Impostazioni di Endpoint Protection per Windows 10 e versioni successive in IntuneEndpoint protection settings for Windows 10 (and later) in Intune

Il profilo di Endpoint Protection consente di controllare le funzionalità di sicurezza nei dispositivi Windows 10, ad esempio BitLocker e Windows Defender.The endpoint protection profile lets you control security features on Windows 10 devices, like BitLocker and Windows Defender.

Usare le informazioni di questo articolo per creare profili di Endpoint Protection.Use the information in this article to create endpoint protection profiles. Per configurare Windows Defender Antivirus, vedere Restrizione dei dispositivi per Windows 10.To configure Windows Defender Antivirus, see Windows 10 Device Restrictions.

Windows Defender Application GuardWindows Defender Application Guard

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • ProfessionalProfessional

Quando si usa Microsoft Edge, Windows Defender Application Guard protegge l'ambiente dai siti che non sono considerati attendibili dall'organizzazione.While using Microsoft Edge, Windows Defender Application Guard protects your environment from sites that aren't trusted by your organization. Quando gli utenti visitano siti non elencati nei limiti della rete isolata, tali siti vengono aperti in una sessione del browser virtuale di Hyper-V.When users visit sites that aren’t listed in your isolated network boundary, the sites are opened in a Hyper-V virtual browsing session. I siti attendibili vengono definiti da un limite di rete, che può essere configurato in Configurazioni dei dispositivi.Trusted sites are defined by a network boundary, which can be configured in Device Configuration.

Application Guard è disponibile solo per i dispositivi Windows 10 a 64 bit.Application Guard is only available for Windows 10 (64-bit) devices. Quando si usa questo profilo viene installato un componente Win32 per attivare Application Guard.Using this profile installs a Win32 component to activate Application Guard.

  • Application Guard: Abilita per attivare questa funzionalità, che consente di aprire siti non approvati in un contenitore del browser virtuale di Hyper-V.Application Guard: Enable to turn on this feature, which opens unapproved sites in a Hyper-V virtualized browsing container. L'impostazione Non configurata (predefinita) indica che qualsiasi sito (approvato e non approvato) viene aperto nel dispositivo.Not configured (default) means that any site (approved and unapproved) opens on the device.
  • Comportamento degli Appunti: consente di scegliere le azioni di copia/incolla consentite tra il computer locale e il browser virtuale di Application Guard.Clipboard behavior: Choose what copy/paste actions are allowed between the local PC and the Application Guard virtual browser.
  • Contenuto esterno nei siti aziendali: Blocca per impedire il caricamento del contenuto dai siti Web non approvati.External content on enterprise sites: Block content from unapproved websites from loading. L'impostazione Non configurata (predefinita) indica che i siti non aziendali possono essere aperti nel dispositivo.Not configured (default) means that non-enterprise sites can open on the device.
  • Stampa dal browser virtuale: Consenti per consentire alle stampanti PDF, XPS, locali e/o di rete di stampare contenuto dal browser virtuale.Print from virtual browser: Allow to allow PDF, XPS, local, and/or network printers to print content from the virtual browser. L'impostazione Non configurata (predefinita) disabilita tutte le funzionalità di stampa.Not configured (default) disables all print features.
  • Raccogli registri: Consenti per raccogliere i registri degli eventi che si verificano in una sessione del browser di Application Guard.Collect logs: Allow to collect logs for events that occur within an Application Guard browsing session. L'impostazione Non configurata (predefinita) non raccoglie alcun log all'interno della sessione del browser.Not configured (default) doesn't collect any logs within the browsing session.
  • Conserva i dati del browser generati dall'utente: Consenti per salvare i dati utente, ad esempio password, Preferiti e cookie, creati durante una sessione del browser virtuale di Application Guard.Retain user-generated browser data: Allow saves user data (such as passwords, favorites, and cookies) that is created during an Application Guard virtual browsing session. L'impostazione Non configurata (predefinita) elimina i file e i dati scaricati dall'utente al riavvio del dispositivo o quando un utente si disconnette.Not configured (default) discards user-downloaded files and data when the device restarts, or when a user signs out.
  • Accelerazione grafica: Abilita per caricare i siti Web con utilizzo intensivo di grafica e video più velocemente ottenendo l'accesso a un'unità di elaborazione grafica virtuale.Graphics acceleration: Enable to load graphic-intensive websites and video faster by getting access to a virtual graphics processing unit. L'impostazione Non configurata (predefinita) usa la CPU del dispositivo per la grafica. Non usa l'unità di elaborazione grafica virtuale.Not configured (default) uses the device's CPU for graphics; it doesn't use the virtual graphics processing unit.
  • Scarica i file nel file system dell'host: Abilita per consentire agli utenti di scaricare i file dal browser virtualizzato al sistema operativo host.Download files to host file system: Enable so users download files from the virtualized browser onto the host operating system. L'impostazione Non configurata (predefinita) consente di mantenere i file locali nel dispositivo e non scaricare i file nel file system host.Not configured (default) keeps the files local on the device, and doesn't download files to the host file system.

Windows Defender FirewallWindows Defender Firewall

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • HomeHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Impostazioni globaliGlobal settings

Queste impostazioni sono applicabili a tutti i tipi di rete.These settings are applicable to all network types.

  • File Transfer Protocol: Blocca per disabilitare il protocollo FTP con stato.File Transfer Protocol: Block to disable stateful FTP. Con l'impostazione Non configurata (predefinita), il firewall applica filtri FTP con stato per consentire connessioni secondarie.When Not configured (default), the firewall does stateful FTP filtering to allow secondary connections.
  • Tempo di inattività delle associazioni di sicurezza prima dell'eliminazione: le associazioni di sicurezza vengono eliminate dopo che per n secondi non è stato rilevato traffico.Security association idle time before deletion: Security associations are deleted after no network traffic is detected for n seconds. Immettere un tempo di inattività in secondi.Enter an idle time in seconds.
  • Codifica delle chiavi precondivise: Abilitare per usare la codifica delle chiavi precondivise con UTF-8.Pre-shared key encoding: Enable to use preshared key encoding using UTF-8. L'impostazione Non configurata (predefinita) usa il valore dell'archivio locale.Not configured (default) uses the local store value.
  • Esenzioni IPsec: configurare il traffico specifico con esenzioni IPsec, tra cui:IPsec exemptions: Configure specific traffic to be exempt from IPsec, including:
    • Codici di tipo ICMP IPv6 per Neighbor DiscoverNeighbor discover IPv6 ICMP type-codes
    • ICMPICMP
    • Codici di tipo ICMP IPv6 per Router DiscoverRouter discover IPv6 ICMP type-codes
    • Traffico DHCP IPv4 e IPv6Both IPv4 and IPv6 DHCP network traffic
  • Verifica dell'elenco di revoche di certificati: determinare la modalità di applicazione della verifica dell'elenco di revoche di certificati, tra cui Disabilita la verifica dell'elenco di revoche di certificati, Esito negativo della verifica dell'elenco di revoche di certificati solo in caso di certificato revocato ed Esito negativo della verifica dell'elenco di revoche di certificati per ogni errore rilevato.Certificate revocation list verification: Determine how certificate revocation list verification is enforced, including Disable CRL verification, Fail CRL verification on revoked certificate only, and Fail CRL verification on any error encountered.
  • Corrispondenza opportunistica del set di autenticazione per ogni modulo per le chiavi: Abilita in modo che i moduli per le chiavi DEBBANO ignorare solo le famiglie di prodotti di autenticazione non supportate.Opportunistically match authentication set per keying module: Enable so keying modules MUST ignore only the authentication suites that they don’t support. Con l'impostazione Non configurata, i moduli per le chiavi DEVONO ignorare l'intera famiglia di prodotti di autenticazione se non supportano tutte le famiglie di prodotti di autenticazione specificate nel set.When Not configured, keying modules MUST ignore the entire authentication set if they don't support all of the authentication suites specified in the set.
  • Accodamento di pacchetti: consente di immettere la modalità di abilitazione del ridimensionamento del software sul lato ricezione per la ricezione di testo crittografato e l'inoltro di testo normale per lo scenario relativo a gateway con tunnel IPSec,Packet queuing: Enter how software scaling on the receive side is enabled for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. assicurando il mantenimento dell'ordine dei pacchetti.This setting ensures that packet order is preserved.

