Configurare le esclusioni per i file aperti dai processi
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
È possibile escludere i file aperti da processi specifici dalle analisi antivirus Microsoft Defender. Si noti che questi tipi di esclusioni sono per i file aperti dai processi e non per i processi stessi. Per escludere un processo, aggiungere un'esclusione di file (vedere Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella).
Vedere Punti importanti sulle esclusioni ed esaminare le informazioni in Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus prima di definire gli elenchi di esclusione.
Questo articolo descrive come configurare gli elenchi di esclusione.
Esempi di esclusioni di processi
Esclusione | Esempio |
---|---|
Qualsiasi file nel computer aperto da qualsiasi processo con un nome di file specifico | Se si specificano test.exe i file aperti da:
|
Qualsiasi file nel computer aperto da qualsiasi processo in una cartella specifica | Se si specificano c:\test\sample\* i file aperti da: |
Qualsiasi file nel computer aperto da un processo specifico in una cartella specifica | Se si specifica c:\test\process.exe l'opzione escluderà solo i file aperti da c:\test\process.exe |
Quando si aggiunge un processo all'elenco di esclusione del processo, Microsoft Defender Antivirus non analizzerà i file aperti da tale processo, indipendentemente dalla posizione dei file. Il processo stesso, tuttavia, verrà analizzato a meno che non sia stato aggiunto anche all'elenco di esclusione di file.
Le esclusioni si applicano solo alla protezione e al monitoraggio in tempo reale sempre attiva. Non si applicano alle analisi pianificate o su richiesta.
Le modifiche apportate con Criteri di gruppo agli elenchi di esclusione verranno visualizzate negli elenchi nell'app Sicurezza di Windows. Tuttavia, le modifiche apportate nell'app Sicurezza di Windows non verranno visualizzate negli elenchi Criteri di gruppo.
È possibile aggiungere, rimuovere ed esaminare gli elenchi per le esclusioni in Criteri di gruppo, Microsoft Configuration Manager, Microsoft Intune e con l'app Sicurezza di Windows ed è possibile usare caratteri jolly per personalizzare ulteriormente gli elenchi.
È anche possibile usare i cmdlet di PowerShell e WMI per configurare gli elenchi di esclusione, inclusa la revisione degli elenchi.
Per impostazione predefinita, le modifiche locali apportate agli elenchi (dagli utenti con privilegi di amministratore, modifiche apportate con PowerShell e WMI) vengono unite agli elenchi come definiti (e distribuiti) da Criteri di gruppo, Configuration Manager o Intune. Gli elenchi Criteri di gruppo hanno la precedenza in caso di conflitti.
È possibile configurare la modalità di unione degli elenchi di esclusioni definiti a livello locale e globale per consentire alle modifiche locali di ignorare le impostazioni di distribuzione gestita.
Nota
Le regole di riduzione dellasuperficie di attacco e protezione della rete sono direttamente interessate dalle esclusioni dei processi in tutte le piattaforme, il che significa che l'esclusione di un processo in qualsiasi sistema operativo (Windows, MacOS, Linux) comporterà l'impossibilità di controllare il traffico o applicare regole per tale processo specifico.
Nome immagine e percorso completo per le esclusioni dei processi
È possibile impostare due diversi tipi di esclusioni dei processi. Un processo può essere escluso dal nome dell'immagine o dal percorso completo. Il nome dell'immagine è semplicemente il nome del file del processo, senza il percorso.
Ad esempio, dato che il processo MyProcess.exe
in esecuzione dal C:\MyFolder\
percorso completo di questo processo sarebbe C:\MyFolder\MyProcess.exe
e il nome dell'immagine è MyProcess.exe
.
Le esclusioni dei nomi di immagine sono molto più ampie. Un'esclusione in MyProcess.exe
escluderà tutti i processi con questo nome di immagine, indipendentemente dal percorso da cui vengono eseguiti. Ad esempio, se il processo MyProcess.exe
viene escluso dal nome dell'immagine, verrà escluso anche se viene eseguito da C:\MyOtherFolder
, da supporti rimovibili, et cetera. Di conseguenza, quando possibile, è consigliabile usare il percorso completo.
Usare i caratteri jolly nell'elenco di esclusione dei processi
L'uso di caratteri jolly nell'elenco di esclusione del processo è diverso dall'uso in altri elenchi di esclusione. Quando l'esclusione del processo è definita solo come nome di immagine, l'utilizzo dei caratteri jolly non è consentito. Tuttavia, quando viene usato un percorso completo, sono supportati i caratteri jolly e il comportamento dei caratteri jolly si comporta come descritto in Esclusioni file e cartelle
È supportato anche l'uso di variabili di ambiente , ad %ALLUSERSPROFILE%
esempio , come caratteri jolly durante la definizione di elementi nell'elenco di esclusione del processo. I dettagli e un elenco completo delle variabili di ambiente supportate sono descritti in Esclusioni file e cartelle.
Nella tabella seguente viene descritto come usare i caratteri jolly nell'elenco di esclusione del processo quando viene specificato un percorso:
Carattere jolly | Esempio di utilizzo | Corrispondenze di esempio |
---|---|---|
* (asterisco)Sostituisce un numero qualsiasi di caratteri. |
C:\MyFolder\* |
Qualsiasi file aperto da C:\MyFolder\MyProcess.exe o C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Qualsiasi file aperto da C:\MyFolder1\MyFolder2\MyProcess.exe o C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Qualsiasi file aperto da C:\MyOtherFolder\MyFolder\MyProcess.exe o C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (punto interrogativo) Sostituisce un carattere. |
C:\MyFolder\MyProcess??.exe |
Qualsiasi file aperto da C:\MyFolder\MyProcess42.exe o o C:\MyFolder\MyProcessAA.exe C:\MyFolder\MyProcessF5.exe |
Variabili di ambiente | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Qualsiasi file aperto da C:\ProgramData\MyFolder\MyProcess.exe |
Esclusioni di processi contestuali
Si noti che un'esclusione di processo può essere definita anche tramite un'esclusione contestuale che consente, ad esempio, di escludere un file specifico solo se viene aperto da un processo specifico.
Configurare l'elenco di esclusioni per i file aperti da processi specificati
Usare Microsoft Intune per escludere dalle analisi i file aperti da processi specificati
Per altre informazioni, vedere Configurare le impostazioni di restrizione del dispositivo in Microsoft Intune e Microsoft Defender Impostazioni di restrizione dei dispositivi antivirus per Windows 10 in Intune.
Usare Microsoft Configuration Manager per escludere dalle analisi i file aperti da processi specificati
Vedere How to create and deploy antimalware policies: Exclusion settings (Come creare e distribuire criteri antimalware: impostazioni di esclusione) per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (current branch).
Usare Criteri di gruppo per escludere dalle analisi i file aperti da processi specificati
Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.
Nella Editor gestione Criteri di gruppo passare a Configurazione computer e fare clic su Modelli amministrativi.
Espandere l'albero in Componenti > di Windows Microsoft Defender Esclusioni antivirus>.
Fare doppio clic su Esclusioni processo e aggiungere le esclusioni:
- Impostare l'opzione su Abilitato.
- Nella sezione Opzioni fare clic su Mostra.
- Immettere ogni processo nella propria riga nella colonna Nome valore . Vedere la tabella di esempio per i diversi tipi di esclusioni dei processi. Immettere 0 nella colonna Valore per tutti i processi.
Fare clic su OK.
Usare i cmdlet di PowerShell per escludere dalle analisi i file aperti da processi specificati
L'uso di PowerShell per aggiungere o rimuovere esclusioni per i file aperti dai processi richiede l'uso di una combinazione di tre cmdlet con il -ExclusionProcess
parametro . I cmdlet sono tutti inclusi nel modulo Defender.
Il formato per i cmdlet è:
<cmdlet> -ExclusionProcess "<item>"
Come cmdlet> sono consentiti gli elementi <seguenti:
Azione di configurazione | Cmdlet di PowerShell |
---|---|
Creare o sovrascrivere l'elenco | Set-MpPreference |
Aggiungere all'elenco | Add-MpPreference |
Rimuovere elementi dall'elenco | Remove-MpPreference |
Importante
Se è stato creato un elenco, con Set-MpPreference
o Add-MpPreference
, usando di nuovo il Set-MpPreference
cmdlet si sovrascriverà l'elenco esistente.
Ad esempio, il frammento di codice seguente causerebbe Microsoft Defender analisi antivirus per escludere qualsiasi file aperto dal processo specificato:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Gestire l'antivirus con i cmdlet di PowerShell e Microsoft Defender i cmdlet antivirus.
Usare Windows Management Instruction (WMI) per escludere dalle analisi i file aperti da processi specificati
Utilizzare i metodi Set, Add e Remove della classe MSFT_MpPreference per le proprietà seguenti:
ExclusionProcess
L'uso di Set, Add e Remove è analogo alle relative controparti in PowerShell: Set-MpPreference
, Add-MpPreference
e Remove-MpPreference
.
Per altre informazioni e parametri consentiti, vedere API WMIv2 di Windows Defender.
Usare l'app Sicurezza di Windows per escludere dalle analisi i file aperti da processi specificati
Seguire le istruzioni in Aggiungere esclusioni nell'app Sicurezza di Windows.
Esaminare l'elenco delle esclusioni
È possibile recuperare gli elementi nell'elenco di esclusione con MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune o l'app Sicurezza di Windows.
Se si usa PowerShell, è possibile recuperare l'elenco in due modi:
- Recuperare lo stato di tutte le preferenze di Microsoft Defender Antivirus. Ognuno degli elenchi viene visualizzato in righe separate, ma gli elementi all'interno di ogni elenco vengono combinati nella stessa riga.
- Scrivere lo stato di tutte le preferenze in una variabile e usare tale variabile per chiamare solo l'elenco specifico a cui si è interessati. Ogni uso di
Add-MpPreference
viene scritto in una nuova riga.
Convalidare l'elenco di esclusione usando MpCmdRun
Per controllare le esclusioni con lo strumento da riga di comando dedicato mpcmdrun.exe, usare il comando seguente:
MpCmdRun.exe -CheckExclusion -path <path>
Nota
Il controllo delle esclusioni con MpCmdRun richiede Microsoft Defender Antivirus CAMP versione 4.18.1812.3 (rilasciata a dicembre 2018) o versione successiva.
Esaminare l'elenco delle esclusioni insieme a tutte le altre preferenze antivirus Microsoft Defender usando PowerShell
Usare il cmdlet seguente:
Get-MpPreference
Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Microsoft Defender Antivirus cmdlets .
Recuperare un elenco di esclusioni specifico tramite PowerShell
Usare il frammento di codice seguente (immettere ogni riga come comando separato); sostituire WDAVprefs con l'etichetta che si vuole assegnare alla variabile:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Usare i cmdlet di PowerShell per configurare ed eseguire Microsoft Defender cmdlet antivirus e antivirus Microsoft Defender.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Articoli correlati
- Configurare e convalidare le esclusioni nelle analisi antivirus Microsoft Defender
- Configurare e convalidare le esclusioni in base al nome file, all'estensione e al percorso della cartella
- Configurare Microsoft Defender esclusioni antivirus in Windows Server
- Errori comuni da evitare quando si definiscono le esclusioni
- Personalizzare, avviare ed esaminare i risultati delle analisi e delle correzioni di Microsoft Defender Antivirus
- Antivirus Microsoft Defender in Windows 10
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.