Configurazione di Microsoft Defender Antivirus in ambienti aziendali

Configurazione di Microsoft Defender Antivirus in ambienti aziendali

08/09/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare gli analisti della sicurezza, gli amministratori IT e gli ingegneri di sistema nella configurazione e nella gestione efficace di Microsoft Defender Antivirus (MDAV) negli ambienti aziendali. MDAV, che è parte integrante del sistema operativo Windows, si è evoluto da una soluzione di base a un componente robusto e fondamentale della strategia di sicurezza di Microsoft, offrendo protezione endpoint di prossima generazione contro un'ampia gamma di minacce, tra cui malware, ransomware e attacchi fileless [1].

Introduzione

In un panorama delle minacce informatiche in continua evoluzione, disporre di una soluzione antivirus affidabile e ben configurata è la prima linea di difesa per qualsiasi organizzazione. Microsoft Defender Antivirus, se gestito a livello centrale, offre una protezione potente che si integra perfettamente con l'ecosistema Microsoft, fornendo visibilità e controllo unificati. Questa guida tratterà i metodi più comuni per configurare Defender AV in ambienti aziendali, garantendo che la tua organizzazione sia protetta in modo coerente ed efficace.

Strumenti di gestione

Esistono diversi modi per gestire Microsoft Defender AV in un ambiente aziendale. I più comuni sono:

  • Microsoft Intune (consigliato): per le organizzazioni che utilizzano una gestione moderna basata sul cloud. Fornisce un'interfaccia centralizzata nel portale Microsoft Endpoint Manager per creare e distribuire criteri di sicurezza.
  • Criteri di gruppo (GPO): per le organizzazioni con un'infrastruttura Active Directory locale. Consente la configurazione tramite oggetti Criteri di gruppo.
  • Microsoft Endpoint Configuration Manager (MECM/SCCM): per la gestione su larga scala, spesso in ambienti ibridi.
  • PowerShell: per configurazioni e automazioni granulari o in blocco.

Questa guida si concentrerà sui due metodi più diffusi: Intune e GPO.

Prerequisiti

  • Sistema operativo: Windows 10, Windows 11 o Windows Server 2016 e versioni successive.
  • Accesso amministrativo: autorizzazioni di amministratore di Intune (per Intune) o di amministratore di dominio (per GPO).
  • Licenza: Defender AV è incluso in Windows. Le funzionalità avanzate (come Microsoft Defender per Endpoint) richiedono licenze aggiuntive (ad esempio: Microsoft 365 E5).

Configurazione di Defender AV con Microsoft Intune

Questo è l'approccio moderno e consigliato per i dispositivi gestiti dal cloud.

  1. Vai al portale Microsoft Intune: https://intune.microsoft.com.
  2. Passare a Sicurezza endpoint > Antivirus.
  3. Fare clic su Crea policy.
  4. Selezionare:
    • Piattaforma: "Windows 10 e versioni successive".
    • Profilo: Microsoft Defender Antivirus
  5. Fare clic su Crea.
  6. Nozioni di base: assegna un nome alla policy (ad esempio: Windows - Defender AV Default Policy) e una descrizione. Fare clic su Avanti.
  7. Impostazioni di configurazione: questo è il passaggio più importante. Configura le seguenti sezioni con le migliori pratiche:
    • Protezione cloud:
      • Abilita la protezione fornita dal cloud: "Sì". Essenziale per l'intelligence sulle minacce in tempo reale.
      • Livello di protezione fornito nel cloud: Alto. Offre un rilevamento più aggressivo.
      • Timeout esteso di Defender Cloud: 50 secondi. Offre al servizio cloud più tempo per analizzare i file sospetti.
    • Protezione in tempo reale:
      • Abilita protezione in tempo reale: . Il nucleo della protezione Defender.
      • Abilita monitoraggio del comportamento: .
      • Scansiona tutti i file e gli allegati scaricati: .
    • Verifica:
      • Pianifica un controllo rapido giornaliero: imposta un orario di utilizzo basso (es: 12:00).
      • Tipo di scansione pianificata: "Scansione rapida".
    • Esclusioni: configura attentamente le esclusioni per evitare violazioni della sicurezza. Utilizza la policy Microsoft Defender Antivirus Exclusions per gestire questa situazione a livello centrale.
  8. Assegnazioni: assegna la policy a un gruppo di dispositivi Azure AD.
  9. Rivedi e crea: rivedi e crea la policy.

Configurazione di Defender AV con Criteri di gruppo (GPO)

Per ambienti con Active Directory locale.

  1. Apri l'Editor Gestione Criteri di gruppo.
  2. Creane uno suvo GPO o modificarne uno esistente e collegarlo all'unità organizzativa (unità organizzativa) desiderata.
  3. Passare a "Configurazione computer > Modelli amministrativi > Componenti di Windows > Microsoft Defender Antivirus".
  4. Configura le seguenti policy (imposta su "Abilitato" e modifica le opzioni):
    • Disabilita Microsoft Defender Antivirus: imposta su "Disabilitato" per assicurarti che sia sempre attivo.
    • Protezione in tempo reale:
      • "Abilita monitoraggio del comportamento".
      • "Scansiona tutti i file e gli allegati scaricati".
      • Monitora l'attività di file e programmi sul tuo computer
    • MAPPE (equivalente a Cloud Protection):
      • "Unisciti a Microsoft MAPS": seleziona "MAPS avanzate".
      • Configura la funzione 'Blocca al primo sguardo':Abilitata`.
    • Verifica:
      • Configura le opzioni di scansione pianificata come "Tipo di scansione" e "Giorno di scansione".

Convalida e monitoraggio

  • Locale: su un dispositivo client, apri l'app Sicurezza di Windows per verificare che le impostazioni "Protezione da virus e minacce" siano gestite dalla tua organizzazione.
  • Tramite PowerShell: esegui il comando Get-MpComputerStatus per visualizzare lo stato dell'antivirus, incluso AMRunningMode (dovrebbe essere "Normale") e le date delle firme.
  • Portale Microsoft 365 Defender: se disponi di Defender per Endpoint, il portale (security.microsoft.com) offre report dettagliati sull'integrità dell'antivirus su tutti i tuoi dispositivi in ​​Report > Integrità del dispositivo.

Conclusione

Configurare correttamente Microsoft Defender Antivirus è un passaggio fondamentale per proteggere gli endpoint di un'organizzazione. Sia attraverso la gestione moderna con Microsoft Intune che la gestione tradizionale con gli oggetti Criteri di gruppo, l'applicazione coerente delle policy di sicurezza garantisce che la prima linea di difesa della tua azienda sia solida, resiliente e sempre aggiornata contro le minacce più recenti. Il monitoraggio continuo tramite i portali Microsoft chiude il ciclo, fornendo la visibilità necessaria per garantire la conformità e la sicurezza del tuo ambiente.

Riferimenti

[1]Microsoft. (2023). Antivirus Microsoft Defender in Windows. [2]Microsoft. (2023). Gestisci Microsoft Defender Antivirus con Microsoft Intune. [3]Microsoft. (2023). Utilizzare le impostazioni dei Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus.