Provider di servizi di configurazione dei criteri - Defender
AllowArchiveScanning
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
Questa impostazione di criterio consente di configurare le analisi per il software dannoso e il software indesiderato nei file di archivio, ad esempio . ZIP o . File CAB.
Se si abilita o non si configura questa impostazione, i file di archivio verranno analizzati.
Se si disabilita questa impostazione, i file di archivio non verranno analizzati. Tuttavia, gli archivi vengono sempre analizzati durante le analisi dirette.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. Disattiva l'analisi sui file archiviati. |
| 1 (impostazione predefinita) | Consentito. Analizza i file di archivio. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_DisableArchiveScanning |
| Nome descrittivo | Analizzare file di archivio |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome del valore del registro | DisableArchiveScanning |
| Nome file ADMX | WindowsDefender.admx |
AllowBehaviorMonitoring
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
Questa impostazione di criterio consente di configurare il monitoraggio del comportamento.
Se si abilita o non si configura questa impostazione, verrà abilitato il monitoraggio del comportamento.
Se si disabilita questa impostazione, il monitoraggio del comportamento verrà disabilitato.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. Disattiva il monitoraggio del comportamento. |
| 1 (impostazione predefinita) | Consentito. Attiva il monitoraggio del comportamento in tempo reale. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | RealtimeProtection_DisableBehaviorMonitoring |
| Nome descrittivo | Attivare il monitoraggio dei comportamenti |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Protezione antivirus > in tempo reale |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nome del valore del registro | DisableBehaviorMonitoring |
| Nome file ADMX | WindowsDefender.admx |
AllowCloudProtection
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
Questa impostazione di criterio consente di aggiungere Microsoft MAPS. Microsoft MAPS è la community online che consente di scegliere come rispondere a potenziali minacce. La comunità aiuta anche a fermare la diffusione di nuove infezioni software dannose.
È possibile scegliere di inviare informazioni di base o aggiuntive sul software rilevato. Altre informazioni consentono a Microsoft di creare nuove informazioni di sicurezza e di proteggerle. Queste informazioni possono includere elementi come la posizione degli elementi rilevati nel computer se il software dannoso è stato rimosso. Le informazioni verranno raccolte e inviate automaticamente. In alcuni casi, le informazioni personali potrebbero essere inviate involontariamente a Microsoft. Tuttavia, Microsoft non userà queste informazioni per identificare l'utente o contattare l'utente.
Le opzioni possibili sono:
(0x0) Disabilitato (impostazione predefinita) (0x1) Appartenenza di base (0x2) Appartenenza avanzata.
L'appartenenza di base invierà a Microsoft informazioni di base sul software rilevato, tra cui la provenienza del software, le azioni applicate o applicate automaticamente e se le azioni hanno avuto esito positivo.
L'appartenenza avanzata, oltre alle informazioni di base, invierà a Microsoft altre informazioni su software dannoso, spyware e software potenzialmente indesiderato, tra cui la posizione del software, i nomi dei file, il funzionamento del software e il modo in cui ha influenzato il computer.
Se si abilita questa impostazione, si aggiungerà a Microsoft MAPS l'appartenenza specificata.
Se si disabilita o non si configura questa impostazione, non si aggiungerà a Microsoft MAPS.
In Windows 10, l'appartenenza di base non è più disponibile, quindi l'impostazione del valore su 1 o 2 registra il dispositivo nell'appartenenza avanzata.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. Disattiva il servizio Microsoft Active Protection. |
| 1 (impostazione predefinita) | Consentito. Attiva il servizio Microsoft Active Protection. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | SpynetReporting |
| Nome descrittivo | Partecipa alle Mappe Microsoft |
| Nome elemento | Partecipare a Microsoft MAPS. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Mappe antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Spynet |
| Nome file ADMX | WindowsDefender.admx |
AllowEmailScanning
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
Questa impostazione di criterio consente di configurare l'analisi della posta elettronica. Quando l'analisi della posta elettronica è abilitata, il motore analizzerà i file della cassetta postale e della posta, in base al formato specifico, per analizzare i corpi e gli allegati della posta. Sono attualmente supportati diversi formati di posta elettronica, ad esempio pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email l'analisi non è supportata nei client di posta elettronica moderni.
Se si abilita questa impostazione, l'analisi della posta elettronica verrà abilitata.
Se si disabilita o non si configura questa impostazione, l'analisi della posta elettronica verrà disabilitata.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Operazione non consentita. Disattiva l'analisi della posta elettronica. |
| 1 | Consentito. Attiva l'analisi della posta elettronica. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_DisableEmailScanning |
| Nome descrittivo | Attivare analisi posta elettronica |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome del valore del registro | DisableEmailScanning |
| Nome file ADMX | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
Questa impostazione di criterio consente di configurare l'analisi delle unità di rete mappate.
Se si abilita questa impostazione, le unità di rete mappate verranno analizzate.
Se si disabilita o non si configura questa impostazione, le unità di rete mappate non verranno analizzate.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Operazione non consentita. Disabilita l'analisi nelle unità di rete mappate. |
| 1 | Consentito. Analizza le unità di rete mappate. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_DisableScanningMappedNetworkDrivesForFullScan |
| Nome descrittivo | Eseguire analisi completa in unità di rete mappate |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome del valore del registro | DisableScanningMappedNetworkDrivesForFullScan |
| Nome file ADMX | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
Questa impostazione di criterio consente di gestire se eseguire o meno la ricerca di software dannoso e software indesiderato nel contenuto di unità rimovibili, ad esempio unità flash USB, durante l'esecuzione di un'analisi completa.
