/
  • Ultimo aggiornamento
/
  • 7 min di lettura

Come ripristinare o rimuovere definitivamente i file in quarantena in Windows 11

di Lauren Ballejos, IT Editorial Expert   |  
translated by Chiara Cavalletti
How to Restore or Permanently Remove Quarantined Files in Windows 11 blog banner image

Riepilogo

Riassunto

Questo post del blog NinjaOne offre un elenco completo di comandi CMD di base e un’analisi approfondita dei comandi di Windows con oltre 70 comandi cmd essenziali sia per i principianti che per gli utenti avanzati. La guida si propone si piegare in modo pratico i comandi del prompt dei comandi per la gestione dei file, la navigazione nelle directory, la risoluzione dei problemi di rete, le operazioni su disco e l’automazione, con esempi reali per migliorare la produttività. Che tu voglia imparare i comandi cmd fondamentali o padroneggiare gli strumenti avanzati della CLI di Windows, questa guida ti aiuterà a utilizzare il Prompt dei comandi in modo più efficace.

Prova gratuita

Punti chiave

  • La quarantena isola le minacce in modo sicuro: Windows Security mette in quarantena i file sospetti per evitare danni mentre gli amministratori indagano.
  • Ripristina solo i file convalidati: ripristina gli elementi in quarantena solo dopo averne confermato l’origine, l’hash e l’uso aziendale per evitare la reinfezione da malware.
  • Rimuovi i file dannosi o sconosciuti: elimina definitivamente i file in quarantena quando il rischio non è chiaro o è confermato che sono dannosi per ridurre l’esposizione.
  • Utilizza Windows Security e PowerShell: gestisci gli elementi in quarantena tramite la cronologia di protezione o i cmdlet PowerShell quando le azioni della GUI non riescono.
  • Riduci al minimo le esclusioni e documenta le azioni: applica esclusioni limitate, esegui una nuova scansione dei sistemi e registra le decisioni per ottenere audit trail e chiarezza operativa.

La quarantena isola le potenziali minacce in un ambiente sicuro, dando il tempo di indagare senza mettere a rischio il sistema. Se noti che un file messo in quarantena è sicuro e critico per l’azienda, puoi ripristinarlo e inserirlo nella whitelist per evitare futuri flag. Se il file è dannoso o sconosciuto, puoi rimuoverlo in modo permanente.

Questa guida spiega come ripristinare o rimuovere definitivamente i file in quarantena in Windows 11 utilizzando Windows Security e PowerShell, ti spiega anche cosa fare se i pulsanti standard “Ripristina” o “Rimuovi” non rispondono.

Prerequisiti

  • Diritti di amministratore locale per le azioni di Windows Security e PowerShell
  • Definizioni recenti e uno stack Microsoft Defender Antivirus funzionante
  • Possibilità di ripetere la scansione e, in caso di ripristino, di aggiungere un’esclusione precisa

Decidere se ripristinare o rimuovere

Prima di toccare un elemento in quarantena, decidi quale azione si adatta al profilo di rischio. Questo passaggio impedisce il ripristino accidentale del malware e riduce le lacune di sicurezza.

  • Ripristinalo solo se sono stati convalidati l’origine, l’hash e l’uso aziendale del file. Controlla il percorso del file, la firma digitale e se corrisponde a una versione nota e buona della tua pipeline di distribuzione del software.
  • Rimuovilo quando il rischio non è chiaro o l’articolo è confermato come dannoso. Prioritizza l’eliminazione alle esclusioni ampie, che possono creare punti ciechi.
  • Per gli ambienti gestiti, segui la lista di controllo di risposta agli incidenti e il processo di controllo delle modifiche. Documenta le motivazioni della decisione per i percorsi di audit.

Utilizzare la cronologia di protezione di Windows Security

L’applicazione Windows Security offre il modo più rapido per gestire gli elementi in quarantena con una registrazione completa degli audit.

  • Apri Windows Security > Virus e protezione dalle minacce > Cronologia della protezione.
  • Filtra per Elementi in quarantena per visualizzare solo le minacce isolate.
  • Seleziona una voce, esamina i dettagli, quindi scegli Ripristina Rimuovi.
  • Se ripristini un file attendibile, aggiungi immediatamente un’esclusione ristretta (percorso o hash) per evitare una nuova quarantena durante il ciclo di scansione successivo.

Questo metodo GUI funziona per la maggior parte dei casi e crea registri di eventi che i team di sicurezza possono monitorare tramite integrazioni SIEM.

