Impostazioni per i criteri antivirus Microsoft Defender in Microsoft Intune per i dispositivi Windows

  • Articolo

Visualizzare i dettagli sulle impostazioni dei criteri antivirus di sicurezza degli endpoint che è possibile configurare per il profilo antivirus Microsoft Defender per Windows 10 e versioni successive in Microsoft Intune.

Nota

Questo articolo illustra in dettaglio le impostazioni disponibili in Microsoft Defender profili Antivirus e Microsoft Defender Esclusioni antivirus creati prima del 5 aprile 2022 per la piattaforma Windows 10 e successiva per i criteri antivirus per la sicurezza degli endpoint. Il 5 aprile 2022, la piattaforma Windows 10 e successiva è stata sostituita dalla piattaforma Windows 10, Windows 11 e Windows Server. I profili creati dopo tale data usano un nuovo formato di impostazioni come indicato nel Catalogo impostazioni. Con questa modifica non è più possibile creare nuove versioni del profilo precedente e non sono più in fase di sviluppo. Anche se non è più possibile creare nuove istanze del profilo precedente, è possibile continuare a modificare e usare le istanze di esso create in precedenza.

Per i profili che usano il nuovo formato delle impostazioni, Intune non gestisce più un elenco di ogni impostazione in base al nome. Al contrario, il nome di ogni impostazione, le relative opzioni di configurazione e il testo esplicativo visualizzato nell'interfaccia di amministrazione Microsoft Intune sono tratti direttamente dal contenuto autorevole delle impostazioni. Tale contenuto può fornire altre informazioni sull'uso dell'impostazione nel contesto appropriato. Quando si visualizza un testo delle informazioni sulle impostazioni, è possibile usare il relativo collegamento Altre informazioni per aprire il contenuto.

I dettagli delle impostazioni seguenti per i profili Windows si applicano a tali profili deprecati.

Protezione cloud

  • Attivare la protezione fornita dal cloud
    CSP: AllowCloudProtection

    Per impostazione predefinita, Defender nei dispositivi desktop Windows 10/11 invia a Microsoft informazioni sui problemi rilevati. Microsoft analizza queste informazioni per altre informazioni sui problemi che interessano l'utente e altri clienti, per offrire soluzioni migliorate.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : la protezione fornita dal cloud è attivata. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Livello di protezione fornito dal cloud
    CSP: CloudBlockLevel

    Configurare l'aggressiva azione di Defender Antivirus nel blocco e nell'analisi di file sospetti.

    • Non configurato (impostazione predefinita) - Livello di blocco predefinito di Defender.
    • Alto : blocca in modo aggressivo le incognite durante l'ottimizzazione delle prestazioni del client, che include una maggiore probabilità di falsi positivi.
    • Più alto : blocca in modo aggressivo le incognite e applica misure di protezione aggiuntive che potrebbero influire sulle prestazioni del client.
    • Tolleranza zero : blocca tutti i file eseguibili sconosciuti.

  • Timeout esteso del cloud defender in secondi
    CSP: CloudExtendedTimeout

    Defender Antivirus blocca automaticamente i file sospetti per 10 secondi mentre li analizza nel cloud per assicurarsi che siano al sicuro. È possibile aggiungere fino a 50 secondi aggiuntivi a questo timeout.

esclusioni antivirus Microsoft Defender

Nel profilo antivirus Microsoft Defender sono disponibili le impostazioni seguenti:

  • Unione dell'amministratore locale di Defender
    CSP: Configuration/DisableLocalAdminMerge

    Questa impostazione controlla se le impostazioni dell'elenco di esclusione configurate da un amministratore locale si uniscono con le impostazioni gestite dai criteri di Intune. Questa impostazione si applica agli elenchi, ad esempio minacce ed esclusioni.

    • Non configurato(impostazione predefinita): elementi univoci definiti nelle impostazioni delle preferenze configurate da un amministratore locale si uniscono ai criteri effettivi risultanti. In caso di conflitti, le impostazioni di gestione dei criteri di Intune sostituiscono le impostazioni delle preferenze locali.
    • No : il comportamento è identico a Non configurato.
    • : nei criteri effettivi risultanti vengono usati solo gli elementi definiti dalla gestione. Le impostazioni gestite sostituiscono le impostazioni delle preferenze configurate dall'amministratore locale.

