Impostazioni di Endpoint Protection per Windows 10 e versioni successive in Microsoft IntuneEndpoint protection settings for Windows 10 and later in Microsoft Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

Il profilo di Endpoint Protection consente di controllare le funzionalità di sicurezza dei dispositivi Windows 10, ad esempio BitLocker e Windows Defender.The endpoint protection profile let you control security features on Windows 10 devices, like BitLocker and Windows Defender.

Usare le informazioni in questo argomento per apprendere come creare profili di Endpoint Protection.Use the information in this topic to learn how to create endpoint protection profiles.

Nota

Queste impostazioni non sono supportate nelle edizioni di Windows 10 Home e Professional.These settings are not supported on the Home and Professional editions of Windows 10.

Creare un profilo di Endpoint ProtectionCreate an endpoint protection profile

  1. Accedere al portale di Azure.Sign into the Azure portal.
  2. Scegliere Altri servizi > Monitoraggio e gestione > Intune.Choose More Services > Monitoring + Management > Intune.
  3. Nel pannello Intune scegliere Configurazione del dispositivo.On the Intune blade, choose Device configuration.
  4. Nel pannello Configurazione del dispositivo scegliere Gestisci > Profili.On the Device Configuration blade, choose Manage > Profiles.
  5. Nel pannello dei profili scegliere Crea profilo.On the profiles blade, choose Create profile.
  6. Nel pannello Crea profilo immettere i valori di Nome e Descrizione per il profilo delle funzionalità del dispositivo.On the Create profile blade, enter a Name and Description for the device features profile.
  7. Dall'elenco a discesa Piattaforma selezionare Windows 10 e versioni successive.From the Platform drop-down list, select Windows 10 and later.
  8. Dall'elenco a discesa Tipo di profilo scegliere Endpoint Protection.From the Profile type drop-down list, choose Endpoint protection.
  9. Configurare le impostazioni desiderate.Configure the settings you want. I dettagli in questo argomento consentono di comprendere la funzione di ogni impostazione.Use the details in this topic to help you understand what each setting does. Al termine, scegliere OK.When you are finished, choose OK.
  10. Tornare al pannello Crea profilo e scegliere Crea.Go back to the Create profile blade, and choose Create.

Il profilo viene creato e visualizzato nel pannello dell'elenco dei profili.The profile is created and appears on the profiles list blade.

Windows Defender Application GuardWindows Defender Application Guard

Application Guard è disponibile solo per i dispositivi Windows 10 a 64 bit.Application Guard is only available for Windows 10 (64-bit) devices. Quando si usa questo profilo viene installato un componente Win32 per attivare Application Guard.Using this profile will install a Win32 component to activate Application Guard.

  • Application Guard: consente di aprire siti non approvati in un contenitore del browser virtuale di Hyper-V.Application Guard - Open unapproved sites in a Hyper-V virtualized browsing container.
  • Comportamento degli Appunti: consente di scegliere le azioni di copia/incolla consentite tra il computer locale e il browser virtuale di Application Guard.Clipboard behavior - Choose what copy/paste actions are allowed between the local PC and the Application Guard virtual browser.
  • Contenuto esterno nei siti aziendali: consente di bloccare il caricamento del contenuto dei siti Web non approvati.External content on enterprise sites - Block content from unapproved websites from loading.
  • Stampa dal browser virtuale: consente alle stampanti PDF, XPS, locali e/o di rete di stampare contenuto dal browser virtuale.Print from virtual browser - Allow PDF, XPS, local, and/or network printers to print content from the virtual browser.
  • Raccogli registri: consente di raccogliere i registri degli eventi che si verificano in una sessione del browser di Application Guard.Collect logs - Collect logs for events that occur within an Application Guard browsing session.
  • Conserva i dati del browser generati dall'utente: consente di salvare i dati utente, ad esempio password, Preferiti e cookie, creati durante una sessione del browser virtuale di Application Guard.Retain user-generated browser data - Allow user data (such as passwords, favorites, and cookies) that is created during an Application Guard virtual browsing session to be saved.

Windows Defender FirewallWindows Defender Firewall

Impostazioni globaliGlobal settings

Queste impostazioni sono applicabili a tutti i tipi di rete.These settings are applicable to all network types.

