Impostazioni di Windows che è possibile gestire tramite un profilo di Endpoint Protection Intune

Nota

Intune può supportare più impostazioni rispetto alle impostazioni elencate in questo articolo. Non tutte le impostazioni sono documentate e non verranno documentate. Per visualizzare le impostazioni che è possibile configurare, creare un criterio di configurazione del dispositivo e selezionare Catalogo impostazioni. Per altre informazioni, vedere Catalogo impostazioni.

Microsoft Intune include molte impostazioni per proteggere i dispositivi. Questo articolo descrive le impostazioni nel modello di Endpoint Protection per la configurazione del dispositivo. Per gestire la sicurezza dei dispositivi, è anche possibile usare i criteri di sicurezza degli endpoint, che si concentrano direttamente sui subset di sicurezza dei dispositivi. Per configurare Microsoft Defender Antivirus, vedere Restrizioni dei dispositivi Windows o usare i criteri antivirus per la sicurezza degli endpoint.

Prima di iniziare

Creare un profilo di configurazione del dispositivo di Endpoint Protection.

Per altre informazioni sui provider di servizi di configurazione, vedere Informazioni di riferimento sui provider di servizi di configurazione.

Microsoft Defender Application Guard

Per Microsoft Edge, Microsoft Defender Application Guard protegge l'ambiente da siti non considerati attendibili dall'organizzazione. Con Application Guard, i siti non inclusi nel limite di rete isolato si aprono in una sessione di esplorazione virtuale Hyper-V. I siti attendibili sono definiti da un limite di rete configurato in Configurazione dispositivo. Per altre informazioni, vedere Creare un limite di rete nei dispositivi Windows.

Application Guard è disponibile solo per i dispositivi Windows a 64 bit. L'uso di questo profilo consente di installare un componente Win32 per attivare Application Guard.

• Application Guard
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

  • Abilitato per Edge : attiva questa funzionalità, che apre siti non attendibili in un contenitore di esplorazione virtualizzato Hyper-V.
  • Non configurato : qualsiasi sito (attendibile e non attendibile) può aprirsi nel dispositivo.

• Comportamento degli Appunti
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/ClipboardSettings

  Scegliere quali azioni di copia e incolla sono consentite tra il PC locale e il browser virtuale Application Guard.

  • Non configurata
  • Consenti copia e incolla solo da PC a browser
  • Consenti copia e incolla solo dal browser al PC
  • Consenti copia e incolla tra PC e browser
  • Blocca copia e incolla tra PC e browser

• Contenuto degli Appunti
  Questa impostazione è disponibile solo quando il comportamento degli Appunti è impostato su una delle impostazioni consentite .
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/ClipboardFileType

  Selezionare il contenuto degli Appunti consentito.

  • Non configurata
  • Testo
  • Immagini
  • Testo e immagini

• Contenuto esterno nei siti aziendali
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/BlockNonEnterpriseContent

  • Blocca : blocca il caricamento del contenuto dei siti Web non approvati.
  • Non configurato : i siti non aziendali possono aprirsi nel dispositivo.

• Stampa dal browser virtuale
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/PrintingSettings

  • Consenti : consente la stampa del contenuto selezionato dal browser virtuale.
  • Non configurato Disabilitare tutte le funzionalità di stampa.

  Quando si consente la stampa, è quindi possibile configurare l'impostazione seguente:

  • Tipi di stampa Selezionare una o più delle opzioni seguenti:
    • PDF
    • XPS
    • Stampanti locali
    • Stampanti di rete

• Raccogliere i log
  Impostazione predefinita: non configurata
  Application Guard CSP: Audit/AuditApplicationGuard

  • Consenti: raccogliere i log per gli eventi che si verificano all'interno di una sessione di esplorazione Application Guard.
  • Non configurato : non raccogliere log all'interno della sessione di esplorazione.

• Conservare i dati del browser generati dall'utente
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/AllowPersistence

  • Permettere Salvare i dati utente (ad esempio password, preferiti e cookie) creati durante una sessione di esplorazione virtuale Application Guard.
  • Non configurato Rimuovere i file e i dati scaricati dall'utente al riavvio del dispositivo o quando un utente si disconnette.

• Accelerazione grafica
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/AllowVirtualGPU

  • Abilita : caricare più velocemente siti Web e video a elevato utilizzo di grafica ottenendo l'accesso a un'unità di elaborazione grafica virtuale.
  • Non configurato Usare la CPU del dispositivo per la grafica; Non usare l'unità di elaborazione grafica virtuale.

• Scaricare i file nel file system host
  Impostazione predefinita: non configurata
  Application Guard CSP: Settings/SaveFilesToHost

  • Abilita : gli utenti possono scaricare i file dal browser virtualizzato nel sistema operativo host.
  • Non configurato : mantiene i file locali nel dispositivo e non scarica i file nel file system host.

Windows Firewall

Impostazioni globali

Queste impostazioni sono applicabili a tutti i tipi di rete.

• Protocollo di trasferimento file
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: MdmStore/Global/DisableStatefulFtp

  • Blocca : disabilita FTP con stato.
  • Non configurato : il firewall esegue il filtro FTP con stato per consentire le connessioni secondarie.

• Tempo di inattività dell'associazione di sicurezza prima dell'eliminazione
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: MdmStore/Global/SaIdleTime

  Specificare un tempo di inattività in secondi, dopo il quale vengono eliminate le associazioni di sicurezza.

• Codifica della chiave precon condivisa
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: MdmStore/Global/PresharedKeyEncoding

  • Abilita : codificare le chiavi presheare con UTF-8.
  • Non configurato : codificare le chiavi preriscaldate usando il valore dell'archivio locale.

• Esenzioni IPsec
  Impostazione predefinita: 0 selezionato
  Provider di servizi di configurazione firewall: MdmStore/Global/IPsecExempt

  Selezionare uno o più dei tipi di traffico seguenti da esentare da IPsec:

  • Neighbor individua i codici di tipo ICMP IPv6
  • ICMP
  • Router individua i codici di tipo ICMP IPv6
  • Traffico di rete DHCP IPv4 e IPv6

• Verifica dell'elenco di revoche di certificati
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: MdmStore/Global/CRLcheck

  Scegliere come il dispositivo verifica l'elenco di revoche di certificati. Le opzioni disponibili sono:

  • Disabilitare la verifica CRL
  • Esito negativo della verifica CRL solo nel certificato revocato
  • Non è possibile eseguire la verifica CRL in caso di errore.

• Corrisponde in modo opportunistico al set di autenticazione per ogni modulo di keying
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

  • Abilitare I moduli di keying devono ignorare solo i gruppi di autenticazione che non supportano.
  • Non configurati, i moduli di keying devono ignorare l'intero set di autenticazione se non supportano tutte le suite di autenticazione specificate nel set.

• Accodamento pacchetti
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: MdmStore/Global/EnablePacketQueue

  Specificare la modalità di abilitazione del ridimensionamento software sul lato ricezione per la ricezione crittografata e l'inoltro del testo non crittografato per lo scenario del gateway tunnel IPsec. Questa impostazione conferma che l'ordine dei pacchetti viene mantenuto. Le opzioni disponibili sono:

  • Non configurata
  • Disabilitare l'accodamento di tutti i pacchetti
  • Accodare solo pacchetti crittografati in ingresso
  • I pacchetti di coda dopo la decrittografia vengono eseguiti solo per l'inoltro
  • Configurare pacchetti in ingresso e in uscita

Impostazioni di rete

Le impostazioni seguenti sono elencate in questo articolo una sola volta, ma tutte si applicano ai tre tipi di rete specifici:

• Rete di dominio (area di lavoro)
• Rete privata (individuabile)
• Rete pubblica (non individuabile)

Generale

• Windows Firewall
  Impostazione predefinita: non configurata
  Firewall CSP: EnableFirewall

  • Abilita : attivare il firewall e sicurezza avanzata.
  • Non configurato Consente tutto il traffico di rete, indipendentemente dalle altre impostazioni dei criteri.

• Modalità stealth
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: DisableStealthMode

  • Non configurata
  • Blocca : il firewall non può funzionare in modalità invisibile. La modalità stealth di blocco consente anche di bloccare l'esenzione dei pacchetti protetti IPsec.
  • Consenti : il firewall funziona in modalità invisibile, che consente di evitare risposte alle richieste di probe.

• Esenzione pacchetti protetti IPsec con modalità stealth
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: DisableStealthModeIpsecSecuredPacketExemption

  Questa opzione viene ignorata se la modalità Stealth è impostata su Blocca.

  • Non configurata
  • Blocca : i pacchetti protetti IPSec non ricevono esenzioni.
  • Consenti - Abilita esenzioni. La modalità invisibile del firewall NON DEVE impedire al computer host di rispondere al traffico di rete non richiesto protetto da IPsec.

• Schermato
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: schermato

  • Non configurata
  • Blocca : quando Windows Firewall è attivato e questa impostazione è impostata su Blocca, tutto il traffico in ingresso viene bloccato, indipendentemente dalle altre impostazioni dei criteri.
  • Consenti : se impostata su Consenti, questa impostazione è disattivata e il traffico in ingresso è consentito in base ad altre impostazioni dei criteri.

