Configurare le esclusioni per i file aperti dai processi

  • Articolo

Si applica a:

Piattaforme

  • Windows

È possibile escludere i file aperti da processi specifici dalle analisi antivirus Microsoft Defender. Si noti che questi tipi di esclusioni sono per i file aperti dai processi e non per i processi stessi. Per escludere un processo, aggiungere un'esclusione di file (vedere Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella).

Vedere Punti importanti sulle esclusioni ed esaminare le informazioni in Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus prima di definire gli elenchi di esclusione.

Questo articolo descrive come configurare gli elenchi di esclusione.

Esempi di esclusioni di processi

Esclusione Esempio
Qualsiasi file nel computer aperto da qualsiasi processo con un nome di file specifico Se si specificano test.exe i file aperti da:

c:\sample\test.exe

d:\internal\files\test.exe
Qualsiasi file nel computer aperto da qualsiasi processo in una cartella specifica Se si specificano c:\test\sample\* i file aperti da:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe
Qualsiasi file nel computer aperto da un processo specifico in una cartella specifica Se si specifica c:\test\process.exe l'opzione escluderà solo i file aperti da c:\test\process.exe

Quando si aggiunge un processo all'elenco di esclusione del processo, Microsoft Defender Antivirus non analizzerà i file aperti da tale processo, indipendentemente dalla posizione dei file. Il processo stesso, tuttavia, verrà analizzato a meno che non sia stato aggiunto anche all'elenco di esclusione di file.

Le esclusioni si applicano solo alla protezione e al monitoraggio in tempo reale sempre attiva. Non si applicano alle analisi pianificate o su richiesta.

Le modifiche apportate con Criteri di gruppo agli elenchi di esclusione verranno visualizzate negli elenchi nell'app Sicurezza di Windows. Tuttavia, le modifiche apportate nell'app Sicurezza di Windows non verranno visualizzate negli elenchi Criteri di gruppo.

È possibile aggiungere, rimuovere ed esaminare gli elenchi per le esclusioni in Criteri di gruppo, Microsoft Configuration Manager, Microsoft Intune e con l'app Sicurezza di Windows ed è possibile usare caratteri jolly per personalizzare ulteriormente gli elenchi.

È anche possibile usare i cmdlet di PowerShell e WMI per configurare gli elenchi di esclusione, inclusa la revisione degli elenchi.

Per impostazione predefinita, le modifiche locali apportate agli elenchi (dagli utenti con privilegi di amministratore, modifiche apportate con PowerShell e WMI) vengono unite agli elenchi come definiti (e distribuiti) da Criteri di gruppo, Configuration Manager o Intune. Gli elenchi Criteri di gruppo hanno la precedenza in caso di conflitti.

È possibile configurare la modalità di unione degli elenchi di esclusioni definiti a livello locale e globale per consentire alle modifiche locali di ignorare le impostazioni di distribuzione gestita.

Nota

Le regole di riduzione dellasuperficie di attacco e protezione della rete sono direttamente interessate dalle esclusioni dei processi in tutte le piattaforme, il che significa che l'esclusione di un processo in qualsiasi sistema operativo (Windows, MacOS, Linux) comporterà l'impossibilità di controllare il traffico o applicare regole per tale processo specifico.

Nome immagine e percorso completo per le esclusioni dei processi

È possibile impostare due diversi tipi di esclusioni dei processi. Un processo può essere escluso dal nome dell'immagine o dal percorso completo. Il nome dell'immagine è semplicemente il nome del file del processo, senza il percorso.

Ad esempio, dato che il processo MyProcess.exe in esecuzione dal C:\MyFolder\ percorso completo di questo processo sarebbe C:\MyFolder\MyProcess.exe e il nome dell'immagine è MyProcess.exe.

Le esclusioni dei nomi di immagine sono molto più ampie. Un'esclusione in MyProcess.exe escluderà tutti i processi con questo nome di immagine, indipendentemente dal percorso da cui vengono eseguiti. Ad esempio, se il processo MyProcess.exe viene escluso dal nome dell'immagine, verrà escluso anche se viene eseguito da C:\MyOtherFolder, da supporti rimovibili, et cetera. Di conseguenza, quando possibile, è consigliabile usare il percorso completo.

Usare i caratteri jolly nell'elenco di esclusione dei processi

L'uso di caratteri jolly nell'elenco di esclusione del processo è diverso dall'uso in altri elenchi di esclusione. Quando l'esclusione del processo è definita solo come nome di immagine, l'utilizzo dei caratteri jolly non è consentito. Tuttavia, quando viene usato un percorso completo, sono supportati i caratteri jolly e il comportamento dei caratteri jolly si comporta come descritto in Esclusioni file e cartelle

È supportato anche l'uso di variabili di ambiente , ad %ALLUSERSPROFILE%esempio , come caratteri jolly durante la definizione di elementi nell'elenco di esclusione del processo. I dettagli e un elenco completo delle variabili di ambiente supportate sono descritti in Esclusioni file e cartelle.

Nella tabella seguente viene descritto come usare i caratteri jolly nell'elenco di esclusione del processo quando viene specificato un percorso:

Carattere jolly Esempio di utilizzo Corrispondenze di esempio
* (asterisco)

Sostituisce un numero qualsiasi di caratteri.

 C:\MyFolder\* Qualsiasi file aperto da C:\MyFolder\MyProcess.exe o C:\MyFolder\AnotherProcess.exe
C:\*\*\MyProcess.exe Qualsiasi file aperto da C:\MyFolder1\MyFolder2\MyProcess.exe o C:\MyFolder3\MyFolder4\MyProcess.exe
C:\*\MyFolder\My*.exe Qualsiasi file aperto da C:\MyOtherFolder\MyFolder\MyProcess.exe o C:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (punto interrogativo)

Sostituisce un carattere.

