Impostazioni antivirus

Le impostazioni antivirus configurano le impostazioni per il software antivirus installato su un dispositivo Windows.

La tabella seguente descrive le impostazioni antivirus di Windows Defender che è possibile configurare su un dispositivo Windows:

Tabella 1. Impostazioni antivirus
Impostazione politica Descrizione Dispositivi supportati
Configura impostazioni antivirus Configurare le impostazioni antivirus sul dispositivo. La configurazione è supportata sull'applicazione Windows Defender nativa. Abilitare l'impostazione per visualizzare e configurare le impostazioni antivirus.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Personalizza impostazioni scansione e frequenza Configurare le impostazioni di scansione antivirus e la frequenza di esecuzione della scansione.
  • Tipo di scansione: seleziona il tipo di scansione del dispositivo che preferisci, ad esempio scansione rapida o scansione completa.
  • Ora di inizio scansione: pianificare l'orario di inizio della scansione. Nota: il sistema operativo può sovrascrivere il tempo di scansione. La scansione di solito viene eseguita quando l'utilizzo della CPU è basso sul sistema.
  • Frequenza di scansione: selezionare la frequenza con cui si desidera eseguire la scansione sul dispositivo, ad esempio ogni giorno, un giorno specifico o nessun giorno pianificato.
  • Frequenza di aggiornamento firma: selezionare la frequenza con cui si desidera aggiornare la firma, ad esempio ogni ora, ogni due ore o ogni otto ore.
  • Cattura scansione completa: selezionare questa opzione per forzare Windows Defender ad eseguire una scansione completa dopo aver perso una scansione pianificata.
  • Recupera scansione rapida: selezionare questa opzione per forzare Windows Defender ad eseguire una scansione rapida dopo aver perso una scansione pianificata.
  • Bassa priorità CPU durante la scansione: specificare che Windows Defender utilizza una bassa priorità CPU per le scansioni pianificate.
  • Controlla la firma prima di eseguire la scansione: selezionare che Windows Defender controlli la presenza di nuove definizioni di virus e spyware prima di eseguire una scansione. Questa opzione si applica alle scansioni pianificate e all'opzione della riga comandi mpcmdrun -SigUpdate . Questa opzione non si applica alle scansioni avviate manualmente dall'interfaccia utente. Se non si abilita questa opzione, la scansione utilizza le definizioni esistenti.
  • Ordine di fallback dell'aggiornamento della firma: selezionare l'ordine in cui le origini di aggiornamento della definizione vengono contattate da Windows Defender. Impostare l'ordine di priorità che ciascuna delle seguenti origini aggiorna per scaricare la definizione:
    • Server di aggiornamento definizione interno: utilizzare un server WSUS (Windows Server Update Service) per gestire gli aggiornamenti per la rete.
    • Microsoft Update Server: si collega direttamente a Microsoft Update. Utilizzare questa opzione se le periferiche non possono connettersi alla rete aziendale su una base congruente o se non si utilizza Windows Server Update Service per gestire gli aggiornamenti.
    • MMPC: fornisce aggiornamenti firmati SHA-2 tramite Windows Update. Le unità devono supportare SHA-2.

      Utilizzare questa opzione come origine di fallback finale e non come origine principale, soprattutto se non è possibile scaricare gli aggiornamenti da Windows Server Update Service o Microsoft Update per un determinato numero di giorni.

    • Condivisione file: utilizzare questa opzione se si dispone di dispositivi non connessi a Internet. Utilizzare un computer connesso a Internet per scaricare gli aggiornamenti a una condivisione di rete a cui i dispositivi possono accedere.

      La firma aggiorna le risorse di condivisione file: definisce l'ordine in cui le origini di condivisione file UNC (Universal Naming Convention) scaricano gli aggiornamenti delle definizioni. Utilizzare un elenco separato da virgole per definire le origini di condivisione file UNC.

Nota: le origini di aggiornamento della definizione vengono contattate nell'ordine specificato. Se gli aggiornamenti di definizione vengono scaricati correttamente da un'origine specifica, le restanti origini nell'elenco non vengono contattate.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Tipi di file inclusi per la scansione antivirus Configurare i tipi di file inclusi durante la scansione del dispositivo.
  • Applica la scansione degli archivi: esegue la scansione dei file archiviati, ad esempio i file .zip .
  • Forza la scansione delle email: esegue la scansione delle email. Questa impostazione è supportata su Outlook 2003 e versioni precedenti.
  • Forza la scansione dei file di rete: quando si accede ai file di rete, viene eseguita la scansione di questi file.
  • Applica scansione completa su unità di rete associate: esegue la scansione dei file di rete quando viene avviata una scansione completa.
  • Consenti scansione file bidirezionale: specificare se monitorare sia i file in entrata che in uscita, solo i file in entrata o solo i file in uscita durante una scansione antivirus.
  • Forza scansione completa su unità rimovibile: esegue la scansione delle unità rimovibili connesse quando viene avviata una scansione completa.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Tipi di file esclusi per la scansione Configurare i tipi di file non inclusi durante la scansione di un dispositivo.
  • Tipi di file esclusi per la scansione: specificare formati file separati da virgole (lib, obj, cmd) che vengono ignorati durante una scansione antivirus.
  • Escludi percorsi file per la scansione: specificare percorsi di directory separati da virgole (C:\example, C:\example1) che vengono ignorati durante una scansione antivirus.
  • Processi esclusi per la scansione: specificare i file separati da virgole (C:\Example.exe, C:\Example1.exe) aperti dai processori ignorati durante una scansione antivirus.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Impostazioni avanzate
  • Abilita protezione in tempo reale: la protezione in tempo reale è configurata sul dispositivo.
  • Forza monitoraggio del comportamento: applica il monitoraggio del funzionamento sul dispositivo. Il monitoraggio del comportamento è una funzione interna che il motore Windows Defender utilizza per raccogliere dati per comportamenti sospetti. Agli utenti non viene direttamente mostrata alcuna informazione.
  • Implementa protezione cloud: consente a Windows Defender di inviare informazioni a Microsoft.
  • Livello di blocco cloud: specificare quanto è aggressivo il motore antivirus di Windows Defender se rileva e identifica i file sospetti. Sono supportati i seguenti livelli di blocco:
    • Predefinito: il livello di blocco predefinito di Windows Defender che fornisce un rilevamento efficace senza aumentare il rischio di rilevare file legittimi.
    • Alto: questo livello di blocco blocca in modo aggressivo i file sconosciuti ottimizzando le prestazioni del client (aumenta il rischio di falsi positivi).
    • Alto +: questo livello di blocco blocca in modo aggressivo i file sconosciuti e applica ulteriori misure di protezione (potrebbe influire sulle prestazioni del client e aumentare il rischio di falsi positivi).
    • Tolleranza zero: questo livello di blocco blocca tutti gli eseguibili sconosciuti.
    Nota: questa opzione è supportata su Windows 10 versione 1709 e successive.
  • Timeout esteso cloud: specifica il numero di secondi per cui il servizio di protezione cloud blocca un file mentre il servizio controlla se il file è noto come dannoso. L'intervallo è 0 - 50 secondi. Nota: il numero di secondi selezionato per questa opzione è in aggiunta al timeout predefinito di 10 secondi. Ad esempio, se si immettono 0 secondi, Cloud Protection Service blocca il file per 10 secondi.
    Nota: questa opzione è supportata su Windows 10 versione 1709 e successive.
  • Richiedi consenso utente prima di inoltrare le informazioni Defender: selezionare le opzioni di consenso utente prima di inviare le informazioni a Windows Defender.
    • Richiedi sempre
    • Invia automaticamente campioni sicuri senza richiedere il consenso dell'utente
    • Non inviare mai informazioni a Defender
    • Invia automaticamente tutti gli esempi senza richiedere il consenso dell'utente
  • Applicare la protezione IOAV: Abilita l'API IofficeAntiVirus per consentire ad applicazioni come i client di posta elettronica o i browser Web di interrogare Windows Defender per una scansione dei contenuti quando tali programmi gestiscono un file.
  • Consenti prevenzione delle intrusioni: consente la funzionalità di prevenzione delle intrusioni di Windows Defender. Abilitare questa opzione per proteggere i computer da exploit di rete noti ispezionando il traffico di rete e bloccando qualsiasi attività sospetta.
  • Consenti accesso all'interfaccia utente di Defender: consente l'accesso all'interfaccia utente di Windows Defender.
