Condividi tramite


Abilitare la protezione dagli exploit

Si applica a:

Consiglio

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

La protezione dagli exploit consente di proteggersi dai malware che usano gli exploit per infettare i dispositivi e diffondersi. La protezione dagli exploit è costituita da numerose mitigazioni che possono essere applicate al sistema operativo o alle singole app.

Importante

.NET 2.0 non è compatibile con alcune funzionalità di protezione dagli exploit, in particolare EAF (Export Address Filtering) e IAF (Import Address Filtering). Se .NET 2.0 è stato abilitato, l'uso di EAF e IAF non è supportato.

Molte delle funzionalità in Enhanced Mitigation Experience Toolkit (EMET) sono incluse nella protezione dagli exploit.

Prerequisiti

Questa sezione include consigli per la corretta distribuzione della protezione dagli exploit.

  • Configurare il monitoraggio per gli arresti anomali dell'applicazione (ID evento 1000 e/o ID evento 1001) e/o blocchi (ID evento 1002)

  • Abilitare la raccolta completa dei dump in modalità utente

  • Verificare quali applicazioni sono già compilate con "Control Flow Guard" (CFG) che si concentrano principalmente sulla mitigazione delle vulnerabilità di danneggiamento della memoria. Usare lo strumento dumpbin per verificare se è compilato con cfg. Per queste applicazioni, è possibile ignorare l'abilitazione dell'imposizione per DEP, ASRL, SEHOP e ACG.

  • Usare procedure di distribuzione sicure.

Avviso

Se non si testano e non si passano attraverso procedure di distribuzione sicure, è possibile contribuire alle interruzioni della produttività degli utenti finali.

Procedure di distribuzione sicure

Procedure di distribuzione sicura (SDP): i processi e le procedure di distribuzione sicuri definiscono come apportare e distribuire in modo sicuro le modifiche al carico di lavoro. L'implementazione di SDP richiede di considerare le distribuzioni attraverso l'obiettivo della gestione dei rischi. È possibile ridurre al minimo il rischio di interruzioni della produttività degli utenti finali nelle distribuzioni e limitare gli effetti delle distribuzioni problematiche sugli utenti implementando SDP.

Iniziare con un piccolo set (ad esempio, da 10 a 50) di dispositivi Windows e usarlo come ambiente di test per vedere quali delle 21 mitigazioni sono incompatibili con la protezione dagli exploit. Rimuovere le mitigazioni non compatibili con l'applicazione. Ripetere con le applicazioni di destinazione. Una volta che si ritiene che il criterio sia pronto per la produzione.

Per iniziare, eseguire il push in User Acceptance Testing (UAT) composto da amministratori IT, amministratori della sicurezza e personale dell'help desk. Quindi a 1%, 5%, 10%, 25%, 50%, 75% e infine al 100% dell'ambiente.

Abilitazione delle mitigazioni della protezione dagli exploit

È possibile abilitare ciascuna mitigazione separatamente con uno di questi metodi:

La protezione dagli exploit è configurata in Windows 10 e Windows 11 per impostazione predefinita. È possibile impostare ciascuna mitigazione su attivata, disattivata o sul valore predefinito. Alcune mitigazioni dispongono di più opzioni. È possibile esportare le impostazioni come file XML e distribuirle in altri dispositivi.

È anche possibile impostare le mitigazioni sulla modalità di controllo. La modalità di controllo consente di testare il funzionamento delle mitigazioni, oltre a esaminare gli eventi, senza influire sul normale utilizzo del dispositivo.

App Sicurezza di Windows

  1. Aprire l'app Sicurezza di Windows selezionando l'icona a forma di scudo nella barra delle applicazioni o eseguendo la ricerca di Sicurezza nel menu Start.

  2. Selezionare il riquadro Controllo app e browser, o l'icona dell'app sulla barra dei menu a sinistra, e selezionare quindi Impostazioni di protezione dagli exploit.

