Abilitare e configurare Windows Defender Antivirus always-on Protection in criteri di gruppo

Ambito di applicazione:

La protezione sempre attiva consiste in protezione in tempo reale, monitoraggio del comportamento ed euristica per l'identificazione del malware in base ad attività sospette e dannose già note.

Queste attività includono eventi, ad esempio i processi che apportano modifiche insolite ai file esistenti, modificando o creando chiavi del registro di sistema e posizioni di avvio automatiche (noti anche come punti di estendibilità per l'avvio automatico o ASEPs) e altre modifiche apportate al file struttura di sistema o file.

Abilitare e configurare la protezione sempre in criteri di gruppo

Puoi usare l' Editor criteri di gruppo locali per abilitare e configurare le impostazioni di protezione di Windows Defender Antivirus always-on.

Per abilitare e configurare la protezione sempre attiva:

  1. Aprire Editor criteri di gruppo locali. A tale scopo, effettua le seguenti operazioni:
    1. Nella casella di ricerca sulla barra delle applicazioni di Windows 10 digitare gpedit.
    2. In corrispondenza ottimalefare clic su modifica criteri di gruppo per avviare l' Editor criteri di gruppo locali. Risultato della ricerca sulla barra delle applicazioni GPEdit
  2. Nel riquadro sinistro di Editor criteri di gruppo localiespandere l'albero alla configurazione > di computermodelli > amministrativiWindows Components > Windows Defender Antivirus. Windows Defender Antivirus
  3. Configurare le impostazioni dei criteri di servizio antimalware per Windows Defender Antivirus. A tale scopo, effettua le seguenti operazioni:

    1. Nel riquadro dei dettagli di Windows Defender Antivirus a destra fare doppio clic sull'impostazione del criterio, come specificato nella tabella seguente:

      Impostazione Descrizione Impostazione predefinita
      Consentire l'avvio del servizio antimalware con priorità normale È possibile ridurre la priorità del motore antivirus Windows Defender, che potrebbe essere utile nelle distribuzioni leggere in cui si vuole avere un processo di avvio più snello possibile. Questo potrebbe influire sulla protezione dell'endpoint. Abilitato
      Consentire al servizio antimalware di essere sempre in esecuzione Se gli aggiornamenti della protezione sono stati disabilitati, è possibile impostare Windows Defender antivirus ancora in esecuzione. Questo riduce la protezione dell'endpoint. Disabilitato
    2. Configurare l'impostazione in base alle esigenze e fare clic su OK.

    3. Ripetere i passaggi precedenti per ogni impostazione nella tabella.
  4. Configurare le impostazioni dei criteri di protezione in tempo reale di Windows Defender Antivirus. A tale scopo, effettua le seguenti operazioni:

    1. Nel riquadro dei dettagli di Windows Defender Antivirus fare doppio clic su protezione in tempo reale. In alternativa, nell'albero antivirus di Windows Defender nel riquadro sinistro fare clic su protezione in tempo reale. Opzioni di protezione in tempo reale in Windows Defender Antivirus
    2. Nel riquadro dei dettagli di protezione in tempo reale a destra fare doppio clic sull'impostazione del criterio, come specificato nella tabella seguente:

