Attivare la protezione di rete

La protezione di rete consente di impedire agli utenti di usare qualsiasi applicazione per accedere a domini pericolosi che potrebbero ospitare truffe di phishing, exploit e altri contenuti dannosi su Internet. È possibile controllare la protezione di rete in un ambiente di test per visualizzare quali app verrebbero bloccate prima di abilitare la protezione di rete.

Altre informazioni sulle opzioni di configurazione del filtro di rete.

Prerequisiti

Sistemi operativi supportati

• Windows
• Linux (vedere Protezione di rete per Linux)
• macOS (vedere Protezione di rete per macOS)

Abilitare la protezione di rete

Per abilitare la protezione di rete, è possibile usare uno dei metodi descritti in questo articolo.

gestione delle impostazioni di sicurezza Microsoft Defender per endpoint

Creare criteri di sicurezza degli endpoint

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri disicurezza degli endpointdi gestione degliendpoint di gestione >degli> endpoint. In alternativa, per passare direttamente alla pagina Criteri di sicurezza degli endpoint , usare https://security.microsoft.com/policy-inventory.

2. Nella scheda Criteri di Windows della pagina Criteri di sicurezza degli endpoint selezionare Crea nuovo criterio.

3. Nel riquadro a comparsa Crea un nuovo criterio aperto configurare le impostazioni seguenti:

   • Selezionare piattaforma: selezionare Windows.
   • Selezionare il modello: selezionare Microsoft Defender AntiVirus.

   Selezionare Crea criterio.

4. Verrà visualizzata la procedura guidata Crea un nuovo criterio . Nella scheda Informazioni di base configurare le impostazioni seguenti:

   • Nome: immettere un nome univoco descrittivo per il criterio.
   • Descrizione: immettere una descrizione facoltativa.

   Seleziona Avanti.

5. Nella scheda Impostazioni di configurazione espandere Defender e quindi selezionare un valore per Abilita protezione di rete in base al sistema operativo:

   • Client Windows e server Windows: i valori disponibili sono:

     • Abilitato (modalità blocco):è necessaria la modalità blocco per bloccare gli indicatori di indirizzo IP/URL e il filtro contenuto Web.
     • Abilitato (modalità di controllo)
     • Disabilitato (impostazione predefinita)
     • Non configurata

   • Windows Server 2016 e Windows Server 2012 R2: è anche necessario configurare l'impostazione Consenti livello di inattività protezione rete nella sezione Azione predefinita gravità minaccia. I valori disponibili sono i seguenti:

     • La protezione di rete verrà abilitata a livello inferiore
     • Protezione di rete verrà disabilitata a livello inferiore. (Predefinito)
     • Non configurata

   • Impostazioni di protezione di rete facoltative per i client Windows e i server Windows:

     • Consenti elaborazione datagramma nel server Win: i valori disponibili sono:

       • L'elaborazione dei datagrammi in Windows Server è abilitata

       • L'elaborazione dei datagrammi in Windows Server è disabilitata (impostazione predefinita): questo valore è consigliabile per tutti i ruoli del server che generano volumi elevati di traffico UDP. Ad esempio:

         • Controller di dominio
         • Server DNS Windows
         • File server Windows
         • Server MICROSOFT SQL
         • Server di Microsoft Exchange

         La disabilitazione dell'elaborazione dei datagrammi in questi server consente di mantenere stabile la rete e garantisce un migliore uso delle risorse di sistema in ambienti a richiesta elevata. L'abilitazione dell'elaborazione dei datagrammi in questi server può ridurre le prestazioni e l'affidabilità della rete.

       • Non configurata

     • Disabilitare l'analisi DNS su TCP
       • L'analisi DNS su TCP è disabilitata
       • L'analisi DNS su TCP è abilitata (impostazione predefinita)
       • Non configurata
     • Disabilitare l'analisi HTTP
       • L'analisi HTTP è disabilitata
       • L'analisi HTTP è abilitata (impostazione predefinita)
       • Non configurata
     • Disabilitare l'analisi SSH
       • L'analisi SSH è disabilitata
       • L'analisi SSH è abilitata (impostazione predefinita)
       • Non configurata
     • Disabilitare l'analisi TLS
       • L'analisi TLS è disabilitata
       • L'analisi TLS è abilitata (impostazione predefinita)
       • Non configurata
     • [Deprecato] Abilitare sinkhole DNS
       • Sinkhole DNS disabilitato
       • Sinkhole DNS abilitato. (Predefinito)
       • Non configurata

   Al termine, nella scheda Impostazioni di configurazione selezionare Avanti.

