Esaminare o modificare i criteri di protezione di nuova generazione in Microsoft Defender per le aziende
In Defender per le aziende, la protezione di nuova generazione include una protezione antivirus e antimalware affidabile per computer e dispositivi mobili. I criteri predefiniti con le impostazioni consigliate sono inclusi in Defender per le aziende. I criteri predefiniti sono progettati per proteggere i dispositivi e gli utenti senza ostacolare la produttività. Tuttavia, è possibile personalizzare i criteri in base alle esigenze aziendali.
È possibile scegliere tra diverse opzioni per la gestione dei criteri di protezione di nuova generazione:
- Usare il portale di Microsoft Defender all'indirizzo https://security.microsoft.com (consigliato se si usa la versione autonoma di Defender for Business senza Intune); o
- Usare l'interfaccia di amministrazione di Microsoft Intune all'indirizzo https://intune.microsoft.com (disponibile se la sottoscrizione include Intune)
Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Nel riquadro di spostamento passare aGestione configurazione>endpoint> ConfigurazioneConfigurazione del dispositivo. I criteri sono organizzati in base al sistema operativo e al tipo di criteri.
Selezionare una scheda del sistema operativo, ad esempio Windows.
In Protezione di nuova generazione visualizzare l'elenco dei criteri. Come minimo, è elencato un criterio predefinito che usa le impostazioni consigliate. Questo criterio predefinito viene assegnato a tutti i dispositivi di cui è stato eseguito l'onboarding che eseguono il sistema operativo selezionato nel passaggio precedente ,ad esempio Windows. È possibile:
- Mantenere i criteri predefiniti come attualmente configurati.
- Modificare i criteri predefiniti per apportare le modifiche necessarie.
- Creare un nuovo criterio.
Utilizzare una delle procedure descritte nella tabella seguente:
Attività Procedura Modificare i criteri predefiniti 1. Nella sezione Protezione di nuova generazione selezionare il criterio predefinito e quindi scegliere Modifica.
2. Nel passaggio Informazioni generali , esaminare le informazioni. Se necessario, modificare la descrizione e quindi selezionare Avanti.
3. Nel passaggio Gruppi di dispositivi usare un gruppo esistente o configurare un nuovo gruppo. Quindi scegliere Avanti.
4. Nel passaggio Impostazioni di configurazione esaminare e, se necessario, modificare le impostazioni di sicurezza e quindi scegliere Avanti. Per altre informazioni sulle impostazioni, vedere Impostazioni e opzioni di protezione di nuova generazione (in questo articolo).
5. Nel passaggio Verifica i criteri esaminare le impostazioni correnti. Selezionare Modifica per apportare le modifiche necessarie. Selezionare quindi Aggiorna criterio.Creare un nuovo criterio 1. Nella sezione Protezione di nuova generazione selezionare Aggiungi.
2. Nel passaggio Informazioni generali specificare un nome e una descrizione per i criteri. È anche possibile mantenere o modificare un ordine dei criteri (vedere Informazioni sull'ordine dei criteri in Microsoft Defender per le aziende). Quindi, scegliere Avanti.
3. Nel passaggio Gruppi di dispositivi è possibile usare un gruppo esistente o creare un nuovo gruppo (vedere Gruppi di dispositivi in Microsoft Defender per le aziende). Quindi scegliere Avanti.
4. Nel passaggio Impostazioni di configurazione esaminare e modificare le impostazioni di sicurezza e quindi scegliere Avanti. Per altre informazioni sulle impostazioni, vedere Impostazioni e opzioni di protezione di nuova generazione (in questo articolo).
5. Nel passaggio Verifica i criteri esaminare le impostazioni correnti. Selezionare Modifica per apportare le modifiche necessarie. Selezionare quindi Crea criterio.
Impostazioni e opzioni di protezione di nuova generazione
Nella tabella seguente sono elencate le impostazioni e le opzioni per la protezione di nuova generazione in Defender per le aziende.
Impostazione | Descrizione |
---|---|
Protezione in tempo reale | |
Attivare la protezione in tempo reale | Abilitata per impostazione predefinita, la protezione in tempo reale individua e impedisce l'esecuzione di malware nei dispositivi. È consigliabile mantenere attiva la protezione in tempo reale. Quando la protezione in tempo reale è attivata, configura le impostazioni seguenti: - Il monitoraggio del comportamento è attivato (AllowBehaviorMonitoring). - Tutti i file e gli allegati scaricati vengono analizzati (AllowIOAVProtection). - Gli script usati nei browser Microsoft vengono analizzati (AllowScriptScanning). |
Blocco al primo rilevamento | Abilitato per impostazione predefinita, il blocco al primo rilevamento blocca il malware entro pochi secondi dal rilevamento, aumenta il tempo (in secondi) consentito per inviare i file di esempio per l'analisi e imposta il livello di rilevamento su Alto.
