Usare Microsoft Defender per endpoint Gestione impostazioni di sicurezza per gestire Microsoft Defender Antivirus
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender per endpoint Piano 1
Piattaforme
- Windows
- Windows Server
- macOS
- Linux
Usare il Microsoft Defender per endpoint Gestione impostazioni di sicurezza per gestire Microsoft Defender criteri di sicurezza antivirus nei dispositivi.
Prerequisiti:
Esaminare i prerequisiti qui.
Nota
La pagina Criteri di sicurezza degli endpoint nel portale di Microsoft Defender è disponibile solo per gli utenti con il ruolo Amministratore sicurezza assegnato. Qualsiasi altro ruolo utente, ad esempio Lettore di sicurezza, non può accedere al portale. Quando un utente dispone delle autorizzazioni necessarie per visualizzare i criteri nel portale di Microsoft Defender, i dati vengono presentati in base alle autorizzazioni Intune. Se l'utente è nell'ambito di Intune controllo degli accessi in base al ruolo, si applica all'elenco dei criteri presentati nel portale di Microsoft Defender. È consigliabile concedere agli amministratori della sicurezza il ruolo predefinito Intune "Endpoint Security Manager" per allineare in modo efficace il livello di autorizzazioni tra Intune e il portale di Microsoft Defender.
In qualità di amministratore della sicurezza, è possibile configurare diverse impostazioni dei criteri di sicurezza Microsoft Defender Antivirus nel portale di Microsoft Defender.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
I criteri di sicurezza degli endpoint sono disponibili in Criteri disicurezza degli endpointdi gestione della configurazione> degli endpoint>.
Nell'elenco seguente viene fornita una breve descrizione di ogni tipo di criterio di sicurezza degli endpoint:
Antivirus : i criteri antivirus consentono agli amministratori della sicurezza di concentrarsi sulla gestione del gruppo discreto di impostazioni antivirus per i dispositivi gestiti.
Crittografia disco : i profili di crittografia dei dischi di sicurezza degli endpoint si concentrano solo sulle impostazioni rilevanti per un metodo di crittografia predefinito dei dispositivi, ad esempio FileVault o BitLocker. Questo focus semplifica la gestione delle impostazioni di crittografia dei dischi da parte degli amministratori della sicurezza senza dover esplorare un host di impostazioni non correlate.
Firewall: usare i criteri firewall di sicurezza degli endpoint in Intune per configurare un firewall predefinito per i dispositivi che eseguono macOS e Windows 10/11.
Rilevamento e risposta degli endpoint: quando si integrano Microsoft Defender per endpoint con Intune, usare i criteri di sicurezza degli endpoint per il rilevamento e la risposta degli endpoint (EDR) per gestire le impostazioni EDR e caricare i dispositivi in Microsoft Defender per endpoint.
Riduzione della superficie di attacco: quando Microsoft Defender Antivirus è in uso nei dispositivi Windows 10/11, usare Intune criteri di sicurezza degli endpoint per la riduzione della superficie di attacco per gestire tali impostazioni per i dispositivi.
Creare criteri di sicurezza degli endpoint
Accedere al portale di Microsoft Defender usando almeno un ruolo di amministratore della sicurezza.
Selezionare Criteri disicurezza degli endpointdi gestione della configurazione> degli endpoint> e quindi selezionare Crea nuovi criteri.
Selezionare una piattaforma dall'elenco a discesa.
Selezionare un modello, quindi selezionare Crea criterio.
Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo, quindi scegliere Avanti.
Nella pagina Impostazioni espandere ogni gruppo di impostazioni e configurare le impostazioni da gestire con questo profilo.
Al termine della configurazione delle impostazioni, selezionare Avanti.
Nella pagina Assegnazioni selezionare i gruppi che ricevono questo profilo.
Seleziona Avanti.
Al termine, nella pagina Rivedi e crea selezionare Salva. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.
Nota
Per modificare i tag di ambito, è necessario passare all'interfaccia di amministrazione Microsoft Intune.
Per modificare i criteri di sicurezza degli endpoint
Selezionare il nuovo criterio e quindi selezionare Modifica.
Selezionare Impostazioni per espandere un elenco delle impostazioni di configurazione nei criteri. Non è possibile modificare le impostazioni da questa visualizzazione, ma è possibile esaminarne la configurazione.
