Configurare le esclusioni per i file aperti dai processi
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
È possibile escludere i file aperti da processi specifici dalle analisi antivirus Microsoft Defender. Vedere Raccomandazioni per la definizione delle esclusioni prima di definire gli elenchi di esclusione.
Questo articolo descrive come configurare gli elenchi di esclusione.
Esempi di esclusioni
| Esclusione | Esempio |
|---|---|
| Qualsiasi file nel computer aperto da qualsiasi processo con un nome di file specifico | Se si specificano test.exe i file aperti da:
|
| Qualsiasi file nel computer aperto da qualsiasi processo in una cartella specifica | Se si specificano c:\test\sample\* i file aperti da: |
| Qualsiasi file nel computer aperto da un processo specifico in una cartella specifica | Se si specifica c:\test\process.exe l'opzione escluderà solo i file aperti da c:\test\process.exe |
Quando si aggiunge un processo all'elenco di esclusione del processo, Microsoft Defender Antivirus non analizza i file aperti da tale processo, indipendentemente dalla posizione dei file. Il processo stesso, tuttavia, verrà analizzato a meno che non sia stato aggiunto anche all'elenco di esclusione di file.
Le esclusioni si applicano solo alla protezione e al monitoraggio in tempo reale sempre attiva. Non si applicano alle analisi pianificate o su richiesta.
Le modifiche apportate con Criteri di gruppo agli elenchi di esclusione verranno visualizzate negli elenchi nell'app Sicurezza di Windows. Tuttavia, le modifiche apportate nell'app Sicurezza di Windows non verranno visualizzate negli elenchi Criteri di gruppo.
È possibile aggiungere, rimuovere ed esaminare gli elenchi per le esclusioni in Criteri di gruppo, Microsoft Configuration Manager, Microsoft Intune e con l'app Sicurezza di Windows ed è possibile usare caratteri jolly per personalizzare ulteriormente gli elenchi.
È anche possibile usare i cmdlet di PowerShell e WMI per configurare gli elenchi di esclusione, inclusa la revisione degli elenchi.
Per impostazione predefinita, le modifiche locali apportate agli elenchi (dagli utenti con privilegi di amministratore, modifiche apportate con PowerShell e WMI) verranno unite agli elenchi come definiti (e distribuiti) da Criteri di gruppo, Configuration Manager o Intune. Gli elenchi Criteri di gruppo avranno la precedenza in caso di conflitti.
È possibile configurare la modalità di unione degli elenchi di esclusioni definiti a livello locale e globale per consentire alle modifiche locali di ignorare le impostazioni di distribuzione gestita.
Configurare l'elenco di esclusioni per i file aperti da processi specificati
Usare Microsoft Intune per escludere dalle analisi i file aperti da processi specificati
Per altre informazioni, vedere Configurare le impostazioni relative alle restrizioni dei dispositivi in Microsoft Intune e Impostazioni relative alle restrizioni dei dispositivi di Antivirus Microsoft Defender per Windows 10 in Intune.
Usare Microsoft Configuration Manager per escludere dalle analisi i file aperti da processi specificati
Vedere How to create and deploy antimalware policies: Exclusion settings (Come creare e distribuire criteri antimalware: impostazioni di esclusione) per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (current branch).
Usare Criteri di gruppo per escludere dalle analisi i file aperti da processi specificati
Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.
Nell'editor di gestione Criteri di gruppo passare a Configurazione computer e fare clic su Modelli amministrativi.
Espandere l'albero in Componenti > di Windows Microsoft Defender Esclusioni antivirus>.
Fare doppio clic su Esclusioni processo e aggiungere le esclusioni:
- Impostare l'opzione su Abilitato.
- Nella sezione Opzioni fare clic su Mostra.
- Immettere ogni processo nella propria riga nella colonna Nome valore . Vedere la tabella di esempio per i diversi tipi di esclusioni dei processi. Immettere 0 nella colonna Valore per tutti i processi.
Fare clic su OK.
Usare i cmdlet di PowerShell per escludere dalle analisi i file aperti da processi specificati
L'uso di PowerShell per aggiungere o rimuovere esclusioni per i file aperti dai processi richiede l'uso di una combinazione di tre cmdlet con il -ExclusionProcess parametro . I cmdlet sono tutti inclusi nel modulo Defender.
Il formato per i cmdlet è:
<cmdlet> -ExclusionProcess "<item>"
Come cmdlet> sono consentiti gli elementi <seguenti:
| Azione di configurazione | Cmdlet di PowerShell |
|---|---|
| Creare o sovrascrivere l'elenco | Set-MpPreference |
| Aggiungere all'elenco | Add-MpPreference |
| Rimuovere elementi dall'elenco | Remove-MpPreference |
Importante
Se è stato creato un elenco, con Set-MpPreference o Add-MpPreference, usando di nuovo il Set-MpPreference cmdlet si sovrascriverà l'elenco esistente.
