La questione se installare un antivirus aggiuntivo su Windows 11 oppure affidarsi a quello già integrato nel sistema operativo è una di quelle che torna fuori a intervalli regolari. Microsoft ha preso una posizione ufficiale piuttosto netta: Microsoft Defender, il software di protezione incluso nel sistema, sarebbe più che sufficiente per la maggior parte degli utenti. Ora, è chiaro che chiedere al produttore se il proprio strumento basta equivale un po’ a chiedere all’oste se il vino è buono. Il punto vero, però, sta nei dettagli tecnici e nei limiti concreti di questa protezione.
Windows Defender, oggi chiamato Microsoft Defender Antivirus, è cambiato parecchio rispetto alle versioni di qualche anno fa. Non si tratta più di un semplice scanner di file: su Windows 11 funziona come un sistema articolato, composto da più moduli che lavorano insieme al kernel, ai servizi cloud e alle politiche di sicurezza locali. La protezione in tempo reale monitora file e processi in esecuzione, mentre il motore di analisi comportamentale basato su machine learning aggiunge un ulteriore livello. I file sospetti non vengono valutati solo sul dispositivo, ma confrontati con segnali raccolti su larga scala attraverso i servizi cloud Microsoft. Questo consente di classificare rapidamente nuove minacce, anche se va detto che l’efficacia dipende molto dalla connettività: se il flusso verso il cloud viene limitato, la capacità di risposta si riduce.
Tra i componenti meno conosciuti c’è SmartScreen, un sistema di reputazione che analizza sia siti web che file scaricati. Non si limita a bloccare URL noti come pericolosi: valuta la diffusione di un file e i comportamenti a esso associati, intervenendo anche in assenza di una firma malware specifica. Funziona bene contro campagne di phishing e malware distribuiti tramite link temporanei, ma presenta limiti con elementi già presenti sulla rete locale o copiati manualmente, ad esempio tramite chiavette USB.
Smart App Control, protezione antiransomware e i limiti di Defender
Una delle novità più significative di Windows 11 è Smart App Control, il cosiddetto Controllo intelligente delle app. A differenza di SmartScreen, che agisce sui download, questa funzionalità interviene direttamente sull’esecuzione delle applicazioni, consentendo l’avvio solo del software considerato sicuro in base a firme digitali valide o reputazione consolidata. Le applicazioni sconosciute vengono bloccate prima ancora di poter essere eseguite. Con gli aggiornamenti più recenti, Smart App Control è diventato attivabile anche senza richiedere un’installazione pulita di Windows 11: digitando “Controllo intelligente delle app” nella casella di ricerca, la casella “Attivato” risulta ora selezionabile anche su sistemi già in uso da tempo.
Sul fronte del ransomware, Microsoft ha integrato una funzionalità chiamata Accesso alle cartelle controllato, accessibile dalla finestra Protezione ransomware. Questo meccanismo impedisce a processi non autorizzati di modificare file in directory sensibili come Documenti o Desktop. Anche se un malware riesce a eseguire codice, non può cifrare i file senza autorizzazione. A questo si aggiunge l’integrazione con OneDrive per il ripristino dei file in caso di attacco. Queste funzionalità, però, richiedono configurazione attiva e non sono sempre abilitate di default in modo completo.
Quando un antivirus esterno ha ancora senso
Nonostante tutto questo, esistono scenari in cui soluzioni aggiuntive restano sensate. Ambienti con più dispositivi, esigenze di monitoraggio centralizzato o necessità di protezione avanzata dell’identità richiedono strumenti più completi. Alcune suite offrono funzionalità che Defender nella versione base non include: VPN, gestione avanzata delle attività dei minori, sandbox dedicate e strumenti di auditing.
Installare un antivirus esterno non è però una scelta priva di conseguenze. Ogni soluzione introduce nuovi servizi in background, con un impatto diretto su CPU e RAM. Nei sistemi meno performanti, questo si traduce in rallentamenti percepibili, soprattutto durante scansioni e aggiornamenti. Anche Microsoft Defender può impegnare severamente la CPU: per verificare il carico medio è disponibile il comando Get-MpPreference | Select ScanAvgCPULoadFactor, mentre con Set-MpPreference -ScanAvgCPULoadFactor 20 si può limitare l’occupazione al 20%.
C’è poi un aspetto meno rassicurante. Anche un prodotto integrato e aggiornato può presentare vulnerabilità. Un esempio recente è l’exploit RedSun, successore di BlueHammer, che sfrutta la logica interna di Defender per ottenere privilegi SYSTEM anche su sistemi completamente aggiornati. L’attacco abusa del meccanismo di remediation e dell’interazione con le Cloud Files API per forzare la scrittura di file in percorsi sensibili, aprendo la strada a una privilege escalation locale. Falle come BlueHammer e RedSun mostrano come anche componenti progettati per difendere il sistema possano diventare vettori di attacco quando emergono condizioni inattese nella gestione dei file o dei privilegi.
