Esclusioni di file e cartelle contestuali
Si applica a:
Microsoft Defender for Business
Antivirus Microsoft Defender
Microsoft Defender per gli individui
Questo articolo/sezione descrive la funzionalità di esclusione di file e cartelle contestuali per Microsoft Defender Antivirus in Windows. Questa funzionalità consente di essere più specifici quando si definisce in quale contesto Microsoft Defender Antivirus non deve analizzare un file o una cartella, applicando restrizioni.
Panoramica
Le esclusioni sono destinate principalmente a attenuare gli effetti sulle prestazioni. Sono a costo di una riduzione del valore di protezione. Queste restrizioni consentono di limitare questa riduzione della protezione specificando le circostanze in cui deve essere applicata l'esclusione. Le esclusioni contestuali non sono adatte per affrontare i falsi positivi in modo affidabile. Se si verifica un falso positivo, è possibile inviare i file per l'analisi tramite il portale di Microsoft Defender XDR (sottoscrizione richiesta) o tramite il sito Web Intelligence di sicurezza Microsoft. Per un metodo di eliminazione temporanea, è consigliabile creare un indicatore di autorizzazione personalizzato in Microsoft Defender per endpoint.
Esistono quattro restrizioni che è possibile applicare per limitare l'applicabilità di un'esclusione:
- Restrizione del tipo di percorso file/cartella. È possibile limitare le esclusioni solo se la destinazione è un file o una cartella specificando la finalità. Se la destinazione è un file ma l'esclusione è specificata come cartella, non verrà applicata. Al contrario, se la destinazione è una cartella ma l'esclusione è specificata come file, verrà applicata l'esclusione.
- Restrizione del tipo di analisi. Consente di definire il tipo di analisi necessario per l'applicazione di un'esclusione. Ad esempio, si vuole escludere solo una determinata cartella dalle analisi complete, ma non da un'analisi "risorsa" (analisi di destinazione).
- Analizzare la restrizione del tipo di trigger. È possibile usare questa restrizione per specificare che l'esclusione deve essere applicata solo quando l'analisi è stata avviata da un evento specifico:
- on demand
- all'accesso
- o provenienti dal monitoraggio comportamentale
- Restrizione del processo. Consente di definire che un'esclusione deve essere applicata solo quando un file o una cartella è accessibile da un processo specifico.
Configurazione delle restrizioni
Le restrizioni vengono in genere applicate aggiungendo il tipo di restrizione al percorso di esclusione di file o cartelle.
| Restrizione | Typename | valore |
|---|---|---|
| File/cartella | Pathtype | File Cartella |
| Tipo di analisi | ScanType | Rapido Completo |
| Trigger di analisi | ScanTrigger | Ondemand OnAccess BM |
| Procedura | Procedura | "<image_path>" |
Requisiti
Questa funzionalità richiede Microsoft Defender Antivirus:
- Piattaforma: 4.18.2205.7 o versione successiva
- Motore: 1.1.19300.2 o versione successiva
Sintassi
Come punto di partenza, è possibile che siano già presenti esclusioni che si desidera rendere più specifiche. Per formare la stringa di esclusione, definire innanzitutto il percorso del file o della cartella da escludere, quindi aggiungere il nome del tipo e il valore associato, come illustrato nell'esempio seguente.
<PATH>\:{TypeName:value,TypeName:value}
Tenere presente che tutti itipi e i valori fanno distinzione tra maiuscole e minuscole.
Nota
Le condizioni all'interno {} di MUST devono essere vere per la corrispondenza della restrizione. Ad esempio, se si specificano due trigger di analisi, questo non può essere vero e l'esclusione non verrà applicata. Per specificare due restrizioni dello stesso tipo, creare due esclusioni separate.
Esempi
La stringa seguente esclude "c:\documents\design.doc" solo se si tratta di un file e solo nelle analisi di accesso:
c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}
La stringa seguente esclude "c:\documents\design.doc" solo se viene analizzata (all'accesso) a causa dell'accesso eseguito da un processo con il nome dell'immagine "winword.exe":
c:\documents\design.doc\:{Process:"winword.exe"}
I percorsi di file e cartelle possono contenere caratteri jolly, come nell'esempio seguente:
c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}
Il percorso dell'immagine del processo può contenere caratteri jolly, come nell'esempio seguente:
c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Restrizione di file/cartelle
È possibile limitare le esclusioni solo se la destinazione è un file o una cartella specificando la finalità. Se la destinazione è un file ma l'esclusione è specificata come cartella, l'esclusione non verrà applicata. Al contrario, se la destinazione è una cartella ma l'esclusione è specificata come file, verrà applicata l'esclusione.
Comportamento predefinito delle esclusioni di file/cartelle
Se non si specificano altre opzioni, il file/cartella viene escluso da tutti i tipi di analisi e l'esclusione si applica indipendentemente dal fatto che la destinazione sia un file o una cartella. Per altre informazioni sulla personalizzazione delle esclusioni da applicare solo a un tipo di analisi specifico, vedere Restrizione del tipo di analisi.
Nota
I caratteri jolly sono supportati nelle esclusioni di file/cartelle.
Cartelle
Per garantire l'applicazione di un'esclusione solo se la destinazione è una cartella, non un file, è possibile usare la restrizione PathType:folder . Ad esempio:
C:\documents\*\:{PathType:folder}
File
Per assicurarsi che un'esclusione si applichi solo se la destinazione è un file, non una cartella, è possibile usare la restrizione PathType: file.
Esempio:
C:\documents\*.mdb\:{PathType:file}
Restrizione del tipo di analisi
Per impostazione predefinita, le esclusioni si applicano a tutti i tipi di analisi:
- risorsa: un singolo file o cartella viene analizzato in modo mirato (ad esempio, fare clic con il pulsante destro del mouse, analizzare)
- quick: percorsi di avvio comuni utilizzati da malware, memoria e determinate chiavi del Registro di sistema
- full: include percorsi di analisi rapida e file system completo (tutti i file e le cartelle)
Per attenuare i problemi di prestazioni, è possibile escludere una cartella o un set di file dall'analisi da parte di un tipo di analisi specifico. È anche possibile definire il tipo di analisi richiesto per un'esclusione da applicare.
Per escludere una cartella dall'analisi solo durante un'analisi completa, specificare un tipo di restrizione insieme all'esclusione di file o cartelle, come nell'esempio seguente:
C:\documents\:{ScanType:full}
Per escludere una cartella dall'analisi solo durante un'analisi rapida, specificare un tipo di restrizione insieme all'esclusione di file o cartelle:
C:\program.exe\:{ScanType:quick}
Per assicurarsi che questa esclusione si applichi solo a un file specifico e non a una cartella (c:\foo.exe potrebbe essere una cartella), applicare anche la restrizione PathType:
C:\program.exe\:{ScanType:quick,PathType:file}
Restrizione del trigger di analisi
Per impostazione predefinita, le esclusioni di base si applicano a tutti i trigger di analisi. La restrizione ScanTrigger consente di specificare che l'esclusione deve essere applicata solo quando l'analisi è stata avviata da un evento specifico; su richiesta (incluse analisi rapide, complete e mirate), all'accesso o provenienti dal monitoraggio comportamentale (incluse le analisi della memoria).
- OnDemand: un'analisi è stata attivata da un comando o un'azione di amministratore. Tenere presente che anche le analisi rapide e complete pianificate rientrano in questa categoria.
- OnAccess: un file o una cartella viene aperto/scritto/letto/modificato (in genere considerato protezione in tempo reale)
- BM: un trigger comportamentale fa sì che il monitoraggio comportamentale analizzi un file specifico
Per escludere un file o una cartella e il relativo contenuto dall'analisi solo quando il file viene analizzato dopo l'accesso, definire una restrizione del trigger di analisi, ad esempio l'esempio seguente:
c:\documents\:{ScanTrigger:OnAccess}
Restrizione del processo
Questa restrizione consente di definire che un'esclusione deve essere applicata solo quando un file o una cartella è accessibile da un processo specifico. Uno scenario comune è quando si vuole evitare di escludere il processo in quanto tale prevenzione causerebbe l'esclusione di Defender Antivirus da parte di altre operazioni da tale processo. I caratteri jolly sono supportati nel nome/percorso del processo.
Nota
L'uso di una grande quantità di restrizioni di esclusione dei processi in un computer può influire negativamente sulle prestazioni. Inoltre, se un'esclusione è limitata a un determinato processo o a determinati processi, altri processi attivi (ad esempio indicizzazione, backup, aggiornamenti) possono comunque attivare analisi dei file.
Per escludere un file o una cartella solo quando si accede da un processo specifico, creare una normale esclusione di file o cartelle e aggiungere il processo a cui limitare l'esclusione. Ad esempio:
c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}
Configurazione
Dopo aver creato le esclusioni contestuali desiderate, è possibile usare lo strumento di gestione esistente per configurare le esclusioni di file e cartelle usando la stringa creata.
Vedere: Configurare e convalidare le esclusioni per le analisi antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per