Configurare le esclusioni per i file aperti dai processiConfigure exclusions for files opened by processes

Si applica a:Applies to:

È possibile escludere i file aperti da processi specifici da Antivirus Microsoft Defender analisi.You can exclude files that have been opened by specific processes from Microsoft Defender Antivirus scans. Vedere Consigli per definire le esclusioni prima di definire gli elenchi di esclusione.See Recommendations for defining exclusions before defining your exclusion lists.

In questo articolo viene descritto come configurare gli elenchi di esclusione.This article describes how to configure exclusion lists.

Esempi di esclusioniExamples of exclusions

EsclusioneExclusion EsempioExample
Qualsiasi file nel computer aperto da qualsiasi processo con un nome di file specificoAny file on the machine that is opened by any process with a specific file name Specificando si test.exe escluderebbero i file aperti da:Specifying test.exe would exclude files opened by:
c:\sample\test.exe
d:\internal\files\test.exe
Qualsiasi file nel computer aperto da qualsiasi processo in una cartella specificaAny file on the machine that is opened by any process under a specific folder Specificando si c:\test\sample\* escluderebbero i file aperti da:Specifying c:\test\sample\* would exclude files opened by:
c:\test\sample\test.exe
c:\test\sample\test2.exe
c:\test\sample\utility.exe
Qualsiasi file nel computer aperto da un processo specifico in una cartella specificaAny file on the machine that is opened by a specific process in a specific folder Se si specifica c:\test\process.exe l'esclusione dei file aperti solo da c:\test\process.exeSpecifying c:\test\process.exe would exclude files only opened by c:\test\process.exe

Quando si aggiunge un processo all'elenco di esclusione dei processi, Antivirus Microsoft Defender non eseguirà l'analisi dei file aperti da tale processo, indipendentemente dalla posizione in cui si trovano i file.When you add a process to the process exclusion list, Microsoft Defender Antivirus won't scan files opened by that process, no matter where the files are located. Il processo stesso, tuttavia, verrà analizzato a meno che non sia stato aggiunto anche all'elenco di esclusione file.The process itself, however, will be scanned unless it has also been added to the file exclusion list.

Le esclusioni si applicano solo alla protezione e al monitoraggio sempre in tempo reale.The exclusions only apply to always-on real-time protection and monitoring. Non si applicano alle analisi pianificate o su richiesta.They don't apply to scheduled or on-demand scans.

Le modifiche apportate con Criteri di gruppo agli elenchi di esclusione verranno mostrate negli elenchi nell Sicurezza di Windows app . Changes made with Group Policy to the exclusion lists will show in the lists in the Windows Security app. Tuttavia, le modifiche apportate nell'app Sicurezza di Windows non verranno mostrate negli elenchi di Criteri di gruppo.However, changes made in the Windows Security app will not show in the Group Policy lists.

Puoi aggiungere, rimuovere ed esaminare gli elenchi per le esclusioni in Criteri di gruppo, Microsoft Endpoint Configuration Manager, Microsoft Intune e con l'app Sicurezza di Windows e puoi usare i caratteri jolly per personalizzare ulteriormente gli elenchi.You can add, remove, and review the lists for exclusions in Group Policy, Microsoft Endpoint Configuration Manager, Microsoft Intune, and with the Windows Security app, and you can use wildcards to further customize the lists.

È inoltre possibile utilizzare i cmdlet di PowerShell e WMI per configurare gli elenchi di esclusione, inclusa la revisione degli elenchi.You can also use PowerShell cmdlets and WMI to configure the exclusion lists, including reviewing your lists.

Per impostazione predefinita, le modifiche locali apportate agli elenchi (dagli utenti con privilegi di amministratore, le modifiche apportate con PowerShell e WMI) verranno unite agli elenchi definiti (e distribuiti) da Criteri di gruppo, Configuration Manager o Intune.By default, local changes made to the lists (by users with administrator privileges; changes made with PowerShell and WMI) will be merged with the lists as defined (and deployed) by Group Policy, Configuration Manager, or Intune. Gli elenchi di Criteri di gruppo avranno la precedenza in caso di conflitti.The Group Policy lists will take precedence in the case of conflicts.

È possibile configurare la modalità di unione degli elenchi di esclusioni definite localmente e globalmente per consentire alle modifiche locali di ignorare le impostazioni di distribuzione gestite.You can configure how locally and globally defined exclusions lists are merged to allow local changes to override managed deployment settings.

