Proteggere le impostazioni di sicurezza con protezione antimanomissione

Si applica a:

Piattaforme

Che cos'è la protezione da manomissione?

La protezione dalle manomissioni è una funzionalità in Microsoft Defender per endpoint che consente di proteggere determinate impostazioni di sicurezza, ad esempio la protezione da virus e minacce, dalla disabilitazione o dalla modifica. Durante alcuni tipi di attacchi informatici, gli attori non validi cercano di disabilitare le funzionalità di sicurezza nei dispositivi. La disabilitazione delle funzionalità di sicurezza offre agli attori non validi un accesso più semplice ai dati, la possibilità di installare malware e la possibilità di sfruttare i dati, l'identità e i dispositivi. La protezione dalle manomissioni aiuta a proteggersi da questi tipi di attività.

La protezione da manomissione fa parte delle funzionalità anti-manomissione che includono regole standard di riduzione della superficie di attacco di protezione. La protezione da manomissioni è una parte importante della protezione integrata.

Cosa accade quando la protezione da manomissione è attivata?

Quando la protezione da manomissione è attivata, queste impostazioni protette da manomissione non possono essere modificate:

  • La protezione da virus e minacce rimane abilitata.
  • La protezione in tempo reale rimane attivata.
  • Il monitoraggio del comportamento rimane attivato.
  • La protezione antivirus, tra cui IOfficeAntivirus (IOAV) rimane abilitata.
  • La protezione cloud rimane abilitata.
  • Si verificano aggiornamenti dell'intelligence per la sicurezza.
  • Vengono eseguite azioni automatiche sulle minacce rilevate.
  • Le notifiche sono visibili nell'app Sicurezza di Windows nei dispositivi Windows.
  • I file archiviati vengono analizzati.
  • Le esclusioni non possono essere modificate o aggiunte (si applica a Intune o Configuration Manager)

A partire dalla versione 1.383.1159.0della firma , a causa di confusione intorno al valore predefinito per "Consenti analisi dei file di rete", la protezione da manomissione non blocca più questa impostazione al valore predefinito. Negli ambienti gestiti il valore predefinito è enabled.

Importante

Quando la protezione da manomissione è attivata, le impostazioni protette da manomissione non possono essere modificate. Per evitare un'interruzione delle esperienze di gestione, tra cui Intune e Configuration Manager, tenere presente che le modifiche apportate alle impostazioni protette da manomissioni potrebbero avere esito positivo, ma sono effettivamente bloccate dalla protezione dalle manomissioni. A seconda dello scenario specifico, sono disponibili diverse opzioni:

  • Se è necessario apportare modifiche a un dispositivo e tali modifiche sono bloccate dalla protezione da manomissioni, è possibile usare la modalità di risoluzione dei problemi per disabilitare temporaneamente la protezione dalle manomissioni nel dispositivo.
  • È possibile usare Intune o Configuration Manager per escludere i dispositivi dalla protezione da manomissioni.

La protezione dalle manomissioni non impedisce di visualizzare le impostazioni di sicurezza. Inoltre, la protezione dalle manomissioni non influisce sul modo in cui le app antivirus non Microsoft si registrano con l'app Sicurezza di Windows. Se l'organizzazione usa Defender per endpoint, i singoli utenti non possono modificare l'impostazione di protezione dalle manomissioni; in questi casi, il team di sicurezza gestisce la protezione da manomissioni. Per altre informazioni, vedere Ricerca per categorie configurare o gestire la protezione da manomissioni?

In quali dispositivi è possibile abilitare la protezione da manomissione?

La protezione da manomissione è disponibile per i dispositivi che eseguono una delle versioni seguenti di Windows:

  • Windows 10 e 11 (incluse le sessioni multisessione enterprise)
  • Windows Server 2022, Windows Server 2019 e Windows Server, versione 1803 o successiva
  • Windows Server 2016 e Windows Server 2012 R2 (usando la soluzione moderna e unificata)

La protezione da manomissione è disponibile anche per Mac, anche se funziona in modo leggermente diverso rispetto a Windows. Per altre informazioni, vedere Proteggere le impostazioni di sicurezza macOS con la protezione da manomissione.

Consiglio

La protezione predefinita include l'attivazione predefinita della protezione dalle manomissioni. Per altre informazioni, vedere:

Protezione da manomissioni in Windows Server 2012 R2, 2016 o Windows versione 1709, 1803 o 1809

Se si usa Windows Server 2012 R2 usando la soluzione unificata moderna, Windows Server 2016, Windows 10 versione 1709, 1803 o 1809, la protezione da manomissione non viene visualizzata nell'app Sicurezza di Windows. È invece possibile usare PowerShell per determinare se la protezione da manomissione è abilitata.