6. Nella scheda Assegnazioni fare clic nella casella di ricerca o iniziare a digitare un nome di gruppo e quindi selezionarlo dai risultati.

   È possibile selezionare Tutti gli utenti o Tutti i dispositivi.

   Quando si seleziona un gruppo personalizzato, è possibile usare tale gruppo per includere o escludere i membri del gruppo.

   Al termine della scheda Assegnazioni , selezionare Avanti.

7. Nella scheda Rivedi e crea esaminare le impostazioni e quindi selezionare Salva.

Microsoft Intune

Microsoft Defender per endpoint metodo Baseline

Per configurare la protezione di rete come parte di una baseline di sicurezza in Microsoft Intune, vedere Creare un profilo per una baseline di sicurezza (si apre in una nuova scheda nella documentazione Intune). Quando si crea il profilo, usare queste impostazioni:

• Baseline: baseline di sicurezza Microsoft Defender per endpoint
• Impostazioni di configurazione: espandere Defender e impostare Abilita protezione di rete su Abilitato (modalità blocco) o Abilitato (modalità di controllo)

Per altre informazioni sulle baseline di sicurezza in Microsoft Intune, vedere Informazioni sulle baseline di sicurezza Intune per i dispositivi Windows.

Dopo aver creato e assegnato il profilo, tornare a questo articolo per continuare con la verifica.

Metodo dei criteri antivirus

Per configurare la protezione di rete usando un criterio antivirus per la sicurezza degli endpoint Microsoft Intune, vedere Creare criteri di sicurezza degli endpoint (viene visualizzata in una nuova scheda nella documentazione Intune). Quando si creano i criteri, usare queste impostazioni:

• Tipo di criterio: Antivirus
• Piattaforma: Windows
• Profilo: antivirus Microsoft Defender
• Impostazioni di configurazione: impostare Abilita protezione di rete su Abilitato (modalità blocco) per l'imposizione o Abilitato (modalità di controllo) per valutare l'impatto prima dell'imposizione

Per altre informazioni sui profili antivirus Microsoft Defender in Microsoft Intune, vedere Criteri antivirus per la sicurezza degli endpoint.

Dopo aver creato e assegnato i criteri, tornare a questo articolo per continuare con la verifica.

Metodo del profilo di configurazione del dispositivo

Per configurare la protezione di rete usando un profilo di configurazione del dispositivo Microsoft Intune, vedere Aggiungere le impostazioni di Endpoint Protection in Intune (si apre in una nuova scheda nella documentazione di Intune). Quando si crea il profilo, usare queste impostazioni:

• Piattaforma: Windows 10 e versioni successive
• Tipo di profilo: Modelli > Endpoint Protection
• Impostazioni di configurazione: espandere Microsoft Defenderfiltro di reteexploit guard> e impostare Protezione di rete su Abilita o controlla

Per altre informazioni sull'impostazione protezione rete e sui valori disponibili, vedere Impostazioni di filtro di rete per Endpoint Protection.

Dopo aver creato e assegnato il profilo, tornare a questo articolo per continuare con i metodi di verifica e distribuzione alternativi.

Gestione di dispositivi mobili (MDM)

1. Usare il provider di servizi di configurazione EnableNetworkProtection (CSP) per attivare o disattivare la protezione di rete o per abilitare la modalità di controllo.

2. Aggiornare Microsoft Defender piattaforma antimalware alla versione più recente prima di attivare o disattivare la protezione di rete.

Criteri di gruppo

Usare la procedura seguente per abilitare la protezione di rete nei computer aggiunti a un dominio o in un computer autonomo.

1. In un computer autonomo passare a Start , quindi digitare e selezionare Modifica criteri di gruppo.

   -O-

   In un computer di gestione Criteri di gruppo aggiunto a un dominio aprire Criteri di gruppo Management Console. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

2. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

3. Espandere l'albero in Componenti> di Windows Microsoft Defender Antivirus> Microsoft Defenderprotezione della reteexploit guard>.

   Nelle versioni precedenti di Windows, il percorso di Criteri di gruppo potrebbe avere Windows Antivirus Defender anziché Microsoft Defender Antivirus.

4. Fare doppio clic sull'impostazione Impedisci agli utenti e alle app di accedere a siti Web pericolosi e impostare l'opzione su Abilitato. Nella sezione opzioni è necessario specificare una delle opzioni seguenti:

   • Blocca: gli utenti non possono accedere a domini e indirizzi IP dannosi.
   • Disabilita (impostazione predefinita): la funzionalità protezione rete non funziona. Agli utenti non viene impedito l'accesso a domini dannosi.
   • Modalità di controllo: se un utente visita un dominio o un indirizzo IP dannoso, viene registrato un evento nel registro eventi di Windows. Tuttavia, all'utente non viene impedito di visitare l'indirizzo.

   Importante

   Per abilitare completamente la protezione di rete, è necessario impostare l'opzione Criteri di gruppo su Abilitato e selezionare Blocca anche nel menu a discesa opzioni.

5. Questo passaggio è facoltativo. Seguire la procedura descritta in Verificare se la protezione di rete è abilitata per verificare che le impostazioni di Criteri di gruppo siano corrette.

Microsoft Configuration Manager

1. Aprire la console di Service Manager.

2. Passare ad Asset e conformità>Endpoint Protection>Windows Defender Exploit Guard.

3. Selezionare Crea criteri di Exploit Guard dalla barra multifunzione per creare un nuovo criterio.

4. Per modificare un criterio esistente, selezionare il criterio, quindi selezionare Proprietà dalla barra multifunzione o dal menu di scelta rapida. Modificare l'opzione Configura protezione di rete dalla scheda Protezione rete .

5. Nella pagina Generale specificare un nome per i nuovi criteri e verificare che l'opzione Protezione di rete sia abilitata.

6. Nella pagina Protezione di rete selezionare una delle impostazioni seguenti per l'opzione Configura protezione di rete :

   • Blocca
   • Audit
   • Disabled

7. Completare il resto dei passaggi e salvare i criteri.

8. Nella barra multifunzione selezionare Distribuisci per distribuire i criteri in una raccolta.

PowerShell

1. Nel dispositivo Windows selezionare Start, digitare powershell, fare clic con il pulsante destro del mouse su Windows PowerShell e quindi scegliere Esegui come amministratore.

2. Eseguire il seguente cmdlet:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. Per Windows Server, usare i comandi aggiuntivi elencati nella tabella seguente:

   Versione di Windows Server	Comandi
   Windows Server 2019 e versioni successive	Set-MpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2 con l'agente unificato per Microsoft Defender per endpoint	Set-MpPreference -AllowNetworkProtectionDownLevel $true Set-MpPreference -AllowNetworkProtectionOnWinServer $true

1. Questo passaggio è facoltativo. Per impostare la protezione di rete in modalità di controllo, usare il cmdlet seguente:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   Per disattivare la protezione di rete, usare il Disabled parametro anziché AuditMode o Enabled.

Verificare se la protezione di rete è abilitata

È possibile usare l'editor del Registro di sistema per controllare lo stato della protezione di rete.

1. Aprire l'editor del Registro di sistema, ad esempio eseguire regedit.exe.

2. Passare al percorso seguente: HKEY_LOCAL_MACHINE>Criteri>SOFTWARE>Microsoft>Windows Defender>Policy Manager

   Se tale percorso non esiste, passare a HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

3. Selezionare EnableNetworkProtection per visualizzare lo stato corrente della protezione di rete nel dispositivo:

   • 0 è disattivato
   • 1 è attivato
   • 2 è la modalità di controllo

   

Informazioni importanti sulla rimozione delle impostazioni di Exploit Guard da un dispositivo

Quando si distribuiscono criteri di Exploit Guard usando Configuration Manager, le impostazioni rimangono nel client anche se in seguito si rimuove la distribuzione. Se la distribuzione viene rimossa, i log Delete client non sono supportati nel ExploitGuardHandler.log file.

Per rimuovere correttamente le impostazioni di Exploit Guard, usare lo script di PowerShell seguente nel SYSTEM contesto:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"

$defenderObject.AttackSurfaceReductionRules = $null

$defenderObject.AttackSurfaceReductionOnlyExclusions = $null

$defenderObject.EnableControlledFolderAccess = $null

$defenderObject.ControlledFolderAccessAllowedApplications = $null

$defenderObject.ControlledFolderAccessProtectedFolders = $null

$defenderObject.EnableNetworkProtection = $null

$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"

$exploitGuardObject.ExploitProtectionSettings = $null

$exploitGuardObject.Put()

Vedere anche

• Protezione di rete
• Protezione di rete per Linux
• Protezione di rete per macOS
• Protezione di rete e handshake a tre vie TCP
• Valutare la protezione di rete
• Risolvere i problemi di protezione di rete