Excel: salvataggio lento di file .xlsm/.xlsb su rete (CrowdStrike Detect on Write) — cause, diagnosi, fix e workaround

Salvataggi lentissimi dei file Excel con macro su condivisioni di rete? Qui trovi cause, diagnosi e soluzioni collaudate: dal workaround immediato in CrowdStrike fino all’aggiornamento del sensore che risolve definitivamente senza rinunciare alla protezione.

Indice

Panoramica del problema

Data di inizio: venerdì 2 febbraio 2024.

Sintomi: quando si salva un file .xlsm o .xlsb su una share di rete appare la finestra “Save Progress” e il salvataggio impiega fino a 10 volte più tempo del normale. I file .xlsx (senza macro) e altri documenti Office/Adobe non mostrano il rallentamento. Alcuni utenti segnalano la stessa lentezza anche in salvataggio locale se il file contiene macro (o le conteneva in passato).

Ambiente colpito: Office 2016 e Microsoft 365 (build recenti e precedenti). Il rollback di Office non risolve. Il fenomeno interessa diversi client Windows e file‑server SMB.

Riproducibilità: convertire un file “lento” in .xlsx lo rende rapido; riconvertirlo in .xlsm reintroduce il problema.

Contesto tecnico e causa radice

A inizio febbraio 2024 l’aggiornamento del sensore Windows di CrowdStrike ha introdotto la funzione Detect on Write (DoW) con Machine Learning, progettata per analizzare i contenuti potenzialmente pericolosi al momento della scrittura su disco. I formati Excel macro‑enabled (.xlsm, .xlsb) sono ispezionati in modo più profondo rispetto ai file senza macro. In presenza di DoW attivo, l’operazione di salvataggio viene intercettata dal driver AV e sottoposta a scansione/valutazione, causando un aumento significativo della latenza su:

share di rete (overhead addizionale dovuto a round‑trip SMB, locking, metadata e buffering);
file locali quando il contenuto include (o ha incluso) macro, moduli VBA o firme digitale di macro.

Tutte le aziende coinvolte nel thread che ha messo in luce il problema utilizzano CrowdStrike. La disattivazione del sensore sul file‑server o sul client elimina istantaneamente la lentezza, confermando la correlazione. Successivamente CrowdStrike ha rilasciato un aggiornamento del sensore che corregge il bug mantenendo attivo DoW.

Come distinguere un problema di Excel da un problema di sicurezza endpoint

Prima di agire, è utile riconoscere alcuni indicatori che spostano l’attenzione dall’applicazione al layer di sicurezza:

Specificità di formato: solo .xlsm/.xlsb sono affetti; .xlsx no.
Costanza temporale: il fenomeno compare improvvisamente da venerdì 2 febbraio 2024 (coincidente con l’aggiornamento del sensore), senza modifiche a Excel/Windows evidenti.
Impatto cross‑version: sia Office 2016 sia Microsoft 365 (canali diversi) risultano lenti: improbabile una regressione lato Office così uniforme.
Disattivazione AV “istant fix”: la latenza scompare non appena si esclude DoW o si disattiva il sensore AV su client/server.

Procedura di diagnosi consigliata

Test A/B per formato: apri un file lento, salvalo come .xlsx, misura il tempo. Riconverti in .xlsm e riprova. Se la differenza è marcata, la macro inspection è la sospetta.
Test local vs network: copia il file sulla macchina locale e misura. Se resta lento, il collo di bottiglia è la scansione; se migliora molto, il protocollo SMB amplifica la latenza.
Esclusione temporanea controllata: crea una policy di prova in CrowdStrike che disattiva Detect on Write per un gruppo ristretto di host o per il file‑server e ripeti i salvataggi. Se i tempi tornano immediati, la correlazione è confermata.
Verifica componenti Office: esegui una riparazione online di Office e riavvia: la situazione tipicamente non cambia (perché la causa non è in Excel).

Soluzioni e workaround (riassunto)

Passo	Dettagli operativi	Effetto
Workaround immediato	CrowdStrike Console → Endpoint Security → Prevention Policies → NGAV → On Write → disattivare Detect on Write per i server (o per un gruppo di host limitato). Non serve riavvio; si propaga in ~3 minuti.	I salvataggi tornano quasi istantanei.
Aggiornamento definitivo	Installare il sensore 7.07.17807.0 (rilasciato 17–18 febbraio 2024) o successivo, che risolve il bug mantenendo DoW attivo.	Prestazioni ripristinate con protezione completa.
Mitigazioni temporanee	Salvare come `.xlsx` durante l’editing; lavorare in locale e copiare poi sul server al termine.	Evita la lentezza ma non rimuove la causa.

Procedura operativa dettagliata

Workaround: disattivare Detect on Write (ambito controllato)

Definisci il perimetro: preferisci un gruppo di test (ad esempio il file‑server interessato e 2–3 client pilota) per limitare la finestra di protezione ridotta.
Duplica la policy NGAV esistente e applicala al gruppo di test per non alterare la policy globale.
Apri la sezione On Write e disabilita l’opzione Detect on Write.
Salva e distribuisci: la modifica si propaga normalmente in circa 3 minuti senza reboot.
Verifica immediata: chiedi agli utenti pilota di eseguire 3–5 salvataggi con file .xlsm su rete e locale e registra i tempi.