 C:\MyFolder\MyProcess??.exe Qualsiasi file aperto da C:\MyFolder\MyProcess42.exe o o C:\MyFolder\MyProcessAA.exeC:\MyFolder\MyProcessF5.exe
Variabili di ambiente %ALLUSERSPROFILE%\MyFolder\MyProcess.exe Qualsiasi file aperto da C:\ProgramData\MyFolder\MyProcess.exe

Esclusioni di processi contestuali

Si noti che un'esclusione di processo può essere definita anche tramite un'esclusione contestuale che consente, ad esempio, di escludere un file specifico solo se viene aperto da un processo specifico.

Configurare l'elenco di esclusioni per i file aperti da processi specificati

Usare Microsoft Intune per escludere dalle analisi i file aperti da processi specificati

Per altre informazioni, vedere Configurare le impostazioni di restrizione del dispositivo in Microsoft Intune e Microsoft Defender Impostazioni di restrizione dei dispositivi antivirus per Windows 10 in Intune.

Usare Microsoft Configuration Manager per escludere dalle analisi i file aperti da processi specificati

Vedere How to create and deploy antimalware policies: Exclusion settings (Come creare e distribuire criteri antimalware: impostazioni di esclusione) per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (current branch).

Usare Criteri di gruppo per escludere dalle analisi i file aperti da processi specificati

  1. Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

  2. Nella Editor gestione Criteri di gruppo passare a Configurazione computer e fare clic su Modelli amministrativi.

  3. Espandere l'albero in Componenti > di Windows Microsoft Defender Esclusioni antivirus>.

  4. Fare doppio clic su Esclusioni processo e aggiungere le esclusioni:

    1. Impostare l'opzione su Abilitato.
    2. Nella sezione Opzioni fare clic su Mostra.
    3. Immettere ogni processo nella propria riga nella colonna Nome valore . Vedere la tabella di esempio per i diversi tipi di esclusioni dei processi. Immettere 0 nella colonna Valore per tutti i processi.

  5. Fare clic su OK.

Usare i cmdlet di PowerShell per escludere dalle analisi i file aperti da processi specificati

L'uso di PowerShell per aggiungere o rimuovere esclusioni per i file aperti dai processi richiede l'uso di una combinazione di tre cmdlet con il -ExclusionProcess parametro . I cmdlet sono tutti inclusi nel modulo Defender.

Il formato per i cmdlet è:

<cmdlet> -ExclusionProcess "<item>"

Come cmdlet> sono consentiti gli elementi <seguenti:

Azione di configurazione Cmdlet di PowerShell
Create o sovrascrivere l'elenco Set-MpPreference
Aggiungere all'elenco Add-MpPreference
Rimuovere elementi dall'elenco Remove-MpPreference

Importante

Se è stato creato un elenco, con Set-MpPreference o Add-MpPreference, usando di nuovo il Set-MpPreference cmdlet si sovrascriverà l'elenco esistente.

Ad esempio, il frammento di codice seguente causerebbe Microsoft Defender analisi antivirus per escludere qualsiasi file aperto dal processo specificato:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Gestire l'antivirus con i cmdlet di PowerShell e Microsoft Defender i cmdlet antivirus.

Usare Windows Management Instruction (WMI) per escludere dalle analisi i file aperti da processi specificati

Utilizzare i metodi Set, Add e Remove della classe MSFT_MpPreference per le proprietà seguenti:

ExclusionProcess

L'uso di Set, Add e Remove è analogo alle relative controparti in PowerShell: Set-MpPreference, Add-MpPreferencee Remove-MpPreference.

Per altre informazioni e parametri consentiti, vedere Windows Defender API WMIv2.

Usare l'app Sicurezza di Windows per escludere dalle analisi i file aperti da processi specificati

Seguire le istruzioni in Aggiungere esclusioni nell'app Sicurezza di Windows.

Esaminare l'elenco delle esclusioni

È possibile recuperare gli elementi nell'elenco di esclusione con MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune o l'app Sicurezza di Windows.

Se si usa PowerShell, è possibile recuperare l'elenco in due modi:

  • Recuperare lo stato di tutte le preferenze di Microsoft Defender Antivirus. Ognuno degli elenchi viene visualizzato in righe separate, ma gli elementi all'interno di ogni elenco vengono combinati nella stessa riga.
  • Scrivere lo stato di tutte le preferenze in una variabile e usare tale variabile per chiamare solo l'elenco specifico a cui si è interessati. Ogni uso di Add-MpPreference viene scritto in una nuova riga.

Convalidare l'elenco di esclusione usando MpCmdRun

Per controllare le esclusioni con lo strumento da riga di comando dedicato mpcmdrun.exe, usare il comando seguente:

MpCmdRun.exe -CheckExclusion -path <path>

Nota

Il controllo delle esclusioni con MpCmdRun richiede Microsoft Defender Antivirus CAMP versione 4.18.1812.3 (rilasciata a dicembre 2018) o versione successiva.

Esaminare l'elenco delle esclusioni insieme a tutte le altre preferenze antivirus Microsoft Defender usando PowerShell

Usare il cmdlet seguente:

Get-MpPreference

Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Microsoft Defender Antivirus cmdlets .

Recuperare un elenco di esclusioni specifico tramite PowerShell

Usare il frammento di codice seguente (immettere ogni riga come comando separato); sostituire WDAVprefs con l'etichetta che si vuole assegnare alla variabile:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Usare i cmdlet di PowerShell per configurare ed eseguire Microsoft Defender cmdlet antivirus e antivirus Microsoft Defender.

Consiglio

Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.