Windows Defender in origine chiamato Microsoft Antispyware, era un prodotto per la protezione da virus e malware disponibile per Windows XP. Con l’evoluzione del progetto è diventato un motore più completo integrando in sé anche le funzioni di antivirus.
Da Windows Vista è poi stato integrato nel sistema operativo, ad eccezione delle versioni server; tuttavia, con il prossimo rilascio Windows Server 2016, questo ambiente di protezione sarà disponibile anche in queste versioni.
Per chi fosse scettico sulla scelta del prodotto, è bene ricordare che: Gartner nell’ultimo rapporto relativo ai software Antivirus colloca Microsoft con il suo prodotto, tra gli “sfidanti”.
Prima di iniziare è bene ricordare che con l’evoluzione recente delle minacce un singolo antivirus da solo non può garantire un sufficiente grado di protezione, tramite l’adozione di sistemi UTM è possibile aumentare il livello di sicurezza, ma imprescindibili sono la sensibilizzazione degli utilizzatori e l’adozione di politiche di configurazione di componenti che non sono oggetto di questo articolo.
Ad eccezione di ambienti in cui è disponibile System Center Configuration Manager, non è possibile un management centralizzato di Defender ed ogni nodo opera in modo autonomo senza possibilità di gestione unificata, sia per quanto riguarda le impostazioni che per la reportistica.
Se consideriamo però che per le proprie configurazioni Defender utilizza il registry e per le notifiche il registro eventi, possiamo ipotizzare, che con un po’ di lavoro, si riesca ad impostare una configurazione centralizzata. Chiaramente non è una soluzione esportabile in grandi realtà, ma per piccole e medie installazioni si può tranquillamente adottare.
Le definizioni di aggiornamento del Defender sono distribuite come update e quindi ridistribuitili internamente tramite WSUS, oppure reperite automaticamente in rete.
Tramite le Group Policy è possibile gestire totalmente il Defender e per mezzo dell’analisi del registry rilevare lo stato di ogni singola postazione sia essa client o server.
È bene ricordare che, nel caso si adotti la modalità di configurazione tramite GPO, l’intero Defender è bloccato per le parti gestite centralmente e non sarà possibile in nessun modo effettuare modifiche, anche disponendo di credenziali amministrative locali, intervenire sulla configurazione.
Al di là della scelta di implementazione della modalità, è possibile gestire Windows Defender completamente in modo centralizzato. In questo articolo andremo a vedere come creare un’esclusione di percorso.
Gestione via Group Policy Preferences
La figura 1 mostra la chiave da creare per aggiungere l’esclusione.
Figura 1 – Creazione Regola Esclusione
In questo caso per effettuarne la rimozione è necessario reimpostare la stessa Group Policy Preferences con Action impostata a Remove.
Gestione via GPO
Per gestire le esclusioni tramite le classiche GPO, è necessario posizionarsi all’interno della sezione Windows Components – Windows Defender – Exclusions ed aggiungere i percorsi desiderati, come mostra la figura 2.
Figura 2 – Gestione via GPO
Il Defender riporta le esclusioni così come impostate tramite le Group Policy, come mostra la figura 3; per le policy applicate tramite il metodo Group Policy Preferences, sarà possibile rimuoverle temporaneamente, fino a successivo ciclo di applicazione policy, solo se l’utente dispone di credenziali diministratore.
Figura 3 – Esclusioni in un Client
Rilevazione delle attività tramite Registro Eventi
Ho accennato prima che Defender “archivia” le proprie notifiche all’interno del Registro Eventi, effettuando quindi una ricerca è possibile individuare le infezioni rilevate, così come eventuali nodi che possono essere non aggiornati o che presentano problemi di funzionamento.
Tramite la definizione di una “Visualizzazione Personalizzata” è possibile raccogliere ed evidenziare gli Eventi relativi al motore antivirus, gli eventi 1006 e 1007 informano della rilevazione di un potenziale malware, mentre gli eventi 2001 e 2003 notificano problemi nell’aggiornamento delle definizioni.
È possibile anche effettuare una centralizzazione degli eventi rilevati inviandoli ad una unica macchina che avrà il compito di lavorare come collector. Così facendo è possibile avere in un unico “contenitore” lo stato generale di funzionamento dell’ambiente antivirus aziendale.
In questo articolo ho approfondito le modalità operative della centralizzazione degli eventi secondo le modalità di Collection messe a disposizione da Windows.