Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella

  • Articolo

Si applica a:

Piattaforme

  • Windows

È possibile definire esclusioni per Microsoft Defender Antivirus che si applicano alle analisi pianificate, alle analisi su richiesta e alla protezione e al monitoraggio sempre attiva e in tempo reale. In genere, non è necessario applicare esclusioni. Se è necessario applicare esclusioni, è possibile scegliere tra i tipi seguenti:

Importante

Microsoft Defender le esclusioni antivirus si applicano ad alcune funzionalità di Microsoft Defender per endpoint, ad esempio le regole di riduzione della superficie di attacco. Alcune esclusioni Microsoft Defender Antivirus sono applicabili ad alcune esclusioni di regole asr. Vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco : Microsoft Defender esclusioni antivirus e regole asr. I file esclusi usando i metodi descritti in questo articolo possono comunque attivare avvisi EDR (Endpoint Detection and Response) e altri rilevamenti. Per escludere i file in modo generale, aggiungerli agli indicatori personalizzati Microsoft Defender per endpoint.

Prima di iniziare

Vedere Raccomandazioni per la definizione delle esclusioni prima di definire gli elenchi di esclusione.

Elenchi di esclusione

Per escludere determinati file dalle analisi antivirus Microsoft Defender, modificare gli elenchi di esclusione. Microsoft Defender Antivirus include molte esclusioni automatiche basate su comportamenti noti del sistema operativo e file di gestione tipici, ad esempio quelli usati nella gestione aziendale, nella gestione di database e in altri scenari aziendali.

Nota

Le esclusioni si applicano anche ai rilevamenti di app potenzialmente indesiderate (PUA ). Le esclusioni automatiche si applicano solo a Windows Server 2016 e versioni successive. Queste esclusioni non sono visibili nell'app Sicurezza di Windows e in PowerShell.

Nella tabella seguente sono elencati alcuni esempi di esclusioni in base all'estensione del file e al percorso della cartella.

Esclusione Esempi Elenco di esclusione
Qualsiasi file con un'estensione specifica Tutti i file con l'estensione specificata, in qualsiasi punto del computer.

Sintassi valida: .test e test		 Esclusioni di estensione
Qualsiasi file in una cartella specifica Tutti i file nella c:\test\sample cartella Esclusioni di file e cartelle
Un file specifico in una cartella specifica Solo file c:\sample\sample.test Esclusioni di file e cartelle
Un processo specifico File eseguibile c:\test\process.exe Esclusioni di file e cartelle

Caratteristiche degli elenchi di esclusione

  • Le esclusioni di cartelle si applicano a tutti i file e le cartelle in tale cartella, a meno che la sottocartella non sia un punto di riparazione. Le sottocartelle di reparse point devono essere escluse separatamente.
  • Le estensioni di file si applicano a qualsiasi nome file con estensione definita se non è definito un percorso o una cartella.

Note importanti sulle esclusioni in base alle estensioni di file e ai percorsi delle cartelle

Configurare l'elenco di esclusioni in base al nome della cartella o all'estensione del file

È possibile scegliere tra diversi metodi per definire le esclusioni per Microsoft Defender Antivirus.

Usare Intune per configurare le esclusioni di file, cartelle o estensioni di file

Fare inoltre riferimento ai seguenti articoli:

Usare Configuration Manager per configurare le esclusioni di nomi file, cartelle o estensioni di file

Vedere How to create and deploy antimalware policies: Exclusion settings (Come creare e distribuire criteri antimalware: impostazioni di esclusione) per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (current branch).

Usare Criteri di gruppo per configurare le esclusioni di estensione di cartelle o file

Nota

Se si specifica un percorso completo di un file, solo tale file viene escluso. Se una cartella è definita nell'esclusione, tutti i file e le sottodirectory in tale cartella vengono esclusi.