  • Consenti protezione accesso: consente la funzionalità di protezione accesso di Windows Defender. Attivare questa opzione per utilizzare le regole di autorizzazione URL e il filtro delle richieste integrato per proteggere i server Web da richieste dannose e accessi non autorizzati.
  • Fattore di carico CPU medio: specificare il fattore di carico CPU per la scansione di Windows Defender (in base alla percentuale). Il valore predefinito è 50%. Questa opzione si applica solo alle scansioni pianificate e non alle scansioni in tempo reale o alle scansioni avviate dall'utente.
  • Consenti scansione script: consente la funzionalità di scansione script di Windows Defender. Abilitare questa opzione se si desidera eseguire la scansione di tutti gli script eseguiti sui computer per attività sospette.
  • Abilita accesso cartella controllato: abilitare questa opzione per proteggere i documenti e i file da modifiche da parte di app sospette o dannose. Questa opzione consente di proteggere documenti e file da ransomware che possono tentare di crittografare i file e tenere i file in ostaggio.
  • Applicazioni consentite per l'accesso controllato alle cartelle: specificare le app che possono accedere ai documenti e ai file nelle cartelle protette. Queste app sono incluse in un elenco di software affidabili. Se l'app non è presente nell'elenco, l'accesso alla cartella controllata impedisce all'app di apportare modifiche ai file nelle cartelle protette.
  • Cartelle protette per l'accesso alle cartelle del controller: specificare le cartelle protette da app o minacce dannose, ad esempio ransomware. Questa funzione confronta un elenco di app note e attendibili.
  • Protezione delle applicazioni potenzialmente indesiderata: Potential PUA (Potential Unindesiderate Applications) è una classificazione delle minacce basata sulla reputazione e sull'identificazione basata sulla ricerca. Queste app sono bundle di app indesiderati o le relative app raggruppate. Se si abilita questa opzione, a PUA viene impedito il download e l'installazione sui dispositivi. È possibile escludere file o cartelle specifici per soddisfare le esigenze specifiche della propria organizzazione.
  • Abilita protezione di rete: consente di evitare che utenti e app accedano a siti Web dannosi. Impostare uno dei seguenti valori:
    • Abilitato: protegge i dipendenti da truffe di phishing, siti di exploit hosting e contenuti dannosi su Internet.
    • Disabilitato: consente le connessioni a tutti i siti Web senza alcuna protezione.
    • Controllo: non impedisce agli utenti e alle app di connettersi a siti dannosi, ma ne tiene traccia delle attività su tali siti.
Importante : non modificare i valori predefiniti per i seguenti parametri in questa normativa:
  • Abilita protezione in tempo reale
  • Implementa monitoraggio comportamento
  • Implementa protezione IOAV
  • Consenti la prevenzione delle intrusioni
  • Consenti accesso a UI Defender
  • Consenti la protezione all'accesso
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Impostazioni gestione minacce
Azione di implementazione per severità minaccia Configurare le azioni applicate in base alla gravità della minaccia. Le severità definite sono alta, bassa, moderata e grave. Scegliere tra le azioni di applicazione quali azioni di ripulitura, quarantena, rimozione, consenti, definite dall'utente e blocco.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Giorni di conservazione del malware ripulito Specificare il periodo di tempo (in giorni) durante il quale gli elementi in quarantena sono archiviati sul sistema. Il valore massimo supportato è 90 giorni.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Regole di riduzione superficie di attacco
Regole di riduzione superficie di attacco Le regole di riduzione della superficie di attacco mirano a comportamenti che i malware e le app dannose utilizzano per infettare i computer con codice dannoso, tra cui:
  • File eseguibili e script utilizzati in applicazioni Office o programmi di posta elettronica che tentano di scaricare o eseguire file
  • Script offuscati o altri script sospetti
  • Comportamenti che le app normalmente non avviano durante il normale orario di lavoro
Nota: questa opzione è supportata su Windows 10 versione 1709 e 1803 o successive.
Impostare uno dei seguenti valori per queste regole:
  • Non configurato: disabilitare la regola di riduzione della superficie di attacco.
  • Blocco: abilitare la regola di riduzione della superficie di attacco.
  • Verifica: valutare in che modo la regola di riduzione della superficie di attacco avrebbe un impatto sulla propria organizzazione se la regola fosse abilitata. Eseguire prima tutte le regole in modalità di verifica per comprendere in che modo queste regole influiscono sulle app LOB (line - of - business). Molte app line - of - business potrebbero eseguire attività simili al malware. Monitorando i dati di controllo e aggiungendo esclusioni per le app necessarie, è possibile implementare regole di riduzione della superficie di attacco senza compromettere la produttività.
Regole
  • Adobe Reader può creare processi figlio: questa regola impedisce gli attacchi di malware bloccando Adobe Reader di creare ulteriori processi.

    Questa regola è stata introdotta in Windows 10 versione 1809.

  • Le app di Office possono avviare processi figli: Questa regola impedisce alle app di Office (Word, Excel, PowerPoint, OneNote, Access) di creare processi figli.

    Questo tipo di comportamento malware utilizza macro VBA e codice exploit per scaricare e tentare di eseguire payload aggiuntivi. Alcune applicazioni line - of - business potrebbero anche utilizzare comportamenti come questo, inclusa la generazione di un prompt dei comandi o l'utilizzo di PowerShell per configurare le impostazioni del registro.

    Questa regola è stata introdotta in Windows 10 versione 1709.

  • Contrassegna furto di credenziali dal sottosistema di autorità di sicurezza locale di Windows: LSASS (Local Security Authority Subsystem Service) autentica gli utenti che accedono ad un computer Windows. Questa regola blocca LSASS per impedire tentativi dolosi di estrarre credenziali utente da LSASS. Microsoft Defender Credential Guard in Windows 10 + evita questi tentativi, ma le organizzazioni potrebbero non essere in grado di abilitare Credential Guard su tutti i computer a causa di problemi di compatibilità con i driver di smart card personalizzati o altri programmi caricati in LSA (Local Security Authority).
    Nota: in alcune applicazioni, il codice enumera tutti i processi in esecuzione e tenta di aprirli con autorizzazioni complete. Questa regola nega l'azione di apertura del processo dell'app e registra i dettagli nel log eventi di sicurezza. Questa regola può generare una quantità eccessiva di voci di log. Se si dispone di un'app che enumera eccessivamente LSASS, è necessario aggiungere l'app all'elenco di esclusione. Questa voce del registro eventi non indica necessariamente una minaccia dolosa.

    Questa regola è stata introdotta in Windows 10 versione 1803.

  • Contenuto eseguibile (exe, dll, ps, js, vbs, etc.) da email (webmail/client di posta) può essere eseguito (senza eccezioni): questa regola blocca l'avvio dei seguenti tipi di file da email in Microsoft Outlook o Outlook.com e altri provider di email:
    • File eseguibili (.exe, .dllo .scr)
    • File di script (PowerShell .ps, VisualBasic .vbso JavaScript .js)

    Questa regola è stata introdotta in Windows 10 versione 1709.

  • Gli eseguibili che non soddisfano i criteri di prevalenza, età o elenco attendibile possono eseguire: questa regola blocca l'avvio dei file eseguibili (.exe, .dllo .scr) a meno che i file non soddisfino i criteri di prevalenza o di età o che i tipi di file non siano elencati in un elenco attendibile o in un elenco di esclusione.
    Nota: per utilizzare questa regola è necessario abilitare la protezione fornita dal cloud.
    Importante: la regola blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, di età o di elenco attendibile con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 è di proprietà di Microsoft e non può essere modificato dagli amministratori. Questa regola utilizza la protezione fornita dal Cloud per aggiornare regolarmente il relativo elenco attendibile.

    È possibile specificare singoli file o cartelle (utilizzando percorsi di cartelle o nomi di risorse completi), ma non è possibile specificare quali regole o esclusioni si applicano a tali singoli file o cartelle.

    Questa regola è stata introdotta in Windows 10 versione 1803.

  • Il codice js / vbs/ps/macro potenzialmente offuscato può essere eseguito: questa regola rileva le proprietà sospette all'interno di uno script offuscato.

    Questa regola è stata introdotta in Windows 10 versione 1709.

  • Javascript / vbs può eseguire il payload scaricato da Internet (senza eccezioni): questa regola impedisce agli script di avviare il contenuto scaricato che potrebbe contenere malware e infettare le macchine. Il malware spesso utilizza script JavaScript e VBScript per avviare altre app dannose.
    Nota: le esclusioni di file e cartelle non si applicano a questa regola di riduzione della superficie di attacco.

    Questa regola è stata introdotta in Windows 10 versione 1709.

  • Le app e le macro di Office possono creare contenuto eseguibile: questa regola impedisce alle app di Office (Word, Excel, PowerPoint) di creare contenuto eseguibile.

    Questa regola è indirizzata a un comportamento in cui il malware utilizza Office come vettore per uscire da Office e salvare componenti dannosi su disco, dove persistono e sopravvivono al riavvio del computer. Questa regola impedisce la scrittura di codice doloso sul disco.