Impostazioni di reteNetwork settings

Queste impostazioni sono applicabili a tipi di rete specifici, tra cui Rete di dominio (aziendale), Rete privata (individuabile) e Rete pubblica (non individuabile).These settings are applicable to specific network types, including Domain (workplace) network, Private (discoverable) network, and Public (non-discoverable) network.

Impostazioni generaliGeneral settings

  • Windows Defender Firewall: Abilita per attivare il firewall e la sicurezza avanzata.Windows Defender Firewall: Enable to turn on the firewall, and advanced security. L'impostazione Non configurata (predefinita) consente tutto il traffico di rete, indipendentemente dalle eventuali altre impostazioni dei criteri.Not configured (default) allows all network traffic, regardless of any other policy settings.
  • Modalità mascheramento: Blocca per impedire il funzionamento del firewall in modalità mascheramento.Stealth mode: Block the firewall from operating in stealth mode. Il blocco della modalità mascheramento consente di bloccare anche Esenzione di pacchetti protetti da IPsec.Blocking stealth mode allows you to also block IPsec secured packet exemption. L'impostazione Non configurata (predefinita) consente il funzionamento del firewall in modalità mascheramento, utile per evitare le risposte alle richieste di probe.Not configured (default) operates the firewall in stealth mode, which helps prevent responses to probing requests.
  • Schermata: Blocca per disattivare questa funzionalità.Shielded: Block turns off this feature. L'impostazione Non configurata (predefinita) abilita questa impostazione.Not configured (default) enables this setting. Quando questa impostazione e Windows Defender Firewall sono attivati, tutto il traffico in ingresso viene bloccato, indipendentemente dalle eventuali altre impostazioni dei criteri.When this setting and the Windows Defender Firewall are turned on, then all incoming traffic is blocked, regardless of any other policy settings.
  • Risposte unicast a broadcast multicast: con l'impostazione Blocca vengono disabilitate le risposte unicast ai broadcast multicast.Unicast responses to multicast broadcasts: When set to Block, it disables unicast responses to multicast broadcasts. In genere, si preferisce non ricevere risposte unicast a messaggi trasmessi o multicast.Typically, you don't want to receive unicast responses to multicast or broadcast messages. Queste risposte possono indicare un attacco Denial of Service (DoS) o il tentativo da parte di un utente malintenzionato di rilevare la presenza di un computer attivo noto.These responses can indicate a denial of service (DOS) attack, or an attacker attempting to probe a known live computer. L'impostazione Non configurata (predefinita) abilita questa impostazione.Not configured (default) enables this setting.
  • Notifiche in ingresso: con l'impostazione Blocca vengono nascoste le notifiche agli utenti quando un'app non è autorizzata all'ascolto su una porta.Inbound notifications: When set to Block, it hides notifications to users when an app is blocked from listening on a port. L'impostazione Non configurata (predefinita) abilita questa impostazione e potrebbe visualizzare una notifica agli utenti quando un'app non è autorizzata all'ascolto su una porta.Not configured (default) enables this setting, and may show a notification to users when an app is blocked from listening on a port.
  • Azione predefinita per le connessioni in ingresso: con l'impostazione Blocca l'azione predefinita eseguita dal firewall non viene eseguita sulle connessioni in ingresso.Default action for inbound connections: When set to Block, the default firewall action is not run on inbound connections. Con l'impostazione Non configurata (predefinita), l'azione del firewall predefinita viene eseguita sulle connessioni in ingresso.When set to Not configured (default), the default firewall action is run on inbound connections.

Unione delle regoleRule merging

  • Regole di Windows Defender Firewall per le applicazioni autorizzate dall'archivio locale: Abilita per applicare le regole del firewall nell'archivio locale per il riconoscimento e l'applicazione.Authorized application Windows Defender Firewall rules from the local store: Enable to apply firewall rules in the local store to be recognized and enforced. Con l'impostazione Non configurata (predefinita), le regole del firewall per le applicazioni autorizzate nell'archivio locale vengono ignorate e non applicate.When Not configured (default), the authorized application firewall rules in the local store are ignored and not enforced.
  • Regole di Windows Defender Firewall per porte globali dall'archivio locale: Abilita per applicare le regole del firewall per le porte globali nell'archivio locale per il riconoscimento e l'applicazione.Global port Windows Defender Firewall rules from the local store: Enable to apply global port firewall rules in the local store to be recognized and enforced. Con l'impostazione Non configurata (predefinita), le regole del firewall per le porte globali nell'archivio locale vengono ignorate e non applicate.When Not configured (default), the global port firewall rules in the local store are ignored and not enforced.
  • Regole di Windows Defender Firewall dall'archivio locale: Abilita per applicare le regole del firewall nell'archivio locale per il riconoscimento e l'applicazione.Windows Defender Firewall rules from the local store: Enable to apply firewall rules in the local store to be recognized and enforced. Con l'impostazione Non configurata (predefinita), le regole del firewall dall'archivio locale vengono ignorate e non applicate.When Not configured (default), the firewall rules from the local store are ignored and not enforced.
  • Regole IPSec dall'archivio locale: Abilita per applicare le regole di sicurezza della connessione dall'archivio locale, indipendentemente dalla versione dello schema o dalle versione delle regole di sicurezza della connessione.IPsec rules from the local store: Enable to apply connection security rules from the local store, regardless of schema or connection security rule versions. Con l'impostazione Non configurata (predefinita), le regole di sicurezza della connessione dall'archivio locale vengono ignorate e non applicate, indipendentemente dalla versione dello schema o dalle versione delle regole di sicurezza della connessione.When Not configured (default), the connection security rules from the local store are ignored and not enforced, regardless of the schema version and connection security rule version.

Impostazioni di Windows Defender SmartScreenWindows Defender SmartScreen settings

Supportate nelle seguenti edizioni di Windows 10 con Edge installato:Supported on the following Windows 10 editions with Edge installed:

  • HomeHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Impostazioni:Settings:

  • SmartScreen per app e file: Abilita consente di abilitare Windows SmartScreen per l'esecuzione di file e per le app in esecuzione.SmartScreen for apps and files: Enable Windows SmartScreen for file execution, and running apps. SmartScreen è un componente anti-phishing e anti-malware basato sul cloud.SmartScreen is a cloud-based anti-phishing and anti-malware component. L'impostazione Non configurata (predefinita) disabilita SmartScreen.Not configured (default) disables SmartScreen.
  • Esecuzione di file non verificati: Blocca per impedire agli utenti finali di eseguire file non verificati da Windows SmartScreen.Unverified files execution: Block end users from running files that haven't been verified by Windows SmartScreen. L'impostazione Non configurata (predefinita) disabilita questa funzionalità e consente agli utenti finali di eseguire i file che non sono stati verificati.Not configured (default) disables this feature, and allows end users to run files that haven't been verified.

Crittografia di WindowsWindows Encryption

Impostazioni WindowsWindows Settings

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Impostazioni:Settings:

  • Crittografa i dispositivi: Rendi obbligatorio per richiedere agli utenti di abilitare la crittografia del dispositivo.Encrypt devices: Require to prompt users to enable device encryption. A seconda dell'edizione di Windows e della configurazione di sistema, è possibile che venga richiesto agli utenti:Depending on the Windows edition and system configuration, users may be asked:
    • Di confermare che non è abilitata la crittografia di un altro fornitoreTo confirm that encryption from another provider isn't enabled

    • Di disattivare Crittografia unità Bitlocker e quindi di riattivare BitlockerBe required to turn off Bitlocker Drive Encryption, and then turn Bitlocker back on

      Se la crittografia di Windows è attivata mentre è attivo un altro metodo di crittografia, il dispositivo potrebbe diventare instabile.If Windows encryption is turned on while another encryption method is active, the device might become unstable.

  • Crittografa la scheda di memoria (solo dispositivi mobili): Rendi obbligatorio per crittografare le eventuali schede di memoria rimovibili usate dal dispositivo.Encrypt storage card (mobile only): Require to encrypt any removable storage cards used by the device. L'impostazione Non configurata (predefinita) non richiede la crittografia delle schede di archiviazione e non richiede all'utente di attivarla.Not configured (default) doesn't require storage card encryption, and doesn't prompt the user to turn it on. Questa impostazione si applica solo ai dispositivi Windows 10 Mobile.This setting only applies to Windows 10 mobile devices.

Impostazioni di base di BitLockerBitLocker base settings

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Le impostazioni di base sono impostazioni BitLocker universali per tutti i tipi di unità dati.Base settings are universal BitLocker settings for all types of data drives. Queste impostazioni gestiscono le attività di crittografia delle unità o le opzioni di configurazione che gli utenti finali possono modificare in tutti i tipi di unità dati.These settings manage what drive encryption tasks or configuration options the end user can modify across all types of data drives.

  • Avviso per la crittografia dischi di altro tipo: selezionare Blocca per disabilitare l'avviso se nel dispositivo è presente un altro servizio di crittografia del disco.Warning for other disk encryption: Select Block to disable the warning prompt if another disk encryption service is on the device. L'impostazione Non configurata (predefinita) consente la visualizzazione di questi avvisi.Not configured (default) allows the warning to be shown.
  • Configura i metodi di crittografia: Abilita per configurare gli algoritmi di crittografia per il sistema operativo, i dati e le unità rimovibili.Configure encryption methods: Enable this setting to configure encryption algorithms for operating system, data, and removable drives. Con l'impostazione Non configurata (predefinita), BitLocker usa il metodo di crittografia predefinito XTS-AES 128 bit o il metodo di crittografia specificato da qualsiasi script di configurazione.When Not configured (default), BitLocker uses XTS-AES 128 bit as the default encryption method, or uses the encryption method specified by any setup script.
    • Crittografia per le unità del sistema operativo: scegliere il metodo di crittografia per le unità del sistema operativo.Encryption for operating system drives: Choose the encryption method for operating system drives. È consigliabile usare l'algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.
    • Crittografia per unità dati fisse: scegliere il metodo di crittografia per le unità dati fisse (predefinite).Encryption for fixed data-drives: Choose the encryption method for fixed (built-in) data drives. È consigliabile usare l'algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.
    • Crittografia per unità dati rimovibili: scegliere il metodo di crittografia per le unità dati rimovibili (predefinite).Encryption for removable data-drives: Choose the encryption method for removable data drives. Se l'unità rimovibile viene usata con dispositivi che non eseguono Windows 10, è consigliabile usare l'algoritmo AES-CBC.If the removable drive is used with devices that aren't running Windows 10, then we recommend you use the AES-CBC algorithm.

Impostazioni delle unità del sistema operativo di BitLockerBitLocker OS drive settings

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Queste impostazioni si applicano in modo specifico alle unità dati del sistema operativo.These settings apply specifically to operating system data drives.

  • Autenticazione aggiuntiva all'avvio: selezionare Rendi obbligatorio per configurare i requisiti di autenticazione per l'avvio dei computer, incluso l'uso di Trusted Platform Module (TPM).Additional authentication at startup: Select Require to configure the authentication requirements for computer startup, including the use of Trusted Platform Module (TPM). Selezionare Non configurata (impostazione predefinita) per configurare solo le opzioni di base nei dispositivi con TPM.Select Not configured (default) to configure only basic options on devices with a TPM.
    • BitLocker con chip TPM non compatibile: Blocca per disabilitare l'uso di BitLocker quando un dispositivo non dispone di un chip TPM compatibile.BitLocker with non-compatible TPM chip: Block (disable) using BitLocker when a device doesn't have a compatible TPM chip. Con l'impostazione Non configurata gli utenti possono usare BitLocker senza un chip TPM compatibile.When Not configured, users can use BitLocker without a compatible TPM chip. BitLocker può richiedere una password o una chiave di avvio.BitLocker may require a password or a startup key.
    • Avvio TPM compatibile: scegliere di consentire, non consentire o rendere obbligatorio il chip TPM.Compatible TPM startup: Choose to allow, not allow, or require the TPM chip.
    • PIN di avvio TPM compatibile: scegliere di consentire, non consentire o rendere obbligatorio l'uso di un PIN di avvio con il chip TPM.Compatible TPM startup PIN: Choose to allow, not allow, or require using a startup PIN with the TPM chip. L'abilitazione di un PIN di avvio richiede l'interazione dell'utente finale.Enabling a startup PIN requires interaction from the end user.
    • Chiave di avvio TPM compatibile: scegliere di consentire, non consentire o rendere obbligatorio l'uso di una chiave di avvio con il chip TPM.Compatible TPM startup key: Choose to allow, not allow, or require using a startup key with the TPM chip. L'abilitazione di una chiave di avvio richiede l'interazione dell'utente finale.Enabling a startup key requires interaction from the end user.
    • Chiave di avvio e PIN TPM compatibile: scegliere di consentire, non consentire o rendere obbligatorio l'uso di una chiave di avvio e di un PIN con il chip TPM.Compatible TPM startup key and PIN: Choose to allow, not allow, or require using a startup key and PIN with the TPM chip. L'abilitazione di chiave di avvio e PIN richiede l'interazione dell'utente finale.Enabling startup key and PIN requires interaction from the end user.
  • Lunghezza minima del PIN: Abilita per configurare la lunghezza minima del PIN di avvio del TPM.Minimum PIN Length: Enable this setting to configure a minimum length for the TPM startup PIN. Con l'impostazione Non configurata (predefinita), gli utenti possono configurare un PIN di avvio di qualsiasi lunghezza compresa tra 6 e 20 cifre.When Not configured (default), users can configure a startup PIN of any length between 6 and 20 digits.
    • Numero minimo di caratteri: immettere il numero di caratteri obbligatorio per il PIN di avvio, 4-20.Minimum characters: Enter the number of characters required for the startup PIN from 4-20.
  • Ripristino delle unità del sistema operativo: Abilita per controllare la modalità di ripristino delle unità del sistema operativo protette da BitLocker se le informazioni necessarie all'avvio non sono disponibili.OS drive recovery: Enable this setting to control how BitLocker-protected operating system drives are recovered when the required start-up information isn't available. Con l'impostazione Non configurata (predefinita), le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker.When Not configured (default), the default recovery options are supported for BitLocker recovery. Per impostazione predefinita, è consentito un agente di recupero dati, le opzioni di ripristino vengono specificate dall'utente, incluse la password di ripristino e la chiave di ripristino, e non viene eseguito il backup delle informazioni di ripristino in Active Directory Domain Services.By default, a DRA is allowed, the recovery options are specified by the user, including the recovery password and recovery key, and recovery information isn't backed up to AD DS.
    • Agente di recupero dati basato su certificati: con l'impostazione Blocca non è possibile usare l'agente di recupero dati con le unità del sistema operativo protette con BitLocker.Certificate-based data recovery agent: When set to Block, you can't use data recovery agent with BitLocker-protected OS drives. Impostare su Non configurata (predefinita) per abilitare questa impostazione e consentire l'uso degli agenti di recupero dati con unità del sistema operativo protette da BitLocker.Set to Not configured (default) to enable this setting, which allows data recovery agents to be used with BitLocker-protected operating system drives.
    • Creazione della password di ripristino da parte dell'utente: scegliere se per gli utenti è consentito, obbligatorio o non consentito generare una password di ripristino di 48 cifre.User creation of recovery password: Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Creazione della chiave di ripristino da parte dell'utente: scegliere se per gli utenti è consentito, obbligatorio o non consentito generare una chiave di ripristino a 256 bit.User creation of recovery key: Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Opzioni di ripristino nell'installazione guidata di BitLocker: con l'impostazione Blocca gli utenti non possono visualizzare e modificare le opzioni di ripristino.Recovery options in the BitLocker setup wizard: Set to Block so users can't see and change the recovery options. Con l'impostazione Non configurata (predefinita) gli utenti possono visualizzare e modificare le opzioni di ripristino dopo l'attivazione di BitLocker.When set to Not configured (default), users can see and change the recovery options when they turn on BitLocker.
    • Salva le informazioni di ripristino di BitLocker in AD DS: Abilita per archiviare le informazioni di ripristino di BitLocker in Azure Active Directory (AAD).Save BitLocker recovery information to AD DS: Enable to store the BitLocker recovery information to Azure Active Directory (AAD). Con l'impostazione Non configurata (predefinita) le informazioni di ripristino non vengono archiviate in AAD.When Not configured (default), the recovery information isn't stored in AAD.
    • Informazioni di ripristino di BitLocker archiviate in AD DS: consente di configurare quali parti delle informazioni di ripristino di BitLocker devono essere archiviate in Azure AD.BitLocker recovery Information stored to AD DS: Configure what parts of BitLocker recovery information are stored in Azure AD. Scegliere tra:Choose from:
      • Backup delle password di ripristino e dei pacchetti di chiaviBackup recovery passwords and key packages
      • Backup solo delle password di ripristinoBackup recovery passwords only
    • Archivia le informazioni di ripristino in AD DS prima di abilitare BitLocker: con l'impostazione Rendi obbligatorio gli utenti possono attivare BitLocker solo se le informazioni di ripristino di BitLocker sono state archiviate in Azure Active Directory.Store recovery information in AD DS before enabling BitLocker: Require this setting to stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure Active Directory. L'impostazione Non configurata (predefinita) consente agli utenti di attivare BitLocker, anche se le informazioni di ripristino non vengono archiviate correttamente in Azure Active Directory.Not configured (default) allows users to turn on BitLocker, even if recovery information is not successfully stored in Azure Active Directory.
  • URL e messaggio di ripristino prima dell'avvio: Abilita per configurare il messaggio e l'URL visualizzati nella schermata di recupero della chiave prima dell'avvio.Pre-boot recovery message and URL: Enable this setting to configure the message and URL that are displayed on the pre-boot key recovery screen. L'impostazione Non configurata (predefinita) disabilita questa funzionalità.Not configured (default) disables this feature.
    • Messaggio di ripristino prima dell'avvio: consente di configurare la modalità di visualizzazione del messaggio di ripristino.Pre-boot recovery message: Configure how the pre-boot recovery message displays to users. Scegliere tra:Choose from:
      • Usa URL e messaggio di ripristino predefinitiUse default recovery message and URL
      • Usa un messaggio di ripristino e un URL vuotiUse empty recovery message and URL
      • Usa messaggio di ripristino personalizzatoUse custom recovery message
      • Usa URL di ripristino personalizzatoUse custom recovery URL