  • File Transfer Protocol: consente di bloccare il protocollo FTP con stato.File Transfer Protocol - Block stateful FTP.
  • Tempo di inattività delle associazioni di sicurezza prima dell'eliminazione: le associazioni di sicurezza vengono eliminate dopo che per n secondi non è stato rilevato traffico.Security association idle time before deletion - Security associations are deleted after no network traffic is detected for n seconds.
  • Codifica delle chiavi precondivise: consente di codificare le chiavi già condivise usando il formato UTF-8.Pre-shared key encoding - Encode preshared keys using UTF-8.
  • Esenzioni IPSec: consente di configurare traffico specifico da esentare da IPsec, tra cui Codici di tipo ICMP IPv6 per Neighbor Discover, ICMP, Codici di tipo ICMP IPv6 per Router Discover e Traffico DHCP IPv4 e IPv6.IPsec exemptions - Configure specific traffic to be exempt from IPsec, including Neighbor discover IPv6 ICMP type-codes, ICMP, Router discover IPv6 ICMP type-codes, and Both IPv4 and IPv6 DHCP network traffic.
  • Verifica dell'elenco di revoche di certificati: consente di impostare un valore per la modalità di applicazione della verifica dell'elenco di revoche di certificati, tra cui Disabilita la verifica dell'elenco di revoche di certificati, Esito negativo della verifica dell'elenco di revoche di certificati solo in caso di certificato revocato e Esito negativo della verifica dell'elenco di revoche di certificati per ogni errore rilevato.Certificate revocation list verification - Set a value for how certificate revocation list verification is enforced, including Disable CRL verification, Fail CRL verification on revoked certificate only, and Fail CRL verification on any error encountered.
  • Corrispondenza opportunistica del set di autenticazione per ogni modulo per le chiavi: consente di impostare i moduli di impostazione chiavi in modo da ignorare l'intero set di autenticazione nel caso in cui non supportino tutte le famiglie di prodotti di autenticazione in tale set.Opportunistically match authentication set per keying module - Set keying modules to ignore the entire authentication set if they do not support all authentication suites in that set.
  • Accodamento di pacchetti: consente di specificare la modalità di abilitazione del ridimensionamento per il software sul lato ricezione per la ricezione di testo crittografato e l'inoltro di testo normale per lo scenario relativo a gateway con tunnel IPsec,Packet queuing - Specify how scaling for software on the receive side is enabled for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. assicurando il mantenimento dell'ordine dei pacchetti.This ensures that packet order is preserved.

Impostazioni di reteNetwork settings

Queste impostazioni sono applicabili a tipi di rete specifici, tra cui Rete di dominio (aziendale), Rete privata (individuabile) e Rete pubblica (non individuabile).These settings are applicable to specific network types, including Domain (workplace) network, Private (discoverable) network, and Public (non-discoverable) network.

Impostazioni generaliGeneral settings

  • Windows Defender Firewall: abilitare questa impostazione per bloccare il traffico di rete.Windows Defender Firewall - Enable this setting to block network traffic.
  • Modalità mascheramento: consente di bloccare il funzionamento del firewall in modalità mascheramento.Stealth mode - Block Firewall from operating in stealth mode. Questo tipo di blocco consente di bloccare anche Esenzione di pacchetti protetti da IPsec.Blocking this allows you to also block IPsec secured packet exemption.
  • Schermata: l'abilitazione di questa impostazione e di quella relativa al firewall determina il blocco di tutto il traffico in ingresso.Shielded - Enabling this and the firewall setting will block all incoming traffic.
  • Risposte unicast a broadcast multicast: consente di bloccare le risposte unicast ai broadcast multicast.Unicast responses to multicast broadcasts - Block unicast responses to multicast broadcasts. In genere, si preferisce non ricevere risposte unicast ai messaggi multicast o broadcast poiché queste risposte possono indicare un attacco Denial of Service o un utente malintenzionato che tenta di rilevare la presenza di un computer attivo noto.Typically, you would not want to receive unicast responses to multicast or broadcast messages, since such responses can indicate a denial of service attack or an attacker attempting to probe a known live computer.
  • Notifiche in ingresso: consente di impedire la visualizzazione delle notifiche agli utenti quando un'applicazione non è autorizzata all'ascolto su una porta.Inbound notifications - Block notifications from displaying to users when an application is blocked from listening on a port.
  • Azione predefinita per le connessioni in ingresso: consente di bloccare l'azione predefinita eseguita dal firewall sulle connessioni in ingresso.Default action for inbound connections - Block the default action that firewall performs on inbound connections.

