Esclusioni di Microsoft Defender Antivirus in Windows Server
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Server Windows
Questo articolo descrive i tipi di esclusioni che non è necessario definire per Microsoft Defender Antivirus:
- Esclusioni predefinite per i file del sistema operativo in tutte le versioni di Windows.
- Esclusioni automatiche per i ruoli in Windows Server 2016 e versioni successive.
Per una panoramica più dettagliata delle esclusioni, vedere Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.
Alcuni punti importanti sulle esclusioni in Windows Server
- Le esclusioni personalizzate hanno la precedenza sulle esclusioni automatiche.
- Le esclusioni automatiche si applicano solo all'analisi rtp (Real Time Protection).
- Le esclusioni automatiche non vengono rispettate durante un'analisi rapida, un'analisi completa e un'analisi personalizzata.
- Le esclusioni personalizzate e duplicate non sono in conflitto con le esclusioni automatiche.
- Microsoft Defender Antivirus usa gli strumenti Dism (Deployment Image Servicing and Management) per determinare quali ruoli sono installati nel computer.
- È necessario impostare esclusioni appropriate per il software che non è incluso nel sistema operativo.
- Windows Server 2012 R2 non dispone di Microsoft Defender Antivirus come funzionalità installabile. Quando si esegue l'onboarding di tali server in Defender per endpoint, si installerà Microsoft Defender Antivirus e verranno applicate le esclusioni predefinite per i file del sistema operativo. Tuttavia, le esclusioni per i ruoli server (come specificato di seguito) non si applicano automaticamente ed è consigliabile configurare queste esclusioni in base alle esigenze. Per altre informazioni, vedere Eseguire l'onboarding di server Windows nel servizio Microsoft Defender per endpoint.
- Le esclusioni predefinite e le esclusioni automatiche dei ruoli del server non vengono visualizzate negli elenchi di esclusione standard visualizzati nell'app Sicurezza di Windows.
- L'elenco delle esclusioni predefinite in Windows viene mantenuto aggiornato man mano che cambia il panorama delle minacce. Questo articolo elenca alcune, ma non tutte, le esclusioni predefinite e automatiche.
Esclusioni automatiche dei ruoli del server
In Windows Server 2016 o versioni successive non è necessario definire esclusioni per i ruoli del server. Quando si installa un ruolo in Windows Server 2016 o versioni successive, Microsoft Defender Antivirus include esclusioni automatiche per il ruolo del server e tutti i file aggiunti durante l'installazione del ruolo.
Windows Server 2012 R2 non supporta la funzionalità esclusioni automatiche. Sarà necessario definire esclusioni esplicite per qualsiasi ruolo del server e per qualsiasi software aggiunto dopo l'installazione del sistema operativo.
Importante
- Le posizioni predefinite potrebbero essere diverse da quelle descritte in questo articolo.
- Per impostare esclusioni per il software che non è incluso come funzionalità di Windows o ruolo del server, fare riferimento alla documentazione del produttore del software.
Le esclusioni automatiche includono:
- Esclusioni di Hyper-V
- File SYSVOL
- Esclusioni di Active Directory
- Esclusioni del server DHCP
- Esclusioni del server DNS
- Esclusioni di Servizi file e archiviazione
- Esclusioni del server di stampa
- Esclusioni del server Web
- Esclusioni di Windows Server Update Services
Esclusioni di Hyper-V
Nella tabella seguente sono elencate le esclusioni dei tipi di file, le esclusioni di cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo Hyper-V.
Tipo di esclusione | Specifiche |
---|---|
Tipi di file | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Cartelle | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Processi | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
File SYSVOL
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Esclusioni di Active Directory
Questa sezione elenca le esclusioni che vengono recapitate automaticamente quando si installa Active Directory Domain Services (AD DS).
File di database NTDS
I file di database vengono specificati nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
File di log delle transazioni di Active Directory Domain Services
I file di log delle transazioni vengono specificati nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
Cartella di lavoro NTDS
Questa cartella viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
Esclusioni dei processi per i file di supporto correlati ad Active Directory Domain Services e Ad DS
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
Esclusioni del server DHCP
Questa sezione elenca le esclusioni che vengono recapitate automaticamente quando si installa il ruolo server DHCP. I percorsi dei file del server DHCP vengono specificati dai parametri DatabasePath, DhcpLogFilePath e BackupDatabasePath nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
Esclusioni del server DNS
Questa sezione elenca le esclusioni di file e cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo server DNS.
Esclusioni di file e cartelle per il ruolo server DNS
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
Esclusioni dei processi per il ruolo server DNS
%systemroot%\System32\dns.exe
Esclusioni di Servizi file e archiviazione
Questa sezione elenca le esclusioni di file e cartelle che vengono recapitate automaticamente quando si installa il ruolo Servizi file e archiviazione. Le esclusioni elencate di seguito non includono esclusioni per il ruolo Clustering.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Esclusioni del server di stampa
Questa sezione elenca le esclusioni dei tipi di file, le esclusioni di cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo Server di stampa.
Esclusioni dei tipi di file
*.shd
*.spl
Esclusioni di cartelle
Questa cartella viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Esclusioni dei processi per il ruolo Server di stampa
spoolsv.exe
Esclusioni del server Web
Questa sezione elenca le esclusioni di cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo Server Web.
