Gestire gli aggiornamenti e le analisi di Microsoft Defender Antivirus per gli endpoint non aggiornati

Si applica a:

Piattaforme

  • Windows

Con Microsoft Defender Antivirus, il team di sicurezza può definire per quanto tempo un endpoint può evitare un aggiornamento o quante analisi può mancare prima che sia necessario ricevere l'aggiornamento ed eseguire un'analisi. Questa funzionalità è particolarmente utile negli ambienti in cui i dispositivi non sono spesso connessi a una rete aziendale o esterna o per i dispositivi che non vengono usati quotidianamente.

Ad esempio, un dipendente che usa un determinato computer richiede tre giorni di ferie dal lavoro e non accede al computer durante tale periodo. Quando il dipendente torna al lavoro e accede al computer, Microsoft Defender Antivirus controllerà e scaricherà immediatamente gli aggiornamenti della protezione più recenti e quindi eseguirà un'analisi.

Configurare gli aggiornamenti della protezione di recupero per gli endpoint che non sono stati aggiornati da un po'

Se Microsoft Defender Antivirus non ha scaricato gli aggiornamenti della protezione per un periodo specificato, è possibile configurarlo per controllare e scaricare automaticamente l'aggiornamento più recente la volta che qualcuno accede a un endpoint. Questa configurazione è utile se i download degli aggiornamenti automatici sono stati disabilitati a livello globale all'avvio.

È possibile usare uno dei diversi metodi per configurare gli aggiornamenti della protezione di recupero:

Usare Configuration Manager per configurare gli aggiornamenti della protezione di recupero

  1. Nella console di Microsoft Configuration Manager aprire i criteri antimalware che si desidera modificare(selezionare Asset e conformità nel riquadro di spostamento a sinistra, quindi espandere l'albero in Panoramica Criteri>antimalware diEndpoint Protection>)

  2. Passare alla sezione Aggiornamenti di Security Intelligence e configurare le impostazioni seguenti:

    • Impostare Forza un aggiornamento di Security Intelligence se il computer client è offline per più di due aggiornamenti pianificati consecutivi su .
    • Per If Configuration Manager is used as a source for security intelligence updates... (Se Configuration Manager viene usato come origine per gli aggiornamenti di Security Intelligence...), specificare le ore prima delle quali gli aggiornamenti della protezione forniti da Configuration Manager devono essere considerati obsoleti. Questa impostazione determina l'uso del percorso di aggiornamento successivo, in base all'ordine di origine di fallback definito.
  3. Seleziona OK.

  4. Distribuire i criteri aggiornati come di consueto.

Usare Criteri di gruppo per abilitare e configurare la funzionalità di aggiornamento di recupero

  1. Nel computer di gestione Criteri di gruppo aprire la console di gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

  2. Nel Criteri di gruppo Management Editor passare a Configurazione computer.

  3. Selezionare Criteri e quindi Modelli amministrativi.

  4. Espandere l'albero in Componenti > di Windows Microsoft Defender Aggiornamenti firma antivirus>.

  5. Fare doppio clic sull'impostazione Definire il numero di giorni dopo i quali è necessario un aggiornamento dell'intelligence per la sicurezza di recupero e impostare l'opzione su Abilitato. Immettere il numero di giorni dopo i quali si vuole Microsoft Defender Antivirus per verificare e scaricare l'aggiornamento della protezione più recente.

  6. Seleziona OK.

Usare i cmdlet di PowerShell per configurare gli aggiornamenti della protezione di recupero

Usare il cmdlet seguente:

Set-MpPreference -SignatureUpdateCatchupInterval

Per altre informazioni sull'uso di PowerShell con Microsoft Defender Antivirus, vedere gli articoli seguenti:

Usare Windows Management Instruction (WMI) per configurare gli aggiornamenti della protezione di recupero

Utilizzare il metodo Set della classe MSFT_MpPreference per le proprietà seguenti:

SignatureUpdateCatchupInterval

Per altre informazioni e parametri consentiti, vedere l'articolo seguente:

Impostare il numero di giorni prima che la protezione venga segnalata come non aggiornata

È anche possibile specificare il numero di giorni dopo i quali Microsoft Defender protezione antivirus è considerata obsoleta o obsoleta. Dopo il numero specificato di giorni, il client si segnalerà come "obsoleto" e mostrerà un errore all'utente dell'endpoint. Quando un endpoint viene considerato non aggiornato, Microsoft Defender Antivirus potrebbe tentare di scaricare un aggiornamento da altre origini (in base all'ordine dell'origine di fallback definito).

È possibile usare Criteri di gruppo per specificare il numero di giorni dopo i quali endpoint Protection viene considerato non aggiornato.