Unione delle regoleRule merging

  • Regole di Windows Defender Firewall per le applicazioni autorizzate dall'archivio locale: consente di applicare le regole autorizzate del firewall nell'archivio locale per il riconoscimento e l'applicazione.Authorized application Windows Defender Firewall rules from the local store - Apply authorized firewall rules in the local store to be recognized and enforced.
  • Regole di Windows Defender Firewall per porte globali dall'archivio locale: consente di applicare le regole del firewall per le porte globali nell'archivio locale per il riconoscimento e l'applicazione.Global port Windows Defender Firewall rules from the local store - Apply global port firewall rules in the local store to be recognized and enforced.
  • Regole di Windows Defender Firewall dall'archivio locale: consente di applicare le regole globali del firewall nell'archivio locale per il riconoscimento e l'applicazione.Windows Defender Firewall rules from the local store - Apply global firewall rules in the local store to be recognized and enforced.
  • Regole IPsec dall'archivio locale: consente di applicare le regole di sicurezza della connessione dall'archivio locale, indipendentemente dallo schema o dalle versioni delle regole di sicurezza della connessione.IPsec rules from the local store - Apply connection security rules from the local store, regardless of schema or connection security rule versions.

Impostazioni di Windows Defender SmartScreenWindows Defender SmartScreen settings

  • SmartScreen per app e file: consente di abilitare Windows SmartScreen per l'esecuzione di file e per le app in esecuzione.SmartScreen for apps and files - Enable Windows SmartScreen for file execution, and running apps.
  • Esecuzione di file non verificati: consente di impedire all'utente finale di eseguire file non verificati da Windows SmartScreen.Unverified files execution - Block the end user from running files that have not been verified by Windows SmartScreen.

Crittografia di WindowsWindows encryption

Impostazioni di WindowsWindows settings

Queste impostazioni si applicano a tutte le versioni di Windows 10.These settings apply to all versions of Windows 10.

  • Crittografa i dispositivi: se abilitata, agli utenti viene chiesto di abilitare la crittografia del dispositivo.Encrypt devices - If enabled, users are prompted to enable device encryption. e di confermare che non è abilitata la crittografia di alcun altro provider.Additionally, they are asked to confirm that encryption from another provider has not been enabled. Se la crittografia di Windows è attivata mentre è attivo un altro metodo di crittografia, il dispositivo potrebbe diventare instabile.If Windows encryption is turned on while another encryption method is active, the device might become unstable.
  • Crittografa la scheda di memoria: abilitare questa impostazione per crittografare le eventuali schede di memoria rimovibili usate dal dispositivo.Encrypt storage card - Enable this setting to encrypt any removable storage cards used by the device.

Impostazioni di base di BitLockerBitLocker base settings

Le impostazioni di base sono impostazioni BitLocker universali per tutti i tipi di unità dati.Base settings are universal BitLocker settings for all types of data drives. Le impostazioni di Criteri di gruppo BitLocker gestiscono le attività di crittografia delle unità o le opzioni di configurazione che gli utenti finali possono modificare in tutti i tipi di unità dati.BitLocker Group Policy settings manage what drive encryption tasks or configuration options the end user can modify across all types of data drives.

  • Avviso per la crittografia dischi di altro tipo: disabilita la richiesta di avviso per la crittografia dischi di altro tipo nei computer degli utenti finali.Warning for other disk encryption - Disable the warning prompt for other disk encryption on end users' machines.
  • Configura i metodi di crittografia: abilitare questa impostazione per configurare gli algoritmi di crittografia per il sistema operativo, i dati e le unità rimovibili.Configure encryption methods - Enable this setting to configure encryption algorithms for operating system, data, and removable drives.
    • Crittografia per le unità del sistema operativo: scegliere il metodo di crittografia per le unità del sistema operativo.Encryption for operating system drives - Choose the encryption method for operating system drives. È consigliabile usare l'algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.
    • Crittografia per unità dati fisse: scegliere il metodo di crittografia per le unità dati fisse (predefinite).Encryption for fixed data-drives - Choose the encryption method for fixed (built-in) data drives. È consigliabile usare l'algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.
    • Crittografia per unità dati rimovibili: scegliere il metodo di crittografia per le unità dati rimovibili (predefinite).Encryption for removable data-drives - Choose the encryption method for removable data drives. Se l'unità rimovibile viene usata con dispositivi che non eseguono Windows 10, è consigliabile usare l'algoritmo AES-CBC.If the removable drive is used with devices that are not running Windows 10, we recommend you use the AES-CBC algorithm.

Impostazioni delle unità del sistema operativo di BitLockerBitLocker OS drive settings

Queste impostazioni si applicano in modo specifico alle unità dati del sistema operativo.These settings apply specifically to operating system data drives.

  • Autenticazione aggiuntiva all'avvio: consente di configurare i requisiti di autenticazione per l'avvio dei computer, incluso l'uso di Trusted Platform Module (TPM).Additional authentication at startup - Configure authentication requirements for computer startup, including the use of Trusted Platform Module (TPM).
    • BitLocker con chip TPM non compatibileBitLocker with non-compatible TPM chip
    • Avvio TPM compatibile: consente di indicare se il chip TPM è consentito, non consentito o obbligatorio.Compatible TPM startup - Configure whether the TPM chip is allowed, not allowed, or required.
    • PIN di avvio TPM compatibile: consente di indicare se l'uso di un PIN di avvio con il chip TPM è consentito, non consentito o obbligatorio.Compatible TPM startup PIN - Configure whether using a startup PIN with the TPM chip is allowed, not allowed, or required.
    • Chiave di avvio TPM compatibile: consente di indicare se l'uso di una chiave di avvio con il chip TPM è consentito, non consentito o obbligatorio.Compatible TPM startup key - Configure whether using a startup key with the TPM chip is allowed, not allowed, or required.
    • Chiave di avvio e PIN TPM compatibile: consente di indicare se l'uso di una chiave e di un PIN di avvio con il chip TPM è consentito, non consentito o obbligatorio.Compatible TPM startup key and PIN - Configure whether using a startup key and PIN with the TPM chip is allowed, not allowed, or required.
  • Lunghezza minima del PIN: abilitare questa impostazione per configurare la lunghezza minima del PIN di avvio del chip TPM.Minimum PIN Length - Enable this setting to configure a minimum length for the TPM startup PIN.
    • Numero minimo di caratteri: immettere il numero di caratteri obbligatorio per il PIN di avvio, 4-20.Minimum characters - Enter the number of characters required for the startup PIN from 4-20.
  • Ripristino delle unità del sistema operativo: abilitare questa impostazione per controllare la modalità di ripristino delle unità del sistema operativo protette da BitLocker se le informazioni necessarie all'avvio non sono disponibili.OS drive recovery - Enable this setting to control how BitLocker-protected operating system drives are recovered when the required start-up information is not available.
    • Agente di recupero dati basato su certificati: abilitare questa impostazione se si vuole che sia possibile usare gli agenti di recupero dati con unità del sistema operativo protette da BitLocker.Certificate-based data recovery agent - Enable this setting if you want data recovery agents to be able to be used with BitLocker-protected operating system drives.
    • Creazione della password di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una password di ripristino di 48 cifre.User creation of recovery password - Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Creazione della chiave di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una chiave di ripristino a 256 bit.User creation of recovery key - Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Opzioni di ripristino nell'installazione guidata di BitLocker: abilitare questa impostazione per impedire agli utenti di visualizzare o modificare le opzioni di ripristino se BitLocker è attivato.Recovery options in the BitLocker setup wizard - Enable this setting to prevent users from seeing, or changing recovery options when they turn on BitLocker.
    • Salva le informazioni di ripristino di BitLocker in AD DS: consente l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory.Save BitLocker recovery information to AD DS - Enables the storage of BitLocker recovery information in Active Directory.
    • Informazioni di ripristino di BitLocker archiviate in AD DS: consente di configurare quali parti delle informazioni di ripristino di BitLocker devono essere archiviate in Active Directory.BitLocker recovery Information stored to AD DS - Configure what parts of BitLocker recovery information are stored in Active Directory. È possibile scegliere tra:Choose from:
      • Backup delle password di ripristino e dei pacchetti di chiaviBackup recovery passwords and key packages
      • Backup solo delle password di ripristinoBackup recovery passwords only
    • Archivia le informazioni di ripristino in AD DS prima di abilitare BitLocker: abilitare questa impostazione per consentire agli utenti di attivare BitLocker solo se il dispositivo è stato aggiunto al dominio e le informazioni di ripristino di BitLocker sono state archiviate in Active Directory.Store recovery information in AD DS before enabling BitLocker - Enable this setting to stop users from turning on BitLocker unless the device is domain-joined, and BitLocker recovery information is successfully stored in Active Directory.
  • URL e messaggio di ripristino prima dell'avvio: abilitare questa impostazione per configurare il messaggio e l'URL visualizzati nella schermata di recupero della chiave prima dell'avvio.Pre-boot recovery message and URL - Enable this setting to configure the message and URL that are displayed on the pre-boot key recovery screen.
    • Messaggio di ripristino prima dell'avvio: consente di configurare la modalità di visualizzazione del messaggio di ripristino.Pre-boot recovery message - Configure how the pre-boot recovery message displays to users. È possibile scegliere tra:Choose from:
      • Usa URL e messaggio di ripristino predefinitiUse default recovery message and URL
      • Usa un messaggio di ripristino e un URL vuotiUse empty recovery message and URL
      • Usa messaggio di ripristino personalizzatoUse custom recovery message
      • Usa URL di ripristino personalizzatoUse custom recovery URL

