/
  • Last updated
/
  • 13 min read

Configurare la protezione di rete di Windows Defender Exploit Guard in Windows

Configurare la protezione di rete di Windows Defender Exploit Guard in Windows Immagine del banner del blog

Di fronte alle truffe di phishing e ad altri contenuti online dannosi, la protezione di rete di Windows Defender Exploit Guard può creare un livello di sicurezza sugli endpoint. Questa guida illustra diversi modi per configurare la protezione di rete di Windows Defender, in modo che tu possa aiutare la tua infrastruttura IT a resistere agli attacchi informatici.

Procedura per configurare la protezione di rete di Windows Defender

  • Utilizzando l’editor dei criteri di gruppo locali:

    • Premi la combinazione di tasti Windows + R, digita gpedit.msc e premi Invio.
    • Nella cartella Protezione di rete, attiva il criterio “Impedisci a utenti e app di accedere a siti Web pericolosi”.

  • Utilizzando PowerShell elevato:

    • Premi la combinazione di tasti Windows + S e digita powershell. Clicca su Esegui come amministratore in corrispondenza dell’icona di Windows PowerShell.
    • Inserisci il cmdlet Set-MpPreference -EnableNetworkProtection Enabled e premi Invio.

  • Utilizzando l’applicazione WindowsSecurity:

    • Apri Windows Security dal menu Start, digitando security e premendo Invio.
    • Seleziona Controllo di app e browser, Impostazioni di protezione dagli exploit e Impostazioni dei programmi. Scegli le app a cui vuoi applicare le riduzioni del rischio tramite protezione dagli exploit.

  • Verifica le impostazioni attraverso l’editor del Registro di sistema:

    • Premi la combinazione di tasti Windows + R, digita regedit e premi Invio. Vai alla chiave di registro di Network Protection tramite questo percorso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection.
    • Dopo aver selezionato il criterio EnableNetworkProtection nella cartella Network Protection, controlla il valore corrispondente per verificare se Network Protection è disabilitato (0), abilitato (1) o in modalità audit (2).

  • Verifica manualmente le pagine Web tramite il Visualizzatore eventi di Windows:

    • Apri il menu Start, digita visualizzatore eventi e clicca su Visualizzatore eventi.
    • Nella cartella Windows Defender, fai riferimento all’ID evento 1125 per esaminare i log delle pagine Web segnalate dalla protezione di rete.

Informazioni sulla protezione di rete in Windows 10/11

Prima di passare all’impostazione di Protezione di rete, definiamo innanzitutto cos’è Protezione di rete in Windows 10/11 e come difende i dispositivi dalle minacce online.

Che cos’è la protezione di rete di Windows Defender Exploit Guard ?

Exploit Guard è parte integrante delle operazioni di Windows Defender. È apparso per la prima volta nella versione 1709 di Windows 10. La protezione di rete di Windows Defender Exploit Guard utilizza l’Intelligent Security Graph (ISG), un vasto database che comprende informazioni sulla sicurezza di tutti i prodotti e servizi Microsoft, per determinare e analizzare schemi e pratiche comuni tra gli attacchi informatici emergenti.

Windows Defender Exploit Guard opera attraverso quattro componenti:

  • Riduzione della superficie di attacco: Si concentra sul blocco delle minacce provenienti da Microsoft Office, dagli script e dalle e-mail.
  • Accesso controllato alle cartelle: Si tratta di limitare l’accesso ai dati sensibili contenuti nei file e nelle cartelle del computer.
  • Protezione dagli exploit: Ciò comporta la configurazione di riduzione del rischio degli exploit per il sistema e le applicazioni.
  • Protezione di rete: Si concentra sulla protezione del dispositivo dalle minacce basate sul Web, che solitamente agiscono attraverso domini e IP ingannevoli.

In questa guida ci concentreremo sul componente di protezione di rete di Exploit Guard.

