Impostazioni dei criteri di riduzione della superficie di attacco per la sicurezza degli endpoint in Intune

Visualizzare le impostazioni che è possibile configurare nei profili per i criteri di riduzione della superficie di attacco nel nodo di sicurezza degli endpoint di Intune come parte di un criterio di sicurezza degli endpoint.

Si applica a:

• Windows 11
• Windows 10

Piattaforme e profili supportati:

• Windows 10 e versioni successive: usare questa piattaforma per i criteri distribuiti nei dispositivi gestiti con Intune.

  • Profilo: Isolamento di app e browser
  • Profilo: controllo applicazione
  • Profilo: Regole di riduzione della superficie di attacco
  • Profilo: Controllo del dispositivo
  • Profilo: Protezione dagli exploit
  • Profilo: Protezione Web (Versione legacy di Microsoft Edge)

• Windows 10 e versioni successive (ConfigMgr): usare questa piattaforma per i criteri distribuiti nei dispositivi gestiti da Configuration Manager.

  • Profilo: Exploit Protection(ConfigMgr)(preview)
  • Profilo: Protezione Web (ConfigMgr)(anteprima)

• Windows 10, Windows 11 e Windows Server: usare questa piattaforma per i criteri distribuiti nei dispositivi gestiti tramite Gestione sicurezza per Microsoft Defender per endpoint.

  • Profilo: Regole di riduzione della superficie di attacco

Riduzione della superficie di attacco (MDM)

Profilo di isolamento dell'app e del browser

Nota

Questa sezione descrive in dettaglio le impostazioni nei profili di isolamento dell'app e del browser creati prima del 18 aprile 2023. I profili creati dopo tale data usano un nuovo formato di impostazioni come indicato nel Catalogo impostazioni. Con questa modifica non è più possibile creare nuove versioni del profilo precedente e non sono più in fase di sviluppo. Anche se non è più possibile creare nuove istanze del profilo precedente, è possibile continuare a modificare e usare le istanze di esso create in precedenza.

Per i profili che usano il nuovo formato delle impostazioni, Intune non gestisce più un elenco di ogni impostazione in base al nome. Al contrario, il nome di ogni impostazione, le relative opzioni di configurazione e il testo esplicativo visualizzato nell'interfaccia di amministrazione Microsoft Intune sono tratti direttamente dal contenuto autorevole delle impostazioni. Tale contenuto può fornire altre informazioni sull'uso dell'impostazione nel contesto appropriato. Quando si visualizza un testo delle informazioni sulle impostazioni, è possibile usare il relativo collegamento Altre informazioni per aprire il contenuto.

Isolamento di app e browser

• Attivare Application Guard
  CSP: AllowWindowsDefenderApplicationGuard

  • Non configurato (impostazione predefinita): Microsoft Defender Application Guard non è configurato per microsoft edge o ambienti Windows isolati.
  • Abilitato per Edge: Application Guard apre siti non approvati in un contenitore di esplorazione virtualizzato Hyper-V.
  • Abilitato per ambienti Windows isolati: Application Guard è attivato per tutte le applicazioni abilitate per App Guard all'interno di Windows.
  • Abilitato per gli ambienti Windows perimetrali e isolati: Application Guard è configurato per entrambi gli scenari.

  Nota

  Se si distribuiscono Application Guard per Microsoft Edge tramite Intune, i criteri di isolamento della rete Windows devono essere configurati come prerequisito. L'isolamento di rete può essere configurato tramite vari profili, tra cui l'isolamento app e broswer nell'impostazione di isolamento della rete windows .

  Se impostato su Abilitato per Edge o Abilitato per gli ambienti Windows isolati di Edge AND, sono disponibili le impostazioni seguenti, che si applicano a Edge:

  • Comportamento degli Appunti
    CSP: ClipboardSettings

    Scegliere le azioni di copia e incolla consentite dal PC locale e da un browser virtuale Application Guard.

    • Non configurato (impostazione predefinita)
    • Blocca copia e incolla tra PC e browser
    • Consenti copia e incolla solo dal browser al PC
    • Consenti copia e incolla solo da PC a browser
    • Consenti copia e incolla tra PC e browser

  • Bloccare il contenuto esterno da siti non approvati dall'organizzazione
    CSP: BlockNonEnterpriseContent

    • Non configurato (impostazione predefinita)
    • Sì : blocca il caricamento del contenuto dei siti Web non approvati.

  • Raccogliere i log per gli eventi che si verificano all'interno di una sessione di esplorazione Application Guard
    CSP: AuditApplicationGuard

    • Non configurato (impostazione predefinita)
    • Sì: raccogliere i log per gli eventi che si verificano all'interno di una sessione di esplorazione virtuale Application Guard.

  • Consenti il salvataggio dei dati del browser generati dall'utente
    CSP: AllowPersistence

    • Non configurato (impostazione predefinita)
    • Sì: consente di salvare i dati utente creati durante una sessione di esplorazione virtuale Application Guard. Esempi di dati utente includono password, preferiti e cookie.

  • Abilitare l'accelerazione grafica hardware
    CSP: AllowVirtualGPU

    • Non configurato (impostazione predefinita)
    • Sì: all'interno della sessione di esplorazione virtuale Application Guard, usare un'unità di elaborazione grafica virtuale per caricare più velocemente i siti Web a elevato utilizzo di grafica.

  • Consentire agli utenti di scaricare i file nell'host
    CSP: SaveFilesToHost

    • Non configurato (impostazione predefinita)
    • Sì : consente agli utenti di scaricare i file dal browser virtualizzato nel sistema operativo host.

  • Application Guard consentire l'accesso alla fotocamera e al microfono
    CSP: AllowCameraMicrophoneRedirection

    • Non configurata (impostazione predefinita): le applicazioni all'interno di Microsoft Defender Application Guard non possono accedere alla fotocamera e al microfono nel dispositivo dell'utente.
    • Sì: le applicazioni all'interno di Microsoft Defender Application Guard possono accedere alla fotocamera e al microfono nel dispositivo dell'utente.
    • No: le applicazioni all'interno di Microsoft Defender Application Guard non possono accedere alla fotocamera e al microfono nel dispositivo dell'utente. Si tratta dello stesso comportamento di Non configurato.

• Application Guard consente la stampa nelle stampanti locali

  • Non configurato (impostazione predefinita)
  • Sì : consente la stampa nelle stampanti locali.

• Application Guard consente la stampa su stampanti di rete

  • Non configurato (impostazione predefinita)
  • Sì : consente la stampa su stampanti di rete.

• Application Guard consente la stampa in FORMATO PDF

  • Non configurato (impostazione predefinita)
  • Sì: consente la stampa in formato PDF.

• Application Guard consente la stampa in XPS

  • Non configurato (impostazione predefinita)
  • Sì : consente di stampare in XPS.

• Application Guard consentire l'uso delle autorità di certificazione radice dal dispositivo dell'utente
  CSP: CertificateThumbprints

  Configurare le identificazioni personali del certificato per trasferire automaticamente il certificato radice corrispondente al contenitore Microsoft Defender Application Guard.

  Per aggiungere le identificazioni personali una alla volta, selezionare Aggiungi. È possibile utilizzare Importa per specificare un file .CSV contenente più voci di identificazione personale che vengono tutte aggiunte al profilo contemporaneamente. Quando si usa un file .CSV, ogni identificazione personale deve essere separata da una virgola. Ad esempio: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

  Tutte le voci elencate nel profilo sono attive. Non è necessario selezionare una casella di controllo per una voce di identificazione personale per renderla attiva. Usare invece le caselle di controllo per gestire le voci aggiunte al profilo. Ad esempio, è possibile selezionare la casella di controllo di una o più voci di identificazione personale del certificato e quindi eliminare tali voci dal profilo con una singola azione.

• Criteri di isolamento della rete Windows

  • Non configurato (impostazione predefinita)
  • Sì : configurare i criteri di isolamento della rete di Windows.

  Se impostato su Sì, è possibile configurare le impostazioni seguenti:

  • Intervalli IP
    Espandere l'elenco a discesa, selezionare Aggiungi, quindi specificare un indirizzo inferiore e quindi un indirizzo superiore.

  • Risorse cloud
    Espandere l'elenco a discesa, selezionare Aggiungi e quindi specificare un indirizzo IP o un FQDN e un proxy.

  • Domini di rete
    Espandere l'elenco a discesa, selezionare Aggiungi e quindi specificare Domini di rete.

  • Server proxy
    Espandere l'elenco a discesa, selezionare Aggiungi e quindi specificare Server proxy.

  • Server proxy interni
    Espandere l'elenco a discesa, selezionare Aggiungi e quindi specificare Server proxy interni.

  • Risorse neutre
    Espandere l'elenco a discesa, selezionare Aggiungi e quindi specificare Risorse neutre.

  • Disabilitare il rilevamento automatico di altri server proxy aziendali

    • Non configurato (impostazione predefinita)
    • Sì : disabilita il rilevamento automatico di altri server proxy aziendali.

  • Disabilitare il rilevamento automatico di altri intervalli IP aziendali

    • Non configurato (impostazione predefinita)
    • Sì : disabilita il rilevamento automatico di altri intervalli IP aziendali.

  Nota

  Dopo aver creato il profilo, tutti i dispositivi a cui devono essere applicati i criteri avranno Microsoft Defender Application Guard abilitati. Gli utenti potrebbero dover riavviare i dispositivi per garantire la protezione.

Profilo di controllo dell'applicazione

controllo applicazione Microsoft Defender

• Controllo dell'applicazione della casella di sicurezza dell'app
  CSP: AppLocker

  • Non configurato (impostazione predefinita)
  • Applicare componenti e app dello Store
  • Componenti di controllo e app dello Store
  • Applicare componenti, app dello Store e Smartlocker
  • Componenti di controllo, app dello Store e Smartlocker

• Impedire agli utenti di ignorare gli avvisi smartscreen
  CSP: SmartScreen/PreventOverrideForFilesInShell

  • Non configurato (impostazione predefinita): gli utenti possono ignorare gli avvisi smartscreen per i file e le app dannose.
  • Sì : SmartScreen è abilitato e gli utenti non possono ignorare gli avvisi per file o app dannose.

• Attivare Windows SmartScreen
  CSP: SmartScreen/EnableSmartScreenInShell

  • Non configurato (impostazione predefinita): restituisce l'impostazione predefinita di Windows, ovvero per abilitare SmartScreen, ma gli utenti possono modificare questa impostazione. Per disabilitare SmartScreen, usare un URI personalizzato.
  • Sì : applicare l'uso di SmartScreen per tutti gli utenti.

Profilo delle regole di riduzione della superficie di attacco

Regole di riduzione della superficie di attacco

Per altre informazioni sulle regole di riduzione della superficie di attacco, vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco nella documentazione di Microsoft 365.

Nota

Questa sezione descrive in dettaglio le impostazioni nei profili delle regole di riduzione della superficie di attacco creati prima del 5 aprile 2022. I profili creati dopo tale data usano un nuovo formato di impostazioni come indicato nel Catalogo impostazioni. Con questa modifica non è più possibile creare nuove versioni del profilo precedente e non sono più in fase di sviluppo. Anche se non è più possibile creare nuove istanze del profilo precedente, è possibile continuare a modificare e usare le istanze di esso create in precedenza.

Per i profili che usano il nuovo formato delle impostazioni, Intune non gestisce più un elenco di ogni impostazione in base al nome. Al contrario, il nome di ogni impostazione, le relative opzioni di configurazione e il testo esplicativo visualizzato nell'interfaccia di amministrazione Microsoft Intune sono tratti direttamente dal contenuto autorevole delle impostazioni. Tale contenuto può fornire altre informazioni sull'uso dell'impostazione nel contesto appropriato. Quando si visualizza un testo delle informazioni sulle impostazioni, è possibile usare il relativo collegamento Altre informazioni per aprire il contenuto.

• Bloccare la persistenza tramite la sottoscrizione di eventi WMI
  Ridurre le superfici di attacco con regole di riduzione della superficie di attacco

  Questa regola di riduzione della superficie di attacco (ASR) viene controllata tramite il GUID seguente: e6db77e5-3df2-4cf1-b95a-636979351e5b

  Questa regola impedisce al malware di abusare di WMI per ottenere la persistenza in un dispositivo. Le minacce senza file usano diverse tattiche per rimanere nascoste, per evitare di essere visualizzate nel file system e per ottenere il controllo periodico dell'esecuzione. Alcune minacce possono abusare del repository WMI e del modello di evento per rimanere nascosti.

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata e la persistenza non è bloccata.
  • Blocca : la persistenza tramite WMI è bloccata.
  • Controllo : valutare in che modo questa regola influisce sull'organizzazione se è abilitata (impostata su Blocca).
  • Disabilita : disattiva questa regola. La persistenza non è bloccata.

  Per altre informazioni su questa impostazione, vedere Bloccare la persistenza tramite la sottoscrizione di eventi WMI.

• Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
  Proteggere i dispositivi dagli exploit

  Questa regola di riduzione della superficie di attacco (ASR) viene controllata tramite il GUID seguente: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Definito dall'utente
  • Abilita : i tentativi di rubare le credenziali tramite lsass.exe sono bloccati.
  • Modalità di controllo : agli utenti non vengono bloccati domini pericolosi e vengono generati eventi di Windows.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.

• Impedire ad Adobe Reader di creare processi figlio
  Ridurre le superfici di attacco con regole di riduzione della superficie di attacco

  Questa regola ASR viene controllata tramite il GUID seguente: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

  • Non configurato (impostazione predefinita): l'impostazione predefinita di Windows viene ripristinata e non blocca la creazione di processi figlio.
  • Definito dall'utente
  • Abilita : a Adobe Reader viene impedito di creare processi figlio.
  • Modalità di controllo : vengono generati eventi di Windows anziché bloccare i processi figlio.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.

• Impedire alle applicazioni di Office di inserire codice in altri processi
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : alle applicazioni di Office viene impedito di inserire codice in altri processi.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Impedire alle applicazioni di Office di creare contenuto eseguibile
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: 3B576869-A4EC-4529-8536-B80A7769E899

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : alle applicazioni di Office viene impedito di creare contenuto eseguibile.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Impedire a tutte le applicazioni di Office di creare processi figlio
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : alle applicazioni di Office viene impedito di creare processi figlio.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Bloccare le chiamate API Win32 dalla macro di Office
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : alle macro di Office viene impedito di usare le chiamate API Win32.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Impedire alle app di comunicazione di Office di creare processi figlio
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: 26190899-1602-49e8-8b27-eb1d0a1ce869.

  • Non configurato (impostazione predefinita): viene ripristinata l'impostazione predefinita di Windows, ovvero non bloccare la creazione di processi figlio.
  • Definito dall'utente
  • Abilita : alle applicazioni di comunicazione di Office viene impedito di creare processi figlio.
  • Modalità di controllo : vengono generati eventi di Windows anziché bloccare i processi figlio.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.

• Blocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps)
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : Defender blocca l'esecuzione di script offuscati.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: D3E037E1-3EB8-44C8-A917-57927947596D

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : Defender blocca l'esecuzione dei file JavaScript o VBScript scaricati da Internet.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Disabilita : questa impostazione è disattivata.

• Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: d1e49aac-8f56-4280-b9ba-993a6d77406c

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : la creazione del processo da parte dei comandi PSExec o WMI è bloccata.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Bloccare i processi non attendibili e non firmati eseguiti da USB
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : i processi non attendibili e non firmati eseguiti da un'unità USB sono bloccati.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Blocca l'esecuzione dei file eseguibili a meno che non soddisfino criteri di prevalenza, età o elenco attendibile
  Proteggere i dispositivi dagli exploit

  Questa regola ASR viene controllata tramite il GUID seguente: 01443614-cd74-433a-b99e-2ecdc07bfc25e

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Bloccare il download di contenuto eseguibile dai client di posta elettronica e webmail
  Proteggere i dispositivi dagli exploit

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Blocca : il contenuto eseguibile scaricato dai client di posta elettronica e webmail è bloccato.
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.
  • Avvisa: per Windows 10 versione 1809 o successiva e Windows 11, l'utente del dispositivo riceve un messaggio che indica che può ignorare Blocco dell'impostazione. Nei dispositivi che eseguono versioni precedenti di Windows 10, la regola applica il comportamento Abilita.
  • Disabilita : questa impostazione è disattivata.

• Usare la protezione avanzata contro il ransomware
  Proteggere i dispositivi dagli exploit

  Questa regola asr viene controllata tramite il GUID seguente: c1db55ab-c21a-4637-bb3f-a12568109d35

  • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita di Windows, disattivata.
  • Definito dall'utente
  • Attivazione
  • Modalità di controllo : gli eventi di Windows vengono generati anziché bloccati.

• Abilitare la protezione delle cartelle
  CSP: EnableControlledFolderAccess

  • Non configurata (impostazione predefinita): questa impostazione torna al valore predefinito, ovvero non vengono bloccate operazioni di lettura o scrittura.
  • Abilita : per le app non attendibili, Defender blocca i tentativi di modificare o eliminare file in cartelle protette o di scrivere in settori disco. Defender determina automaticamente quali applicazioni possono essere considerate attendibili. In alternativa, è possibile definire un elenco personalizzato di applicazioni attendibili.
  • Modalità di controllo : gli eventi di Windows vengono generati quando le applicazioni non attendibili accedono alle cartelle controllate, ma non vengono applicati blocchi.
  • Blocca la modifica del disco : vengono bloccati solo i tentativi di scrittura nei settori del disco.
  • Modifica del disco di controllo : vengono generati eventi di Windows anziché bloccare i tentativi di scrittura nei settori del disco.

• Elenco di cartelle aggiuntive che devono essere protette
  CSP: ControlledFolderAccessProtectedFolders

  Definire un elenco di percorsi del disco che verranno protetti da applicazioni non attendibili.

• Elenco di app che hanno accesso alle cartelle protette
  CSP: ControlledFolderAccessAllowedApplications

  Definire un elenco di app che hanno accesso a operazioni di lettura/scrittura in posizioni controllate.

• Escludere file e percorsi dalle regole di riduzione della superficie di attacco
  CSP: AttackSurfaceReductionOnlyExclusions

  Espandere l'elenco a discesa e quindi selezionare Aggiungi per definire un percorso a un file o a una cartella da escludere dalle regole di riduzione della superficie di attacco.

Profilo di controllo del dispositivo

Controllo dispositivo

Nota

Questa sezione descrive in dettaglio le impostazioni disponibili nei profili di controllo del dispositivo creati prima del 23 maggio 2022. I profili creati dopo tale data usano un nuovo formato di impostazioni come indicato nel Catalogo impostazioni. Anche se non è più possibile creare nuove istanze del profilo originale, è possibile continuare a modificare e usare i profili esistenti.

Per i profili che usano il nuovo formato delle impostazioni, Intune non gestisce più un elenco di ogni impostazione in base al nome. Al contrario, il nome di ogni impostazione, le relative opzioni di configurazione e il testo esplicativo visualizzato nell'interfaccia di amministrazione Microsoft Intune sono tratti direttamente dal contenuto autorevole delle impostazioni. Tale contenuto può fornire altre informazioni sull'uso dell'impostazione nel contesto appropriato. Quando si visualizza un testo delle informazioni sulle impostazioni, è possibile usare il relativo collegamento Altre informazioni per aprire il contenuto.

• Consenti l'installazione del dispositivo hardware in base agli identificatori di dispositivo

  • Non configurato(impostazione predefinita)
  • Sì: Windows può installare o aggiornare qualsiasi dispositivo il cui ID hardware o ID compatibile Plug and Play viene visualizzato nell'elenco creato, a meno che un'altra impostazione dei criteri non impedisca in modo specifico l'installazione. Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
  • No

  Se impostato su Sì , è possibile configurare le opzioni seguenti:

  • Elenco consenti : usare Aggiungi, Importa ed Esporta per gestire un elenco di identificatori di dispositivo.

• Bloccare l'installazione del dispositivo hardware in base agli identificatori di dispositivo
  CSP: AllowInstallationOfMatchingDeviceIDs

  • Non configurato(impostazione predefinita)
  • Sì: specificare un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi a cui è impedito l'installazione di Windows. Questo criterio ha la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo. Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
  • No

  Se impostato su Sì , è possibile configurare le opzioni seguenti:

  • Rimuovere i dispositivi hardware corrispondenti

    • Sì
    • Non configurato(impostazione predefinita)

  • Elenco di blocchi: usare Aggiungi, Importa ed Esporta per gestire un elenco di identificatori di dispositivo.

• Consenti l'installazione del dispositivo hardware per classe di configurazione

  • Non configurato(impostazione predefinita)
  • Sì : Windows può installare o aggiornare i driver di dispositivo i cui GUID della classe di configurazione del dispositivo vengono visualizzati nell'elenco creato, a meno che un'altra impostazione di criteri non impedisca in modo specifico l'installazione. Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
  • No

  Se impostato su Sì , è possibile configurare le opzioni seguenti:

  • Elenco consenti : usare Aggiungi, Importa ed Esporta per gestire un elenco di identificatori di dispositivo.

• Bloccare l'installazione del dispositivo hardware in base alle classi di configurazione
  CSP: AllowInstallationOfMatchingDeviceSetupClasses

  • Non configurato(impostazione predefinita)
  • Sì : specificare un elenco di identificatori univoci globali (GUID) della classe di configurazione del dispositivo per i driver di dispositivo che Windows non può installare. Questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo. Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
  • No

  Se impostato su Sì , è possibile configurare le opzioni seguenti:

  • Rimuovere i dispositivi hardware corrispondenti

    • Sì
    • Non configurato(impostazione predefinita)

  • Elenco di blocchi: usare Aggiungi, Importa ed Esporta per gestire un elenco di identificatori di dispositivo.

• Consentire l'installazione del dispositivo hardware in base agli identificatori di istanza del dispositivo

  • Non configurato(impostazione predefinita)
  • Sì: Windows può installare o aggiornare qualsiasi dispositivo il cui ID dell'istanza del dispositivo Plug and Play viene visualizzato nell'elenco creato, a meno che un'altra impostazione di criterio non impedisca in modo specifico l'installazione. Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
  • No

  Se impostato su Sì , è possibile configurare le opzioni seguenti:

  • Elenco consenti : usare Aggiungi, Importa ed Esporta per gestire un elenco di identificatori di dispositivo.

• Bloccare l'installazione del dispositivo hardware in base agli identificatori di istanza del dispositivo
  Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

  • Non configurato(impostazione predefinita)
  • Sì: specificare un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi a cui è impedito l'installazione di Windows. Questo criterio ha la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo. Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.
  • No

  Se impostato su Sì , è possibile configurare le opzioni seguenti:

  • Rimuovere i dispositivi hardware corrispondenti

    • Sì
    • Non configurato(impostazione predefinita)

  • Elenco di blocchi: usare Aggiungi, Importa ed Esporta per gestire un elenco di identificatori di dispositivo.

• Bloccare l'accesso in scrittura all'archiviazione rimovibile
  CSP: RemovableDiskDenyWriteAccess

  • Non configurato(impostazione predefinita)
  • Sì : l'accesso in scrittura viene negato all'archiviazione rimovibile.
  • No : l'accesso in scrittura è consentito.

• Analizzare le unità rimovibili durante l'analisi completa
  CSP: Defender/AllowFullScanRemovableDriveScanning

  • Non configurata (impostazione predefinita): l'impostazione torna al valore predefinito del client, che analizza le unità rimovibili, ma l'utente può disabilitare l'analisi.
  • Sì : durante un'analisi completa, vengono analizzate le unità rimovibili (come le unità flash USB).

• Bloccare l'accesso diretto alla memoria
  CSP: DataProtection/AllowDirectMemoryAccess

  Questa impostazione di criterio viene applicata solo quando BitLocker o la crittografia del dispositivo è abilitata.

  • Non configurato (impostazione predefinita)
  • Sì : blocca l'accesso diretto alla memoria (DMA) per tutte le porte downstream PCI collegabili a caldo fino a quando un utente non accede a Windows. Dopo l'accesso di un utente, Windows enumera i dispositivi PCI connessi alle porte PCI del plug host. Ogni volta che l'utente blocca il computer, DMA viene bloccato sulle porte PCI con connessione a caldo senza dispositivi figlio fino a quando l'utente non accede di nuovo. I dispositivi già enumerati quando il computer è stato sbloccato continueranno a funzionare fino a quando non vengono scollegate.

• Enumerazione di dispositivi esterni incompatibili con la protezione DMA del kernel
  CSP: DmaGuard/DeviceEnumerationPolicy

  Questo criterio può offrire sicurezza aggiuntiva rispetto ai dispositivi con supporto DMA esterni. Consente un maggiore controllo sull'enumerazione dei dispositivi esterni compatibili con DMA incompatibili con la modifica del mapping DMA/l'isolamento della memoria del dispositivo e il sandboxing.

  Questo criterio entra in vigore solo quando la protezione DMA del kernel è supportata e abilitata dal firmware di sistema. Kernel DMA Protection è una funzionalità della piattaforma che deve essere supportata dal sistema al momento della produzione. Per verificare se il sistema supporta la protezione DMA kernel, controllare il campo Protezione DMA kernel nella pagina Riepilogo di MSINFO32.exe.

  • Non configurato - (impostazione predefinita)
  • Blocca tutto
  • Consenti tutto

• Bloccare le connessioni Bluetooth
  CSP: Bluetooth/AllowDiscoverableMode

  • Non configurato (impostazione predefinita)
  • Sì : blocca le connessioni Bluetooth da e verso il dispositivo.

• Bloccare l'individuabilità bluetooth
  CSP: Bluetooth/AllowDiscoverableMode

  • Non configurato (impostazione predefinita)
  • Sì : impedisce al dispositivo di essere individuabile da altri dispositivi abilitati per Bluetooth.

• Bloccare la preaccoppiazione bluetooth
  CSP: Bluetooth/AllowPrepairing

  • Non configurato (impostazione predefinita)
  • Sì : impedisce l'associazione automatica di dispositivi Bluetooth specifici al dispositivo host.

• Bloccare la pubblicità bluetooth
  CSP: Bluetooth/AllowAdvertising

  • Non configurato (impostazione predefinita)
  • Sì : impedisce al dispositivo di inviare annunci Bluetooth.

• Bloccare le connessioni bluetooth prossimale
  CSP: Bluetooth/AllowPromptedProximalConnections Impedisce agli utenti di usare la coppia Swift e altri scenari basati sulla prossimità

  • Non configurato (impostazione predefinita)
  • Sì : impedisce a un utente del dispositivo di usare La coppia Swift e altri scenari basati sulla prossimità.

  Bluetooth/AllowPromptedProximalConnections CSP

• Servizi bluetooth consentiti
  CSP: Bluetooth/ServicesAllowedList.
  Per altre informazioni sull'elenco dei servizi, vedere Guida all'utilizzo di ServicesAllowedList

  • Aggiungi : specificare i servizi e i profili Bluetooth consentiti come stringhe esadecimali, ad {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}esempio .
  • Importazione : importare un file .csv che contiene un elenco di servizi e profili Bluetooth, come stringhe esadecimali, ad esempio {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

• Archivi rimovibili
  CSP: Archiviazione/RemovableDiskDenyWriteAccess

  • Blocca (impostazione predefinita): impedisce agli utenti di usare dispositivi di archiviazione esterni, ad esempio le schede SD con il dispositivo.
  • Non configurata

• Connessioni USB (solo HoloLens)
  CSP: Connectivity/AllowUSBConnection

  • Blocca : impedisce l'uso di una connessione USB tra il dispositivo e un computer per sincronizzare i file o per usare gli strumenti di sviluppo per distribuire o eseguire il debug di applicazioni. La ricarica USB non è interessata.
  • Non configurato (impostazione predefinita)

Profilo di protezione dagli exploit

Protezione dagli exploit

Nota

Questa sezione descrive in dettaglio le impostazioni disponibili in Profili di protezione dagli exploit creati prima del 5 aprile 2022. I profili creati dopo tale data usano un nuovo formato di impostazioni come indicato nel Catalogo impostazioni. Con questa modifica non è più possibile creare nuove versioni del profilo precedente e non sono più in fase di sviluppo. Anche se non è più possibile creare nuove istanze del profilo precedente, è possibile continuare a modificare e usare le istanze di esso create in precedenza.

Per i profili che usano il nuovo formato delle impostazioni, Intune non gestisce più un elenco di ogni impostazione in base al nome. Al contrario, il nome di ogni impostazione, le relative opzioni di configurazione e il testo esplicativo visualizzato nell'interfaccia di amministrazione Microsoft Intune sono tratti direttamente dal contenuto autorevole delle impostazioni. Tale contenuto può fornire altre informazioni sull'uso dell'impostazione nel contesto appropriato. Quando si visualizza un testo delle informazioni sulle impostazioni, è possibile usare il relativo collegamento Altre informazioni per aprire il contenuto.

• Caricare XML
  CSP: ExploitProtectionSettings

  Consente all'amministratore IT di eseguire il push di una configurazione che rappresenta le opzioni di mitigazione del sistema e delle applicazioni desiderate in tutti i dispositivi dell'organizzazione. La configurazione è rappresentata da un file XML. La protezione dagli exploit può aiutare a proteggere i dispositivi da malware che usano exploit per diffondersi e infettare. Si utilizza l’app Sicurezza di Windows o PowerShell per creare un set di mitigazioni (noto come configurazione). È quindi possibile esportare questa configurazione come file XML e condividerla con più computer nella rete in modo che abbiano tutti lo stesso set di impostazioni di mitigazione. È anche possibile convertire e importare un file XML di configurazione EMET esistente in un xml di configurazione della protezione dagli exploit.

  Scegliere Seleziona file XML, specificare il caricamento del filet XML e quindi fare clic su Seleziona.

  • Non configurato (impostazione predefinita)
  • Sì

• Impedire agli utenti di modificare l'interfaccia di protezione di Exploit Guard
  CSP: DisallowExploitProtectionOverride

  • Non configurato (impostazione predefinita): gli utenti locali possono apportare modifiche nell'area impostazioni di protezione dagli exploit.
  • Sì: impedire agli utenti di apportare modifiche all'area delle impostazioni di protezione dagli exploit nel Microsoft Defender Security Center.

Profilo di protezione Web (Versione legacy di Microsoft Edge)

Protezione Web (Versione legacy di Microsoft Edge)

• Abilitare la protezione di rete
  CSP: EnableNetworkProtection

  • Non configurato (impostazione predefinita): l'impostazione torna al valore predefinito di Windows, che è disabilitato.
  • Definito dall'utente
  • Abilita : la protezione di rete è abilitata per tutti gli utenti del sistema.
  • Modalità di controllo : agli utenti non vengono bloccati domini pericolosi e vengono generati eventi di Windows.

• Richiedi SmartScreen per Microsoft Edge
  CSP: Browser/AllowSmartScreen

  • Sì : usare SmartScreen per proteggere gli utenti da potenziali truffe di phishing e software dannoso.
  • Non configurato (impostazione predefinita)

• Bloccare l'accesso a siti dannosi
  CSP: Browser/PreventSmartScreenPromptOverride

  • Sì: impedisce agli utenti di ignorare gli avvisi del filtro SmartScreen Microsoft Defender e impedire loro di passare al sito.
  • Non configurato (impostazione predefinita)

• Blocca il download di file non verificato
  CSP: Browser/PreventSmartScreenPromptOverrideForFiles

  • Sì: impedisce agli utenti di ignorare gli avvisi del filtro SmartScreen Microsoft Defender e impedire loro di scaricare file non verificati.
  • Non configurato (impostazione predefinita)

Riduzione della superficie di attacco (ConfigMgr)

Profilo protezione dagli exploit (ConfigMgr)(anteprima)

Protezione dagli exploit

• Caricare XML
  CSP: ExploitProtectionSettings

  Consente all'amministratore IT di eseguire il push di una configurazione che rappresenta le opzioni di mitigazione del sistema e delle applicazioni desiderate in tutti i dispositivi dell'organizzazione. La configurazione è rappresentata da un file XML. La protezione dagli exploit può aiutare a proteggere i dispositivi da malware che usano exploit per diffondersi e infettare. Si utilizza l’app Sicurezza di Windows o PowerShell per creare un set di mitigazioni (noto come configurazione). È quindi possibile esportare questa configurazione come file XML e condividerla con più computer nella rete in modo che abbiano tutti lo stesso set di impostazioni di mitigazione. È anche possibile convertire e importare un file XML di configurazione EMET esistente in un xml di configurazione della protezione dagli exploit.

  Scegliere Seleziona file XML, specificare il caricamento del filet XML e quindi fare clic su Seleziona.

• Non consentire l'override di Protezione dagli exploit
  CSP: DisallowExploitProtectionOverride

  • Non configurato (impostazione predefinita)
  • (Disabilita) Gli utenti locali possono apportare modifiche nell'area delle impostazioni di protezione dagli exploit.
  • (Abilita) Gli utenti locali non possono apportare modifiche all'area delle impostazioni di protezione dagli exploit

Profilo protezione Web (ConfigMgr)(anteprima)

Protezione Web

• Abilitare protezione di rete (dispositivo)
  CSP: EnableNetworkProtection

  • Non configurato (impostazione predefinita)
  • Disabled
  • Abilitato (modalità blocco)
  • Abilitato (modalità di controllo)

• Consenti smart screen (dispositivo)
  CSP: Browser/AllowSmartScreen

  • Non configurato (impostazione predefinita)
  • Blocca
  • Consenti

• Impedire l'override del prompt dello schermo intelligente per i file (dispositivo)
  CSP: Browser/PreventSmartScreenPromptOverride

  • Non configurato (impostazione predefinita)
  • Disabled
  • Enabled

• Impedisci sostituzione prompt smart screen (dispositivo)
  CSP: Browser/PreventSmartScreenPromptOverrideForFiles

  • Non configurato (impostazione predefinita)
  • Disabled
  • Enabled

Passaggi successivi

Criteri di sicurezza degli endpoint per asr