Protezione da virus e minacce in Windows 11

Il panorama delle minacce di oggi è più complesso che mai. Questo nuovo mondo richiede un nuovo approccio alla prevenzione, al rilevamento e alla risposta delle minacce. Microsoft Defender Antivirus, insieme a molte altre funzionalità integrate in Windows 11, è in prima linea, proteggendo i clienti dalle minacce attuali ed emergenti.

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen protegge da applicazioni e siti Web di phishing e malware e dal download di file potenzialmente dannosi.

SmartScreen stabilisce se un sito è potenzialmente dannoso grazie agli accorgimenti che seguono:

• Analisi delle pagine Web visitate per trovare indicazioni di comportamento sospetto. Se determina che una pagina è sospetta, verrà visualizzata una pagina di avviso che avvisa
• Verifica dei siti visitati rispetto a un elenco dinamico dei siti malware e dediti al phishing segnalati. Se trova una corrispondenza, SmartScreen avvisa che il sito potrebbe essere dannoso

SmartScreen determina anche se un'app o un programma di installazione dell'app scaricato è potenzialmente dannoso:

• Verifica dei file scaricati rispetto a un elenco di siti software segnalati come dannosi e programmi ritenuti non sicuri. Se trova una corrispondenza, SmartScreen avvisa che il file potrebbe essere dannoso
• Controllo dei file scaricati in base a un elenco di file noti. Se il file è di tipo pericoloso e non è noto, SmartScreen visualizza un avviso di cautela

Con una protezione avanzata dal phishing in Windows 11, SmartScreen avvisa anche le persone quando immettono le credenziali Microsoft in una posizione potenzialmente rischiosa, indipendentemente dall'applicazione o dal browser usato. L'IT può personalizzare le notifiche visualizzate tramite Microsoft Intune^[4]. Questa protezione viene eseguita in modalità di controllo per impostazione predefinita, offrendo agli amministratori IT il controllo completo per prendere decisioni sulla creazione e l'imposizione dei criteri.

Poiché Windows 11 include questi miglioramenti già integrati e abilitati, gli utenti hanno maggiore sicurezza dal momento in cui accendono il dispositivo.

Ulteriori informazioni

• libreria di documentazione di Microsoft Defender SmartScreen

Protezione di rete

Mentre Microsoft Defender Smartscreen funziona con Microsoft Edge, per browser e processi di terze parti, Windows 11 dispone di protezione di rete che protegge da truffe di phishing, siti Web di malware e il download di file potenzialmente dannosi.

Quando si usa Protezione di rete con Microsoft Defender per endpoint, è possibile usare indicatori di compromissione per bloccare URL e/o indirizzi IP specifici. Si integra anche con Microsoft Defender for Cloud Apps per bloccare le app Web non gestite nell'organizzazione. Consentire o bloccare l'accesso ai siti Web in base alla categoria con il filtro contenuto Web di Microsoft Defender per endpoint.

Ulteriori informazioni

• Libreria di protezione di rete
• Libreria di protezione Web

Protezione antimanomissione

Attacchi come il tentativo ransomware di disabilitare le funzionalità di sicurezza, ad esempio la protezione antivirus. Gli attori non validi come disabilitare le funzionalità di sicurezza per ottenere un accesso più semplice ai dati dell'utente, installare malware o sfruttare in altro modo i dati, l'identità e i dispositivi dell'utente senza timore di essere bloccati. La protezione da manomissioni consente di evitare questo tipo di attività.

Con la protezione da manomissioni, il malware non può intraprendere azioni come:

• Disabilitazione della protezione in tempo reale
• Disattivazione del monitoraggio del comportamento
• Disabilitazione della protezione antivirus, ad esempio Analizza tutti i file e gli allegati scaricati (IOfficeAntivirus (IOAV))
• Disabilitazione della protezione fornita dal cloud
• Rimozione degli aggiornamenti dell'intelligence per la sicurezza
• Disabilitazione delle azioni automatiche sulle minacce rilevate
• Disabilitazione dei file archiviati
• Modifica delle esclusioni
• Disabilitazione delle notifiche nell'app Sicurezza di Windows

Ulteriori informazioni

• Protezione antimanomissione

Antivirus Microsoft Defender

Microsoft Defender Antivirus è una soluzione di protezione di nuova generazione inclusa in tutte le versioni di Windows 10 e Windows 11. Dal momento in cui si attiva Windows, Microsoft Defender Antivirus monitora continuamente la presenza di malware, virus e minacce alla sicurezza. Oltre alla protezione in tempo reale, gli aggiornamenti vengono scaricati automaticamente per proteggere il dispositivo e proteggerlo dalle minacce. Se è installata e attivata un'altra app antivirus, Microsoft Defender Antivirus si disattiva automaticamente. Se si disinstalla l'altra app, Microsoft Defender Antivirus viene riattivato.

L’antivirus Microsoft Defender include la protezione antivirus in tempo reale, basata sul comportamento e euristica. Questa combinazione di analisi del contenuto sempre attiva, monitoraggio del comportamento di file e processi e altre euristiche impedisce in modo efficace le minacce alla sicurezza. Microsoft Defender Antivirus cerca continuamente malware e minacce e rileva e blocca anche applicazioni potenzialmente indesiderate( PUA), applicazioni che si ritiene influissero negativamente sul dispositivo, ma non siano considerate malware.

Microsoft Defender protezione antivirus always-on è integrata con la protezione fornita dal cloud, che consente di garantire il rilevamento quasi istantaneo e il blocco delle minacce nuove ed emergenti. Questa combinazione di tecnologie locali e cloud, tra cui l'analisi avanzata della memoria, il monitoraggio del comportamento e l'apprendimento automatico, offre una protezione pluripremiata a casa e al lavoro.

Ulteriori informazioni

• Panoramica di antivirus Microsoft Defender in Windows

Regole per la riduzione della superficie di attacco

Le regole di riduzione della superficie di attacco consentono di evitare azioni e applicazioni o script spesso abusati per compromettere dispositivi e reti. Controllando quando e come possono essere eseguiti eseguibili e/o script, riducendo così la superficie di attacco, è possibile ridurre la vulnerabilità complessiva dell'organizzazione. Gli amministratori possono configurare regole di riduzione della superficie di attacco specifiche per bloccare determinati comportamenti, ad esempio:

• Avvio di file eseguibili e script che tentano di scaricare o eseguire file
• Esecuzione di script offuscati o in altro modo sospetti
• Esecuzione di comportamenti che le app in genere non avviano durante il normale lavoro quotidiano

Ad esempio, un utente malintenzionato potrebbe provare a eseguire uno script non firmato da un'unità USB o a fare in modo che una macro in un documento di Office effettui chiamate direttamente all'API Win32. Le regole di riduzione della superficie di attacco possono limitare questi tipi di comportamenti rischiosi e migliorare la postura difensiva del dispositivo. Per una protezione completa, seguire i passaggi per abilitare l'isolamento basato su hardware

Ulteriori informazioni

• Riduzione della superficie di attacco

Accesso controllato alle cartelle

È possibile proteggere le informazioni preziose in cartelle specifiche gestendo l'accesso alle app. Solo le app attendibili possono accedere alle cartelle protette, specificate quando viene configurato l'accesso controllato alle cartelle. In genere, le cartelle di uso comune, ad esempio quelle usate per documenti, immagini e download, sono incluse nell'elenco delle cartelle controllate.

L'accesso controllato alle cartelle funziona con un elenco di app attendibili. Le app incluse nell'elenco del software attendibile funzionano come previsto. Alle app che non sono incluse nell'elenco attendibile viene impedito di apportare modifiche ai file all'interno di cartelle protette.

L'accesso controllato alle cartelle consente di proteggere i dati preziosi dell'utente da app dannose e minacce come ransomware.

Ulteriori informazioni

• Accesso controllato alle cartelle

Protezione dagli exploit

Protezione dagli exploit applica automaticamente diverse tecniche di mitigazione degli exploit ai processi e alle app del sistema operativo. Protezione dagli exploit funziona meglio con Microsoft Defender per endpoint^[4], che offre alle organizzazioni report dettagliati sugli eventi e sui blocchi di Protezione dagli exploit come parte dei tipici scenari di analisi degli avvisi. È possibile abilitare Protezione dagli exploit in un singolo dispositivo e quindi usare le impostazioni dei criteri per distribuire il file XML di configurazione a più dispositivi contemporaneamente.

Quando viene rilevata una mitigazione nel dispositivo, viene visualizzata una notifica nel Centro azioni. Puoi personalizzare la notifica con dettagli dell'azienda e le informazioni di contatto. Puoi inoltre abilitare le regole individualmente per indicare in modo personalizzato quali tecniche monitorare.

È possibile usare la modalità di controllo per valutare l'impatto di Protezione dagli exploit sull'organizzazione se fosse abilitata. E passare attraverso le procedure di distribuzione sicura (SDP).

Windows 11 offre opzioni di configurazione per Protezione dagli exploit. È possibile impedire agli utenti di modificare queste opzioni specifiche con soluzioni di gestione dei dispositivi come Microsoft Intune^[4] o criteri di gruppo.

Ulteriori informazioni

• Protezione dei dispositivi dagli exploit