Le Migliori Guide dedicate a Windows Defender – Sicurezza di Windows

Secondo gli ultimi test ufficiali indipendenti, Microsoft Defender è un’ottima protezione per gli utenti ma soffre ancora di molti positivi, annoso problema trascinato, più o meno, da anni.

La protezione in tempo reale è ad ottimi livelli, anche comparandolo a protezioni blasonate e a pagamento. Nei test condotti dai laboratori Av-Comparatives troviamo una percentuale del 99% nella protezione in tempo reale con 2 falsi positivi ed un solo elemento che ha potuto compromettere il sistema.

Altri software di protezione a pagamento come Eset o Malwarebytes (Premium) si sono fermate al 98,4% con 0 falsi positivi il primo e 10 falsi positivi il secondo.

I laboratori Av-Test invece riportano l’antivirus Microsoft tra i top product a punteggio pieno per quanto riguarda Protezione, Prestazioni e Usabilità.

Anche la protezione contro i malware ha avuto risultati di buon livello, la percentuale qui ha raggiunto il 99,99% ma, come anticipato pocanzi, con un’alta percentuale di falsi rilevamenti, ben 19.

Approfondimento disponibile qui.

Se la disabilitazione standard tramite Impostazioni > Aggiornamento e sicurezza > Windows Defender non dovesse bastare, possiamo sempre ricorrere alla modifica di una chiave di registro, ovvero:

premere i pulsanti WIN + R > digitare “regedit” e dare invio > ora cercare il seguente percorso

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

cerchiamo il valore DisableAntiSpyware, se non lo troviamo creiamo un nuovo valore DWORD (32 bit) ed assegnargli valore 1

Se vogliamo riabilitarlo basterà cancellare il valore appena creato. 

Altri metodi ed approfondimenti disponibili qui.

La prima soluzione, in particolare per sistemi Professional, è quella di modificare una configurazione nel Group Policy di Windows.

Premere i pulsanti WIN + R > digitare “gpedit.msc” e dare invio, ora selezionare il seguente percorso:

MODELLI AMMINISTRATIVI -> COMPONENTI DI WINDOWS -> WINDOWS DEFENDER ANTIVIRUS

Cercare la voce Disabilita Windows Defender Antivirus ed impostarlo su Disattivato.
Riavviare il sistema

Il secondo metodo attraverso il registro di sistema è spiegato qui.

Premiamo i pulsanti WIN + R e digitiamo Services.msc, dall’elenco dei servizi individuarne i seguenti:

Servizio Windows Defender Antivirus (Esecuzione automatica)
Servizio Windows Defender Advanced Treath Protection (Manuale)
Windows Defender Firewall (Esecuzione automatica)
Servizio Controllo rete di Windows Defender Antivirus (Manuale)

Dove il tipo di avvio è riportato tra parentesi a lato di ogni servizio. Se uno o più di questi servizi risultano disabilitati o non funzionanti allora dobbiamo procedere con una re-registrazione delle DLL collegate. 

Registriamo le DLL dell’antivirus

Premere i pulsanti WIN + X e scegliere il Prompt dei Comandi come amministratore, digitare 

regsvr32 wuaueng.dll
regsvr32 wucltui.dll
regsvr32 softpub.dll
regsvr32 wintrust.dll
regsvr32 initpki.dll
regsvr32 wups.dll
regsvr32 wuweb.dll
regsvr32 atl.dll
regsvr32 mssip32.dll

Dopo ogni comando dare invio, al termine riavviare il sistema. Se il problema persiste bisogna verificare alcuni valori del registro di sistema. 

Ci sono tantissimi altri step da controllare, li approfondiamo uno per uno in questo articolo.

Premere i pulsanti WIN + X > scegliere il Prompt dei comandi come amministratore > ora digitare 

setx /M MP_FORCE_USE_SANDBOX 1

Per disabilitare la modalità invece basterà mettere il valore 0 al posto di 1.

Dare invio, quindi riavviare il sistema. Ovviamente per abilitare la protezione Windows Defender dev’esser il SOLO ed UNICO antivirus installato ed attivo nel sistema. 

Ma che cos’è una Sandbox? Impatta nelle prestazioni? Rispondiamo a queste domande qui.

Apriamo una finestra di Powershell come amministratore premendo WIN + X > digitiamo il seguente comando:

Set-MpPreference -PUAProtection 1

Dopo dare invio. 
E’ possibile testare la corretta attivazione della protezione provando a visitare questa pagina. 
Se vogliamo invece disabilitarla basterà digitare questo comando:

Set-MpPreference -PUAProtection 0

Se accidentalmente l’antivirus eliminerà dei software attendibili potremmo sempre recuperarli aprendo Sicurezza di WIndows > Protezione virus e minacce > Cronologia minacce ed accedere alla quarantena. 

Approfondiamo la procedura per intero qui.

Premere i pulsanti WIN + R > quindi digitare 

appwiz.cpl 

dare invio, Ora dalla colonna di sinistra aprire la voce Attivazione o Disattivazione delle funzionalità di Windows, scorrere fino a che non si trova la voce Windows Defender Application Guard, spuntare la voce, dare OK e riavviare il sistema.

Se invece vedremo la voce in grigio, non cliccabile, è perché non abbiamo la funzionalità di virtualizzazione attiva nel nostro sistema. In alcuni casi è abilitatile dal bios. 

Ora vediamo come avviare una sessione di navigazione protetta in Microsoft Edge. 

Come Avviare una sessione protetta in Edge?

Per avviare una sessione protetta basterà, dal consueto menù di Edge, aprire la voce New Application Guard Window. Il primo avvio sarà un po’ più lungo, ma con il maggior utilizzo i tempi di avvio saranno molto più veloci. 

Alcuni strumenti, però, non sono possibili in questa modalità:

importare i preferiti 
alcuni download potrebbero esser bloccati 
estensioni disabilitate 
impossibilità di bloccare i banner AD

Ricordiamo, ad ogni modo, che browser concorrenti come Google Chrome implementano già il sandboxing nelle proprie sessioni di navigazione. 

Che cos’è la Windows Defender Application Guard? A Cosa serve? Ne parliamo qui.

Per aumentare notevolmente la sicurezza di Windows 10 è basilare abilitare questa funzionalità: infatti questa protezione ha il compito di isolare i processi di sistema dal sistema operativo.

Questo isolamento protegge i processi critici da attacchi malware, rendendo così il sistema più sicuro.

Alla base della protezione c’è la virtualizzazione, cosa che dev’essere abilitata a livello macchina dal BIOS/UEFI.

Approfondiamo questo aspetto qui.

Per abilitare questa protezione è necessario avere l’aggiornamento di Aprile 2018 ovvero la versione 1803.

L’abilitazione avviene tramite Windows Defender Security Center dalla voce Sicurezza Dispositivi dove troviamo la voce Isolamento Core, cliccando sui dettagli basterà spostare la voce su Attivato.
Invece per disabilitarlo è opportuno agire sul registro di sistema, vediamo come.

Approfondiamo questo aspetto qui.

Lo scopo è quello di impedire manomissioni da parte di agenti malevoli esterni che possano disabilitare, ad esempio, la protezione in tempo reale o la protezione fornita dal cloud.

Microsoft riporta chiaramente:

Protezione antimanomissione di Sicurezza di Windows consente di impedire alle app dannose di cambiare impostazioni importanti di Windows Defender Antivirus, tra cui la protezione in tempo reale e la protezione fornita dal cloud. Se Protezione antimanomissione è attivata e sei un amministratore del computer, puoi modificare queste impostazioni nell’app Sicurezza di Windows. Tuttavia, altre app non possono cambiare queste impostazioni.

La cosa interessante è che questa funzionalità può esser abilitata anche in presenza di software antivirus di terze parti, basterà aggiornare i componenti di Windows Defender (tramite Windows Update) e portarli almeno alla versione 1.287.60.0 o successiva.

Parliamo di questa protezione in questo articolo.

L’abilitazione è molto semplice, basta procedere come segue:

– Aprire Windows Defender Security Center
– Da Protezione da virus e minacce aprire le Impostazioni
– Cercare la voce Protezione Anti-Manomissione ed impostarla su Attivato

Parliamo di questa protezione in questo articolo.

Vi sono vari metodi per abilitare questa funzione, la prima è tramite Powershell, per fare questo aprirne un prompt elevato (anche tramite il prompt dei comandi come amministratore basterà digitare “powershell” e dare invio).

Ora digitare il seguente comando per abilitare l’analisi 

Set-MpPreference -DisableArchiveScanning 0

Per disabilitare l’analisi invece digitare
Set-MpPreference -DisableArchiveScanning 1

Se invece vogliamo agire tramite il registro di sistema vediamo la procedura dedicata

Per abilitarlo tramite registro seguire le indicazioni di questo articolo.

Per farlo procedere così:

Premere i tasti Win+x ed aprire Powershell (come amministratore)
Digitare o incollare il seguente comando, facendo attenzione agli spazi:

Remove-Item -Path “C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*” -Verbose -Recurse

Al termine riavviare il sistema e troveremo la cache resettata.

Parliamo di questo aspetto qui.

Il primo passaggio è di preparare il sistema all’esecuzione di alcuni comandi, per farlo premere i pulsanti WIN + X ed aprire powershell come amministratore, quindi digitare

Set-ExecutionPolicy Unrestricted
Get-AppxPackage Microsoft.SecHealthUI -AllUsers

Ora individuare il percorso corretto della voce SecHealthUI che nel caso dell’immagine sopra sarà

C:\Program Files\WindowsApps\Microsoft.SecHealthUI_1000.25183.1000.0_x64__8wekyb3d8bbwe

quindi digitare il comando:

add-appxpackage -disabledevelopmentmode -register (‘C:\Program Files\WindowsApps\Microsoft.SecHealthUI_1000.22000.1.0_neutral__8wekyb3d8bbwe\AppxManifest.xml’)

Dare invio e successivamente riavviare il sistema

Per ulteriori step risolutivi seguire questo articolo.