Nota: disattivare DoW sul file‑server influenza tutti i client che vi salvano file; farlo su singoli host client è meno invasivo, ma richiede più gestione di gruppi.

Aggiornamento risolutivo: installazione sensore 7.07.17807.0 (o superiore)

Inventario versioni: estrai l’elenco degli host con la versione del sensore attuale.
Piano di rollout: priorità ai file‑server e ai dipartimenti che lavorano intensamente in Excel (Finance, Operations, Supply Chain).
Distribuzione: aggiorna tramite gli strumenti standard (console CrowdStrike, RMM, MEM/Intune, SCCM). Non è richiesto alcun cambio di policy per mantenere DoW attivo.
Validazione: post‑update, riesegui i test di salvataggio e assicurati che la finestra “Save Progress” non resti visibile più del normale.
Ripristino policy: se avevi disattivato DoW nel workaround, riattivalo e ripristina le impostazioni originali.

Approfondimento: perché i formati macro‑enabled sono più sensibili

I file .xlsm e .xlsb incorporano moduli VBA, oggetti OLE e metadati che gli engine di sicurezza ispezionano con controlli aggiuntivi (estrazione del codice, analisi statica/ML, eventuale emulazione). In presenza di DoW, l’ispezione avviene sulla stessa path temporale dell’operazione di scrittura, estendendo la durata del salvataggio. Su share SMB l’effetto cresce perché il salvataggio comporta più transazioni (creazione file temporanei, rename atomico, update dei metadata, lock opportunistici, flush).

Confronto delle opzioni di mitigazione

Opzione	Pro	Contro	Quando usarla
Disabilitare DoW sul file‑server	Impatto immediato su tutti; semplice da gestire	Finestra di protezione ridotta lato server per tutti i client	Ambienti con molti utenti impattati e rollout del sensore pianificato a breve
Disabilitare DoW sui client	Riduce il perimetro della riduzione difensiva	Maggiore onere di gestione e rischio di inconsistenza	Team ristretti, ambienti altamente regolati con segmentazione stretta
Salvare come `.xlsx`	Elimina l’ispezione delle macro; semplice per l’utente	Niente macro durante l’editing; possibile perdita di funzionalità	Documenti dove le macro non sono necessarie in fase di modifica
Lavorare in locale e copiare a fine lavoro	Migliora l’esperienza di editing	Rischio versione; serve disciplina e policy di backup	Rimedio temporaneo fino all’aggiornamento del sensore

Convalida della soluzione

Scenario reale: usa file macro‑enabled “pesanti” (più moduli VBA, pivot, query). Esegui 10 salvataggi su share prima e dopo l’azione correttiva.
Metriche: misura il tempo in secondi e la percentuale di completamento visibile in “Save Progress”. Un miglioramento tipico passa, ad esempio, da 15–30 s a 1–3 s.
Coerenza: ripeti su almeno 3 postazioni e 1–2 file‑server diversi per escludere effetti locali.

Domande frequenti

Il problema dipende da un aggiornamento Office?
No. La radice non è in Excel: l’anomalia nasce dal driver AV con la funzione Detect on Write.

Perché anche i file che “avevano” macro sono lenti?
Tracce di componenti macro o metadata storici possono indurre l’ispezione approfondita finché il file è salvato in formato macro‑enabled.

Disattivare DoW è sicuro?
È un workaround da usare il minimo indispensabile: riduce la protezione preventiva contro macro malevole. Appena distribuito il sensore corretto, riattiva DoW.

Devo aggiornare sia server sia client?
Sì, è buona pratica allineare tutte le postazioni interessate per evitare comportamenti incoerenti e richieste di supporto.

Piano di comunicazione verso gli utenti

Annuncio iniziale: informare che è in corso un’anomalia che rallenta il salvataggio di file Excel con macro; indicare workaround temporanei (.xlsx, lavoro locale) fino al completamento dell’aggiornamento.
Finestra di riduzione protezione (se applicata): specificare data/ora di inizio e fine della disattivazione DoW e ambito host interessato.
Chiusura incidente: confermare l’aggiornamento del sensore e il ripristino delle prestazioni; ricordare di tornare ai flussi standard di lavoro.

Checklist operativa “pronti via”

Identifica host/file‑server impattati e utenti prioritari.
Applica policy NGAV di test con DoW OFF al perimetro pilota.
Conferma il miglioramento (salvataggi quasi istantanei).
Pianifica e distribuisci sensore 7.07.17807.0 (o superiore) a server e client.
Riattiva DoW e ripristina le policy originarie.
Comunica chiusura e archivia le evidenze (tempi, host, versioni).

Strumenti utili per misurare i tempi

Stopwatch manuale: semplice ma efficace per confronto prima/dopo.
Macro VBA di test: crea una macro che salva il file 3–5 volte e logga i tempi in un foglio “Log”.