Esclusioni di cartelle
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Esclusioni dei processi per il ruolo server Web
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
Disattivazione dell'analisi dei file nella cartella Sysvol\Sysvol o nella cartella SYSVOL_DFSR\Sysvol
Il percorso corrente della Sysvol\Sysvol
cartella o SYSVOL_DFSR\Sysvol
e di tutte le sottocartelle è la destinazione di analisi del file system della radice del set di repliche. Per Sysvol\Sysvol
impostazione predefinita, le cartelle e SYSVOL_DFSR\Sysvol
usano i percorsi seguenti:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
Il percorso dell'oggetto attualmente attivo SYSVOL
viene fatto riferimento dalla condivisione NETLOGON e può essere determinato dal nome del valore SysVol nella sottochiave seguente: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
Esclusioni di Windows Server Update Services
Questa sezione elenca le esclusioni di cartelle che vengono recapitate automaticamente quando si installa il ruolo Windows Server Update Services (WSUS). La cartella WSUS viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Esclusioni predefinite
Poiché Microsoft Defender Antivirus è integrato in Windows, non richiede esclusioni per i file del sistema operativo in qualsiasi versione di Windows.
Le esclusioni predefinite includono:
- File "temp.edb" di Windows
- File di Windows Update o file di aggiornamento automatico
- File di sicurezza di Windows
- File di Criteri di gruppo
- File WINS
- Esclusioni del servizio replica file
- Esclusioni dei processi per i file del sistema operativo predefiniti
L'elenco delle esclusioni predefinite in Windows viene mantenuto aggiornato man mano che cambia il panorama delle minacce.
File "temp.edb" di Windows
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
File di Windows Update o file di aggiornamento automatico
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
File di sicurezza di Windows
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
File di Criteri di gruppo
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
File WINS
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Esclusioni del servizio replica file
File nella cartella di lavoro Del servizio replica file (FRS). La cartella di lavoro frs è specificata nella chiave del Registro di sistema
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
File di log del database FRS. La cartella file di log del database FRS viene specificata nella chiave del Registro di sistema
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
Cartella di gestione temporanea frs. La cartella di gestione temporanea viene specificata nella chiave del Registro di sistema
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
Cartella di preinstallazione di FRS. Questa cartella viene specificata dalla cartella
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
Database e cartelle di lavoro di Replica file system distribuito (DFSR). Queste cartelle vengono specificate dalla chiave del Registro di sistema
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Nota
Per le posizioni personalizzate, vedere Rifiuto esplicito delle esclusioni automatiche.
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Esclusioni dei processi per i file del sistema operativo predefiniti
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Rifiuto esplicito delle esclusioni automatiche
In Windows Server 2016 e versioni successive, le esclusioni predefinite fornite dagli aggiornamenti di Security Intelligence escludono solo i percorsi predefiniti per un ruolo o una funzionalità. Se è stato installato un ruolo o una funzionalità in un percorso personalizzato o si vuole controllare manualmente il set di esclusioni, assicurarsi di rifiutare esplicitamente le esclusioni automatiche fornite negli aggiornamenti di Intelligence per la sicurezza. Tenere tuttavia presente che le esclusioni che vengono recapitate automaticamente sono ottimizzate per Windows Server 2016 e versioni successive. Vedere Punti importanti sulle esclusioni prima di definire gli elenchi di esclusione.
Avviso
La disattivazione delle esclusioni automatiche potrebbe influire negativamente sulle prestazioni o causare il danneggiamento dei dati. Le esclusioni automatiche dei ruoli del server sono ottimizzate per Windows Server 2016, Windows Server 2019 e Windows Server 2022.
Poiché le esclusioni predefinite escludono solo i percorsi predefiniti, se si spostano le cartelle NTDS e SYSVOL in un'altra unità o percorso diverso dal percorso originale, è necessario aggiungere le esclusioni manualmente. Vedere Configurare l'elenco delle esclusioni in base al nome della cartella o all'estensione del file.
È possibile disabilitare gli elenchi di esclusione automatica con Criteri di gruppo, cmdlet di PowerShell e WMI.
Usare Criteri di gruppo per disabilitare l'elenco delle esclusioni automatiche in Windows Server 2016, Windows Server 2019 e Windows Server 2022
Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.
Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e quindi selezionare Modelli amministrativi.
Espandere l'albero in Componenti >di WindowsEsclusioniantivirus> di Microsoft Defender.
Fare doppio clic su Disattiva esclusioni automatiche e impostare l'opzione su Abilitato. Infine scegliere OK.
Usare i cmdlet di PowerShell per disabilitare l'elenco delle esclusioni automatiche in Windows Server
Usare i cmdlet seguenti:
Set-MpPreference -DisableAutoExclusions $true
Per altre informazioni, vedere le risorse seguenti:
- Usare i cmdlet di PowerShell per configurare ed eseguire Microsoft Defender Antivirus.
- Usare PowerShell con Microsoft Defender Antivirus.
Usare Windows Management Instruction (WMI) per disabilitare l'elenco delle esclusioni automatiche in Windows Server
Utilizzare il metodo Set della classe MSFT_MpPreference per le proprietà seguenti:
DisableAutoExclusions
Per altre informazioni e parametri consentiti, vedere:
Definizione di esclusioni personalizzate
Se necessario, è possibile aggiungere o rimuovere esclusioni personalizzate. A tale scopo, vedere gli articoli seguenti:
- Configurare esclusioni personalizzate per Microsoft Defender Antivirus
- Configurare e convalidare le esclusioni in base al nome file, all'estensione e al percorso della cartella
- Configurare e convalidare le esclusioni per i file aperti dai processi
Vedere anche
- Esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus
- Errori comuni da evitare quando si definiscono le esclusioni
- Personalizzare, avviare ed esaminare i risultati delle analisi e delle correzioni di Microsoft Defender Antivirus
- Microsoft Defender per endpoint su Mac
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.