In che modo Protezione di rete di Windows Defender aiuta a prevenire l’accesso a domini potenzialmente pericolosi e a siti di phishing

Nonostante il rafforzamento delle misure di sicurezza informatica, gli aggressori su Internet hanno imparato ad adattarsi, migliorando le strategie per rubare le informazioni. Lo fanno attraverso metodi quali phishing, truffe, social engineering, accesso non autorizzato a un centro di comando e controllo (C&C) e altro ancora.

La protezione di rete in Windows 10/11 ha lo scopo di individuare e terminare le connessioni in uscita verso domini potenzialmente pericolosi. Utilizza le informazioni raccolte dall’ISG e i controlli di reputazione basati sugli indirizzi IP dei domini. Questa capacità di filtraggio blocca e sospende la connessione, una volta riconosciuto un dominio come potenziale fonte di attacchi.

Confronto tra Protezione di rete di Windows Defender e altre funzioni di sicurezza di Microsoft Defender

La Protezione di rete di Windows Defender presenta numerose analogie con Microsoft Defender SmartScreen, uno strumento anti-malware integrato in Microsoft Edge. Entrambi gli strumenti aiutano a proteggere i computer da attacchi di phishing e da file e programmi sospettati di essere dannosi. Inoltre, entrambi gli strumenti utilizzano l’ISG per identificare possibili attacchi informatici.

E anche se entrambi hanno lo scopo di proteggere il sistema, si differenziano per il meccanismo. SmartScreen analizza le pagine web sospette, controlla i download recenti e notifica all’utente una potenziale minaccia online attraverso un sistema di avviso rapido. Invece la Protezione di rete interrompe prontamente la connessione in uscita al primo segnale di pericolo, impedendo agli aggressori di stabilire un contatto con gli utenti vulnerabili.

Prerequisiti e requisiti di sistema per Protezione di rete

Versioni Windows supportate dalla protezione di rete di Exploit Guard

Di seguito sono elencate le versioni di Windows che supportano Windows Defender e, per estensione, Protezione di rete di Exploit Guard:

Windows 10 Windows 11 Windows Server
  • Windows 10 Enterprise
  • Windows 10 Enterprise LTSC 2016 (o versioni successive)
  • Windows 10 IoT Enterprise (inclusa LTSC)
  • Windows 10 Education
  • Windows 10 Pro
  • Windows 10 Pro Education
  • Windows 10 Arm
  • Windows 11 Enterprise
  • Windows 11 IoT Enterprise
  • Windows 11 Education
  • Windows 11 Pro
  • Windows 11 Pro Education
  • Windows 11 Arm
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server (versione 1803 o successive)
  • Windows Server 2019 (e versioni successive)
  • Windows Server 2019 (core edition)
  • Windows Server 2022
  • Windows Server 2022 (edizione core)
  • Windows Server 2025

Requisiti di licenza per Windows Defender Protezione di rete

Se il computer utilizza una piattaforma di sicurezza di livello enterprise chiamata Microsoft Defender for Endpoint, sarà necessario che soddisfi i seguenti requisiti di licenza per la Protezione di rete di Windows Defender:

  • Microsoft Defender per Endpoint Piano 1
  • Microsoft Defender per Endpoint Piano 2
  • Microsoft Defender for Business

Le prime due possono essere licenze indipendenti o parte di altri piani Microsoft 365, mentre l’ultima è solitamente riservata alle piccole e medie imprese.

Autorizzazioni necessarie per Windows Defender Protezione di rete

Per attivare la Protezione di rete sul dispositivo, devi disporre delle autorizzazioni di livello amministratore per configurare le impostazioni in Windows Defender. Se il tuo computer è di proprietà privata, dovresti già disporre di tali autorizzazioni per impostazione predefinita. Tuttavia, se il dispositivo è di proprietà dell’azienda, potresti dover chiedere al team IT l’accesso come amministratore.

Attraverso Microsoft Defender for Endpoint, un amministratore può utilizzare il controllo degli accessi basato sui ruoli (RBAC) per gestire le autorizzazioni e assegnare ruoli a diversi utenti o gruppi di utenti. Con RBAC, puoi modificare l’accesso di altri utenti al portale Defender for Endpoint. Gli utenti possono quindi attivare la Protezione di rete sui propri dispositivi.