Se si abilita questa impostazione, le unità rimovibili verranno analizzate durante qualsiasi tipo di analisi.
Se si disabilita o non si configura questa impostazione, le unità rimovibili non verranno analizzate durante un'analisi completa. Le unità rimovibili possono ancora essere analizzate durante l'analisi rapida e l'analisi personalizzata.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Operazione non consentita. Disattiva l'analisi delle unità rimovibili. |
| 1 | Consentito. Analizza le unità rimovibili. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_DisableRemovableDriveScanning |
| Nome descrittivo | Analizzare unità rimovibili |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome del valore del registro | DisableRemovableDriveScanning |
| Nome file ADMX | WindowsDefender.admx |
AllowIntrusionPreventionSystem
Nota
Questo criterio è deprecato e può essere rimosso in una versione futura.
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
Consente o non consente la funzionalità di prevenzione delle intrusioni di Windows Defender.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AllowIOAVProtection
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
Questa impostazione di criterio consente di configurare l'analisi per tutti i file e gli allegati scaricati.
Se si abilita o non si configura questa impostazione, verrà abilitata l'analisi di tutti i file e gli allegati scaricati.
Se si disabilita questa impostazione, l'analisi di tutti i file e gli allegati scaricati verrà disabilitata.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | RealtimeProtection_DisableIOAVProtection |
| Nome descrittivo | Analizzare tutti i file e gli allegati scaricati |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Protezione antivirus > in tempo reale |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nome del valore del registro | DisableIOAVProtection |
| Nome file ADMX | WindowsDefender.admx |
AllowOnAccessProtection
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
Questa impostazione di criterio consente di configurare il monitoraggio per l'attività di file e programmi.
Se si abilita o non si configura questa impostazione, verrà abilitato il monitoraggio dell'attività di file e programmi.
Se si disabilita questa impostazione, il monitoraggio dell'attività di file e programmi verrà disabilitato.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | RealtimeProtection_DisableOnAccessProtection |
| Nome descrittivo | Monitorare attività di file e programmi nei computer |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Protezione antivirus > in tempo reale |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nome del valore del registro | DisableOnAccessProtection |
| Nome file ADMX | WindowsDefender.admx |
AllowRealtimeMonitoring
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
Consente o non consente la funzionalità di monitoraggio in tempo reale di Windows Defender.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. Disattiva il servizio di monitoraggio in tempo reale. |
| 1 (impostazione predefinita) | Consentito. Attiva ed esegue il servizio di monitoraggio in tempo reale. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | DisableRealtimeMonitoring |
| Nome descrittivo | Disattivare la protezione in tempo reale |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Protezione antivirus > in tempo reale |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nome del valore del registro | DisableRealtimeMonitoring |
| Nome file ADMX | WindowsDefender.admx |
AllowScanningNetworkFiles
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
Questa impostazione di criterio consente di configurare le analisi pianificate e le analisi su richiesta (avviate manualmente) per individuare i file a cui si accede tramite la rete. È consigliabile abilitare questa impostazione.
Nota
L'analisi della protezione in tempo reale (all'accesso) non è influenzata da questo criterio.
- Se si abilita questa impostazione o non si configura questa impostazione, i file di rete verranno analizzati.
- Se si disabilita questa impostazione, i file di rete non verranno analizzati.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Operazione non consentita. Disattiva l'analisi dei file di rete. |
| 1 | Consentito. Analizza i file di rete. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_DisableScanningNetworkFiles |
| Nome descrittivo | Configurare l'analisi dei file di rete |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome del valore del registro | DisableScanningNetworkFiles |
| Nome file ADMX | WindowsDefender.admx |
AllowScriptScanning
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
Consente o non consente la funzionalità di analisi degli script di Windows Defender.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AllowUserUIAccess
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
Questa impostazione di criterio consente di configurare se visualizzare o meno l'interfaccia utente di AM per gli utenti.
Se abiliti questa impostazione, l'interfaccia utente di AM non sarà disponibile per gli utenti.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. Impedisce agli utenti di accedere all'interfaccia utente. |
| 1 (impostazione predefinita) | Consentito. Consente agli utenti di accedere all'interfaccia utente. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | UX_Configuration_UILockdown |
| Nome descrittivo | Abilitare la modalità di interfaccia utente headless |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender'interfaccia client antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\UX Configuration |
| Nome del valore del registro | UILockdown |
| Nome file ADMX | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Escludere file e percorsi dalle regole di riduzione della superficie di attacco (ASR).
Abilitato:
Specificare le cartelle o i file e le risorse che devono essere esclusi dalle regole asr nella sezione Opzioni.
Immettere ogni regola in una nuova riga come coppia nome-valore:
- Colonna Nome: immettere un percorso di cartella o un nome di risorsa completo. Ad esempio, "C:\Windows" escluderà tutti i file in tale directory. "C:\Windows\App.exe" escluderà solo il file specifico in tale cartella specifica
- Colonna valore: immettere "0" per ogni elemento.
Disabile:
Non verranno applicate esclusioni alle regole asr.
Non configurato:
Uguale a Disabilitato.
È possibile configurare le regole asr nell'impostazione Criteri di gruppo Configura regole di riduzione della superficie di attacco.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | ExploitGuard_ASR_ASROnlyExclusions |
| Nome descrittivo | Escludere file e percorsi dalle regole di riduzione della superficie di attacco |
| Nome elemento | Esclusioni dalle regole asr. |
| Posizione | Configurazione computer |
| Percorso | Componenti > di Windows Microsoft Defender antivirus > Microsoft Defender riduzione della superficie di attacco di Exploit Guard > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
| Nome file ADMX | WindowsDefender.admx |
AttackSurfaceReductionRules
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Impostare lo stato per ogni regola di riduzione della superficie di attacco (ASR).
