Attivare la protezione di rete

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR
• Microsoft Defender per server
• Antivirus Microsoft Defender

Piattaforme

• Windows
• Linux (vedere Protezione di rete per Linux)
• macOS (vedere Protezione di rete per macOS)

Consiglio

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

La protezione di rete consente di impedire ai dipendenti di usare qualsiasi applicazione per accedere a domini pericolosi che potrebbero ospitare truffe di phishing, exploit e altri contenuti dannosi su Internet. È possibile controllare la protezione di rete in un ambiente di test per visualizzare quali app verrebbero bloccate prima di abilitare la protezione di rete.

Altre informazioni sulle opzioni di configurazione del filtro di rete.

Abilitare la protezione di rete

Per abilitare la protezione di rete, è possibile usare uno dei metodi descritti in questo articolo.

gestione delle impostazioni di sicurezza Microsoft Defender per endpoint

Creare criteri di sicurezza degli endpoint

1. Accedere al portale di Microsoft Defender usando almeno un ruolo di amministratore della sicurezza assegnato.

2. Passare a Criteri disicurezza degli endpointdi gestione della configurazione> degli endpoint> e quindi selezionare Crea nuovi criteri.

3. In Seleziona piattaforma selezionare Windows 10, Windows 11 e Windows Server.

4. In Seleziona modello selezionare Microsoft Defender Antivirus e quindi selezionare Crea criterio.

5. Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo, quindi scegliere Avanti.

6. Nella pagina Impostazioni espandere ogni gruppo di impostazioni e configurare le impostazioni da gestire con questo profilo.

   • Protezione di rete nei client Windows:

     Descrizione	Impostazione
     Abilitare la protezione di rete	Opzioni: - La modalità blocco abilitata (modalità blocco) è necessaria per bloccare gli indicatori di indirizzo IP/URL e il filtro contenuto Web. - Abilitato (modalità di controllo) - Disabilitato (impostazione predefinita) - Non configurato

   • Protezione di rete in Windows Server 2012 R2 e Windows Server 2016, usare i criteri aggiuntivi elencati nella tabella seguente:

     Descrizione	Impostazione
     Consenti livello di protezione di rete inattivo	Opzioni: - La protezione di rete verrà abilitata a livello inferiore. - Protezione di rete verrà disabilitata a livello inferiore. (Predefinito) - Non configurato

   • Impostazioni di protezione di rete facoltative per Windows e Windows Server:

     Avviso

     Disabilitare l'impostazione Allow Datagram Processing On WinServer . Ciò è importante per tutti i ruoli che generano volumi elevati di traffico UDP, ad esempio controller di dominio, server DNS Windows, file server Windows, server Microsoft SQL, server Microsoft Exchange e altri. L'abilitazione dell'elaborazione dei datagrammi in questi casi può ridurre le prestazioni e l'affidabilità della rete. La disabilitazione consente di mantenere stabile la rete e garantisce un migliore uso delle risorse di sistema in ambienti a richiesta elevata.

     Descrizione	Impostazione
     Consenti elaborazione datagramma in Win Server	- L'elaborazione dei datagrammi in Windows Server è abilitata. - L'elaborazione del datagramma in Windows Server è disabilitata (impostazione predefinita, consigliata). - Non configurato
     Disabilitare l'analisi DNS su TCP	- L'analisi DNS su TCP è disabilitata. - L'analisi DNS su TCP è abilitata (impostazione predefinita). - Non configurato
     Disabilitare l'analisi HTTP	- L'analisi HTTP è disabilitata. - L'analisi HTTP è abilitata (impostazione predefinita). - Non configurato
     Disabilitare l'analisi SSH	- L'analisi SSH è disabilitata. - L'analisi SSH è abilitata (impostazione predefinita). - Non configurato
     Disabilitare l'analisi TLS	- L'analisi TLS è disabilitata. - L'analisi TLS è abilitata (impostazione predefinita). - Non configurato
     [Deprecato]Abilitare sinkhole DNS	- Sinkhole DNS disabilitato. - Sinkhole DNS abilitato. (Predefinito) - Non configurato

7. Al termine della configurazione delle impostazioni, selezionare Avanti.

8. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Quindi, scegliere Avanti.

9. Nella pagina Rivedi e crea esaminare le informazioni e quindi selezionare Salva.

   Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Microsoft Intune

Microsoft Defender per endpoint metodo Baseline

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Passare aBaseline> sicurezza endpoint>Microsoft Defender per endpoint baseline.

3. Selezionare Crea un profilo, quindi specificare un nome per il profilo e quindi selezionare Avanti.

4. Nella sezione Impostazioni di configurazione passare a Regole > di riduzione della superficie di attacco impostare Blocco, Abilita o Controlla per Abilita protezione di rete. Seleziona Avanti.

5. Selezionare i tag di ambito e le assegnazioni appropriati come richiesto dall'organizzazione.

6. Esaminare tutte le informazioni e quindi selezionare Crea.

Metodo dei criteri antivirus

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Passare aEndpoint Security Antivirus.Go to Endpoint security> Antivirus.

3. Selezionare Crea un criterio.

4. Nel riquadro a comparsa Crea un criterio scegliere Windows 10, Windows 11 e Windows Server dall'elenco Piattaforma.

5. Scegliere Microsoft Defender Antivirus dall'elenco Profilo e quindi scegliere Crea.

6. Specificare un nome per il profilo e quindi selezionare Avanti.

7. Nella sezione Impostazioni di configurazione selezionare Disabilitato, Abilitato (modalità blocco) o Abilitato (modalità di controllo) per Abilita protezione di rete, quindi selezionare Avanti.

8. Selezionare i tag assegnazioni e ambito appropriati come richiesto dall'organizzazione.

9. Esaminare tutte le informazioni e quindi selezionare Crea.

Metodo del profilo di configurazione

1. Accedere all'interfaccia di amministrazione Microsoft Intune (https://intune.microsoft.com).

2. Passare a Profilidi configurazionedei dispositivi>>Crea profilo.

3. Nel riquadro a comparsa Crea un profilo selezionare Piattaforma e scegliere Tipo di profilo come modelli.

4. In Nome modello scegliere Endpoint Protection dall'elenco di modelli e quindi selezionare Crea.

5. Passare aInformazioni di base suEndpoint Protection>, specificare un nome per il profilo e quindi selezionare Avanti.

6. Nella sezione Impostazioni di configurazione passare a Microsoft Defender Exploit GuardNetwork filtering Network protection>Enable or Audit (Abilita o controllaprotezione rete> di Exploit Guard>). Seleziona Avanti.

7. Selezionare i tag di ambito, le assegnazioni e le regole di applicabilità appropriati come richiesto dall'organizzazione. Gli amministratori possono impostare altri requisiti.

8. Esaminare tutte le informazioni e quindi selezionare Crea.

Gestione di dispositivi mobili (MDM)

1. Usare il provider di servizi di configurazione EnableNetworkProtection (CSP) per attivare o disattivare la protezione di rete o per abilitare la modalità di controllo.

2. Aggiornare Microsoft Defender piattaforma antimalware alla versione più recente prima di attivare o disattivare la protezione di rete.

Criteri di gruppo

Usare la procedura seguente per abilitare la protezione di rete nei computer aggiunti a un dominio o in un computer autonomo.

1. In un computer autonomo passare a Start , quindi digitare e selezionare Modifica criteri di gruppo.

   -O-

   In un computer di gestione Criteri di gruppo aggiunto a un dominio aprire Criteri di gruppo Management Console. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

2. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

3. Espandere l'albero in Componenti> di Windows Microsoft Defender Antivirus> Microsoft Defenderprotezione della reteexploit guard>.

   Nelle versioni precedenti di Windows, il percorso di Criteri di gruppo potrebbe avere Windows Antivirus Defender anziché Microsoft Defender Antivirus.

4. Fare doppio clic sull'impostazione Impedisci agli utenti e alle app di accedere a siti Web pericolosi e impostare l'opzione su Abilitato. Nella sezione opzioni è necessario specificare una delle opzioni seguenti:

   • Blocca : gli utenti non possono accedere a domini e indirizzi IP dannosi.
   • Disabilita (impostazione predefinita): la funzionalità protezione rete non funzionerà. Agli utenti non viene impedito l'accesso a domini dannosi.
   • Modalità di controllo : se un utente visita un dominio o un indirizzo IP dannoso, viene registrato un evento nel registro eventi di Windows. Tuttavia, all'utente non verrà impedito di visitare l'indirizzo.

   Importante

   Per abilitare completamente la protezione di rete, è necessario impostare l'opzione Criteri di gruppo su Abilitato e selezionare Blocca anche nel menu a discesa opzioni.

5. Questo passaggio è facoltativo. Seguire la procedura descritta in Verificare se la protezione di rete è abilitata per verificare che le impostazioni di Criteri di gruppo siano corrette.

Microsoft Configuration Manager

1. Aprire la console di Service Manager.

2. Passare ad Asset e conformità>Endpoint Protection>Windows Defender Exploit Guard.

3. Selezionare Crea criteri di Exploit Guard dalla barra multifunzione per creare un nuovo criterio.

   • Per modificare un criterio esistente, selezionare il criterio, quindi selezionare Proprietà dalla barra multifunzione o dal menu di scelta rapida. Modificare l'opzione Configura protezione di rete dalla scheda Protezione rete .

4. Nella pagina Generale specificare un nome per i nuovi criteri e verificare che l'opzione Protezione di rete sia abilitata.

5. Nella pagina Protezione di rete selezionare una delle impostazioni seguenti per l'opzione Configura protezione di rete :

   • Blocca
   • Audit
   • Disabled

6. Completare il resto dei passaggi e salvare i criteri.

7. Nella barra multifunzione selezionare Distribuisci per distribuire i criteri in una raccolta.

PowerShell

1. Nel dispositivo Windows fare clic su Start, digitare powershell, fare clic con il pulsante destro del mouse su Windows PowerShell e quindi scegliere Esegui come amministratore.

2. Eseguire il seguente cmdlet:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. Per Windows Server, usare i comandi aggiuntivi elencati nella tabella seguente:

   Versione di Windows Server	Comandi
   Windows Server 2019 e versioni successive	set-mpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2 con l'agente unificato per Microsoft Defender per endpoint	set-MpPreference -AllowNetworkProtectionDownLevel $true set-MpPreference -AllowNetworkProtectionOnWinServer $true

Importante

Disabilitare l'impostazione "AllowDatagramProcessingOnWinServer". Ciò è importante per tutti i ruoli che generano volumi elevati di traffico UDP, ad esempio controller di dominio, server DNS Windows, file server Windows, server Microsoft SQL, server Microsoft Exchange e altri. L'abilitazione dell'elaborazione dei datagrammi in questi casi può ridurre le prestazioni e l'affidabilità della rete. La disabilitazione consente di mantenere stabile la rete e garantisce un migliore uso delle risorse di sistema in ambienti a richiesta elevata.

1. Questo passaggio è facoltativo. Per impostare la protezione di rete in modalità di controllo, usare il cmdlet seguente:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   Per disattivare la protezione di rete, usare il Disabled parametro anziché AuditMode o Enabled.

Verificare se la protezione di rete è abilitata

È possibile usare Editor del Registro di sistema per controllare lo stato della protezione di rete.

1. Selezionare il pulsante Start nella barra delle applicazioni e digitare regedit. Nell'elenco dei risultati selezionare Editor del Registro di sistema per aprirlo.

2. Scegliere HKEY_LOCAL_MACHINE dal menu laterale.

3. Passare dai menu annidati aCriteri>SOFTWARE>Microsoft>Windows Defender>Policy Manager.

   Se la chiave non è presente, passare a SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

4. Selezionare EnableNetworkProtection per visualizzare lo stato corrente della protezione di rete nel dispositivo:

   • 0 o Disattivato
   • 1 o Attivato
   • 2 o modalità di controllo

   

Informazioni importanti sulla rimozione delle impostazioni di Exploit Guard da un dispositivo

Quando si distribuiscono criteri di Exploit Guard usando Configuration Manager, le impostazioni rimangono nel client anche se in seguito si rimuove la distribuzione. Se la distribuzione viene rimossa, i log Delete client non sono supportati nel ExploitGuardHandler.log file.

Usare lo script di PowerShell seguente nel SYSTEM contesto per rimuovere correttamente le impostazioni di Exploit Guard:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Vedere anche

• Protezione di rete

• Protezione di rete per Linux

• Protezione di rete per macOS

• Protezione di rete e handshake a tre vie TCP

• Valutare la protezione di rete

• Risolvere i problemi di protezione di rete

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.