Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Antivirus Microsoft Defender

Piattaforme

• Windows

È possibile definire esclusioni per Microsoft Defender Antivirus che si applicano alle analisi pianificate, alle analisi su richiesta e alla protezione e al monitoraggio sempre attiva e in tempo reale. In genere, non è necessario applicare esclusioni. Se è necessario applicare esclusioni, è possibile scegliere tra le opzioni seguenti:

• Esclusioni basate su estensioni di file e percorsi di cartelle (descritto in questo articolo)
• Esclusioni per i file aperti dai processi

Importante

Microsoft Defender le esclusioni antivirus si applicano ad alcune funzionalità di Microsoft Defender per endpoint, ad esempio le regole di riduzione della superficie di attacco. Alcune esclusioni Microsoft Defender Antivirus sono applicabili ad alcune esclusioni di regole asr. Vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco : Microsoft Defender esclusioni antivirus e regole asr. I file esclusi usando i metodi descritti in questo articolo possono comunque attivare avvisi EDR (Endpoint Detection and Response) e altri rilevamenti. Per escludere i file in modo generale, aggiungerli agli indicatori personalizzati Microsoft Defender per endpoint.

Prima di iniziare

Vedere Raccomandazioni per la definizione delle esclusioni prima di definire gli elenchi di esclusione.

Elenchi di esclusione

Per escludere determinati file dalle analisi antivirus Microsoft Defender, modificare gli elenchi di esclusione. Microsoft Defender Antivirus include molte esclusioni automatiche basate su comportamenti noti del sistema operativo e file di gestione tipici, ad esempio quelli usati nella gestione aziendale, nella gestione di database e in altri scenari e situazioni aziendali.

Nota

Le esclusioni si applicano anche ai rilevamenti di app potenzialmente indesiderate (PUA ). Le esclusioni automatiche si applicano solo a Windows Server 2016 e versioni successive. Queste esclusioni non sono visibili nell'app Sicurezza di Windows e in PowerShell.

Nella tabella seguente sono elencati alcuni esempi di esclusioni in base all'estensione del file e al percorso della cartella.

Esclusione	Esempi	Elenco di esclusione
Qualsiasi file con un'estensione specifica	Tutti i file con l'estensione specificata, in qualsiasi punto del computer. Sintassi valida: .test e test	Esclusioni di estensione
Qualsiasi file in una cartella specifica	Tutti i file nella c:\test\sample cartella	Esclusioni di file e cartelle
Un file specifico in una cartella specifica	Solo file c:\sample\sample.test	Esclusioni di file e cartelle
Un processo specifico	File eseguibile c:\test\process.exe	Esclusioni di file e cartelle

Caratteristiche degli elenchi di esclusione

• Le esclusioni di cartelle si applicano a tutti i file e le cartelle in tale cartella, a meno che la sottocartella non sia un punto di riparazione. Le sottocartelle di reparse point devono essere escluse separatamente.
• Le estensioni di file si applicano a qualsiasi nome file con estensione definita se non è definito un percorso o una cartella.

Note importanti sulle esclusioni in base alle estensioni di file e ai percorsi delle cartelle

• L'uso di caratteri jolly come l'asterisco (*) modifica il modo in cui vengono interpretate le regole di esclusione. Per informazioni importanti sul funzionamento dei caratteri jolly, vedere la sezione Usare i caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione .

• Non escludere le unità di rete mappate. Specificare il percorso di rete effettivo.

• Le cartelle che sono punti di analisi vengono create dopo l'avvio del servizio antivirus Microsoft Defender e quelle aggiunte all'elenco di esclusione non sono incluse. Riavviare il servizio riavviando Windows per riconoscere nuovi punti di reparse come destinazione di esclusione valida.

• Le esclusioni si applicano alle analisi pianificate, alle analisi su richiesta e alla protezione in tempo reale, ma non in tutte le funzionalità di Defender per endpoint. Per definire esclusioni in Defender per endpoint, usare indicatori personalizzati.

• Per impostazione predefinita, le modifiche locali apportate agli elenchi (dagli utenti con privilegi di amministratore, incluse le modifiche apportate con PowerShell e WMI) vengono unite agli elenchi definiti (e distribuiti) da Criteri di gruppo, Configuration Manager o Intune. Gli elenchi Criteri di gruppo hanno la precedenza in caso di conflitti. Inoltre, le modifiche dell'elenco di esclusione apportate con Criteri di gruppo sono visibili nell'app Sicurezza di Windows.

• Per consentire alle modifiche locali di ignorare le impostazioni di distribuzione gestita, configurare la modalità di unione degli elenchi di esclusioni definiti a livello locale e globale.

Configurare l'elenco di esclusioni in base al nome della cartella o all'estensione del file

È possibile scegliere tra diversi metodi per definire le esclusioni per Microsoft Defender Antivirus.

Usare Intune per configurare le esclusioni di file, cartelle o estensioni di file

Fare inoltre riferimento ai seguenti articoli:

• Configurare le impostazioni di restrizione del dispositivo in Microsoft Intune
• Microsoft Defender impostazioni di restrizione dei dispositivi antivirus per Windows 10 in Intune

Usare Configuration Manager per configurare le esclusioni di nomi file, cartelle o estensioni di file

Vedere How to create and deploy antimalware policies: Exclusion settings (Come creare e distribuire criteri antimalware: impostazioni di esclusione) per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (current branch).

Usare Criteri di gruppo per configurare le esclusioni di estensione di cartelle o file

Nota

Se si specifica un percorso completo di un file, solo tale file viene escluso. Se una cartella è definita nell'esclusione, tutti i file e le sottodirectory in tale cartella vengono esclusi.

1. Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

2. Nella Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

3. Espandere l'albero in Componenti >di WindowsMicrosoft Defender Esclusioni antivirus>.

4. Aprire l'impostazione Esclusioni percorso per la modifica e aggiungere le esclusioni.

   1. Impostare l'opzione su Abilitato.
   2. Nella sezione Opzioni selezionare Mostra.
   3. Specificare ogni cartella nella propria riga nella colonna Nome valore .
   4. Se si specifica un file, assicurarsi di immettere un percorso completo del file, inclusi la lettera di unità, il percorso della cartella, il nome del file e l'estensione.
   5. Immettere 0 nella colonna Valore .

5. Scegliere OK.

6. Aprire l'impostazione Esclusioni di estensione per la modifica e aggiungere le esclusioni.

   1. Impostare l'opzione su Abilitato.
   2. Nella sezione Opzioni selezionare Mostra.
   3. Immettere ogni estensione di file nella propria riga nella colonna Nome valore .
   4. Immettere 0 nella colonna Valore .

7. Scegliere OK.

Usare i cmdlet di PowerShell per configurare le esclusioni di nomi file, cartelle o estensioni di file

L'uso di PowerShell per aggiungere o rimuovere esclusioni per i file in base all'estensione, al percorso o al nome di file richiede l'uso di una combinazione di tre cmdlet e di un parametro appropriato per l'elenco di esclusione. I cmdlet sono tutti inclusi nel modulo Defender.

Il formato per i cmdlet è il seguente:

<cmdlet> -<exclusion list> "<item>"

Nella tabella seguente sono elencati i cmdlet che è possibile usare nella <cmdlet> parte del cmdlet di PowerShell:

Azione di configurazione	Cmdlet di PowerShell
Creare o sovrascrivere l'elenco	Set-MpPreference
Aggiungere all'elenco	Add-MpPreference
Rimuovere un elemento dall'elenco	Remove-MpPreference

Nella tabella seguente sono elencati i valori che è possibile usare nella <exclusion list> parte del cmdlet di PowerShell:

Tipo di esclusione	Parametro di PowerShell
Tutti i file con un'estensione di file specificata	-ExclusionExtension
Tutti i file in una cartella (inclusi i file nelle sottodirectory) o in un file specifico	-ExclusionPath

Importante

Se è stato creato un elenco, con Set-MpPreference o Add-MpPreference, l'uso del Set-MpPreference cmdlet sovrascrive nuovamente l'elenco esistente.

Ad esempio, il frammento di codice seguente causerebbe Microsoft Defender analisi antivirus per escludere qualsiasi file con l'estensione di .test file:

Add-MpPreference -ExclusionExtension ".test"

Consiglio

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Usare Strumentazione gestione Windows (WMI) per configurare le esclusioni di file, cartelle o estensioni di file

Utilizzare i metodi Set, Add e Remove della classe MSFT_MpPreference per le proprietà seguenti:

ExclusionExtension
ExclusionPath

L'uso di Set, Add e Remove è analogo alle relative controparti in PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Consiglio

Per altre informazioni, vedere Windows Defender API WMIv2.

Usare l'app Sicurezza di Windows per configurare le esclusioni di file, cartelle o estensioni di file

Per istruzioni, vedere Aggiungere esclusioni nell'app Sicurezza di Windows.

Usare caratteri jolly negli elenchi di esclusione del nome file e del percorso della cartella o dell'estensione

È possibile usare l'asterisco *, il punto interrogativo ?o le variabili di ambiente , ad %ALLUSERSPROFILE%esempio , come caratteri jolly quando si definiscono elementi nell'elenco di esclusione del nome file o del percorso della cartella. Il modo in cui questi caratteri jolly vengono interpretati differisce dal solito utilizzo in altre app e lingue. Assicurarsi di leggere questa sezione per comprendere le limitazioni specifiche.

