Convalida integrità sicurezza di Windows propone le impostazioni che possono essere configurate in base ai requisiti della distribuzione.
Impostazioni Convalida integrità sicurezza di Windows
È possibile configurare le impostazioni Convalida integrità sicurezza di Windows seguenti per i criteri.
Firewall
Per utilizzare l'impostazione Firewall attivo per tutte le connessioni di rete, il software firewall in esecuzione nel computer client deve essere Windows Firewall o un altro software firewall compatibile con Centro sicurezza PC Windows.
Il software firewall non compatibile con Centro sicurezza PC Windows non può essere gestito o rilevato da Agente integrità sicurezza di Windows nel computer client.
Se si seleziona Firewall attivo per tutte le connessioni di rete, Agente integrità sicurezza di Windows nel computer client verifica se il software firewall è in esecuzione nel client ed esegue le operazioni seguenti:
-
Se il computer client non esegue il software firewall, tale computer viene limitato a una rete di monitoraggio e aggiornamento fino a quando il software firewall non verrà installato ed eseguito.
-
Se l'unico software firewall in esecuzione nel computer client non è compatibile con Centro sicurezza PC Windows, Agente integrità sicurezza di Windows segnala al servizio Protezione accesso alla rete che non è abilitato alcun firewall e il computer client viene limitato a una rete di monitoraggio e aggiornamento.
Importante | |
Se si seleziona Firewall attivo per tutte le connessioni di rete e i computer client non eseguono Windows Firewall o un altro software firewall compatibile con Centro sicurezza PC Windows, i computer client non potranno connettersi alla rete. |
Se non si seleziona Firewall attivo per tutte le connessioni di rete, Agente integrità sicurezza di Windows nel computer client non eseguirà alcun controllo e ai computer client che non eseguono il software firewall non verrà impedito di connettersi alla rete.
Monitoraggio e aggiornamento automatici
Se si seleziona Firewall attivo per tutte le connessioni di rete, si attiva la funzionalità di monitoraggio e aggiornamento automatici di Protezione accesso alla rete e Agente integrità sicurezza di Windows nel computer client segnalerà che non è attivato alcun firewall e quindi Convalida integrità sicurezza di Windows indicherà ad Agente integrità sicurezza di Windows nel computer client di attivare Windows Firewall.
Importante | |
Se il monitoraggio e l'aggiornamento automatici sono attivati e i computer client eseguono software firewall non compatibile con Centro sicurezza PC Windows e pertanto non rilevabile da Agente integrità sicurezza di Windows, quest'ultimo attiverà Windows Firewall nel computer client, dove pertanto saranno in esecuzione contemporaneamente due diversi firewall. Le eventuali eccezioni configurate nel firewall non compatibile e non configurate in Windows Firewall possono causare una perdita di funzionalità nel computer client. Per questo motivo, è sconsigliabile che i computer client eseguano contemporaneamente due diversi firewall. |
Protezione da virus
Se si seleziona Applicazione antivirus attiva, Agente integrità sicurezza di Windows nel computer client verifica se il software antivirus è in esecuzione nel computer client. Se il computer client non esegue il software antivirus, tale computer viene limitato a una rete di monitoraggio e aggiornamento fino a quando il software antivirus non verrà installato ed eseguito.
Il software antivirus in esecuzione nel computer client deve essere compatibile con Centro sicurezza PC Windows. Il software antivirus non compatibile con Centro sicurezza PC Windows non può essere gestito o rilevato da Agente integrità sicurezza di Windows nel computer client. Se l'unico software antivirus in esecuzione nel computer client non è compatibile con Centro sicurezza PC Windows, Agente integrità sicurezza di Windows segnalerà a Convalida integrità sicurezza di Windows che non è attivato alcun antivirus e il computer client verrà limitato a una rete di monitoraggio e aggiornamento.