Usare Criteri di gruppo per specificare il numero di giorni prima che la protezione venga considerata obsoleta

  1. Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

  2. Nel Criteri di gruppo Management Editor passare a Configurazione computer.

  3. Selezionare Criteri e quindi Modelli amministrativi.

  4. Espandere l'albero in Componenti > di Windows Microsoft Defender Aggiornamenti firma antivirus > e configurare le impostazioni seguenti:

    1. Fare doppio clic su Definisci il numero di giorni prima che le definizioni di spyware siano considerate non aggiornate e impostare l'opzione su Abilitato. Immettere il numero di giorni dopo i quali si vuole che Microsoft Defender Antivirus consideri spyware Security intelligence come obsoleto.

    2. Seleziona OK.

    3. Fare doppio clic su Definisci il numero di giorni prima che le definizioni di virus siano considerate non aggiornate e impostare l'opzione su Abilitato. Immettere il numero di giorni dopo i quali si vuole che Microsoft Defender Antivirus consideri l'intelligence di sicurezza antivirus obsoleta.

    4. Seleziona OK.

Configurare le analisi di recupero per gli endpoint che non sono stati analizzati per un po'

È possibile impostare il numero di analisi pianificate consecutive che possono essere perse prima che Microsoft Defender Antivirus forza un'analisi.

Il processo per abilitare questa funzionalità è:

  1. Configurare almeno un'analisi pianificata (vedere l'articolo Analisi pianificate ).

  2. Abilitare la funzionalità di analisi di recupero.

  3. Definire il numero di analisi che possono essere ignorate prima che si verifichi un'analisi di recupero.

Questa funzionalità può essere abilitata sia per le analisi complete che per le analisi rapide.

Consiglio

È consigliabile usare analisi rapide per la maggior parte delle situazioni. Per altre informazioni, vedere Analisi rapida, analisi completa e analisi personalizzata.

È possibile usare uno dei diversi metodi per configurare le analisi di recupero:

Usare Criteri di gruppo per abilitare e configurare la funzionalità di analisi di recupero

  1. Assicurarsi di aver configurato almeno un'analisi pianificata.

  2. Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

  3. Nel Criteri di gruppo Management Editor passare a Configurazione computer.

  4. Selezionare Criteri e quindi Modelli amministrativi.

  5. Espandere l'albero in Componenti > di Windows Microsoft Defender Analisi antivirus > e configurare le impostazioni seguenti:

    • Se sono state configurate analisi rapide pianificate, fare doppio clic sull'impostazione Attiva analisi rapida di recupero e impostare l'opzione su Abilitato.
    • Se sono state configurate analisi complete pianificate, fare doppio clic sull'impostazione Attiva analisi completa di recupero e impostare l'opzione su Abilitato. Seleziona OK.
    • Fare doppio clic sull'impostazione Definisci il numero di giorni dopo i quali viene forzata un'analisi di recupero e impostare l'opzione su Abilitato.
    • Immettere il numero di analisi che possono essere perse prima che un'analisi venga eseguita automaticamente al successivo accesso dell'utente all'endpoint. Il tipo di analisi eseguito è determinato dall'articolo Specificare il tipo di analisi da usare per un'analisi pianificata . Vedere l'articolo Pianificare le analisi . Seleziona OK.

Nota

Il titolo dell'impostazione Criteri di gruppo fa riferimento al numero di giorni. L'impostazione, tuttavia, viene applicata al numero di analisi (non giorni) prima dell'esecuzione dell'analisi di recupero.

Usare i cmdlet di PowerShell per configurare le analisi di recupero

Usare i cmdlet seguenti:

Set-MpPreference -DisableCatchupFullScan
Set-MpPreference -DisableCatchupQuickScan

Per altre informazioni sull'uso di PowerShell con Microsoft Defender Antivirus, vedere gli articoli seguenti:

Usare Windows Management Instruction (WMI) per configurare le analisi di recupero

Utilizzare il metodo Set della classe MSFT_MpPreference per le proprietà seguenti:

DisableCatchupFullScan
DisableCatchupQuickScan

Per altre informazioni e parametri consentiti, vedere l'articolo seguente:

Usare Configuration Manager per configurare le analisi di recupero

  1. Nella console di Microsoft Configuration Manager aprire i criteri antimalware che si desidera modificare(selezionare Asset e conformità nel riquadro di spostamento a sinistra, quindi espandere l'albero in Panoramica Criteri>antimalware diEndpoint Protection>)

  2. Passare alla sezione Scansioni pianificate e Forzare un'analisi del tipo di analisi selezionato se il computer client è offline... su .

  3. Seleziona OK.

  4. Distribuire i criteri aggiornati come di consueto.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.