Le impostazioni seguenti sono disponibili nei profili seguenti:

  • Antivirus Microsoft Defender
  • esclusioni antivirus Microsoft Defender

Per ogni impostazione in questo gruppo, è possibile espandere l'impostazione, selezionare Aggiungi e quindi specificare un valore per l'esclusione.

  • Processi di Defender da escludere
    CSP: ExcludedProcesses

    Specificare un elenco di file aperti dai processi da ignorare durante un'analisi. Il processo stesso non viene escluso dall'analisi.

  • Estensioni di file da escludere dalle analisi e dalla protezione in tempo reale
    CSP: ExcludedExtensions

    Specificare un elenco di estensioni di tipo file da ignorare durante un'analisi.

  • File e cartelle di Defender da escludere
    CSP: ExcludedPaths

    Specificare un elenco di file e percorsi di directory da ignorare durante un'analisi.

Protezione in tempo reale

Queste impostazioni sono disponibili nei profili seguenti:

  • Antivirus Microsoft Defender

Impostazioni:

  • Attivare la protezione in tempo reale
    CSP: AllowRealtimeMonitoring

    Richiedere a Defender nei dispositivi desktop Windows 10/11 di usare la funzionalità di monitoraggio in tempo reale.

    • Non configurata (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : applicare l'uso del monitoraggio in tempo reale. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Abilita per la protezione dall'accesso
    CSP: AllowOnAccessProtection Configura la protezione antivirus che è continuamente attiva, anziché su richiesta.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No - Blocca la protezione dall'accesso nei dispositivi. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : In Protezione accesso è attivo nei dispositivi.

  • Monitoraggio per i file in ingresso e in uscita
    CSP: Defender/RealTimeScanDirection

    Configurare questa impostazione per determinare quale attività di file e programma NTFS viene monitorata.

    • Monitorare tutti i file (impostazione predefinita)
    • Monitorare solo i file in ingresso
    • Monitorare solo i file in uscita

  • Attivare il monitoraggio del comportamento
    CSP: AllowBehaviorMonitoring

    Per impostazione predefinita, Defender nei dispositivi desktop Windows 10/11 usa la funzionalità di monitoraggio del comportamento.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : applicare l'uso del monitoraggio del comportamento in tempo reale. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Attivare la protezione di rete
    CSP: EnableNetworkProtection

    Proteggere gli utenti dei dispositivi usando qualsiasi app dall'accesso a truffe di phishing, siti di hosting di exploit e contenuti dannosi su Internet. La protezione include la prevenzione della connessione di browser di terze parti a siti pericolosi.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : la protezione di rete è attivata. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Analizzare tutti i file e gli allegati scaricati
    CSP: AllowIOAVProtection

    Configurare Defender per analizzare tutti i file e gli allegati scaricati.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : Defender analizza tutti i file e gli allegati scaricati. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Analizzare gli script usati nei browser Microsoft
    CSP: AllowScriptScanning

    Configurare Defender per l'analisi degli script.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : Defender analizza gli script. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Analizzare i file di rete
    CSP: AllowScanningNetworkFiles

    Configurare Defender per l'analisi dei file di rete.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : attivare l'analisi dei file di rete. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Analizzare i messaggi di posta elettronica
    CSP: AllowEmailScanning

    Configurare Defender per l'analisi della posta elettronica in arrivo.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : attivare l'analisi della posta elettronica. Gli utenti del dispositivo non possono modificare questa impostazione.

Bonifica

Queste impostazioni sono disponibili nei profili seguenti:

  • Antivirus Microsoft Defender

Impostazioni:

  • Numero di giorni (da 0 a 90) per mantenere il malware in quarantena
    CSP: DaysToRetainCleanedMalware

    Specificare il numero di giorni da zero a 90 in cui il sistema archivia gli elementi in quarantena prima che vengano rimossi automaticamente. Il valore zero mantiene gli elementi in quarantena e non li rimuove automaticamente.

  • Inviare il consenso degli esempi

    • Non configurato (impostazione predefinita)
    • Inviare automaticamente campioni sicuri
    • Richiedi sempre conferma
    • Non inviare mai
    • Inviare tutti gli esempi automaticamente

  • Azione da intraprendere su app potenzialmente indesiderate
    CSP: PUAProtection

    Specificare il livello di rilevamento per le applicazioni potenzialmente indesiderate. Defender avvisa gli utenti quando il software potenzialmente indesiderato viene scaricato o tenta di installare in un dispositivo.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema, ovvero PROTEZIONE PUA DISATTIVATA.
    • Disable
    • Abilita : gli elementi rilevati vengono bloccati e visualizzati nella cronologia insieme ad altre minacce.
    • Modalità di controllo : Defender rileva le applicazioni potenzialmente indesiderate, ma non esegue alcuna azione. È possibile esaminare le informazioni sulle applicazioni su cui Defender avrebbe intrapreso un'azione cercando gli eventi creati da Defender nel Visualizzatore eventi.

  • Azioni per le minacce rilevate
    CSP: ThreatSeverityDefaultAction

    Specificare l'azione eseguita da Defender per il malware rilevato in base al livello di minaccia del malware.

    Defender classifica il malware rilevato come uno dei livelli di gravità seguenti:

    • Gravità bassa
    • Gravità moderata
    • Gravità elevata
    • Gravità grave

    Per ogni livello, specificare l'azione da eseguire. Il valore predefinito per ogni livello di gravità non è configurato.

    • Non configurata
    • Pulisci : il servizio tenta di ripristinare i file e provare a disinfettare.
    • Quarantena : sposta i file in quarantena.
    • Rimuovi : rimuove i file dal dispositivo.
    • Consenti : consente il file e non esegue altre azioni.
    • Definito dall'utente : l'utente del dispositivo prende la decisione sull'azione da intraprendere.
    • Blocca : blocca l'esecuzione del file.

Analisi

Queste impostazioni sono disponibili nei profili seguenti:

  • Antivirus Microsoft Defender

Impostazioni:

  • Analizzare i file di archivio
    CSP: AllowArchiveScanning

    Configurare Defender per analizzare i file di archivio, ad esempio i file ZIP o CAB.

    • Non configurato (impostazione predefinita): l'impostazione torna all'impostazione predefinita del client, ovvero l'analisi dei file archiviati, tuttavia l'utente può disabilitare l'impostazione. Ulteriori informazioni
    • No : gli archivi file non vengono analizzati. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : abilitare le analisi dei file di archivio. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Usare la priorità bassa della CPU per le analisi pianificate
    CSP: EnableLowCPUPriority

    Configurare la priorità della CPU per le analisi pianificate.

    • Non configurata (impostazione predefinita): l'impostazione torna all'impostazione predefinita del sistema, in cui non vengono apportate modifiche alla priorità della CPU.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : durante le analisi pianificate verrà usata la priorità bassa della CPU. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Disabilitare l'analisi completa di recupero
    CSP: DisableCatchupFullScan

    Configurare le analisi di recupero per le analisi complete pianificate. Un'analisi di recupero è un'analisi eseguita perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.

    • Non configurato (impostazione predefinita): l'impostazione viene restituita all'impostazione predefinita del client, ovvero per disabilitare le analisi di recupero per le analisi complete.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : vengono applicate analisi di recupero per le analisi complete pianificate e l'utente non può disabilitarle. Se un computer è offline per due analisi pianificate consecutive, viene avviata un'analisi di recupero la volta successiva che qualcuno accede al computer. Se non è configurata alcuna analisi pianificata, non verrà eseguita alcuna analisi di recupero. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Disabilitare l'analisi rapida del recupero
    CSP: DisableCatchupQuickScan

    Configurare le analisi di recupero per le analisi rapide pianificate. Un'analisi di recupero è un'analisi eseguita perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.

