Windows Defender, le nuove funzionalità e come personalizzarne il comportamento

Windows 10 Fall Creators Update ha arricchito Windows Defender di diverse nuove abilità. Vediamole in breve e vediamo com'è possibile personalizzare il comportamento dell'antimalware preinstallato in Windows 10.

Ne è passata di acqua sotto i ponti da quando Holly Stewart (Microsoft Malware Protection Center) nel 2013 parlando di Windows Defender lo descrisse come un software capace di offrire solamente una protezione “di base” (lasciando intendere che fosse opportuno volgere lo sguardo altrove). La dichiarazione, che suggeriva anche un progressivo disinteresse da parte di Microsoft rispetto alle sue soluzioni per la sicurezza come Windows Defender, è stata poi successivamente smentita.

Windows Defender è oggi un prodotto in continua evoluzione in Windows 10, che non può essere neanche lontanamente paragonato con ciò che era qualche anno fa.

Ormai Windows Defender, almeno nei confronti degli utenti di Windows 10, riesce ad assicurare un buon livello di protezione. Querelle tra Microsoft e Kaspersky a parte, culminata comunque con la decisione di Microsoft di rivedere parzialmente il meccanismo con cui un antimalware di terze parti viene integrato in Windows (Microsoft modifica Windows 10 e Kaspersky ritira la denuncia in Commissione Europea), Windows Defender è la soluzione antimalware e, di recente, anche antiexploit e antiransomware che gli utenti dell’ultima versione del sistema operativo Microsoft si trovano sempre preinstallata.

Windows Defender: il nuovo antimalware di Windows 10

Intorno a Windows Defender, in Windows 10 Microsoft ha costruito un'”impalcatura” chiamata Windows Defender Security Center.

Accessibile digitando Windows Defender Security Center nella casella di ricerca di Windows 10 è una sorta di “centro di controllo” per le principali funzionalità di Windows Defender in cui sono stati racchiusi anche tutti i riferimenti al firewall integrato nel sistema operativo (vedere Cos’è il firewall e come funziona quello di Windows), indicazioni sulle prestazioni e sull’integrità del dispositivo (stato di Windows Update e degli aggiornamenti Microsoft, capacità di archiviazione e driver), protezione contro siti web e programmi potenzialmente dannosi (Windows Defender SmartScreen) e parental control.


Con un clic sullo “scudetto” nel Windows Defender Security Center, è possibile – in qualunque momento – avviare una scansione veloce sulle aree del sistema più critiche in cui di solito “si annidano” i malware. Cliccando su Analisi avanzata è possibile personalizzare la scansione effettuandone eventualmente anche una approfondita.
Windows Defender, comunque, resta costantemente in esecuzione e analizza i file in background.

Funzionalità antiexploit di Windows Defender

Con l’installazione del pacchetto di aggiornamento Windows 10 Fall Creators Update, rilasciato da Microsoft il 17 ottobre 2017, il sistema operativo si è arricchito anche di funzionalità antiexploit.

I meccanismi antiexploit introdotti in Windows 10 riescono a mitigare l’effetto dei cosiddetti attacchi zero-day ossia quelle aggressioni che vengono sferrate dai criminali informatici nel “giorno zero”, quando cioè nessun produttore di soluzioni antivirus ha ancora aggiornato le sue firme virali per il riconoscimento delle nuove minacce.

La nuova funzionalità antiexploit di Windows 10 è integrata in Windows Defender ed è accessibile cliccando su Controllo delle app e del browser quindi su Impostazioni di protezione dagli exploit nella finestra principale del Windows Defender Security Center.


EMET (Enhanced Mitigation Experience Toolkit) è un software che viene largamente utilizzato dagli utenti più smaliziati per bloccare gli attacchi zero-day, soprattutto nelle versioni di Windows antecedenti Windows 10.
Per gli utenti di EMET la “doccia fredda” era arrivata a novembre 2016 quando Microsoft confermò che questo strumento di protezione non sarebbe stato né aggiornato né supportato a partire dal mese di luglio 2018: EMET, Microsoft dice addio al suo anti exploit.

Con una mossa a sorpresa, alcuni mesi fa Microsoft decise di integrare le funzionalità di EMET direttamente in Windows 10.

Da Impostazioni di protezione dagli exploit, cliccando su Impostazioni programmi, si possono regolare le impostazioni antiexploit per ogni singolo processo in esecuzione sulla macchina.

Funzionalità antiransomware di Windows Defender

Windows Defender integra anche un antiransomware di base, un modulo di sistema che si occupa di bloccare per default l’accesso in scrittura alle cartelle personali dell’utente, quelle che con maggiore probabilità vengono prese di mira dai ransomware.

Purtroppo la funzionalità antiransomware di Windows Defender, seppur efficace, è ancora ben lungi dall’essere “usabile”: chi volesse metterla alla prova e configurarla può seguire le indicazioni riportate nel nostro articolo Ransomware, come li blocca Windows 10.

Funzionalità Protezione della rete di Windows Defender

Tra le nuove funzionalità introdotte in Windows 10 ve ne sono alcune cui ancora non si fa esplicito riferimento nell’interfaccia del Windows Defender Security Center.
Una tra queste si chiama Protezione della rete ed è stata aggiunta in Windows Defender con il rilascio di Windows 10 Fall Creators Update.

Protezione della rete impedisce che qualunque utente possa accedere a siti web malevoli, contenenti codici exploit, tentativi di phishing o comunque potenzialmente pericolosi.

Per attivare Protezione della rete ci sono diversi modi ma per procedere velocemente suggeriamo di digitare powershell nella casella di ricerca di Windows 10 quindi premere simultaneamente CTRL+MAIUSC+INVIO per aprire la finestra con i diritti di amministratore.

Al prompt di Powershell, si dovrà digitare quanto segue per attivare la nuova funzionalità Protezione della rete:

Set-MpPreference -EnableNetworkProtection Enabled

Nel caso in cui, successivamente, si volesse disabilitarla, basterà ripetere la procedura sostituendo Enabled con Disabled.

Attivare le funzionalità di protezione più evolute in Windows Defender

Windows Defender può utilizzare anche funzionalità cloud evolute per proteggere il sistema.
Si chiama MAPS (Microsoft Active Protection Service) l'”intelligenza collettiva” che Microsoft propone per contrastare le minacce zero-day, non ancora rilevate da parte dei tecnici dei laboratori antivirus.
L’attivazione di MAPS è effettuabile mediante l’Editor criteri di gruppo locali oppure accedendo al registro di sistema di Windows.

Abbiamo realizzato un file di registro (.REG) già pronto che consente di attivare non soltanto MAPS ma anche MPEngine, il motore di scansione di Windows Defender che si occupa di bloccare in modo aggressivo gli eseguibili sconosciuti (utilizzando le informazioni tratte dalla protezione cloud) senza impattare sulle prestazioni del client (c’è comunque il rischio di maggiore probabilità di falsi positivi).

Al momento abbiamo scelto però di non presentarvi il file di registro perché durante i nostri test abbiamo verificato che l’attivazione funziona correttamente ma, in seguito, non è più possibile tornare sui propri passi disabilitando MAPS. La chiave di registro che attiva MAPS, infatti, viene bloccata dal servizio Windows Defender (Windefend) e non può essere eliminata facilmente.
Ci torneremo non appena Microsoft avrà preso in carico questa problematica.

Ti consigliamo anche

Link copiato negli appunti