È consigliabile mantenere il blocco al primo rilevamento attivato. Quando il blocco al primo rilevamento è attivato, configura le impostazioni seguenti per Microsoft Defender Antivirus: - Il blocco e l'analisi dei file sospetti sono impostati sul livello di blocco Alto (CloudBlockLevel). - Il numero di secondi per il blocco e la selezione di un file è impostato su 50 secondi (CloudExtendedTimeout). Importante Se il blocco al primo rilevamento è disattivato, influisce su CloudBlockLevel e CloudExtendedTimeout per Microsoft Defender Antivirus. |
Attivare la protezione di rete | Abilitata in modalità blocco per impostazione predefinita, la protezione di rete consente di proteggere da truffe di phishing, siti di hosting di exploit e contenuti dannosi su Internet. Impedisce inoltre agli utenti di disattivare la protezione di rete. La protezione di rete può essere impostata sulle modalità seguenti: - La modalità blocco è l'impostazione predefinita. Impedisce agli utenti di visitare siti considerati non sicuri. È consigliabile mantenere la protezione di rete impostata su Modalità blocco. - La modalità di controllo consente agli utenti di visitare siti che potrebbero non essere sicuri e tiene traccia delle attività di rete da/verso tali siti. - La modalità disabilitata non impedisce agli utenti di visitare siti che potrebbero non essere sicuri né tiene traccia delle attività di rete da/verso tali siti. |
Bonifica | |
Azione da intraprendere su app potenzialmente indesiderate (PUA) | Abilitata per impostazione predefinita, la protezione PUA blocca gli elementi rilevati come PUA. PUA può includere software pubblicitario; bundling software che offre di installare altro software non firmato; e il software di evasione che tenta di eludere le funzionalità di sicurezza. Anche se pua non è necessariamente un virus, malware o altro tipo di minaccia, può influire sulle prestazioni del dispositivo. È possibile impostare la protezione PUA sulle modalità seguenti: - Abilitato è l'impostazione predefinita. Blocca gli elementi rilevati come PUA nei dispositivi. È consigliabile mantenere abilitata la protezione PUA. - La modalità di controllo non esegue alcuna azione sugli elementi rilevati come PUA. - Disabilitato non rileva né esegue azioni su elementi che potrebbero essere PUA. |
Analisi | |
Tipo di analisi pianificata | Abilitato in modalità di analisi rapida per impostazione predefinita, è possibile specificare un giorno e un'ora per eseguire analisi antivirus settimanali. Sono disponibili le opzioni seguenti per il tipo di analisi: - Quickscan controlla i percorsi, ad esempio le chiavi del Registro di sistema e le cartelle di avvio, in cui il malware potrebbe essere registrato per iniziare insieme a un dispositivo. È consigliabile usare l'opzione quickscan. - Fullscan controlla tutti i file e le cartelle in un dispositivo. - Disabilitato significa che non verranno eseguite analisi pianificate. Gli utenti possono comunque eseguire analisi nei propri dispositivi. In generale, non è consigliabile disabilitare le analisi pianificate. Altre informazioni sui tipi di analisi. |
Giorno della settimana per eseguire un'analisi pianificata | Selezionare un giorno per l'esecuzione delle normali analisi antivirus settimanali. |
Ora del giorno per eseguire un'analisi pianificata | Selezionare un'ora per eseguire le analisi antivirus pianificate regolarmente per l'esecuzione. |
Usare prestazioni ridotte | Questa impostazione è disattivata per impostazione predefinita. È consigliabile mantenere questa impostazione disattivata. Tuttavia, è possibile attivare questa impostazione per limitare la memoria del dispositivo e le risorse usate durante le analisi pianificate.
Importante Se si attiva Usa prestazioni ridotte, vengono configurate le impostazioni seguenti per Microsoft Defender Antivirus: - I file di archivio non vengono analizzati (AllowArchiveScanning). - Alle analisi viene assegnata una priorità di CPU bassa (EnableLowCPUPriority). - Se non viene eseguita un'analisi antivirus completa, non verrà eseguita alcuna analisi di recupero (DisableCatchupFullScan). - Se non viene eseguita un'analisi antivirus rapida, non verrà eseguita alcuna analisi di recupero (DisableCatchupQuickScan). - Riduce il fattore di carico medio della CPU durante un'analisi antivirus dal 50% al 20% (AvgCPULoadFactor). |
Esperienza utente | |
Consentire agli utenti di accedere all'app Sicurezza di Windows | Attivare questa impostazione per consentire agli utenti di aprire l'app Sicurezza di Windows nei propri dispositivi. Gli utenti non possono ignorare le impostazioni configurate in Defender per le aziende, ma possono eseguire un'analisi rapida o visualizzare eventuali minacce rilevate. |
Esclusioni antivirus | Le esclusioni sono processi, file o cartelle ignorati dalle analisi di Microsoft Defender Antivirus. In generale, non è necessario definire esclusioni. Microsoft Defender Antivirus include molte esclusioni automatiche basate sul comportamento noto del sistema operativo e sui file di gestione tipici. Ogni esclusione riduce il livello di protezione, quindi è importante considerare attentamente quali esclusioni definire. Prima di aggiungere eventuali esclusioni, vedere Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus. |
Esclusioni di processi | Le esclusioni dei processi impediscono l'analisi dei file aperti da processi specifici da Microsoft Defender Antivirus. Quando si aggiunge un processo all'elenco di esclusione del processo, Microsoft Defender Antivirus non analizza i file aperti da tale processo, indipendentemente dalla posizione dei file. Il processo stesso viene analizzato a meno che non venga aggiunto all'elenco di esclusione di file. Vedere Configurare le esclusioni per i file aperti dai processi. |
Esclusioni di estensione file | Le esclusioni di estensione di file impediscono l'analisi di file con estensioni specifiche da Microsoft Defender Antivirus. Vedere Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella. |
Esclusioni di file e cartelle | Le esclusioni di file e cartelle impediscono l'analisi dei file che si trovano in cartelle specifiche da Microsoft Defender Antivirus. Vedere Esclusioni di file e cartelle contestuali. |
Altre impostazioni preconfigurate in Defender per le aziende
Le impostazioni di sicurezza seguenti sono preconfigurate in Defender per le aziende:
- L'analisi delle unità rimovibili è attivata (AllowFullScanRemovableDriveScanning).
