Abilitare le regole per la riduzione della superficie di attacco

  • 17 minuti

La superficie di attacco include tutte le posizioni in cui un utente malintenzionato potrebbe compromettere i dispositivi o le reti dell'organizzazione. La riduzione della superficie di attacco implica la protezione dei dispositivi e della rete dell'organizzazione, che lascia agli utenti malintenzionati meno opportunità di attacco.

Le regole di riduzione della superficie di attacco sono mirate a determinati comportamenti del software spesso usati impropriamente dagli utenti malintenzionati. Tali comportamenti includono:

  • Avvio di file eseguibili e script che provano a scaricare o a eseguire file

  • Esecuzione di script offuscati o altrimenti sospetti

  • Esecuzione di comportamenti che le app non esibiscono in genere durante la normale attività giornaliera.

Tali comportamenti del software vengono a volte riscontrati in applicazioni legittime, però sono spesso considerati rischiosi perché in genere vengono usati impropriamente dal malware. Le regole di riduzione della superficie di attacco possono vincolare comportamenti rischiosi e garantire la protezione dell'organizzazione.

Ogni regola di riduzione della superficie di attacco contiene una delle quattro impostazioni seguenti:

  • Non configurata: disabilitare la regola di riduzione della superficie di attacco

  • Blocca: abilitare la regola di riduzione della superficie di attacco

  • Controllo: valutare il modo in cui la regola di riduzione della superficie di attacco influirà sull'organizzazione se abilitata

  • Avvisa: abilita la regola di riduzione della superficie di attacco ma consente all'utente finale di ignorare il blocco.

Regole per la riduzione della superficie di attacco

Le regole di riduzione della superficie di attacco supportano attualmente le regole seguenti:

  • Blocca il contenuto eseguibile dal client di posta elettronica e dalla posta sul Web
  • Impedire a tutte le applicazioni di Office di creare processi figlio
  • Impedire alle applicazioni di Office di creare contenuti eseguibili
  • Impedire alle applicazioni di Office di inserire codice in altri processi
  • Impedire a JavaScript o VBScript di avviare contenuti eseguibili scaricati
  • Blocca l'esecuzione di script potenzialmente offuscati
  • Bloccare le chiamate API Win32 dalla macro di Office
  • Usare la protezione avanzata da ransomware
  • Bloccare il furto delle credenziali dal sottosistema delle autorità di sicurezza locale di Windows (lsass.exe)
  • Blocca le creazioni di processi provenienti da comandi PSExec e WMI
  • Bloccare i processi non attendibili e non firmati eseguiti da USB
  • Bloccare l’esecuzione di file eseguibili a meno che non soddisfino criteri di prevalenza, età o di un elenco attendibile
  • Impedisci alle applicazioni di comunicazione di Office di creare processi figlio
  • Impedire ad Adobe Reader di creare processi figlio
  • Blocca la persistenza tramite la sottoscrizione di eventi WMI

Escludi file e cartelle dalle regole per la riduzione della superficie di attacco

È possibile escludere i file e le cartelle dalla valutazione per la maggior parte delle regole di riduzione della superficie di attacco. Ciò significa che, anche se una regola di riduzione della superficie di attacco determina che il file o la cartella contiene un comportamento dannoso, non bloccherà l'esecuzione del file, e quindi anche i file potenzialmente non sicuri possono essere eseguiti e infettare i dispositivi.

Si esclude l’attivazione delle regole di riduzione della superficie di attacco in base al certificato e agli hash file, consentendo specifici indicatori di file e certificati di Microsoft Defender per endpoint.

È possibile specificare singoli file o cartelle (usando percorsi di cartella o nomi di risorse completi), ma non è possibile specificare a quali regole vengono applicate le esclusioni. Un'esclusione viene applicata solo quando vengono avviati l'applicazione o il servizio esclusi. Se ad esempio si aggiunge un'esclusione per un servizio di aggiornamento già in esecuzione, questo continuerà ad attivare gli eventi fino a quando non viene arrestato e riavviato.

Modalità di controllo per la valutazione

Usare la modalità di controllo per valutare il modo in cui le regole di riduzione della superficie di attacco potrebbero avere un effetto sull'organizzazione se abilitate. È preferibile eseguire prima tutte le regole in modalità di controllo per poterne comprendere l'effetto sulle applicazioni line-of-business. Molte applicazioni line-of-business sono scritte con aspetti di sicurezza limitati e possono eseguire attività in modi simili al malware. Monitorando i dati di controllo e aggiungendo esclusioni per le applicazioni necessarie, è possibile distribuire le regole di riduzione della superficie di attacco senza alcun effetto sulla produttività.

Notifiche all’attivazione di una regola

Ogni volta che viene attivata una regola, nel dispositivo viene visualizzata una notifica. Puoi personalizzare la notifica con dettagli dell'azienda e le informazioni di contatto. La notifica viene mostrata anche all’interno del portale di Microsoft Defender.

Configurare le regole per la riduzione della superficie di attacco

È possibile configurare queste regole per i dispositivi che eseguono una delle edizioni e le versioni di Windows seguenti:

  • Windows 10 Pro versione 1709 o successiva
  • Windows 10 Enterprise versione 1709 o successiva
  • Windows Server versione 1803 (Canale semestrale) o versione successiva
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

È possibile abilitare le regole di riduzione della superficie di attacco usando uno dei metodi seguenti:

  • Microsoft Intune
  • Gestione di dispositivi mobili (MDM)
  • Microsoft Endpoint Configuration Manager
  • Criteri di gruppo
  • PowerShell

È consigliabile usare una gestione a livello aziendale, ad esempio Intune o Microsoft Endpoint Configuration Manager. La gestione a livello aziendale sovrascriverà le impostazioni di Criteri di gruppo o PowerShell in conflitto all'avvio.

Intune

Profili di configurazione dispositivo:

  1. Selezionare Configurazione dispositivo > Profili. Scegliere un profilo di protezione endpoint esistente o crearne uno nuovo. Per crearne uno nuovo, selezionare Crea profilo e immettere le informazioni per questo profilo. Per Tipo profilo selezionare Endpoint Protection. Se è stato scelto un profilo esistente, selezionare Proprietà e quindi Impostazioni.

  2. Nel riquadro Endpoint Protection selezionare Windows Defender Exploit Guard, quindi selezionare Riduzione della superficie di attacco. Selezionare l'impostazione desiderata per ogni regola.

  3. Nelle eccezioni della riduzione della superficie di attacco immettere singoli file e cartelle. È anche possibile selezionare Importa per importare un file CSV che contenga file e cartelle da escludere dalle regole per la riduzione della superficie di attacco. Ogni riga del file CSV deve essere formattata come indicato di seguito:

    C:\cartella,%Programmi%\cartella\file, C:\percorso

  4. Selezionare OK nei tre riquadri di configurazione. Selezionare quindi Crea se si sta creando un nuovo file di protezione endpoint o Salva se si sta modificando un file esistente.

Criteri di sicurezza degli endpoint:

  1. Selezionare Sicurezza degli endpoint > Riduzione della superficie di attacco. Scegliere una regola esistente o crearne una nuova. Per crearne una nuova, selezionare Crea criteri e immettere le informazioni per questo profilo. Per il tipo di profilo selezionare Regole di riduzione della superficie di attacco. Se è stato scelto un profilo esistente, selezionare Proprietà e quindi Impostazioni.

  2. Nel riquadro delle impostazioni di configurazione selezionare Riduzione della superficie di attacco e quindi selezionare l'impostazione desiderata per ogni regola.

  3. In Elenco di cartelle aggiuntive da proteggere, Elenco di app con accesso alle cartelle protette e Escludi file e percorsi dalle regole per la riduzione della superficie di attacco immettere singoli file e singole cartelle. È anche possibile selezionare Importa per importare un file CSV che contenga file e cartelle da escludere dalle regole per la riduzione della superficie di attacco. Ogni riga del file CSV deve essere formattata come indicato di seguito:

    C:\cartella,%Programmi%\cartella\file, C:\percorso

  4. Selezionare Avanti nei tre riquadri di configurazione e quindi selezionare Crea se si intende creare un nuovo criterio o Salva se intende modificarne uno esistente.

Gestione di dispositivi mobili

Per gestire le regole di riduzione della superficie di attacco nella gestione di dispositivi mobili:

  • Usare il provider del servizio di configurazione (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules per abilitare e impostare individualmente la modalità per ogni regola.

  • Seguire il riferimento per la gestione di dispositivi mobili nelle regole di riduzione della superficie di attacco per l'uso dei valori GUID.

  • Percorso URI OMA: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Valore: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • I valori da abilitare, disabilitare o abilitare in modalità di controllo sono i seguenti:

    • Disabilita = 0

    • Blocca (abilita regola di riduzione della superficie di attacco) = 1

    • Controllo = 2

  • Usare il provider del servizio di configurazione (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions per aggiungere esclusioni.