Metodi per attivare la protezione di rete in Exploit Guard di Windows Defender

Dopo aver parlato di tutto ciò che è necessario sapere su Protezione di rete, vediamo come attivare la funzione.

Utilizzare l’editor Criteri di gruppo per attivare Protezione di rete di Windows Defender

  1. Apri l’editor Criteri di gruppo locali premendo la combinazione di tasti Windows + R. Digita gpedit.msc e clicca su OK.
  2. Nella sezione di sinistra della finestra, vai alla cartella Protezione di rete seguendo la procedura descritta di seguito:

Configurazione del computerModelli amministrativiComponenti di WindowsWindows Defender AntivirusWindows Defender Exploit GuardProtezione di rete

  1. Nella sezione di destra della finestra, clicca due volte su Impedisci agli utenti e alle app di accedere a siti Web pericolosi. In questo modo potrai modificare il criterio.
  2. Seleziona Abilitato, quindi Blocca in Opzioni e clicca su OK.

Se ti trovi a gestire diversi endpoint in un ambiente enterprise e vuoi abilitare la protezione di rete su di essi, procedi come segue:

  1. Apri la Console di gestione dei Criteri di gruppo (GPMC) premendo la combinazione di tasti Windows + R. Digita gpmc.msc e clicca su OK.
  2. Clicca due volte su Oggetti Criteri di gruppo e cerca l’oggetto Criteri di gruppo (GPO) che vuoi modificare. Clicca con il pulsante destro del mouse su questo GPO e quindi clicca su Modifica.
  3. Ripeti i punti 2-4 della sezione precedente.

Abilitare la protezione di rete di Windows Defender tramite PowerShell

  1. Apri un PowerShell elevato premendo la combinazione di tasti Windows + S. Digita powershell e clicca su Esegui come amministratore sotto l’icona di Windows PowerShell.
  2. Digita Set-MpPreference -EnableNetworkProtection Enabled e premi Invio.
  3. Chiudi PowerShell elevato e riavvia il computer.

Puoi anche verificare se la Protezione di rete è stata abilitata utilizzando il cmdlet “Get-MpPreference”. Il numero accanto alla proprietà “EnableNetworkProtection” indicherà uno dei seguenti stati:

  • 0 — Disabilitato
  • 1 — Abilitato
  • 2 — Modalità Audit

Abilitare le riduzioni del rischio con la protezione dagli exploit tramite l’applicazione WindowsSecurity

  1. Apri l’applicazione Sicurezza di Windows dal menu Start, digitando sicurezza nella barra di ricerca e premendo Invio.
  2. Clicca sul riquadro di controllo di app e browser e seleziona Impostazioni di protezione dagli exploit.
  3. Vai alle impostazioni dei programmi e scegli le app a cui si desideri applicare le riduzioni del rischio con la protezione dagli exploit.
    • Seleziona l’app e poi clicca su Modifica se l’applicazione è già presente nell’elenco.
    • Altrimenti, seleziona Aggiungi programma alla personalizzazione per aggiungere l’app.
  1. Scegli quali riduzioni del rischio attivare per l’app selezionata. Ripeti questa procedura fino a quando non hai applicato tutte le configurazioni di cui hai bisogno. Tieni a mente che potresti ricevere una richiesta di riavvio del processo, dell’applicazione o persino di Windows.
  2. Per configurare una specifica riduzione del rischio della protezione dagli exploit, vai su Impostazioni di sistema e specifica una delle seguenti impostazioni:
    • Attivato per impostazione predefinita 
    • Disattivato per impostazione predefinita
    • Utilizza l’impostazione predefinita (dipende dalla configurazione predefinita scelta durante l’installazione di Windows 10/11)
  1. Infine, una volta apportate tutte le modifiche desiderate, clicca su Applica.

