Whitelisting domini su Microsoft Edge tramite GPO Windows

Questa configurazione permette di evitare avvisi SmartScreen su Microsoft Edge durante le campagne di phishing simulato. Utilizza Group Policy Objects in Active Directory.

Prerequisiti

• Active Directory Domain Services (AD DS) funzionante
• Credenziali di Domain Admin
• Microsoft Edge installato (preinstallato su Windows 10/11)
• Accesso a Group Policy Management Console (gpmc.msc)
• domini Cyber Guru

L'elenco completo dei domini di landing page è disponibile in piattaforma nella sezione:
"HELP > Support - Knowledge > Click here to download whitelisting additional informations"

Informazioni sui template ADMX Edge

ℹ️ Nota: Su Windows Server 2022, i template Edge (msedge.admx) sono già presenti in C:\Windows\PolicyDefinitions\. Se utilizzi versioni precedenti di Windows Server o Windows, scarica i template da https://www.microsoft.com/en-us/edge/business/download

Verifica rapida: Apri C:\Windows\PolicyDefinitions\ e cerca il file msedge.admx. Se esiste, puoi procedere direttamente al Passo 2.

Passo 1: Verificare template ADMX Edge

1. Aprire Esplora file e navigare a:

   C:\Windows\PolicyDefinitions\
   

2. Cercare il file msedge.admx

Se il file ESISTE:

• Procedi al Passo 2

Se il file NON esiste:

• Scaricare da https://www.microsoft.com/en-us/edge/business/download
• Estrarre il pacchetto

• Copiare msedge.admx e msedge.adml nelle cartelle appropriate:

  msedge.admx → C:\Windows\PolicyDefinitions\
  msedge.adml → C:\Windows\PolicyDefinitions\en-US\ (o it-IT\)
  

Passo 2: Creare e linkare la GPO

1. Aprire Group Policy Management Console (gpmc.msc)
2. Navigare alla OU (Organizational Unit) target
3. Cliccare destro su OU → Create a GPO in this domain, and Link it here
4. Digitare il nome: Cyber Guru SmartScreen Whitelist - Edge
5. Cliccare OK

Passo 3: Configurare SmartScreen Allowlist in GPO

1. Dalla console GPMC, cliccare destro sulla GPO → Edit

2. Navigare a:

   Computer Configuration → Policies → Administrative Templates
   → Microsoft Edge → SmartScreen settings
   

3. Cercare e aprire: "Configure the list of domains for which Microsoft Defender SmartScreen won't trigger warnings"

4. Selezionare Enabled

5. Cliccare il pulsante Show sotto "Value"

6. Nella finestra "Show Contents", inserire i domini uno per per riga:

   [DOMINIO-1]
   [DOMINIO-2]
   [DOMINIO-3]
   ...
   [DOMINIO-N]
   

7. Cliccare OK al completamento

8. Cliccare OK per salvare la policy

Passo 4: Verifica su endpoint

1. Su un client Windows con Edge installato, forzare l'aggiornamento delle policy:

   gpupdate /force
   

2. Aprire Microsoft Edge e navigare a:

   edge://policy
   

3. Cercare SmartScreenAllowListDomains - dovrebbe mostrare i domini configurati
4. Verificare che non appaiano avvisi SmartScreen quando si accede ai domini whitelistati

⚠️ Attenzione: Non disabilitare globalmente SmartScreen su Edge. La policy di whitelist permette di gestire le eccezioni mantenendo la protezione attiva per altri siti.

Risoluzione problemi

La policy non appare in edge://policy:

• Verificare che msedge.admx sia in PolicyDefinitions
• Eseguire gpupdate /force ancora una volta
• Riavviare Edge

Avvisi SmartScreen ancora presenti:

• Controllare che il dominio sia esatto (maiuscole/minuscole non importano)
• Attendere la propagazione della policy in AD (fino a 30 minuti)
• Testare con una finestra InPrivate per escludere cache

Nota: Microsoft Defender for Endpoint (MDE)

⚠️ Attenzione: Se l'organizzazione utilizza Microsoft Defender for Endpoint (MDE), la policy SmartScreenAllowListDomains configurata via GPO viene ignorata. In questo caso, il whitelisting va configurato tramite il portale Microsoft 365 Defender