Esporta (0) Stampa
Espandi tutto

Panoramica tecnica di Windows Defender

Aggiornamento: febbraio 2007

Si applica a: Windows Vista

Windows Defender è un software di protezione in tempo reale utilizzato per il rilevamento e la prevenzione di spyware e di altro software potenzialmente indesiderato. Contribuisce alla protezione dei computer che eseguono Microsoft Windows Vista, Windows XP con Service Pack 2 (SP2) o Windows Server 2003 con Service Pack 1 (SP1). Windows Defender può essere configurato e utilizzato dall'utente del computer o dall'amministratore locale, oppure può essere configurato e aggiornato dall'amministratore di sistema. Windows Defender viene installato automaticamente con Microsoft Windows Vista. Per i computer che eseguono Windows XP con SP2 o Windows Server 2003 con SP1, è necessario installare Windows Defender manualmente. Windows Defender viene eseguito come servizio locale.

Per informazioni sulla configurazione manuale e sulla manutenzione, vedere la guida di Windows Defender, disponibile a livello locale dopo l'installazione del software.

Windows Defender e la vostra strategia di protezione

Windows Defender offre i vantaggi seguenti:

  • Gli utenti possono monitorare la protezione del proprio computer, in modo particolare sui computer portatili privi di una protezione di rete o perimetrale disponibile a qualsiasi ora.

  • L'amministratore o gli utenti possono configurare scansioni pianificate periodiche su ciascun computer, al fine di rilevare software potenzialmente indesiderato da valutare e successivamente rimuovere.

Windows Defender offre tre metodi per evitare che i computer dell'organizzazione vengano infettati da programmi spyware e da altro software potenzialmente indesiderato:

  • Protezione da spyware in tempo reale. Windows Defender avvisa l'utente del computer quando viene eseguito un tentativo di installazione o di esecuzione di un programma spyware o di altro software potenzialmente indesiderato. Si viene inoltre avvisati anche nel caso in cui un programma tenti di modificare impostazioni importanti di Windows.

  • Community Microsoft SpyNet. Grazie alla community SpyNet in linea è possibile conoscere il comportamento di altri utenti riguardo software non ancora classificato in relazione ai potenziali rischi.

  • Analisi dello spyware. Windows Defender consente di cercare programmi spyware e altro software potenzialmente indesiderato che potrebbero essere stati installati nel computer, di pianificare le analisi a intervalli regolari e di rimuovere automaticamente software dannoso rilevato.

Determinazione del ruolo di Windows Defender

Windows Defender contribuisce a proteggere i computer da programmi spyware e da altro software potenzialmente indesiderato se si soddisfano i seguenti criteri:

  • L'organizzazione si affida agli utenti dei computer per la gestione e la configurazione dei loro computer.

  • L'organizzazione utilizza un software di rilevamento dei virus, ma non dispone di una protezione da spyware.

  • L'organizzazione non fa affidamento su una gestione centralizzata dei computer.

  • L'organizzazione richiede l'installazione di software di analisi su ogni sistema operativo, in particolar modo sui computer non protetti dagli strumenti di difesa di rete.

Per tutte le altre installazioni, Microsoft Forefront Client Security contribuisce alla protezione dai rischi emergenti, ad esempio spyware e rootkit, nonché da tradizionali minacce quali virus, worm e trojan horse. Forefront Client Security si integra con l'infrastruttura software esistente, ad esempio Active Directory Domain Services (AD DS), e completa altre tecnologie di sicurezza Microsoft per una migliore protezione e un maggior controllo.

Per ulteriori informazioni su Forefront Client Security, vedere Microsoft Forefront Client Security all'indirizzo http://go.microsoft.com/fwlink/?LinkId=80023.

Funzionamento di Windows Defender

Windows Defender viene installato su ogni computer ed è gestito a livello locale. Esegue l'analisi di ciascun oggetto designato dall'utente ed effettua operazioni specificate quando viene rilevato un programma spyware o altro software potenzialmente indesiderato.

Windows Defender monitora i programmi ad esecuzione automatica, i programmi attualmente in esecuzione, i programmi connessi alla rete e i provider di servizi Winsock, oltre agli ASEP (Auto-Start Extensibility Point).

