Configurare esclusioni personalizzate per Microsoft Defender Antivirus

Si applica a:

Piattaforme

  • Windows

In generale, non è necessario definire esclusioni per Microsoft Defender Antivirus. Se necessario, tuttavia, è possibile escludere file, cartelle, processi e file aperti dal processo dalle analisi antivirus Microsoft Defender. Questi tipi di esclusioni sono noti come esclusioni personalizzate. Questo articolo descrive come definire esclusioni personalizzate per Microsoft Defender Antivirus con Microsoft Intune e include collegamenti ad altre risorse per altre informazioni.

Le esclusioni personalizzate si applicano alle analisi pianificate, alle analisi su richiesta e al monitoraggio e alla protezione in tempo reale sempre attiva. Le esclusioni per i file aperti dal processo si applicano solo alla protezione in tempo reale.

Consiglio

Per una panoramica dettagliata di eliminazioni, invii ed esclusioni in Microsoft Defender Antivirus e Defender per endpoint, vedere Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender.

Configurare e convalidare le esclusioni

Attenzione

Usare Microsoft Defender le estensioni antivirus con parsimonia. Assicurarsi di esaminare le informazioni in Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.

Se si usa Microsoft Intune per gestire Microsoft Defender Antivirus o Microsoft Defender per endpoint, usare le procedure seguenti per definire le esclusioni:

Se si usa un altro strumento, ad esempio Configuration Manager o Criteri di gruppo, o si vogliono informazioni più dettagliate sulle esclusioni personalizzate, vedere questi articoli:

Gestire le esclusioni antivirus in Intune (per i criteri esistenti)

  1. Nell'interfaccia di amministrazione Microsoft Intune scegliere Endpoint Security>Antivirus e quindi selezionare un criterio esistente. Se non si dispone di un criterio esistente o si vuole creare un nuovo criterio, passare a Crea un nuovo criterio antivirus con esclusioni in Intune.

  2. Scegliere Proprietà e accanto a Impostazioni di configurazione scegliere Modifica.

  3. Espandere Microsoft Defender Esclusioni antivirus e quindi specificare le esclusioni.

    • Le estensioni escluse sono esclusioni definite dall'estensione del tipo di file. Queste estensioni si applicano a qualsiasi nome file con estensione definita senza il percorso o la cartella del file. Ogni tipo di file separato nell'elenco deve essere separato da un | carattere. Ad esempio, lib|obj. Per altre informazioni, vedere ExcludedExtensions.
    • I percorsi esclusi sono esclusioni definite dalla posizione (percorso). Questi tipi di esclusioni sono noti anche come esclusioni di file e cartelle. Separare ogni percorso nell'elenco con un | carattere. Ad esempio, C:\Example|C:\Example1. Per altre informazioni, vedere ExcludedPaths.
    • I processi esclusi sono esclusioni per i file aperti da determinati processi. Separare ogni tipo di file nell'elenco con un | carattere. Ad esempio, C:\Example. exe|C:\Example1.exe. Queste esclusioni non riguardano i processi effettivi. Per escludere i processi, è possibile usare esclusioni di file e cartelle. Per altre informazioni, vedere ExcludedProcesses.
  4. Scegliere Rivedi e salva e quindi salva.

Creare un nuovo criterio antivirus con esclusioni in Intune

  1. Nell'interfaccia di amministrazione Microsoft Intune scegliere Endpoint security> Antivirus+ Create Policy (Sicurezza endpoint Antivirus>+ Crea criteri).

  2. Selezionare una piattaforma, ad esempio Windows 10, Windows 11 e Windows Server.

  3. In Profilo selezionare Microsoft Defender Esclusioni antivirus e quindi scegliere Crea.

  4. Nel passaggio Crea profilo specificare un nome e una descrizione per il profilo e quindi scegliere Avanti.

  5. Nella scheda Impostazioni di configurazione specificare le esclusioni antivirus e quindi scegliere Avanti.

    • Le estensioni escluse sono esclusioni definite dall'estensione del tipo di file. Queste estensioni si applicano a qualsiasi nome file con estensione definita senza il percorso o la cartella del file. Separare ogni tipo di file nell'elenco con un | carattere. Ad esempio, lib|obj. Per altre informazioni, vedere ExcludedExtensions.
    • I percorsi esclusi sono esclusioni definite dalla posizione (percorso). Questi tipi di esclusioni sono noti anche come esclusioni di file e cartelle. Separare ogni percorso nell'elenco con un | carattere. Ad esempio, C:\Example|C:\Example1. Per altre informazioni, vedere ExcludedPaths.
    • I processi esclusi sono esclusioni per i file aperti da determinati processi. Separare ogni tipo di file nell'elenco con un | carattere. Ad esempio, C:\Example. exe|C:\Example1.exe. Queste esclusioni non riguardano i processi effettivi. Per escludere i processi, è possibile usare esclusioni di file e cartelle. Per altre informazioni, vedere ExcludedProcesses.
  6. Nella scheda Tag ambito , se si usano tag di ambito nell'organizzazione, specificare i tag di ambito per i criteri che si sta creando. Vedere Tag di ambito.

  7. Nella scheda Assegnazioni specificare gli utenti e i gruppi a cui devono essere applicati i criteri e quindi scegliere Avanti. Se è necessaria assistenza per le assegnazioni, vedere Assegnare profili utente e dispositivo in Microsoft Intune.

  8. Nella scheda Rivedi e crea esaminare le impostazioni e quindi scegliere Crea.

Punti importanti sulle esclusioni

La definizione delle esclusioni riduce la protezione offerta da Microsoft Defender Antivirus. È consigliabile valutare sempre i rischi associati all'implementazione delle esclusioni e escludere solo i file sicuri di non essere dannosi.

Le esclusioni influiscono direttamente sulla possibilità per Microsoft Defender Antivirus di bloccare, correggere o esaminare gli eventi correlati ai file, alle cartelle o ai processi aggiunti all'elenco di esclusione. Le esclusioni personalizzate possono influire sulle funzionalità che dipendono direttamente dal motore antivirus, ad esempio la protezione da malware, I/O su file e IIC certificati. Le esclusioni dei processi influiscono anche sulle regole di protezione della rete e riduzione della superficie di attacco. In particolare, l'esclusione di un processo in qualsiasi piattaforma fa sì che la protezione di rete e l'ASR non siano in grado di controllare il traffico o applicare regole per quel processo specifico.

Quando si definiscono esclusioni, tenere presente quanto segue:

  • Le esclusioni sono tecnicamente un gap di protezione. Quando si definiscono esclusioni, prendere in considerazione tutte le opzioni. Vedere Invii, eliminazioni ed esclusioni.

  • Esaminare periodicamente le esclusioni. Ricontrollare e applicare nuovamente le mitigazioni come parte del processo di revisione.

  • Idealmente, evitare di definire esclusioni nel tentativo di essere proattivi. Ad esempio, non escludere qualcosa solo perché pensi che potrebbe essere un problema in futuro. Usare le esclusioni solo per problemi specifici, ad esempio quelli relativi alle prestazioni o alla compatibilità delle applicazioni che le esclusioni potrebbero attenuare.

  • Esaminare e controllare le modifiche apportate all'elenco di esclusioni. Il team di sicurezza deve mantenere il contesto sul motivo per cui è stata aggiunta una determinata esclusione per evitare confusione in un secondo momento. Il team di sicurezza deve essere in grado di fornire risposte specifiche alle domande sul motivo per cui esistono esclusioni.

Controllare le esclusioni antivirus nei sistemi Exchange

Microsoft Exchange supporta l'integrazione con l'interfaccia amsi (Antimalware Scan Interface) a partire dalla Aggiornamenti trimestrale di giugno 2021 per Exchange (vedere Esecuzione di software antivirus Windows nei server Exchange). È consigliabile installare questi aggiornamenti e assicurarsi che AMSI funzioni correttamente. Vedere Microsoft Defender Informazioni di sicurezza antivirus e aggiornamenti dei prodotti.

Molte organizzazioni escludono le directory di Exchange dalle analisi antivirus per motivi di prestazioni. Microsoft consiglia di controllare Microsoft Defender esclusioni antivirus nei sistemi Exchange e di valutare se le esclusioni possono essere rimosse senza influire sulle prestazioni nell'ambiente per garantire il massimo livello di protezione. Le esclusioni possono essere gestite usando Criteri di gruppo, PowerShell o strumenti di gestione dei sistemi come Microsoft Intune.

Per controllare Microsoft Defender esclusioni antivirus in un Exchange Server, eseguire il comando Get-MpPreference da un prompt di PowerShell con privilegi elevati. Vedere Get-MpPreference.

Se non è possibile rimuovere le esclusioni per i processi e le cartelle di Exchange, tenere presente che l'esecuzione di un'analisi rapida in Microsoft Defender Antivirus analizza le directory e i file di Exchange, indipendentemente dalle esclusioni.

Vedere anche

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.