Se si seleziona Antivirus aggiornato, Agente integrità sicurezza di Windows nel computer client verifica che le versioni delle definizioni antivirus per le applicazioni antivirus siano le più recenti e che siano aggiornate.
Per verificare che il software antivirus sia in esecuzione e che le definizioni antivirus siano le più recenti, è necessario selezionare Applicazione antivirus attiva e Antivirus aggiornato.
Se non si seleziona Applicazione antivirus attiva, Agente integrità sicurezza di Windows nel computer client non eseguirà alcun controllo e ai computer client che non eseguono software antivirus non verrà impedito di connettersi alla rete.
Se non si selezionano entrambe le opzioni Applicazione antivirus attiva e Antivirus aggiornato, Agente integrità sicurezza di Windows nel computer client non eseguirà alcun controllo e ai computer client che non eseguono software antivirus oppure che eseguono software antivirus con definizioni non aggiornate non verrà impedito di connettersi alla rete.
Protezione da spyware
Se si seleziona Applicazione antispyware attiva, Agente integrità sicurezza di Windows nel computer client verifica se il software antispyware è in esecuzione nel computer client. Se il computer client non esegue il software antispyware, tale computer viene limitato a una rete di monitoraggio e aggiornamento fino a quando il software antispyware non verrà installato ed eseguito.
Il software antispyware in esecuzione nel computer client deve essere Windows Defender o un altro software antispyware compatibile con Centro sicurezza PC Windows.
Il software antispyware non compatibile con Centro sicurezza PC Windows non può essere gestito o rilevato da Agente integrità sicurezza di Windows nel computer client. Se l'unico software antispyware in esecuzione nel computer client non è compatibile con Centro sicurezza PC Windows, Agente integrità sicurezza di Windows segnala a Convalida integrità sicurezza di Windows che non è abilitato alcun antispyware e il computer client viene limitato a una rete di monitoraggio e aggiornamento.
Se si seleziona Antispyware aggiornato, Agente integrità sicurezza di Windows nel computer client verifica che le versioni delle definizioni antispyware per le applicazioni antispyware siano le più recenti e che siano aggiornate.
Per verificare che il software antispyware sia in esecuzione e che le definizioni antispyware siano le più recenti, è necessario selezionare Applicazione antispyware attiva e Antispyware aggiornato.
Se non si seleziona Applicazione antispyware attiva, Agente integrità sicurezza di Windows nel computer client non eseguirà alcun controllo e ai computer client che non eseguono software antispyware non verrà impedito di connettersi alla rete.
Se non si selezionano entrambe le opzioni Applicazione antispyware attiva e Antispyware aggiornato, Agente integrità sicurezza di Windows nel computer client non eseguirà alcun controllo e ai computer client che non eseguono software antispyware oppure che eseguono software antispyware con definizioni non aggiornate non verrà impedito di connettersi alla rete.
Monitoraggio e aggiornamento automatici
Se si seleziona Applicazione antispyware attiva, si attiva la funzionalità di monitoraggio e aggiornamento automatici di Protezione accesso alla rete e Agente integrità sicurezza di Windows nel computer client segnalerà che non è attivato alcun software antispyware e quindi Convalida integrità sicurezza di Windows indicherà ad Agente integrità sicurezza di Windows nel computer client di attivare Windows Defender.
Importante | |
Se il monitoraggio e l'aggiornamento automatici sono abilitati e i computer client eseguono software antispyware non compatibile con Centro sicurezza PC Windows e pertanto non rilevabile da Agente integrità sicurezza di Windows, quest'ultimo attiverà Windows Defender nel computer client, dove pertanto saranno in esecuzione contemporaneamente due diversi antispyware. |
Nota | |
È possibile configurare il monitoraggio e l'aggiornamento automatici mediante lo snap-in MMC di gestione del client di Protezione accesso alla rete. |
Aggiornamento automatico
Se si seleziona Aggiornamenti automatici attivati e Microsoft Update Services non è abilitato nel computer client, Agente integrità sicurezza di Windows limita il computer client a una rete di monitoraggio e aggiornamento fino a quando Microsoft Update Services non sarà stato abilitato.