      Impostazione Descrizione Impostazione predefinita
      Attivare il monitoraggio dei comportamenti Il motore AV controllerà i processi di file, le modifiche al file e il registro di sistema e altri eventi negli endpoint per attività sospette e note. Abilitato
      Analizzare tutti i file e gli allegati scaricati Gli allegati e i file scaricati vengono analizzati automaticamente. Questo funziona oltre al filtro Windows Defender SmartScreen, che analizza i file prima e durante il download. Abilitato
      Monitorare attività di file e programmi nei computer Il motore antivirus Windows Defender prende nota delle modifiche apportate ai file (le scritture dei file, ad esempio mosse, copie o modifiche) e l'attività generale del programma (programmi aperti o in esecuzione e che causano l'esecuzione di altri programmi). Abilitato
      Attivare notifiche non elaborate di scrittura su volume Le informazioni sulle Scritture del volume non elaborato verranno analizzate tramite il monitoraggio del comportamento. Abilitato
      Attivare l'analisi dei processi quando è attivata la protezione in tempo reale Puoi abilitare in modo indipendente il motore antivirus Microsoft Defender per analizzare i processi in uso per le modifiche o i comportamenti sospetti. Questa operazione è utile se è stata temporaneamente disabilitata la protezione in tempo reale e si vuole analizzare automaticamente i processi avviati durante la disattivazione. Abilitato
      Definire la dimensione massima dei file e degli allegati scaricati da analizzare Puoi definire le dimensioni in kilobyte. Abilitato
      Configurare la sostituzione di impostazioni locali per attivare il monitoraggio dei comportamenti Configurare un override locale per la configurazione del monitoraggio del comportamento. Questa impostazione può essere impostata solo da criteri di gruppo. Se si abilita questa impostazione, l'impostazione delle preferenze locali sarà prioritaria rispetto ai criteri di gruppo. Se si disattiva o non si configura questa impostazione, i criteri di gruppo saranno prioritari rispetto all'impostazione di preferenza locale. Abilitato
      Configurare la sostituzione di impostazioni locali per l'analisi di tutti i file e gli allegati scaricati Configurare un override locale per la configurazione della scansione per tutti i file e gli allegati scaricati. Questa impostazione può essere impostata solo da criteri di gruppo. Se si abilita questa impostazione, l'impostazione delle preferenze locali sarà prioritaria rispetto ai criteri di gruppo. Se si disattiva o non si configura questa impostazione, i criteri di gruppo saranno prioritari rispetto all'impostazione di preferenza locale. Abilitato
      Configurare la sostituzione di impostazioni locali per il monitoraggio di file e attività dei programmi nel computer Configurare un override locale per la configurazione del monitoraggio per l'attività di file e programmi nel computer. Questa impostazione può essere impostata solo da criteri di gruppo. Se si abilita questa impostazione, l'impostazione delle preferenze locali sarà prioritaria rispetto ai criteri di gruppo. Se si disattiva o non si configura questa impostazione, i criteri di gruppo saranno prioritari rispetto all'impostazione di preferenza locale. Abilitato
      Configurare la sostituzione delle impostazioni locali per attivare la protezione in tempo reale Configurare un override locale per la configurazione per attivare la protezione in tempo reale. Questa impostazione può essere impostata solo da criteri di gruppo. Se si abilita questa impostazione, l'impostazione delle preferenze locali sarà prioritaria rispetto ai criteri di gruppo. Se si disattiva o non si configura questa impostazione, i criteri di gruppo saranno prioritari rispetto all'impostazione di preferenza locale. Abilitato
      Configurare la sostituzione di impostazioni locali per il monitoraggio di attività dei file in ingresso e in uscita Configurare un override locale per la configurazione del monitoraggio per l'attività dei file in entrata e in uscita. Questa impostazione può essere impostata solo da criteri di gruppo. Se si abilita questa impostazione, l'impostazione delle preferenze locali sarà prioritaria rispetto ai criteri di gruppo. Se si disattiva o non si configura questa impostazione, i criteri di gruppo saranno prioritari rispetto all'impostazione di preferenza locale. Abilitato
      Configurare il monitoraggio per attività di file e programmi in ingresso e in uscita Specificare se il monitoraggio deve essere eseguito in ingresso, in uscita, in entrambi i casi o in nessuna direzione. Questo è importante per le installazioni di Windows Server in cui sono stati definiti server specifici o ruoli Server con grandi quantità di modifiche ai file in una sola direzione e si desidera migliorare le prestazioni di rete. Gli endpoint (e i server) completamente aggiornati in una rete vedranno un minimo impatto sulle prestazioni indipendentemente dal numero o dalla direzione delle modifiche ai file. Abilitato (in entrambe le direzioni)
    3. Configurare l'impostazione in base alle esigenze e fare clic su OK.

    4. Ripetere i passaggi precedenti per ogni impostazione nella tabella.
  5. Configurare l'impostazione di criteri di analisi di Windows Defender Antivirus. A tale scopo, effettua le seguenti operazioni:

    1. Nell'albero antivirus di Windows Defender nel riquadro sinistro fare clic su analizza. Opzioni di analisi di Windows Defender Antivirus

    2. Nel riquadro analisi dettagli a destra fare doppio clic sull'impostazione dei criteri, come specificato nella tabella seguente:

      Impostazione Descrizione Impostazione predefinita
      Attivare l'euristica La protezione euristica disattiverà o bloccherà le attività sospette immediatamente prima che venga richiesto il motore antivirus Windows Defender per rilevare l'attività. Abilitato
    3. Configurare l'impostazione in base alle esigenze e fare clic su OK.

  6. Chiudere Editor criteri di gruppo locali.

Disabilitare la protezione in tempo reale in criteri di gruppo

Avviso

La disabilitazione della protezione in tempo reale riduce drasticamente la protezione degli endpoint e non è consigliabile.

La funzionalità di protezione in tempo reale principale è abilitata per impostazione predefinita, ma è possibile disabilitarla tramite Editor criteri di gruppo locali.

Per disabilitare la protezione in tempo reale in criteri di gruppo:

  1. Aprire Editor criteri di gruppo locali.

    1. Nella casella di ricerca sulla barra delle applicazioni di Windows 10 digitare gpedit.
    2. In corrispondenza ottimalefare clic su modifica criteri di gruppo per avviare l' Editor criteri di gruppo locali.
  2. Nel riquadro sinistro di Editor criteri di gruppo localiespandere l'albero in configurazione > modelli > amministrativiWindows Components > Windows Defender Antivirus > intempo reale.

  3. Nel riquadro Dettagli protezione in tempo reale a destra fare doppio clic su Disattiva protezione in tempo reale. Disattivare la protezione in tempo reale

  4. Nella finestra Disattiva impostazione di protezione in tempo reale imposta l'opzione su Enabled. Disattivare la protezione in tempo reale attivata

  5. Fai clic su OK.
  6. Chiudere Editor criteri di gruppo locali.

Articoli correlati