Valutare Microsoft Defender antivirus usando Microsoft Defender Gestione delle impostazioni di sicurezza degli endpoint (criteri di sicurezza degli endpoint)

In Windows 10 o versioni successive e in Windows Server 2016 o versioni successive è possibile usare le funzionalità di protezione di nuova generazione offerte da Microsoft Defender Antivirus (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).

Questo articolo descrive le opzioni di configurazione disponibili in Windows 10 e versioni successive, nonché in Windows Server 2016 e versioni successive. Fornisce indicazioni dettagliate su come attivare e testare le principali funzionalità di protezione in Microsoft Defender Antivirus (MDAV) e Microsoft Defender per endpoint (EG).

Se si hanno domande su un rilevamento eseguito da MDAV o si rileva un rilevamento perso, è possibile inviare un file al sito della Guida per l'invio di esempio.

Usare Microsoft Defender Gestione delle impostazioni di sicurezza degli endpoint (criteri di sicurezza degli endpoint) per abilitare le funzionalità

Questa sezione descrive la Microsoft Defender per endpoint Gestione delle impostazioni di sicurezza (criteri di sicurezza degli endpoint) che configurano le funzionalità da usare per valutare la protezione.

MDAV indica un rilevamento tramite notifiche windows standard. È anche possibile esaminare i rilevamenti nell'app MDAV. A tale scopo, vedere Esaminare Microsoft Defender risultati dell'analisi antivirus.

Il registro eventi di Windows registra anche il rilevamento e gli eventi del motore. Per un elenco degli ID evento e delle azioni corrispondenti, vedere l'articolo Microsoft Defender Eventi antivirus. Per informazioni sull'elenco degli ID evento e sulle azioni corrispondenti, vedere Esaminare i log eventi e i codici di errore per risolvere i problemi relativi a Microsoft Defender Antivirus.

Per configurare le opzioni che è necessario usare per testare le funzionalità di protezione, seguire questa procedura:

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri disicurezza degli endpointdi gestione degliendpoint di gestione >degli> endpoint. In alternativa, per passare direttamente alla pagina Criteri di sicurezza degli endpoint , usare https://security.microsoft.com/policy-inventory i criteri di Windows.

  2. Nella pagina Criteri di sicurezza degli endpoint verificare che la scheda Criteri di Windows sia selezionata e quindi selezionare Crea nuovo criterio

  3. Nel riquadro a comparsa Crea un nuovo criterio aperto configurare le impostazioni seguenti:

    • Selezionare una piattaforma: selezionare Windows.
    • Selezionare modello: selezionare Microsoft Defender Antivirus.

    Selezionare Crea criterio.

  4. Verrà visualizzata la creazione guidata di un nuovo criterio. Nella pagina Informazioni di base è possibile configurare le impostazioni seguenti:

    • Nome: immettere un nome univoco per il criterio.
    • Descrizione: immettere una descrizione facoltativa.

    Selezionare Avanti.

  5. Nella pagina Impostazioni di configurazione configurare le impostazioni nella sezione Defender come descritto nelle tabelle seguenti:

    • Protezione in tempo reale:

      Impostazione Valore
      Consenti monitoraggio in tempo reale Consentito. Attiva ed esegue il servizio di monitoraggio in tempo reale. (Predefinito)
      Direzione analisi in tempo reale Monitorare tutti i file (bidirezionali). (Predefinito)
      Consenti monitoraggio del comportamento Consentito. Attiva il monitoraggio del comportamento in tempo reale (impostazione predefinita).
      Consenti la protezione dall'accesso Consentito. (Predefinito)
      Protezione PUA Protezione PUA attivata. Gli elementi rilevati sono bloccati. Verranno mostrati nella storia insieme ad altre minacce.

    • Funzionalità di protezione del cloud:

      Impostazione Valore
      Consenti Cloud Protection Consentito. Attiva Cloud Protection. (Predefinito)
      Livello blocco cloud Alto
      Timeout esteso del cloud Configurato, 50
      Invia il consenso degli esempi Inviare tutti gli esempi automaticamente

      Standard gli aggiornamenti dell'intelligence per la sicurezza possono richiedere ore per la preparazione e la distribuzione. Il servizio di protezione fornito dal cloud può offrire questa protezione in pochi secondi. Per altre informazioni, vedere Usare tecnologie di nuova generazione in Microsoft Defender Antivirus tramite la protezione fornita dal cloud.

    • Analisi:

      Impostazione Valore
      Consenti analisi Email Consentito. Attiva l'analisi della posta elettronica.
      Consenti l'analisi di tutti i file e gli allegati scaricati Consentito. (Predefinito)
      Consenti analisi script Consentito. (Predefinito)
      Consenti analisi Archivio Consentito. Analizza i file di archivio. (Predefinito)
      Consenti analisi rete Files Consentito. Analizza i file di rete. (Predefinito)
      Consentire l'analisi completa dell'unità rimovibile Consentito. Analizza le unità rimovibili.

    • Protezione di rete:

      Impostazione Valore
      Abilitare la protezione di rete Abilitato (modalità blocco)
      Consenti livello di protezione di rete inattivo La protezione di rete verrà abilitata a livello inferiore.
      Consenti elaborazione datagramma in Win Server L'elaborazione dei datagrammi in Windows Server è abilitata.
      Disabilitare l'analisi DNS su TCP L'analisi DNS su TCP è abilitata (impostazione predefinita)
      Disabilitare l'analisi HTTP L'analisi HTTP è abilitata (impostazione predefinita)
      Disabilitare l'analisi SSH L'analisi SSH è abilitata (impostazione predefinita)
      Disabilitare l'analisi TLS l'analisi è abilitata (impostazione predefinita)

    • Aggiornamenti di Security Intelligence:

      Impostazione Valore
      Intervallo di aggiornamento della firma Configurato, 4
      Ordine di fallback dell'aggiornamento della firma
      1. Selezionare Aggiungi per quante origini di fallback si desidera specificare.
      2. Immettere uno dei valori seguenti in ogni casella nell'ordine desiderato:
        • InternalDefinitionUpdateServer: server WSUS personalizzato con Microsoft Defender aggiornamenti antivirus consentiti.
        • MicrosoftUpdateServer: Microsoft Update.
        • MMPC: https://www.microsoft.com/wdsi/definitions

      Per rimuovere un'origine di fallback (popolata o vuota), selezionare la casella di controllo accanto alla casella e quindi selezionare Rimuovi.

    • Av amministratore locale:

      Disabilitare le impostazioni av dell'amministratore locale, ad esempio le esclusioni, e impostare i criteri dalla gestione delle impostazioni di sicurezza Microsoft Defender per endpoint come descritto nella tabella seguente:

      Impostazione Valore
      Disabilitare l'unione Amministrazione locale Disabilitare l'unione Amministrazione locale

    • Azione predefinita per la gravità della minaccia:

      Impostazione Valore
      Azione di correzione per le minacce con gravità elevata Quarantena. Spostare i file in quarantena.
      Azione di correzione per minacce gravi Quarantena. Spostare i file in quarantena.
      Azione di correzione per le minacce con gravità bassa Quarantena. Spostare i file in quarantena.
      Azione di correzione per le minacce di gravità moderata Quarantena. Spostare i file in quarantena.

    • Opzioni di quarantena

      Impostazione Valore
      Giorni per conservare il malware pulito Configurato, 60
      Consenti accesso all'interfaccia utente Consentito. Consentire agli utenti di accedere all'interfaccia utente. (Predefinito)

    Al termine della pagina Impostazioni di configurazione , selezionare Avanti.

  6. Nella pagina Assegnazioni fare clic nella casella e selezionare i valori seguenti:

    • Tutti gli utenti o Tutti i dispositivi.
    • Quando si trovano e si selezionano uno o più gruppi disponibili, è possibile usare il valore Tipo di destinazione nella voce del gruppo per Includere o escludere i membri del gruppo.

    Al termine della pagina Assegnazioni , selezionare Avanti.

  7. Nella pagina Rivedi e crea esaminare le impostazioni. Selezionare Indietro o selezionare il nome della pagina per apportare modifiche.

    Al termine della pagina Rivedi e crea , selezionare Salva.

Al termine della creazione dei criteri, viene visualizzata la pagina dei dettagli del nuovo criterio.

Selezionare Criteri di sicurezza degli endpoint nella parte superiore della pagina per tornare alla pagina Criteri di sicurezza degli endpoint in cui è elencato il nuovo criterio con il valore Tipo di criteriMicrosoft Defender Antivirus.

Regole di riduzione della superficie di attacco

Per abilitare le regole di riduzione della superficie di attacco usando i criteri di sicurezza degli endpoint, seguire questa procedura:

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri disicurezza degli endpointdi gestione degliendpoint di gestione >degli> endpoint. In alternativa, per passare direttamente alla pagina Criteri di sicurezza degli endpoint , usare https://security.microsoft.com/policy-inventory i criteri di Windows.

  2. Nella pagina Criteri di sicurezza degli endpoint verificare che la scheda Criteri di Windows sia selezionata e quindi selezionare Crea nuovo criterio

  3. Nel riquadro a comparsa Crea un nuovo criterio aperto configurare le impostazioni seguenti:

    • Selezionare una piattaforma: selezionare Windows.
    • Selezionare modello: selezionare Regole di riduzione della superficie di attacco.

    Selezionare Crea criterio.

  4. Verrà visualizzata la creazione guidata di un nuovo criterio. Nella pagina Informazioni di base è possibile configurare le impostazioni seguenti:

    • Nome: immettere un nome univoco per il criterio.
    • Descrizione: immettere una descrizione facoltativa.

    Selezionare Avanti.

  5. Nella pagina Impostazioni di configurazione configurare le impostazioni in base alle raccomandazioni seguenti:

    Impostazione Valore
    Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Blocca
    Impedire ad Adobe Reader di creare processi figlio Blocca
    Blocca l'esecuzione di script potenzialmente offuscati Blocca
    Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) Blocca
    Bloccare le chiamate API Win32 dalle macro di Office Blocca
    Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Blocca
    Impedire all'applicazione di comunicazione di Office di creare processi figlio Blocca
    Impedire a tutte le applicazioni di Office di creare processi figlio Blocca
    Blocca l'uso di strumenti di sistema copiati o rappresentati Blocca
    Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Blocca
    Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows Blocca
    Bloccare la creazione di WebShell per i server Blocca
    Impedire alle applicazioni di Office di creare contenuto eseguibile Blocca
    Bloccare i processi non attendibili e non firmati eseguiti da USB Blocca
    Impedire alle applicazioni di Office di inserire codice in altri processi Blocca
    Bloccare la persistenza tramite la sottoscrizione di eventi WMI Blocca
    Usare la protezione avanzata contro il ransomware Blocca
    Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Blocca (se si dispone di Gestione configurazione (in precedenza SCCM) o di altri strumenti di gestione che usano WMI, potrebbe essere necessario impostarlo su Audit anziché su Block
    Blocca il riavvio della macchina in modalità provvisoria Blocca
    Abilitare l'accesso controllato alle cartelle Abilitato

Consiglio

Qualsiasi regola potrebbe bloccare il comportamento che si ritiene accettabile nell'organizzazione. In questi casi, aggiungere le esclusioni per regola denominate "Esclusioni solo riduzione della superficie di attacco". Modificare inoltre la regola da Abilitato a Controllo per evitare blocchi indesiderati.

  1. Nella pagina Assegnazioni fare clic nella casella e selezionare i valori seguenti:

    • Tutti gli utenti o Tutti i dispositivi.
    • Quando si trovano e si selezionano uno o più gruppi disponibili, è possibile usare il valore Tipo di destinazione nella voce del gruppo per Includere o escludere i membri del gruppo.