Importante

In Windows Server 2016, l'app Impostazioni non riflette in modo accurato lo stato della protezione in tempo reale quando è abilitata la protezione dalle manomissioni.

Usare PowerShell per determinare se la protezione da manomissione e la protezione in tempo reale sono attivate

  1. Aprire l'app Windows PowerShell.

  2. Usare il cmdlet Di PowerShell Get-MpComputerStatus .

  3. Nell'elenco dei risultati cercare IsTamperProtected o RealTimeProtectionEnabled. Il valore true indica che la protezione da manomissione è abilitata.

Ricerca per categorie configurare o gestire la protezione da manomissioni?

È possibile usare Microsoft Intune e altri metodi per configurare o gestire la protezione dalle manomissioni, come indicato nella tabella seguente:

Metodo Cosa è possibile fare
Usare il portale Microsoft Defender. Attivare o disattivare la protezione dalle manomissioni, a livello di tenant. Vedere Gestire la protezione da manomissioni per l'organizzazione usando Microsoft Defender XDR.

Questo metodo non esegue l'override delle impostazioni gestite in Microsoft Intune o Configuration Manager.
Usare l'interfaccia di amministrazione Microsoft Intune o Configuration Manager. Attivare o disattivare la protezione dalle manomissioni, a livello di tenant o applicare la protezione dalle manomissioni ad alcuni utenti/dispositivi. È possibile escludere determinati dispositivi dalla protezione dalle manomissioni. Vedere Gestire la protezione da manomissioni per l'organizzazione usando Intune.

Proteggere Microsoft Defender le esclusioni antivirus dalla manomissione se si usa solo Intune o solo Configuration Manager. Vedere Protezione antimanomissione per le esclusioni antivirus.
Usare Configuration Manager con collegamento tenant. Attivare o disattivare la protezione dalle manomissioni, a livello di tenant o applicare la protezione dalle manomissioni ad alcuni utenti/dispositivi. È possibile escludere determinati dispositivi dalla protezione dalle manomissioni. Vedere Gestire la protezione da manomissioni per l'organizzazione usando il collegamento del tenant con Configuration Manager versione 2006.
Usare l'app Sicurezza di Windows. Attivare o disattivare la protezione dalle manomissioni in un singolo dispositivo non gestito da un team di sicurezza, ad esempio i dispositivi per uso domestico. Vedere Gestire la protezione da manomissioni in un singolo dispositivo.

Questo metodo non sostituisce le impostazioni di protezione dalle manomissioni impostate nel portale di Microsoft Defender, Intune o Configuration Manager e non è destinato all'uso da parte delle organizzazioni.

Consiglio

Se si usa Criteri di gruppo per gestire Microsoft Defender impostazioni antivirus, tenere presente che tutte le modifiche apportate alle impostazioni protette da manomissioni vengono ignorate. Se è necessario apportare modifiche a un dispositivo e tali modifiche sono bloccate dalla protezione da manomissioni, usare la modalità di risoluzione dei problemi per disabilitare temporaneamente la protezione dalle manomissioni nel dispositivo. Al termine della modalità di risoluzione dei problemi, tutte le modifiche apportate alle impostazioni protette da manomissioni vengono ripristinate allo stato configurato.

Proteggere Microsoft Defender esclusioni antivirus

In determinate condizioni, la protezione dalle manomissioni può proteggere le esclusioni definite per Microsoft Defender Antivirus. Per altre informazioni, vedere Protezione da manomissione per le esclusioni.

Visualizzare informazioni sui tentativi di manomissione

I tentativi di manomissione indicano in genere che si è verificato un attacco informatico più grande. Gli attori non validi cercano di modificare le impostazioni di sicurezza per rendere persistenti e rimanere inosservati. Se si fa parte del team di sicurezza dell'organizzazione, è possibile visualizzare informazioni su tali tentativi e quindi intraprendere le azioni appropriate per attenuare le minacce.

Ogni volta che viene rilevato un tentativo di manomissione, viene generato un avviso nel portale di Microsoft Defender (https://security.microsoft.com).

Usando il rilevamento degli endpoint e la risposta e funzionalità di ricerca avanzate in Microsoft Defender per endpoint, il team delle operazioni di sicurezza può analizzare e risolvere tali tentativi.

Esaminare le raccomandazioni sulla sicurezza

La protezione antimanomissione si integra con le funzionalità di Gestione delle vulnerabilità di Microsoft Defender. Le raccomandazioni sulla sicurezza includono la verifica che la protezione da manomissione sia attivata. Ad esempio, nel dashboard gestione delle vulnerabilità è possibile eseguire una ricerca in caso di manomissione. Nei risultati è possibile selezionare Attiva protezione antimanomissione per altre informazioni e attivarlo.

Per altre informazioni sui Gestione delle vulnerabilità di Microsoft Defender, vedere Dashboard insights - Defender Vulnerability Management.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.