- Le analisi rapide giornaliere non hanno un tempo preimpostato (ScheduleQuickScanTime).
- Gli aggiornamenti dell'intelligence per la sicurezza vengono controllati prima dell'esecuzione di un'analisi antivirus (CheckForSignaturesBeforeRunningScan).
- I controlli di intelligence di sicurezza vengono eseguiti ogni quattro ore (SignatureUpdateInterval).
Come le impostazioni predefinite in Defender for Business corrispondono alle impostazioni in Microsoft Intune
Nella tabella seguente vengono descritte le impostazioni preconfigurate per Defender for Business e il modo in cui tali impostazioni corrispondono a quelle che potrebbero essere visualizzate in Intune. Se si usa il processo di configurazione semplificato in Defender per le aziende, non è necessario modificare queste impostazioni.
Impostazione | Descrizione |
---|---|
Protezione cloud | A volte definita protezione fornita dal cloud o Microsoft Advanced Protection Service (MAPS), la protezione cloud funziona con Microsoft Defender Antivirus e il cloud Microsoft per identificare le nuove minacce, a volte anche prima che un singolo dispositivo sia interessato. Per impostazione predefinita, AllowCloudProtection è attivato. Altre informazioni sulla protezione cloud. |
Monitoraggio per i file in ingresso e in uscita | Per monitorare i file in ingresso e in uscita, RealTimeScanDirection è impostato per monitorare tutti i file. |
Analizzare i file di rete | Per impostazione predefinita, AllowScanningNetworkFiles non è abilitato e i file di rete non vengono analizzati. |
Analizzare i messaggi di posta elettronica | Per impostazione predefinita, AllowEmailScanning non è abilitato e i messaggi di posta elettronica non vengono analizzati. |
Numero di giorni (da 0 a 90) per mantenere il malware in quarantena | Per impostazione predefinita, l'impostazione DaysToRetainCleanedMalware è impostata su zero (0) giorni. Gli artefatti in quarantena non vengono rimossi automaticamente. |
Inviare il consenso degli esempi | Per impostazione predefinita, SubmitSamplesConsent è impostato per inviare automaticamente esempi sicuri. Esempi di esempi sicuri includono .bat , .scr , .dll e .exe file che non contengono informazioni personali. Se un file contiene informazioni personali, l'utente riceve una richiesta per consentire l'invio dell'esempio.
Altre informazioni sulla protezione cloud e l'invio di esempi. |
Analizzare le unità rimovibili | Per impostazione predefinita, AllowFullScanRemovableDriveScanning è configurato per analizzare le unità rimovibili, ad esempio le unità usb nei dispositivi. Altre informazioni sulle impostazioni dei criteri antimalware. |
Eseguire il tempo di analisi veloce giornaliero | Per impostazione predefinita, ScheduleQuickScanTime è impostato su 2:00 AM. Altre informazioni sulle impostazioni di analisi. |
Verificare la presenza di aggiornamenti delle firme prima di eseguire l'analisi | Per impostazione predefinita, CheckForSignaturesBeforeRunningScan è configurato per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza prima di eseguire analisi antivirus/antimalware. Altre informazioni sulle impostazioni di analisi e sugli aggiornamenti di Intelligence per la sicurezza. |
Frequenza (0-24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza | Per impostazione predefinita, SignatureUpdateInterval è configurato per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza ogni quattro ore. Altre informazioni sulle impostazioni di analisi e sugli aggiornamenti di Intelligence per la sicurezza. |
Passaggi successivi
- Configurare i criteri del firewall e le regole personalizzate per i criteri del firewall.
- Configurare i criteri di filtro del contenuto Web e abilitare automaticamente la protezione Web.
- Configurare i criteri di accesso controllato alle cartelle per la protezione ransomware.
- Abilitare le regole di riduzione della superficie di attacco.
- Esaminare le impostazioni per le funzionalità avanzate e il portale di Microsoft Defender.
- Usare il dashboard di gestione delle vulnerabilità in Microsoft Defender per le aziende