    Al termine della pagina Assegnazioni , selezionare Avanti.

  2. Nella pagina Rivedi e crea esaminare le impostazioni. Selezionare Indietro o selezionare il nome della pagina per apportare modifiche.

    Al termine della pagina Rivedi e crea , selezionare Salva.

Al termine della creazione dei criteri, viene visualizzata la pagina dei dettagli del nuovo criterio.

Selezionare Criteri di sicurezza degli endpoint nella parte superiore della pagina per tornare alla pagina Criteri di sicurezza degli endpoint in cui i nuovi criteri sono elencati con il valore Tipo di criteri Regole di riduzione della superficie di attacco.

Abilitare la protezione antimanomissione

  1. Accedere a Microsoft Defender XDR.

  2. Passare a Endpoints > Configuration management > Endpoint security policies > (Criteri di sicurezza degli endpoint) Criteri > di Windows Create new policy (Crea nuovi criteri).

  3. Selezionare Windows 10, Windows 11 e Windows Server dall'elenco a discesa Seleziona piattaforma.

  4. Selezionare Esperienza di sicurezza dall'elenco a discesa Seleziona modello .

  5. Selezionare Crea criterio. Verrà visualizzata la pagina Crea un nuovo criterio .

  6. Nella pagina Informazioni di base immettere rispettivamente un nome e una descrizione per il profilo nei campi Nome e Descrizione .

  7. Seleziona Avanti.

  8. Nella pagina Impostazioni di configurazione espandere i gruppi di impostazioni.

  9. Da questi gruppi selezionare le impostazioni che si desidera gestire con questo profilo.

  10. Impostare i criteri per i gruppi di impostazioni scelti configurandoli come descritto nella tabella seguente:

    Descrizione Impostazione
    TamperProtection (Dispositivo) Attivato

Controllare la connettività di rete di Cloud Protection

È importante verificare che la connettività di rete di Cloud Protection funzioni durante i test di penetrazione.

In un prompt dei comandi con privilegi elevati (finestra del prompt dei comandi aperta selezionando Esegui come amministratore) eseguire i comandi seguenti:

Consiglio

Il primo comando modifica la directory alla versione più recente della <piattaforma> antimalware in %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Se tale percorso non esiste, passa a %ProgramFiles%\Windows Defender.

(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -ValidateMapsConnection

Per altre informazioni, vedere Configurare e gestire Microsoft Defender Antivirus con lo strumento da riga di comando MpCmdRun.

Controllare la versione dell'aggiornamento della piattaforma

La versione più recente del canale di produzione (GA) "Platform Update" è disponibile in Microsoft Update Catalog.

Per verificare la versione "Aggiornamento piattaforma" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:

Get-MPComputerStatus | Format-Table AMProductVersion

Controllare la versione dell'aggiornamento di Security Intelligence

La versione più recente di "Security Intelligence Update" è disponibile negli aggiornamenti più recenti di Security Intelligence per Microsoft Defender Antivirus e altri antimalware Microsoft - Intelligence di sicurezza Microsoft.

Per verificare la versione "Security Intelligence Update" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:

Get-MPComputerStatus | Format-Table AntivirusSignatureVersion

Controllare la versione dell'aggiornamento del motore

La versione più recente dell'analisi "aggiornamento del motore" è disponibile in Aggiornamenti più recenti dell'intelligence per la sicurezza per Microsoft Defender Antivirus e altri antimalware Microsoft - Intelligence di sicurezza Microsoft.

Per verificare la versione "Aggiornamento motore" installata, eseguire il comando seguente in PowerShell usando i privilegi di un amministratore:

Get-MPComputerStatus | Format-Table AMEngineVersion

Se si scopre che le impostazioni non hanno effetto, è possibile che si verifichi un conflitto. Per informazioni su come risolvere i conflitti, vedere Risolvere i problemi relativi alle impostazioni di antivirus Microsoft Defender.

Per gli invii di falsi negativi (FN)

Per informazioni su come effettuare invii false negative (FN), vedere:

  • Last updated on