Impostazioni delle unità dati fisse BitLockerBitLocker fixed data-drive settings

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Impostazioni:Settings:

  • Accesso in scrittura alle unità dati fisse non protette da BitLocker: impostare su Blocca per consentire l'accesso in sola lettura alle unità dati non protette da BitLocker.Write access to fixed data-drive not protected by BitLocker: Set to Block to give read-only access to data drives that aren't BitLocker-protected. Con l'impostazione Non configurata (predefinita) è disponibile l'accesso in lettura e scrittura alle unità dati protette da BitLocker.When Not configured (default), there is read and write access to data drives that aren't BitLocker-protected.
  • Ripristino delle unità fisse: impostare su Abilita per controllare la modalità di ripristino delle unità fisse protette da BitLocker se le informazioni necessarie all'avvio non sono disponibili.Fixed drive recovery: Enable this setting to control how BitLocker-protected fixed drives are recovered when the required start-up information isn't available. L'impostazione Non configurata (predefinita) disabilita questa funzionalità.Not configured (default) disables this feature.
    • Agente di recupero dati: Blocca per impedire l'uso di un agente di recupero dati con l'editor dei criteri delle unità fisse protette da BitLocker.Data recovery agent: Block the use of data recovery agent with BitLocker-protected fixed drives Policy Editor. L'impostazione Non configurata (predefinita) abilita l'uso di agenti di recupero di dati con le unità fisse protette da BitLocker.Not configured (default) enables using data recovery agents with BitLocker-protected fixed drives.
    • Creazione della password di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una password di ripristino di 48 cifre.User creation of recovery password: Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Creazione della chiave di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una chiave di ripristino a 256 bit.User creation of recovery key: Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Opzioni di ripristino nell'installazione guidata di BitLocker: con l'impostazione Blocca gli utenti non possono visualizzare e modificare le opzioni di ripristino.Recovery options in the BitLocker setup wizard: Set to Block so users can't see and change the recovery options. Con l'impostazione Non configurata (predefinita) gli utenti possono visualizzare e modificare le opzioni di ripristino dopo l'attivazione di BitLocker.When set to Not configured (default), users can see and change the recovery options when they turn on BitLocker.
    • Salva le informazioni di ripristino di BitLocker in AD DS: Abilita per archiviare le informazioni di ripristino di BitLocker in Azure Active Directory (AAD).Save BitLocker recovery information to AD DS: Enable to store the BitLocker recovery information in Azure Active Directory (AAD). Con l'impostazione Non configurata (predefinita) le informazioni di ripristino non vengono archiviate in AAD.When Not configured (default), the recovery information isn't stored in AAD.
    • Informazioni di ripristino di BitLocker in AD DS: consente di configurare quali parti delle informazioni di ripristino di BitLocker devono essere archiviate in Azure Active Directory.BitLocker recovery Information to AD DS: Configure what parts of BitLocker recovery information are stored in Azure Active Directory. Scegliere tra:Choose from:
      • Backup delle password di ripristino e dei pacchetti di chiaviBackup recovery passwords and key packages
      • Backup solo delle password di ripristinoBackup recovery passwords only
    • Archivia le informazioni di ripristino in AD DS prima di abilitare BitLocker: con l'impostazione Rendi obbligatorio gli utenti possono attivare BitLocker solo se le informazioni di ripristino di BitLocker sono state archiviate in Azure Active Directory.Store recovery information in AD DS before enabling BitLocker: Require this setting to stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure Active Directory. L'impostazione Non configurata (predefinita) consente agli utenti di attivare BitLocker, anche se le informazioni di ripristino non vengono archiviate correttamente in Azure Active Directory.Not configured (default) allows users to turn on BitLocker, even if recovery information is not successfully stored in Azure Active Directory.

Impostazioni delle unità dati rimovibili BitLockerBitLocker removable data-drive settings

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Impostazioni:Settings:

  • Accesso in scrittura alle unità dati rimovibili non protette da BitLocker: impostare su Blocca per consentire l'accesso in sola lettura alle unità dati non protette da BitLocker.Write access to removable data-drive not protected by BitLocker: Set to Block to give read-only access to data drives that aren't BitLocker-protected. Con l'impostazione Non configurata (predefinita) è disponibile l'accesso in lettura e scrittura alle unità dati protette da BitLocker.When Not configured (default), there is read and write access to data drives that aren't BitLocker-protected.
    • Accesso in scrittura ai dispositivi configurati in un'altra organizzazione: Blocca consente l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione.Write access to devices configured in another organization: Block allows write access to devices configured in another organization. L'impostazione Non configurata (predefinita) nega l'accesso in scrittura.Not configured (default) denies write access.

Windows Defender Exploit GuardWindows Defender Exploit Guard

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • HomeHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Usare Windows Defender Exploit Guard per gestire e ridurre la superficie di attacco delle app usate dai dipendenti.Use Windows Defender Exploit Guard to manage and reduce the attack surface of apps used by your employees.

Riduzione della superficie di attaccoAttack Surface Reduction

  • Contrassegna il furto di credenziali dal sottosistema dell'autorità di protezione locale WindowsFlag credential stealing from the Windows local security authority subsystem

    Evitare azioni e app che generalmente vengono usate dal malware per infettare i computer.Help prevent actions and apps that are typically used by exploit-seeking malware to infect machines.

Regole per impedire le minacce relative alle macro di OfficeRules to prevent Office Macro threats

Impedire alle app di Office di eseguire le azioni seguenti:Block Office apps from taking the following actions:

  • Inserimento delle app di Office in altri processi (nessuna eccezione)Office apps injecting into other processes (no exceptions)
  • Creazione di contenuto eseguibile in app/macro di OfficeOffice apps/macros creating executable content
  • Avvio di processi figlio per le app di OfficeOffice apps launching child processes
  • Importazioni Win32 da codice delle macro in OfficeWin32 imports from Office macro code

Regole per impedire le minacce relative agli scriptRules to prevent script threats

Bloccare i seguenti elementi per contrastare le minacce basate su script:Block the following to help prevent against script threats:

  • Codice js/vbs/ps/macro offuscatoObfuscated js/vbs/ps/macro code
  • Esecuzione in js/vbs di payload scaricato da Internet (nessuna eccezione)js/vbs executing payload downloaded from Internet (no exceptions)
  • Creazione di processi da comandi PSExec e WMIProcess creation from PSExec and WMI commands
  • Processi non attendibili e non firmati eseguiti da USBUntrusted and unsigned processes that run from USB
  • File eseguibili che non rispettano criteri di prevalenza, di validità o dell'elenco di elementi attendibiliExecutables that don’t meet a prevalence, age, or trusted list criteria

Regole per impedire le minacce tramite posta elettronicaRules to prevent email threats

Bloccare gli elementi seguenti per contrastare le minacce tramite posta elettronica:Block the following to help prevent email threats:

  • Esecuzione del contenuto eseguibile (file con estensione exe, dll, ps, js, vbs e così via) non elaborato dalla posta elettronica (webmail/mail client) (nessuna eccezione)Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Regole per proteggersi dal ransomwareRules to protect against Ransomware

  • Protezione ransomware avanzataAdvanced ransomware protection

Suggerimento

Ridurre le superfici di attacco con Windows Defender Exploit Guard offre più dettagli su queste regole.Reduce attack surfaces with Windows Defender Exploit Guard provides more details on these rules.

Eccezioni della riduzione della superficie di attaccoAttack Surface Reduction exceptions

  • File e cartelle da escludere dalle regole di riduzione della superficie di attacco: importare/aggiungere un elenco di percorsi da escludere dalle regole configurate.Files and folder to exclude from attack surface reduction rules: Import/add a list of locations to exclude from the configured rules.

Accesso controllato alle cartelleControlled folder access

È possibile proteggere i dati importanti da app e minacce dannose, ad esempio il ransomware.Help protect valuable data from malicious apps and threats, such as ransomware.

  • Protezione delle cartelle: consente di proteggere file e cartelle dalle modifiche indesiderate di app dannose.Folder protection: Protect files and folders from unwanted changes by malicious apps. È possibile importare un elenco di app con accesso alle cartelle protette o aggiungerle manualmente.You can import a List of apps that have access to protected folders or add them manually. È anche possibile aggiungere un elenco di cartelle aggiuntive da proteggere con un'operazione di caricamento o aggiungendole manualmente.You can also add a List of additional folders that need to be protected with an upload or adding them manually.

Filtri di reteNetwork filtering

È possibile bloccare le connessioni in uscita da qualsiasi app verso indirizzi IP/domini con reputazione negativa.Block outbound connections from any app to low reputation IP/domains.

Protezione dagli exploitExploit protection

Per abilitare la protezione dagli exploit creare un file XML che include le impostazioni di mitigazione desiderate per il sistema e le applicazioni.To enable exploit protection, create an XML file that includes the system and application mitigation settings you want. Sono disponibili due metodi:There are two methods:

  1. PowerShell: usare uno o più cmdlet Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy di PowerShell.PowerShell: Use one or more of the Get-ProcessMitigation, Set-ProcessMitigation, and ConvertTo-ProcessMitigationPolicy PowerShell cmdlets. I cmdlet configurano le impostazioni di mitigazione ed esportano la relativa rappresentazione XML.The cmdlets configure mitigation settings, and export an XML representation of them.

  2. Interfaccia utente di Windows Defender Security Center: in Windows Defender Security Center fare clic su Controllo app e browser e quindi scorrere fino alla parte inferiore della schermata visualizzata per trovare Protezione dagli exploit.Windows Defender Security Center UI: In the Windows Defender Security Center, click on App & browser control and then scroll to the bottom of the resulting screen to find Exploit Protection. Usare prima di tutto le schede Impostazioni di sistema e Impostazioni programmi per configurare le impostazioni di mitigazione.First, use the System settings and Program settings tabs to configure mitigation settings. Trovare quindi il collegamento Esporta impostazioni nella parte inferiore della schermata per esportare la relativa rappresentazione XML.Then, find the Export settings link at the bottom of the screen to export an XML representation of them.

Bloccare la modifica dell'interfaccia di protezione dagli exploit da parte degli utenti caricando un file XML che consente di configurare limitazioni di memoria, flusso di controllo e criteri.Block User editing of the exploit protection interface by uploading an XML file that allows you to configure memory, control flow, and policy restrictions. Le impostazioni nel file XML possono essere usate per proteggere un'applicazione dagli exploit.The settings in the XML file can be used to block an application from exploits. L'impostazione Non configurata (predefinita) non effettua il push di una configurazione personalizzata.Not configured (default) doesn't push out a custom configuration.

Controllo di applicazioni di Windows DefenderWindows Defender Application Control

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

Gestione di dispositivi mobili (MDM):Mobile Device Management (MDM):

  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Gestione Criteri di gruppo:Group policy management:

  • EnterpriseEnterprise

Usare i criteri relativi all'integrità del codice di controllo dell'applicazione per scegliere altre app che devono essere controllate o possono essere ritenute attendibili per l'esecuzione da parte del Controllo di applicazioni di Windows Defender.Use Application control code integrity policies to choose additional apps that are audited, or are trusted to run by Windows Defender Application Control. I componenti Windows e tutte le app di Windows Store sono ritenuti automaticamente attendibili per l'esecuzione.Windows components and all apps from the Windows store are automatically trusted to run.

In modalità Solo controllo le applicazioni non vengono bloccate.Applications aren't blocked when running in audit only mode. La modalità Solo controllo registra tutti gli eventi nei log del client locali.Audit only mode logs all events in local client logs.

Una volta abilitato, il controllo delle applicazioni può essere disabilitato solo passando dalla modalità Imponi alla modalità Solo controllo.Once enabled, Application Control can only be disabled by changing the mode from Enforce to Audit only. Il passaggio dalla modalità Imponi alla modalità Non configurato fa sì che il controllo delle applicazioni continui a essere applicato nei dispositivi assegnati.Changing the mode from Enforce to Not Configured results in Application Control continuing to be enforced on assigned devices.

Windows Defender Credential GuardWindows Defender Credential Guard

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise

Windows Defender Credential Guard protegge contro attacchi relativi al furto di credenziali.Windows Defender Credential Guard protects against credential theft attacks. Isola i segreti in modo che possa accedervi solo il software di sistema con privilegi.It isolates secrets so that only privileged system software can access them.

Le impostazioni Credential Guard includono:The Credential Guard settings include:

  • Disabilita: disattiva Credential Guard in modalità remota, se attivato precedentemente con l'opzione Abilita senza blocco UEFI.Disable: Turns off Credential Guard remotely, if it was previously turned on with the Enabled without UEFI lock option.

  • Abilita con blocco UEFI: Credential Guard non può essere disabilitato in modalità remota usando una chiave del Registro di sistema o Criteri di gruppo.Enable with UEFI lock: Credential Guard can't be disabled remotely by using a registry key or group policy.

    Nota

    Se si usa questa impostazione e in seguito si vuole disabilitare Credential Guard, è necessario impostare Criteri di gruppo su Disabilitato.If you use this setting, and then later want to disable Credential Guard, you must set the Group Policy to Disabled. e cancellare fisicamente le informazioni di configurazione UEFI da ogni computer.And, physically clear the UEFI configuration information from each computer. Credential Guard rimane abilitato fino a quando è presente la configurazione UEFI.As long as the UEFI configuration persists, Credential Guard is enabled.

  • Abilita senza blocco UEFI: consente di disabilitare Credential Guard in modalità remota usando Criteri di gruppo.Enable without UEFI lock: Allows Credential Guard to be disabled remotely by using Group Policy. È necessario che i dispositivi che usano questa impostazione eseguano Windows 10 versione 1511 e successive.The devices that use this setting must be running Windows 10 version 1511 and newer.

