Valutare Microsoft Defender antivirus usando Microsoft Defender Gestione delle impostazioni di sicurezza degli endpoint (criteri di sicurezza degli endpoint)
In Windows 10 o versioni successive e in Windows Server 2016 o versioni successive è possibile usare le funzionalità di protezione di nuova generazione offerte da Microsoft Defender Antivirus (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).
Questo articolo descrive le opzioni di configurazione disponibili in Windows 10 e versioni successive, nonché in Windows Server 2016 e versioni successive. Fornisce indicazioni dettagliate su come attivare e testare le principali funzionalità di protezione in Microsoft Defender Antivirus (MDAV) e Microsoft Defender per endpoint (EG).
Se si hanno domande su un rilevamento eseguito da MDAV o si rileva un rilevamento perso, è possibile inviare un file al sito della Guida per l'invio di esempio.
Usare Microsoft Defender Gestione delle impostazioni di sicurezza degli endpoint (criteri di sicurezza degli endpoint) per abilitare le funzionalità
Questa sezione descrive la Microsoft Defender per endpoint Gestione delle impostazioni di sicurezza (criteri di sicurezza degli endpoint) che configurano le funzionalità da usare per valutare la protezione.
MDAV indica un rilevamento tramite notifiche windows standard. È anche possibile esaminare i rilevamenti nell'app MDAV. A tale scopo, vedere Esaminare Microsoft Defender risultati dell'analisi antivirus.
Il registro eventi di Windows registra anche il rilevamento e gli eventi del motore. Per un elenco degli ID evento e delle azioni corrispondenti, vedere l'articolo Microsoft Defender Eventi antivirus. Per informazioni sull'elenco degli ID evento e sulle azioni corrispondenti, vedere Esaminare i log eventi e i codici di errore per risolvere i problemi relativi a Microsoft Defender Antivirus.
Per configurare le opzioni che è necessario usare per testare le funzionalità di protezione, seguire questa procedura:
Accedere a Microsoft Defender XDR.
Passare a Endpoints > Configuration management > Endpoint security policies > (Criteri di sicurezza degli endpoint) Criteri > di Windows Create new policy (Crea nuovi criteri).
Selezionare Windows 10, Windows 11 e Windows Server dall'elenco a discesa Seleziona piattaforma.
Selezionare Microsoft Defender Antivirus dall'elenco a discesa Seleziona modello.
Selezionare Crea criterio. Verrà visualizzata la pagina Crea un nuovo criterio .
Nella pagina Informazioni di base immettere rispettivamente un nome e una descrizione per il profilo nei campi Nome e Descrizione .
Seleziona Avanti.
Nella pagina Impostazioni di configurazione espandere i gruppi di impostazioni.
Da questi gruppi di impostazioni selezionare le impostazioni che si desidera gestire con questo profilo.
Impostare i criteri per i gruppi di impostazioni scelti configurando le impostazioni come descritto nelle tabelle seguenti:
Protezione in tempo reale (protezione always-on, analisi in tempo reale):
Descrizione Impostazioni Consenti monitoraggio in tempo reale Consentito Direzione analisi in tempo reale Monitorare tutti i file (bidirezionale) Consenti monitoraggio del comportamento Consentito Consenti la protezione dall'accesso Consentito Protezione PUA Protezione PUA in Funzionalità di protezione del cloud:
Descrizione Impostazione Consenti Cloud Protection Consentito Livello blocco cloud Fortemente Timeout esteso del cloud Configurato, 50 Invia il consenso degli esempi Inviare tutti gli esempi automaticamente
Standard gli aggiornamenti dell'intelligence di sicurezza possono richiedere ore per la preparazione e la distribuzione; il servizio di protezione fornito dal cloud può offrire questa protezione in pochi secondi. Per altre informazioni, vedere Usare tecnologie di nuova generazione in Microsoft Defender Antivirus tramite la protezione fornita dal cloud.