Esempio:

  • Percorso URI OMA: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Valore: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Per gestire le regole di riduzione della superficie di attacco in Microsoft Endpoint Configuration Manager:

  1. In Microsoft Endpoint Configuration Manager passare a Asset e conformità > Endpoint Protection > Windows Defender Exploit Guard.

  2. Selezionare Home > Crea criteri di Exploit Guard.

  3. Immettere un nome e una descrizione, selezionare Riduzione della superficie di attacco e fare clic su Avanti.

  4. Scegliere le regole che bloccano o controllano le azioni e selezionare Avanti.

  5. Esaminare le impostazioni e selezionare Avanti per creare il criterio.

  6. Dopo la creazione del criterio, selezionare Chiudi.

Criteri di gruppo

Per gestire le regole di riduzione della superficie di attacco in Criteri di gruppo:

Avviso

Se si gestiscono computer e dispositivi con Intune, Configuration Manager o un'altra piattaforma di gestione a livello aziendale, il software di gestione sovrascriverà eventuali impostazioni di Criteri di gruppo in conflitto all'avvio.

  1. Nel computer di gestione di Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si vuole configurare e scegliere Modifica.

  2. Nella Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

  3. Espandere la struttura ad albero per visualizzare Componenti di Windows > Antivirus Microsoft Defender > Windows Defender Exploit Guard > Riduzione della superficie di attacco.

  4. Selezionare Configura regole di riduzione della superficie di attacco e selezionare Abilitato. È quindi possibile impostare lo stato singolo per ogni regola nella sezione Opzioni.

  5. Selezionare Mostra... e immettere l'ID della regola nella colonna Nome valore e lo stato scelto nella colonna Valore, come indicato di seguito:

    Disabilita = 0 Blocca (abilita regola di riduzione della superficie di attacco) = 1 Controllo = 2

  6. Per escludere file e cartelle dalle regole di riduzione della superficie di attacco, selezionare l'impostazione Escludi file e percorsi dalle regole di riduzione della superficie di attacco e impostare l'opzione su Abilitato. Selezionare Mostra e immettere ogni file o cartella nella colonna Nome valore. Immettere 0 nella colonna Valore per ogni elemento.

PowerShell

Per gestire le regole di riduzione della superficie di attacco con PowerShell:

Avviso

Se si gestiscono computer e dispositivi con Intune, Configuration Manager o un'altra piattaforma di gestione a livello aziendale, il software di gestione sovrascriverà eventuali impostazioni di PowerShell in conflitto all'avvio. Per consentire agli utenti di definire il valore con PowerShell, usare l'opzione "Definita dall'utente" per la regola nella piattaforma di gestione.

  1. Digitare PowerShell nel menu Start, fare clic con il pulsante destro del mouse su Windows PowerShell e scegliere Esegui come amministratore.

  2. Immettere il cmdlet seguente:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Per abilitare le regole di riduzione della superficie di attacco in modalità di controllo, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Per disattivare le regole di riduzione della superficie di attacco, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. È necessario specificare lo stato singolarmente per ogni regola, ma è possibile combinare regole e stati in un elenco delimitato da virgole.

  6. Nell'esempio seguente, le prime due regole verranno abilitate, la terza regola verrà disabilitata e la quarta regola verrà abilitata in modalità di controllo:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. È anche possibile usare il verbo Add-MpPreference PowerShell per aggiungere nuove regole all'elenco esistente.

  8. Set-MpPreference sovrascriverà sempre il set di regole esistente. Se si vogliono aggiungere regole al set esistente, usare invece Add-MpPreference. È possibile ottenere un elenco di regole e il relativo stato corrente usando Get-MpPreference.

  9. Per escludere file e cartelle dalle regole di riduzione della superficie di attacco, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Continuare a usare Add-MpPreference-AttackSurfaceReductionOnlyExclusions per aggiungere altri file e cartelle all'elenco.

Importante

Usare Add-MpPreference per accodare o aggiungere app all'elenco. L'uso del cmdlet Set-MpPreference sovrascriverà l'elenco esistente.

Elenco degli eventi di riduzione della superficie di attacco

Tutti gli eventi di riduzione della superficie di attacco si trovano in Registri applicazioni e servizi > Microsoft > Windows nel Visualizzatore eventi di Windows.