Importante

Esistono limitazioni chiave e scenari di utilizzo per questi caratteri jolly:

• L'utilizzo delle variabili di ambiente è limitato alle variabili del computer e a quelle applicabili ai processi in esecuzione come account NT AUTHORITY\SYSTEM.
• È possibile usare solo un massimo di sei caratteri jolly per voce.
• Non è possibile usare un carattere jolly al posto di una lettera di unità.
• Un asterisco * in un'esclusione di cartelle è valido per una singola cartella. Usare più istanze di \*\ per indicare più cartelle annidate con nomi non specificati.

Nella tabella seguente viene descritto come usare i caratteri jolly e vengono forniti alcuni esempi.

Carattere jolly	Esempi
* (asterisco) Nelle inclusioni di nome file ed estensione di file, l'asterisco sostituisce un numero qualsiasi di caratteri e si applica solo ai file nell'ultima cartella definita nell'argomento. Nelle esclusioni di cartelle, l'asterisco sostituisce una singola cartella. Usare più * barre con cartelle \ per indicare più cartelle annidate. Dopo aver corrispondente il numero di cartelle con caratteri jolly e denominate, vengono incluse anche tutte le sottocartelle.	C:\MyData\*.txt Include C:\MyData\notes.txt C:\somepath\*\Data include qualsiasi file in C:\somepath\Archives\Data e le relative sottocartelle e C:\somepath\Authorized\Data le relative sottocartelle C:\Serv\*\*\Backup include qualsiasi file in C:\Serv\Primary\Denied\Backup e le relative sottocartelle e C:\Serv\Secondary\Allowed\Backup le relative sottocartelle
? (punto interrogativo) Nelle inclusioni di nome file ed estensione di file, il punto interrogativo sostituisce un singolo carattere e si applica solo ai file nell'ultima cartella definita nell'argomento . Nelle esclusioni di cartelle, il punto interrogativo sostituisce un singolo carattere in un nome di cartella. Dopo aver corrispondente il numero di cartelle con caratteri jolly e denominate, vengono incluse anche tutte le sottocartelle.	C:\MyData\my?.zip Include C:\MyData\my1.zip C:\somepath\?\Data include qualsiasi file in C:\somepath\P\Data e le relative sottocartelle C:\somepath\test0?\Data includerebbe qualsiasi file in C:\somepath\test01\Data e le relative sottocartelle
Variabili di ambiente La variabile definita viene popolata come percorso quando viene valutata l'esclusione.	%ALLUSERSPROFILE%\CustomLogFiles includerebbe C:\ProgramData\CustomLogFiles\Folder1\file1.txt

Importante

Se si combina un argomento di esclusione di file con un argomento di esclusione di cartelle, le regole vengono arrestate in corrispondenza dell'argomento file nella cartella corrispondente e non cercano corrispondenze di file in alcuna sottocartella. Ad esempio, è possibile escludere tutti i file che iniziano con "date" nelle cartelle c:\data\final\marked e c:\data\review\marked usando l'argomento c:\data\*\marked\date*della regola . Questo argomento non corrisponde ad alcun file nelle sottocartelle in c:\data\final\marked o c:\data\review\marked.

Variabili di ambiente di sistema

Nella tabella seguente vengono elencate e descritte le variabili di ambiente dell'account di sistema.

Questa variabile di ambiente di sistema...	Reindirizzamenti a questo
%APPDATA%	C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA%	C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData%	C:\ProgramData
%ProgramFiles%	C:\Program Files
%ProgramFiles%\Common Files	C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets	C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files	C:\Program Files\Common Files
%ProgramFiles(x86)%	C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files	C:\Program Files (x86)\Common Files
%SystemDrive%	C:
%SystemDrive%\Program Files	C:\Program Files
%SystemDrive%\Program Files (x86)	C:\Program Files (x86)
%SystemDrive%\Users	C:\Users
%SystemDrive%\Users\Public	C:\Users\Public
%SystemRoot%	C:\Windows
%windir%	C:\Windows
%windir%\Fonts	C:\Windows\Fonts
%windir%\Resources	C:\Windows\Resources
%windir%\resources\0409	C:\Windows\resources\0409
%windir%\system32	C:\Windows\System32
%ALLUSERSPROFILE%	C:\ProgramData
%ALLUSERSPROFILE%\Application Data	C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents	C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music	C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music	C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures	C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures	C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos	C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore	C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer	C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones	C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu	C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs	C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates	C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu	C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs	C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools	C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates	C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates	C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History	C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC%	C:\Users\Public
%PUBLIC%\AccountPictures	C:\Users\Public\AccountPictures
%PUBLIC%\Desktop	C:\Users\Public\Desktop
%PUBLIC%\Documents	C:\Users\Public\Documents
%PUBLIC%\Downloads	C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music	C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists	C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures	C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms	C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos	C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos	C:\Users\Public\Videos\Sample Videos
%USERPROFILE%	C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local	C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow	C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming	C:\Windows\system32\config\systemprofile\AppData\Roaming