Esempio di macro di misurazione (VBA)

' Modulo standard in VBA
Option Explicit

Sub MisuraSalvataggi()
Dim i As Long, t0 As Single, t1 As Single, ws As Worksheet, p As String
p = ActiveWorkbook.FullName
On Error Resume Next
Set ws = ThisWorkbook.Worksheets("Log")
If ws Is Nothing Then
Set ws = ThisWorkbook.Worksheets.Add
ws.Name = "Log"
ws.Range("A1:D1").Value = Array("Iterazione", "Inizio (s)", "Fine (s)", "Durata (s)")
End If
On Error GoTo 0
```
For i = 1 To 5
    t0 = Timer
    Application.DisplayAlerts = False
    ThisWorkbook.Save
    Application.DisplayAlerts = True
    t1 = Timer
    ws.Cells(i + 1, 1).Value = i
    ws.Cells(i + 1, 2).Value = t0
    ws.Cells(i + 1, 3).Value = t1
    ws.Cells(i + 1, 4).Value = Round(t1 - t0, 3)
    DoEvents
Next i
MsgBox "Misurazione completata: vedi foglio 'Log'."
```
End Sub

Considerazioni di sicurezza

Rischio: disabilitare DoW riduce la difesa preventiva contro macro malevole; mantenere il workaround solo per il tempo necessario alla distribuzione del nuovo sensore.
Procedure consigliate: dopo l’aggiornamento riattivare DoW e ripristinare le policy originarie; comunicare agli utenti l’eventuale finestra di protezione ridotta.

Best practice post‑incidente

Hardening macro: utilizzare firme digitali e criteri di esecuzione delle macro (VBA Project Trust) per ridurre la dipendenza da rilevamenti in scrittura.
Governance del formato: ove possibile, migrare file che non richiedono macro attive verso .xlsx.
Segmentazione: mantenere gruppi di policy separati per file‑server e per workstation ad alto uso di Excel.
Monitoraggio proattivo: definire KPI di salvataggio (mediana e 95° percentile) su campioni regolari di file macro‑enabled.

Riepilogo dei punti chiave

La lentezza non è causata da un aggiornamento di Office ma dal driver AV di CrowdStrike (Detect on Write).
Disattivare DoW sul file‑server impatta tutti i client; farlo su singoli host è meno invasivo ma richiede più gestione.
I file che hanno avuto macro restano soggetti alla lentezza finché salvati come macro‑enabled.
Dopo l’installazione del sensore 7.07.17807.0 (o superiore) non sono più necessarie modifiche alle policy: le prestazioni tornano normali con protezione completa.

FAQ aggiuntive per il supporto di primo livello

Il salvataggio è lento solo al primo tentativo?
In alcuni ambienti la prima scrittura subisce il costo di analisi; i successivi salvataggi potrebbero essere più rapidi grazie a cache temporanee. La correzione del sensore elimina anche questa variabilità.

È utile escludere cartelle specifiche?
Può alleviare, ma amplia la superficie d’attacco. È preferibile intervenire con l’aggiornamento del sensore.

Come gestire file “ereditati” con macro non più usate?
Valuta la rimozione dei moduli VBA inutilizzati e il salvataggio finale in .xlsx se le macro non servono più.

Timeline consigliata di remediation

Fase	Azione	Responsabile	Output atteso
Giorno 0	Abilitare policy di test con DoW OFF su perimetro pilota	Sicurezza IT	Conferma miglioramento tempi salvataggio
Giorno 1–2	Pianificare rollout del sensore 7.07.17807.0+	Endpoint Management	Change approvato e finestra di intervento
Giorno 3–5	Distribuire update a file‑server e client	Endpoint/Server Team	Versione sensore allineata
Giorno 6	Riattivare DoW e ripristinare policy originali	Sicurezza IT	Protezione piena ripristinata
Giorno 7	Report finale e chiusura incidente	IT Operations	Documentazione con metriche prima/dopo

Template di comunicazione agli utenti

Oggetto: Lentezza salvataggio file Excel con macro – aggiornamento
Ciao,
stiamo risolvendo un problema che rallenta il salvataggio dei file Excel con macro
su condivisioni di rete. Stiamo distribuendo un aggiornamento del componente di
sicurezza degli endpoint. Fino al completamento, se riscontri lentezza puoi:
- salvare temporaneamente come .xlsx durante l’editing;
- lavorare in locale e copiare il file a fine lavoro.
Ti avviseremo quando l’intervento sarà concluso. Grazie per la collaborazione.

Conclusioni

Il rallentamento nel salvataggio dei file Excel macro‑enabled emerso dal 2 febbraio 2024 non è un difetto di Excel ma una conseguenza dell’ispezione in scrittura del driver AV con Detect on Write. Il workaround (DoW OFF su perimetro controllato) ripristina immediatamente l’operatività; l’aggiornamento del sensore alla versione 7.07.17807.0 (o superiore) risolve in modo definitivo, consentendo di mantenere la protezione completa. Pianifica il rollout, verifica i tempi prima/dopo e chiudi l’incidente ripristinando le policy originarie.