Quando si abilita Credential Guard, vengono abilitate anche le funzionalità obbligatorie seguenti:When you enable Credential Guard, the following required features are also enabled:

  • Sicurezza basata sulla virtualizzazione: viene attivata durante il riavvio successivo.Virtualization-based Security (VBS): Turns on during the next reboot. La sicurezza basata sulla virtualizzazione usa Windows Hypervisor per offrire il supporto per i servizi di sicurezza.Virtualization-based security uses the Windows Hypervisor to provide support for security services.
  • Avvio protetto con Direct Memory Access: attiva la sicurezza basata sulla virtualizzazione con Avvio protetto e le protezioni di Direct Memory Access (DMA).Secure Boot with Directory Memory Access: Turns on VBS with Secure Boot and direct memory access (DMA) protections. Le protezioni DMA richiedono supporto hardware e vengono abilitate solo nei dispositivi configurati correttamente.DMA protections require hardware support, and are only enabled on correctly configured devices.

Windows Defender Security CenterWindows Defender Security Center

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • HomeHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • IstruzioneEducation
  • MobileMobile
  • Mobile EnterpriseMobile Enterprise

Windows Defender Security Center funziona come un'app o un processo separato da ognuna delle singole funzionalità.Windows Defender Security Center operates as a separate app or process from each of the individual features. Visualizza le notifiche tramite il centro notifiche.It displays notifications through the Action Center. Funge da agente di raccolta o unica posizione per visualizzare lo stato ed eseguire alcune attività di configurazione per ogni funzionalità.It acts as a collector or single place to see the status and perform some configuration for each of the features. Per altre informazioni, vedere la documentazione di Windows Defender.Find out more in the Windows Defender docs.

App e notifiche di Windows Defender Security CenterWindows Defender Security Center app and notifications

È possibile bloccare l'accesso degli utenti finali alle diverse aree dell'app Windows Defender Security Center.Block end-user access to the various areas of the Windows Defender Security Center app. Se si nasconde una sezione, vengono bloccate anche le notifiche correlate.Hiding a section also blocks related notifications.

  • Protezione da virus e minacceVirus and threat protection
  • Prestazioni e integrità del dispositivoDevice performance and health
  • Protezione firewall e della reteFirewall and network protection
  • Controllo delle app e del browserApp and browser control
  • Opzioni famigliaFamily options
  • Notifiche dalle aree visualizzate dell'app: consente di scegliere le notifiche da visualizzare agli utenti finali.Notifications from the displayed areas of app: Choose which notifications to display to end users. Le notifiche non critiche includono riepiloghi dell'attività di Windows Defender Antivirus, comprese le notifiche relative al completamento delle analisi.Non-critical notifications include summaries of Windows Defender Antivirus activity, including notifications when scans have completed. Tutte le altre notifiche sono considerate critiche.All other notifications are considered critical.

Informazioni di contatto del reparto ITIT contact Information

Specificare le informazioni di contatto del reparto IT da visualizzare nell'app Windows Defender Security Center e nelle relative notifiche.Provide IT contact information to appear in the Windows Defender Security Center app and the app notifications. È possibile scegliere Visualizza nell'app e nelle notifiche, Visualizza solo nell'app, Visualizza solo nelle notifiche o Non visualizzare.You can choose to Display in app and in notifications, Display only in app, Display only in notifications, or Don't display. Immettere il nome dell'organizzazione IT e almeno una delle opzioni di contatto seguenti:Enter the IT organization name, and at least one of the following contact options:

  • Numero di telefono del reparto IT o ID SkypeIT department phone number or Skype ID
  • Indirizzo di posta elettronica del reparto ITIT department email address
  • URL del sito Web del supporto tecnico ITIT support website URL

Opzioni di sicurezza dei dispositivi localiLocal device security options

Supportato nelle edizioni di Windows 10 seguenti:Supported on the following Windows 10 editions:

  • HomeHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • IstruzioneEducation

Usare queste opzioni per configurare le impostazioni di sicurezza locali nei dispositivi Windows 10.Use these options to configure the local security settings on Windows 10 devices.

AccountAccounts

  • Aggiungi nuovi account Microsoft: impostare su Blocca per impedire agli utenti di aggiungere nuovi account Microsoft nel dispositivo.Add new Microsoft accounts: Set to Block to prevent users from adding new Microsoft accounts to the device. Con l'impostazione Non configurata (predefinita), gli utenti possono usare gli account Microsoft nel dispositivo.When set to Not configured (default), users can use Microsoft accounts on the device.
  • Remote log on without password (Accesso remoto senza password): Abilita per consentire agli account locali con password vuote di accedere tramite la tastiera del dispositivo.Remote log on without password: Enable allows local accounts with blank passwords to sign in using the device's keyboard. L'impostazione Non configurata (predefinita) consente agli account locali con password vuote di eseguire l'accesso da percorsi diversi rispetto al dispositivo fisico.Not configured (default) allows local accounts with blank passwords to sign in from locations other than the physical device.

AmministratoreAdmin

  • Account amministratore locale: impostare su Abilitato per consentire l'account amministratore locale.Local admin account: Set to Enabled to allow the local administrator account. L'impostazione Non configurata (predefinita) consente di disabilitare l'account amministratore locale.Set to Not configured (default) to disable the local administrator account.
  • Rinomina l'account amministratore: definisce un nome account diverso da associare all'ID di sicurezza (SID) per l'account amministratore.Rename admin account: Define a different account name to be associated with the security identifier (SID) for the Administrator account.

GuestGuest

  • Account Guest: impostare su Abilitato per consentire l'account utente guest locale.Guest account: Set to Enabled to allow the local guest account. L'impostazione Non configurata (predefinita) consente di disabilitare l'account guest locale.Set to Not configured (default) to disable the local guest account.
  • Rinomina l'account Guest: definisce un nome account diverso da associare all'ID di sicurezza (SID) per l'account Guest.Rename guest account: Define a different account name to be associated with the security identifier (SID) for the Guest account.

DispositiviDevices

  • Disancora il dispositivo senza accesso: impostare su Blocca in modo che gli utenti possano premere il pulsante di espulsione fisico del dispositivo portatile inserito nell'alloggiamento di espansione per disinserire in modo sicuro il dispositivo dall'alloggiamento di espansione.Undock device without logon: Set to Block so users can press a docked portable device's physical eject button to safely undock the device. Con l'impostazione Non configurata (predefinita) viene richiesto all'utente di eseguire l'accesso al dispositivo per ricevere l'autorizzazione a disinserire il dispositivo dall'alloggiamento di espansione.Not configured (default) requires the user to sign in to the device, and receive permission to undock the device.
  • Installa i driver della stampante per le stampanti condivise: con l'impostazione Abilitato qualsiasi utente può installare un driver della stampante durante la connessione a una stampante condivisa.Install printer drivers for shared printers: When Enabled, any user can install a printer driver as part of connecting to a shared printer. Con l'impostazione Non configurata (predefinita), solo gli amministratori possono installare un driver della stampante come parte della connessione a una stampante condivisa.When Not configured (default), only Administrators can install a printer driver as part of connecting to a shared printer.
  • Limita l'accesso al CD-ROM solo all'utente attivo locale: con l'impostazione Abilitato solo gli utenti che hanno eseguito l'accesso in modo interattivo possono usare i supporti CD-ROM.Restrict CD-ROM access to local active user: When Enabled, only the interactively logged-on user can use the CD-ROM media. Se questo criterio è abilitato e nessun utente è connesso in modo interattivo, l'accesso al CD-ROM avviene attraverso la rete.If this policy is enabled, and no one is logged on interactively, then the CD-ROM is accessed over the network. Con l'impostazione Non configurata (predefinita), chiunque può accedere al CD-ROM.When Not configured (default), anyone has access to the CD-ROM.
  • Formatta e rimuovi supporti rimovibili: consente di determinare chi è autorizzato a formattare e rimuovere i supporti rimovibili NTFS:Format and eject removable media: Define who is allowed to format and eject removable NTFS media:
    • Non configuratoNot configured
    • AmministratoriAdministrators
    • Amministratori e utenti espertiAdministrators and Power Users
    • Amministratori e utenti interattiviAdministrators and Interactive Users

Accesso interattivoInteractive Logon

  • Minuti di inattività della schermata di blocco prima dell'attivazione dello screen saver: immettere il numero massimo di minuti di inattività nella schermata di accesso del desktop interattivo prima dell'attivazione dello screen saver.Minutes of lock screen inactivity until screen saver activates: Enter the maximum minutes of inactivity on the interactive desktop’s login screen until the screen saver runs.

  • Require CTRL+ALT+DEL to log on (Richiedi CTRL+ALT+CANC per l'accesso): impostare su Abilita in modo che gli utenti non debbano premere CTRL+ALT+CANC per accedere.Require CTRL+ALT+DEL to log on: Set to Enable so pressing CTRL+ALT+DEL isn't required for users to sign in. Con l'impostazione Non configurata (predefinita) agli utenti viene richiesto di premere CTRL+ALT+CANC prima di accedere a Windows.Set to Not configured (default) to require users to press CTRL+ALT+DEL before logging on to Windows.

  • Comportamento in caso di rimozione della smart card: determina le azioni che vengono eseguite quando la smart card per un utente connesso viene rimossa dal lettore di smart card.Smart card removal behavior: Determines what happens when the smart card for a logged-on user is removed from the smart card reader. Le opzioni disponibili sono:Your options:

    • Blocca workstation: quando la smart card viene rimossa, la workstation risulta bloccata.Lock Workstation: The workstation is locked when the smart card is removed. Questa opzione consente all'utente di allontanarsi, portare con sé la smart card e mantenere comunque una sessione protetta.This option allows users to leave the area, take their smart card with them, and still maintain a protected session.

    • Imponi disconnessione: l'utente viene automaticamente disconnesso quando la smart card viene rimossa.Force Logoff: The user is automatically logged off when the smart card is removed.

    • Disconnetti in caso di sessione dei Servizi Desktop remoto: la rimozione della smart card determina la disconnessione della sessione senza disconnettere l'utente.Disconnect if a Remote Desktop Services session: Removal of the smart card disconnects the session without logging off the user. Questa opzione consente all'utente di inserire la smart card e riprendere la sessione in un secondo momento oppure in un altro computer dotato di lettore di smart card, senza dover accedere di nuovo.This option allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to sign in again. Se la sessione è locale, questo criterio funziona in modo identico all'opzione Blocca workstation.If the session is local, this policy functions identically to Lock Workstation.

      Per informazioni più dettagliate, vedere LocalPoliciesSecurity options (Opzioni di LocalPoliciesSecurity).LocalPoliciesSecurity options provides more details.

SchermoDisplay

  • Informazioni utente nella schermata di blocco: Consente di configurare le informazioni utente visualizzate quando la sessione è bloccata.User information on lock screen: Configure the user information that is displayed when the session is locked. Se questa opzione non viene configurata, vengono mostrati il nome visualizzato dell'utente, il dominio e il nome utente.If not configured, user display name, domain, and username are shown.
    • Non configuratoNot configured
    • Nome visualizzato dell'utente, dominio e nome utenteUser display name, domain, and user name
    • Solo nome visualizzato dell'utenteUser display name only
    • Non visualizzare le informazioni utenteDo not display user information
  • Nascondi l'ultimo utente connesso: Abilita per nascondere il nome utente.Hide last signed-in user: Enable hides the username. Con l'impostazione Non configurata (predefinita) il nome utente viene visualizzato.Not configured (default) shows the username.
  • Nascondi il nome utente all'accesso: Abilita per nascondere il nome utente.Hide username at sign-in: Enable hides the username. Con l'impostazione Non configurata (predefinita) il nome utente viene visualizzato.Not configured (default) shows the username.
  • Titolo del messaggio di accesso: impostare il titolo del messaggio per gli utenti che eseguono l'accesso.Logon message title: Set the message title for users signing in.
  • Testo del messaggio di accesso: impostare il testo del messaggio per gli utenti che eseguono l'accesso.Logon message text: Set the message text for users signing in.

Accesso alla rete e sicurezzaNetwork access and security

  • Accesso anonimo alle named pipe e alle condivisioni: Non configurato (impostazione predefinita) limita l'accesso anonimo alle impostazioni di condivisioni e named pipe.Anonymous access to Named Pipes and Shares: Not configured (default) restricts anonymous access to share and Named Pipe settings. Si applica alle impostazioni a cui è possibile accedere anonimamente.Applies to the settings that can be accessed anonymously.
  • Enumerazione anonima degli account SAM: consente agli utenti anonimi di enumerare gli account SAM.Anonymous enumeration of SAM accounts: Allow anonymous users to enumerate the SAM accounts. Windows consente agli utenti anonimi di enumerare i nomi degli account di dominio e delle condivisioni di rete.Windows allows anonymous users to enumerate the names of domain accounts and network shares.
  • Enumerazione anonima di account e condivisioni SAM: Non configurato (impostazione predefinita) determina la possibilità per gli utenti anonimi di enumerare i nomi di account di dominio e condivisioni di rete.Anonymous enumeration of SAM accounts and shares: Not configured (default) means anonymous users can enumerate the names of domain accounts and network shares. Per impedire l'enumerazione anonima di account e condivisioni SAM, impostare l'opzione su Blocca.To prevent anonymous enumeration of SAM accounts and shares, set to Block.
  • Valore hash di LAN Manager archiviato alla modifica della password: alla prossima modifica della password, scegliere di consentire a LAN Manager (LM) di archiviare il valore hash per la nuova password.LAN Manager hash value stored on password change: At the next password change, choose to Allow the LAN Manager (LM) to store the hash value for the new password. Con l'impostazione Non configurata (predefinita) il valore hash non viene archiviato.When set to Not configured (default), the hash value isn't stored.
  • Richieste di autenticazione PKU2U: blocca l'uso delle identità online da parte delle richieste di autenticazione PKU2U inviate al dispositivo.PKU2U authentication requests: Block PKU2U authentication requests to the device to use online identities. Non configurato (impostazione predefinita) consente queste richieste.Not configured (default) allows these requests.
  • Limita le connessioni RPC remote a SAM: consente la stringa SDDL (Security Descriptor Definition Language) predefinita per impedire a utenti e gruppi di effettuare chiamate remote a SAM.Restrict remote RPC connections to SAM: Allow the default Security Descriptor Definition Language string to deny users and groups to make remote calls to the SAM. Non configurato (impostazione predefinita), stringa SDDL (Security Descriptor Definition Language) predefinita per consentire a utenti e gruppi di effettuare chiamate remote a SAM.Not configured (default) the default Security Descriptor Definition Language string to allow users and groups to make remote calls to the SAM.
    • Descrittore di sicurezzaSecurity descriptor

Console di ripristino di emergenza e arrestoRecovery console and shutdown

  • Cancella il file di paging della memoria virtuale all'arresto: impostare su Abilita per cancellare il file di paging della memoria virtuale quando il dispositivo viene spento.Clear virtual memory pagefile when shutting down: Set to Enable to clear the virtual memory pagefile when the device is powered down. L'impostazione Non configurata non cancella la memoria virtuale.Not configured doesn't clear the virtual memory.
  • Arresta senza accesso: Blocca per nascondere l'opzione di arresto nella schermata di accesso di Windows.Shut down without log on: Block hides the shutdown option on the Windows logon screen. Gli utenti devono accedere al dispositivo e quindi arrestarlo.Users must sign in to the device, and then shut down. L'impostazione Non configurata (predefinita) consente agli utenti di arrestare il dispositivo dalla schermata di accesso di Windows.Not configured (default) allows users to shut down the device from the Windows logon screen.

Controllo dell'account utenteUser account control

  • Integrità UIA senza posizione sicura: con l'impostazione Abilita le app in una posizione sicura nel file system vengono eseguite solo con l'integrità UIAccess.UIA integrity without secure location: When set to Enable, apps in a secure location in the file system run only with UIAccess integrity. L'impostazione Non configurata (predefinita) consente l'esecuzione delle app con l'integrità UIAccess, anche se le app non sono in una posizione sicura nel file system.Not configured (default) enables apps to run with UIAccess integrity, even if the apps aren't in a secure location in the file system.
  • Virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente: con l'impostazione Blocca gli errori di scrittura delle applicazioni vengono reindirizzati su percorsi utente definiti per il file system e il Registro di sistema.Virtualize file and registry write failures to per-user locations: When set to Block, application write failures are redirected at run time to defined user locations for the file system and registry. Con l'impostazione Non configurata (predefinita) le applicazioni che eseguono la scrittura dei dati in percorsi protetti genereranno errori.When set to Not configured (default), applications that write data to protected locations fail.
  • Esegui con privilegi elevati solo i file eseguibili firmati e convalidati: impostare su Abilitato per imporre la convalida del percorso di certificazione PKI per un determinato file eseguibile prima che possa essere eseguito.Only elevate executable files that are signed and validated: Set to Enabled to enforce the PKI certification path validation for an executable file before it can run. L'impostazione Non configurata (predefinita) non impone la convalida del percorso di certificazione PKI di un file eseguibile prima che possa essere eseguito.Set to Not configured (default) to not enforce PKI certification path validation before an executable file can run.

