Gestire la protezione da manomissioni per l'organizzazione usando Microsoft Intune
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
- Microsoft Defender for Business
- Microsoft 365 Business Premium
Piattaforme
- Windows
La protezione dalle manomissioni consente di proteggere determinate impostazioni di sicurezza, ad esempio la protezione da virus e minacce, dalla disabilitazione o dalla modifica. Se si fa parte del team di sicurezza dell'organizzazione e si usa Microsoft Intune, è possibile gestire la protezione dalle manomissioni per l'organizzazione nell'interfaccia di amministrazione Intune. In alternativa, è possibile usare Configuration Manager. Con Intune o Configuration Manager, è possibile eseguire le attività seguenti:
- Attivare o disattivare la protezione dalle manomissioni per alcuni o tutti i dispositivi.
- Proteggere Microsoft Defender le esclusioni antivirus dalla manomissione (è necessario soddisfare determinati requisiti).
Importante
Se si usa Microsoft Intune per gestire le impostazioni di Defender per endpoint, assicurarsi di impostare DisableLocalAdminMergetrue
su nei dispositivi.
Quando la protezione da manomissione è attivata, le impostazioni protette da manomissione non possono essere modificate. Per evitare un'interruzione delle esperienze di gestione, tra cui Intune (e Configuration Manager), tenere presente che le modifiche alle impostazioni protette da manomissioni potrebbero avere esito positivo, ma sono effettivamente bloccate dalla protezione dalle manomissioni. A seconda dello scenario specifico, sono disponibili diverse opzioni:
Se è necessario apportare modifiche a un dispositivo e tali modifiche sono bloccate dalla protezione dalle manomissioni, è consigliabile usare la modalità di risoluzione dei problemi per disabilitare temporaneamente la protezione dalle manomissioni nel dispositivo. Si noti che al termine della modalità di risoluzione dei problemi, tutte le modifiche apportate alle impostazioni protette da manomissioni vengono ripristinate allo stato configurato.
È possibile usare Intune o Configuration Manager per escludere i dispositivi dalla protezione da manomissioni.
Se si gestisce la protezione dalle manomissioni tramite Intune, è possibile modificare le esclusioni antivirus protette da manomissioni.
Requisiti per la gestione della protezione da manomissioni in Intune
Requisito | Dettagli |
---|---|
Ruoli e autorizzazioni | È necessario disporre delle autorizzazioni appropriate assegnate tramite ruoli, ad esempio Amministratore della sicurezza. Vedere Microsoft Entra ruoli con accesso Intune. |
Gestione dei dispositivi | L'organizzazione usa Configuration Manager o Intune per gestire i dispositivi. Co-Managed dispositivi non sono supportati per questa funzionalità. |
Licenze di Intune | Intune licenze sono necessarie. Vedere Microsoft Intune licenze. |
Sistema operativo | I dispositivi Windows devono eseguire Windows 10 versione 1709 o successiva o Windows 11. Per altre informazioni sulle versioni, vedere Informazioni sulla versione di Windows. Per Mac, vedere Proteggere le impostazioni di sicurezza macOS con la protezione da manomissioni. |
Intelligence sulla sicurezza | È necessario usare la sicurezza di Windows con l'intelligence di sicurezza aggiornata alla versione 1.287.60.0 (o successiva). |
Piattaforma antimalware | I dispositivi devono usare la versione 4.18.1906.3 della piattaforma antimalware (o versione successiva) e la versione 1.1.15500.X del motore antimalware (o versione successiva). Vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare le linee di base. |
Microsoft Entra ID | I tenant Intune e Defender per endpoint devono condividere la stessa infrastruttura Microsoft Entra. |
Defender per endpoint | È necessario eseguire l'onboarding dei dispositivi in Defender per endpoint. |
Nota
Se i dispositivi non sono registrati in Microsoft Defender per endpoint, la protezione dalle manomissioni viene visualizzata come Non applicabile fino al completamento del processo di onboarding. La protezione dalle manomissioni può impedire che si verifichino modifiche alle impostazioni di sicurezza. Se viene visualizzato un codice di errore con ID evento 5013, vedere Esaminare i log eventi e i codici di errore per risolvere i problemi relativi a Microsoft Defender Antivirus.
Attivare o disattivare la protezione dalle manomissioni in Microsoft Intune
Nell'interfaccia di amministrazione Intune passare a Endpoint Security>Antivirus e quindi scegliere + Crea criteri.
- Nell'elenco Piattaforma selezionare Windows 10, Windows 11 e Windows Server.
- Nell'elenco Profilo selezionare Sicurezza di Windows esperienza.
Creare un profilo che includa l'impostazione seguente:
- TamperProtection (Dispositivo): attivato
Completare la selezione di opzioni e impostazioni per i criteri.
Distribuire i criteri nei dispositivi.