Dopo aver abilitato questa impostazione, è possibile impostare ogni regola su quanto segue nella sezione Opzioni:
- Blocca: la regola verrà applicata
- Modalità di controllo: se la regola genererebbe normalmente un evento, verrà registrata (anche se la regola non verrà effettivamente applicata)
- Disattivata: la regola non verrà applicata
- Non configurata: la regola è abilitata con i valori predefiniti
- Avviso: la regola verrà applicata e l'utente finale avrà la possibilità di ignorare il blocco.
A meno che la regola asr non sia disabilitata, viene raccolto un sottocampione di eventi di controllo per le regole asr con il valore di non configurato.
Abilitato:
Specificare lo stato per ogni regola asr nella sezione Opzioni per questa impostazione.
Immettere ogni regola in una nuova riga come coppia nome-valore:
- Colonna Nome: immettere un ID regola ASR valido
- Colonna valore: immettere l'ID di stato correlato allo stato che si desidera specificare per la regola associata.
Nella colonna valore sono consentiti gli ID di stato seguenti:
- 1 (blocco)
- 0 (disattivato)
- 2 (Controllo)
- 5 (non configurato)
- 6 (Avvisa)
Esempio:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1 xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2
Disabile:
Non verranno configurate regole asr.
Non configurato:
Uguale a Disabilitato.
È possibile escludere cartelle o file nell'impostazione criteri di gruppo "Escludi file e percorsi dalle regole di riduzione della superficie di attacco".
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | ExploitGuard_ASR_Rules |
| Nome descrittivo | Configurare le regole di riduzione della superficie di attacco |
| Nome elemento | Impostare lo stato per ogni regola asr. |
| Posizione | Configurazione computer |
| Percorso | Componenti > di Windows Microsoft Defender antivirus > Microsoft Defender riduzione della superficie di attacco di Exploit Guard > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
| Nome file ADMX | WindowsDefender.admx |
AvgCPULoadFactor
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
Questa impostazione di criterio consente di configurare la percentuale massima di utilizzo della CPU consentita durante un'analisi. I valori validi per questa impostazione sono una percentuale rappresentata dagli interi da 5 a 100. Il valore 0 indica che non è necessario limitare l'utilizzo della CPU. Il valore predefinito è 50.
Se si abilita questa impostazione, l'utilizzo della CPU non supererà la percentuale specificata.
Se si disabilita o non si configura questa impostazione, l'utilizzo della CPU non supererà il valore predefinito.
Nota
Se si abilitano entrambi i criteri seguenti, Windows ignora il valore di AvgCPULoadFactor:
- ScanOnlyIfIdle: indica al prodotto di eseguire l'analisi solo quando il computer non è in uso.
- DisableCpuThrottleOnIdleScans: indica al prodotto di disabilitare la limitazione della CPU nelle analisi inattive.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-100] |
| Valore predefinito | 50 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_AvgCPULoadFactor |
| Nome descrittivo | Specificare percentuale massima di utilizzo della CPU durante un'analisi |
| Nome elemento | Specificare la percentuale massima di utilizzo della CPU durante un'analisi. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
Questa impostazione di criterio consente di gestire se prima di eseguire un'analisi si verificherà un controllo della presenza di nuove informazioni di sicurezza di virus e spyware.
Questa impostazione si applica alle analisi pianificate, ma non ha alcun effetto sulle analisi avviate manualmente dall'interfaccia utente o su quelle avviate dalla riga di comando usando "mpcmdrun -Scan".
Se si abilita questa impostazione, prima di eseguire un'analisi verrà verificata la presenza di nuove informazioni di sicurezza.
Se si disabilita questa impostazione o non si configura questa impostazione, l'analisi inizierà a usare l'intelligence di sicurezza esistente.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato. |
| 1 | Abilitato. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | CheckForSignaturesBeforeRunningScan |
| Nome descrittivo | Prima di eseguire un'analisi pianificata, verificare la disponibilità di informazioni di sicurezza di virus e spyware più recenti |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
CloudBlockLevel
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
Questa impostazione di criterio determina l'aggressiva Microsoft Defender Antivirus nel blocco e nell'analisi dei file sospetti.
Se questa impostazione è attiva, Microsoft Defender Antivirus sarà più aggressivo quando si identificano i file sospetti da bloccare e analizzare; in caso contrario, sarà meno aggressivo e quindi bloccare e analizzare con meno frequenza.
Per altre informazioni sui valori specifici supportati, vedere il sito della documentazione Microsoft Defender Antivirus.
Nota
Questa funzionalità richiede l'impostazione "Aggiungi a Microsoft MAPS" abilitata per funzionare.
Le opzioni possibili sono:
(0x0) Livello di blocco predefinito Microsoft Defender Antivirus (0x1) Livello di blocco antivirus moderato Microsoft Defender, restituisce il verdetto solo per i rilevamenti con attendibilità elevata (0x2) Livello di blocco elevato: blocca in modo aggressivo le incognite ottimizzando le prestazioni del client (maggiore probabilità di falsi positivi) (0x4) Livello di blocco Elevato+ - Blocca in modo aggressivo le incognite e applica protezione aggiuntiva misure (possono influire sulle prestazioni del client) (0x6) Livello di blocco di tolleranza zero: blocca tutti i file eseguibili sconosciuti.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | NotConfigured. |
| 2 | Alto. |
| 4 | HighPlus. |
| 6 | ZeroTolerance. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | MpEngine_MpCloudBlockLevel |
| Nome descrittivo | Selezionare il livello di protezione cloud |
| Nome elemento | Selezionare livello di blocco del cloud. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Antivirus > MpEngine |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Nome file ADMX | WindowsDefender.admx |
CloudExtendedTimeout
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
Questa funzionalità consente Microsoft Defender Antivirus di bloccare un file sospetto per un massimo di 60 secondi e analizzarlo nel cloud per assicurarsi che sia sicuro.
Il timeout tipico del controllo cloud è di 10 secondi. Per abilitare la funzionalità di controllo cloud esteso, specificare il tempo esteso in secondi, fino a 50 secondi aggiuntivi.
Ad esempio, se il timeout desiderato è 60 secondi, specificare 50 secondi in questa impostazione, che abiliterà la funzionalità di controllo cloud esteso e genererà il tempo totale a 60 secondi.
Nota
Questa funzionalità dipende da altre tre impostazioni di MAPS: "Configurare la funzionalità 'Blocca al primo rilevamento'; " Partecipare a Microsoft MAPS"; "Inviare esempi di file quando è necessaria un'ulteriore analisi" tutti devono essere abilitati.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-50] |
| Valore predefinito | 0 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | MpEngine_MpBafsExtendedTimeout |
| Nome descrittivo | Configurare il controllo cloud esteso |
| Nome elemento | Specificare il tempo di controllo cloud esteso in secondi. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Antivirus > MpEngine |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Nome file ADMX | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
Aggiungere altre applicazioni che devono essere considerate "attendibili" dall'accesso controllato alle cartelle.
Queste applicazioni possono modificare o eliminare i file nelle cartelle di accesso controllato alle cartelle.
Microsoft Defender Antivirus determina automaticamente quali applicazioni devono essere considerate attendibili. È possibile configurare questa impostazione per aggiungere altre applicazioni.
Abilitato:
Specificare altre applicazioni consentite nella sezione Opzioni.
Disabile:
Non verranno aggiunte altre applicazioni all'elenco attendibile.
Non configurato:
Uguale a Disabilitato.
È possibile abilitare l'accesso controllato alle cartelle nell'impostazione Configura accesso controllato alle cartelle criteri di gruppo.
Le cartelle di sistema predefinite vengono protette automaticamente, ma è possibile aggiungere cartelle nell'impostazione Configura cartelle protette criteri di gruppo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | ExploitGuard_ControlledFolderAccess_AllowedApplications |
| Nome descrittivo | Configurare le applicazioni consentite |
| Nome elemento | Immettere le applicazioni che devono essere considerate attendibili. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender antivirus > Microsoft Defender l'accesso controllato alle cartelle di Exploit Guard > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
| Nome file ADMX | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
Specificare cartelle aggiuntive che devono essere sorvegliate dalla funzionalità Accesso controllato alle cartelle.
I file in queste cartelle non possono essere modificati o eliminati da applicazioni non attendibili.
Le cartelle di sistema predefinite vengono protette automaticamente. È possibile configurare questa impostazione per aggiungere altre cartelle.
L'elenco delle cartelle di sistema predefinite protette viene visualizzato in Sicurezza di Windows.
Abilitato:
Specificare cartelle aggiuntive che devono essere protette nella sezione Opzioni.
Disabile:
Non verranno protette altre cartelle.
Non configurato:
Uguale a Disabilitato.
È possibile abilitare l'accesso controllato alle cartelle nell'impostazione Configura accesso controllato alle cartelle criteri di gruppo.
Microsoft Defender Antivirus determina automaticamente quali applicazioni possono essere considerate attendibili. È possibile aggiungere altre applicazioni attendibili nell'impostazione Configura applicazioni consentite criteri di gruppo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
| Nome descrittivo | Configurare le cartelle protette |
| Nome elemento | Immettere le cartelle che devono essere sorvegliate. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender antivirus > Microsoft Defender l'accesso controllato alle cartelle di Exploit Guard > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
| Nome file ADMX | WindowsDefender.admx |
DaysToRetainCleanedMalware
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
Questa impostazione di criterio definisce il numero di giorni in cui gli elementi devono essere conservati nella cartella Quarantena prima di essere rimossi.
Se si abilita questa impostazione, gli elementi verranno rimossi dalla cartella Quarantena dopo il numero di giorni specificato.
Se si disabilita o non si configura questa impostazione, gli elementi verranno mantenuti nella cartella di quarantena a tempo indeterminato e non verranno rimossi automaticamente.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-90] |
| Valore predefinito | 0 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Quarantine_PurgeItemsAfterDelay |
| Nome descrittivo | Configurare la rimozione di elementi dalla cartella di quarantena |
| Nome elemento | Configurare la rimozione di elementi dalla cartella Quarantine. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender quarantena antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Quarantine |
| Nome file ADMX | WindowsDefender.admx |
DisableCatchupFullScan
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
Questa impostazione dei criteri consente di configurare le analisi di recupero per le analisi complete pianificate. Un'analisi di recupero è un'analisi avviata perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.
Se si disabilita o non si configura questa impostazione, le analisi di recupero per le analisi complete pianificate verranno attivate. Se un computer è offline per due analisi pianificate consecutive, viene avviata un'analisi di recupero la volta successiva in cui un utente accede al computer. Se non è configurata alcuna analisi pianificata, non verrà eseguita alcuna analisi di recupero.
Se si abilita questa impostazione, le analisi di recupero per le analisi complete pianificate verranno disabilitate.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Abilitata. |
| 1 (impostazione predefinita) | Disabilitato. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_DisableCatchupFullScan |
| Nome descrittivo | Attivare l'analisi completa di recupero |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
DisableCatchupQuickScan
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
Questa impostazione dei criteri consente di configurare le analisi di recupero per le analisi rapide pianificate. Un'analisi di recupero è un'analisi avviata perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.
Se si disabilita o non si configura questa impostazione, le analisi di recupero per le analisi rapide pianificate verranno attivate. Se un computer è offline per due analisi pianificate consecutive, viene avviata un'analisi di recupero la volta successiva in cui un utente accede al computer. Se non è configurata alcuna analisi pianificata, non verrà eseguita alcuna analisi di recupero.
Se si abilita questa impostazione, le analisi di recupero per le analisi rapide pianificate verranno disabilitate.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Abilitata. |
| 1 (impostazione predefinita) | Disabilitato. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_DisableCatchupQuickScan |
| Nome descrittivo | Attivare l'analisi rapida di recupero |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
EnableControlledFolderAccess
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
Abilitare o disabilitare l'accesso controllato alle cartelle per le applicazioni non attendibili. È possibile scegliere di bloccare, controllare o consentire i tentativi da parte di app non attendibili per:
- Modificare o eliminare file in cartelle protette, ad esempio la cartella Documenti
- Scrivere nei settori del disco.
È anche possibile scegliere di bloccare o controllare solo le scritture nei settori del disco, consentendo comunque la modifica o l'eliminazione dei file nelle cartelle protette.
Microsoft Defender Antivirus determina automaticamente quali applicazioni possono essere considerate attendibili. È possibile aggiungere altre applicazioni attendibili nell'impostazione Configura applicazioni consentite criteri di gruppo.
Le cartelle di sistema predefinite vengono protette automaticamente, ma è possibile aggiungere cartelle nell'impostazione Configura cartelle protette criteri di gruppo.
Blocco:
Gli elementi seguenti verranno bloccati:
- Tentativi da parte di app non attendibili di modificare o eliminare file in cartelle protette
- Tentativi da parte di app non attendibili di scrivere in settori disco.
Il registro eventi di Windows registrerà questi blocchi in Registri > applicazioni e servizi Microsoft > Windows > Defender > Operational > ID 1123.
Disabile:
Le operazioni seguenti non verranno bloccate e potranno essere eseguite:
- Tentativi da parte di app non attendibili di modificare o eliminare file in cartelle protette
- Tentativi da parte di app non attendibili di scrivere in settori disco.
Questi tentativi non verranno registrati nel registro eventi di Windows.
Modalità di controllo:
Le operazioni seguenti non verranno bloccate e potranno essere eseguite:
- Tentativi da parte di app non attendibili di modificare o eliminare file in cartelle protette
- Tentativi da parte di app non attendibili di scrivere in settori disco.
Il registro eventi di Windows registrerà questi tentativi in Registri > applicazioni e servizi di Microsoft > Windows > Defender > OPERATIONAL > ID 1124.
Blocca solo la modifica del disco:
Gli elementi seguenti verranno bloccati:
- Tentativi da parte di app non attendibili di scrivere in settori disco.
Il registro eventi di Windows registrerà questi tentativi in Registri > applicazioni e servizi di Microsoft > Windows > Defender > OPERATIONAL > ID 1123.
Le operazioni seguenti non verranno bloccate e potranno essere eseguite:
- Tentativi da parte di app non attendibili di modificare o eliminare file in cartelle protette.
Questi tentativi non verranno registrati nel registro eventi di Windows.
Controlla solo la modifica del disco:
Le operazioni seguenti non verranno bloccate e potranno essere eseguite:
- Tentativi da parte di app non attendibili di scrivere in settori disco
- Tentativi da parte di app non attendibili di modificare o eliminare file in cartelle protette.
Solo i tentativi di scrittura in settori disco protetti verranno registrati nel registro eventi di Windows (in Registri > applicazioni e servizi di Microsoft > Windows > Defender > OPERATIONAL > ID 1124).
I tentativi di modificare o eliminare i file nelle cartelle protette non verranno registrati.
Non configurato:
Uguale a Disabilitato.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato. |
| 1 | Abilitato. |
| 2 | Modalità di controllo. |
| 3 | Blocca solo la modifica del disco. |
| 4 | Controlla solo la modifica del disco. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
| Nome descrittivo | Configurare l'accesso controllato alle cartelle |
| Nome elemento | Configurare la funzionalità protezione cartelle personali. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender antivirus > Microsoft Defender l'accesso controllato alle cartelle di Exploit Guard > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
| Nome file ADMX | WindowsDefender.admx |
EnableLowCPUPriority
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
Questa impostazione di criterio consente di abilitare o disabilitare la priorità bassa della CPU per le analisi pianificate.
Se si abilita questa impostazione, durante le analisi pianificate verrà usata la priorità bassa della CPU.
Se si disabilita o non si configura questa impostazione, non verranno apportate modifiche alla priorità della CPU per le analisi pianificate.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato. |
| 1 | Abilitato. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_LowCpuPriority |
| Nome descrittivo | Configurare una priorità bassa della CPU per le analisi pianificate |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
EnableNetworkProtection
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
Abilitare o disabilitare Microsoft Defender protezione di rete di Exploit Guard per impedire ai dipendenti di usare qualsiasi applicazione per accedere a domini pericolosi che possono ospitare truffe di phishing, siti di hosting di exploit e altri contenuti dannosi su Internet.
Abilitato:
Specificare la modalità nella sezione Opzioni:
-Blocca: gli utenti e le applicazioni non saranno in grado di accedere ai domini pericolosi - Modalità di controllo: gli utenti e le applicazioni possono connettersi a domini pericolosi, tuttavia se questa funzionalità avrebbe bloccato l'accesso se fosse impostato su Blocca, un record dell'evento sarà presente nei log eventi.