  1. Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

  2. Nella Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

  3. Espandere l'albero in Componenti >di WindowsMicrosoft Defender Esclusioni antivirus>.

  4. Aprire l'impostazione Esclusioni percorso per la modifica e aggiungere le esclusioni.

    1. Impostare l'opzione su Abilitato.

    2. Nella sezione Opzioni selezionare Mostra.

    3. Specificare ogni cartella nella propria riga nella colonna Nome valore .

    4. Se si specifica un file, assicurarsi di immettere un percorso completo del file, inclusi la lettera di unità, il percorso della cartella, il nome del file e l'estensione.

    5. Immettere 0 nella colonna Valore .

    6. Scegliere OK.

  5. Aprire l'impostazione Esclusioni di estensione per la modifica e aggiungere le esclusioni.

    1. Impostare l'opzione su Abilitato.

    2. Nella sezione Opzioni selezionare Mostra.

    3. Immettere ogni estensione di file nella propria riga nella colonna Nome valore .

    4. Immettere 0 nella colonna Valore .

    5. Scegliere OK.

Usare i cmdlet di PowerShell per configurare le esclusioni di nomi file, cartelle o estensioni di file

L'uso di PowerShell per aggiungere o rimuovere esclusioni per i file in base all'estensione, al percorso o al nome di file richiede l'uso di una combinazione di tre cmdlet e di un parametro appropriato per l'elenco di esclusione. I cmdlet sono tutti inclusi nel modulo Defender.

Il formato per i cmdlet è il seguente:

<cmdlet> -<exclusion list> "<item>"

Nella tabella seguente sono elencati i cmdlet che è possibile usare nella <cmdlet> parte del cmdlet di PowerShell:

Azione di configurazione Cmdlet di PowerShell
Creare o sovrascrivere l'elenco Set-MpPreference
Aggiungere all'elenco Add-MpPreference
Rimuovere un elemento dall'elenco Remove-MpPreference

Nella tabella seguente sono elencati i valori che è possibile usare nella <exclusion list> parte del cmdlet di PowerShell:

Tipo di esclusione Parametro di PowerShell
Tutti i file con un'estensione di file specificata -ExclusionExtension
Tutti i file in una cartella (inclusi i file nelle sottodirectory) o in un file specifico -ExclusionPath

Importante

Se è stato creato un elenco, con Set-MpPreference o Add-MpPreference, l'uso del Set-MpPreference cmdlet sovrascrive nuovamente l'elenco esistente.

Ad esempio, il frammento di codice seguente causerebbe Microsoft Defender analisi antivirus per escludere qualsiasi file con l'estensione di .test file:

Add-MpPreference -ExclusionExtension ".test"

Consiglio

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Usare Strumentazione gestione Windows (WMI) per configurare le esclusioni di file, cartelle o estensioni di file

Utilizzare i metodi Set, Add e Remove della classe MSFT_MpPreference per le proprietà seguenti:

ExclusionExtension
ExclusionPath

L'uso di Set, Add e Remove è analogo alle relative controparti in PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Consiglio

Per altre informazioni, vedere API WMIv2 di Windows Defender.

Usare l'app Sicurezza di Windows per configurare le esclusioni di file, cartelle o estensioni di file

Per istruzioni, vedere Aggiungere esclusioni nell'app Sicurezza di Windows.

Usare caratteri jolly negli elenchi di esclusione del nome file e del percorso della cartella o dell'estensione

È possibile usare l'asterisco *, il punto interrogativo ?o le variabili di ambiente , ad %ALLUSERSPROFILE%esempio , come caratteri jolly quando si definiscono elementi nell'elenco di esclusione del nome file o del percorso della cartella. È possibile combinare e associare * le variabili e ? e le variabili di ambiente in una singola esclusione. Il modo in cui questi caratteri jolly vengono interpretati differisce dal solito utilizzo in altre app e lingue. Assicurarsi di leggere questa sezione per comprendere le limitazioni specifiche.

Importante

Esistono limitazioni chiave e scenari di utilizzo per questi caratteri jolly:

  • L'utilizzo delle variabili di ambiente è limitato alle variabili del computer e a quelle applicabili ai processi in esecuzione come account NT AUTHORITY\SYSTEM.
  • È possibile usare solo un massimo di sei caratteri jolly per voce.
  • Non è possibile usare un carattere jolly al posto di una lettera di unità.
  • Un asterisco * in un'esclusione di cartelle è valido per una singola cartella. Usare più istanze di \*\ per indicare più cartelle annidate con nomi non specificati.

Nella tabella seguente viene descritto come usare i caratteri jolly e vengono forniti alcuni esempi.

Carattere jolly Esempi
* (asterisco)

Nelle inclusioni di nome file ed estensione di file, l'asterisco sostituisce un numero qualsiasi di caratteri e si applica solo ai file nell'ultima cartella definita nell'argomento.

Nelle esclusioni di cartelle, l'asterisco sostituisce una singola cartella. Usare più * barre con cartelle \ per indicare più cartelle annidate. Dopo aver corrispondente il numero di cartelle con caratteri jolly e denominate, vengono incluse anche tutte le sottocartelle.		 C:\MyData\*.txt Include C:\MyData\notes.txt

C:\somepath\*\Data include qualsiasi file in C:\somepath\Archives\Data e le relative sottocartelle e C:\somepath\Authorized\Data le relative sottocartelle

C:\Serv\*\*\Backup include qualsiasi file in C:\Serv\Primary\Denied\Backup e le relative sottocartelle e C:\Serv\Secondary\Allowed\Backup le relative sottocartelle
? (punto interrogativo)

Nelle inclusioni di nome file ed estensione di file, il punto interrogativo sostituisce un singolo carattere e si applica solo ai file nell'ultima cartella definita nell'argomento .

Nelle esclusioni di cartelle, il punto interrogativo sostituisce un singolo carattere in un nome di cartella. Dopo aver corrispondente il numero di cartelle con caratteri jolly e denominate, vengono incluse anche tutte le sottocartelle.		 C:\MyData\my?.zip Include C:\MyData\my1.zip

C:\somepath\?\Data include qualsiasi file in C:\somepath\P\Data e le relative sottocartelle

C:\somepath\test0?\Data includerebbe qualsiasi file in C:\somepath\test01\Data e le relative sottocartelle
Variabili di ambiente

La variabile definita viene popolata come percorso quando viene valutata l'esclusione.		 %ALLUSERSPROFILE%\CustomLogFiles includerebbe C:\ProgramData\CustomLogFiles\Folder1\file1.txt
Combinazione e corrispondenza

* Variabili di ambiente e ? possono essere combinate in una singola esclusione		 %PROGRAMFILES%\Contoso*\v?\bin\contoso.exe includerebbe c:\Program Files\Contoso Labs\v1\bin\contoso.exe

Importante

Se si combina un argomento di esclusione di file con un argomento di esclusione di cartelle, le regole vengono arrestate in corrispondenza dell'argomento file nella cartella corrispondente e non cercano corrispondenze di file in alcuna sottocartella. Ad esempio, è possibile escludere tutti i file che iniziano con "date" nelle cartelle c:\data\final\marked e c:\data\review\marked usando l'argomento c:\data\*\marked\date*della regola . Questo argomento non corrisponde ad alcun file nelle sottocartelle in c:\data\final\marked o c:\data\review\marked.

Variabili di ambiente di sistema

Nella tabella seguente vengono elencate e descritte le variabili di ambiente dell'account di sistema.

Questa variabile di ambiente di sistema... Reindirizzamenti a questo
%APPDATA% C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA% C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData% C:\ProgramData
%ProgramFiles% C:\Program Files
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files C:\Program Files\Common Files
%ProgramFiles(x86)% C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files C:\Program Files (x86)\Common Files
%SystemDrive% C:
%SystemDrive%\Program Files C:\Program Files
%SystemDrive%\Program Files (x86) C:\Program Files (x86)
%SystemDrive%\Users C:\Users
%SystemDrive%\Users\Public C:\Users\Public
%SystemRoot% C:\Windows
%windir% C:\Windows
%windir%\Fonts C:\Windows\Fonts
%windir%\Resources C:\Windows\Resources
%windir%\resources\0409 C:\Windows\resources\0409
%windir%\system32 C:\Windows\System32
%ALLUSERSPROFILE% C:\ProgramData
%ALLUSERSPROFILE%\Application Data C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC% C:\Users\Public
%PUBLIC%\AccountPictures C:\Users\Public\AccountPictures
%PUBLIC%\Desktop C:\Users\Public\Desktop
%PUBLIC%\Documents C:\Users\Public\Documents
%PUBLIC%\Downloads C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos C:\Users\Public\Videos\Sample Videos
%USERPROFILE% C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming C:\Windows\system32\config\systemprofile\AppData\Roaming

Esaminare l'elenco delle esclusioni

È possibile recuperare gli elementi nell'elenco di esclusione usando uno dei metodi seguenti:

Importante

Le modifiche dell'elenco di esclusione apportate con Criteri di gruppo verranno visualizzate negli elenchi di Sicurezza di Windows'app. Le modifiche apportate nell'app Sicurezza di Windows non verranno visualizzate negli elenchi Criteri di gruppo.

Se si usa PowerShell, è possibile recuperare l'elenco nei due modi seguenti:

  • Recuperare lo stato di tutte le preferenze di Microsoft Defender Antivirus. Ogni elenco viene visualizzato su righe separate, ma gli elementi all'interno di ogni elenco vengono combinati nella stessa riga.
  • Scrivere lo stato di tutte le preferenze in una variabile e usare tale variabile per chiamare solo l'elenco specifico a cui si è interessati. Ogni uso di Add-MpPreference viene scritto in una nuova riga.

Convalidare l'elenco di esclusione usando MpCmdRun

Per controllare le esclusioni con lo strumento da riga di comando dedicato mpcmdrun.exe, usare il comando seguente:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Nota

Il controllo delle esclusioni con MpCmdRun richiede Microsoft Defender antivirus versione 4.18.2111-5.0 (rilasciata a dicembre 2021) o versione successiva.

Esaminare l'elenco delle esclusioni insieme a tutte le altre preferenze antivirus Microsoft Defender usando PowerShell

Usare il cmdlet seguente:

Get-MpPreference

Nell'esempio seguente vengono evidenziati gli elementi contenuti nell'elenco ExclusionExtension :

Output di PowerShell per Get-MpPreference

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Recuperare un elenco di esclusioni specifico tramite PowerShell

Usare il frammento di codice seguente (immettere ogni riga come comando separato); sostituire WDAVprefs con l'etichetta che si vuole assegnare alla variabile:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

Nell'esempio seguente l'elenco viene suddiviso in nuove righe per ogni uso del Add-MpPreference cmdlet:

Output di PowerShell che mostra solo le voci nell'elenco di esclusione

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Convalidare gli elenchi di esclusioni con il file di test EICAR

È possibile verificare che gli elenchi di esclusione funzionino usando PowerShell con il Invoke-WebRequest cmdlet o la classe WebClient .NET per scaricare un file di test.

Nel frammento di powershell seguente sostituire test.txt con un file conforme alle regole di esclusione. Ad esempio, se si esclude l'estensione .testing , sostituire test.txt con test.testing. Se si sta testando un percorso, assicurarsi di eseguire il cmdlet all'interno di tale percorso.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Se Microsoft Defender Antivirus segnala malware, la regola non funziona. Se non è presente alcun report di malware e il file scaricato esiste, l'esclusione funziona. È possibile aprire il file per verificare che il contenuto sia uguale a quello descritto nel sito Web del file di test EICAR.

È anche possibile usare il codice di PowerShell seguente, che chiama la classe WebClient .NET per scaricare il file di test, come con il Invoke-WebRequest cmdlet, sostituire c:\test.txt con un file conforme alla regola che si sta convalidando:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Se non si ha accesso a Internet, è possibile creare un file di test EICAR personalizzato scrivendo la stringa EICAR in un nuovo file di testo con il comando PowerShell seguente:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

È anche possibile copiare la stringa in un file di testo vuoto e tentare di salvarla con il nome del file o nella cartella che si sta tentando di escludere.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.