Aggiungere un’esclusione minima e mirata (solo se necessario)

Le esclusioni riducono i falsi rilevamenti ma aumentano la superficie d’attacco, quindi è bene che siano il più possibile circoscritte.

  • In Sicurezza di Windows > Virus e protezione dalle minacce > Gestione impostazioni Esclusioni, aggiungi l’ambito più piccolo che sblocca il file ripristinato.
  • Preferisco le esclusioni di file o hash a quelle basate su cartelle o estensioni. Le esclusioni hash sono le più sicure perché bloccano una versione specifica del file.
  • Dopo aver aggiunto un’esclusione, esegui una scansione rapida per fare in modo che non esistano altre minacce nella stessa posizione e che l’esclusione non inserisca inavvertitamente nella whitelist il malware.

Usare PowerShell quando le azioni della GUI falliscono

A volte i pulsanti “Ripristina” o “Rimuovi” di Windows Security non rispondono, di solito a causa di bug dell’interfaccia utente o di record di minacce bloccati. I cmdlet PowerShell bypassano la GUI e agiscono direttamente sull’archivio delle minacce.

  • Elenco delle minacce correnti: Get-MpThreat
  • Rimuovi tutte le minacce in quarantena: Remove-MpThreat -All
  • Rimuovi una minaccia specifica: Remove-MpThreat -ThreatID <ID>
  • Inserisci nuovamente nell’elenco per confermare: Get-MpThreat

Queste cmdlet hanno spesso successo quando le azioni della GUI falliscono e sono ideali per l’automazione su più endpoint tramite script RMM.

Convalidare il risultato e fare nuovamente la scansione

Dopo qualsiasi ripristino o rimozione, verifica che l’endpoint sia pulito e funzionante:

  • Se è stato ripristinato un file, esegui una scansione rapida e avviar l’applicazione per verificare che funzioni come previsto.
  • Se è stato rimosso un file, verifica che non ci siano errori di attività o servizi dipendenti. Controlla Visualizzatore eventi > Applicazioni e log di servizi > Microsoft Windows Windows Defender > Operazionale per ulteriori rilevamenti.
  • Per gli stack, registra l’azione e la motivazione nelle note di ticketing o RMM per mantenere una traccia di controllo.

Riduzione dei futuri falsi positivi

I ripetuti falsi positivi fanno perdere tempo agli analisti e invogliano gli amministratori a creare esclusioni ampie e rischiose. I passi elencati qui sotto contribuiranno a ridurre al minimo questi rischi:

  • Mantieni aggiornate le definizioni di Defender; Microsoft perfeziona continuamente la logica di rilevamento in base alle segnalazioni di falsi positivi.
  • Considera di inviare il file sicuro a Microsoft per l’analisi tramite il portale Microsoft Security Intelligence. Se Microsoft inserisce il file nella whitelist, tutti i tenant ne beneficieranno.
  • Sostituisci le esclusioni di cartelle ampie con esclusioni basate su file o hash, ove possibile.
  • Incorpora questo flusso di lavoro di revisione della quarantena nei tuoi playbook di automazione di rilevamento/quarantena, in modo che ogni evento di quarantena riceva un record decisionale.

Quando non ripristinare

Alcuni elementi non dovrebbero essere mai ripristinati, indipendentemente dalle pressioni commerciali.

  • Elementi segnalati come famiglie di malware note, script dropper o indicatori multipartito.
  • File di provenienza sconosciuta e senza una chiara giustificazione aziendale.
  • File che vengono ripetutamente rilevati anche dopo la revisione del fornitore e le esclusioni dell’hash, il che può indicare un malware polimorfico.

In questi casi, segui il tuo playbook di risposta agli incidenti, segnalalo al tuo team di sicurezza e non ripristinarlo.

Best practice

PraticaScopoValore consegnato
Decidere prima di agireEliminare i ripristini rischiosiRiduzione della probabilità di incidenti
Utilizzare prima la GUIVeloce e verificabileCorrezione facile da usare
Passare a PowerShellSbloccare le azioni non riusciteMeno quarantene in sospeso
Esclusioni ristretteLimitare la superficie di attaccoFunzionamento più sicuro a lungo termine
Decisioni documentaliTracciabilità operativaMigliori audit e RCA

Risoluzione dei problemi

Il ripristino/rimozione non produce alcun risultato: Esegui i comandi PowerShell Remove-MpThreat , quindi ricontrollare la cronologia della protezione. L’interfaccia grafica potrebbe non essere sincronizzata con l’archivio delle minacce.