• Risposte unicast alle trasmissioni multicast
  Impostazione predefinita: non configurata
  Firewall CSP: DisableUnicastResponsesToMulticastBroadcast

  In genere, non si desidera ricevere risposte unicast ai messaggi multicast o broadcast. Queste risposte possono indicare un attacco Denial of Service (DOS) o un utente malintenzionato che tenta di eseguire il probe di un computer attivo noto.

  • Non configurata
  • Blocca : disabilita le risposte unicast alle trasmissioni multicast.
  • Consenti : consente risposte unicast alle trasmissioni multicast.

• Notifiche in ingresso
  Impostazione predefinita: non configurata
  Firewall CSP: DisableInboundNotifications

  • Non configurata
  • Blocca : nasconde le notifiche da usare quando a un'app viene impedito l'ascolto su una porta.
  • Consenti : abilita questa impostazione e può visualizzare una notifica agli utenti quando un'app non è in ascolto su una porta.

• Azione predefinita per le connessioni in uscita
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: DefaultOutboundAction

  Configurare le prestazioni predefinite del firewall azione nelle connessioni in uscita. Questa impostazione verrà applicata a Windows versione 1809 e successive.

  • Non configurata
  • Blocca : l'azione del firewall predefinita non viene eseguita sul traffico in uscita a meno che non sia specificato in modo esplicito per non bloccarlo.
  • Consenti : le azioni del firewall predefinite vengono eseguite nelle connessioni in uscita.

• Azione predefinita per le connessioni in ingresso
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: DefaultInboundAction

  • Non configurata
  • Blocca : l'azione del firewall predefinita non viene eseguita nelle connessioni in ingresso.
  • Consenti : le azioni del firewall predefinite vengono eseguite nelle connessioni in ingresso.

Unione di regole

• Regole di Windows Firewall dell'applicazione autorizzata dall'archivio locale
  Impostazione predefinita: non configurata
  Firewall CSP: AuthAppsAllowUserPrefMerge

  • Non configurata
  • Blocca : le regole del firewall dell'applicazione autorizzate nell'archivio locale vengono ignorate e non applicate.
  • Consenti : scegliere Abilita applica le regole del firewall nell'archivio locale in modo che vengano riconosciute e applicate.

• Regole di Windows Firewall per porte globali dall'archivio locale
  Impostazione predefinita: non configurata
  CSP firewall: GlobalPortsAllowUserPrefMerge

  • Non configurata
  • Blocca : le regole del firewall della porta globale nell'archivio locale vengono ignorate e non applicate.
  • Consenti : applicare le regole del firewall porta globale nell'archivio locale per essere riconosciute e applicate.

• Regole di Windows Firewall dall'archivio locale
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione del firewall: AllowLocalPolicyMerge

  • Non configurata
  • Blocca : le regole del firewall dell'archivio locale vengono ignorate e non applicate.
  • Consenti : applicare le regole del firewall nell'archivio locale per essere riconosciute e applicate.

• Regole IPsec dall'archivio locale
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione firewall: AllowLocalIpsecPolicyMerge

  • Non configurata
  • Blocca : le regole di sicurezza della connessione dell'archivio locale vengono ignorate e non applicate, indipendentemente dalla versione dello schema e dalla versione della regola di sicurezza della connessione.
  • Consenti : applicare le regole di sicurezza della connessione dall'archivio locale, indipendentemente dalle versioni dello schema o delle regole di sicurezza della connessione.

Regole del firewall

È possibile aggiungere una o più regole del firewall personalizzate. Per altre informazioni, vedere Aggiungere regole del firewall personalizzate per i dispositivi Windows.

Le regole del firewall personalizzato supportano le opzioni seguenti:

Impostazioni generali

• Nome
  Impostazione predefinita: nessun nome

  Specificare un nome descrittivo per la regola. Questo nome verrà visualizzato nell'elenco delle regole che consentono di identificarlo.

• Descrizione
  Impostazione predefinita: nessuna descrizione

  Fornire una descrizione della regola.

• Direzione
  Impostazione predefinita: non configurata
  Firewall CSP: FirewallRules/FirewallRuleName/Direction

  Specificare se questa regola si applica al traffico in ingresso o in uscita . Se impostata su Non configurata, la regola si applica automaticamente al traffico in uscita.

• Azione
  Impostazione predefinita: non configurata
  Firewall CSP: FirewallRules/FirewallRuleName/Action e FirewallRules/FirewallRuleName/Action/Type

  Selezionare da Consenti o Blocca. Se impostato su Non configurato, per impostazione predefinita la regola consente il traffico.

• Tipo di rete
  Impostazione predefinita: 0 selezionato
  Firewall CSP: FirewallRules/FirewallRuleName/Profiles

  Selezionare fino a tre tipi di tipi di rete a cui appartiene questa regola. Le opzioni includono Dominio, Privato e Pubblico. Se non sono selezionati tipi di rete, la regola si applica a tutti e tre i tipi di rete.

Impostazioni dell'applicazione

• Applicazioni
  Impostazione predefinita: All

  Controllare le connessioni per un'app o un programma. Le app e i programmi possono essere specificati in base al percorso del file, al nome della famiglia di pacchetti o al nome del servizio:

  • Nome della famiglia di pacchetti: specificare il nome di una famiglia di pacchetti. Per trovare il nome della famiglia di pacchetti, usare il comando Di PowerShell Get-AppxPackage.
    Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

  • Percorso file : è necessario specificare un percorso file per un'app nel dispositivo client, che può essere un percorso assoluto o un percorso relativo. Ad esempio: C:\Windows\System\Notepad.exe o %WINDIR%\Notepad.exe.
    Provider di servizi di configurazione firewall: FirewallRules/FirewallRuleName/App/FilePath

  • Servizio Windows : specificare il nome breve del servizio Windows se si tratta di un servizio e non di un'applicazione che invia o riceve traffico. Per trovare il nome breve del servizio, usare il comando Get-Service di PowerShell.
    Provider di servizi di configurazione firewall: FirewallRules/FirewallRuleName/App/ServiceName

  • Tutto: non è necessaria alcuna configurazione

Impostazioni degli indirizzi IP

Specificare gli indirizzi locali e remoti a cui si applica questa regola.

• Indirizzi locali
  Impostazione predefinita: qualsiasi indirizzo
  Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

  Selezionare Qualsiasi indirizzo o Indirizzo specificato.

  Quando si usa l'indirizzo specificato, si aggiungono uno o più indirizzi come elenco delimitato da virgole di indirizzi locali coperti dalla regola. I token validi includono:

  • Usare un asterisco * per qualsiasi indirizzo locale. Se si usa un asterisco, deve essere l'unico token usato.
  • Specificare una subnet in base alla subnet mask o alla notazione del prefisso di rete. Se non viene specificata una subnet mask o un prefisso di rete, per impostazione predefinita la subnet mask è 255.255.255.255.
  • Indirizzo IPv6 valido.
  • Intervallo di indirizzi IPv4 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi.
  • Intervallo di indirizzi IPv6 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi.

• Indirizzi remoti
  Impostazione predefinita: qualsiasi indirizzo
  Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

  Selezionare Qualsiasi indirizzo o Indirizzo specificato.

  Quando si usa l'indirizzo specificato, si aggiungono uno o più indirizzi come elenco delimitato da virgole di indirizzi remoti coperti dalla regola. I token non fanno distinzione tra maiuscole e minuscole. I token validi includono:

  • Usare un asterisco "*" per qualsiasi indirizzo remoto. Se si usa un asterisco, deve essere l'unico token usato.
  • Defaultgateway
  • DHCP
  • DNS
  • WINS
  • Intranet (supportato nelle versioni di Windows 1809 e successive)
  • RmtIntranet (supportato nelle versioni di Windows 1809 e successive)
  • Internet (supportato nelle versioni di Windows 1809 e successive)
  • Ply2Renders (supportato nelle versioni di Windows 1809 e successive)
  • LocalSubnet indica qualsiasi indirizzo locale nella subnet locale.
  • Specificare una subnet in base alla subnet mask o alla notazione del prefisso di rete. Se non viene specificata una subnet mask o un prefisso di rete, per impostazione predefinita la subnet mask è 255.255.255.255.
  • Indirizzo IPv6 valido.
  • Intervallo di indirizzi IPv4 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi.
  • Intervallo di indirizzi IPv6 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi.

Impostazioni di porta e protocollo

Specificare le porte locali e remote a cui si applica questa regola.

• Protocollo
  Impostazione predefinita: Qualsiasi
  Firewall CSP: FirewallRules/FirewallRuleName/Protocol
  Selezionare una delle opzioni seguenti e completare le configurazioni necessarie:
  • Tutto : non è disponibile alcuna configurazione.
  • TCP : configurare porte locali e remote. Entrambe le opzioni supportano Tutte le porte o Le porte specificate. Immettere Porte specificate usando un elenco delimitato da virgole.
    • Porte locali - Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
    • Porte remote - Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • UDP : configurare porte locali e remote. Entrambe le opzioni supportano Tutte le porte o Le porte specificate. Immettere Porte specificate usando un elenco delimitato da virgole.
    • Porte locali - Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
    • Porte remote - Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • Personalizzato : specificare un numero di protocollo personalizzato compreso tra 0 e 255.

Configurazione avanzata

• Tipi di interfaccia
  Impostazione predefinita: 0 selezionato
  Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

  Selezionare una delle opzioni seguenti:

  • Accesso remoto
  • Wireless
  • Rete locale

• Consenti connessioni solo da questi utenti
  Impostazione predefinita: tutti gli utenti (impostazione predefinita per tutti gli usi quando non è specificato alcun elenco)
  Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

  Specificare un elenco di utenti locali autorizzati per questa regola. Non è possibile specificare un elenco di utenti autorizzati se questa regola si applica a un servizio Windows.

Microsoft Defender impostazioni smartscreen

Microsoft Edge deve essere installato nel dispositivo.

• SmartScreen per app e file
  Impostazione predefinita: non configurata
  CSP SmartScreen: SmartScreen/EnableSmartScreenInShell

  • Non configurato : disabilita l'uso di SmartScreen.
  • Abilita : abilita Windows SmartScreen per l'esecuzione di file e l'esecuzione di app. SmartScreen è un componente anti-phishing e antimalware basato sul cloud.

• Esecuzione di file non verificati
  Impostazione predefinita: non configurata
  CSP SmartScreen: SmartScreen/PreventOverrideForFilesInShell

  • Non configurata : disabilita questa funzionalità e consente agli utenti finali di eseguire file non verificati.
  • Blocca : impedisce agli utenti finali di eseguire file che non sono stati verificati da Windows SmartScreen.

Crittografia di Windows

Impostazioni di Windows

• Crittografare dispositivi
  Impostazione predefinita: non configurata
  CSP BitLocker: RequireDeviceEncryption

  • Richiedi : richiedere agli utenti di abilitare la crittografia del dispositivo. A seconda dell'edizione di Windows e della configurazione del sistema, agli utenti potrebbe essere richiesto:
    • Per verificare che la crittografia da un altro provider non sia abilitata.
    • È necessario disattivare Crittografia unità BitLocker e quindi riattivare BitLocker.
  • Non configurata

  Se la crittografia di Windows è attivata mentre è attivo un altro metodo di crittografia, il dispositivo potrebbe diventare instabile.

Impostazioni di base di BitLocker

Le impostazioni di base sono impostazioni universali di BitLocker per tutti i tipi di unità dati. Queste impostazioni gestiscono le attività di crittografia delle unità o le opzioni di configurazione che l'utente finale può modificare in tutti i tipi di unità dati.

• Avviso per la crittografia di altri dischi
  Impostazione predefinita: non configurata
  CSP BitLocker: AllowWarningForOtherDiskEncryption

  • Blocca : disabilita la richiesta di avviso se nel dispositivo è presente un altro servizio di crittografia del disco.
  • Non configurato : consente di visualizzare l'avviso per l'altra crittografia del disco.

  Consiglio

  Per installare BitLocker automaticamente e automaticamente in un dispositivo Microsoft Entra aggiunto ed esegue Windows 1809 o versione successiva, questa impostazione deve essere impostata su Blocca. Per altre informazioni, vedere Abilitare automaticamente BitLocker nei dispositivi.

  Se impostato su Blocca, è quindi possibile configurare l'impostazione seguente:

  • Consentire agli utenti standard di abilitare la crittografia durante Microsoft Entra join
    Questa impostazione si applica solo ai dispositivi aggiunti Microsoft Entra (Azure ADJ) e dipende dall'impostazione precedente, Warning for other disk encryption.
    Impostazione predefinita: non configurata
    CSP BitLocker: AllowStandardUserEncryption

    • Consenti: Standard gli utenti (non amministratori) possono abilitare la crittografia BitLocker quando hanno eseguito l'accesso.
    • Non configurata solo gli amministratori possono abilitare la crittografia BitLocker nel dispositivo.

  Consiglio

  Per installare BitLocker automaticamente e automaticamente in un dispositivo Microsoft Entra aggiunto ed esegue Windows 1809 o versione successiva, questa impostazione deve essere impostata su Consenti. Per altre informazioni, vedere Abilitare automaticamente BitLocker nei dispositivi.

• Configurare i metodi di crittografia
  Impostazione predefinita: non configurata
  CSP BitLocker: EncryptionMethodByDriveType

  • Abilita : configurare gli algoritmi di crittografia per il sistema operativo, i dati e le unità rimovibili.
  • Non configurato : BitLocker usa XTS-AES a 128 bit come metodo di crittografia predefinito o usa il metodo di crittografia specificato da qualsiasi script di installazione.

  Se impostato su Abilita, è possibile configurare le impostazioni seguenti:

  • Crittografia per le unità del sistema operativo
    Impostazione predefinita: XTS-AES a 128 bit

    Scegliere il metodo di crittografia per le unità del sistema operativo. È consigliabile usare l'algoritmo XTS-AES.

    • AES-CBC a 128 bit
    • AES-CBC a 256 bit
    • XTS-AES a 128 bit
    • XTS-AES a 256 bit

  • Crittografia per unità dati fisse
    Impostazione predefinita: AES-CBC a 128 bit

    Scegliere il metodo di crittografia per le unità dati fisse (predefinite). È consigliabile usare l'algoritmo XTS-AES.

    • AES-CBC a 128 bit
    • AES-CBC a 256 bit
    • XTS-AES a 128 bit
    • XTS-AES a 256 bit

  • Crittografia per unità dati rimovibili
    Impostazione predefinita: AES-CBC a 128 bit

    Scegliere il metodo di crittografia per le unità dati rimovibili. Se l'unità rimovibile viene usata con i dispositivi che non eseguono Windows 10/11, è consigliabile usare l'algoritmo AES-CBC.

    • AES-CBC a 128 bit
    • AES-CBC a 256 bit
    • XTS-AES a 128 bit
    • XTS-AES a 256 bit

Impostazioni dell'unità del sistema operativo BitLocker

Queste impostazioni si applicano in modo specifico alle unità dati del sistema operativo.

• Autenticazione aggiuntiva all'avvio
  Impostazione predefinita: non configurata
  BitLocker CSP: SystemDrivesRequireStartupAuthentication

  • Richiedi : configurare i requisiti di autenticazione per l'avvio del computer, incluso l'uso di Trusted Platform Module (TPM).
  • Non configurato : configurare solo le opzioni di base nei dispositivi con un TPM.

  Se impostato su Richiedi, è possibile configurare le impostazioni seguenti:

  • BitLocker con chip TPM non compatibile
    Impostazione predefinita: non configurata

    • Blocca : disabilita l'uso di BitLocker quando un dispositivo non ha un chip TPM compatibile.
    • Non configurato : gli utenti possono usare BitLocker senza un chip TPM compatibile. BitLocker può richiedere una password o una chiave di avvio.

  • Avvio TPM compatibile
    Impostazione predefinita: Consenti TPM

    Configurare se TPM è consentito, obbligatorio o non consentito.

    • Consenti TPM
    • Non consentire TPM
    • Richiedi TPM

  • PIN di avvio TPM compatibile
    Impostazione predefinita: Consenti PIN di avvio con TPM

    Scegliere di consentire, non consentire o richiedere l'uso di un PIN di avvio con il chip TPM. L'abilitazione di un PIN di avvio richiede l'interazione dell'utente finale.

    • Consenti PIN di avvio con TPM
    • Non consentire il PIN di avvio con TPM
    • Richiedi PIN di avvio con TPM

    Consiglio

    Per installare BitLocker automaticamente e automaticamente in un dispositivo Microsoft Entra aggiunto ed esegue Windows 1809 o versione successiva, questa impostazione non deve essere impostata su Richiedi PIN di avvio con TPM. Per altre informazioni, vedere Abilitare automaticamente BitLocker nei dispositivi.

  • Chiave di avvio TPM compatibile
    Impostazione predefinita: Consenti chiave di avvio con TPM

    Scegliere di consentire, non consentire o richiedere l'uso di una chiave di avvio con il chip TPM. L'abilitazione di una chiave di avvio richiede l'interazione dell'utente finale.

    • Consenti chiave di avvio con TPM
    • Non consentire la chiave di avvio con TPM
    • Richiedere la chiave di avvio con TPM

    Consiglio

    Per installare BitLocker automaticamente e automaticamente in un dispositivo Microsoft Entra aggiunto ed esegue Windows 1809 o versione successiva, questa impostazione non deve essere impostata su Richiedi chiave di avvio con TPM. Per altre informazioni, vedere Abilitare automaticamente BitLocker nei dispositivi.

  • Chiave di avvio E PIN TPM compatibili
    Impostazione predefinita: consenti chiave di avvio e PIN con TPM

    Scegliere di consentire, non consentire o richiedere l'uso di una chiave di avvio e di un PIN con il chip TPM. L'abilitazione della chiave di avvio e del PIN richiede l'interazione dell'utente finale.

    • Consenti chiave di avvio e PIN con TPM
    • Non consentire la chiave di avvio e il PIN con TPM
    • Richiedere la chiave di avvio e il PIN con TPM

    Consiglio

    Per installare BitLocker automaticamente e in modo invisibile all'utente in un dispositivo Microsoft Entra aggiunto ed esegue Windows 1809 o versione successiva, questa impostazione non deve essere impostata su Richiedi chiave di avvio e PIN con TPM. Per altre informazioni, vedere Abilitare automaticamente BitLocker nei dispositivi.

• Lunghezza minima PIN
  Impostazione predefinita: non configurata
  CSP BitLocker: SystemDrivesMinimumPINLength

  • Abilitare Configurare una lunghezza minima per il PIN di avvio TPM.
  • Non configurato : gli utenti possono configurare un PIN di avvio di qualsiasi lunghezza compresa tra 6 e 20 cifre.

  Se impostato su Abilita, è possibile configurare l'impostazione seguente:

  • Caratteri minimi
    Impostazione predefinita: CSP BitLocker non configurato : SystemDrivesMinimumPINLength

    Immettere il numero di caratteri necessari per il PIN di avvio da 4-20.

• Ripristino dell'unità del sistema operativo
  Impostazione predefinita: non configurata
  BitLocker CSP: SystemDrivesRecoveryOptions

  • Abilita : consente di controllare il ripristino delle unità del sistema operativo protette da BitLocker quando le informazioni di avvio necessarie non sono disponibili.
  • Non configurata : sono supportate le opzioni di ripristino predefinite, inclusa la drammia. L'utente finale può specificare le opzioni di ripristino. Non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

  Se impostato su Abilita, è possibile configurare le impostazioni seguenti:

  • Agente di recupero dati basato su certificato
    Impostazione predefinita: non configurata

    • Blocca : impedisce l'uso dell'agente di recupero dati con le unità del sistema operativo protette da BitLocker.
    • Non configurato : consente l'uso degli agenti di ripristino dati con le unità del sistema operativo protette da BitLocker.

  • Creazione della password di ripristino da parte dell'utente
    Impostazione predefinita: Consenti password di ripristino a 48 cifre

    Scegliere se gli utenti sono consentiti, obbligatori o non autorizzati a generare una password di ripristino a 48 cifre.

    • Consenti password di ripristino a 48 cifre
    • Non consentire la password di ripristino a 48 cifre
    • Richiedi password di ripristino a 48 cifre

  • Creazione della chiave di ripristino da parte dell'utente
    Impostazione predefinita: Consenti chiave di ripristino a 256 bit

    Scegliere se gli utenti sono consentiti, obbligatori o non autorizzati a generare una chiave di ripristino a 256 bit.

    • Consenti chiave di ripristino a 256 bit
    • Non consentire la chiave di ripristino a 256 bit
    • Richiedi chiave di ripristino a 256 bit

  • Opzioni di ripristino nell'installazione guidata di BitLocker
    Impostazione predefinita: non configurata

    • Blocca : gli utenti non possono visualizzare e modificare le opzioni di ripristino. Se impostato su
    • Non configurato : gli utenti possono visualizzare e modificare le opzioni di ripristino quando attivano BitLocker.

  • Salvare le informazioni di ripristino di BitLocker in Microsoft Entra ID
    Impostazione predefinita: non configurata

    • Abilita: archiviare le informazioni di ripristino di BitLocker in Microsoft Entra ID.
    • Non configurata: le informazioni di ripristino di BitLocker non vengono archiviate in Microsoft Entra ID.

  • Informazioni sul ripristino di BitLocker archiviate in Microsoft Entra ID
    Impostazione predefinita: backup delle password di ripristino e dei pacchetti di chiavi

    Configurare le parti delle informazioni di ripristino di BitLocker archiviate in Microsoft Entra ID. Scegliere tra:

    • Backup delle password di ripristino e dei pacchetti di chiavi
    • Eseguire il backup solo delle password di ripristino

  • Rotazione delle password di ripristino guidata dal client
    Impostazione predefinita: non configurata
    Provider di servizi di configurazione BitLocker: ConfigureRecoveryPasswordRotation

    Questa impostazione avvia una rotazione delle password di ripristino guidata dal client dopo il ripristino di un'unità del sistema operativo (usando bootmgr o WinRE).

    • Non configurata
    • Rotazione della chiave disabilitata
    • Rotazione della chiave abilitata per Microsoft Entra deici uniti
    • Rotazione delle chiavi abilitata per i dispositivi aggiunti a Microsoft Entra ID e ibridi

  • Archiviare le informazioni di ripristino in Microsoft Entra ID prima di abilitare BitLocker
    Impostazione predefinita: non configurata

    Impedire agli utenti di abilitare BitLocker a meno che il computer non eservi correttamente il backup delle informazioni di ripristino di BitLocker per Microsoft Entra ID.

    • Richiedi: impedisce agli utenti di attivare BitLocker a meno che le informazioni di ripristino di BitLocker non vengano archiviate correttamente in Microsoft Entra ID.
    • Non configurato: gli utenti possono attivare BitLocker, anche se le informazioni di ripristino non vengono archiviate correttamente in Microsoft Entra ID.

• URL e messaggio di ripristino pre-avvio
  Impostazione predefinita: non configurata
  CSP BitLocker: SystemDrivesRecoveryMessage

  • Abilita : configurare il messaggio e l'URL visualizzati nella schermata di ripristino della chiave di avvio preliminare.
  • Non configurato : disabilitare questa funzionalità.

  Se impostato su Abilita, è possibile configurare l'impostazione seguente:

  • Messaggio di ripristino pre-avvio
    Impostazione predefinita: usare l'URL e il messaggio di ripristino predefiniti

    Configurare la modalità di visualizzazione del messaggio di ripristino prima dell'avvio per gli utenti. Scegliere tra:

    • Usare l'URL e il messaggio di ripristino predefiniti
    • Usare l'URL e il messaggio di ripristino vuoti
    • Usare un messaggio di ripristino personalizzato
    • Usare l'URL di ripristino personalizzato

Impostazioni fisse dell'unità dati di BitLocker

Queste impostazioni si applicano in modo specifico alle unità dati fisse.

• Accesso in scrittura a un'unità dati fissa non protetta da BitLocker
  Impostazione predefinita: non configurata
  BitLocker CSP: FixedDrivesRequireEncryption

  • Blocca : consente l'accesso in sola lettura alle unità dati non protette da BitLocker.
  • Non configurato : per impostazione predefinita, l'accesso in lettura e scrittura alle unità dati non crittografate.

• Correzione del ripristino dell'unità
  Impostazione predefinita: non configurata
  BitLocker CSP: FixedDrivesRecoveryOptions

  • Abilita : consente di controllare il ripristino delle unità fisse protette da BitLocker quando le informazioni di avvio necessarie non sono disponibili.
  • Non configurato : disabilitare questa funzionalità.

  Se impostato su Abilita, è possibile configurare le impostazioni seguenti:

  • Agente di recupero dati
    Impostazione predefinita: non configurata

    • Blocca: impedisci l'uso dell'agente di ripristino dati con le unità fisse protette da BitLocker Criteri Editor.
    • Non configurato : consente l'uso di agenti di recupero dati con unità fisse protette da BitLocker.

  • Creazione della password di ripristino da parte dell'utente
    Impostazione predefinita: Consenti password di ripristino a 48 cifre

    Scegliere se gli utenti sono consentiti, obbligatori o non autorizzati a generare una password di ripristino a 48 cifre.

    • Consenti password di ripristino a 48 cifre
    • Non consentire la password di ripristino a 48 cifre
    • Richiedi password di ripristino a 48 cifre

  • Creazione della chiave di ripristino da parte dell'utente
    Impostazione predefinita: Consenti chiave di ripristino a 256 bit

    Scegliere se gli utenti sono consentiti, obbligatori o non autorizzati a generare una chiave di ripristino a 256 bit.

    • Consenti chiave di ripristino a 256 bit
    • Non consentire la chiave di ripristino a 256 bit
    • Richiedi chiave di ripristino a 256 bit

  • Opzioni di ripristino nell'installazione guidata di BitLocker
    Impostazione predefinita: non configurata

    • Blocca : gli utenti non possono visualizzare e modificare le opzioni di ripristino. Se impostato su
    • Non configurato : gli utenti possono visualizzare e modificare le opzioni di ripristino quando attivano BitLocker.

  • Salvare le informazioni di ripristino di BitLocker in Microsoft Entra ID
    Impostazione predefinita: non configurata

    • Abilita: archiviare le informazioni di ripristino di BitLocker in Microsoft Entra ID.
    • Non configurata: le informazioni di ripristino di BitLocker non vengono archiviate in Microsoft Entra ID.

  • Informazioni sul ripristino di BitLocker archiviate in Microsoft Entra ID
    Impostazione predefinita: backup delle password di ripristino e dei pacchetti di chiavi

    Configurare le parti delle informazioni di ripristino di BitLocker archiviate in Microsoft Entra ID. Scegliere tra:

    • Backup delle password di ripristino e dei pacchetti di chiavi
    • Eseguire il backup solo delle password di ripristino

  • Archiviare le informazioni di ripristino in Microsoft Entra ID prima di abilitare BitLocker
    Impostazione predefinita: non configurata

    Impedire agli utenti di abilitare BitLocker a meno che il computer non eservi correttamente il backup delle informazioni di ripristino di BitLocker per Microsoft Entra ID.

    • Richiedi: impedisce agli utenti di attivare BitLocker a meno che le informazioni di ripristino di BitLocker non vengano archiviate correttamente in Microsoft Entra ID.
    • Non configurato: gli utenti possono attivare BitLocker, anche se le informazioni di ripristino non vengono archiviate correttamente in Microsoft Entra ID.

Impostazioni dell'unità dati rimovibile BitLocker

Queste impostazioni si applicano in modo specifico alle unità dati rimovibili.

• Accesso in scrittura all'unità dati rimovibile non protetta da BitLocker
  Impostazione predefinita: non configurata
  CSP BitLocker: RemovableDrivesRequireEncryption

  • Blocca : consente l'accesso in sola lettura alle unità dati non protette da BitLocker.
  • Non configurato : per impostazione predefinita, l'accesso in lettura e scrittura alle unità dati non crittografate.

  Se impostato su Abilita, è possibile configurare l'impostazione seguente:

  • Accesso in scrittura ai dispositivi configurati in un'altra organizzazione
    Impostazione predefinita: non configurata

    • Blocca : blocca l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione.
    • Non configurato : nega l'accesso in scrittura.

Microsoft Defender Exploit Guard

Usare la protezione dagli exploit per gestire e ridurre la superficie di attacco delle app usate dai dipendenti.

Riduzione della superficie di attacco

Le regole di riduzione della superficie di attacco consentono di evitare comportamenti che il malware usa spesso per infettare i computer con codice dannoso.

Regole di riduzione della superficie di attacco

Per altre informazioni, vedere Regole di riduzione della superficie di attacco nella documentazione Microsoft Defender per endpoint.

Comportamento di merge per le regole di riduzione della superficie di attacco in Intune:

Le regole di riduzione della superficie di attacco supportano una fusione di impostazioni da criteri diversi per creare un superset di criteri per ogni dispositivo. Solo le impostazioni che non sono in conflitto vengono unite, mentre le impostazioni in conflitto non vengono aggiunte al superset di regole. In precedenza, se due criteri includevano conflitti per una singola impostazione, entrambi i criteri venivano contrassegnati come in conflitto e non venivano distribuite impostazioni da entrambi i profili.

Il comportamento di unione delle regole di riduzione della superficie di attacco è il seguente:

• Le regole di riduzione della superficie di attacco dei profili seguenti vengono valutate per ogni dispositivo a cui si applicano le regole:
  • Criteri di > configurazione dispositivi > Profilo > endpoint di protezione Microsoft Defender riduzione della superficie di attacco di Exploit Guard >
  • > Sicurezza degli endpoint Criteri > di riduzione della superficie di attacco Regole di riduzione della superficie di attacco
  • Baseline di sicurezza > degli > endpoint Microsoft Defender per endpoint regole di riduzione della superficie di attacco di base>.
• Le impostazioni che non presentano conflitti vengono aggiunte a un superset di criteri per il dispositivo.
• Quando due o più criteri hanno impostazioni in conflitto, le impostazioni in conflitto non vengono aggiunte ai criteri combinati. Le impostazioni che non sono in conflitto vengono aggiunte ai criteri superset che si applicano a un dispositivo.
• Vengono trattenute solo le configurazioni per le impostazioni in conflitto.

Impostazioni in questo profilo:

• Contrassegnare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows
  Impostazione predefinita: non configurata
  Regola: bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)

  Consente di evitare azioni e app che vengono in genere usate dal malware in cerca di exploit per infettare i computer.

  • Non configurata
  • Abilita : contrassegna il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe).
  • Solo controllo

• Creazione di processi da Adobe Reader (beta)
  Impostazione predefinita: non configurata
  Regola: impedire ad Adobe Reader di creare processi figlio

  • Non configurata
  • Abilita : blocca i processi figlio creati da Adobe Reader.
  • Solo controllo

Regole per impedire le minacce alle macro di Office

Impedire alle app di Office di eseguire le azioni seguenti:

• Inserimento di app di Office in altri processi (nessuna eccezione)
  Impostazione predefinita: non configurata
  Regola: impedire alle applicazioni di Office di inserire codice in altri processi

  • Non configurata
  • Blocca : impedisce alle app di Office di inserire in altri processi.
  • Solo controllo

• App/macro di Office che creano contenuto eseguibile
  Impostazione predefinita: non configurata
  Regola: impedire alle applicazioni di Office di creare contenuto eseguibile

  • Non configurata
  • Blocca : impedisce alle app e alle macro di Office di creare contenuto eseguibile.
  • Solo controllo

• App di Office che avviano processi figlio
  Impostazione predefinita: non configurata
  Regola: impedire a tutte le applicazioni di Office di creare processi figlio

  • Non configurata
  • Blocca : impedisce alle app di Office di avviare processi figlio.
  • Solo controllo

• Importazioni Win32 dal codice macro di Office
  Impostazione predefinita: non configurata
  Regola: Bloccare le chiamate API Win32 dalle macro di Office

  • Non configurata
  • Blocca : blocca le importazioni Win32 dal codice macro in Office.
  • Solo controllo

• Creazione di processi da prodotti di comunicazione di Office
  Impostazione predefinita: non configurata
  Regola: Impedire all'applicazione di comunicazione di Office di creare processi figlio

  • Non configurata
  • Abilita : blocca la creazione di processi figlio dalle app per le comunicazioni di Office.
  • Solo controllo

Regole per evitare minacce di script

Bloccare quanto segue per evitare minacce di script:

• Codice js/vbs/ps/macro offuscato
  Impostazione predefinita: non configurata
  Regola: blocca l'esecuzione di script potenzialmente offuscati

  • Non configurata
  • Blocca : blocca qualsiasi codice js/vbs/ps/macro offuscato.
  • Solo controllo

• js/vbs che esegue il payload scaricato da Internet (nessuna eccezione)
  Impostazione predefinita: non configurata
  Regola: impedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato

  • Non configurata
  • Blocca : impedisce a js/vbs di eseguire il payload scaricato da Internet.
  • Solo controllo

• Creazione di processi da comandi PSExec e WMI
  Impostazione predefinita: non configurata
  Regola: bloccare le creazioni di processi provenienti dai comandi PSExec e WMI

  • Non configurata
  • Blocca : blocca le creazioni di processi provenienti dai comandi PSExec e WMI.
  • Solo controllo

• Esecuzione in USB di processi non attendibili e non firmati
  Impostazione predefinita: non configurata
  Regola: bloccare i processi non attendibili e non firmati eseguiti da USB

  • Non configurata
  • Blocca : blocca i processi non attendibili e non firmati eseguiti da USB.
  • Solo controllo

• Eseguibili che non soddisfano criteri di prevalenza, età o elenco attendibile
  Impostazione predefinita: non configurata
  Regola: blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile

  • Non configurata
  • Blocca : blocca l'esecuzione dei file eseguibili a meno che non soddisfino criteri di prevalenza, età o elenco attendibile.
  • Solo controllo

Regole per evitare minacce tramite posta elettronica

Bloccare quanto segue per evitare minacce alla posta elettronica:

• Esecuzione del contenuto eseguibile (exe, dll, ps, js, vbs e così via) eliminato dalla posta elettronica (client webmail/mail) (nessuna eccezione)
  Impostazione predefinita: non configurata
  Regola: Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail

  • Non configurata
  • Blocca : blocca l'esecuzione del contenuto eseguibile (exe, dll, ps, js, vbs e così via) eliminato dalla posta elettronica (webmail/mail-client).
  • Solo controllo

Regole per la protezione da ransomware

• Protezione ransomware avanzata
  Impostazione predefinita: non configurata
  Regola: Usare la protezione avanzata contro il ransomware

  • Non configurata
  • Abilita : usare una protezione ransomware aggressiva.
  • Solo controllo

Eccezioni per la riduzione della superficie di attacco

• File e cartella da escludere dalle regole di riduzione della superficie di attacco
  Defender CSP: AttackSurfaceReductionOnlyExclusions

  • Importare un file .csv contenente file e cartelle da escludere dalle regole di riduzione della superficie di attacco.
  • Aggiungere manualmente file o cartelle locali.

Importante

Per consentire l'installazione e l'esecuzione appropriate delle app Lob Win32, le impostazioni antimalware devono escludere le directory seguenti dall'analisi:
Nei computer client X64:
C:\Programmi (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Nei computer client X86:
C:\Programmi\Microsoft Intune Estensione di gestione\Contenuto
C:\windows\IMECache

Per altre informazioni, vedere Raccomandazioni sull'analisi dei virus per i computer aziendali che eseguono versioni attualmente supportate di Windows.

Accesso alle cartelle controllato

Consente di proteggere dati preziosi da app e minacce dannose, ad esempio ransomware.

• Protezione delle cartelle
  Impostazione predefinita: non configurata
  Defender CSP: EnableControlledFolderAccess

  Proteggere file e cartelle da modifiche non autorizzate da app non compatibili.

  • Non configurata
  • Attivazione
  • Solo controllo
  • Bloccare la modifica del disco
  • Controllare la modifica del disco

  Quando si seleziona una configurazione diversa da Non configurata, è quindi possibile configurare:

  • Elenco di app che hanno accesso alle cartelle protette
    Defender CSP: ControlledFolderAccessAllowedApplications

    • Importare un file .csv che contiene un elenco di app.
    • Aggiungere le app a questo elenco manualmente.

  • Elenco di cartelle aggiuntive che devono essere protette
    Defender CSP: ControlledFolderAccessProtectedFolders

    • Importare un file .csv contenente un elenco di cartelle.
    • Aggiungere manualmente cartelle a questo elenco.

