Impostazioni per i criteri antivirus Microsoft Defender per i dispositivi collegati al tenant in Microsoft Intune

Visualizzare le impostazioni Microsoft Defender Antivirus che è possibile gestire con il profilo Microsoft Defender Criteri antivirus (ConfigMgr) da Intune. Il profilo è disponibile quando si configurano Intune criteri antivirus per la sicurezza degli endpoint e i criteri vengono distribuiti nei dispositivi gestiti con Configuration Manager dopo aver configurato lo scenario di collegamento del tenant. (Percorso nell'interfaccia di amministrazione Microsoft Intune: Endpoint security>Antivirus>+ Create Policy> Platform = Windows (ConfigMgr)> Profile = Microsoft Defender Antivirus.

Protezione cloud

  • Attivare la protezione fornita dal cloud
    CSP: AllowCloudProtection

    Per impostazione predefinita, Defender nei dispositivi desktop Windows 10/11 invia a Microsoft informazioni sui problemi rilevati. Microsoft analizza queste informazioni per altre informazioni sui problemi che interessano l'utente e altri clienti, per offrire soluzioni migliorate.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No Disattiva il servizio Microsoft Active Protection.
    • Attiva il servizio Microsoft Active Protection.
  • Livello di protezione fornito dal cloud
    CSP: CloudBlockLevel

    Configurare l'aggressiva Antivirus Defender nel blocco e nell'analisi di file sospetti.

    • Non configurato (impostazione predefinita): livello di blocco predefinito di Defender.
    • Alto : blocca in modo aggressivo le incognite durante l'ottimizzazione delle prestazioni del client, che include una maggiore probabilità di falsi positivi.
    • High Plus : blocca in modo aggressivo le incognite e applica misure di protezione aggiuntive che potrebbero influire sulle prestazioni del client.
    • Tolleranza zero : blocca tutti i file eseguibili sconosciuti.
  • Timeout esteso di Defender Cloud in secondi
    CSP: CloudExtendedTimeout

    Antivirus Defender blocca automaticamente i file sospetti per 10 secondi in modo che possa analizzare i file nel cloud per assicurarsi che siano al sicuro. Con questa impostazione, è possibile aggiungere fino a 50 secondi in più a questo timeout.

esclusioni antivirus Microsoft Defender

Avviso

La definizione delle esclusioni riduce la protezione offerta da Microsoft Defender Antivirus. Valutare sempre i rischi associati all'implementazione delle esclusioni. Escludere solo i file noti che non sono dannosi.

Per altre informazioni, vedere Panoramica delle esclusioni nella documentazione Microsoft Defender.

Per ogni impostazione in questo gruppo, è possibile espandere l'impostazione, selezionare Aggiungi e quindi specificare un valore per l'esclusione.

  • Processi di Defender da escludere
    CSP: ExcludedProcesses

    Specificare un elenco di file aperti dai processi da ignorare durante un'analisi. Il processo stesso non viene escluso dall'analisi.

  • Estensioni di file da escludere dalle analisi e dalla protezione in tempo reale
    CSP: ExcludedExtensions

    Specificare un elenco di estensioni di tipo file da ignorare durante un'analisi.

  • File e cartelle di Defender da escludere
    CSP: ExcludedPaths

    Specificare un elenco di file e percorsi di directory da ignorare durante un'analisi.

Protezione in tempo reale

  • Attivare la protezione in tempo reale
    CSP: AllowRealtimeMonitoring

    Richiedere a Defender nei dispositivi desktop Windows 10/11 di usare la funzionalità di monitoraggio in tempo reale.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata sul valore predefinito del sistema
    • No Disattiva il servizio di monitoraggio in tempo reale.
    • Attiva ed esegue il servizio di monitoraggio in tempo reale.
  • Abilita per la protezione dall'accesso
    CSP: AllowOnAccessProtection

    Configurare la protezione antivirus che è continuamente attiva, anziché su richiesta.

    • Non configurato (impostazione predefinita): questo criterio non modifica lo stato di questa impostazione in un dispositivo. Lo stato esistente nel dispositivo rimane invariato.
    • No Disattiva il servizio di monitoraggio in tempo reale.
  • Monitoraggio per i file in ingresso e in uscita
    CSP: Defender/RealTimeScanDirection

    Configurare questa impostazione per determinare quale attività di file e programma NTFS viene monitorata.