    Questa regola è stata introdotta in Windows 10 versione 1709.

  • Le app Office possono inserire codice in altri processi (senza eccezioni): questa regola blocca i tentativi di inserimento del codice dalle app Office (Word, Excel, PowerPoint) in altri processi.

    Questa regola è stata introdotta in Windows 10 versione 1709.

  • I prodotti di comunicazione Office possono creare processi figlio: questa regola impedisce a Outlook (e Outlook.com) di creare processi figlio. Questa regola protegge dagli attacchi di social engineering e impedisce al codice exploit di abusare di una vulnerabilità in Outlook. Questa regola impedisce l'avvio di payload aggiuntivi pur consentendo funzioni di Outlook legittime. Questa regola protegge anche dalle regole di Outlook e dagli exploit che gli aggressori possono utilizzare quando le credenziali di un utente sono compromesse.

    Questa regola è stata introdotta in Windows 10 versione 1809.

  • Persistenza tramite sottoscrizione evento WMI: questa regola consente agli amministratori di prevenire le minacce che abusano di WMI (Windows Management Instrumentation) per persistere e rimanere nascosti nel repository WMI. Per ulteriori informazioni su WMI, consultare https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.

    Questa regola è stata introdotta in Windows 10 versione 1903.

  • Creazione di processi che hanno origine dai comandi PSExec e WMI: questa regola blocca l'esecuzione dei processi tramite i comandi PsExec e WMI, per evitare l'esecuzione di codice remoto che può diffondere attacchi malware. Per ulteriori informazioni su PsExec, vedere https://docs.microsoft.com/en-us/sysinternals/downloads/psexec Per ulteriori informazioni su WMI, consultare https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.
    Nota: le esclusioni di file e cartelle non si applicano a questa regola di riduzione della superficie di attacco.

    Questa regola è stata introdotta in Windows 10 versione 1803.

  • I processi non sicuri e non firmati possono essere eseguiti da USB: questa regola consente agli amministratori di impedire l'esecuzione di file eseguibili non firmati o non attendibili da unità rimovibili USB, incluse le schede SD. I seguenti tipi di file sono bloccati:
    • File eseguibili (.exe, .dllo .scr)
    • File di script (PowerShell .ps, VisualBasic .vbso JavaScript .js)

    Questa regola è stata introdotta in Windows 10 versione 1803.

  • Le macro Office possono richiamare & importare win32 API: questa regola consente agli amministratori di evitare l'uso di API Win32 in macro VBA, riducendo la superficie di attacco.

    Questa regola è stata introdotta in Windows 10 versione 1709.

  • Protezione ransomware avanzata: questa regola fornisce un ulteriore livello di protezione dal ransomware. Questa regola esegue la scansione dei file eseguibili che entrano nel sistema per stabilire se il file può essere considerato attendibile. Se i file sono molto simili al ransomware, questa regola impedisce l'esecuzione dei file, a meno che i file non siano elencati in un elenco attendibile o in un elenco di esclusione.
    Nota: per utilizzare questa regola è necessario abilitare la protezione fornita dal cloud.

    Questa regola è stata introdotta in Windows 10 versione 1803.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows
Esclusioni riduzione superficie di attacco Specificare un elenco separato da virgole dei file e delle cartelle che si desidera escludere dalla valutazione delle regole di riduzione della superficie di attacco.

Le esclusioni di file e cartelle non si applicano alle seguenti regole di riduzione della superficie di attacco:

  • Creazioni di processi originate da comandi PSExec e WMI
  • Javascript/vbs può eseguire payload scaricato da Internet (senza eccezioni)
Nota: è possibile specificare singoli file o cartelle (utilizzando i percorsi cartella o i nomi percorso completi), ma non è possibile specificare le regole a cui si applicano le esclusioni. Un'esclusione viene applicata solo quando viene avviato il servizio o l'applicazione esclusi. Ad esempio, se si aggiunge un'esclusione per un servizio di aggiornamento che è già in esecuzione, il servizio di aggiornamento continuerà a attivare gli eventi fino a quando il servizio non viene arrestato e riavviato.
Avvertenza: se una regola di riduzione della superficie di attacco determina che un file o una cartella contiene un comportamento doloso, la regola non bloccherà l'esecuzione del file. Ciò potrebbe consentire ai file non sicuri di eseguire e infettare i dispositivi.
  • Windows 10 + Professional, Istruzione, Imprese
  • Team Windows