Valutare Microsoft Defender antivirus usando Criteri di gruppo
Si applica a:
- Antivirus Microsoft Defender
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
Piattaforme:
- Windows
In Windows 10 o più recenti e Windows Server 2016 o più recenti, è possibile usare le funzionalità di protezione di nuova generazione offerte da Microsoft Defender Antivirus (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).
Questo articolo illustra come abilitare e testare le principali funzionalità di protezione in Microsoft Defender AV e Microsoft Defender EG e fornisce indicazioni e collegamenti ad altre informazioni.
Questo articolo descrive le opzioni di configurazione in Windows 10 o più recenti e Windows Server 2016 o versioni successive.
Usare Microsoft Defender Antivirus usando Criteri di gruppo per abilitare le funzionalità
Questa guida fornisce il Microsoft Defender Antivirus Criteri di gruppo che configura le funzionalità da usare per valutare la protezione.
Acquisire la versione più recente di "Modelli amministrativi di Windows Criteri di gruppo".
Per altre informazioni, vedere Creare e gestire l'archivio centrale - Client Windows.
Consiglio
- Windows 1 funziona con i server Windows.
- Anche se si esegue un Windows 10 o un Windows Server 2016, ottenere i modelli amministrativi più recenti per Windows 11 o versioni successive.
Creare un 'Archivio centrale' per ospitare i modelli con estensione admx e adml più recenti.
Per altre informazioni, vedere Creare e gestire l'archivio centrale - Client Windows.
Se aggiunto a un dominio:
Creare una nuova ereditarietà dei criteri di blocco dell'unità organizzativa.
Aprire Console Gestione Criteri di gruppo (GPMC.msc).
Passare a oggetti Criteri di gruppo e creare un nuovo Criteri di gruppo.
Fare clic con il pulsante destro del mouse sul nuovo criterio creato e scegliere Modifica.
Passare aCriteri> di configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Antivirus.
o
Se aggiunto a un gruppo di lavoro
Aprire Criteri di gruppo Editor MMC (GPEdit.msc).
Passare a Configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Antivirus.
MDAV e applicazioni potenzialmente indesiderate (PUA)
Radice:
| Descrizione | Impostazione |
|---|---|
| Disattiva Microsoft Defender Antivirus | Disabilitato |
| Configurare il rilevamento per le applicazioni potenzialmente indesiderate | Abilitato - Blocca |
Protezione in tempo reale (protezione sempre attiva, analisi in tempo reale)
\ Protezione in tempo reale:
| Descrizione | Impostazione |
|---|---|
| Disattivare la protezione in tempo reale | Disabilitato |
| Configurare il monitoraggio per l'attività di file e programmi in ingresso e in uscita | Abilitato, bidirezionale (accesso completo) |
| Attivare Il monitoraggio del comportamento | Abilitato |
| Monitorare l'attività di file e programmi nel computer | Abilitato |
Funzionalità di protezione del cloud
Standard gli aggiornamenti dell'intelligence di sicurezza possono richiedere ore per la preparazione e la distribuzione; il servizio di protezione fornito dal cloud può offrire questa protezione in pochi secondi.
Per altre informazioni, vedere Usare tecnologie di nuova generazione in Microsoft Defender Antivirus tramite la protezione fornita dal cloud.
\ MAPPE:
| Descrizione | Impostazione |
|---|---|
| Partecipare a Microsoft MAPS | Abilitato, Mappe avanzate |
| Configurare la funzionalità "Blocca al primo rilevamento" | Abilitato |
| Inviare esempi di file quando è necessaria un'ulteriore analisi | Abilitato, Inviare tutti gli esempi |
\ MpEngine:
| Descrizione | Impostazione |
|---|---|
| Selezionare il livello di protezione cloud | Abilitato, livello di blocco elevato |
| Configurare il controllo cloud esteso | Abilitato, 50 |
Scansioni
| Descrizione | Impostazione |
|---|---|
| Attivare l'euristica | Abilitato |
| Attivare l'analisi della posta elettronica | Abilitato |
| Analizzare tutti i file e gli allegati scaricati | Abilitato |
| Attivare l'analisi degli script | Abilitato |
| Analizzare i file di archivio | Abilitato |
| Analizzare i file eseguibili compressi | Abilitato |
| Configurare l'analisi dei file di rete (analisi dei file di rete) | Abilitato |
| Analizzare le unità rimovibili | Abilitato |
| Attivare l'analisi del reparse point | Abilitato |
Aggiornamenti di Security Intelligence
| Descrizione | Impostazione |
|---|---|
| Specificare l'intervallo per verificare la disponibilità di aggiornamenti dell'intelligence per la sicurezza | Abilitato, 4 |
| Definire l'ordine delle origini per il download degli aggiornamenti di Security Intelligence | Abilitato, in 'Definire l'ordine delle origini per il download degli aggiornamenti di Security Intelligence' InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Nota: Dove InternalDefinitionUpdateServer è WSUS con Microsoft Defender aggiornamenti antivirus consentiti. MicrosoftUpdateServer == Microsoft Update (in precedenza Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Disabilitare le impostazioni AV dell'amministratore locale
Disabilitare le impostazioni av dell'amministratore locale, ad esempio le esclusioni, e applicare i criteri dalla gestione delle impostazioni di sicurezza Microsoft Defender per endpoint.
