Domande frequenti sulla protezione da manomissioni

Quali sono i requisiti del dispositivo per la protezione dalle manomissioni per raggiungere i dispositivi quando la protezione da manomissione è abilitata nel portale di Microsoft Defender?

I dispositivi devono soddisfare tutti i requisiti seguenti:

Per gestire la protezione dalle manomissioni nel portale di Microsoft Defender (https://security.microsoft.com), è necessario disporre delle autorizzazioni appropriate assegnate tramite ruoli, ad esempio Amministratore della sicurezza. Vedere Controllo degli accessi in base al ruolo (RBAC) di Microsoft Defender XDR.

In quali versioni di Windows è possibile configurare la protezione da manomissioni?

Se si usa Configuration Manager versione 2006 con collegamento tenant, la protezione da manomissioni può essere estesa a Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 e Windows Server 2022. Vedere Collegamento tenant: Creare e distribuire criteri antivirus per la sicurezza degli endpoint dall'interfaccia di amministrazione (anteprima).

La protezione da manomissione influisce sulla registrazione di antivirus non Microsoft nell'app Sicurezza di Windows?

No. Le offerte antivirus non Microsoft continuano a registrarsi con l'applicazione Sicurezza di Windows.

Cosa accade se Microsoft Defender Antivirus non è attivo in un dispositivo?

Se il software antivirus/antimalware non Microsoft è installato in un dispositivo, quando tale dispositivo viene caricato in Microsoft Defender per endpoint, Microsoft Defender Antivirus viene eseguito in modalità passiva per impostazione predefinita. La protezione dalle manomissioni protegge il servizio e le sue funzionalità.

Se/quando il software antivirus/antimalware non Microsoft viene disinstallato, Microsoft Defender Antivirus passa automaticamente alla modalità attiva. La protezione dalle manomissioni continua a proteggere il servizio e le relative funzionalità.

Come si attiva o disattiva la protezione dalle manomissioni?

È consigliabile usare Microsoft Intune per gestire le impostazioni di Microsoft Defender Antivirus per l'organizzazione. Con Intune è possibile controllare dove la protezione da manomissione è abilitata (o disabilitata) tramite i criteri. È anche possibile proteggere le esclusioni di Microsoft Defender Antivirus. Vedere Protezione da manomissioni: Esclusioni di Microsoft Defender Antivirus.

È anche possibile usare il portale di Microsoft Defender o Configuration Manager.

Se si è utenti privati, vedere Gestire la protezione da manomissioni in un singolo dispositivo.

La protezione da manomissione fa parte della protezione predefinita e deve essere abilitata.

La protezione da manomissione si applica alle esclusioni di Microsoft Defender Antivirus?

Sì. Per proteggere le esclusioni di Microsoft Defender Antivirus nei dispositivi, è necessario soddisfare determinate condizioni. Ad esempio, è necessario usare solo Intune o Configuration Manager solo per gestire i dispositivi ed è necessario che Sense sia abilitato. Vedere Proteggere le esclusioni di Microsoft Defender Antivirus.

In che modo la configurazione della protezione da manomissioni in Intune influisce sul modo in cui si gestisce Microsoft Defender Antivirus con Criteri di gruppo?

Se attualmente si usa Intune per configurare e gestire la protezione da manomissioni, è consigliabile continuare a usare Intune. Quando la protezione dalle manomissioni è attivata e si usano Criteri di gruppo per apportare modifiche alle impostazioni di Microsoft Defender Antivirus, tutte le impostazioni protette dalla protezione da manomissioni vengono ignorate.

  • Se è necessario apportare modifiche a un dispositivo e tali modifiche sono bloccate dalla protezione da manomissioni, è possibile usare la modalità di risoluzione dei problemi per disabilitare temporaneamente la protezione dalle manomissioni nel dispositivo. Al termine della modalità di risoluzione dei problemi, tutte le modifiche apportate alle impostazioni protette da manomissioni vengono ripristinate allo stato configurato.
  • È possibile usare Intune o Configuration Manager per escludere i dispositivi dalla protezione da manomissioni.
  • Se si gestisce la protezione dalle manomissioni tramite Intune e vengono soddisfatte alcune altre condizioni, è possibile gestire le esclusioni antivirus protette da manomissione.

Se si usa Microsoft Intune per configurare la protezione dalle manomissioni, si applica solo all'intera organizzazione?

Se si usa Intune per configurare e gestire la protezione da manomissioni, non è necessario applicare la protezione da manomissione all'intera organizzazione. Con Intune è possibile scegliere di applicare la protezione antimanomissione all'intera organizzazione oppure selezionare dispositivi o gruppi di utenti specifici per ricevere la protezione da manomissioni. È anche possibile escludere dispositivi specifici dalla protezione dalle manomissioni.