Per modificare il criterio, selezionare Modifica per ogni categoria in cui si vuole apportare una modifica:
- Dati principali
- Impostazioni
- Attività
Dopo aver apportato modifiche, selezionare Salva per salvare le modifiche. Le modifiche a una categoria devono essere salvate prima di poter introdurre modifiche a più categorie.
Verificare i criteri di sicurezza degli endpoint
Per verificare che i criteri siano stati creati correttamente, selezionare un nome di criterio nell'elenco dei criteri di sicurezza degli endpoint.
Nota
Possono essere necessari fino a 90 minuti prima che un criterio raggiunga un dispositivo. Per velocizzare il processo, per i dispositivi gestiti da Defender per endpoint, è possibile selezionare Sincronizzazione criteri dal menu azioni in modo che venga applicato in circa 10 minuti.
Nella pagina dei criteri vengono visualizzati i dettagli che riepilogano lo stato dei criteri. È possibile visualizzare lo stato di un criterio, a quali dispositivi viene applicato e i gruppi assegnati.
Durante un'indagine, è anche possibile visualizzare la scheda Criteri di sicurezza nella pagina del dispositivo per visualizzare l'elenco dei criteri applicati a un determinato dispositivo. Per altre informazioni, vedere Analisi dei dispositivi.
Criteri antivirus per Windows e Windows Server
Protezione in tempo reale (protezione always-on, analisi in tempo reale):
| Descrizione | Impostazioni |
|---|---|
| Consenti monitoraggio in tempo reale | Consentito |
| Direzione analisi in tempo reale | Monitorare tutti i file (bidirezionale) |
| Consenti monitoraggio del comportamento | Consentito |
| Consenti la protezione dall'accesso | Consentito |
| Protezione PUA | Protezione PUA in |
Per altre informazioni, vedere:
- Tecnologie avanzate alla base dell'antivirus Microsoft Defender
- Abilitare e configurare Microsoft Defender protezione antivirus always-on
- Monitoraggio del comportamento in antivirus Microsoft Defender
- Rilevare e bloccare applicazioni potenzialmente indesiderate
- Funzionalità di protezione del cloud:
| Descrizione | Impostazione |
|---|---|
| Consenti Cloud Protection | Consentito |
| Livello blocco cloud | Alto |
| Timeout esteso del cloud | Configurato, 50 |
| Invia il consenso degli esempi | Inviare tutti gli esempi automaticamente |
Standard gli aggiornamenti dell'intelligence di sicurezza possono richiedere ore per la preparazione e la distribuzione. Il servizio di protezione fornito dal cloud offre questa protezione in pochi secondi. Per altre informazioni, vedere Usare tecnologie di nuova generazione in Microsoft Defender Antivirus tramite la protezione fornita dal cloud.
Analisi:
| Descrizione | Impostazione |
|---|---|
| Consenti analisi Email | Consentito |
| Consenti l'analisi di tutti i file e gli allegati scaricati | Consentito |
| Consenti analisi script | Consentito |
| Consenti analisi Archivio | Consentito |
| Consenti analisi dei file di rete | Consentito |
| Consentire l'analisi completa dell'unità rimovibile | Consentito |
| Consenti analisi completa nelle unità di rete mappate | Non consentito |
| Profondità massima Archivio | Non configurata |
| dimensioni massime Archivio | Non configurata |
Per altre informazioni, vedere Configurare Microsoft Defender opzioni di analisi antivirus.
Aggiornamenti di Security Intelligence:
| Descrizione | Impostazione |
|---|---|
| Intervallo di aggiornamento della firma | Configurato, 4 |
| Ordine di fallback dell'aggiornamento della firma | InternalDefinitionUpdateServer |
| MicrosoftUpdateServer | MMPC |
| Origini delle condivisioni file di aggiornamento delle firme | Non configurata |
| Aggiornamenti connessione a consumo | Non consentito (impostazione predefinita) |
| Security Intelligence Aggiornamenti Channel | Non configurata |
Nota
Dove: 'InternalDefinitionUpdateServer' è WSUS con Microsoft Defender aggiornamenti antivirus consentiti. "MicrosoftUpdateServer" è Microsoft Update (in precedenza Windows Update). 'MMPC' è Microsoft Defender Security Intelligence Center (WDSI in precedenza Microsoft Malware Protection Center) https://www.microsoft.com/en-us/wdsi/definitions.
