Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
È possibile definire esclusioni per Microsoft Defender Antivirus che si applicano alle analisi pianificate, alle analisi su richiesta e alla protezione e al monitoraggio sempre attiva e in tempo reale. In genere, non è necessario applicare esclusioni. Se è necessario applicare esclusioni, è possibile scegliere tra i tipi seguenti:
- Esclusioni basate su estensioni di file e percorsi di cartelle (descritto in questo articolo)
- Esclusioni per i file aperti dai processi
Importante
Microsoft Defender le esclusioni antivirus si applicano ad alcune funzionalità di Microsoft Defender per endpoint, ad esempio le regole di riduzione della superficie di attacco. Alcune esclusioni Microsoft Defender Antivirus sono applicabili ad alcune esclusioni di regole asr. Vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco : Microsoft Defender esclusioni antivirus e regole asr. I file esclusi usando i metodi descritti in questo articolo possono comunque attivare avvisi EDR (Endpoint Detection and Response) e altri rilevamenti. Per escludere i file in modo generale, aggiungerli agli indicatori personalizzati Microsoft Defender per endpoint.
Prima di iniziare
Vedere Raccomandazioni per la definizione delle esclusioni prima di definire gli elenchi di esclusione.
Elenchi di esclusione
Per escludere determinati file dalle analisi antivirus Microsoft Defender, modificare gli elenchi di esclusione. Microsoft Defender Antivirus include molte esclusioni automatiche basate su comportamenti noti del sistema operativo e file di gestione tipici, ad esempio quelli usati nella gestione aziendale, nella gestione di database e in altri scenari aziendali.
Nota
Le esclusioni si applicano anche ai rilevamenti di app potenzialmente indesiderate (PUA ). Le esclusioni automatiche si applicano solo a Windows Server 2016 e versioni successive. Queste esclusioni non sono visibili nell'app Sicurezza di Windows e in PowerShell.
Nella tabella seguente sono elencati alcuni esempi di esclusioni in base all'estensione del file e al percorso della cartella.
Esclusione | Esempi | Elenco di esclusione |
---|---|---|
Qualsiasi file con un'estensione specifica | Tutti i file con l'estensione specificata, in qualsiasi punto del computer. Sintassi valida: .test e test |
Esclusioni di estensione |
Qualsiasi file o cartella in una cartella specifica | Tutti i file e le cartelle nella c:\test\sample cartella |
Esclusioni di file e cartelle |
Un file specifico in una cartella specifica | Solo file c:\sample\sample.test |
Esclusioni di file e cartelle |
Un processo specifico | File eseguibile c:\test\process.exe |
Esclusioni di file e cartelle |
Caratteristiche degli elenchi di esclusione
- Le esclusioni di cartelle si applicano a tutti i file e le cartelle in tale cartella, a meno che la sottocartella non sia un punto di riparazione. Le sottocartelle di reparse point devono essere escluse separatamente.
- Le estensioni di file si applicano a qualsiasi nome file con estensione definita se non è definito un percorso o una cartella.
Note importanti sulle esclusioni in base alle estensioni di file e ai percorsi delle cartelle
L'uso di caratteri jolly come l'asterisco (*) modifica il modo in cui vengono interpretate le regole di esclusione. Per informazioni importanti sul funzionamento dei caratteri jolly, vedere la sezione Usare i caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione .
Non escludere le unità di rete mappate. Specificare il percorso di rete effettivo.
Le cartelle che sono punti di analisi vengono create dopo l'avvio del servizio antivirus Microsoft Defender e quelle aggiunte all'elenco di esclusione non sono incluse. Riavviare il servizio riavviando Windows per riconoscere nuovi punti di reparse come destinazione di esclusione valida.
Le esclusioni si applicano alle analisi pianificate, alle analisi su richiesta e alla protezione in tempo reale, ma non in tutte le funzionalità di Defender per endpoint. Per definire esclusioni in Defender per endpoint, usare indicatori personalizzati.
Per impostazione predefinita, le modifiche locali apportate agli elenchi (dagli utenti con privilegi di amministratore, incluse le modifiche apportate con PowerShell e WMI) vengono unite agli elenchi definiti (e distribuiti) da Criteri di gruppo, Configuration Manager o Intune. Gli elenchi Criteri di gruppo hanno la precedenza in caso di conflitti. Inoltre, le modifiche dell'elenco di esclusione apportate con Criteri di gruppo sono visibili nell'app Sicurezza di Windows.
Per consentire alle modifiche locali di ignorare le impostazioni di distribuzione gestita, configurare la modalità di unione degli elenchi di esclusioni definiti a livello locale e globale.
Configurare l'elenco di esclusioni in base al nome della cartella o all'estensione del file
È possibile scegliere tra diversi metodi per definire le esclusioni per Microsoft Defender Antivirus.
Usare Intune per configurare le esclusioni di file, cartelle o estensioni di file
Fare inoltre riferimento ai seguenti articoli:
- Configurare le impostazioni di restrizione del dispositivo in Microsoft Intune
- Microsoft Defender impostazioni di restrizione dei dispositivi antivirus per Windows 10 in Intune
Usare Configuration Manager per configurare le esclusioni di nomi file, cartelle o estensioni di file
Vedere How to create and deploy antimalware policies: Exclusion settings (Come creare e distribuire criteri antimalware: impostazioni di esclusione) per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (current branch).
Usare Criteri di gruppo per configurare le esclusioni di estensione di cartelle o file
Nota
Se si specifica un percorso completo di un file, solo tale file viene escluso. Se una cartella è definita nell'esclusione, tutti i file e le sottodirectory in tale cartella vengono esclusi.
Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.
Nella Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.
Espandere l'albero in Componenti >di WindowsMicrosoft Defender Esclusioni antivirus>.
Aprire l'impostazione Esclusioni percorso per la modifica e aggiungere le esclusioni.
Impostare l'opzione su Abilitato.
Nella sezione Opzioni selezionare Mostra.
Specificare ogni cartella nella propria riga nella colonna Nome valore .
Se si specifica un file, assicurarsi di immettere un percorso completo del file, inclusi la lettera di unità, il percorso della cartella, il nome del file e l'estensione.
Immettere 0 nella colonna Valore .
Scegliere OK.
Aprire l'impostazione Esclusioni di estensione per la modifica e aggiungere le esclusioni.
Impostare l'opzione su Abilitato.
Nella sezione Opzioni selezionare Mostra.
Immettere ogni estensione di file nella propria riga nella colonna Nome valore .
Immettere 0 nella colonna Valore .
Scegliere OK.
Usare i cmdlet di PowerShell per configurare le esclusioni di nomi file, cartelle o estensioni di file
L'uso di PowerShell per aggiungere o rimuovere esclusioni per i file in base all'estensione, al percorso o al nome di file richiede l'uso di una combinazione di tre cmdlet e di un parametro appropriato per l'elenco di esclusione. I cmdlet sono tutti inclusi nel modulo Defender.
Il formato per i cmdlet è il seguente:
<cmdlet> -<exclusion list> "<item>"
Nella tabella seguente sono elencati i cmdlet che è possibile usare nella <cmdlet>
parte del cmdlet di PowerShell:
Azione di configurazione | Cmdlet di PowerShell |
---|---|
Creare o sovrascrivere l'elenco | Set-MpPreference |
Aggiungere all'elenco | Add-MpPreference |
Rimuovere un elemento dall'elenco | Remove-MpPreference |
Nella tabella seguente sono elencati i valori che è possibile usare nella <exclusion list>
parte del cmdlet di PowerShell:
Tipo di esclusione | Parametro di PowerShell |
---|---|
Tutti i file con un'estensione di file specificata | -ExclusionExtension |
Tutti i file in una cartella (inclusi i file nelle sottodirectory) o in un file specifico | -ExclusionPath |
Importante
Se è stato creato un elenco, con Set-MpPreference
o Add-MpPreference
, l'uso del Set-MpPreference
cmdlet sovrascrive nuovamente l'elenco esistente.
Ad esempio, il frammento di codice seguente causerebbe Microsoft Defender analisi antivirus per escludere qualsiasi file con l'estensione di .test
file:
Add-MpPreference -ExclusionExtension ".test"
Consiglio
Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.
Usare Strumentazione gestione Windows (WMI) per configurare le esclusioni di file, cartelle o estensioni di file
Utilizzare i metodi Set, Add e Remove della classe MSFT_MpPreference per le proprietà seguenti:
ExclusionExtension
ExclusionPath
L'uso di Set, Add e Remove è analogo alle relative controparti in PowerShell: Set-MpPreference
, Add-MpPreference
e Remove-MpPreference
.
Consiglio
Per altre informazioni, vedere API WMIv2 di Windows Defender.
Usare l'app Sicurezza di Windows per configurare le esclusioni di file, cartelle o estensioni di file
Per istruzioni, vedere Aggiungere esclusioni nell'app Sicurezza di Windows.
Usare caratteri jolly negli elenchi di esclusione del nome file e del percorso della cartella o dell'estensione
È possibile usare l'asterisco *
, il punto interrogativo ?
o le variabili di ambiente , ad %ALLUSERSPROFILE%
esempio , come caratteri jolly quando si definiscono elementi nell'elenco di esclusione del nome file o del percorso della cartella. È possibile combinare e associare *
le variabili e ?
e le variabili di ambiente in una singola esclusione. Il modo in cui questi caratteri jolly vengono interpretati differisce dal solito utilizzo in altre app e lingue. Assicurarsi di leggere questa sezione per comprendere le limitazioni specifiche.
Importante
Esistono limitazioni chiave e scenari di utilizzo per questi caratteri jolly:
- L'utilizzo delle variabili di ambiente è limitato alle variabili del computer e a quelle applicabili ai processi in esecuzione come account NT AUTHORITY\SYSTEM.
- È possibile usare solo un massimo di sei caratteri jolly per voce.
- Non è possibile usare un carattere jolly al posto di una lettera di unità.
- Un asterisco
*
in un'esclusione di cartelle è valido per una singola cartella. Usare più istanze di\*\
per indicare più cartelle annidate con nomi non specificati.
Nella tabella seguente viene descritto come usare i caratteri jolly e vengono forniti alcuni esempi.
Carattere jolly | Esempi |
---|---|
* (asterisco)Nelle inclusioni di nome file ed estensione di file, l'asterisco sostituisce un numero qualsiasi di caratteri e si applica solo ai file nell'ultima cartella definita nell'argomento. Nelle esclusioni di cartelle, l'asterisco sostituisce una singola cartella. Usare più * barre con cartelle \ per indicare più cartelle annidate. Dopo aver corrispondente il numero di cartelle con caratteri jolly e denominate, vengono incluse anche tutte le sottocartelle. |
C:\MyData\*.txt Include C:\MyData\notes.txt C:\somepath\*\Data include qualsiasi file in C:\somepath\Archives\Data e le relative sottocartelle e C:\somepath\Authorized\Data le relative sottocartelleC:\Serv\*\*\Backup include qualsiasi file in C:\Serv\Primary\Denied\Backup e le relative sottocartelle e C:\Serv\Secondary\Allowed\Backup le relative sottocartelle |
? (punto interrogativo)Nelle inclusioni di nome file ed estensione di file, il punto interrogativo sostituisce un singolo carattere e si applica solo ai file nell'ultima cartella definita nell'argomento . Nelle esclusioni di cartelle, il punto interrogativo sostituisce un singolo carattere in un nome di cartella. Dopo aver corrispondente il numero di cartelle con caratteri jolly e denominate, vengono incluse anche tutte le sottocartelle. |
C:\MyData\my?.zip Include C:\MyData\my1.zip C:\somepath\?\Data include qualsiasi file in C:\somepath\P\Data e le relative sottocartelleC:\somepath\test0?\Data includerebbe qualsiasi file in C:\somepath\test01\Data e le relative sottocartelle |
Variabili di ambiente La variabile definita viene popolata come percorso quando viene valutata l'esclusione. |
%ALLUSERSPROFILE%\CustomLogFiles includerebbe C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Combinazione e corrispondenza* Variabili di ambiente e ? possono essere combinate in una singola esclusione |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe includerebbe c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Importante
Se si combina un argomento di esclusione di file con un argomento di esclusione di cartelle, le regole vengono arrestate in corrispondenza dell'argomento file nella cartella corrispondente e non cercano corrispondenze di file in alcuna sottocartella.
Ad esempio, è possibile escludere tutti i file che iniziano con "date" nelle cartelle c:\data\final\marked
e c:\data\review\marked
usando l'argomento c:\data\*\marked\date*
della regola .
Questo argomento non corrisponde ad alcun file nelle sottocartelle in c:\data\final\marked
o c:\data\review\marked
.
Variabili di ambiente di sistema
Nella tabella seguente vengono elencate e descritte le variabili di ambiente dell'account di sistema.
Questa variabile di ambiente di sistema... | Reindirizzamenti a questo |
---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Esaminare l'elenco delle esclusioni
È possibile recuperare gli elementi nell'elenco di esclusione usando uno dei metodi seguenti:
Importante
Le modifiche dell'elenco di esclusione apportate con Criteri di gruppo verranno visualizzate negli elenchi di Sicurezza di Windows'app. Le modifiche apportate nell'app Sicurezza di Windows non verranno visualizzate negli elenchi Criteri di gruppo.
Se si usa PowerShell, è possibile recuperare l'elenco nei due modi seguenti:
- Recuperare lo stato di tutte le preferenze di Microsoft Defender Antivirus. Ogni elenco viene visualizzato su righe separate, ma gli elementi all'interno di ogni elenco vengono combinati nella stessa riga.
- Scrivere lo stato di tutte le preferenze in una variabile e usare tale variabile per chiamare solo l'elenco specifico a cui si è interessati. Ogni uso di
Add-MpPreference
viene scritto in una nuova riga.
Convalidare l'elenco di esclusione usando MpCmdRun
Per controllare le esclusioni con lo strumento da riga di comando dedicato mpcmdrun.exe, usare il comando seguente:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Nota
Il controllo delle esclusioni con MpCmdRun
richiede Microsoft Defender antivirus versione 4.18.2111-5.0 (rilasciata a dicembre 2021) o versione successiva.
Esaminare l'elenco delle esclusioni insieme a tutte le altre preferenze antivirus Microsoft Defender usando PowerShell
Usare il cmdlet seguente:
Get-MpPreference
Nell'esempio seguente vengono evidenziati gli elementi contenuti nell'elenco ExclusionExtension
:
Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.
Recuperare un elenco di esclusioni specifico tramite PowerShell
Usare il frammento di codice seguente (immettere ogni riga come comando separato); sostituire WDAVprefs con l'etichetta che si vuole assegnare alla variabile:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
Nell'esempio seguente l'elenco viene suddiviso in nuove righe per ogni uso del Add-MpPreference
cmdlet:
Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.
Convalidare gli elenchi di esclusioni con il file di test EICAR
È possibile verificare che gli elenchi di esclusione funzionino usando PowerShell con il Invoke-WebRequest
cmdlet o la classe WebClient .NET per scaricare un file di test.
Nel frammento di powershell seguente sostituire test.txt
con un file conforme alle regole di esclusione. Ad esempio, se si esclude l'estensione .testing
, sostituire test.txt
con test.testing
. Se si sta testando un percorso, assicurarsi di eseguire il cmdlet all'interno di tale percorso.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Se Microsoft Defender Antivirus segnala malware, la regola non funziona. Se non è presente alcun report di malware e il file scaricato esiste, l'esclusione funziona. È possibile aprire il file per verificare che il contenuto sia uguale a quello descritto nel sito Web del file di test EICAR.
È anche possibile usare il codice di PowerShell seguente, che chiama la classe WebClient .NET per scaricare il file di test, come con il Invoke-WebRequest
cmdlet, sostituire c:\test.txt
con un file conforme alla regola che si sta convalidando:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Se non si ha accesso a Internet, è possibile creare un file di test EICAR personalizzato scrivendo la stringa EICAR in un nuovo file di testo con il comando PowerShell seguente:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
È anche possibile copiare la stringa in un file di testo vuoto e tentare di salvarla con il nome del file o nella cartella che si sta tentando di escludere.
Vedere anche
- Configurare e convalidare le esclusioni nelle analisi antivirus Microsoft Defender
- Configurare e convalidare le esclusioni per i file aperti dai processi
- Configurare Microsoft Defender esclusioni antivirus in Windows Server
- Errori comuni da evitare quando si definiscono le esclusioni
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.