Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In generale, non è necessario definire esclusioni per Microsoft Defender Antivirus. È tuttavia possibile escludere file, cartelle, processi e file aperti dal processo dalle analisi antivirus Microsoft Defender. Questi tipi di esclusioni sono noti come esclusioni personalizzate. Questo articolo descrive come usare Microsoft Intune per definire esclusioni personalizzate per Microsoft Defender Antivirus in Microsoft Windows.
Le esclusioni personalizzate si applicano alle analisi pianificate, alle analisi su richiesta e al monitoraggio e alla protezione in tempo reale sempre attiva. Le esclusioni per i file aperti dal processo si applicano solo alla protezione in tempo reale.
Consiglio
- Per una panoramica dettagliata di eliminazioni, invii ed esclusioni in Microsoft Defender Antivirus e Defender per endpoint, vedere Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender.
- Se si usa un altro metodo per distribuire esclusioni a Microsoft Defender Antivirus nei dispositivi Windows (ad esempio, Microsoft Configuration Manager o Criteri di gruppo) o si vogliono altre informazioni sulle esclusioni personalizzate, vedere questi articoli:
- I metodi seguenti sono disponibili per proteggere le esclusioni configurate nei dispositivi:
- Protezione da manomissioni per esclusioni antivirus.
-
HideExclusionsFromLocalAdmins:
- Non rimuove le esclusioni esistenti dal dispositivo.
- Le esclusioni non sono visibili in Get-MpPreference o nell'editor del Registro di sistema.
- HideExclusionsFromLocalUsers: abilitato in modo implicito se HideExclusionsFromLocalAdmins è abilitato.
- I file esclusi possono comunque generare avvisi antivirus nel portale di Microsoft Defender. Ad esempio, i file esclusi possono attivare rilevamenti comportamentali o euristici.
Prerequisiti
Sistemi operativi supportati
- Windows
Punti importanti sulle esclusioni
-
Attenzione
Usare le esclusioni con parsimonia. Le esclusioni sono tecnicamente un gap di protezione che riduce Microsoft Defender protezione antivirus. Prendere in considerazione tutte le opzioni quando si definiscono le esclusioni. Per altre informazioni, vedere Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.
Le esclusioni possono influire direttamente sul fatto che Microsoft Defender Antivirus possa bloccare, correggere o esaminare gli eventi correlati a file, cartelle o processi esclusi.
- L'esclusione personalizzata può influire sulle funzionalità che dipendono dal motore antivirus. Ad esempio:
- Protezione da malware.
- File IOC.
- I/O certificato.
- Le esclusioni dei processi su qualsiasi piattaforma impediscono alle regole di protezione della rete e di riduzione della superficie di attacco di controllare il traffico o di applicare regole per i processi esclusi.
- L'esclusione personalizzata può influire sulle funzionalità che dipendono dal motore antivirus. Ad esempio:
Esaminare e controllare periodicamente le esclusioni. Ricontrollare e applicare nuovamente le mitigazioni come parte del processo di revisione. Per evitare confusione, il team di sicurezza deve mantenere il contesto sul motivo per cui è stata richiesta una determinata esclusione.
Usare le esclusioni solo per problemi specifici( ad esempio, prestazioni o compatibilità delle app). Non escludere qualcosa solo perché pensi che potrebbe essere un problema in futuro.
Creare criteri di esclusione antivirus Microsoft Defender in Intune
Per creare un nuovo criterio AV in Microsoft Intune usando il profilo Microsoft Defender Esclusioni antivirus, seguire questa procedura:
Nell'interfaccia di amministrazione Microsoft Intune in https://intune.microsoft.compassare a Sicurezza degli endpoint.
Nella sicurezza degli endpoint | Pagina Panoramica selezionare Antivirus nella sezione Gestisci . In alternativa, per passare direttamente alla sicurezza degli endpoint | Pagina Antivirus , usare https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.
Nella scheda Riepilogo della sicurezza degli endpoint | Pagina Antivirus selezionare Crea criteri nella sezione Criteri AV .
Nel riquadro a comparsa Crea un profilo visualizzato configurare le impostazioni seguenti:
- Piattaforma: selezionare Windows.
- Profilo: selezionare Microsoft Defender esclusioni antivirus.
Selezionare Crea.
Verrà visualizzata la Creazione guidata criteri . Nella scheda Informazioni di base configurare le impostazioni seguenti:
- Nome: immettere un nome univoco descrittivo per il criterio.
- Descrizione: immettere una descrizione facoltativa.
Seleziona Avanti.
Nella scheda Impostazioni di configurazione configurare alcune o tutte le impostazioni seguenti:
- Sezione Estensioni escluse : esclusioni per estensione del tipo di file. L'esclusione si applica a tutti i file con tale estensione, indipendentemente dalla posizione. Per altre informazioni, vedere ExcludedExtensions.
- Sezione Percorsi esclusi : esclusioni per percorso (percorso). Noto anche come esclusioni di file e cartelle. Separare ogni percorso e immettere un percorso per riga. Per altre informazioni, vedere ExcludedPaths.
- Sezione Processi esclusi : esclusioni per i file aperti dai processi specificati. Separare ogni tipo di file nell'elenco, con un tipo di file per riga. I processi stessi non vengono esclusi. Per escludere i processi, è possibile usare esclusioni di file e cartelle. Per altre informazioni, vedere ExcludedProcesses.
Per aggiungere un'esclusione, selezionare Aggiungi e quindi immettere il valore nella casella visualizzata. Ripetere questo passaggio tutte le volte necessarie.
Consiglio
Il servizio antivirus Microsoft Defender viene eseguito nel contesto di sistema usando l'account LocalSystem. Il servizio ottiene informazioni dalle variabili di ambiente di sistema , non dalle variabili di ambiente utente . Di conseguenza, le variabili di ambiente come
%USERPROFILE%vengono interpretate in modo diverso da quanto previsto. Per altre informazioni, vedere Variabili di ambiente di sistema.Non usare variabili di ambiente utente come caratteri jolly nelle esclusioni di cartelle e processi in Microsoft Defender Antivirus. Usare solo i tipi di variabili di ambiente seguenti come caratteri jolly:
Variabili di ambiente di sistema.
Variabili di ambiente che si applicano ai processi in esecuzione come account NT AUTHORITY\SYSTEM.
Per altre informazioni, vedere Usare caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione.
Per rimuovere un'esclusione o una casella vuota, selezionare la casella di controllo accanto alla voce e quindi selezionare Rimuovi.
Per importare un file .csv di esclusioni, selezionare Importa.
Al termine, nella scheda Impostazioni di configurazione selezionare Avanti.
Nella scheda Tag ambito il tag di ambito denominato Default è selezionato per impostazione predefinita, ma è possibile rimuoverlo e selezionare altri tag di ambito esistenti. Al termine dell'operazione, fai clic su Avanti.
Nella scheda Assegnazioni fare clic nella casella di ricerca o iniziare a digitare un nome di gruppo e quindi selezionarlo dai risultati.
È possibile selezionare Tutti gli utenti o Tutti i dispositivi.
Quando si seleziona un gruppo personalizzato, è possibile usare l'impostazione Tipo di destinazione in Includi o Escludi i membri del gruppo.
Ripetere questo passaggio tutte le volte necessarie.
Al termine della scheda Assegnazioni , selezionare Avanti.
Nella scheda Rivedi e crea esaminare le impostazioni. Usare Indietro o selezionare una scheda per apportare modifiche.
Al termine, nella scheda Rivedi e crea selezionare Salva.
Tornare alla scheda Riepilogo della sicurezza degli endpoint | Pagina Antivirus , i nuovi criteri AV sono elencati. Il valore del tipo di criterio è Microsoft Defender esclusioni antivirus.
Modificare le esclusioni nei criteri di esclusione antivirus Microsoft Defender in Intune
Per modificare un criterio AV esistente in Microsoft Intune che usa il profilo Microsoft Defender Esclusioni antivirus, seguire questa procedura:
Nell'interfaccia di amministrazione Microsoft Intune in https://intune.microsoft.compassare a Sicurezza degli endpoint.
Nella sicurezza degli endpoint | Pagina Panoramica selezionare Antivirus nella sezione Gestisci . In alternativa, per passare direttamente alla sicurezza degli endpoint | Pagina Antivirus , usare https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.
Nella scheda Riepilogo della sicurezza degli endpoint | Pagina Antivirus selezionare un criterio nella sezione Criteri AV in cui il valore Tipo di criteri è Microsoft Defender Esclusioni antivirus.
Nella pagina delle proprietà dei criteri visualizzata selezionare Modifica accanto a Impostazioni di configurazione.
Nella scheda Impostazioni di configurazione della pagina Modifica criteri visualizzata aggiungere o rimuovere esclusioni:
- Sezione Estensioni escluse : esclusioni per estensione del tipo di file. L'esclusione si applica a tutti i file con tale estensione, indipendentemente dalla posizione. Per altre informazioni, vedere ExcludedExtensions.
- Sezione Percorsi esclusi : esclusioni per percorso (percorso). Noto anche come esclusioni di file e cartelle. Separare ogni percorso e immettere un percorso per riga. Per altre informazioni, vedere ExcludedPaths.
- Sezione Processi esclusi : esclusioni per i file aperti dai processi specificati. Separare ogni tipo di file nell'elenco, con un tipo di file per riga. I processi stessi non vengono esclusi. Per escludere i processi, è possibile usare esclusioni di file e cartelle. Per altre informazioni, vedere ExcludedProcesses.
Per aggiungere un'esclusione, selezionare Aggiungi e quindi immettere il valore nella casella visualizzata. Ripetere questo passaggio tutte le volte necessarie.
Per rimuovere un'esclusione o una casella vuota, selezionare la casella di controllo accanto alla voce e quindi selezionare Rimuovi.
Per importare un file .csv di nuove esclusioni, selezionare Importa.
Per esportare le esclusioni esistenti in un file di .csv, selezionare Esporta.
Al termine, nella scheda Impostazioni di configurazione selezionare Avanti.
Nella scheda Rivedi esaminare le impostazioni. Usare Indietro o selezionare la scheda Impostazioni di configurazione per apportare modifiche.
Al termine, nella scheda Rivedi selezionare Salva.
Tornando alla pagina delle proprietà dei criteri, gli aggiornamenti all'elenco di esclusione vengono visualizzati nella sezione Impostazioni> di configurazioneDefender.
Esclusioni antivirus nei server Exchange
Microsoft Exchange Server 2016 o versioni successive supporta l'integrazione con l'interfaccia di analisi antimalware (AMSI). Per altre informazioni, vedere Exchange Server integrazione AMSI.
Molte organizzazioni escludono Exchange Server cartelle dalle analisi antivirus per motivi di prestazioni. Microsoft consiglia di controllare Microsoft Defender esclusioni antivirus nei server Exchange e di valutare se è possibile rimuovere le esclusioni senza influire sulle prestazioni. È possibile gestire le esclusioni usando Criteri di gruppo, PowerShell o strumenti di gestione dei sistemi come Microsoft Intune.
Per controllare Microsoft Defender esclusioni antivirus in un Exchange Server, eseguire il cmdlet Get-MpPreference da un prompt di PowerShell con privilegi elevati.
Se non è possibile rimuovere le esclusioni per i processi e le cartelle di Exchange, tenere presente che un'analisi rapida in Microsoft Defender Antivirus analizza le directory e i file di Exchange, indipendentemente dalle esclusioni.
Vedere anche
- Microsoft Defender esclusioni antivirus in Windows Server 2016 e versioni successive
- Errori comuni da evitare quando si definiscono le esclusioni
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
- Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in Linux
- Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in macOS