Per altre informazioni, vedere:
- Microsoft Defender l'intelligence di sicurezza antivirus e gli aggiornamenti dei prodotti
- Aggiornare i canali per gli aggiornamenti dell'intelligence per la sicurezza
Aggiornamenti del motore:
| Descrizione | Impostazione |
|---|---|
| Canale Aggiornamenti motore | Non configurata |
Per altre informazioni, vedere Gestire il processo di implementazione graduale per gli aggiornamenti Microsoft Defender.
Aggiornamenti della piattaforma:
| Descrizione | Impostazione |
|---|---|
| Canale Aggiornamenti piattaforma | Non configurata |
Per altre informazioni, vedere Gestire il processo di implementazione graduale per gli aggiornamenti Microsoft Defender.
Analisi pianificata e analisi su richiesta:
Impostazioni generali per l'analisi pianificata e l'analisi su richiesta
| Descrizione | Impostazione |
|---|---|
| Verificare la presenza di firme prima di eseguire l'analisi | Disabilitato (impostazione predefinita) |
| Pianificare in modo casuale i tempi delle attività | Non configurata |
| Tempo di randomizzazione dell'utilità di pianificazione | Le attività pianificate non verranno casualizzate |
| Fattore di carico cpu medio | Non configurato (impostazione predefinita, 50) |
| Abilitare la priorità bassa della CPU | Disabilitato (impostazione predefinita) |
| Disabilitare l'analisi completa di recupero | Abilitato (impostazione predefinita) |
| Disabilitare l'analisi rapida di recupero | Abilitato (impostazione predefinita) |
Analisi rapida giornaliera
| Descrizione | Impostazione |
|---|---|
| Pianificare l'ora di analisi rapida | 720 |
Nota
In questo esempio, un'analisi rapida viene eseguita ogni giorno nei client Windows alle 12:00. (720). In questo esempio viene usato l'ora di pranzo, poiché molti dispositivi al giorno d'oggi sono spenti dopo l'orario di lavoro (ad esempio portatili).
Analisi rapida settimanale o analisi completa
| Descrizione | Impostazione |
|---|---|
| Parametro di analisi | Analisi rapida (impostazione predefinita) |
| Pianificare il giorno dell'analisi | Client Windows: mercoledì Server Windows: sabato |
| Pianificazione dell'ora di analisi | Client Windows: 1020 Server Windows: 60 |
Nota
In questo esempio, un'analisi rapida viene eseguita per i client Windows il mercoledì alle 17:00. (1020). E per Windows Server, il sabato alle 1:00. (60)
Per altre informazioni, vedere:
- Configurare analisi pianificate rapide o complete di Microsoft Defender Antivirus
- Microsoft Defender considerazioni e procedure consigliate per l'analisi completa dell'antivirus
Azione predefinita per la gravità della minaccia:
| Descrizione | Impostazione |
|---|---|
| Azione di correzione per le minacce con gravità elevata | Quarantena |
| Azione di correzione per minacce gravi | Quarantena |
| Azione di correzione per le minacce con gravità bassa | Quarantena |
| Azione di correzione per le minacce di gravità moderata | Quarantena |
| Descrizione | Impostazione |
|---|---|
| Giorni per conservare il malware pulito | Configurato, 60 |
| Consenti accesso all'interfaccia utente | Permesso. Consentire agli utenti di accedere all'interfaccia utente. |
Per altre informazioni, vedere Configurare la correzione per i rilevamenti antivirus Microsoft Defender.