Disabile:
Agli utenti e alle applicazioni non verrà impedito di connettersi a domini pericolosi.
Non configurato:
Uguale a Disabilitato.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato. |
| 1 | Abilitato (modalità blocco). |
| 2 | Abilitato (modalità di controllo). |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | ExploitGuard_EnableNetworkProtection |
| Nome descrittivo | Impedire a utenti e app di accedere a siti Web pericolosi |
| Posizione | Configurazione computer |
| Percorso | Componenti > di Windows Microsoft Defender Antivirus > Microsoft Defender Protezione di rete exploit guard > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection |
| Nome file ADMX | WindowsDefender.admx |
ExcludedExtensions
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
Consente a un amministratore di specificare un elenco di estensioni di tipo file da ignorare durante un'analisi. Ogni tipo di file nell'elenco deve essere separato da |. Ad esempio, lib|obj.
Nota
Per evitare modifiche non autorizzate alle esclusioni, applicare la protezione antimanomissione. La protezione da manomissioni per le esclusioni funziona solo quando vengono soddisfatte determinate condizioni .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Exclusions_Extensions |
| Nome descrittivo | Esclusioni di estensione |
| Nome elemento | Esclusioni di estensione. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender esclusioni antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Nome file ADMX | WindowsDefender.admx |
ExcludedPaths
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
Consente a un amministratore di specificare un elenco di percorsi di directory da ignorare durante un'analisi. Ogni percorso nell'elenco deve essere separato da |. Ad esempio, C:\Example|C:\Example1.
Nota
Per evitare modifiche non autorizzate alle esclusioni, applicare la protezione antimanomissione. La protezione da manomissioni per le esclusioni funziona solo quando vengono soddisfatte determinate condizioni .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Exclusions_Paths |
| Nome descrittivo | Esclusioni di percorso |
| Nome elemento | Esclusioni di percorso. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender esclusioni antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Nome file ADMX | WindowsDefender.admx |
ExcludedProcesses
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
Consente a un amministratore di specificare un elenco di file aperti dai processi da ignorare durante un'analisi.
Importante
Il processo stesso non viene escluso dall'analisi, ma può essere tramite i criteri Defender/ExcludedPaths per escluderne il percorso. Ogni tipo di file deve essere separato da |. Ad esempio, C:\Example. exe|C:\Example1.exe.
Nota
Per evitare modifiche non autorizzate alle esclusioni, applicare la protezione antimanomissione. La protezione da manomissioni per le esclusioni funziona solo quando vengono soddisfatte determinate condizioni .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Exclusions_Processes |
| Nome descrittivo | Esclusioni di processi |
| Nome elemento | Esclusioni dei processi. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender esclusioni antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Nome file ADMX | WindowsDefender.admx |
PUAProtection
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
Abilitare o disabilitare il rilevamento per le applicazioni potenzialmente indesiderate. È possibile scegliere di bloccare, controllare o consentire quando si scarica software potenzialmente indesiderato o si tenta di installarsi nel computer.
Abilitato:
Specificare la modalità nella sezione Opzioni:
-Blocca: il software potenzialmente indesiderato verrà bloccato.
-Modalità di controllo: il software potenzialmente indesiderato non verrà bloccato, ma se questa funzionalità avrebbe bloccato l'accesso se fosse stato impostato su Blocca, un record dell'evento sarà presente nei log eventi.
Disabile:
Il software potenzialmente indesiderato non verrà bloccato.
Non configurato:
Uguale a Disabilitato.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Protezione PUA disattivata. Windows Defender non protegge dalle applicazioni potenzialmente indesiderate. |
| 1 | Protezione PUA attivata. Gli elementi rilevati sono bloccati. Verranno mostrati nella storia insieme ad altre minacce. |
| 2 | Modalità di controllo. Windows Defender rileverà le applicazioni potenzialmente indesiderate, ma non eseguirà alcuna azione. È possibile esaminare le informazioni sulle applicazioni su cui Windows Defender avrebbe intrapreso un'azione cercando gli eventi creati da Windows Defender nel Visualizzatore eventi. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Root_PUAProtection |
| Nome descrittivo | Configurare il rilevamento per le applicazioni potenzialmente indesiderate |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Antivirus |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender |
| Nome file ADMX | WindowsDefender.admx |
RealTimeScanDirection
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
Questa impostazione di criterio consente di configurare il monitoraggio per i file in ingresso e in uscita, senza dover disattivare completamente il monitoraggio. È consigliabile usare nei server in cui è presente un'attività di file in ingresso e in uscita, ma per motivi di prestazioni l'analisi deve essere disabilitata per individuare una direzione di analisi specifica. La configurazione appropriata deve essere valutata in base al ruolo del server.
Si noti che questa configurazione viene rispettata solo per i volumi NTFS. Per qualsiasi altro tipo di file system, il monitoraggio completo dell'attività di file e programma sarà presente in tali volumi.
Le opzioni per questa impostazione si escludono a vicenda:
0 = Analizza i file in ingresso e in uscita (impostazione predefinita) 1 = Analizza solo i file in ingresso 2 = Analizza solo i file in uscita.
Qualsiasi altro valore, o se il valore non esiste, viene risolto nel valore predefinito (0).
Se si abilita questa impostazione, verrà abilitato il tipo di monitoraggio specificato.