Quali impostazioni non possono essere modificate quando è attivata la protezione da manomissione?

Quando la protezione da manomissione è attivata, le impostazioni di sicurezza seguenti sono protette da modifiche:

  • La protezione da virus e minacce rimane abilitata.
  • La protezione in tempo reale rimane attivata.
  • Il monitoraggio del comportamento rimane attivato.
  • La protezione antivirus, tra cui IOfficeAntivirus (IOAV) rimane abilitata.
  • La protezione cloud rimane abilitata.
  • Gli aggiornamenti dell'intelligence per la sicurezza continuano a verificarsi.
  • Vengono eseguite azioni automatiche sulle minacce rilevate.
  • Le notifiche sono visibili nell'app Sicurezza di Windows nei dispositivi Windows.
  • I file archiviati vengono analizzati.

Per altre informazioni, vedere Cosa accade quando la protezione da manomissione è attivata?

Se la protezione da manomissione è attivata in Microsoft Defender XDR, le impostazioni in Intune o Configuration Manager possono eseguirne l'override?

Quando la protezione dalle manomissioni è attivata nel portale di Microsoft Defender (https://security.microsoft.com), la protezione dalle manomissioni è attivata, a livello di tenant. Tuttavia, i criteri definiti in Intune o Configuration Manager possono sostituire le impostazioni nel portale di Microsoft Defender. Ad esempio, è possibile definire un criterio in Intune o Configuration Manager che esclude determinati dispositivi dalla protezione da manomissioni.

Come si distribuisce DisableLocalAdminMerge?

Usare Intune per distribuire DisableLocalAdminMerge.

Come è possibile verificare se le esclusioni sono protette da manomissioni in un dispositivo Windows?

Seguire le indicazioni riportate in Gestire le esclusioni antivirus protette da manomissioni.

Se la protezione dalle manomissioni è attivata per le esclusioni, è necessario disabilitarla per applicare nuove impostazioni dei criteri di esclusione da Intune o Configuration Manager?

No. Quando la protezione da manomissione per le esclusioni è abilitata, non è necessario disabilitarla per applicare nuove esclusioni.

È possibile configurare la protezione da manomissioni con Configuration Manager?

Sì. Analogamente all'uso di Intune, è possibile applicare la protezione antimanomissione a tutta l'organizzazione o a utenti e dispositivi specifici. Per ulteriori informazioni, vedere le seguenti risorse:

Sono un cliente aziendale. Gli amministratori locali possono modificare la protezione da manomissioni nei propri dispositivi?

In generale, la protezione dalle manomissioni consente di evitare che gli utenti possano modificare le impostazioni di sicurezza direttamente nei dispositivi. La protezione da manomissione fa parte delle funzionalità anti-manomissione che includono regole standard di riduzione della superficie di attacco di protezione. Per impedire ulteriormente l'esecuzione di malware nel kernel, è consigliabile usare le regole del blocco di driver con Il controllo delle applicazioni per Windows.

Cosa accade se il dispositivo viene caricato con Microsoft Defender per endpoint e quindi passa a uno stato esterno?

Se un dispositivo è disattivato da Microsoft Defender per endpoint, la protezione dalle manomissioni è attivata, ovvero lo stato predefinito per i dispositivi non gestiti.

Se lo stato della protezione dalle manomissioni cambia, gli avvisi vengono visualizzati nel portale di Microsoft Defender?

Gli avvisi devono essere elencati nel portale di Microsoft Defender in Avvisi. Il team delle operazioni di sicurezza può anche usare query di ricerca, ad esempio l'esempio seguente:

AlertInfo|where Title == "Tamper Protection bypass"

Quali sono tutte le opzioni per configurare la protezione dalle manomissioni?

È possibile usare uno dei metodi seguenti per configurare la protezione dalle manomissioni:

  • Il portale di Microsoft Defender (attivare o disattivare la protezione dalle manomissioni, a livello di tenant)
  • Intune (attivare o disattivare la protezione dalle manomissioni e/o configurare la protezione dalle manomissioni per alcuni o tutti gli utenti)
  • Configuration Manager (con il collegamento del tenant, è possibile configurare la protezione dalle manomissioni per alcuni o tutti i dispositivi usando il profilo dell'esperienza di sicurezza di Windows).
  • App di sicurezza di Windows (per un singolo dispositivo usato a casa o in situazioni in cui un team di sicurezza non gestisce il dispositivo)

Nota

È consigliabile mantenere attiva la protezione da manomissione per l'intera organizzazione. Se la protezione da manomissioni impedisce all'IT o al team di sicurezza di eseguire un'attività necessaria in un dispositivo, è consigliabile usare la modalità di risoluzione dei problemi anziché disabilitare la protezione dalle manomissioni.