    • Monitorare tutti i file (bidirezionale) (impostazione predefinita)
    • Monitorare i file in ingresso
    • Monitorare i file in uscita
  • Attivare il monitoraggio del comportamento
    CSP: AllowBehaviorMonitoring

    Per impostazione predefinita, Defender nei dispositivi desktop Windows 10/11 usa la funzionalità di monitoraggio del comportamento.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No Disattiva il monitoraggio del comportamento.
    • Attiva il monitoraggio del comportamento in tempo reale.
  • Consenti sistema di prevenzione delle intrusioni

    Configurare Defender per consentire o impedire la funzionalità di prevenzione delle intrusioni.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No - Il sistema di prevenzione delle intrusioni non è consentito.
    • : è consentito il sistema di prevenzione delle intrusioni.
  • Analizzare tutti i file e gli allegati scaricati
    CSP: EnableNetworkProtection

    Configurare Defender per analizzare tutti i file e gli allegati scaricati.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No
  • Analizzare gli script usati nei browser Microsoft
    CSP: AllowScriptScanning

    Configurare Defender per l'analisi degli script.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No
  • Analizzare i file di rete
    CSP: AllowScanningNetworkFiles

    Configurare Defender per l'analisi dei file di rete.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No Disattiva l'analisi dei file di rete.
    • Analizza i file di rete.
  • Analizzare i messaggi di posta elettronica
    CSP: AllowEmailScanning

    Configurare Defender per l'analisi della posta elettronica in arrivo.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema.
    • No Disattiva l'analisi della posta elettronica.
    • Attiva l'analisi della posta elettronica.

Bonifica

  • Numero di giorni (da 0 a 90) per mantenere il malware in quarantena
    CSP: DaysToRetainCleanedMalware

    Specificare un numero di giorni compreso tra zero e 90 in cui il sistema archivia gli elementi in quarantena prima che vengano rimossi automaticamente. Il valore zero mantiene gli elementi in quarantena e non li rimuove automaticamente.

  • Invia il consenso degli esempi

    • Non configurato (impostazione predefinita)
    • Richiedi sempre conferma
    • Inviare automaticamente campioni sicuri
    • Non inviare mai
    • Inviare tutti gli esempi automaticamente
  • Azione da intraprendere su app potenzialmente indesiderate
    CSP: PUAProtection

    Specificare il livello di rilevamento per le applicazioni potenzialmente indesiderate. Defender avvisa gli utenti quando il software potenzialmente indesiderato viene scaricato o tenta di installare in un dispositivo.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata con l'impostazione predefinita del sistema, ovvero PUA Protection OFF.
    • Disabilitato : Windows Defender non proteggerà da applicazioni potenzialmente indesiderate.
    • Abilitato : gli elementi rilevati sono bloccati. Verranno mostrati nella storia insieme ad altre minacce.
    • Modalità di controllo : Defender rileva le applicazioni potenzialmente indesiderate, ma non esegue alcuna azione. È possibile esaminare le informazioni sulle applicazioni su cui Defender avrebbe intrapreso un'azione cercando gli eventi creati da Defender nel Visualizzatore eventi.
  • Creare un punto di ripristino del sistema prima della pulizia dei computer

    • Non configurato (impostazione predefinita)
    • No
  • Azioni per le minacce rilevate
    CSP: ThreatSeverityDefaultAction

    Specificare l'azione eseguita da Defender per il malware rilevato in base al livello di minaccia del malware.

    Defender classifica il malware rilevato come uno dei livelli di gravità seguenti:

    • Minaccia bassa
    • Minaccia moderata
    • Minaccia elevata
    • Grave minaccia

    Per ogni livello, specificare l'azione da eseguire. Il valore predefinito per ogni livello di gravità non è configurato.

    • Non configurato (impostazione predefinita)
    • Pulisci : il servizio tenta di ripristinare i file e provare a disinfettare.
    • Quarantena : sposta i file in quarantena.
    • Rimuovi : rimuove i file dal dispositivo.
    • Consenti : consente il file e non esegue altre azioni.
    • Definito dall'utente : l'utente del dispositivo prende la decisione sull'azione da intraprendere.
    • Blocca : blocca l'esecuzione del file.

Analisi

  • Analizzare i file di archivio
    CSP: AllowArchiveScanning

    Configurare Defender per analizzare i file di archivio, ad esempio i file ZIP o CAB.