Esclusioni antivirus:
Comportamento di unione dell'amministratore locale:
Disabilitare le impostazioni av dell'amministratore locale, ad esempio le esclusioni, e impostare i criteri dalla gestione delle impostazioni di sicurezza Microsoft Defender per endpoint come descritto nella tabella seguente:
| Descrizione | Impostazione |
|---|---|
| Disabilitare l'unione Amministrazione locale | Disabilitare l'unione Amministrazione locale |
| Descrizione | Impostazione |
|---|---|
| Estensioni escluse | Aggiungere in base alle esigenze per l'uso di falsi positivi e/o per la risoluzione dei problemi di utilizzo elevato della CPU in MsMpEng.exe |
| Percorsi esclusi | Aggiungere in base alle esigenze per l'uso di falsi positivi e/o per la risoluzione dei problemi di utilizzo elevato della CPU in MsMpEng.exe |
| Processi esclusi | Aggiungere in base alle esigenze per l'uso di falsi positivi e/o per la risoluzione dei problemi di utilizzo elevato della CPU in MsMpEng.exe |
Per altre informazioni, vedere:
- Impedire o consentire agli utenti di modificare in locale le impostazioni dei criteri antivirus Microsoft Defender
- Configurare esclusioni personalizzate per Microsoft Defender Antivirus
servizio Microsoft Defender Core:
| Descrizione | Impostazione |
|---|---|
| Disabilitare l'integrazione ecs del servizio core | Il servizio Di base di Defender usa il servizio Sperimentazione e configurazione (ECS) per distribuire rapidamente correzioni critiche specifiche dell'organizzazione. |
| Disabilitare i dati di telemetria del servizio core | Il servizio di base di Defender usa il framework OneDsCollector per raccogliere rapidamente i dati di telemetria. |
Per altre informazioni, vedere panoramica del servizio Microsoft Defender Core.
Protezione di rete:
| Descrizione | Impostazione |
|---|---|
| Abilitare la protezione di rete | Abilitato (modalità blocco) |
| Consenti livello di protezione di rete inattivo | La protezione di rete è abilitata a livello inferiore. |
| Consenti elaborazione datagramma in Win Server | L'elaborazione dei datagrammi in Windows Server è abilitata. |
| Disabilitare l'analisi DNS su TCP | L'analisi DNS su TCP è abilitata. |
| Disabilitare l'analisi HTTP | L'analisi HTTP è abilitata. |
| Disabilitare l'analisi SSH | L'analisi SSH è abilitata. |
| Disabilitare l'analisi TLS | L'analisi TLS è abilitata. |
| Abilitare sinkhole DNS | Sinkhole DNS abilitato. |
Per altre informazioni, vedere Usare la protezione di rete per impedire connessioni a siti dannosi o sospetti.
- Al termine della configurazione delle impostazioni, selezionare Avanti.
- Nella scheda Assegnazioni selezionare Gruppo di dispositivi o Gruppo di utenti oppure Tutti i dispositivi o Tutti gli utenti.
- Seleziona Avanti.
- Nella scheda Rivedi e crea esaminare le impostazioni dei criteri e quindi selezionare Salva.
Regole di riduzione della superficie di attacco
Per abilitare le regole di riduzione della superficie di attacco usando i criteri di sicurezza degli endpoint, seguire questa procedura:
Accedere a Microsoft Defender XDR.
Passare a Endpoints > Configuration management > Endpoint security policies > (Criteri di sicurezza degli endpoint) Criteri > di Windows Create new policy (Crea nuovi criteri).
Selezionare Windows 10, Windows 11 e Windows Server dall'elenco a discesa Seleziona piattaforma.
Selezionare Regole di riduzione della superficie di attacco dall'elenco a discesa Seleziona modello .
Selezionare Crea criterio.
Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo. quindi scegliere Avanti.
Nella pagina Impostazioni di configurazione espandere i gruppi di impostazioni e configurare le impostazioni che si desidera gestire con questo profilo.
Impostare i criteri in base alle impostazioni consigliate seguenti:
Descrizione Impostazione Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Blocca Impedire ad Adobe Reader di creare processi figlio Blocca Blocca l'esecuzione di script potenzialmente offuscati Blocca Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) Blocca Bloccare le chiamate API Win32 dalle macro di Office Blocca Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Blocca Impedire all'applicazione di comunicazione di Office di creare processi figlio Blocca Impedire a tutte le applicazioni di Office di creare processi figlio Blocca [ANTEPRIMA] Blocca l'uso di strumenti di sistema copiati o rappresentati Blocca Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Blocca Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows Blocca Bloccare la creazione della shell Web per i server Blocca Impedire alle applicazioni di Office di creare contenuto eseguibile Blocca Bloccare i processi non attendibili e non firmati eseguiti da USB Blocca Impedire alle applicazioni di Office di inserire codice in altri processi Blocca Bloccare la persistenza tramite la sottoscrizione di eventi WMI Blocca Usare la protezione avanzata contro il ransomware Blocca Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Blocca (se si dispone di Configuration Manager (in precedenza SCCM) o di altri strumenti di gestione che usano WMI, potrebbe essere necessario impostarlo su Audit anziché su Block [ANTEPRIMA] Blocca il riavvio della macchina in modalità provvisoria Blocca Abilitare l'accesso controllato alle cartelle Abilitato
Consiglio
Qualsiasi regola potrebbe bloccare il comportamento che si ritiene accettabile nell'organizzazione. In questi casi, aggiungere le esclusioni per regola denominate "Esclusioni solo riduzione della superficie di attacco". Modificare inoltre la regola da Abilitato a Controllo per evitare blocchi indesiderati.