Verifica e test della protezione di rete in Windows 10/11

Metodi per confermare che la Protezione di rete di Windows Defender è attiva

Nella sezione PowerShell abbiamo spiegato brevemente come verificare se la Protezione di rete è abilitata sul dispositivo. Questa operazione può essere eseguita anche attraverso l’editor del Registro di sistema. Ecco come:

  1. Apri l’editor del Registro di sistema cliccando sul pulsante Start. Digita regedit e premi Invio. Nel pannello di sinistra, seleziona HKEY_LOCAL_MACHINE.
  2. Vai su Network Protection. Puoi seguire uno di questi percorsi:
    1. SOFTWAREPoliciesMicrosoftWindows DefenderWindows Defender Exploit GuardNetwork Protection
    2. SOFTWAREMicrosoftWindows DefenderWindows Defender Exploit GuardNetwork Protection
  3. Clicca su EnableNetworkProtection e verifica se la protezione di rete è abilitata, disabilitata o in modalità audit utilizzando i seguenti valori di riferimento:
    • 0 — Disabilitato
    • 1 — Abilitato
    • 2 — Modalità Audit

Testare gli URL bloccati e controllare i log nel Centro sicurezza di Microsoft Defender

Per controllare gli URL e i log specifici a cui hai bloccato l’accesso per più endpoint in Protezione di rete, segui questa procedura:

  1. Accedere al portale Microsoft Defender.
  2. Clicca su Impostazioni nel pannello di sinistra, quindi clicca su Endpoint.
  3. In Regole, seleziona Indicatori.
  4. Gli URL bloccati dovrebbero essere mostrati in URL/Domini.

Risoluzione dei problemi durante la configurazione della Protezione di rete

Problemi comuni quando si attiva la Protezione di rete di Windows Defender

Poiché il dispositivo utilizza la Protezione di rete per registrare in tempo reale le pagine Web a cui accedi, è possibile che un sito Web sicuro venga etichettato come una minaccia (falso positivo) o un sito Web dannoso come sicuro (falso negativo).

Quando si verifica questo scenario, puoi segnalare il sito Web contrassegnato come falso positivo/negativo tramite questo modulo di Windows Defender Security Intelligence.

Inoltre, la protezione di rete può rallentare le prestazioni del computer o la connettività a Internet, poiché funziona attivamente e in modo continuo per monitorare e bloccare le potenziali minacce online. Se il problema persiste nonostante Windows Defender sia aggiornato, prova a passare alla modalità audit della protezione di rete procedendo come segue:

  1. Apri un PowerShell elevato.
  2. Digita Set-MpPreference -EnableNetworkProtection AuditMode e premi Invio.

In modalità audit, Protezione di rete autorizza tutte le connessioni ma segnala comunque i possibili rischi, lasciando all’utente la possibilità di gestirli direttamente. Tutti i log possono essere visualizzati nel Visualizzatore eventi di Windows di cui parleremo nella prossima sezione.

Log e visualizzazione eventi per il debug in Protezione di rete

Per visualizzare gli eventi di Protezione di rete che sono stati registrati in modalità audit, procedi come segue:

  1. Apri il Visualizzatore eventi di Windows cliccando sul pulsante Start, digitando visualizzatore eventi e selezionando Visualizzatore eventi.
  2. Vai alla cartella Windows Defender utilizzando questo percorso:

Log di applicazioni e serviziMicrosoftWindows Windows Defender

  1. Utilizza l’ID evento 1125 per filtrare gli eventi attivati da Protezione di rete in modalità audit. Da qui, puoi gestire le pagine Web segnalate da Protezione di rete e contrassegnarle come minacce.

Disabilitare la Protezione di rete di Windows Defender, se necessario

Anche se di solito sconsigliamo di disattivare Windows Defender, ricordati che Windows Defender viene disabilitato automaticamente quando utilizzi un programma antivirus di terze parti. L’uso contemporaneo dei due strumenti di sicurezza può causare problemi di compatibilità e rallentare le prestazioni dell’endpoint.