Se si disabilita o non si configura questa impostazione, verrà abilitato il monitoraggio per i file in ingresso e in uscita.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Monitorare tutti i file (bidirezionali). |
| 1 | Monitorare i file in ingresso. |
| 2 | Monitorare i file in uscita. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | RealtimeProtection_RealtimeScanDirection |
| Nome descrittivo | Configurare il monitoraggio per attività di file e programmi in ingresso e in uscita |
| Nome elemento | Configurare il monitoraggio per l'attività di file e programmi in ingresso e in uscita. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Protezione antivirus > in tempo reale |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nome file ADMX | WindowsDefender.admx |
ScanParameter
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
Questa impostazione di criterio consente di specificare il tipo di analisi da usare durante un'analisi pianificata. Le opzioni del tipo di analisi sono:
1 = Analisi rapida (impostazione predefinita) 2 = Analisi completa.
Se si abilita questa impostazione, il tipo di analisi verrà impostato sul valore specificato.
Se si disabilita o non si configura questa impostazione, verrà usato il tipo di analisi predefinito.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 1 (impostazione predefinita) | Analisi rapida. |
| 2 | Analisi completa. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_ScanParameters |
| Nome descrittivo | Specificare il tipo di analisi da usare per un'analisi pianificata |
| Nome elemento | Specificare il tipo di analisi da usare per un'analisi pianificata. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
ScheduleQuickScanTime
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
Questa impostazione di criterio consente di specificare l'ora del giorno in cui eseguire un'analisi rapida giornaliera. Il valore di ora è rappresentato come numero di minuti trascorsi la mezzanotte (00:00). Ad esempio, 120 (0x78) equivale alle 02:00. Per impostazione predefinita, questa impostazione è impostata su disabilitata. La pianificazione è basata sull'ora locale nel computer in cui è in esecuzione l'analisi.
Se si abilita questa impostazione, verrà eseguita un'analisi rapida giornaliera all'ora del giorno specificata.
Se si disabilita o non si configura questa impostazione, l'analisi rapida giornaliera controllata da questa configurazione non verrà eseguita.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-1380] |
| Valore predefinito | 120 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_ScheduleQuickScantime |
| Nome descrittivo | Specificare l'orario di un'analisi veloce giornaliera |
| Nome elemento | Specificare l'ora per un'analisi rapida giornaliera. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
ScheduleScanDay
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
Questa impostazione di criterio consente di specificare il giorno della settimana in cui eseguire un'analisi pianificata. L'analisi può anche essere configurata per l'esecuzione ogni giorno o per non essere mai eseguita affatto.
Questa impostazione può essere configurata con i valori numerici ordinali seguenti:
(0x0) Ogni giorno (0x1) Domenica (0x2) Lunedì (0x3) Martedì (0x4) Mercoledì (0x5) Giovedì (0x6) Venerdì (0x7) Sabato (0x8) Mai (impostazione predefinita)
Se si abilita questa impostazione, verrà eseguita un'analisi pianificata alla frequenza specificata.
Se si disabilita o non si configura questa impostazione, verrà eseguita un'analisi pianificata a una frequenza predefinita.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Ogni giorno. |
| 1 | Domenica. |
| 2 | Lunedì. |
| 3 | Martedì. |
| 4 | Mercoledì. |
| 5 | Giovedì. |
| 6 | Venerdì. |
| 7 | Sabato. |
| 8 | Nessuna analisi pianificata. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_ScheduleDay |
| Nome descrittivo | Specificare il giorno della settimana in cui eseguire un'analisi pianificata |
| Nome elemento | Specificare il giorno della settimana per eseguire un'analisi pianificata. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
ScheduleScanTime
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
Questa impostazione di criterio consente di specificare l'ora del giorno in cui eseguire un'analisi pianificata. Il valore di ora è rappresentato come numero di minuti trascorsi la mezzanotte (00:00). Ad esempio, 120 (0x78) equivale alle 02:00. Per impostazione predefinita, questa impostazione è impostata su un valore di ora pari a 2:00 AM. La pianificazione è basata sull'ora locale nel computer in cui è in esecuzione l'analisi.
Se si abilita questa impostazione, verrà eseguita un'analisi pianificata all'ora del giorno specificata.
Se si disabilita o non si configura questa impostazione, verrà eseguita un'analisi pianificata in un'ora predefinita.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-1380] |
| Valore predefinito | 120 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Scan_ScheduleTime |
| Nome descrittivo | Specificare l'ora del giorno per eseguire un'analisi pianificata |
| Nome elemento | Specificare l'ora del giorno per eseguire un'analisi pianificata. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender analisi antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Scan |
| Nome file ADMX | WindowsDefender.admx |
SecurityIntelligenceLocation
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1903 [10.0.18362] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
Questa impostazione di criterio consente di definire il percorso di intelligence di sicurezza per i computer configurati con VDI.
Se si disabilita o non si configura questa impostazione, verrà fatto riferimento all'intelligence di sicurezza dall'origine locale predefinita.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | SignatureUpdate_SharedSignaturesLocation |
| Nome descrittivo | Definire il percorso di intelligence per la sicurezza per i client VDI. |
| Nome elemento | Definire la condivisione file per scaricare gli aggiornamenti dell'intelligence di sicurezza negli ambienti virtuali. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Antivirus > Security Intelligence Aggiornamenti |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Signature Aggiornamenti |
| Nome file ADMX | WindowsDefender.admx |
SignatureUpdateFallbackOrder
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
Questa impostazione di criterio consente di definire l'ordine in cui devono essere contattate diverse origini di aggiornamento dell'intelligence per la sicurezza. Il valore di questa impostazione deve essere immesso come stringa separata da pipe che enumera le origini di aggiornamento dell'intelligence per la sicurezza in ordine. I valori possibili sono: "InternalDefinitionUpdateServer", "MicrosoftUpdateServer", "MMPC" e "FileShares".