Protezione da manomissioni per esclusioni antivirus
Se l'organizzazione ha esclusioni definite per Microsoft Defender Antivirus, la protezione dalle manomissioni protegge tali esclusioni, a condizione che siano soddisfatte tutte le condizioni seguenti:
Condizione | Criteri |
---|---|
piattaforma Microsoft Defender | I dispositivi eseguono Microsoft Defender piattaforma 4.18.2211.5 o versioni successive. Per altre informazioni, vedere Versioni mensili della piattaforma e del motore. |
DisableLocalAdminMerge impostazione |
Questa impostazione è nota anche come impedire l'unione di elenchi locali.
DisableLocalAdminMerge deve essere abilitato in modo che le impostazioni configurate in un dispositivo non vengano unite ai criteri dell'organizzazione, ad esempio le impostazioni in Intune. Per altre informazioni, vedere DisableLocalAdminMerge. |
Gestione dei dispositivi | I dispositivi vengono gestiti solo in Intune oppure vengono gestiti solo con Configuration Manager. Sense deve essere abilitato. |
Esclusioni antivirus | Microsoft Defender esclusioni antivirus vengono gestite in Microsoft Intune o Configuration Manager. Per altre informazioni, vedere Impostazioni per i criteri antivirus Microsoft Defender in Microsoft Intune per dispositivi Windows. La funzionalità per proteggere Microsoft Defender esclusioni antivirus è abilitata nei dispositivi. Per altre informazioni, vedere Come determinare se le esclusioni antivirus sono protette da manomissioni in un dispositivo Windows. |
Nota
Ad esempio, quando Configuration Manager viene usato esclusivamente per gestire le esclusioni e vengono soddisfatte le condizioni richieste, le esclusioni da Configuration Manager vengono protette da manomissioni. In questo caso, non è necessario eseguire il push delle esclusioni antivirus usando Microsoft Intune.
Per informazioni più dettagliate sulle esclusioni Microsoft Defender Antivirus, vedere Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender.
Come determinare se le esclusioni antivirus sono protette da manomissioni in un dispositivo Windows
È possibile usare una chiave del Registro di sistema per determinare se la funzionalità per proteggere Microsoft Defender esclusioni antivirus è abilitata. La procedura seguente descrive come visualizzare, ma non modificare, lo stato di protezione dalle manomissioni.
In un dispositivo Windows aprire Registro di sistema Editor. La modalità di sola lettura è valida. La chiave del Registro di sistema non viene modificata.
Per verificare che il dispositivo sia gestito solo da Intune o gestito solo da Configuration Manager, con Sense abilitato, controllare i valori della chiave del Registro di sistema seguenti:
-
ManagedDefenderProductType
(che si trova inComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
oHKLM\SOFTWARE\Microsoft\Windows Defender
) -
EnrollmentStatus
(che si trova inComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM
oHKLM\SOFTWARE\Microsoft\SenseCM
)
La tabella seguente riepiloga il significato dei valori della chiave del Registro di sistema:
ManagedDefenderProductType
valoreEnrollmentStatus
valoreSignificato del valore 6
(qualsiasi valore) Il dispositivo viene gestito solo con Intune.
Soddisfa un requisito per la protezione dalle esclusioni.7
4
Il dispositivo viene gestito con Configuration Manager.
Soddisfa un requisito per la protezione dalle esclusioni.7
3
Il dispositivo viene co-gestito con Configuration Manager e Intune.
Questo non è supportato per proteggere le esclusioni.Valore diverso da 6
o7
(qualsiasi valore) Il dispositivo non è gestito solo da Intune o solo Configuration Manager.
Le esclusioni non sono protette da manomissioni.-
Per verificare che la protezione da manomissione sia stata distribuita e che le esclusioni siano protette da manomissioni, controllare la chiave del
TPExclusions
Registro di sistema (che si trova inComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
oHKLM\SOFTWARE\Microsoft\Windows Defender\Features
).TPExclusions
Significato del valore 1
Le condizioni necessarie vengono soddisfatte e la nuova funzionalità per proteggere le esclusioni è abilitata nel dispositivo.
Le esclusioni sono protette da manomissioni.0
La protezione dalle manomissioni non protegge attualmente le esclusioni nel dispositivo.
Se vengono soddisfatti tutti i requisiti e questo stato sembra errato, contattare il supporto tecnico.
Attenzione
Non modificare il valore delle chiavi del Registro di sistema. Utilizzare la procedura precedente solo per informazioni. La modifica delle chiavi non ha alcun effetto sul fatto che la protezione da manomissione si applichi alle esclusioni.
Vedere anche
- Domande frequenti sulla protezione da manomissioni
- Defender per endpoint in dispositivi non Windows
- Risolvere i problemi relativi alla protezione da manomissioni
- Gestire Microsoft Defender per endpoint nei dispositivi con Microsoft Intune
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.