Analisi:
| Descrizione | Impostazione |
|---|---|
| Consenti analisi Email | Consentito |
| Consenti l'analisi di tutti i file e gli allegati scaricati | Consentito |
| Consenti analisi script | Consentito |
| Consenti analisi Archivio | Consentito |
| Consenti analisi dei file di rete | Consentito |
| Consentire l'analisi completa dell'unità rimovibile | Consentito |
Protezione di rete:
| Descrizione | Impostazione |
|---|---|
| Abilitare la protezione di rete | Abilitato (modalità blocco) |
| Consenti livello di protezione di rete inattivo | La protezione di rete è abilitata a livello inferiore. |
| Consenti elaborazione datagramma in Win Server | L'elaborazione dei datagrammi in Windows Server è abilitata. |
| Disabilitare l'analisi DNS su TCP | L'analisi DNS su TCP è abilitata. |
| Disabilitare l'analisi HTTP | L'analisi HTTP è abilitata. |
| Disabilitare l'analisi SSH | L'analisi SSH è abilitata. |
| Disabilitare l'analisi TLS | L'analisi TLS è abilitata. |
| Abilitare sinkhole DNS | Sinkhole DNS abilitato. |
Aggiornamenti di Security Intelligence:
| Descrizione | Impostazione |
|---|---|
| Intervallo di aggiornamento della firma | Configurato, 4 |
Descrizione: Impostazione dell'ordine di fallback dell'aggiornamento della firma: selezionare la casella di controllo relativa al fallback dell'aggiornamento della firma
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, dove 'InternalDefinitionUpdateServer' è WSUS con gli aggiornamenti antivirus Microsoft Defender consentiti; 'MicrosoftUpdateServer' = Microsoft Update (in precedenza Windows Update); e MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Av amministratore locale:
Disabilitare le impostazioni av dell'amministratore locale, ad esempio le esclusioni, e impostare i criteri dalla gestione delle impostazioni di sicurezza Microsoft Defender per endpoint come descritto nella tabella seguente:
| Descrizione | Impostazione |
|---|---|
| Disabilitare l'unione Amministrazione locale | Disabilitare l'unione Amministrazione locale |
Azione predefinita per la gravità della minaccia:
| Descrizione | Impostazione |
|---|---|
| Azione di correzione per le minacce con gravità elevata | Quarantena |
| Azione di correzione per minacce gravi | Quarantena |
| Azione di correzione per le minacce con gravità bassa | Quarantena |
| Azione di correzione per le minacce di gravità moderata | Quarantena |
| Descrizione | Impostazione |
|---|---|
| Giorni da conservare puliti | Configurato, 60 |
| Consenti accesso all'interfaccia utente | Permesso. Consentire agli utenti di accedere all'interfaccia utente. |
- Al termine della configurazione delle impostazioni, selezionare Avanti.
- Nella scheda Assegnazioni selezionare Gruppo di dispositivi o Gruppo di utenti oppure Tutti i dispositivi o Tutti gli utenti.
- Seleziona Avanti.
- Nella scheda Rivedi e crea esaminare le impostazioni dei criteri e quindi selezionare Salva.
Regole di riduzione della superficie di attacco
Per abilitare le regole di riduzione della superficie di attacco usando i criteri di sicurezza degli endpoint, seguire questa procedura:
Accedere a Microsoft Defender XDR.
Passare a Endpoints > Configuration management > Endpoint security policies > (Criteri di sicurezza degli endpoint) Criteri > di Windows Create new policy (Crea nuovi criteri).
Selezionare Windows 10, Windows 11 e Windows Server dall'elenco a discesa Seleziona piattaforma.
Selezionare Regole di riduzione della superficie di attacco dall'elenco a discesa Seleziona modello .
Selezionare Crea criterio.
Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo. quindi scegliere Avanti.
Nella pagina Impostazioni di configurazione espandere i gruppi di impostazioni e configurare le impostazioni da gestire con questo profilo.
Impostare i criteri in base alle impostazioni consigliate seguenti:
Descrizione Impostazione Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Blocca Impedire ad Adobe Reader di creare processi figlio Blocca Blocca l'esecuzione di script potenzialmente offuscati Blocca Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) Blocca Bloccare le chiamate API Win32 dalle macro di Office Blocca Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Blocca Impedire all'applicazione di comunicazione di Office di creare processi figlio Blocca Impedire a tutte le applicazioni di Office di creare processi figlio Blocca [ANTEPRIMA] Blocca l'uso di strumenti di sistema copiati o rappresentati Blocca Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Blocca Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows Blocca Bloccare la creazione della shell Web per i server Blocca Impedire alle applicazioni di Office di creare contenuto eseguibile Blocca Bloccare i processi non attendibili e non firmati eseguiti da USB Blocca Impedire alle applicazioni di Office di inserire codice in altri processi Blocca Bloccare la persistenza tramite la sottoscrizione di eventi WMI Blocca Usare la protezione avanzata contro il ransomware Blocca Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Blocca (se si dispone di Configuration Manager (in precedenza SCCM) o di altri strumenti di gestione che usano WMI, potrebbe essere necessario impostarlo su Audit anziché su Block [ANTEPRIMA] Blocca il riavvio della macchina in modalità provvisoria Blocca Abilitare l'accesso controllato alle cartelle Abilitato
Consiglio
Qualsiasi regola potrebbe bloccare il comportamento che si ritiene accettabile nell'organizzazione. In questi casi, aggiungere le esclusioni per regola denominate "Esclusioni solo riduzione della superficie di attacco". Modificare inoltre la regola da Abilitato a Controllo per evitare blocchi indesiderati.
- Seleziona Avanti.
- Nella scheda Assegnazioni selezionare Gruppo di dispositivi o Gruppo di utenti oppure Tutti i dispositivi o Tutti gli utenti.
- Seleziona Avanti.
- Nella scheda Rivedi e crea esaminare le impostazioni dei criteri e quindi selezionare Salva.
Abilitare la protezione antimanomissione
Accedere a Microsoft Defender XDR.
Passare a Endpoints > Configuration management > Endpoint security policies > (Criteri di sicurezza degli endpoint) Criteri > di Windows Create new policy (Crea nuovi criteri).
Selezionare Windows 10, Windows 11 e Windows Server dall'elenco a discesa Seleziona piattaforma.
Selezionare Esperienza di sicurezza dall'elenco a discesa Seleziona modello .
Selezionare Crea criterio. Verrà visualizzata la pagina Crea un nuovo criterio .
Nella pagina Informazioni di base immettere rispettivamente un nome e una descrizione per il profilo nei campi Nome e Descrizione .
Seleziona Avanti.
Nella pagina Impostazioni di configurazione espandere i gruppi di impostazioni.
Da questi gruppi selezionare le impostazioni che si desidera gestire con questo profilo.
Impostare i criteri per i gruppi di impostazioni scelti configurandoli come descritto nella tabella seguente:
Descrizione Impostazione TamperProtection (Dispositivo) Attivato
Controllare la connettività di rete di Cloud Protection
È importante verificare che la connettività di rete di Cloud Protection funzioni durante i test di penetrazione.
CMD (Esegui come amministratore)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Per altre informazioni , usare lo strumento cmdline per convalidare la protezione fornita dal cloud.
Controllare la versione dell'aggiornamento della piattaforma
La versione più recente del canale di produzione (GA) "Platform Update" è disponibile in Microsoft Update Catalog.
Per verificare la versione "Aggiornamento piattaforma" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:
Get-MPComputerStatus | Format-Table AMProductVersion
Controllare la versione dell'aggiornamento di Security Intelligence
La versione più recente di "Security Intelligence Update" è disponibile negli aggiornamenti più recenti di Security Intelligence per Microsoft Defender Antivirus e altri antimalware Microsoft - Intelligence di sicurezza Microsoft.
Per verificare la versione "Security Intelligence Update" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Controllare la versione dell'aggiornamento del motore
La versione più recente dell'analisi "aggiornamento del motore" è disponibile in Aggiornamenti più recenti dell'intelligence per la sicurezza per Microsoft Defender Antivirus e altri antimalware Microsoft - Intelligence di sicurezza Microsoft.
Per verificare la versione "Aggiornamento motore" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:
Get-MPComputerStatus | Format-Table AMEngineVersion
Se scopri che le tue impostazioni non hanno effetto, potresti avere un conflitto. Per informazioni su come risolvere i conflitti, vedere Risolvere i problemi relativi alle impostazioni di antivirus Microsoft Defender.
Per gli invii di falsi negativi (FN)
Per informazioni su come effettuare invii false negative (FN), vedere:
- Inviare file in Microsoft Defender per endpoint se si dispone di Microsoft XDR, Microsoft Defender per endpoint P2/P1 o Microsoft Defender for Business.
- Inviare i file per l'analisi se si dispone di Microsoft Defender Antivirus.