Gestire la protezione da manomissioni per l'organizzazione usando Microsoft Intune
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
- Microsoft Defender for Business
- Microsoft 365 Business Premium
Piattaforme
- Windows
La protezione dalle manomissioni consente di proteggere determinate impostazioni di sicurezza, ad esempio la protezione da virus e minacce, dalla disabilitazione o dalla modifica. Se si fa parte del team di sicurezza dell'organizzazione e si usa Microsoft Intune, è possibile gestire la protezione dalle manomissioni per l'organizzazione nell'interfaccia di amministrazione di Intune. In alternativa, è possibile usare Configuration Manager. Con Intune o Configuration Manager è possibile:
- Attivare o disattivare la protezione dalle manomissioni per alcuni o tutti i dispositivi.
- Proteggere le esclusioni di Microsoft Defender Antivirus dalla manomissione (è necessario soddisfare determinati requisiti).
Importante
Se si usa Microsoft Intune per gestire le impostazioni di Defender per endpoint, assicurarsi di impostare DisableLocalAdminMerge su true nei dispositivi.
Quando la protezione da manomissione è attivata, le impostazioni protette da manomissione non possono essere modificate. Per evitare un'interruzione delle esperienze di gestione, tra cui Intune (e Configuration Manager), tenere presente che le modifiche alle impostazioni protette da manomissioni potrebbero avere esito positivo, ma sono effettivamente bloccate dalla protezione dalle manomissioni. A seconda dello scenario specifico, sono disponibili diverse opzioni:
- Se è necessario apportare modifiche a un dispositivo e tali modifiche sono bloccate dalla protezione dalle manomissioni, è consigliabile usare la modalità di risoluzione dei problemi per disabilitare temporaneamente la protezione dalle manomissioni nel dispositivo. Si noti che al termine della modalità di risoluzione dei problemi, tutte le modifiche apportate alle impostazioni protette da manomissioni vengono ripristinate allo stato configurato.
- È possibile usare Intune o Configuration Manager per escludere i dispositivi dalla protezione da manomissioni.
- Se si gestisce la protezione dalle manomissioni tramite Intune, è possibile modificare le esclusioni antivirus protette da manomissione.
Requisiti per la gestione della protezione da manomissioni in Intune
| Requisito | Dettagli |
|---|---|
| Ruoli e autorizzazioni | È necessario disporre delle autorizzazioni appropriate assegnate tramite ruoli, ad esempio Amministratore della sicurezza. Vedere Ruoli di Microsoft Entra con accesso a Intune. |
| Gestione dei dispositivi | L'organizzazione usa Intune per gestire i dispositivi. |
| Licenze di Intune | Sono necessarie licenze di Intune. Vedere Licenze di Microsoft Intune. |
| Sistema operativo | I dispositivi Windows devono eseguire Windows 10 versione 1709 o successiva o Windows 11. Per altre informazioni sulle versioni, vedere Informazioni sulla versione di Windows. Per Mac, vedere Proteggere le impostazioni di sicurezza macOS con la protezione da manomissioni. |
| Intelligence sulla sicurezza | È necessario usare la sicurezza di Windows con l'intelligence di sicurezza aggiornata alla versione 1.287.60.0 (o successiva). |
| Piattaforma antimalware | I dispositivi devono usare la versione 4.18.1906.3 della piattaforma antimalware (o versione successiva) e la versione 1.1.15500.X del motore antimalware (o versione successiva). Vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare le baseline. |
| Microsoft Entra ID | I tenant di Intune e Defender per endpoint devono condividere la stessa infrastruttura di Microsoft Entra. |
| Defender per endpoint | È necessario eseguire l'onboarding dei dispositivi in Defender per endpoint. |
Nota
Se i dispositivi non sono registrati in Microsoft Defender per endpoint, la protezione dalle manomissioni viene visualizzata come Non applicabile fino al completamento del processo di onboarding. La protezione dalle manomissioni può impedire che si verifichino modifiche alle impostazioni di sicurezza. Se viene visualizzato un codice di errore con ID evento 5013, vedere Esaminare i log eventi e i codici di errore per risolvere i problemi relativi a Microsoft Defender Antivirus.
Attivare o disattivare la protezione dalle manomissioni in Microsoft Intune
Nell'interfaccia di amministrazione di Intune passare a Endpoint Security>Antivirus e quindi scegliere + Crea criteri.
- Nell'elenco Piattaforma selezionare Windows 10, Windows 11 e Windows Server.
- Nell'elenco Profilo selezionare Esperienza di sicurezza di Windows.
Creare un profilo che includa l'impostazione seguente:
- TamperProtection (Dispositivo): attivato
Completare la selezione di opzioni e impostazioni per i criteri.
Distribuire i criteri nei dispositivi.
Protezione da manomissioni per esclusioni antivirus
Se l'organizzazione ha esclusioni definite per Microsoft Defender Antivirus, la protezione da manomissione protegge tali esclusioni, a condizione che siano soddisfatte tutte le condizioni seguenti:
| Condizione | Criteri |
|---|---|
| Piattaforma Microsoft Defender | I dispositivi eseguono la piattaforma 4.18.2211.5 Microsoft Defender o versioni successive. Per altre informazioni, vedere Versioni mensili della piattaforma e del motore. |
DisableLocalAdminMerge impostazione |
Questa impostazione è nota anche come impedire l'unione di elenchi locali. DisableLocalAdminMerge è abilitato in modo che le impostazioni configurate in un dispositivo non vengano unite ai criteri dell'organizzazione, ad esempio le impostazioni in Intune. Per altre informazioni, vedere DisableLocalAdminMerge. |
| Gestione dei dispositivi | I dispositivi sono gestiti solo in Intune o sono gestiti solo con Configuration Manager. Sense deve essere abilitato. |
| Esclusioni antivirus | Le esclusioni di Microsoft Defender Antivirus vengono gestite in Microsoft Intune. Per altre informazioni, vedere Impostazioni per i criteri di Microsoft Defender Antivirus in Microsoft Intune per dispositivi Windows. La funzionalità per proteggere le esclusioni di Microsoft Defender Antivirus è abilitata nei dispositivi. Per altre informazioni, vedere Come determinare se le esclusioni antivirus sono protette da manomissioni in un dispositivo Windows. |
Consiglio
Per informazioni più dettagliate sulle esclusioni di Microsoft Defender Antivirus, vedere Esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.
Come determinare se le esclusioni antivirus sono protette da manomissioni in un dispositivo Windows
È possibile usare una chiave del Registro di sistema per determinare se la funzionalità per proteggere le esclusioni di Microsoft Defender Antivirus è abilitata. La procedura seguente descrive come visualizzare, ma non modificare, lo stato di protezione dalle manomissioni.
In un dispositivo Windows aprire l'editor del Registro di sistema. La modalità di sola lettura è valida. La chiave del Registro di sistema non viene modificata.
Per verificare che il dispositivo sia gestito solo da Intune o gestito solo da Configuration Manager, con Sense abilitato, controllare i valori della chiave del Registro di sistema seguenti:
ManagedDefenderProductType(che si trova inComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows DefenderoHKLM\SOFTWARE\Microsoft\Windows Defender)EnrollmentStatus(che si trova inComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCMoHKLM\SOFTWARE\Microsoft\SenseCM)
La tabella seguente riepiloga il significato dei valori della chiave del Registro di sistema:
ManagedDefenderProductTypevaloreEnrollmentStatusvaloreSignificato del valore 6(qualsiasi valore) Il dispositivo è gestito solo da Intune.
Soddisfa un requisito per la protezione dalle esclusioni.74Il dispositivo è gestito da Configuration Manager.
Soddisfa un requisito per la protezione dalle esclusioni.Valore diverso da 6o7(qualsiasi valore) Il dispositivo non è gestito solo da Intune o da Configuration Manager.
Le esclusioni non sono protette da manomissioni.Per verificare che la protezione da manomissione sia stata distribuita e che le esclusioni siano protette da manomissioni, controllare la chiave del
TPExclusionsRegistro di sistema (che si trova inComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\FeaturesoHKLM\SOFTWARE\Microsoft\Windows Defender\Features).TPExclusionsSignificato del valore 1Le condizioni necessarie vengono soddisfatte e la nuova funzionalità per proteggere le esclusioni è abilitata nel dispositivo.
Le esclusioni sono protette da manomissioni.0La protezione dalle manomissioni non protegge attualmente le esclusioni nel dispositivo.
Se vengono soddisfatti tutti i requisiti e questo stato sembra errato, contattare il supporto tecnico.
Attenzione
Non modificare il valore delle chiavi del Registro di sistema. Utilizzare la procedura precedente solo per informazioni. La modifica delle chiavi non ha alcun effetto sul fatto che la protezione da manomissione si applichi alle esclusioni.
Vedere anche
- Domande frequenti sulla protezione da manomissioni
- Defender per endpoint in dispositivi non Windows
- Risolvere i problemi relativi alla protezione da manomissioni
- Gestire Microsoft Defender per endpoint nei dispositivi con Microsoft Intune
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per