在 Windows 11 中配置 Microsoft Defender 的信任列表：通过设置界面与注册表实现

一、问题背景与技术分析

Microsoft Defender 是 Windows 11 系统内置的防病毒解决方案，具备强大的实时防护能力。然而，在实际使用过程中，部分合法的程序或文件可能被误判为威胁（False Positive），导致其被隔离或阻止运行。为了避免此类误报问题，用户需要将特定的文件、文件夹或程序添加到 Defender 的信任列表中，使其不再被扫描或拦截。

本文将从基础操作到高级配置，详细介绍如何通过图形界面（设置界面）和注册表两种方式实现信任列表的添加，适用于 Windows 11 的各大版本。

二、通过 Windows 设置界面添加信任项

1. 打开“设置”应用（Win + I）。
2. 选择“隐私和安全性” > “Windows 安全中心”。
3. 点击“病毒防护”选项。
4. 在“病毒防护设置”下，点击“管理设置”。
5. 向下滚动，找到“排除项”部分，点击“添加或删除排除项”。
6. 点击“添加排除项”，选择要添加的类型（文件、文件夹、文件类型或进程）。
7. 浏览并选择目标文件或文件夹，点击“选择”完成添加。

注意：添加到信任列表的项目将不再被 Microsoft Defender 扫描或拦截，适用于开发工具、测试脚本、特定业务软件等。

三、通过注册表编辑器添加信任项（适用于批量部署或脚本自动化）

对于需要批量配置或远程管理的场景，可通过修改注册表的方式实现信任列表的添加。路径如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths

例如，若需将路径 C:\Tools 添加到信任列表中，可在注册表中创建如下项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths]
"MyExcludedFolder"="C:\\Tools"

修改完成后，重启系统或运行 gpupdate /force 命令以使策略生效。

四、进阶配置与注意事项

除了路径和文件夹，用户还可以通过以下方式扩展信任配置：

• 添加特定文件类型（如 .exe、.bat）作为排除项。
• 将特定进程（如开发调试器）添加到信任列表。
• 使用 PowerShell 命令进行批量操作，例如：

Add-MpPreference -ExclusionPath "C:\MyApp"

需要注意的是，信任列表的设置应谨慎操作，避免引入潜在的安全风险。建议仅对已知可信的程序和文件进行排除。

五、技术原理与系统机制解析

Microsoft Defender 使用启发式算法和行为分析机制识别潜在威胁。当系统检测到某个程序行为异常或与已知恶意行为模式相似时，可能会触发误报。

通过添加信任项，系统会跳过对这些项目的实时扫描和行为监控，从而避免误拦截。其底层机制依赖于 Windows 安全策略（Group Policy）及注册表配置，确保 Defender 的行为策略可集中管理。

下图展示了 Defender 的信任处理流程：

            graph TD
            A[用户添加信任路径] --> B{Defender策略更新}
            B --> C[实时扫描跳过信任路径]
            B --> D[行为监控忽略信任路径]
            C --> E[程序正常运行]
            D --> E