    • Non configurato (impostazione predefinita): l'impostazione torna al valore predefinito del client, ovvero l'analisi dei file archiviati, ma l'utente può disabilitare l'analisi. Ulteriori informazioni
    • No Disattiva l'analisi sui file archiviati.
    • Analizza i file di archivio.
  • Abilitare la priorità bassa della CPU per le analisi pianificate
    CSP: EnableLowCPUPriority

    Configurare la priorità della CPU per le analisi pianificate.

    • Non configurato (impostazione predefinita): l'impostazione torna all'impostazione predefinita del sistema, in cui non vengono apportate modifiche alla priorità della CPU.
    • No
  • Disabilitare l'analisi completa di recupero
    CSP: DisableCatchupFullScan

    Configurare le analisi di recupero per le analisi complete pianificate. Un'analisi di recupero è un'analisi che viene avviata perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.

    • Non configurato (impostazione predefinita): l'impostazione viene restituita all'impostazione predefinita del client, ovvero per abilitare le analisi di recupero per le analisi complete, tuttavia l'utente può disattivarle.
    • No
  • Disabilitare l'analisi rapida di recupero
    CSP: DisableCatchupQuickScan

    Configurare le analisi di recupero per le analisi rapide pianificate. Un'analisi di recupero è un'analisi che viene avviata perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.

    • Non configurato (impostazione predefinita): l'impostazione viene restituita all'impostazione predefinita del client, ovvero per abilitare le analisi rapide di recupero, ma l'utente può disattivarle.
    • No
  • Limite di utilizzo della CPU (0-100%) per analisi
    CSP: AvgCPULoadFactor

    Specificare come percentuale da zero a 100, ovvero il fattore di carico medio della CPU per l'analisi di Defender.

  • Abilitare l'analisi delle unità di rete mappate durante un'analisi completa
    CSP: AllowFullScanOnMappedNetworkDrives

    Configurare Defender per analizzare le unità di rete mappate.

    • Non configurato (impostazione predefinita): l'impostazione viene ripristinata all'impostazione predefinita del sistema, che disabilita l'analisi nelle unità di rete mappate.
    • Non consentito Disabilita l'analisi nelle unità di rete mappate.
    • Permesso Analizza le unità di rete mappate.
  • Eseguire l'analisi rapida giornaliera all'indirizzo
    CSP: ScheduleQuickScanTime

    Selezionare l'ora del giorno in cui vengono eseguite le analisi rapide di Defender. Per impostazione predefinita, questa opzione non è configurata

  • Tipo di analisi
    CSP: ScanParameter

    Selezionare il tipo di analisi eseguita da Defender.

    • Non configurato (impostazione predefinita)
    • Analisi rapida
    • Analisi completa
  • Giorno della settimana per eseguire un'analisi pianificata

    • Non configurato (impostazione predefinita)
  • Ora del giorno per eseguire un'analisi pianificata

    • Non configurato (impostazione predefinita)
  • Verificare la presenza di Aggiornamenti di firma prima dell'esecuzione dell'analisi (dispositivo)

    • Non configurato (impostazione predefinita)
    • No
  • Casualizzare l'analisi pianificata e gli orari di inizio dell'aggiornamento dell'intelligence per la sicurezza
    - Non configurato (impostazione predefinita) - -No

  • Analizzare le unità rimovibili durante l'analisi completa

    • Non configurato (impostazione predefinita)
    • No Disattiva l'analisi delle unità rimovibili.
    • Analizza le unità rimovibili.

Aggiornamenti

  • Immettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
    CSP: SignatureUpdateInterval

    Specificare l'intervallo compreso tra zero e 24 (in ore) usato per verificare la presenza di firme. Un valore pari a zero non determina alcun controllo della presenza di nuove firme. Il valore 2 controlla ogni due ore e così via.

    • Ordine di fallback dell'aggiornamento della firma (dispositivo)

    • Origini delle condivisioni file di aggiornamento della firma (dispositivo)

  • Posizione di Intelligence per la sicurezza (dispositivo)

Esperienza utente

  • Bloccare l'accesso utente all'app Microsoft Defender

    • Non configurato (impostazione predefinita)
    • Non consentito Impedisce agli utenti di accedere all'interfaccia utente.
    • Permesso Consente agli utenti di accedere all'interfaccia utente.
  • Consentire agli utenti di visualizzare i risultati completi della cronologia

    • Non configurato (impostazione predefinita)
    • No