Per altre informazioni, vedere Panoramica della distribuzione delle regole di riduzione della superficie di attacco.
- Seleziona Avanti.
- Nella scheda Assegnazioni selezionare Gruppo di dispositivi o Gruppo di utenti oppure Tutti i dispositivi o Tutti gli utenti.
- Seleziona Avanti.
- Nella scheda Rivedi e crea esaminare le impostazioni dei criteri e quindi selezionare Salva.
Abilitare la protezione antimanomissione
Accedere a Microsoft Defender XDR.
Passare a Endpoints > Configuration management > Endpoint security policies > (Criteri di sicurezza degli endpoint) Criteri > di Windows Create new policy (Crea nuovi criteri).
Selezionare Windows 10, Windows 11 e Windows Server dall'elenco a discesa Seleziona piattaforma.
Selezionare Esperienza di sicurezza dall'elenco a discesa Seleziona modello .
Selezionare Crea criterio. Verrà visualizzata la pagina Crea un nuovo criterio .
Nella pagina Informazioni di base immettere rispettivamente un nome e una descrizione per il profilo nei campi Nome e Descrizione .
Seleziona Avanti.
Nella pagina Impostazioni di configurazione espandere i gruppi di impostazioni.
Da questi gruppi selezionare le impostazioni che si desidera gestire con questo profilo.
Impostare i criteri per i gruppi di impostazioni scelti configurandoli come descritto nella tabella seguente:
Descrizione Impostazione TamperProtection (Dispositivo) Attivato
Per altre informazioni, vedere Proteggere le impostazioni di sicurezza con la protezione da manomissioni.
Controllare la connettività di rete di Cloud Protection
È importante verificare che la connettività di rete di Cloud Protection funzioni durante i test di penetrazione.
CMD (Esegui come amministratore)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Per altre informazioni, vedere Usare lo strumento cmdline per convalidare la protezione fornita dal cloud.
Controllare la versione dell'aggiornamento della piattaforma
La versione più recente del canale di produzione (GA) "Platform Update" è disponibile in Microsoft Update Catalog.
Per verificare la versione "Aggiornamento piattaforma" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:
Get-MPComputerStatus | Format-Table AMProductVersion
Controllare la versione dell'aggiornamento di Security Intelligence
La versione più recente di "Security Intelligence Update" è disponibile negli aggiornamenti più recenti di Security Intelligence per Microsoft Defender Antivirus e altri antimalware Microsoft - Intelligence di sicurezza Microsoft.
Per verificare la versione "Security Intelligence Update" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Controllare la versione dell'aggiornamento del motore
La versione più recente dell'analisi "aggiornamento del motore" è disponibile in Aggiornamenti più recenti dell'intelligence per la sicurezza per Microsoft Defender Antivirus e altri antimalware Microsoft - Intelligence di sicurezza Microsoft.
Per verificare la versione "Aggiornamento motore" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:
Get-MPComputerStatus | Format-Table AMEngineVersion
Se si scopre che le impostazioni non hanno effetto, è possibile che si verifichi un conflitto. Per informazioni su come risolvere i conflitti, vedere Risolvere i problemi relativi alle impostazioni di antivirus Microsoft Defender.
Per gli invii di falsi negativi (FN)
Per informazioni su come effettuare invii false negative (FN), vedere:
- Inviare file in Microsoft Defender per endpoint se si dispone di Microsoft XDR, Microsoft Defender per endpoint P2/P1 o Microsoft Defender for Business.
- Inviare i file per l'analisi se si dispone di Microsoft Defender Antivirus.