Per esempio: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
Se si abilita questa impostazione, le origini di aggiornamento dell'intelligence per la sicurezza verranno contattate nell'ordine specificato. Dopo aver scaricato correttamente gli aggiornamenti di Security Intelligence da un'origine specificata, le origini rimanenti nell'elenco non verranno contattate.
Se si disabilita o non si configura questa impostazione, le origini di aggiornamento dell'intelligence per la sicurezza verranno contattate in un ordine predefinito.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | SignatureUpdate_FallbackOrder |
| Nome descrittivo | Definire l'ordine delle origini per il download degli aggiornamenti di Security Intelligence |
| Nome elemento | Definire l'ordine delle origini per il download degli aggiornamenti di Security Intelligence. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Antivirus > Security Intelligence Aggiornamenti |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Signature Aggiornamenti |
| Nome file ADMX | WindowsDefender.admx |
SignatureUpdateFileSharesSources
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
Questa impostazione di criterio consente di configurare le origini di condivisione file UNC per scaricare gli aggiornamenti di Security Intelligence. Le origini verranno contattate nell'ordine specificato. Il valore di questa impostazione deve essere immesso come stringa separata da pipe che enumera le origini di aggiornamento dell'intelligence per la sicurezza. Ad esempio: "{\\unc1 | \\unc2 }". L'elenco è vuoto per impostazione predefinita.
Se si abilita questa impostazione, le origini specificate verranno contattate per gli aggiornamenti dell'intelligence per la sicurezza. Dopo aver scaricato correttamente gli aggiornamenti di Security Intelligence da un'origine specificata, le origini rimanenti nell'elenco non verranno contattate.
Se si disabilita o non si configura questa impostazione, l'elenco rimarrà vuoto per impostazione predefinita e non verranno contattate origini.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: |) |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | SignatureUpdate_DefinitionUpdateFileSharesSources |
| Nome descrittivo | Definire condivisioni file per il download degli aggiornamenti di security intelligence |
| Nome elemento | Definire condivisioni file per il download degli aggiornamenti di security intelligence. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Antivirus > Security Intelligence Aggiornamenti |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Signature Aggiornamenti |
| Nome file ADMX | WindowsDefender.admx |
SignatureUpdateInterval
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
Questa impostazione di criterio consente di specificare un intervallo in corrispondenza del quale verificare la disponibilità di aggiornamenti delle informazioni di sicurezza. Il valore di ora è rappresentato come numero di ore tra i controlli di aggiornamento. I valori validi sono compresi tra 1 (ogni ora) e 24 (una volta al giorno).
Se si abilita questa impostazione, i controlli per gli aggiornamenti dell'intelligence di sicurezza verranno eseguiti all'intervallo specificato.
Se si disabilita o non si configura questa impostazione, i controlli per gli aggiornamenti dell'intelligence di sicurezza verranno eseguiti all'intervallo predefinito.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-24] |
| Valore predefinito | 8 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | SignatureUpdate_SignatureUpdateInterval |
| Nome descrittivo | Specificare l'intervallo per verificare la disponibilità di aggiornamenti dell'intelligence per la sicurezza |
| Nome elemento | Specificare l'intervallo per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Antivirus > Security Intelligence Aggiornamenti |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Signature Aggiornamenti |
| Nome file ADMX | WindowsDefender.admx |
SubmitSamplesConsent
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
Questa impostazione di criterio configura il comportamento dell'invio di esempi quando viene impostato il consenso esplicito per i dati di telemetria di MAPS.
Le opzioni possibili sono:
(0x0) Richiedi sempre conferma (0x1) Invia campioni sicuri automaticamente (0x2) Non inviare mai (0x3) Invia automaticamente tutti gli esempi.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Richiedi sempre conferma. |
| 1 (impostazione predefinita) | Inviare automaticamente campioni sicuri. |
| 2 | Non inviare mai. |
| 3 | Invia automaticamente tutti i campioni. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | SubmitSamplesConsent |
| Nome descrittivo | Inviare campioni di file quando è necessaria un'ulteriore analisi |
| Nome elemento | Inviare esempi di file quando è necessaria un'ulteriore analisi. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender Mappe antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Spynet |
| Nome file ADMX | WindowsDefender.admx |
ThreatSeverityDefaultAction
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
Questa impostazione di criterio consente di personalizzare l'azione di correzione automatica che verrà eseguita per ogni livello di avviso delle minacce. I livelli di avviso per le minacce devono essere aggiunti in Opzioni per questa impostazione. Ogni voce deve essere elencata come coppia di valori del nome. Il nome definisce un livello di avviso di minaccia. Il valore contiene l'ID azione per l'azione di correzione da eseguire.
I livelli di avviso delle minacce validi sono:
1 = Basso 2 = Medio 4 = Alto 5 = Grave.
I valori validi dell'azione di correzione sono:
2 = Quarantena 3 = Rimuovi 6 = Ignora.
Nota
Le modifiche a questa impostazione non vengono applicate quando è abilitata la protezione da manomissione .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Threats_ThreatSeverityDefaultAction |
| Nome descrittivo | Specificare i livelli di attenzione delle minacce per cui non eseguire l'azione predefinita se rilevate |
| Nome elemento | Specificare i livelli di avviso delle minacce in base ai quali non è consigliabile eseguire un'azione predefinita quando viene rilevata. |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Defender minacce antivirus > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows Defender\Threats |
| Nome file ADMX | WindowsDefender.admx |