Configurare l'elenco di esclusioni per i file aperti da processi specificatiConfigure the list of exclusions for files opened by specified processes

Utilizzare Microsoft Intune per escludere i file aperti da processi specificati dalle analisiUse Microsoft Intune to exclude files that have been opened by specified processes from scans

Per altre informazioni, vedere Configurare le impostazioni relative alle restrizioni dei dispositivi in Microsoft Intune e Impostazioni relative alle restrizioni dei dispositivi di Antivirus Microsoft Defender per Windows 10 in Intune.See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Utilizzare Microsoft Endpoint Manager per escludere i file aperti da processi specificati dalle analisiUse Microsoft Endpoint Manager to exclude files that have been opened by specified processes from scans

Vedi Come creare e distribuire criteri antimalware: impostazioni di esclusione per informazioni dettagliate sulla configurazione Microsoft Endpoint Manager (current branch).See How to create and deploy antimalware policies: Exclusion settings for details on configuring Microsoft Endpoint Manager (current branch).

Utilizzare Criteri di gruppo per escludere i file aperti da processi specificati dalle analisiUse Group Policy to exclude files that have been opened by specified processes from scans

  1. Nel computer di gestione di Criteri di gruppo, aprire console Gestione Criteri di gruppo,fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

  2. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e fare clic su Modelli amministrativi.In the Group Policy Management Editor go to Computer configuration and click Administrative templates.

  3. Espandere l'albero per Windows componenti > Antivirus Microsoft Defender > esclusioni.Expand the tree to Windows components > Microsoft Defender Antivirus > Exclusions.

  4. Fare doppio clic su Elabora esclusioni e aggiungere le esclusioni:Double-click Process Exclusions and add the exclusions:

    1. Impostare l'opzione su Abilitato.Set the option to Enabled.
    2. Nella sezione Opzioni fare clic su Mostra....Under the Options section, click Show....
    3. Immettere ogni processo nella propria riga nella colonna Nome valore.Enter each process on its own line under the Value name column. Vedere la tabella di esempio per i diversi tipi di esclusioni di processo.See the example table for the different types of process exclusions. Immettere 0 nella colonna Valore per tutti i processi.Enter 0 in the Value column for all processes.
  5. Fare clic su OK.Click OK.

Utilizzare i cmdlet di PowerShell per escludere i file aperti da processi specificati dalle analisiUse PowerShell cmdlets to exclude files that have been opened by specified processes from scans

L'utilizzo di PowerShell per aggiungere o rimuovere esclusioni per i file aperti dai processi richiede l'utilizzo di una combinazione di tre cmdlet con il -ExclusionProcess parametro .Using PowerShell to add or remove exclusions for files that have been opened by processes requires using a combination of three cmdlets with the -ExclusionProcess parameter. I cmdlet sono tutti nel modulo Defender.The cmdlets are all in the Defender module.

Il formato per i cmdlet è:The format for the cmdlets is:

<cmdlet> -ExclusionProcess "<item>"

Gli elementi seguenti sono consentiti come <cmdlet> :The following are allowed as the <cmdlet>:

Azione di configurazioneConfiguration action Cmdlet di PowerShellPowerShell cmdlet
Creare o sovrascrivere l'elencoCreate or overwrite the list Set-MpPreference
Aggiungi all'elencoAdd to the list Add-MpPreference
Rimuovere elementi dall'elencoRemove items from the list Remove-MpPreference

Importante

Se è stato creato un elenco con o , utilizzando di nuovo Set-MpPreference Add-MpPreference il cmdlet verrà Set-MpPreference sovrascritto l'elenco esistente.If you have created a list, either with Set-MpPreference or Add-MpPreference, using the Set-MpPreference cmdlet again will overwrite the existing list.

Ad esempio, il frammento di codice seguente fa in modo che le analisi di Microsoft Defender AV escludono qualsiasi file aperto dal processo specificato:For example, the following code snippet would cause Microsoft Defender AV scans to exclude any file that is opened by the specified process:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Per ulteriori informazioni su come usare PowerShell con Antivirus Microsoft Defender, vedere Manage antivirus with PowerShell cmdlets and Antivirus Microsoft Defender cmdlets.For more information on how to use PowerShell with Microsoft Defender Antivirus, see Manage antivirus with PowerShell cmdlets and Microsoft Defender Antivirus cmdlets.

Utilizzare Windows Management Instruction (WMI) per escludere i file aperti da processi specificati dalle analisiUse Windows Management Instruction (WMI) to exclude files that have been opened by specified processes from scans

Utilizzare i metodi Set, Add e Remove della classe MSFT_MpPreference per le proprietà seguenti:Use the Set, Add, and Remove methods of the MSFT_MpPreference class for the following properties:

ExclusionProcess

L'utilizzo di Set, Add e Remove è analogo alle rispettive controparti in PowerShell: , Set-MpPreference e Add-MpPreference Remove-MpPreference .The use of Set, Add, and Remove is analogous to their counterparts in PowerShell: Set-MpPreference, Add-MpPreference, and Remove-MpPreference.

Per altre informazioni e parametri consentiti, Windows Defender API WMIv2.For more information and allowed parameters, see Windows Defender WMIv2 APIs.

Usa l Sicurezza di Windows app per escludere i file aperti da processi specificati dalle analisiUse the Windows Security app to exclude files that have been opened by specified processes from scans

Vedi Aggiungere esclusioni nell'app Sicurezza di Windows per istruzioni.See Add exclusions in the Windows Security app for instructions.