Impostazioni delle unità dati fisse BitLockerBitLocker fixed data-drive settings

  • Accesso in scrittura alle unità dati fisse non protette da BitLocker: se questa impostazione è abilitata, è necessario abilitare la protezione BitLocker per tutte le unità dati fisse o predefinite perché sia possibile scrivere all'interno di esse.Write access to fixed data-drive not protected by BitLocker - If enabled, BitLocker protection must be enabled on all fixed, or built-in data drives to be able to write to them.
  • Ripristino delle unità fisse: abilitare questa impostazione per controllare la modalità di ripristino delle unità fisse protette da BitLocker se le informazioni necessarie all'avvio non sono disponibili.Fixed drive recovery - Enable this setting to control how BitLocker-protected fixed drives are recovered when the required start-up information is not available.
    • Agente di recupero dati: abilitare questa impostazione se si vogliono usare gli agenti di recupero dati con unità fisse protette da BitLocker.Data recovery agent - Enable this setting if you want data recovery agents to be used with BitLocker-protected fixed drives.
    • Creazione della password di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una password di ripristino di 48 cifre.User creation of recovery password - Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Creazione della chiave di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una chiave di ripristino a 256 bit.User creation of recovery key - Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Opzioni di ripristino nell'installazione guidata di BitLocker: abilitare questa impostazione per impedire agli utenti di visualizzare o modificare le opzioni di ripristino se BitLocker è attivato.Recovery options in the BitLocker setup wizard - Enable this setting to prevent users from seeing, or changing recovery options when they turn on BitLocker.
    • Salva le informazioni di ripristino di BitLocker in AD DS: consente l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory.Save BitLocker recovery information to AD DS - Enables the storage of BitLocker recovery information in Active Directory.
    • Informazioni di ripristino di BitLocker in AD DS: consente di configurare quali parti delle informazioni di ripristino di BitLocker devono essere archiviate in Active Directory.BitLocker recovery Information to AD DS - Configure what parts of BitLocker recovery information are stored in Active Directory. È possibile scegliere tra:Choose from:
      • Backup delle password di ripristino e dei pacchetti di chiaviBackup recovery passwords and key packages
      • Backup solo delle password di ripristinoBackup recovery passwords only
    • Archivia le informazioni di ripristino in AD DS prima di abilitare BitLocker: abilitare questa impostazione per consentire agli utenti di attivare BitLocker solo se il dispositivo è stato aggiunto al dominio e le informazioni di ripristino di BitLocker sono state archiviate in Active Directory.Store recovery information in AD DS before enabling BitLocker - Enable this setting to stop users from turning on BitLocker unless the device is domain-joined, and BitLocker recovery information has been successfully stored in Active Directory.

Impostazioni delle unità dati rimovibili BitLockerBitLocker removable data-drive settings

  • Accesso in scrittura alle unità dati rimovibili non protette da BitLocker: consente di specificare se la crittografia BitLocker è obbligatoria per le unità di archiviazione rimovibili.Write access to removable data-drive not protected by BitLocker - Specify whether BitLocker encryption is required for removable storage drives.
    • Accesso in scrittura ai dispositivi configurati in un'altra organizzazione: consente di specificare se è possibile scrivere nelle unità dati rimovibili che appartengono a un'altra organizzazione.Write access to devices configured in another organization - Specify whether removable data drives that belong to another organization can be written to.