Filtro di rete

Bloccare le connessioni in uscita da qualsiasi app a indirizzi IP o domini con reputazione bassa. Il filtro di rete è supportato sia in modalità di controllo che in modalità blocco.

• Protezione di rete
  Impostazione predefinita: non configurata
  Defender CSP: EnableNetworkProtection

  Lo scopo di questa impostazione è proteggere gli utenti finali dalle app con accesso a truffe di phishing, siti di hosting di exploit e contenuti dannosi su Internet. Impedisce inoltre ai browser di terze parti di connettersi a siti pericolosi.

  • Non configurato : disabilitare questa funzionalità. Agli utenti e alle app non viene impedito di connettersi a domini pericolosi. Gli amministratori non possono visualizzare questa attività in Microsoft Defender Security Center.
  • Abilita : attivare la protezione di rete e impedire agli utenti e alle app di connettersi a domini pericolosi. Gli amministratori possono visualizzare questa attività in Microsoft Defender Security Center.
  • Solo controllo: - Agli utenti e alle app non viene impedito di connettersi a domini pericolosi. Gli amministratori possono visualizzare questa attività in Microsoft Defender Security Center.

Protezione dagli exploit

• Caricare XML
  Impostazione predefinita: non configurata

  Per usare Protezione dagli exploit per proteggere i dispositivi dagli exploit, creare un file XML che includa le impostazioni di mitigazione del sistema e dell'applicazione desiderate. Esistono due metodi per creare il file XML:

  • PowerShell : usare uno o più cmdlet di PowerShell Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy . I cmdlet configurano le impostazioni di mitigazione ed esportano una relativa rappresentazione XML.

  • Microsoft Defender Security Center interfaccia utente: nel Microsoft Defender Security Center selezionare App & controllo del browser e quindi scorrere fino alla fine della schermata risultante per trovare Protezione dagli exploit. Usare innanzitutto le schede Impostazioni di sistema e Impostazioni programma per configurare le impostazioni di mitigazione. Trovare quindi il collegamento Esporta impostazioni nella parte inferiore della schermata per esportare una relativa rappresentazione XML.

• Modifica utente dell'interfaccia di protezione dagli exploit
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione ExploitGuard: ExploitProtectionSettings

  • Blocca : caricare un file XML che consente di configurare la memoria, il flusso di controllo e le restrizioni dei criteri. Le impostazioni nel file XML possono essere usate per bloccare gli exploit di un'applicazione.
  • Non configurato : non viene usata alcuna configurazione personalizzata.

controllo applicazione Microsoft Defender

Scegliere le app da controllare o che sono considerate attendibili per l'esecuzione da parte di Microsoft Defender Controllo applicazione. I componenti di Windows e tutte le app di Windows Store vengono automaticamente considerati attendibili per l'esecuzione.

• Criteri di integrità del codice di controllo dell'applicazione
  Impostazione predefinita: non configurata
  CSP: CSP AppLocker

  • Imponi : scegliere i criteri di integrità del codice di controllo dell'applicazione per i dispositivi degli utenti.

    Dopo essere stato abilitato in un dispositivo, il controllo applicazione può essere disabilitato solo modificando la modalità da Applica a Solo controllo. Se si modifica la modalità da Imponi a Non configurato , il controllo applicazione continuerà a essere applicato ai dispositivi assegnati.

  • Non configurato : il controllo applicazione non viene aggiunto ai dispositivi. Tuttavia, le impostazioni aggiunte in precedenza continuano a essere applicate ai dispositivi assegnati.

  • Solo controllo : le applicazioni non sono bloccate. Tutti gli eventi vengono registrati nei log del client locale.

    Nota

    Se si usa questa impostazione, il comportamento di AppLocker CSP richiede attualmente all'utente finale di riavviare il computer quando viene distribuito un criterio.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard protegge da attacchi di furto di credenziali. Isola i segreti in modo che solo il software di sistema con privilegi possa accedervi.

• Credential Guard
  Impostazione predefinita: Disabilita
  Provider di servizi di configurazione DeviceGuard

  • Disabilita : disattiva Credential Guard in remoto, se è stato attivato in precedenza con l'opzione di blocco Abilitato senza UEFI .

  • Abilita con blocco UEFI : Credential Guard non può essere disabilitato in remoto usando una chiave del Registro di sistema o criteri di gruppo.

    Nota

    Se si usa questa impostazione e successivamente si vuole disabilitare Credential Guard, è necessario impostare il Criteri di gruppo su Disabilitato. Inoltre, cancellare fisicamente le informazioni di configurazione UEFI da ogni computer. Finché la configurazione UEFI persiste, Credential Guard è abilitato.

  • Abilita senza blocco UEFI: consente di disabilitare Credential Guard in remoto usando Criteri di gruppo. I dispositivi che usano questa impostazione devono essere in esecuzione Windows 10 versione 1511 e successive o Windows 11.

  Quando si abilita Credential Guard, vengono abilitate anche le funzionalità necessarie seguenti:

  • Sicurezza basata su virtualizzazione (VBS)
    Si attiva durante il riavvio successivo. La sicurezza basata sulla virtualizzazione usa Windows Hypervisor per fornire supporto per i servizi di sicurezza.
  • Avvio protetto con accesso alla memoria della directory
    Attiva VBS con protezione DMA (Secure Boot e accesso diretto alla memoria). Le protezioni DMA richiedono il supporto hardware e sono abilitate solo nei dispositivi configurati correttamente.

Microsoft Defender Security Center

Microsoft Defender Security Center funziona come un'app o un processo separato da ognuna delle singole funzionalità. Visualizza le notifiche tramite il Centro notifiche. Funge da agente di raccolta o da un'unica posizione per visualizzare lo stato ed eseguire alcune configurazioni per ognuna delle funzionalità. Altre informazioni sono disponibili nella documentazione Microsoft Defender.

Microsoft Defender Security Center app e notifiche

Blocca l'accesso dell'utente finale alle varie aree dell'app Microsoft Defender Security Center. Nascondere una sezione blocca anche le notifiche correlate.

• Protezione da virus e minacce
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableVirusUI

  Configurare se gli utenti finali possono visualizzare l'area Protezione da virus e minacce nel Microsoft Defender Security Center. Nascondere questa sezione bloccherà anche tutte le notifiche correlate alla protezione da virus e minacce.

  • Non configurata
  • Nascondi

• Protezione ransomware
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

  Configurare se gli utenti finali possono visualizzare l'area protezione ransomware nel Microsoft Defender Security Center. Nascondere questa sezione bloccherà anche tutte le notifiche correlate alla protezione ransomware.

  • Non configurata
  • Nascondi

• Protezione dell'account
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableAccountProtectionUI

  Configurare se gli utenti finali possono visualizzare l'area protezione account nel Microsoft Defender Security Center. Nascondendo questa sezione verranno bloccate anche tutte le notifiche correlate alla protezione dell'account.

  • Non configurata
  • Nascondi

• Protezione del firewall e della rete
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableNetworkUI

  Configurare se gli utenti finali possono visualizzare l'area Protezione firewall e di rete nel Centro sicurezza Microsoft Defender. Nascondendo questa sezione verranno bloccate anche tutte le notifiche correlate alla protezione del firewall e della rete.

  • Non configurata
  • Nascondi

• Controllo dell'app e del browser
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableAppBrowserUI

  Configurare se gli utenti finali possono visualizzare l'area di controllo App e browser nel Centro sicurezza Microsoft Defender. Nascondere questa sezione bloccherà anche tutte le notifiche correlate al controllo dell'app e del browser.

  • Non configurata
  • Nascondi

• Protezione hardware
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

  Configurare se gli utenti finali possono visualizzare l'area protezione hardware nel Microsoft Defender Security Center. Nascondendo questa sezione verranno bloccate anche tutte le notifiche correlate alla protezione hardware.

  • Non configurata
  • Nascondi

• Prestazioni e integrità del dispositivo
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableHealthUI

  Configurare se gli utenti finali possono visualizzare l'area Prestazioni e integrità del dispositivo nel Centro sicurezza Microsoft Defender. Nascondendo questa sezione verranno bloccate anche tutte le notifiche correlate alle prestazioni e all'integrità del dispositivo.

  • Non configurata
  • Nascondi

• Opzioni famiglia
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableFamilyUI

  Configurare se gli utenti finali possono visualizzare l'area Opzioni famiglia nel Centro sicurezza Microsoft Defender. Nascondere questa sezione bloccherà anche tutte le notifiche correlate alle opzioni famiglia.

  • Non configurata
  • Nascondi

• Notifiche dalle aree visualizzate dell'app
  Impostazione predefinita: non configurata
  CSP WindowsDefenderSecurityCenter: DisableNotifications

  Scegliere le notifiche da visualizzare agli utenti finali. Le notifiche non critiche includono riepiloghi dell'attività antivirus Microsoft Defender, incluse le notifiche al termine delle analisi. Tutte le altre notifiche sono considerate critiche.

  • Non configurata
  • Bloccare le notifiche non critiche
  • Blocca tutte le notifiche

• icona Sicurezza di Windows Center nella barra degli elementi di sistema
  Impostazione predefinita: CSP WindowsDefenderSecurityCenter non configurato: HideWindowsSecurityNotificationAreaControl

  Configurare la visualizzazione del controllo dell'area di notifica. Per rendere effettiva questa impostazione, l'utente deve disconnettersi e accedere o riavviare il computer.

  • Non configurata
  • Nascondi

• Pulsante Cancella TPM
  Impostazione predefinita: CSP WindowsDefenderSecurityCenter non configurato: DisableClearTpmButton

  Configurare la visualizzazione del pulsante Cancella TPM.

  • Non configurata
  • Disable

• Avviso di aggiornamento del firmware TPM
  Impostazione predefinita: CSP WindowsDefenderSecurityCenter non configurato: DisableTpmFirmwareUpdateWarning

  Configurare la visualizzazione del firmware TPM di aggiornamento quando viene rilevato un firmware vulnerabile.

  • Non configurata
  • Nascondi

• Protezione antimanomissione
  Impostazione predefinita: non configurata

  Attivare o disattivare Protezione antimanomissione nei dispositivi. Per usare Protezione antimanomissione, è necessario integrare Microsoft Defender per endpoint con Intune e disporre di licenze E5 Enterprise Mobility + Security.

  • Non configurato : non viene apportata alcuna modifica alle impostazioni del dispositivo.
  • Abilitato - La protezione antimanomissione è attivata e vengono applicate restrizioni nei dispositivi.
  • Disabilitato : protezione antimanomissione è disattivata e le restrizioni non vengono applicate.

Informazioni di contatto IT

Specificare le informazioni di contatto IT da visualizzare nell'app Microsoft Defender Security Center e le notifiche dell'app.

È possibile scegliere Visualizza nell'app e nelle notifiche, Visualizza solo nell'app, Visualizza solo nelle notifiche o Non visualizzare. Immettere il nome dell'organizzazione IT e almeno una delle opzioni di contatto seguenti:

• Informazioni di contatto IT
  Impostazione predefinita: non visualizzare
  CSP WindowsDefenderSecurityCenter: EnableCustomizedToasts

  Configurare la posizione in cui visualizzare le informazioni di contatto IT agli utenti finali.

  • Visualizzazione nell'app e nelle notifiche
  • Visualizza solo nell'app
  • Visualizza solo nelle notifiche
  • Non visualizzare

  Quando è configurato per la visualizzazione, è possibile configurare le impostazioni seguenti:

  • Nome dell'organizzazione IT
    Impostazione predefinita: non configurata
    Provider di servizi di configurazione WindowsDefenderSecurityCenter: CompanyName

  • Numero di telefono del reparto IT o ID Skype
    Impostazione predefinita: non configurata
    CSP WindowsDefenderSecurityCenter: Telefono

  • Indirizzo di posta elettronica del reparto IT
    Impostazione predefinita: non configurata
    CSP WindowsDefenderSecurityCenter: Email

  • URL del sito Web di supporto IT
    Impostazione predefinita: non configurata
    CSP WindowsDefenderSecurityCenter: URL

Opzioni di sicurezza dei dispositivi locali

Usare queste opzioni per configurare le impostazioni di sicurezza locali nei dispositivi Windows 10/11.

Account

• Aggiungere nuovi account Microsoft
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

  • Blocco Impedire agli utenti di aggiungere nuovi account Microsoft al dispositivo.
  • Non configurato : gli utenti possono usare gli account Microsoft nel dispositivo.

• Accesso remoto senza password
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Blocca : consente solo agli account locali con password vuote di accedere usando la tastiera del dispositivo.
  • Non configurato : consente agli account locali con password vuote di accedere da posizioni diverse dal dispositivo fisico.

Amministratore

• Account amministratore locale
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Blocco Impedire l'uso di un account amministratore locale.
  • Non configurata

• Rinominare l'account amministratore
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

  Definire un nome di account diverso da associare all'identificatore di sicurezza (SID) per l'account "Administrator".

Guest

• Account guest
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions

  • Blocca : impedisce l'uso di un account guest.
  • Non configurata

• Rinominare l'account guest
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

  Definire un nome di account diverso da associare all'identificatore di sicurezza (SID) per l'account "Guest".

Dispositivi

• Disinserisci dispositivo senza accesso
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

  • Blocca : un utente deve accedere al dispositivo e ricevere l'autorizzazione per disasancorare il dispositivo.
  • Non configurato : gli utenti possono premere il pulsante di espulsione fisica di un dispositivo portatile ancorato per disaccolegare il dispositivo in modo sicuro.

• Installare i driver della stampante per le stampanti condivise
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

  • Abilitato : qualsiasi utente può installare un driver della stampante come parte della connessione a una stampante condivisa.
  • Non configurato : solo gli amministratori possono installare un driver della stampante come parte della connessione a una stampante condivisa.

• Limitare l'accesso al CD-ROM all'utente attivo locale
  Impostazione predefinita: non configurata
  CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

  • Abilitato : solo l'utente connesso in modo interattivo può usare il supporto CD-ROM. Se questo criterio è abilitato e nessuno è connesso in modo interattivo, si accede al CD-ROM tramite la rete.
  • Non configurato : chiunque può accedere al CD-ROM.

• Formattare ed espellere supporti rimovibili
  Impostazione predefinita: Amministratori
  CSP: Devices_AllowedToFormatAndEjectRemovableMedia

  Definire chi può formattare ed espellere supporti NTFS rimovibili:

  • Non configurata
  • Amministratori
  • Amministratori e utenti di Power
  • Amministratori e utenti interattivi

Accesso interattivo

• Minuti di inattività della schermata di blocco fino all'attivazione dello screen saver
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

  Immettere i minuti massimi di inattività fino all'attivazione dello screensaver. (0 - 99999)

• Richiedi CTRL+ALT+CANC per l'accesso
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

  • Abilita : richiedere agli utenti di premere CTRL+ALT+CANC prima di accedere a Windows.
  • Non configurato : la pressione di CTRL+ALT+CANC non è necessaria per consentire agli utenti di accedere.

• Comportamento di rimozione delle smart card
  Impostazione predefinita: Nessuna azione LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

  Determina cosa accade quando la smart card per un utente connesso viene rimossa dal lettore di smart card. Le opzioni disponibili sono:

  • Blocca workstation : la workstation viene bloccata quando la smart card viene rimossa. Questa opzione consente agli utenti di uscire dall'area, portare con sé la smart card e mantenere comunque una sessione protetta.
  • Nessuna azione
  • Forza disconnessione : l'utente viene disconnesso automaticamente quando la smart card viene rimossa.
  • Disconnettersi se una sessione di Servizi Desktop remoto : la rimozione della smart card disconnette la sessione senza disconnettersi dall'utente. Questa opzione consente all'utente di inserire la smart card e riprendere la sessione in un secondo momento o in un altro computer dotato di lettore di smart card, senza dover accedere di nuovo. Se la sessione è locale, questo criterio funziona in modo identico a Blocco workstation.

Visualizza

• Informazioni utente nella schermata di blocco
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

  Configurare le informazioni utente visualizzate quando la sessione è bloccata. Se non è configurato, vengono visualizzati il nome visualizzato dell'utente, il dominio e il nome utente.

  • Non configurata
  • Nome visualizzato utente, dominio e nome utente
  • Solo nome visualizzato utente
  • Non visualizzare le informazioni utente

• Nascondere l'ultimo utente connesso
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

  • Abilita : nasconde il nome utente.
  • Non configurato : mostra l'ultimo nome utente.

• Nascondi nome utente al valore predefinito di accesso: Non configurato
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

  • Abilita : nasconde il nome utente.
  • Non configurato : mostra l'ultimo nome utente.

• Titolo del messaggio di accesso
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

  Impostare il titolo del messaggio per gli utenti che ac effettuato l'accesso.

• Testo del messaggio di accesso
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

  Impostare il testo del messaggio per gli utenti che ac effettuato l'accesso.

Accesso alla rete e sicurezza

• Accesso anonimo a named pipe e condivisioni
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

  • Non configurato : limitare l'accesso anonimo alle impostazioni di condivisione e named pipe. Si applica alle impostazioni a cui è possibile accedere in modo anonimo.
  • Blocca : disabilita questo criterio, rendendo disponibile l'accesso anonimo.

• Enumerazione anonima degli account SAM
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

  • Non configurato : gli utenti anonimi possono enumerare gli account SAM.
  • Blocca : impedisce l'enumerazione anonima degli account SAM.

• Enumerazione anonima di condivisioni e account SAM
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

  • Non configurato : gli utenti anonimi possono enumerare i nomi degli account di dominio e delle condivisioni di rete.
  • Blocca : impedisce l'enumerazione anonima di condivisioni e account SAM.

• Valore hash di LAN Manager archiviato in caso di modifica della password
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

  Determinare se il valore hash per le password viene archiviato alla successiva modifica della password.

  • Non configurato : il valore hash non viene archiviato
  • Blocca : LAN Manager (LM) archivia il valore hash per la nuova password.

• Richieste di autenticazione PKU2U
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

  • Non configurato: consente richieste PU2U.
  • Blocca : blocca le richieste di autenticazione PKU2U al dispositivo.

• Limitare le connessioni RPC remote a SAM
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

  • Non configurato : usare il descrittore di sicurezza predefinito, che può consentire a utenti e gruppi di effettuare chiamate RPC remote al SAM.

