Errori comuni da evitare quando si definiscono le esclusioni
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender per endpoint Piano 1
- Antivirus Microsoft Defender
Piattaforme
- Windows
- macOS
- Linux
Importante
Aggiungere esclusioni con cautela. Le esclusioni per le analisi di Microsoft Defender Antivirus riducono il livello di protezione per i dispositivi.
È possibile definire un elenco di esclusione per gli elementi che non si vuole analizzare da Microsoft Defender Antivirus. Tuttavia, gli elementi esclusi potrebbero contenere minacce che rendono vulnerabile il dispositivo. Questo articolo descrive alcuni errori comuni da evitare durante la definizione delle esclusioni.
Consiglio
Prima di definire gli elenchi di esclusione, vedere Punti importanti sulle esclusioni ed esaminare le informazioni dettagliate in Esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.
Esclusione di determinati elementi attendibili
Alcuni file, tipi di file, cartelle o processi non devono essere esclusi dall'analisi anche se si considera che non sono dannosi. Non definire esclusioni per i percorsi delle cartelle, le estensioni di file e i processi elencati nelle sezioni seguenti:
Percorsi delle cartelle
Importante
Alcune cartelle non devono essere escluse dalle analisi perché possono finire per essere cartelle in cui è possibile eliminare file dannosi.
In generale, non definire esclusioni per uno dei percorsi di cartelle seguenti:
%systemdrive%
-
C:
,C:\
, oC:\*
-
%ProgramFiles%\Java
oC:\Program Files\Java
-
%ProgramFiles%\Contoso\
,C:\Program Files\Contoso\
,%ProgramFiles(x86)%\Contoso\
, oC:\Program Files (x86)\Contoso\
-
C:\Temp
,C:\Temp\
, oC:\Temp\*
-
C:\Users\
oC:\Users\*
-
C:\Users\<UserProfileName>\AppData\Local\Temp\
oC:\Users\<UserProfileName>\AppData\LocalLow\Temp\
. Si noti le eccezioni importanti seguenti per SharePoint: EscludereC:\Users\ServiceAccount\AppData\Local\Temp
oC:\Users\Default\AppData\Local\Temp
quando si usa la protezione antivirus a livello di file in SharePoint. -
%Windir%\Prefetch
,C:\Windows\Prefetch
,C:\Windows\Prefetch\
, oC:\Windows\Prefetch\*
-
%Windir%\System32\Spool
oC:\Windows\System32\Spool
C:\Windows\System32\CatRoot2
-
%Windir%\Temp
,C:\Windows\Temp
,C:\Windows\Temp\
, oC:\Windows\Temp\*
Piattaforme Linux e macOS
In generale, non definire esclusioni per i percorsi di cartelle seguenti:
/
-
/bin
o/sbin
/usr/lib
Estensioni file
Importante
Alcune estensioni di file non devono essere escluse perché possono essere tipi di file usati in un attacco.
In generale, non definire esclusioni per le estensioni di file seguenti:
.7z
.bat
.bin
.cab
.cmd
.com
.cpl
.dll
.exe
.fla
.gif
.gz
.hta
.inf
.java
.jar
.job
.jpeg
.jpg
.js
-
.ko
o.ko.gz
.msi
.ocx
.png
.ps1
.py
.rar
.reg
.scr
.sys
.tar
.tmp
.url
.vbe
.vbs
.wsf
.zip
Processi
Importante
Alcuni processi non devono essere esclusi perché vengono usati durante gli attacchi.
In generale, non definire esclusioni per i processi seguenti:
AcroRd32.exe
addinprocess.exe
addinprocess32.exe
addinutil.exe
bash.exe
bginfo.exe
bitsadmin.exe
cdb.exe
csi.exe
cmd.exe
cscript.exe
dbghost.exe
dbgsvc.exe
dnx.exe
dotnet.exe
excel.exe
fsi.exe
fsiAnyCpu.exe
iexplore.exe
java.exe
kd.exe
lxssmanager.dll
msbuild.exe
mshta.exe
ntkd.exe
ntsd.exe
outlook.exe
psexec.exe
powerpnt.exe
powershell.exe
rcsi.exe
svchost.exe
schtasks.exe
system.management.automation.dll
windbg.exe
winword.exe
wmic.exe
wscript.exe
wuauclt.exe
Nota
È possibile scegliere di escludere i tipi di file, ad .gif
esempio , .jpg
, .jpeg
o .png
se l'ambiente dispone di un software moderno e aggiornato con criteri di aggiornamento rigorosi per gestire eventuali vulnerabilità.
Piattaforme Linux e macOS
In generale, non definire esclusioni per i processi seguenti:
bash
java
-
python
epython3
sh
zsh
Uso solo del nome file nell'elenco di esclusione
Il malware potrebbe avere lo stesso nome di quello di un file considerato attendibile e che si vuole escludere dall'analisi. Pertanto, per evitare di escludere potenziali malware dall'analisi, usare un percorso completo del file che si vuole escludere invece di usare solo il nome del file. Ad esempio, se si vuole escludere Filename.exe
dall'analisi, usare il percorso completo del file, ad C:\program files\contoso\Filename.exe
esempio .
Uso di un singolo elenco di esclusione per più carichi di lavoro server
Non usare un singolo elenco di esclusione per definire esclusioni per più carichi di lavoro server. Suddividere le esclusioni per carichi di lavoro di applicazioni o servizi diversi in più elenchi di esclusione. Ad esempio, l'elenco di esclusione per il carico di lavoro del server IIS deve essere diverso dall'elenco di esclusione per il carico di lavoro di SQL Server.
Uso di variabili di ambiente non corrette come caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione
Microsoft Defender Antivirus Service viene eseguito nel contesto di sistema usando l'account LocalSystem, ovvero ottiene informazioni dalla variabile di ambiente di sistema e non dalla variabile di ambiente utente. L'uso delle variabili di ambiente come carattere jolly negli elenchi di esclusione è limitato alle variabili di sistema e a quelle applicabili ai processi in esecuzione come account NT AUTHORITY\SYSTEM. Pertanto, non usare le variabili di ambiente utente come caratteri jolly quando si aggiungono esclusioni di cartelle e processi di Microsoft Defender Antivirus. Per un elenco completo delle variabili di ambiente di sistema, vedere la tabella in Variabili di ambiente di sistema.
Per informazioni su come usare i caratteri jolly negli elenchi di esclusione, vedere Usare i caratteri jolly negli elenchi di esclusione del nome file e del percorso della cartella o dell'estensione .
Vedere anche
- Esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus
- Configurare esclusioni personalizzate per Microsoft Defender Antivirus
- Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in Linux
- Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in macOS
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.