Valutare la protezione dagli exploit
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
La protezione dagli exploit consente di proteggersi dai malware che usano gli exploit per diffondersi e infettare gli altri dispositivi. La mitigazione può essere applicata al sistema operativo o a una singola app. Molte delle funzionalità che facevano parte di Enhanced Mitigation Experience Toolkit (EMET) sono incluse nella protezione dagli exploit. (EMET ha raggiunto la fine del supporto.)
Nell’audit, è possibile vedere come funziona la mitigazione per determinate app in un ambiente di testing. Ciò mostra cosa accade se si abilita la protezione dagli exploit nell'ambiente di produzione. In questo modo, è possibile verificare che la protezione dagli exploit non influisca negativamente sulle app line-of-business e vedere quali eventi sospetti o dannosi si verificano.
Linee guida generiche
Le mitigazioni della protezione dagli exploit funzionano a basso livello nel sistema operativo e alcuni tipi di software che eseguono operazioni di basso livello simili potrebbero avere problemi di compatibilità quando sono configurati per essere protetti tramite la protezione dagli exploit.
Quali tipi di software non devono essere protetti dalla protezione dagli exploit?
- Software di prevenzione o rilevamento antimalware e intrusioni
- Debugger
- Software che gestisce le tecnologie DRM (Digital Rights Management), ovvero i videogiochi
- Software che usa tecnologie anti-debug, offuscamento o hooking
Quale tipo di applicazioni è consigliabile considerare per abilitare la protezione dagli exploit?
Applicazioni che ricevono o gestiscono dati non attendibili.
Quale tipo di processi non rientra nell'ambito della protezione dagli exploit?
Servizi
- Servizi di sistema
- Servizi di rete
Mitigazioni della protezione dagli exploit abilitate per impostazione predefinita
| Mitigazione | Abilitato per impostazione predefinita |
|---|---|
| Protezione esecuzione programmi (DEP) | Applicazioni a 64 bit e a 32 bit |
| Convalida catene di eccezione (SEHOP) | Applicazioni a 64 bit |
| Convalida l'integrità dell'heap | Applicazioni a 64 bit e a 32 bit |
Mitigazioni "Impostazioni programma" deprecate
| Mitigazioni delle "impostazioni del programma" | Motivo |
|---|---|
| Filtro di indirizzi da esportare (EAF) | Problemi di compatibilità delle applicazioni |
| Filtro di indirizzi da importare (IAF) | Problemi di compatibilità delle applicazioni |
| Simula l'esecuzione (SimExec) | Sostituito con Arbitrario Code Guard (ACG) |
| Convalida chiamata di API (CallerCheck) | Sostituito con Arbitrario Code Guard (ACG) |
| Convalida l'integrità della pila (StackPivot) | Sostituito con Arbitrario Code Guard (ACG) |
Procedure consigliate per le applicazioni di Office
Invece di usare Protezione dagli exploit per applicazioni di Office come Outlook, Word, Excel, PowerPoint e OneNote, è consigliabile usare un approccio più moderno per evitarne l'uso improprio: regole di riduzione della superficie di attacco (regole ASR):
- Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail
- Impedire alle applicazioni di Office di creare contenuto eseguibile
- Impedire a tutte le applicazioni di Office di creare processi figlio
- Impedire all'applicazione di comunicazione di Office di creare processi figlio
- Impedire alle applicazioni di Office di inserire codice in altri processi
- Blocca l'esecuzione di script potenzialmente offuscati
- Bloccare le chiamate API Win32 dalle macro di Office
Per Adobe Reader usare la regola ASR seguente:
• Impedire ad Adobe Reader di creare processi figlio
Elenco di compatibilità delle applicazioni
Nella tabella seguente sono elencati prodotti specifici che presentano problemi di compatibilità con le mitigazioni incluse nella protezione dagli exploit. È necessario disabilitare mitigazioni incompatibili specifiche se si vuole proteggere il prodotto usando la protezione dagli exploit. Tenere presente che questo elenco prende in considerazione le impostazioni predefinite per le versioni più recenti del prodotto. I problemi di compatibilità possono essere introdotti quando si applicano determinati componenti aggiuntivi o altri componenti al software standard.
| Prodotto | Mitigazione della protezione dagli exploit |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| console 7-Zip/GUI/Gestione file | EAF |
| Processori AMD 62xx | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Determinati driver video AMD (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map e PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | DEP di sistema=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| La versione di Siebel CRM è 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Windows Media Player | MandatoryASLR, EAF |
ǂ le mitigazioni EMET potrebbero non essere compatibili con Oracle Java quando vengono eseguite usando impostazioni che riservano una grande quantità di memoria per la macchina virtuale, ovvero usando l'opzione -Xms.
Abilitare le impostazioni del sistema di protezione dagli exploit per il test
Queste impostazioni di sistema di Protezione dagli exploit sono abilitate per impostazione predefinita, ad eccezione di AslR (Mandatory Address Space Layout Randomization) in Windows 10 e versioni successive, Windows Server 2019 e versioni successive e in Windows Server versione 1803 core edition e versioni successive.
| Impostazioni di sistema | Impostazione |
|---|---|
| Protezione del flusso di controllo (CFG) | Usare il valore predefinito (Attivato) |
| Protezione esecuzione programmi (DEP) | Usare il valore predefinito (Attivato) |
| Forza la randomizzazione per le immagini (ASRL obbligatorio) | Usare il valore predefinito (Disattivato) |
| Randomize memory allocations (ASRL bottom-up) | Usare il valore predefinito (Attivato) |
| ASRL ad entropia elevata | Usare il valore predefinito (Attivato) |
| Convalida catene di eccezione (SEHOP) | Usare il valore predefinito (Attivato) |
L'esempio xml è disponibile di seguito
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Abilitare le impostazioni del programma di protezione dagli exploit per il test
Consiglio
È consigliabile esaminare l'approccio moderno per le mitigazioni delle vulnerabilità, ovvero usare le regole di riduzione della superficie di attacco (regole ASR).
È possibile impostare le mitigazioni in una modalità di test per programmi specifici utilizzando l’app Sicurezza di Windows o Windows PowerShell.
App Sicurezza di Windows
Aprire l'app Sicurezza di Windows. Selezionare l’icona a forma di scudo nella barra delle applicazioni o eseguire la ricerca di Sicurezza di Windows nel menu Start.
Selezionare il riquadro Controllo app e browser, o l'icona dell'app sulla barra dei menu a sinistra, e selezionare quindi Protezione dagli exploit.
Andare a Impostazioni del programma e scegliere l'app a cui si desidera applicare le mitigazioni.
Se l'app da configurare è già elencata, selezionarla e quindi selezionare Modifica.
Se l'app non è elencata nella parte superiore dell'elenco, selezionare Aggiungi programma da personalizzare. Quindi, scegliere la modalità di aggiunta dell’app.
- Usare Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con un'estensione. È possibile immettere un percorso completo per limitare la mitigazione solo all'app con questo nome in quella posizione.
- Usare Scegli il percorso esatto del file per utilizzare una finestra di selezione file Esplora risorse standard per trovare e selezionare il file desiderato.
Dopo aver selezionato l'app, verrà visualizzato un elenco di tutte le mitigazioni che è possibile applicare. Se si sceglie Audit , la mitigazione viene applicata solo in modalità test. Si riceve una notifica se è necessario riavviare il processo, l'app o Windows.
Ripetere questa procedura per tutte le app e le mitigazioni da configurare. Al termine della configurazione, selezionare Applica.
PowerShell
Per impostare le mitigazioni a livello di app sulla modalità di test, usare Set-ProcessMitigation con il cmdlet Della modalità di controllo .
Configurare ciascuna mitigazione nel formato seguente:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Dove:
-
<Ambito>:
-
-Nameper indicare che le mitigazioni devono essere applicate a un'app specifica. Specificare l'eseguibile dell'app dopo questo flag.
-
-
<Azione>:
-
-Enableper abilitare la mitigazione-
-Disableper disabilitare la mitigazione
-
-
-
<Mitigazione>:
- Cmdlet di mitigazione, come definito nella tabella seguente. Ogni mitigazione è separata da una virgola.
| Mitigazione | Cmdlet per la modalità di test |
|---|---|
| Controllo arbitrario di codice (ACG) | AuditDynamicCode |
| Blocca immagini con bassa integrità | AuditImageLoad |
| Blocca i tipi di carattere non attendibili |
AuditFont, FontAuditOnly |
| Controllo integrità codice |
AuditMicrosoftSigned, AuditStoreSigned |
| Disabilita le chiamate di sistema Win32k | AuditSystemCall |
| Non consente i processi figlio | AuditChildProcess |
Ad esempio, per abilitare Arbitrary Code Guard (ACG) in modalità di test per un'app denominata testing.exe, eseguire il comando seguente:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
È possibile disabilitare la modalità di controllo sostituendola -Enable con -Disable.
Esaminare gli eventi di controllo di protezione dagli exploit
Per verificare quali app verranno bloccate, aprire Visualizzatore eventi e filtrare gli eventi seguenti nel log Security-Mitigations.
| Funzionalità | Provider/origine | ID evento | Descrizione |
|---|---|---|---|
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 1 | Controllo di ACG |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 3 | Non consente il controllo dei processi figlio |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 5 | Controllo di Blocca immagini con bassa integrità |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 7 | Controllo di Blocca immagini remote |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 9 | Controllo di Disabilita le chiamate di sistema win32k |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 11 | Controllo di Controllo integrità codice |
Vedere anche
- Abilitare la protezione dagli exploit
- Configurare e controllare le mitigazioni della protezione dagli exploit
- Importare, esportare e distribuire configurazioni di protezione da exploit
- Risolvere i problemi di protezione dagli exploit
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.