Windows Defender Exploit GuardWindows Defender Exploit Guard

Usare Windows Defender Exploit Guard per gestire e ridurre la superficie di attacco delle app usate dai dipendenti.Use Windows Defender Exploit Guard to manage and reduce the attack surface of apps used by your employees.

Riduzione della superficie di attaccoAttack Surface Reduction

Evitare azioni e app che generalmente vengono usate dal malware per infettare i computer.Help prevent actions and apps that are typically used by exploit-seeking malware to infect machines.

Regole per impedire le minacce relative alle macro di OfficeRules to prevent Office Macro threats

Impedire alle app di Office di eseguire le azioni seguenti:Block Office apps from taking the following actions:

  • Inserimento delle app di Office in altri processi (nessuna eccezione)Office apps injecting into other processes (no exceptions)
  • Creazione di contenuto eseguibile in app/macro di OfficeOffice apps/macros creating executable content
  • Avvio di processi figlio per le app di OfficeOffice apps launching child processes
  • Importazioni Win32 da codice delle macro in OfficeWin32 imports from Office macro code

Regole per impedire le minacce relative agli scriptRules to prevent script threats

Bloccare questi elementi per contrastare le minacce basate su script:Block these to help prevent against script threats:

  • Codice js/vbs/ps/macro offuscatoObfuscated js/vbs/ps/macro code
  • Esecuzione in js/vbs di payload scaricato da Internet (nessuna eccezione)js/vbs executing payload downloaded from Internet (no exceptions)

Regole per impedire le minacce tramite posta elettronicaRules to prevent email threats

Bloccare questa azione per contrastare le minacce tramite posta elettronica:Block this to help prevent email threats:

  • Esecuzione del contenuto eseguibile (file con estensione exe, dll, ps, js, vbs e così via) non elaborato dalla posta elettronica (webmail/mail client) (nessuna eccezione)Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Eccezioni della riduzione della superficie di attaccoAttack Surface Reduction exceptions

  • File e cartelle da escludere dalle regole di riduzione della superficie di attacco: importare/aggiungere un elenco di percorsi da escludere dalle regole configurate.Files and folder to exclude from attack surface reduction rules - Import/add a list of locations to exclude from the configured rules.

Accesso controllato alle cartelleControlled folder access

È possibile proteggere i dati importanti da app e minacce dannose, ad esempio il ransomware.Help protect valuable data from malicious apps and threats, such as ransomware.

  • Protezione delle cartelle: consente di proteggere file e cartelle dalle modifiche indesiderate di app dannose.Folder protection - Protect files and folders from unwanted changes by malicious apps. È possibile importare un elenco di app con accesso alle cartelle protette o aggiungerle manualmente.You can import a List of apps that have access to protected folders or add them manually. È anche possibile aggiungere un elenco di cartelle aggiuntive da proteggere con un'operazione di caricamento o aggiungendole manualmente.You can also add a List of additional folders that need to be protected with an upload or adding them manually.

Filtri di reteNetwork filtering

È possibile bloccare le connessioni in uscita da qualsiasi app verso indirizzi IP/domini con reputazione negativa.Block outbound connections from any app to low reputation IP/domains.

Protezione dagli exploitExploit protection

Bloccare la modifica dell'interfaccia di protezione dagli exploit da parte degli utenti caricando un file XML che consente di configurare limitazioni di memoria, flusso di controllo e criteri da usare per proteggere un'applicazione dagli exploit.Block User editing of the exploit protection interface by uploading an XML file that allows you to configure memory, control flow, and policy restrictions that can be used to block an application from exploits.

Per abilitare la protezione dagli exploit creare un file XML che rappresenta le impostazioni di mitigazione scelte per il sistema e le applicazioni.To enable exploit protection, create an XML file representing the system and application mitigation settings of your choice. A questo scopo, è possibile usare uno dei due metodi seguenti:You can do so using one of two methods:

  1. PowerShell: usare uno o più cmdlet Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy di PowerShell per configurare le impostazioni di mitigazione ed esportare la relativa rappresentazione XML.PowerShell: Use one or more of the Get-ProcessMitigation, Set-ProcessMitigation, and ConvertTo-ProcessMitigationPolicy PowerShell cmdlets to configure mitigation settings and export an XML representation of them.

  2. Interfaccia utente di Windows Defender Security Center: in Windows Defender Security Center fare clic su Controllo app e browser e quindi scorrere fino alla parte inferiore della schermata visualizzata per trovare Protezione dagli exploit.Windows Defender Security Center UI: In the Windows Defender Security Center, click on App & browser control and then scroll to the bottom of the resulting screen to find Exploit Protection. Usare prima di tutto le schede Impostazioni di sistema e Impostazioni programmi per configurare le impostazioni di mitigazione.First, use the System settings and Program settings tabs to configure mitigation settings. Trovare quindi il collegamento Esporta impostazioni nella parte inferiore della schermata per esportare la relativa rappresentazione XML.Then, find the Export settings link at the bottom of the screen to export an XML representation of them.

Controllo di applicazioni di Windows DefenderWindows Defender Application Control

Usare i criteri relativi all'integrità del codice di controllo dell'applicazione per scegliere altre app che devono essere controllate o possono essere ritenute attendibili per l'esecuzione da parte del Controllo di applicazioni di Windows Defender.Use Application control code integrity policies to choose additional apps that either need to be audited by, or can be trusted to run by Windows Defender Application Control. I componenti Windows e tutte le app di Windows Store sono ritenuti automaticamente attendibili per l'esecuzione.Windows components and all apps from Windows store are automatically trusted to run.

In modalità "solo controllo" le applicazioni non vengono bloccate.Applications will not be blocked when running in “audit only” mode. La modalità "solo controllo" registra tutti gli eventi nei log del client locali.“Audit only” mode logs all events in local client logs.

Windows Defender Security CenterWindows Defender Security Center

L'app Windows Defender Security Center funziona come un'app o un processo separato da ognuna delle singole funzionalità e visualizza le notifiche tramite il centro notifiche.The Windows Defender Security Center app operates as a separate app or process from each of the individual features, and will display notifications through the Action Center. Funge da agente di raccolta o unica posizione per visualizzare lo stato ed eseguire alcune attività di configurazione per ogni funzionalità.It acts as a collector or single place to see the status and perform some configuration for each of the features. Per altre informazioni, vedere la documentazione di Windows Defender.Find out more in the Windows Defender docs.

App e notifiche di Windows Defender Security CenterWindows Defender Security Center app and notifications

È possibile bloccare l'accesso degli utenti finali alle diverse aree dell'app Windows Defender Security Center.Block end user access to the various areas of the Windows Defender Security Center app. Se si nasconde una sezione, verranno bloccate anche le notifiche correlate.Hiding a section will also block related notifications.

  • Protezione da virus e minacceVirus and threat protection
  • Prestazioni e integrità del dispositivoDevice performance and health
  • Protezione firewall e della reteFirewall and network protection
  • Controllo delle app e del browserApp and browser control
  • Opzioni famigliaFamily options
  • Notifiche dalle aree visualizzate dell'app: consente di scegliere le notifiche da visualizzare agli utenti finali.Notifications from the displayed areas of app - Choose which notifications to display to end users. Le notifiche non critiche includono riepiloghi dell'attività di Windows Defender Antivirus, comprese le notifiche relative al completamento delle analisi.Non-critical notifications include summaries of Windows Defender Antivirus activity, including notifications when scans have completed. Tutte le altre notifiche sono considerate critiche.All other notifications are considered critical.

Informazioni di contatto del reparto ITIT contact Information

Specificare le informazioni di contatto del reparto IT da visualizzare nell'app Windows Defender Security Center e nelle relative notifiche.Provide IT contact information to appear in Windows Defender Security Center app and the app notifications. È possibile scegliere Visualizza nell'app e nelle notifiche, Visualizza solo nell'app, Visualizza solo nelle notifiche o Non visualizzare.You can choose to Display in app and in notifications, Display only in app, Display only in notifications, or Don't display. È necessario definire il nome dell'organizzazione IT e almeno una delle opzioni di contatto seguenti:You must define the IT organizaiton name and at least one of the following contact options:

  • Numero di telefono del reparto IT o ID SkypeIT department phone number or Skype ID
  • Indirizzo di posta elettronica del reparto ITIT department email address
  • URL del sito Web del supporto tecnico ITIT support website URL

Passaggi successiviNext steps

Se si desidera proseguire e assegnare il profilo ai gruppi, vedere Come assegnare i profili di dispositivo.If you want to go ahead and assign this profile to groups, see How to assign device profiles.