  • Consenti : impedire a utenti e gruppi di effettuare chiamate RPC remote a Security Accounts Manager (SAM), che archivia gli account utente e le password. Consenti consente inoltre di modificare la stringa SDDL (Security Descriptor Definition Language) predefinita per consentire o negare esplicitamente a utenti e gruppi di effettuare queste chiamate remote.

    • Descrittore di sicurezza
      Impostazione predefinita: non configurata

• Sicurezza minima sessione per i client basati su provider di servizi condivisi NTLM
  Impostazione predefinita: Nessuna
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

  Questa impostazione di sicurezza consente a un server di richiedere la negoziazione della crittografia a 128 bit e/o della sicurezza della sessione NTLMv2.

  • Nessuna
  • Richiedere la sicurezza della sessione NTLMv2
  • Richiedere la crittografia a 128 bit
  • Crittografia NTLMv2 e 128 bit

• Sicurezza minima sessione per il server basato su provider di servizi condivisi NTLM
  Impostazione predefinita: Nessuna
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

  Questa impostazione di sicurezza determina il protocollo di autenticazione challenge/response usato per gli accessi di rete.

  • Nessuna
  • Richiedere la sicurezza della sessione NTLMv2
  • Richiedere la crittografia a 128 bit
  • Crittografia NTLMv2 e 128 bit

• Livello di autenticazione LAN Manager
  Impostazione predefinita: LM e NTLM
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

  • LM e NTLM
  • LM, NTLM e NTLMv2
  • NTLM
  • NTLMv2
  • NTLMv2 e non LM
  • NTLMv2 e non LM o NTLM

• Accessi guest non sicuri
  Impostazione predefinita: non configurata
  LanmanWorkstation CSP: LanmanWorkstation

  Se si abilita questa impostazione, il client SMB rifiuterà gli accessi guest non sicuri.

  • Non configurata
  • Blocca : il client SMB rifiuta gli accessi guest non sicuri.

Console di ripristino e arresto

• Cancellare il file di pagina della memoria virtuale durante l'arresto
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

  • Abilita : cancellare il file di pagina della memoria virtuale quando il dispositivo è spento.
  • Non configurato : non cancella la memoria virtuale.

• Arresto senza accesso
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

  • Blocca : nasconde l'opzione di arresto nella schermata di accesso di Windows. Gli utenti devono accedere al dispositivo e quindi arrestarsi.
  • Non configurato : consente agli utenti di arrestare il dispositivo dalla schermata di accesso di Windows.

Controllo dell'account utente

• Integrità dell'interfaccia utente senza posizione sicura
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Blocca : le app che si trovano in un percorso sicuro nel file system verranno eseguite solo con integrità UIAccess.
  • Non configurata : consente l'esecuzione delle app con integrità UIAccess, anche se le app non si trova in un percorso sicuro nel file system.

• Virtualizzare gli errori di scrittura dei file e del Registro di sistema nei percorsi per utente
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

  • Abilitato : le applicazioni che scrivono dati in percorsi protetti hanno esito negativo.
  • Non configurato : gli errori di scrittura dell'applicazione vengono reindirizzati in fase di esecuzione ai percorsi utente definiti per il file system e il Registro di sistema.

• Elevare solo i file eseguibili firmati e convalidati
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Abilitato : applicare la convalida del percorso di certificazione PKI per un file eseguibile prima che possa essere eseguito.
  • Non configurato : non applicare la convalida del percorso di certificazione PKI prima dell'esecuzione di un file eseguibile.

Comportamento della richiesta di elevazione dell'interfaccia utente

• Richiesta di elevazione dei privilegi per gli amministratori
  Impostazione predefinita: richiedi il consenso per i file binari non Windows
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

  Definire il comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione.

  • Non configurata
  • Elevare il livello senza richiedere conferma
  • Richiedi credenziali sul desktop protetto
  • Richiedi credenziali
  • Richiedere il consenso
  • Richiedere il consenso per i file binari non Windows

• Richiesta di elevazione dei privilegi per gli utenti standard
  Impostazione predefinita: Richiedi credenziali
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

  Definire il comportamento della richiesta di elevazione dei privilegi per gli utenti standard.

  • Non configurata
  • Nega automaticamente le richieste di elevazione dei privilegi
  • Richiedi credenziali sul desktop protetto
  • Richiedi credenziali

• Richieste di elevazione del percorso al desktop interattivo dell'utente
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

  • Abilitato : tutte le richieste di elevazione dei privilegi per passare al desktop dell'utente interattivo anziché al desktop sicuro. Vengono usate tutte le impostazioni dei criteri di comportamento delle richieste per amministratori e utenti standard.
  • Non configurato : forzare tutte le richieste di elevazione dei privilegi al desktop sicuro, indipendentemente dalle impostazioni dei criteri di comportamento delle richieste per amministratori e utenti standard.

• Richiesta con privilegi elevati per le installazioni di app
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

  • Abilitato : i pacchetti di installazione dell'applicazione non vengono rilevati o non vengono richiesti l'elevazione.
  • Non configurato : agli utenti vengono richiesti un nome utente e una password amministrativi quando un pacchetto di installazione dell'applicazione richiede privilegi elevati.

• Richiesta di elevazione dell'interfaccia utente senza desktop sicuro
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

• Abilita : consente alle app UIAccess di richiedere l'elevazione dei privilegi, senza usare il desktop protetto.

• Non configurato : le richieste di elevazione dei privilegi usano un desktop protetto.

modalità di approvazione Amministrazione

• Amministrazione modalità di approvazione per l'amministratore predefinito
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

  • Abilitato: consente all'account amministratore predefinito di usare la modalità di approvazione Amministrazione. Qualsiasi operazione che richiede l'elevazione dei privilegi richiede all'utente di approvare l'operazione.
  • Non configurato : esegue tutte le app con privilegi di amministratore completi.

• Eseguire tutti gli amministratori in modalità approvazione Amministrazione
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

  • Abilitato: abilita la modalità di approvazione Amministrazione.
  • Non configurato: disabilita la modalità di approvazione Amministrazione e tutte le impostazioni dei criteri di Controllo dell'account utente correlate.

Client di rete Microsoft

• Firma digitale delle comunicazioni (se il server è d'accordo)
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

  Determina se il client SMB negozia la firma del pacchetto SMB.

  • Blocca : il client SMB non negozia mai la firma del pacchetto SMB.
  • Non configurato : il client di rete Microsoft chiede al server di eseguire la firma dei pacchetti SMB al momento dell'installazione della sessione. Se la firma dei pacchetti è abilitata nel server, la firma dei pacchetti viene negoziata.

• Inviare password non crittografate a server SMB di terze parti
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

  • Blocca : il reindirizzatore SMB (Server Message Block) può inviare password di testo non crittografato a server SMB non Microsoft che non supportano la crittografia delle password durante l'autenticazione.
  • Non configurato : blocca l'invio di password in testo non crittografato. Le password sono crittografate.

• Firma digitale delle comunicazioni (sempre)
  Impostazione predefinita: non configurata
  Provider di servizi di configurazione LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

  • Abilita : il client di rete Microsoft non comunica con un server di rete Microsoft a meno che tale server non accetti la firma dei pacchetti SMB.
  • Non configurato : la firma dei pacchetti SMB viene negoziata tra il client e il server.

Server di rete Microsoft

• Firmare digitalmente le comunicazioni (se il client è d'accordo)
  Impostazione predefinita: non configurata
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

  • Abilita : il server di rete Microsoft negozia la firma dei pacchetti SMB come richiesto dal client. Ovvero, se la firma dei pacchetti è abilitata nel client, la firma dei pacchetti viene negoziata.
  • Non configurato : il client SMB non negozia mai la firma del pacchetto SMB.

• Firma digitale delle comunicazioni (sempre)
  Impostazione predefinita: non configurata
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

  • Abilita : il server di rete Microsoft non comunica con un client di rete Microsoft a meno che tale client non accetti la firma del pacchetto SMB.
  • Non configurato : la firma dei pacchetti SMB viene negoziata tra il client e il server.

Servizi Xbox

• Attività Salva gioco Xbox
  Impostazione predefinita: non configurata
  CSP: TaskScheduler/EnableXboxGameSaveTask

  Questa impostazione determina se l'attività Salva gioco Xbox è abilitata o disabilitata.

  • Enabled
  • Non configurata

• Servizio gestione accessori Xbox
  Impostazione predefinita: Manuale
  CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

  Questa impostazione determina il tipo di avvio del servizio di gestione accessori.

  • Manuale
  • Automatica
  • Disabled

• Servizio Xbox Live Auth Manager
  Impostazione predefinita: Manuale
  CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

  Questa impostazione determina il tipo di avvio del servizio Live Auth Manager.

  • Manuale
  • Automatica
  • Disabled

• Servizio di salvataggio di giochi Xbox Live
  Impostazione predefinita: Manuale
  CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

  Questa impostazione determina il tipo di avvio del servizio Live Game Save.

  • Manuale
  • Automatica
  • Disabled

• Servizio di rete Xbox Live
  Impostazione predefinita: Manuale
  CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

  Questa impostazione determina il tipo di avvio del servizio di rete.

  • Manuale
  • Automatica
  • Disabled

Passaggi successivi

Il profilo viene creato, ma non esegue ancora alcuna operazione. Assegnare quindi il profilo e monitorarne lo stato.

Configurare le impostazioni di endpoint protection nei dispositivi macOS .