Windows Defender e Windows Server 2016

Una delle tante novità in Windows Server 2016 sarà la presenza di Windows Defender che sarà installato per default e operativo, mentre l’interfaccia utente sarà installata per default solo su alcune edizioni e modalità d’installazione la gestione invece sarà possibile tramite WMI, Windows PowerShell o Group Policy.

Di seguito ad esempio alcuni comandi PowerShell per eseguire le operazioni più comuni:

# Installazione dell’interfaccia grafica
Install-WindowsFeature -Name Windows-Defender-GUI

# Disabilitazione di Windows Defender
Uninstall-WindowsFeature -Name Windows-Defender

# Verifica Windows Defender in esecuzione
Get-Service Windefend

# Aggiunta esclusione per cartella
Add-MpPreference -ExclusionPath “c:\mydir”

# Rimozione esclusione per cartella
Remove-MpPreference -ExclusionPath “c:\mydir”

# Impostazione scansione schedulata giornaliera
# (espressa in minuti dopo la mezzanotte)
# Questa impostazione configura anche quando

# verrà eseguito il check delle nuove definizioni
Set-MpPreference –ScanScheduleTime 120

Per il la gestione Windows Defender tramite PowerShell sono disponibili 12 Cmdlets, mentre per il  monitoraggio dell’attività svolta dall’antimalware engine sono disponibili 53 eventi di sistema (per conoscere lo stato di attività, gli aggiornamenti eseguiti, le infezioni, etc.).

Una importante funzionalità di  Windows Defender in Windows Server 2016 solo le esclusioni automatiche (per maggiori dettagli si veda Automatic exclusions for Windows Defender) che vengono aggiunte in base ai ruoli e alle funzionalità installate sul sistema. Nel caso si intenda disabilitare tale esclusioni automatiche è possibile utilizzare il seguente comando PowerShell:

# Disabilitazione esclusioni automatiche
Set-MpPreference –DisableAutoExclusions $true

Le esclusioni automatiche vengono aggiornate tramite il processo di aggiornamento delle definizioni che vengono pubblicate 3 volte al giorno per 7 giorni alla settimana. Va precisato che le esclusioni automatiche vengono utilizzate solo durante le scansioni real-time, mentre le scansioni schedulate e le scansioni complete eseguiranno il controllo malware in tutte le locazioni. Inoltre le esclusioni automatiche non compaiono nella Windows Defender exclusions list, ovviamente sarà possibile aggiungere esclusioni custom a quelle automatiche e le esclusioni custom avranno la precedenza su quelle automatiche.

La gestione delle esclusioni automatiche è particolarmente importante in quanto il rischio di falso postivo aumenta con l’aumentare del malware prodotto che negli ultimi tempi ha avuto una crescita significativa, a riguardo si veda il report pubblicato da NirSoft al seguente Antivirus statistics and scores according to false positives of NirSoft tools.

Per quanto riguarda gli aggiornamenti delle definizioni antimalware è necessario che il servizio Windows Update sia in esecuzione, è possibile ricevere gli aggiornamenti tramite Windows Update o WSUS.

Per impostazione predefinita Windows Update non scarica e installa automaticamente gli aggiornamenti su Windows Server 2016, ma è necessario configurarlo tramite l’applet Windows Update delPannello di Controllo selezionando una delle seguenti opzioni:

• Install updates automatically (in questo modo tutti gli aggiornamenti verranno installati automaticamente incuse le definizioni di Windows Defender)
• Download updates but let me choose whether to install them (in questo modo Windows Defender scaricherà e installerà automaticanmente le definizioni, mentre gli altri aggiornamenti non verrano automaticamente installati)

In alternativa sarà possibile configurare tramite Group Policy la gestione di Windows Update tramite la GPO Computer Administrative Templates\Windows Components\Windows Update\Configure Automatic Updates.

Un terzo metodo per configurare  Windows Update è quello di intervenire sulla chiave di registro HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions impostando uno dei seguenti valori (a riguardo si veda Configure Automatic Updates using Registry Editor):

• 4 che coincide con l’impostazione Install updates automatically
• 3 che coincide con l’impostazione Download updates but let me choose whether to install them

Affinché Windows Defender possa funzionare correttamente è necessario che siano abilitato i seguenti servizi:

• Windows Defender Network Inspection service
• Windows Error Reporting service
• Windows Update service

Inoltre è consigliabile lasciare abilitato il servizio Windows Firewall, per maggior informazioni sui servizi di Windows Defender e delle relative dipendenze si veda Windows Defender Overview for Windows Server Technical Preview.

Se siete interessati ad approfondire le tematiche della sicurezza informatica e le novità in Windows Server 2016 in questo ambito io e Roberto Massa vi aspettiamo al SID 2016 alla nostra sessione Windows Server 2016: Security Best Practice Mercoledì 15 alle ore 12.00 in sala Atari.