L’elemento continua a tornare dopo il ripristino: Aggiungi un’esclusione precisa per il file o il percorso attendibile. Verifica inoltre che l’eseguibile non abbia cambiato hash, poiché i file modificati perdono la loro esclusione.

La cronologia è ingombra o confusa: Cancella le vecchie voci utilizzando i metodi supportati, se necessario, quindi ripeti il test. Una cronologia pulita rende più facile individuare nuove minacce.

Se non sei certo che il file sia sicuro, non ripristinarlo. Segui la lista di controllo IR e fai nuovamente la scansione con le firme aggiornate. Se sei in dubbio, la quarantena è più sicura del ripristino.

Il file è bloccato in un ciclo di “correzione fallita”: Se una minaccia mostra “Correzione incompleta” o “Fallita”, il file potrebbe essere bloccato da un altro processo o dal sistema in attesa di un riavvio. Riavvia l’endpoint, esegui una scansione offline (Start-MpWDOScan) e verifica se lo stato viene cancellato.

La cronologia di protezione è vuota o mancano elementi: Se sai che gli elementi sono stati messi in quarantena ma l’elenco è vuoto, il file della cronologia potrebbe essere corrotto. Reimpostare l’app Windows Security tramite Impostazioni App > App instalalte o cancella manualmente la cartella della cronologia dei rilevamenti (C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service) per forzare una ricostruzione.

In sintesi

La quarantena ti dà il tempo di prendere la decisione giusta. Utilizza Windows Security per ripristini o rimozioni rapide, passa a PowerShell quando necessario, aggiungi solo esclusioni minime e documenta le tue decisioni in modo che i futuri analisti comprendano i compromessi di rischio. Questo approccio disciplinato mantiene la sicurezza degli endpoint, consentendo al contempo il funzionamento degli strumenti aziendali legittimi.

Inizia una prova gratuita
Implementare l'automazione a tutti i livelli

FAQs

Apri Windows Security > Virus e protezione dalle minacce > Cronologia protezione, filtra gli elementi in quarantena, quindi scegli Ripristina o Rimuovi.

Utilizza PowerShell: Get-MpThreat, quindi Remove-MpThreat -ThreatID  o All e conferma con Get-MpThreat.

Aggiungi l’esclusione di portata più piccola necessaria per quel file, quindi ripeti la scansione per assicurarti che non siano presenti altre minacce.

Elimina il malware confermato. Per le incognite, segui la tua lista di controllo IR o richiedi prima un’analisi.

Sì, ci sono modi supportati per cancellare la cronologia, se necessario; ripeti la scansione dopo per confermare lo stato.

Verifica l’hash, la firma digitale, il percorso del file e l’origine del file rispetto a versioni note e valide provenienti da repository affidabili o da pipeline di distribuzione.

Sì, se le esclusioni sono troppo ampie o il file viene classificato in modo errato; le esclusioni ristrette riducono questo rischio.

Sì, la revisione centralizzata garantisce decisioni coerenti, verificabilità e allineamento con i criteri di risposta agli incidenti.

Bug dell’interfaccia utente, file bloccati o stati di riparazione incompleti possono impedire il ripristino o la rimozione tramite l’interfaccia grafica.

Sì, se esegui con diritti amministrativi, le cmdlet di Defender interagiscono direttamente con l’archivio delle minacce e sono pienamente supportate.

Ti potrebbe interessare anche

Downgrade della app su dispositivi iOS e Android

Come effettuare il downgrade delle app su dispositivi iOS e Android

Cavi O.MG

Cavi O.MG: Cosa sono e come ridurre i rischi di sicurezza ad essi correlati

How to Identify Unknown Bluetooth Devices in Windows 11 blog banner image

Come identificare i dispositivi Bluetooth sconosciuti in Windows 11

How to Safely Access and Restore EFS-Encrypted Files to a New Location bog banner image

Come accedere e ripristinare in modo sicuro i file crittografati con EFS in una nuova posizione

How to Enable or Disable the Settings Home Page in Windows 11 blog banner image

Come abilitare o disabilitare la pagina iniziale delle impostazioni in Windows 11

How to Enable or Disable Notification Badges on Taskbar Apps in Windows 11 blog banner image

Come attivare o disattivare i badge di notifica sulle app della barra delle applicazioni in Windows 11

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo