Abilitare il blocco al primo rilevamento
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
Questo articolo descrive una funzionalità antivirus/antimalware nota come blocco al primo rilevamento e descrive come abilitarla per l'organizzazione.
Consiglio
Questo articolo è destinato agli amministratori aziendali e ai professionisti IT che gestiscono le impostazioni di sicurezza per le organizzazioni. Se non si è un amministratore aziendale o un professionista IT, ma si hanno domande sul blocco a prima vista, vedere la sezione Non è un amministratore aziendale o un professionista IT .
Cos'è il blocco al primo rilevamento?
Il blocco al primo rilevamento è una funzionalità di protezione dalle minacce di nuova generazione, che rileva il nuovo malware e lo blocca entro pochi secondi. Blocca al primo rilevamento è abilitato quando sono abilitate determinate impostazioni di sicurezza:
- La protezione cloud è attivata;
- L'invio di esempi è configurato per l'invio automatico degli esempi; e
- Microsoft Defender Antivirus è aggiornato nei dispositivi.
Nella maggior parte delle organizzazioni aziendali, le impostazioni necessarie per abilitare il blocco al primo rilevamento sono configurate con le distribuzioni di Antivirus Microsoft Defender. Vedere Attivare la protezione cloud in Microsoft Defender Antivirus.
Come funziona
Quando Antivirus Microsoft Defender incontra un file sospetto, ma non rilevato, interroga il back-end per la protezione cloud. Il back-end cloud applica l'euristica, l'apprendimento automatico e l'analisi automatica del file per determinare se i file sono dannosi o se non si tratta di una minaccia.
Antivirus Microsoft Defender usa più tecnologie di rilevamento e prevenzione per offrire una protezione accurata, in tempo reale e intelligente.
Consiglio
Per altre informazioni, vedere (Blog) Informazioni sulle tecnologie avanzate al centro della protezione di Microsoft Defender per endpoint di nuova generazione.
Alcune informazioni da conoscere sul blocco al primo rilevamento
Blocca al primo rilevamento può bloccare i file eseguibili non portabili (ad esempio JS, VBS o macro) e i file eseguibili, eseguendo la piattaforma antimalware Defender più recente in Windows o Windows Server.
Il blocco al primo rilevamento usa solo il back-end per la protezione cloud per i file eseguibili e i file eseguibili non di tipo PE scaricati da Internet o che provengono dall'area Internet. Un valore hash del
.exe
file viene controllato tramite il back-end cloud per determinare se il file è un file non rilevato in precedenza.Se il back-end cloud non è in grado di eseguire questa operazione, Antivirus Microsoft Defender blocca il file e carica una copia nel cloud. Il cloud effettua ulteriori analisi per raggiungere una decisione prima di consentire l'esecuzione o bloccare il file in tutti i futuri incontri, a seconda che sia ritenuto dannoso o sicuro.
In molti casi questo processo può ridurre il tempo di risposta per il nuovo malware da ore a secondi.
È possibile specificare per quanto tempo deve essere impedita l'esecuzione del file mentre il servizio di protezione basato sul cloud lo analizza. Inoltre, si può personalizzare il messaggio visualizzato sui desktop degli utenti quando viene bloccato un file. È possibile modificare il nome della società, le informazioni di contatto e l'URL del messaggio.
Attivare il blocco al primo rilevamento con Microsoft Intune
Nell'interfaccia di amministrazione di Microsoft Intune (https://intune.microsoft.com), passare a Endpoint Security>Antivirus.
Selezionare un criterio esistente o crearne uno nuovo usando il tipo di profilo Antivirus Microsoft Defender. Nell'esempio è stato selezionato Windows 10, Windows 11 o Windows Server per la piattaforma.
Impostare Consenti protezione cloud su Consentito. Attiva Cloud Protection.
Scorrere verso il basso fino a Inviare il consenso degli esempi e selezionare una delle impostazioni seguenti:
- Inviare tutti gli esempi automaticamente
- Inviare automaticamente campioni sicuri
Applicare il profilo Antivirus Microsoft Defender a un gruppo, ad esempio Tutti gli utenti, Tutti i dispositivi o Tutti gli utenti e i dispositivi.
Abilitare il blocco al primo rilevamento con Criteri di gruppo
Nota
È consigliabile usare Intune o Microsoft Configuration Manager per attivare il blocco al primo rilevamento.
Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.
Usando l'Editor Gestione Criteri di gruppo passare a Configurazione computer>Modelli amministrativi>Componenti di Windows>Antivirus Microsoft Defender>MAPS.
Nella sezione MAPS fare doppio clic su Configura la funzionalità 'Blocco al primo rilevamento'e impostarla su Abilitato, quindi scegliere OK.
Importante
Impostando Richiedi sempre conferma (0) verrà ridotto il livello di protezione del dispositivo. Impostando Non inviare mai (2), il blocco al primo rilevamento non funzionerà.
Nella sezione MAPS fare doppio clic su Invia campioni di file se sono necessarie ulteriori analisie impostarlo su Abilitato. In Invia campioni di file se sono necessarie ulteriori analisi selezionare Invia tutti i campionie quindi fare clic su OK.
Ridistribuire l'oggetto Criteri di gruppo nella rete nel modo consueto.
Confermare l'abilitazione della funzionalità di blocco al primo rilevamento in singoli dispositivi client
È possibile verificare che il blocco al primo rilevamento sia abilitato nei singoli dispositivi client usando l'app Sicurezza di Windows. Il blocco al primo rilevamento viene abilitato automaticamente purché siano attivate le opzioni Protezione fornita dal cloud e Invio automatico di file di esempio.
Aprire l'app Sicurezza di Windows.
Selezionare Protezione da virus e minacce, quindi inImpostazioni di Protezione da virus e minacce selezionare Gestisci impostazioni.
Verificare che le opzioni Protezione fornita dal cloud e Invio automatico di file di esempio siano entrambe abilitate.
Nota
- Se le impostazioni dei prerequisiti vengono configurate e distribuite tramite Criteri di gruppo, le impostazioni descritte in questa sezione non saranno disponibili per l'uso nei singoli endpoint.
- Le modifiche apportate tramite un oggetto Criteri di gruppo devono essere distribuite nei singoli endpoint prima che l'impostazione venga aggiornata nelle impostazioni di Windows.
Disabilitare il blocco al primo rilevamento
Attenzione
Disabilitando il blocco al primo rilevamento si ridurrà lo stato di protezione dei dispositivi e della rete. Non è consigliabile disabilitare definitivamente la protezione del blocco al primo rilevamento.
Disattiva blocco al primo rilevamento con Microsoft Intune
Passare all'interfaccia di amministrazione di Microsoft Intune (https://intune.microsoft.com) e accedere.
Passare a Sicurezza endpoint>Antivirus e quindi selezionare il criterio di Antivirus Microsoft Defender.
In Gestisci scegliere Proprietà.
Accanto a Impostazioni di configurazione scegliere Modifica.
Impostare Consenti protezione cloud su Non consentito. Disattiva Cloud Protection.
Rivedere e salvare le impostazioni.
Disabilitare il blocco al primo rilevamento con Criteri di gruppo
Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.
Usando l'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.
Espandere l'albero fino a visualizzare Componenti di Windows>Antivirus Microsoft Defender>MAPS.
Fai doppio clic su Configura la funzionalità 'Blocco al primo rilevamento' e impostare l'opzione su Disabilitata.
Nota
La disattivazione del blocco al primo rilevamento non disabilita né altera i Criteri di gruppo prerequisiti.
Non si è un amministratore aziendale o un professionista IT?
Se non si è un amministratore aziendale o un professionista IT, ma si hanno domande sul blocco al primo rilevamento, questa è la sezione giusta. Il blocco al primo rilevamento è una funzionalità di protezione dalle minacce che rileva e blocca il malware nel giro di pochi secondi. Anche se non esiste una specifica impostazione denominata "Blocco al primo rilevamento", la funzionalità viene abilitata quando nel dispositivo vengono configurate determinate impostazioni.
Come gestire il blocco al primo rilevamento nel proprio dispositivo
Se si ha un dispositivo personale non gestito da un'organizzazione, può essere utile sapere come attivare o disattivare il blocco al primo rilevamento. A questo scopo si può usare l'app Sicurezza di Windows.
Nel computer Windows 10 o Windows 11 aprire l'app Sicurezza di Windows.
Selezionare Protezione da virus e minacce.
In Impostazioni di Protezione da virus e minacce selezionare Gestisci impostazioni.
Eseguire una delle operazioni seguenti:
Per attivare il blocco al primo rilevamento, verificare che siano abilitate entrambe le opzioni Protezione fornita dal cloud e Invio automatico di file di esempio.
Per disattivare il blocco al primo rilevamento, disabilitare Protezione fornita dal cloud e Invio automatico di file di esempio.
Attenzione
Disattivando il blocco al primo rilevamento si riduce il livello di protezione del dispositivo. Non è consigliabile disabilitare la protezione del blocco al primo rilevamento in modo permanente.
Vedere anche
- Antivirus Microsoft Defender in Windows 10
- Abilitare la protezione fornita dal cloud
- Restare protetti con Sicurezza di Windows
- Aggiungere dispositivi non Windows
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.