Impostazioni del comportamento della richiesta di elevazione dei privilegi UIAUIA elevation prompt behavior settings

  • Richiesta di elevazione dei privilegi per amministratori: definisce il comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore:Elevation prompt for admins: Define the behavior of the elevation prompt for admins in Admin Approval Mode:
    • Esegui con privilegi elevati senza chiedere confermaElevate without prompting
    • Richiedi credenziali sul desktop sicuroPrompt for credentials on the secure desktop
    • Richiedi consenso sul desktop sicuroPrompt for consent on the secure desktop
    • Richiedi credenzialiPrompt for credentials
    • Richiedi consensoPrompt for consent
    • Non configurato: richiede il consenso per file binari non WindowsNot configured: Prompt for consent for non-Windows binaries
  • Richiesta di elevazione dei privilegi per utenti standard: definisce il comportamento della richiesta di elevazione dei privilegi per gli utenti standard:Elevation prompt for standard users: Define the behavior of the elevation prompt for standard users:
    • Nega automaticamente richieste di elevazioneAutomatically deny elevation requests
    • Richiedi credenziali sul desktop sicuroPrompt for credentials on the secure desktop
    • Non configurato: richiesta di credenzialiNot configured: Prompt for credentials
  • Indirizza le richieste di elevazione dei privilegi al desktop interattivo dell'utente: Abilita consente a tutte le richieste di elevazione dei privilegi di passare al desktop interattivo dell'utente invece che a desktop protetto.Route elevation prompts to user’s interactive desktop: Enable so all elevation requests go to the interactive user's desktop, not the secure desktop. Viene usata qualsiasi impostazione relativa ai criteri sul comportamento delle richieste per amministratori e utenti standard.Any prompt behavior policy settings for administrators and standard users are used. Con l'impostazione Non configurata (predefinita) tutte le richieste di elevazione dei privilegi vengono inviate al desktop sicuro, indipendentemente dalle impostazioni relative ai criteri sul comportamento delle richieste per amministratori e utenti standard.Not configured (default) forces all elevation requests go to the secure desktop, regardless of any prompt behavior policy settings for administrators and standard users.
  • Prompt con privilegi elevati per installazioni di app: con l'impostazione Blocca i pacchetti di installazione dell'applicazione non vengono rilevati o non viene richiesta l'elevazione dei privilegi.Elevated prompt for app installations: When set to Block, application installation packages aren't detected or prompted for elevation. Con l'impostazione Non configurata (predefinita) all'utente vengono richiesti nome utente e password amministrativi quando un pacchetto di installazione di un'applicazione richiede privilegi elevati.When set to Not configured (default), the user is prompted for an administrative user name and password when an application installation package requires elevated privileges.
  • Richiesta di elevazione dei privilegi UIA senza desktop protetto: Abilita per consentire alle app con accesso all'interfaccia utente di richiedere l'elevazione dei privilegi senza usare il desktop protetto.UIA elevation prompt without secure desktop: Enable to allow UIAccess apps to prompt for elevation, without using the secure desktop. Con l'impostazione Non configurata (predefinita), le richieste di elevazione dei privilegi usano un desktop protetto.When Not configured (default), the elevation prompts use a secure desktop.

Impostazioni della modalità Approvazione amministratoreAdmin Approval Mode settings

  • Modalità Approvazione amministratore per l'amministratore predefinito: con l'impostazione Abilitato l'account Administrator predefinito può usare la modalità Approvazione amministratore.Admin approval Mode for Built-in Administrator: Enabled allows the built-in Administrator account to use Admin Approval Mode. Per qualunque operazione che richiede l'elevazione dei privilegi viene richiesta l'approvazione dell'utente.Any operation that requires elevation of privilege prompts the user to approve the operation. Con l'impostazione Non configurata (predefinita) tutte le app vengono eseguite con privilegi di amministratore completi.Not configured (default) runs all apps with full admin privileges.
  • Esegui tutti gli amministratori in modalità Approvazione amministratore: impostare su Blocca per disabilitare la modalità Approvazione amministratore e tutte le impostazioni dei criteri di Controllo dell'account utente correlate.Run all admins in Admin Approval Mode: Set to Block to disable Admin Approval Mode and all related UAC policy settings. L'impostazione Non configurata (predefinita) consente di abilitare la modalità Approvazione amministratore.Not configured (default) enables Admin Approval Mode.

Client di rete MicrosoftMicrosoft Network Client

  • Firma digitalmente le comunicazioni (se il server lo consente): determina se il client SMB può negoziare la firma dei pacchetti SMB.Digitally sign communications (if server agrees): Determines if the SMB client negotiates SMB packet signing. Con l'impostazione Non configurata o se abilitata (impostazione predefinita), il client di rete Microsoft richiede al server di eseguire la firma dei pacchetti SMB durante la configurazione della sessione.When Not configured or enabled (default), the Microsoft network client asks the server to run SMB packet signing upon session setup. Se la firma dei pacchetti è abilitata nel server, questa verrà negoziata.If packet signing is enabled on the server, packet signing is negotiated. Con l'impostazione Disabilita il client SMB non negozia mai la firma dei pacchetti SMB.If set to Disable, the SMB client never negotiates SMB packet signing.
  • Invia password non crittografate a server SMB di terze parti: con l'impostazione Abilita il redirector SMB (Server Message Block) può inviare password in testo non crittografato a server SMB non Microsoft che non supportano la crittografia della password durante l'autenticazione.Send unencrypted password to third-party SMB servers: When set to Enable, the Server Message Block (SMB) redirector can send plaintext passwords to non-Microsoft SMB servers that don't support password encryption during authentication. Con l'impostazione Non configurata (predefinita) le password vengono crittografate.When Not configured (default), the passwords are encrypted.

Server di rete MicrosoftMicrosoft Network Server

  • Firma digitalmente le comunicazioni (se il client lo consente): determina se il server SMB negozierà la firma dei pacchetti SMB con i client che la richiedono.Digitally sign communications (if client agrees): Determines if the SMB server negotiates SMB packet signing with clients that request it. Con l'impostazione Abilita il server di rete Microsoft negozia la firma dei pacchetti SMB in base a quanto richiesto dal client,When set to Enable, the Microsoft network server negotiates SMB packet signing as requested by the client. ovvero se la firma dei pacchetti è abilitata sul client, la firma dei pacchetti sarà negoziata.That is, if packet signing is enabled on the client, packet signing is negotiated. Se Non configurato o disabilitato (impostazione predefinita), il client SMB non negozierà mai la firma dei pacchetti SMB.When Not configured or disabled (default), the SMB client never negotiates SMB packet signing.
  • Firma digitalmente le comunicazioni (sempre): determina se la firma dei pacchetti è richiesta dal componente server SMB.Digitally sign communications (always): Determines if packet signing is required by the SMB server component. Con l'impostazione Abilita il server di rete Microsoft comunica con un client di rete Microsoft solo se tale client accetta l'esecuzione della firma dei pacchetti SMB.When set to Enable, the Microsoft network server doesn't communicate with a Microsoft network client unless that client agrees to SMB packet signing. Con l'impostazione Non configurata o se disabilitata (impostazione predefinita) la firma dei pacchetti SMB viene negoziata tra il client e il server.When Not configured or disabled (default), SMB packet signing is negotiated between the client and server.

Passaggi successiviNext steps

Per assegnare il profilo ai gruppi, vedere Come assegnare i profili di dispositivo.To assign this profile to groups, see How to assign device profiles.