Ad esempio, il frammento di codice seguente causerebbe Microsoft Defender analisi antivirus per escludere qualsiasi file aperto dal processo specificato:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Gestire l'antivirus con i cmdlet di PowerShell e Microsoft Defender i cmdlet antivirus.
Usare Windows Management Instruction (WMI) per escludere dalle analisi i file aperti da processi specificati
Utilizzare i metodi Set, Add e Remove della classe MSFT_MpPreference per le proprietà seguenti:
ExclusionProcess
L'uso di Set, Add e Remove è analogo alle relative controparti in PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.
Per altre informazioni e parametri consentiti, vedere Windows Defender API WMIv2.
Usare l'app Sicurezza di Windows per escludere dalle analisi i file aperti da processi specificati
Per istruzioni, vedere Aggiungere esclusioni nell'app Sicurezza di Windows.
Usare i caratteri jolly nell'elenco di esclusione dei processi
L'uso di caratteri jolly nell'elenco di esclusione del processo è diverso dall'uso in altri elenchi di esclusione.
In particolare, non è possibile usare il carattere jolly del punto interrogativo (?) e il carattere jolly asterisco (*) può essere usato solo alla fine di un percorso completo. È comunque possibile usare le variabili di ambiente , ad %ALLUSERSPROFILE%esempio , come caratteri jolly quando si definiscono gli elementi nell'elenco di esclusione del processo.
Nella tabella seguente viene descritto come usare i caratteri jolly nell'elenco di esclusione dei processi:
| Carattere jolly | Esempio di utilizzo | Corrispondenze di esempio |
|---|---|---|
* (asterisco)Sostituisce un numero qualsiasi di caratteri |
C:\MyData\* |
Qualsiasi file aperto da C:\MyData\file.exe |
| Variabili di ambiente La variabile definita viene popolata come percorso quando viene valutata l'esclusione |
%ALLUSERSPROFILE%\CustomLogFiles\file.exe |
Qualsiasi file aperto da C:\ProgramData\CustomLogFiles\file.exe |
Esaminare l'elenco delle esclusioni
È possibile recuperare gli elementi nell'elenco di esclusione con MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune o l'app Sicurezza di Windows.
Se si usa PowerShell, è possibile recuperare l'elenco in due modi:
- Recuperare lo stato di tutte le preferenze di Microsoft Defender Antivirus. Ognuno degli elenchi verrà visualizzato su righe separate, ma gli elementi all'interno di ogni elenco verranno combinati nella stessa riga.
- Scrivere lo stato di tutte le preferenze in una variabile e usare tale variabile per chiamare solo l'elenco specifico a cui si è interessati. Ogni uso di
Add-MpPreferenceviene scritto in una nuova riga.
Convalidare l'elenco di esclusione usando MpCmdRun
Per controllare le esclusioni con lo strumento da riga di comando dedicato mpcmdrun.exe, usare il comando seguente:
MpCmdRun.exe -CheckExclusion -path <path>
Nota
Il controllo delle esclusioni con MpCmdRun richiede Microsoft Defender Antivirus CAMP versione 4.18.1812.3 (rilasciata a dicembre 2018) o versione successiva.
Esaminare l'elenco delle esclusioni insieme a tutte le altre preferenze di antivirus Microsoft Defender usando PowerShell
Usare il cmdlet seguente:
Get-MpPreference
Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Usare i cmdlet di PowerShell per configurare ed eseguire Microsoft Defender antivirus e Microsoft Defender antivirus.
Recuperare un elenco di esclusioni specifico tramite PowerShell
Usare il frammento di codice seguente (immettere ogni riga come comando separato); sostituire WDAVprefs con l'etichetta che si vuole assegnare alla variabile:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Usare i cmdlet di PowerShell per configurare ed eseguire Microsoft Defender antivirus e Microsoft Defender antivirus.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Articoli correlati
- Configurare e convalidare le esclusioni nelle analisi antivirus Microsoft Defender
- Configurare e convalidare le esclusioni in base al nome file, all'estensione e al percorso della cartella
- Configurare Microsoft Defender esclusioni antivirus in Windows Server
- Errori comuni da evitare quando si definiscono le esclusioni
- Personalizzare, avviare ed esaminare i risultati delle analisi e delle correzioni di Microsoft Defender Antivirus
- Antivirus Microsoft Defender in Windows 10