Utilizzare caratteri jolly nell'elenco di esclusione dei processiUse wildcards in the process exclusion list

L'utilizzo dei caratteri jolly nell'elenco di esclusione dei processi è diverso dall'utilizzo in altri elenchi di esclusione.The use of wildcards in the process exclusion list is different from their use in other exclusion lists.

In particolare, non è possibile utilizzare il carattere jolly punto interrogativo ( ) e il carattere jolly asterisco ( ) può essere utilizzato solo alla fine ? * di un percorso completo.In particular, you cannot use the question mark (?) wildcard, and the asterisk (*) wildcard can only be used at the end of a complete path. È comunque possibile utilizzare variabili di ambiente (ad esempio ) come caratteri jolly per %ALLUSERSPROFILE% definire gli elementi nell'elenco di esclusione dei processi.You can still use environment variables (such as %ALLUSERSPROFILE%) as wildcards when defining items in the process exclusion list.

Nella tabella seguente viene descritto come utilizzare i caratteri jolly nell'elenco di esclusione dei processi:The following table describes how the wildcards can be used in the process exclusion list:

Carattere jollyWildcard Esempio di utilizzoExample use Corrispondenze di esempioExample matches
* (asterisco)* (asterisk)

Sostituisce qualsiasi numero di caratteriReplaces any number of characters
C:\MyData\* Qualsiasi file aperto da C:\MyData\file.exeAny file opened by C:\MyData\file.exe
Variabili di ambienteEnvironment variables

La variabile definita viene popolata come percorso quando viene valutata l'esclusioneThe defined variable is populated as a path when the exclusion is evaluated
%ALLUSERSPROFILE%\CustomLogFiles\file.exe Qualsiasi file aperto da C:\ProgramData\CustomLogFiles\file.exeAny file opened by C:\ProgramData\CustomLogFiles\file.exe

Esaminare l'elenco delle esclusioniReview the list of exclusions

Puoi recuperare gli elementi nell'elenco di esclusione con MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intuneo l'app Sicurezza di Windows.You can retrieve the items in the exclusion list with MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intune, or the Windows Security app.

Se si utilizza PowerShell, è possibile recuperare l'elenco in due modi:If you use PowerShell, you can retrieve the list in two ways:

  • Recupera lo stato di tutte le Antivirus Microsoft Defender predefinite.Retrieve the status of all Microsoft Defender Antivirus preferences. Ogni elenco verrà visualizzato su righe separate, ma gli elementi all'interno di ogni elenco verranno combinati nella stessa riga.Each of the lists will be displayed on separate lines, but the items within each list will be combined into the same line.
  • Scrivi lo stato di tutte le preferenze in una variabile e usa tale variabile solo per chiamare l'elenco specifico che ti interessa.Write the status of all preferences to a variable, and use that variable to only call the specific list you are interested in. Ogni utilizzo di Add-MpPreference viene scritto in una nuova riga.Each use of Add-MpPreference is written to a new line.

Convalidare l'elenco di esclusione utilizzando MpCmdRunValidate the exclusion list by using MpCmdRun

Per controllare le esclusioni con lo strumento da riga di comando dedicato mpcmdrun.exe, utilizzare il comando seguente:To check exclusions with the dedicated command-line tool mpcmdrun.exe, use the following command:

MpCmdRun.exe -CheckExclusion -path <path>

Nota

Il controllo delle esclusioni con MpCmdRun richiede Antivirus Microsoft Defender CAMP versione 4.18.1812.3 (rilasciata a dicembre 2018) o successiva.Checking exclusions with MpCmdRun requires Microsoft Defender Antivirus CAMP version 4.18.1812.3 (released in December 2018) or later.

Esaminare l'elenco delle esclusioni insieme a tutte le altre Antivirus Microsoft Defender tramite PowerShellReview the list of exclusions alongside all other Microsoft Defender Antivirus preferences by using PowerShell

Utilizzare il cmdlet seguente:Use the following cmdlet:

Get-MpPreference

Per ulteriori informazioni su come usare PowerShell con Antivirus Microsoft Defender, vedere Use PowerShell cmdlets to configure and Antivirus Microsoft Defender run Antivirus Microsoft Defender and Defender cmdlets.See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.

Recuperare un elenco di esclusioni specifico tramite PowerShellRetrieve a specific exclusions list by using PowerShell

Usa il frammento di codice seguente (immetti ogni riga come comando separato); sostituire WDAVprefs con qualsiasi etichetta che si desidera assegnare alla variabile:Use the following code snippet (enter each line as a separate command); replace WDAVprefs with whatever label you want to name the variable:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Per ulteriori informazioni su come usare PowerShell con Antivirus Microsoft Defender, vedere Use PowerShell cmdlets to configure and Antivirus Microsoft Defender run Antivirus Microsoft Defender and Defender cmdlets.See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.