Windows Defender non esegue l'analisi dei cookie in quanto questi sono spesso caratterizzati da scopi legittimi.

Progettazione di Windows Defender

Windows Defender identifica e rimuove programmi spyware e altri software potenzialmente indesiderati utilizzando un database di definizioni che descrive nel dettaglio le caratteristiche di tutti i programmi spyware noti e di altri software potenzialmente indesiderati. Ogni definizione, comunemente nota come firma, è univoca per il singolo programma spyware. Il dettaglio della definizione include i nomi e i percorsi dei file installati dal programma spyware, oltre alle modifiche apportate alle aree di importanza critica del sistema operativo, incluso il registro di sistema di Windows. Inoltre, le definizioni contengono consigli di esperti e informazioni che aiutano gli utenti ad assumere decisioni di rimozione informate. Il database delle definizioni viene continuamente aggiornato con le ultime minacce.

Il motore di analisi utilizza l'elenco di definizioni spyware corrente per valutare ciascun oggetto designato e determinare se esso corrisponde a una definizione presente in elenco.

Windows Defender collabora con Windows Update per installare automaticamente nuove definizioni mano a mano che vengono pubblicate. È inoltre possibile configurare Windows Defender in modo che verifichi in linea la disponibilità di definizioni aggiornate prima di eseguire l'analisi, quindi inviare alla community SpyNet informazioni sul software rilevato e non ancora classificato in relazione ai potenziali rischi.

Componenti di Windows Defender

Windows Defender è costituito da due componenti principali: il motore di analisi e Gestione software.

Il motore di analisi si basa sulle definizioni attualmente installate per la valutazione di ogni oggetto. È possibile perfezionare la configurazione che verrà utilizzata dal motore di analisi tramite l'utilità Strumenti e impostazioni. Tra le impostazioni sono incluse la configurazione dell'analisi automatica, la configurazione delle azioni predefinite, gli agenti di protezione in tempo reale, le opzioni avanzate e le opzioni dell'amministratore locale.

Gestione software consente di monitorare tipi specifici di programmi e provider e identifica le informazioni su ogni programma elencato per contribuire alla determinazione dell'origine e dello scopo di ciascuno di essi.

Impostazioni del motore di analisi e azioni avviso

Nel configurare Windows Defender è possibile scegliere i tipi di analisi da eseguire, la frequenza di esecuzione delle analisi e quali azioni intraprendere in base al software identificato.

Impostazioni dell'analisi e dell'azione risultante
Quarantena

Quando Windows Defender mette il software in quarantena, lo sposta in una diversa posizione sul computer, che per impostazione predefinita è <unità>:\ProgramData\Microsoft\Windows Defender\Quarantine. Ciò impedisce l'esecuzione del software finché l'utente non avrà scelto se ripristinarlo oppure rimuoverlo dal computer.

Programmi consentiti

Quando il software viene aggiunto all'elenco dei programmi consentiti, Windows Defender ne consente l'esecuzione sul computer. Windows Defender non avviserà più l'utente dei possibili rischi comportati dal software ai danni della privacy o del computer dell'utente. Aggiungere il software all'elenco dei programmi consentiti solo se il software e il relativo autore sono considerati attendibili.

Per ulteriori informazioni sull'analisi automatica e le relative azioni, vedere la Guida di Windows Defender.

Agenti di protezione

La protezione in tempo reale avvisa l'utente quando nel computer viene eseguito un tentativo di installazione o di esecuzione di un programma spyware e di altro software potenzialmente indesiderato. Si viene inoltre avvisati anche nel caso in cui un programma tenti di modificare impostazioni importanti di Windows.

Nella tabella seguente vengono illustrati tutti gli agenti di protezione in tempo reale. Per ulteriori informazioni, vedere la Guida relativa a Windows Defender.

 

Agente di protezione in tempo reale Scopo

Avvio automatico

Monitora gli elenchi di programmi di cui è consentita l'esecuzione automatica all'avvio del computer.

Configurazione sistema (impostazioni)

Monitora le impostazioni di protezione in Windows.

Componenti aggiuntivi Internet Explorer

Monitora i programmi eseguiti automaticamente all'avvio di Internet Explorer.

Configurazioni di Internet Explorer (impostazioni)

Monitora le impostazioni di protezione del browser, che consentono di proteggersi da contenuto dannoso su Internet.

Download Internet Explorer

Monitora file e programmi concepiti per l'utilizzo in Internet Explorer, come i controlli ActiveX e i programmi di installazione software.

Servizi e driver

Monitora i servizi e i driver durante l'interazione con Windows e i programmi in uso.

Esecuzione applicazioni

Monitora l'avvio dei programmi e tutte le operazioni che essi eseguono quando sono in esecuzione.

Registrazione applicazioni

Monitora strumenti e file nel sistema operativo in cui è possibile registrare l'esecuzione di programmi in qualsiasi momento.

Componenti aggiuntivi di Windows

Monitora i programmi aggiuntivi (noti anche come utilità software) per Windows.

Impostazioni avanzate

Le impostazioni avanzate consentono di configurare Windows Defender affinché individui file o comportamenti specifici, in modo da migliorare il rilevamento dei problemi e la gestione della prevenzione.

Nella tabella seguente vengono descritte tutte le impostazioni.

 

Impostazione Scopo

Esegue l'analisi del contenuto dei file e delle cartelle archiviate per rilevare potenziali minacce

Esegue l'analisi di file e cartelle normalmente non ispezionati, ad esempio quelli generati dai file ZIP.

Usa l'euristica per individuare file potenzialmente dannosi o comportamenti indesiderati da parte di software i cui rischi non sono stati analizzati

Istruisce Windows Defender in modo che tenti di rilevare software sospetto privo di una firma conosciuta in base a determinate caratteristiche predefinite. Il rischio comportato dall'attivazione di questa impostazione è che anche il software legittimo potrebbe essere messo in quarantena in quanto sospetto.

Crea un punto di ripristino prima di applicare azioni agli elementi rilevati

Utilizza Ripristino configurazione di sistema di Windows per creare un punto di ripristino prima di applicare le modifiche. La creazione di un punto di ripristino consente all'utente di selezionare un momento a partire dal quale annullare le modifiche e ripristinare il sistema nelle condizioni in cui si trovava all'ora indicata dal punto di ripristino.

File o percorsi esclusi

Crea un elenco dei file, delle cartelle o delle unità escluse per consentire all'utente di dirigere l'analisi in base a specifiche necessità. Ad esempio, se si approntano degli script o si sviluppa del software, questa impostazione può escludere dall'analisi tutti i file di origine che vengono modificati di frequente.

Opzioni dell'amministratore locale

Le opzioni dell'amministratore consentono di configurare singolarmente ciascuna installazione di Windows Defender. Nella tabella seguente vengono descritte tutte le impostazioni.

 

Impostazione Scopo

Usa Windows Defender

Durante l'esecuzione, tutti gli utenti del computer vengono avvisati se viene eseguito un tentativo di esecuzione o di installazione di un programma spyware o di altro software potenzialmente indesiderato. Windows Defender verificherà la disponibilità di nuove definizioni per l'analisi periodica del computer e la rimozione automatica di software dannoso rilevato da un'analisi.

Consenti a tutti l'utilizzo di Windows Defender

Consente a tutti gli utenti del computer di eseguire l'analisi, scegliere le azioni da applicare al software potenzialmente indesiderato ed esaminare tutte le attività di Windows Defender. Questa opzione funziona congiuntamente al controllo dell'account utente.

La community Microsoft SpyNet

Microsoft SpyNet è una community in linea che aiuta gli utenti a decidere come reagire ai potenziali rischi di spyware. La community contribuisce anche a interrompere la diffusione di nuove infezioni spyware. La partecipazione alla community SpyNet è facoltativa ed è configurata singolarmente su ogni computer. Qualora si decida di partecipare alla community SpyNet, sarà possibile scegliere tra due opzioni per controllare la quantità di informazioni trasferite tra Microsoft e il computer riguardo software sospetto rilevato da Windows Defender.

Nella seguente tabella viene descritto il tipo di informazioni trasferite per ogni livello di partecipazione alla community Microsoft SpyNet.

 

Impostazione Informazioni inviate a Microsoft

Membro base della community SpyNet

  • Origine del software, ad esempio il nome della società

  • Azioni applicate (dall'utente e da Windows Defender)

  • Risultato delle azioni: operazioni riuscite o non riuscite

  • Versione sistema operativo

  • Indirizzo IP

  • Software e versione del browser Web

noteNota
In alcuni casi è possibile che vengano inviate involontariamente a Microsoft informazioni personali; queste non verranno tuttavia utilizzate per identificare o contattare l'utente. Per ulteriori informazioni, vedere Windows Defender Privacy Statement (http://go.microsoft.com/fwlink/?LinkID=71539).

Per i membri a livello base, Windows Defender non visualizza alcun avviso in caso di rilevamento di software o di modifiche effettuate da software il cui livello di rischio non è stato ancora analizzato.

Membro avanzato della community SpyNet

  • Nome/i file del software rilevato

  • Origine del software, ad esempio il nome della società

  • L'operazione che il software sta tentando di eseguire

  • Impatto del software sul computer (quale sarebbe il probabile risultato qualora il software venisse eseguito)

  • Azioni applicate (dall'utente e da Windows Defender)

  • Risultato delle azioni: Operazioni riuscite o non riuscite

noteNota
In alcuni casi è possibile che vengano inviate involontariamente a Microsoft informazioni personali; queste non verranno tuttavia utilizzate per identificare o contattare l'utente. Per ulteriori informazioni, vedere Windows Defender Privacy Statement (http://go.microsoft.com/fwlink/?LinkID=71539).

Per i membri a livello avanzato, Windows Defender avvisa l'utente del computer affinché intraprenda un'azione contro il software non ancora classificato in relazione ai potenziali rischi.

Gestione software

Gestione software contribuisce al monitoraggio dei seguenti elementi:

  • Programmi ad esecuzione automatica all'avvio di Windows, che l'utente ne sia informato o no.

  • Programmi attualmente in esecuzione su schermo oppure in background.

  • Programmi connessi alla rete, ossia programmi o processi in grado di connettersi a Internet o alla rete domestica o aziendale.

  • Provider di servizi Winsock, ossia programmi che eseguono servizi di rete e comunicazione di basso livello per Windows e programmi eseguiti in Windows. Tali programmi hanno spesso accesso ad aree importanti del sistema operativo.

Gestione software fornisce inoltre informazioni dettagliate su ogni programma elencato, inclusi la classificazione, l'autore, la firma digitale, la data di installazione e il percorso.

Eventi registrati

Ogni volta che Windows Defender esegue un'azione specifica quale la rilevazione o la rimozione di programmi spyware, oppure durante l'installazione di nuovi aggiornamenti delle definizioni, Windows Defender crea un nuovo evento nel registro eventi di Windows. È possibile esaminare o controllare le azioni precedenti cercando gli eventi creati da Windows Defender nel Visualizzatore eventi.

Risorse aggiuntive

È possibile installare il software Windows Defender dall'Area download Microsoft all'indirizzo http://go.microsoft.com/fwlink/?LinkId=80028.

Per ulteriori informazioni su Windows Defender, vedere Windows Defender all'indirizzo http://go.microsoft.com/fwlink/?LinkID=74367.

Per partecipare ai newsgroup, vedere Newsgroups for Windows Defender all'indirizzo http://go.microsoft.com/fwlink/?LinkId=80043.

L'analisi di sicurezza Windows Live OneCare è un servizio gratuito che può essere d'ausilio nel proteggere e ripulire il computer, nonché per ottimizzarne le prestazioni. Per ulteriori informazioni, vedere l'analisi di sicurezza di Windows Live OneCare all'indirizzo http://go.microsoft.com/fwlink/?LinkId=80042.

Windows Live OneCare è un servizio offerto da Microsoft per gestire la protezione, le prestazioni e la manutenzione dei computer. Per ulteriori informazioni, vedere Windows Live OneCare all'indirizzo http://go.microsoft.com/fwlink/?LinkId=80041.

Per ulteriori informazioni su Forefront Client Security, vedere Microsoft Forefront Client Security all'indirizzo http://go.microsoft.com/fwlink/?LinkId=80023.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft