Errori comuni da evitare quando si definiscono le esclusioni

  • Articolo

Si applica a:

Piattaforme

  • Windows
  • macOS
  • Linux

Importante

Aggiungere esclusioni con cautela. Le esclusioni per le analisi antivirus Microsoft Defender riducono il livello di protezione per i dispositivi.

È possibile definire un elenco di esclusione per gli elementi che non si vuole analizzare Microsoft Defender Antivirus. Tuttavia, gli elementi esclusi potrebbero contenere minacce che rendono vulnerabile il dispositivo. Questo articolo descrive alcuni errori comuni da evitare durante la definizione delle esclusioni.

Consiglio

Prima di definire gli elenchi di esclusione, vedere Punti importanti sulle esclusioni ed esaminare le informazioni dettagliate in Esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.

Esclusione di determinati elementi attendibili

Alcuni file, tipi di file, cartelle o processi non devono essere esclusi dall'analisi anche se si considera che non sono dannosi. Non definire esclusioni per i percorsi delle cartelle, le estensioni di file e i processi elencati nelle sezioni seguenti:

Percorsi delle cartelle

Importante

Alcune cartelle non devono essere escluse dalle analisi perché possono finire per essere cartelle in cui è possibile eliminare file dannosi.

In generale, non definire esclusioni per uno dei percorsi di cartelle seguenti:

  • %systemdrive%
  • C:, C:\, o C:\*
  • %ProgramFiles%\Java o C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\, o C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\, o C:\Temp\*
  • C:\Users\ o C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ o C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Si noti le eccezioni importanti seguenti per SharePoint: EscludereC:\Users\ServiceAccount\AppData\Local\Temp o C:\Users\Default\AppData\Local\Temp quando si usa la protezione antivirus a livello di file in SharePoint.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\, o C:\Windows\Prefetch\*
  • %Windir%\System32\Spool o C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\, o C:\Windows\Temp\*

Piattaforme Linux e macOS

In generale, non definire esclusioni per i percorsi di cartelle seguenti:

  • /
  • /bin o /sbin
  • /usr/lib

Estensioni file

Importante

Alcune estensioni di file non devono essere escluse perché possono essere tipi di file usati in un attacco.

In generale, non definire esclusioni per le estensioni di file seguenti:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko o .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Processi

Importante

Alcuni processi non devono essere esclusi perché vengono usati durante gli attacchi.

In generale, non definire esclusioni per i processi seguenti:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Nota

È possibile scegliere di escludere i tipi di file, ad .gifesempio , .jpg, .jpego .png se l'ambiente dispone di un software moderno e aggiornato con criteri di aggiornamento rigorosi per gestire eventuali vulnerabilità.

Piattaforme Linux e macOS

In generale, non definire esclusioni per i processi seguenti:

  • bash
  • java
  • python e python3
  • sh
  • zsh

Uso solo del nome file nell'elenco di esclusione

Il malware potrebbe avere lo stesso nome di quello di un file considerato attendibile e che si vuole escludere dall'analisi. Pertanto, per evitare di escludere potenziali malware dall'analisi, usare un percorso completo del file che si vuole escludere invece di usare solo il nome del file. Ad esempio, se si vuole escludere Filename.exe dall'analisi, usare il percorso completo del file, ad C:\program files\contoso\Filename.exeesempio .

Uso di un singolo elenco di esclusione per più carichi di lavoro server

Non usare un singolo elenco di esclusione per definire esclusioni per più carichi di lavoro server. Suddividere le esclusioni per carichi di lavoro di applicazioni o servizi diversi in più elenchi di esclusione. Ad esempio, l'elenco di esclusione per il carico di lavoro del server IIS deve essere diverso dall'elenco di esclusione per il carico di lavoro SQL Server.

Uso di variabili di ambiente non corrette come caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione

Microsoft Defender servizio antivirus viene eseguito nel contesto di sistema usando l'account LocalSystem, ovvero ottiene informazioni dalla variabile di ambiente di sistema e non dalla variabile di ambiente utente. L'uso delle variabili di ambiente come carattere jolly negli elenchi di esclusione è limitato alle variabili di sistema e a quelle applicabili ai processi in esecuzione come account NT AUTHORITY\SYSTEM. Pertanto, non usare le variabili di ambiente utente come caratteri jolly quando si aggiungono Microsoft Defender cartella Antivirus e le esclusioni dei processi. Per un elenco completo delle variabili di ambiente di sistema, vedere la tabella in Variabili di ambiente di sistema.

Per informazioni su come usare i caratteri jolly negli elenchi di esclusione, vedere Usare i caratteri jolly negli elenchi di esclusione del nome file e del percorso della cartella o dell'estensione .

Vedere anche

Consiglio

Vuoi saperne di più? Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.