Se preferisci utilizzare uno strumento antivirus non Windows e desideri disattivare Windows Defender:

  1. Apri un PowerShell elevato.
  2. Digita Set-MpPreference -EnableNetworkProtection Disabled e premi Invio.

Best practice per gli amministratori IT quando si abilita la Protezione di rete in Windows

Combinazione di Protezione di rete con altre funzioni di sicurezza di Windows

Per ottimizzare ulteriormente la protezione del dispositivo dagli attacchi informatici, ti consigliamo di attivare Protezione rete insieme a queste funzionalità di sicurezza di Windows:

  • Protezione Web: Come parte di Microsoft Defender for Endpoint, Protezione Web fornisce il filtraggio dei contenuti e il supporto per indicatori di compromissione personalizzati.
  • Protezione dagli exploit: Integrato nel sistema operativo come componente di Windows Defender Exploit Guard, la protezione dagli Exploit è utile per difendersi da malware (che possono avere la forma di programmi e applicazioni apparentemente inoffensivi).
  • Windows Firewall: Abilitato per impostazione predefinita su tutti i dispositivi Windows, limita l’accesso tra il dispositivo e i domini online ritenuti non affidabili (di solito in base al software installato e alle autorizzazioni preapprovate).

Configurazione delle esclusioni per i domini attendibili in Protezione di rete

La creazione di un elenco di domini e IP affidabili tramite Protezione di rete riduce il numero di falsi positivi e le interruzioni inutili per gli utenti finali. Puoi consentire l’accesso a un dominio specifico attraverso questi passaggi:

  1. Accedi al portale Microsoft Defender.
  2. Clicca su Impostazioni e poi su Endpoint.
  3. In Regole, seleziona Indicatori.
  4. Clicca su URL/Domini, quindi su Aggiungi elemento.
  5. Digita il dominio del sito e imposta l’azione del criterio su Consenti.

Monitoraggio dei log di sicurezza per ottenere informazioni sulle minacce in Protezione di rete

Per un approccio più diretto alla visualizzazione dei log di sicurezza e alle relative azioni a partire da essi, puoi utilizzare la modalità audit di Protezione di rete, il Visualizzatore eventi di Windows oppure entrambi. L’aggiornamento regolare dell’elenco dei domini consentiti e bloccati consente inoltre di ridurre al minimo i passaggi per impedire l’accesso a domini potenzialmente pericolosi.

Importanza complessiva della Protezione di rete di Windows Defender

Abilitare la Protezione di rete di Windows Defender offre diversi vantaggi in termini di protezione dei dispositivi e dei dati personali o aziendali. Può rafforzare le misure di sicurezza online per i personal computer. Inoltre, può aiutare a impedire la comunicazione tra un dominio non sicuro e gli endpoint gestiti dall’azienda.

Gli utenti possono attivare la Protezione di rete di Windows Defender in diversi modi. La funzionalità può integrare altri strumenti anti-malware basati su Windows per rafforzare le difese contro i più recenti cyberattacchi e virus. Ricordati di aggiornare regolarmente Windows Defender Exploit Guard per una protezione più solida e aggiornata contro le minacce emergenti.

Inizia la tua prova gratuita

Potresti trovare interessante anche

Nascondi Protezione account in Windows Sicurezza in Windows 10 e Windows 11 Immagine del banner del blog

Nascondere Protezione account in Sicurezza di Windows, in Windows 10 e Windows 11

Come disabilitare le unità USB su Windows 11 e Windows 10 Immagine banner del blog

Come disabilitare le unità USB in Windows 11 e Windows 10

Best practice di configurazione VPN per Windows

Guida utente: Best practice di configurazione VPN per Windows

Come gli articoli KB e i CVE interagiscono per proteggere il tuo sistema

Decodifica la sicurezza di Windows: Come gli articoli KB e i CVE interagiscono per proteggere il tuo sistema

Cos'è la conformità al Digital Operational Resilience Act (DORA)

Cos’è la conformità al Digital Operational Resilience Act (DORA)

colaboración entre TI y Seguridad

La collaborazione tra IT e sicurezza è la nuova normalità

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto