Microsoft Defender esclusioni antivirus in Windows Server

  • Articolo

Si applica a:

Piattaforme

  • Windows

Questo articolo descrive i tipi di esclusioni che non è necessario definire per Microsoft Defender Antivirus:

Per una panoramica più dettagliata delle esclusioni, vedere Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.

Alcuni punti importanti sulle esclusioni in Windows Server

  • Le esclusioni personalizzate hanno la precedenza sulle esclusioni automatiche.
  • Le esclusioni automatiche si applicano solo all'analisi rtp (Real Time Protection).
  • Le esclusioni automatiche non vengono rispettate durante un'analisi rapida, un'analisi completa e un'analisi personalizzata.
  • Le esclusioni personalizzate e duplicate non sono in conflitto con le esclusioni automatiche.
  • Microsoft Defender Antivirus usa gli strumenti Dism (Deployment Image Servicing and Management) per determinare quali ruoli sono installati nel computer.
  • È necessario impostare esclusioni appropriate per il software che non è incluso nel sistema operativo.
  • Windows Server 2012 R2 non ha Microsoft Defender Antivirus come funzionalità installabile. Quando si esegue l'onboarding di questi server in Defender per endpoint, si installerà Microsoft Defender Antivirus e verranno applicate le esclusioni predefinite per i file del sistema operativo. Tuttavia, le esclusioni per i ruoli server (come specificato di seguito) non si applicano automaticamente ed è consigliabile configurare queste esclusioni in base alle esigenze. Per altre informazioni, vedere Eseguire l'onboarding di server Windows nel servizio Microsoft Defender per endpoint.
  • Le esclusioni predefinite e le esclusioni automatiche dei ruoli del server non vengono visualizzate negli elenchi di esclusione standard visualizzati nell'app Sicurezza di Windows.
  • L'elenco delle esclusioni predefinite in Windows viene mantenuto aggiornato man mano che cambia il panorama delle minacce. Questo articolo elenca alcune, ma non tutte, le esclusioni predefinite e automatiche.

Esclusioni automatiche dei ruoli del server

In Windows Server 2016 o versioni successive non è necessario definire esclusioni per i ruoli del server. Quando si installa un ruolo in Windows Server 2016 o versioni successive, Microsoft Defender Antivirus include esclusioni automatiche per il ruolo del server e tutti i file aggiunti durante l'installazione del ruolo.

Windows Server 2012 R2 non supporta la funzionalità di esclusione automatica. Sarà necessario definire esclusioni esplicite per qualsiasi ruolo del server e per qualsiasi software aggiunto dopo l'installazione del sistema operativo.

Importante

  • Le posizioni predefinite potrebbero essere diverse da quelle descritte in questo articolo.
  • Per impostare esclusioni per il software che non è incluso come funzionalità di Windows o ruolo del server, fare riferimento alla documentazione del produttore del software.

Le esclusioni automatiche includono:

Esclusioni di Hyper-V

Nella tabella seguente sono elencate le esclusioni dei tipi di file, le esclusioni di cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo Hyper-V.

Tipo di esclusione Specifiche
Tipi di file *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Cartelle %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Processi %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

File SYSVOL

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Esclusioni di Active Directory

Questa sezione elenca le esclusioni che vengono recapitate automaticamente durante l'installazione di Active Directory Domain Services (AD DS).

File di database NTDS

I file di database vengono specificati nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

File di log delle transazioni di Active Directory Domain Services

I file di log delle transazioni vengono specificati nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Cartella di lavoro NTDS

Questa cartella viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

Esclusioni del server DHCP

Questa sezione elenca le esclusioni che vengono recapitate automaticamente quando si installa il ruolo server DHCP. I percorsi dei file del server DHCP vengono specificati dai parametri DatabasePath, DhcpLogFilePath e BackupDatabasePath nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

Esclusioni del server DNS

Questa sezione elenca le esclusioni di file e cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo server DNS.

Esclusioni di file e cartelle per il ruolo server DNS

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Esclusioni dei processi per il ruolo server DNS

  • %systemroot%\System32\dns.exe

Esclusioni di Servizi file e archiviazione

Questa sezione elenca le esclusioni di file e cartelle che vengono recapitate automaticamente quando si installa il ruolo Servizi file e archiviazione. Le esclusioni elencate di seguito non includono esclusioni per il ruolo Clustering.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

Questa sezione elenca le esclusioni dei tipi di file, le esclusioni di cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo Server di stampa.

Esclusioni dei tipi di file

  • *.shd
  • *.spl

Esclusioni di cartelle

Questa cartella viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Esclusioni dei processi per il ruolo Server di stampa

  • spoolsv.exe

Esclusioni del server Web

Questa sezione elenca le esclusioni di cartelle e le esclusioni dei processi che vengono recapitate automaticamente quando si installa il ruolo Server Web.

Esclusioni di cartelle

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Esclusioni dei processi per il ruolo server Web

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Disattivazione dell'analisi dei file nella cartella Sysvol\Sysvol o nella cartella SYSVOL_DFSR\Sysvol

Il percorso corrente della Sysvol\Sysvol cartella o SYSVOL_DFSR\Sysvol e di tutte le sottocartelle è la destinazione di analisi del file system della radice del set di repliche. Per Sysvol\Sysvol impostazione predefinita, le cartelle e SYSVOL_DFSR\Sysvol usano i percorsi seguenti:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Il percorso dell'oggetto attualmente attivo SYSVOL viene fatto riferimento dalla condivisione NETLOGON e può essere determinato dal nome del valore SysVol nella sottochiave seguente: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

esclusioni Windows Server Update Services

Questa sezione elenca le esclusioni di cartelle che vengono recapitate automaticamente quando si installa il ruolo Windows Server Update Services (WSUS). La cartella WSUS viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Esclusioni predefinite

Poiché Microsoft Defender Antivirus è integrato in Windows, non richiede esclusioni per i file del sistema operativo in qualsiasi versione di Windows.

Le esclusioni predefinite includono:

L'elenco delle esclusioni predefinite in Windows viene mantenuto aggiornato man mano che cambia il panorama delle minacce.

File "temp.edb" di Windows

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update file o file di aggiornamento automatico

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

file Sicurezza di Windows

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

file Criteri di gruppo

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

File WINS

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Esclusioni del servizio replica file

  • File nella cartella di lavoro Del servizio replica file (FRS). La cartella di lavoro frs è specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • File di log del database FRS. La cartella file di log del database FRS viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Cartella di gestione temporanea frs. La cartella di gestione temporanea viene specificata nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Cartella di preinstallazione di FRS. Questa cartella viene specificata dalla cartella Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Database e cartelle di lavoro di Replica file system distribuito (DFSR). Queste cartelle vengono specificate dalla chiave del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Nota

    Per le posizioni personalizzate, vedere Rifiuto esplicito delle esclusioni automatiche.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Esclusioni dei processi per i file del sistema operativo predefiniti

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Rifiuto esplicito delle esclusioni automatiche

In Windows Server 2016 e versioni successive, le esclusioni predefinite fornite dagli aggiornamenti di Security Intelligence escludono solo i percorsi predefiniti per un ruolo o una funzionalità. Se è stato installato un ruolo o una funzionalità in un percorso personalizzato o si vuole controllare manualmente il set di esclusioni, assicurarsi di rifiutare esplicitamente le esclusioni automatiche fornite negli aggiornamenti di Intelligence per la sicurezza. Tenere tuttavia presente che le esclusioni che vengono recapitate automaticamente sono ottimizzate per Windows Server 2016 e versioni successive. Vedere Punti importanti sulle esclusioni prima di definire gli elenchi di esclusione.

Avviso

La disattivazione delle esclusioni automatiche potrebbe influire negativamente sulle prestazioni o causare il danneggiamento dei dati. Le esclusioni automatiche dei ruoli del server sono ottimizzate per Windows Server 2016, Windows Server 2019 e Windows Server 2022.

Poiché le esclusioni predefinite escludono solo i percorsi predefiniti, se si spostano le cartelle NTDS e SYSVOL in un'altra unità o percorso diverso dal percorso originale, è necessario aggiungere le esclusioni manualmente. Vedere Configurare l'elenco delle esclusioni in base al nome della cartella o all'estensione del file.

È possibile disabilitare gli elenchi di esclusione automatica con Criteri di gruppo, cmdlet di PowerShell e WMI.

Usare Criteri di gruppo per disabilitare l'elenco delle esclusioni automatiche in Windows Server 2016, Windows Server 2019 e Windows Server 2022

  1. Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

  2. Nel Criteri di gruppo Management Editor passare a Configurazione computer e quindi selezionare Modelli amministrativi.

  3. Espandere l'albero in Componenti >di WindowsMicrosoft Defender Esclusioni antivirus>.

  4. Fare doppio clic su Disattiva esclusioni automatiche e impostare l'opzione su Abilitato. Infine scegliere OK.

Usare i cmdlet di PowerShell per disabilitare l'elenco delle esclusioni automatiche in Windows Server

Usare i cmdlet seguenti:

Set-MpPreference -DisableAutoExclusions $true

Per altre informazioni, vedere le risorse seguenti:

Usare Windows Management Instruction (WMI) per disabilitare l'elenco delle esclusioni automatiche in Windows Server

Utilizzare il metodo Set della classe MSFT_MpPreference per le proprietà seguenti:

DisableAutoExclusions

Per altre informazioni e parametri consentiti, vedere:

Definizione di esclusioni personalizzate

Se necessario, è possibile aggiungere o rimuovere esclusioni personalizzate. A tale scopo, vedere gli articoli seguenti:

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.