Microsoft Update Services viene abilitato quando una delle impostazioni seguenti è selezionata nel computer client:
-
Installa gli aggiornamenti automaticamente (scelta consigliata)
-
Scarica gli aggiornamenti ma consenti all'utente di scegliere se installarli
-
Verifica la disponibilità di aggiornamenti ma consenti all'utente di scegliere se scaricarli e installarli.
Monitoraggio e aggiornamento automatici
Se si seleziona Aggiornamenti automatici attivati, si abilita il monitoraggio e l'aggiornamento automatici di Protezione accesso alla rete e Agente integrità sicurezza di Windows nel computer client segnala che Microsoft Update Services non è abilitato, Convalida integrità sicurezza di Windows indirizza Agente integrità sicurezza di Windows al computer client per attivare Microsoft Update Services e configurare Microsoft Update Services per scaricare e installare automaticamente gli aggiornamenti.
Nota | |
È possibile configurare il monitoraggio e l'aggiornamento automatici mediante lo snap-in MMC di gestione del client di Protezione accesso alla rete. |
Aggiornamenti per la sicurezza
Non è consigliabile configurare Aggiornamenti per la sicurezza nel criterio Convalida integrità sicurezza di Windows, a meno che i computer client della rete non eseguano Agente di Windows Update. Inoltre, i computer client che eseguono Agente di Windows Update devono essere registrati presso un server che esegua Windows Server Update Service (WSUS).
Importante | |
Se queste condizioni non vengono soddisfatte e si configura Aggiornamenti per la sicurezza nel criterio di Convalida integrità sicurezza di Windows, il criterio non potrà essere applicato da Agente integrità sicurezza di Windows nel computer client e i computer client verranno limitati a una rete di monitoraggio e aggiornamento e non potranno connettersi alla rete. |
Se i computer client eseguono Agente di Windows Update e sono registrati presso un server WSUS, è possibile configurare Aggiornamenti per la sicurezza per il criterio Convalida integrità sicurezza di Windows.
In questo caso, se si seleziona Imponi quarantena per aggiornamenti di protezione mancanti e gli aggiornamenti di sicurezza più recenti non sono stati installati, Agente integrità sicurezza di Windows limita i computer client a una rete di monitoraggio e aggiornamento fino a quando gli aggiornamenti di sicurezza più recenti non verranno installati.
È possibile configurare Aggiornamenti per la sicurezza con numerosi valori diversi che corrispondono ai livelli di gravità della sicurezza del sito Web Microsoft relativo alle risposte sui problemi di sicurezza (MSRC). Sono disponibili i valori seguenti:
-
Solo critici. Se si seleziona questo valore, nei computer client devono essere installati tutti gli aggiornamenti di sicurezza contrassegnati da un livello di gravità critico in MSRC. I computer client in cui questi aggiornamenti non sono installati sono limitati a una rete di monitoraggio e aggiornamento finché gli aggiornamenti non vengono scaricati e installati.
-
Importanti e superiori. Questa è l'impostazione predefinita. Se si seleziona questo valore, nei computer client devono essere installati tutti gli aggiornamenti di sicurezza contrassegnati da un livello di gravità importante o critico in MSRC. I computer client in cui questi aggiornamenti non sono installati sono limitati a una rete di monitoraggio e aggiornamento finché gli aggiornamenti non vengono scaricati e installati.
-
Importanza moderata e superiore. Se si seleziona questo valore, nei computer client devono essere installati tutti gli aggiornamenti di sicurezza contrassegnati con un livello di gravità moderato, importante o critico in MSRC. I computer client in cui questi aggiornamenti non sono installati sono limitati a una rete di monitoraggio e aggiornamento finché gli aggiornamenti non vengono scaricati e installati.