    • Non configurato (impostazione predefinita): l'impostazione viene restituita all'impostazione predefinita del client, ovvero per disabilitare le analisi di recupero per le analisi complete.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare questa impostazione.
    • : vengono applicate analisi di recupero per le analisi rapide pianificate e l'utente non può disabilitarle. Se un computer è offline per due analisi pianificate consecutive, viene avviata un'analisi di recupero la volta successiva che qualcuno accede al computer. Se non è configurata alcuna analisi pianificata, non verrà eseguita alcuna analisi di recupero. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Limite di utilizzo della CPU per analisi
    CSP: AvgCPULoadFactor

    Specificare come percentuale da zero a 100, ovvero il fattore di carico medio della CPU per l'analisi di Defender.

  • Analizzare le unità di rete mappate durante l'analisi completa
    CSP: AllowFullScanOnMappedNetworkDrives

    Configurare Defender per analizzare le unità di rete mappate.

    • Non configurata (impostazione predefinita): l'impostazione viene ripristinata all'impostazione predefinita del sistema, che disabilita l'analisi nelle unità di rete mappate.
    • No : l'impostazione è disabilitata. Gli utenti del dispositivo non possono modificare l'impostazione.
    • : abilitare le analisi delle unità di rete mappate. Gli utenti del dispositivo non possono modificare questa impostazione.

  • Eseguire l'analisi rapida giornaliera all'indirizzo
    CSP: ScheduleQuickScanTime

    Selezionare l'ora del giorno in cui vengono eseguite le analisi rapide di Defender. Questa impostazione si applica solo quando un dispositivo esegue un'analisi rapida e non interagisce con le tre impostazioni seguenti:

    • Tipo di analisi
    • Giorno della settimana per eseguire un'analisi pianificata
    • Ora del giorno per eseguire un'analisi pianificata

    Per impostazione predefinita, l'opzione Esegui analisi rapida giornaliera in è impostata su Non configurato.

  • Tipo di analisi
    CSP: ScanParameter

    Selezionare il tipo di analisi eseguita da Defender. Questa impostazione interagisce con le impostazioni Giorno della settimana per eseguire un'analisi pianificata e Ora del giorno per eseguire un'analisi pianificata.

    • Non configurato (impostazione predefinita)
    • Analisi rapida
    • Analisi completa

  • Giorno della settimana per eseguire un'analisi pianificata

    • Non configurato (impostazione predefinita)

  • Ora del giorno per eseguire un'analisi pianificata

    • Non configurato (impostazione predefinita)

  • Verificare la presenza di aggiornamenti delle firme prima di eseguire l'analisi

    • Non configurato (impostazione predefinita)
    • No

Aggiornamenti

Queste impostazioni sono disponibili nei profili seguenti:

  • Antivirus Microsoft Defender

Impostazioni:

  • Immettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
    CSP: SignatureUpdateInterval

    Specificare l'intervallo compreso tra zero e 24 (in ore) usato per verificare la presenza di firme. Un valore pari a zero non determina alcun controllo della presenza di nuove firme. Il valore 2 controlla ogni due ore e così via.

  • Definire condivisioni file per il download degli aggiornamenti delle definizioni
    CSP: SignatureUpdateFallbackOrder

    Gestire i percorsi, ad esempio una condivisione file UNC, come percorso di origine del download per ottenere gli aggiornamenti delle definizioni. Dopo il download degli aggiornamenti delle definizioni da un'origine specificata, le origini rimanenti nell'elenco non verranno contattate.

    È possibile aggiungere singoli percorsi o importare un elenco di posizioni come file di .csv.

  • Definire l'ordine delle origini per il download degli aggiornamenti delle definizioni
    CSP: SignatureUpdateFileSharesSources

    Specificare in quale ordine contattare i percorsi di origine specificati per ottenere gli aggiornamenti delle definizioni. Dopo aver scaricato correttamente gli aggiornamenti delle definizioni da un'origine specificata, le origini rimanenti nell'elenco non verranno contattate.

Esperienza utente

Queste impostazioni sono disponibili nei profili seguenti:

  • Antivirus Microsoft Defender

Impostazioni:

  • Consentire l'accesso utente all'app Microsoft Defender
    CSP: AllowUserUIAccess

  • Non configurato (impostazione predefinita): l'impostazione restituisce l'impostazione predefinita client in cui sono consentite l'interfaccia utente e le notifiche.

  • No : l'interfaccia utente di Defender non è accessibile e le notifiche vengono eliminate.