Radice:
| Descrizione | Impostazione |
|---|---|
| Configurare il comportamento di unione dell'amministratore locale per gli elenchi | Disabilitato |
| Controllare se le esclusioni sono visibili agli amministratori locali | Abilitato |
Azione predefinita per la gravità della minaccia
\ Minacce
| Descrizione | Impostazione | Livello di avviso | Azione |
|---|---|---|---|
| Specificare i livelli di avviso delle minacce in corrispondenza dei quali non è consigliabile eseguire un'azione predefinita quando viene rilevata | Abilitato | ||
| 5 (Grave) | 2 (quarantena) | ||
| 4 (Alto) | 2 (quarantena) | ||
| 2 (medio) | 2 (quarantena) | ||
| 1 (Basso) | 2 (quarantena) |
\ Quarantena
| Descrizione | Impostazione |
|---|---|
| Configurare la rimozione di elementi dalla cartella Quarantena | Abilitato, 60 |
\ Interfaccia client
| Descrizione | Impostazione |
|---|---|
| Abilitare la modalità interfaccia utente headless | Disabilitato |
Protezione di rete
\ Microsoft Defender Exploit Guard\Network Protection:
| Descrizione | Impostazione |
|---|---|
| Impedire a utenti e app di accedere a siti Web pericolosi | Abilitato, Blocca |
| Queste impostazioni controllano se La protezione di rete può essere configurata in modalità di blocco o di controllo in Windows Server | Abilitato |
Per abilitare La protezione di rete per i server Windows, per il momento, usare PowerShell:
| Sistema operativo | Cmdlet di PowerShell |
|---|---|
| Windows Server 2012 R2Windows Server 2022 e versioni successive | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| client MDE unificato Windows Server 2016 e Windows Server 2012 R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true e set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Regole per la riduzione della superficie di attacco
Passare a Configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Antivirus> Microsoft DefenderRiduzione della superficie di attacco di Exploit Guard>.
Seleziona Avanti.
| Descrizione | Impostazione |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Nota: (Blocca contenuto eseguibile da client di posta elettronica e webmail) |
1 (blocco) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Nota: (Impedisce ad Adobe Reader di creare processi figlio) |
1 (blocco) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Nota: (Blocca l'esecuzione di script potenzialmente offuscati) |
1 (blocco) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Nota: (Blocca l'abuso di driver firmati vulnerabili sfruttati) |
1 (blocco) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Nota: (Blocca chiamate API Win32 dalle macro di Office) |
1 (blocco) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Nota: (Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile) |
1 (blocco) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Nota: (Impedisce all'applicazione di comunicazione di Office di creare processi figlio) |
1 (blocco) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Nota: (Impedisce a tutte le applicazioni di Office di creare processi figlio) |
1 (blocco) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Nota: ([ANTEPRIMA] Blocca l'uso di strumenti di sistema copiati o rappresentati) |
1 (blocco) |
| d3e037e1-3eb8-44c8-a917-57927947596d Nota: (Impedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato) |
1 (blocco) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Nota: (Blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows) |
1 (blocco) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Nota: (Blocca la creazione di shell Web per server) |
1 (blocco) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Nota: (Impedisce alle applicazioni di Office di creare contenuto eseguibile) |
1 (blocco) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Nota: (Blocca processi non attendibili e non firmati eseguiti da USB) |
1 (blocco) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Nota: (Impedisce alle applicazioni di Office di inserire codice in altri processi) |
1 (blocco) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Nota: (Blocca la persistenza tramite la sottoscrizione di eventi WMI) |
1 (blocco) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Nota: (Usare la protezione avanzata contro il ransomware) |
1 (blocco) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Nota: (Blocca le creazioni di processi provenienti dai comandi PSExec e WMI) |
1 (blocco) Nota: Se si dispone di Configuration Manager (in precedenza SCCM) o di altri strumenti di gestione che usano WMI, potrebbe essere necessario impostarlo su 2 ('audit') anziché su 1('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Nota: ([ANTEPRIMA] Blocca il riavvio del computer in modalità provvisoria) |
1 (blocco) |
Consiglio
Alcune regole potrebbero bloccare il comportamento che si ritiene accettabile nell'organizzazione. In questi casi, modificare la regola da 'Enabled' a 'Audit' per evitare blocchi indesiderati.
Accesso controllato alle cartelle
Passare a Configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Antivirus> Microsoft DefenderRiduzione della superficie di attacco di Exploit Guard>.
| Descrizione | Impostazione |
|---|---|
| Configurare l'accesso controllato alle cartelle | Abilitato, Blocca |
Assegnare i criteri all'unità organizzativa in cui si trovano i computer di test.
Abilitare la protezione antimanomissione
Nel portale di Microsoft XDR (security.microsoft.com) passare a Impostazioni>Endpoint>Funzionalità> avanzate Protezione >da manomissioneattivata.
Per altre informazioni, vedere Ricerca per categorie configurare o gestire la protezione da manomissioni.
Controllare la connettività di rete di Cloud Protection
È importante verificare che la connettività di rete di Cloud Protection funzioni durante il test della penna.
CMD (Esegui come amministratore)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Per altre informazioni, vedere Usare lo strumento cmdline per convalidare la protezione fornita dal cloud.
Controllare la versione di Platform Update
La versione più recente del canale di produzione (GA) "Platform Update" è disponibile qui:
Per verificare quale versione di 'Platform Update' è installata, usare il comando di PowerShell seguente (Esegui come amministratore):
get-mpComputerStatus | ft AMProductVersion
Controllare la versione dell'aggiornamento di Security Intelligence
La versione più recente di "Security Intelligence Update" è disponibile qui:
Per verificare quale versione di 'Security Intelligence Update' è installata, usare il comando di PowerShell seguente (Esegui come amministratore):
get-mpComputerStatus | ft AntivirusSignatureVersion
Controllare la versione dell'aggiornamento del motore
La versione più recente dell'analisi "aggiornamento motore" è disponibile qui:
Per verificare quale versione di "Aggiornamento motore" è installata, usare il comando di PowerShell seguente(Esegui come amministratore):
get-mpComputerStatus | ft AMEngineVersion
Se si rileva che le impostazioni non hanno effetto, è possibile che si verifichi un conflitto. Per risolvere i conflitti, fare riferimento a: Risolvere i problemi relativi alle impostazioni antivirus Microsoft Defender.
Per gli invii di falsi negativi (FN)
Se si hanno domande su un rilevamento eseguito da Microsoft Defender AV o si individua un rilevamento perso, è possibile inviare un file a Microsoft.
Se si dispone di Microsoft XDR, Microsoft Defender per endpoint P2/P1 o Microsoft Defender for Business: fare riferimento a Invia file in Microsoft Defender per endpoint.If you have Microsoft XDR, Microsoft Defender per endpoint P2/P1, or Microsoft Defender for Business: refer Submit files in Microsoft Defender per endpoint.
Se si dispone di Microsoft Defender Antivirus, fare riferimento a:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV indica un rilevamento tramite notifiche Windows standard. È anche possibile esaminare i rilevamenti nell'app av Microsoft Defender.
Il registro eventi di Windows registra anche il rilevamento e gli eventi del motore. Per un elenco degli ID evento e delle azioni corrispondenti, vedere l'articolo Microsoft Defender Eventi antivirus.
Se le impostazioni non vengono applicate correttamente, verificare se sono presenti criteri in conflitto abilitati nell'ambiente. Per altre informazioni, vedere Risolvere i problemi relativi alle impostazioni antivirus Microsoft Defender.
Se è necessario aprire un caso di supporto Microsoft: contattare il supporto Microsoft Defender per endpoint.