-
Importanza bassa e superiore. Se si seleziona questo valore, nei computer client devono essere installati tutti gli aggiornamenti di sicurezza contrassegnati con un livello di gravità basso, moderato, importante o critico in MSRC. I computer client in cui questi aggiornamenti non sono installati sono limitati a una rete di monitoraggio e aggiornamento finché gli aggiornamenti non vengono scaricati e installati.
-
Tutti. Se si seleziona questo valore i computer client devono avere tutti gli aggiornamenti di sicurezza, indipendentemente dal livello di gravità in MSRC. I computer client in cui non sono installati gli aggiornamenti più recenti sono limitati a una rete di monitoraggio e aggiornamento finché gli aggiornamenti non vengono scaricati e installati.
Dopo aver configurato il livello di gravità dell'aggiornamento di sicurezza, è possibile specificare il numero minimo di ore consentite da quando il client verifica la disponibilità di nuovi aggiornamenti di sicurezza nel server WSUS. Il valore predefinito per l'intervallo minimo di sincronizzazione è 22 ore.
Quando un computer client tenta per la prima volta di connettersi a una rete abilitata per Protezione accesso alla rete e l'impostazione Aggiornamenti per la sicurezza è configurata nel criterio Convalida integrità sicurezza di Windows, Agente integrità sicurezza di Windows determina se limitare il computer client a una rete di monitoraggio e aggiornamento sulla base dell'orario più recente in cui il computer client ha verificato la disponibilità di aggiornamenti di sicurezza nel server WSUS. Agente integrità sicurezza di Windows adotta la procedura seguente per determinare se limitare il client a una rete di monitoraggio e aggiornamento:
-
Se il client verifica la disponibilità di aggiornamenti a intervalli maggiori del numero minimo di ore consentito tra le verifiche, come configurato nel criterio Convalida integrità sicurezza di Windows, il computer client viene limitato a una rete di monitoraggio e aggiornamento. Solo quando il client avrà verificato la disponibilità di aggiornamenti ed eventualmente scaricato e installato gli aggiornamenti recenti, verrà concesso l'accesso completo alla rete.
-
Se il client verifica la disponibilità di aggiornamenti a intervalli uguali o minori del numero minimo di ore consentito tra le verifiche, come configurato nel criterio Convalida integrità sicurezza di Windows, il computer client non viene limitato a una rete di monitoraggio e aggiornamento.
Nota | |
Agente integrità sicurezza di Windows nel computer client esegue questa verifica solo quando il computer client tenta di connettersi alla rete. Se tale computer resta connesso alla rete per un tempo superiore al periodo di sincronizzazione minimo configurato, Agente integrità sicurezza di Windows non attiva una verifica della disponibilità di aggiornamenti di sicurezza, non attiva il download degli aggiornamenti e non limita il computer client a una rete di monitoraggio e aggiornamento. |
Monitoraggio e aggiornamento automatici
Affinché il monitoraggio e aggiornamento automatici funzionino con l'impostazione Aggiornamenti per la sicurezza abilitata e configurata nel criterio Convalida integrità sicurezza di Windows, è necessario che le condizioni seguenti siano soddisfatte:
-
I computer client nella rete eseguono Agente di Windows Update.
-
I computer client che eseguono Agente di Windows Update sono registrati in un server WSUS.
-
Il monitoraggio e l'aggiornamento automatici sono configurati e abilitati.
Se queste condizioni sono soddisfatte, Agente integrità sicurezza di Windows nel computer client verifica la disponibilità di aggiornamenti di sicurezza recenti nel server WSUS. Se Agente integrità sicurezza di Windows rileva che gli aggiornamenti di sicurezza più recenti del livello di gravità MSRC configurato non sono installati nel computer client, scaricherà e installerà direttamente gli aggiornamenti di sicurezza più recenti.