成后必须重新启用。
1、返回“病毒和威胁防护”页面,点击“管理设置”区域内的“实时保护”开关。
2、将开关滑动至“关闭”状态,系统会提示“实时保护已关闭”,此时Defender不再监控文件读写行为。
3、尝试运行此前被拦截的程序或访问被隔离的文件,观察是否仍触发警报。
4、若运行正常,说明原问题确由实时扫描逻辑引发,应重新检查排除项路径是否准确匹配实际调用路径,例如确保排除的是启动时真实加载的.exe路径,而非快捷方式位置。
5、测试完毕后,立即将“实时保护”开关重新设为“开启”。