Esaminare l'elenco delle esclusioni

È possibile recuperare gli elementi nell'elenco di esclusione usando uno dei metodi seguenti:

• Intune
• Microsoft Configuration Manager
• MpCmdRun
• PowerShell
• App di sicurezza di Windows

Importante

Le modifiche dell'elenco di esclusione apportate con Criteri di gruppo verranno visualizzate negli elenchi di Sicurezza di Windows'app. Le modifiche apportate nell'app Sicurezza di Windows non verranno visualizzate negli elenchi Criteri di gruppo.

Se si usa PowerShell, è possibile recuperare l'elenco nei due modi seguenti:

• Recuperare lo stato di tutte le preferenze di Microsoft Defender Antivirus. Ogni elenco viene visualizzato su righe separate, ma gli elementi all'interno di ogni elenco vengono combinati nella stessa riga.
• Scrivere lo stato di tutte le preferenze in una variabile e usare tale variabile per chiamare solo l'elenco specifico a cui si è interessati. Ogni uso di Add-MpPreference viene scritto in una nuova riga.

Convalidare l'elenco di esclusione usando MpCmdRun

Per controllare le esclusioni con lo strumento da riga di comando dedicato mpcmdrun.exe, usare il comando seguente:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Nota

Il controllo delle esclusioni con MpCmdRun richiede Microsoft Defender antivirus versione 4.18.2111-5.0 (rilasciata a dicembre 2021) o versione successiva.

Esaminare l'elenco delle esclusioni insieme a tutte le altre preferenze antivirus Microsoft Defender usando PowerShell

Usare il cmdlet seguente:

Get-MpPreference

Nell'esempio seguente vengono evidenziati gli elementi contenuti nell'elenco ExclusionExtension :

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Recuperare un elenco di esclusioni specifico tramite PowerShell

Usare il frammento di codice seguente (immettere ogni riga come comando separato); sostituire WDAVprefs con l'etichetta che si vuole assegnare alla variabile:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

Nell'esempio seguente l'elenco viene suddiviso in nuove righe per ogni uso del Add-MpPreference cmdlet:

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Convalidare gli elenchi di esclusioni con il file di test EICAR

È possibile verificare che gli elenchi di esclusione funzionino usando PowerShell con il Invoke-WebRequest cmdlet o la classe WebClient .NET per scaricare un file di test.

Nel frammento di powershell seguente sostituire test.txt con un file conforme alle regole di esclusione. Ad esempio, se l'estensione è .testing stata esclusa, sostituire test.txt con test.testing. Se si sta testando un percorso, assicurarsi di eseguire il cmdlet all'interno di tale percorso.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Se Microsoft Defender Antivirus segnala malware, la regola non funziona. Se non è presente alcun report di malware e il file scaricato esiste, l'esclusione funziona. È possibile aprire il file per verificare che il contenuto sia uguale a quello descritto nel sito Web del file di test EICAR.

È anche possibile usare il codice di PowerShell seguente, che chiama la classe WebClient .NET per scaricare il file di test, come con il Invoke-WebRequest cmdlet, sostituire c:\test.txt con un file conforme alla regola che si sta convalidando:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Se non si dispone dell'accesso a Internet, è possibile creare un file di test EICAR personalizzato scrivendo la stringa EICAR in un nuovo file di testo con il comando PowerShell seguente:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

È anche possibile copiare la stringa in un file di testo vuoto e tentare di salvarla con il nome del file o nella cartella che si sta tentando di escludere.

Consiglio

Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:

• Impostare le preferenze per Microsoft Defender per endpoint su macOS
• Microsoft Defender per endpoint su Mac
• Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
• Impostare le preferenze per Microsoft Defender per endpoint su Linux
• Microsoft Defender per Endpoint su Linux
• Funzionalità di configurazione di Microsoft Defender per endpoint su Android
• Funzionalità di configurazione di Microsoft Defender per endpoint su iOS

Vedere anche

• Configurare e convalidare le esclusioni nelle analisi antivirus Microsoft Defender
• Configurare e convalidare le esclusioni per i file aperti dai processi
• Configurare Microsoft Defender esclusioni antivirus in Windows Server
• Errori comuni da evitare quando si definiscono le esclusioni

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.