  3. Andare alle impostazioni del programma e scegliere l'app a cui si desidera applicare le mitigazioni.

    • Se l'app che si desidera configurare è già elencata, selezionarla poi scegliere Modifica.
    • Se l'app non è elencata, nella parte superiore dell'elenco selezionare Aggiungi programma da personalizzare e quindi scegliere come aggiungere l'app.
    • Usare Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con la relativa estensione. È possibile immettere un percorso completo per limitare la mitigazione solo all'app con questo nome in quella posizione.
    • Usare Scegli il percorso esatto del file per utilizzare una finestra di selezione file Esplora risorse standard per trovare e selezionare il file desiderato.
  4. Dopo aver selezionato l'app, verrà visualizzato un elenco di tutte le mitigazioni che è possibile applicare. Se si sceglie Audit , la mitigazione viene applicata solo in modalità di controllo. Si riceve una notifica se è necessario riavviare il processo o l'app o se è necessario riavviare Windows.

  5. Ripetere i passaggi da 3 a 4 per tutte le app e le mitigazioni da configurare.

  6. Nella sezione Impostazioni di sistema, individuare la mitigazione che si desidera configurare e quindi specificare una delle impostazioni seguenti. Le app che non sono configurate singolarmente nella sezione Impostazioni programma usano le impostazioni configurate qui.

    • Attivata per impostazione predefinita: la mitigazione è abilitata per le app per cui la mitigazione non è impostata nella sezione Impostazioni programma specifica dell'app
    • Disattivata per impostazione predefinita: la mitigazione è abilitata per le app per cui la mitigazione non è impostata nella sezione Impostazioni programma specifica dell'app
    • Usa l'impostazione predefinita: la mitigazione è abilitata o disabilitata, a seconda della configurazione predefinita configurata dall'installazione di Windows 10 o Windows 11. Il valore predefinito (Attivata o Disattivata) viene sempre specificato accanto all'etichetta Usa predefinita per ogni mitigazione
  7. Ripetere il passaggio 6 per tutte le mitigazioni a livello di sistema da configurare. Al termine della configurazione, selezionare Applica.

Se si aggiunge un'app alla sezione Impostazioni programma e si configurano le singole impostazioni di mitigazione, queste vengono rispettate sopra la configurazione per le stesse mitigazioni specificate nella sezione Impostazioni di sistema . La matrice e gli esempi seguenti consentono di illustrare il funzionamento delle impostazioni predefinite:

Abilitato nelle Impostazioni del programma Abilitato nelle Impostazioni di sistema Comportamento
No Come definito nelle Impostazioni del programma
Come definito nelle Impostazioni del programma
No Come definito nelle Impostazioni di sistema
No No Impostazione predefinita come determinato nell'opzione Usa predefinito

Esempio 1: Luca configura la prevenzione dell'esecuzione dei dati nella sezione delle impostazioni di sistema in modo che sia disattivata per impostazione predefinita

Luca aggiunge l'app test.exe alla sezione Impostazioni programma. Nelle opzioni per l'app, in Protezione dell'esecuzione dei dati, Luca abilita l'opzione Ignora impostazioni di sistema e imposta l'interruttore su Attivato. Nella sezione Impostazioni del programma non sono elencate altre app.

Il risultato è che DEP è abilitato solo per test.exe. A tutte le altre app non verrà applicato dep.

Esempio 2: Martina configura la prevenzione dell'esecuzione dei dati nelle impostazioni di sistema in modo che sia disattivata per impostazione predefinita

Martina aggiunge l'app test.exe alla sezione Impostazioni programma. Nelle opzioni per l'app, in Protezione dell'esecuzione dei dati, Martina abilita l'opzione Ignora impostazioni di sistema e imposta l'interruttore su Attivato.

Martina aggiunge anche l'app miles.exe alla sezione Impostazioni del programma e configura Protezione del flusso di controllo (Control Flow Guard, CFG) su Attivato. Martina non abilita l'opzione Ignora impostazioni di sistema per DEP o altre mitigazioni per l'app.

Il risultato è che DEP è abilitato per test.exe. Dep non verrà abilitato per altre app, tra cui miles.exe. La CFG verrà abilitata per miles.exe.

  1. Aprire l'app Sicurezza di Windows selezionando l'icona a forma di scudo nella barra delle applicazioni o eseguendo la ricerca di Sicurezza nel menu Start.

  2. Selezionare il riquadro Controllo app e browser, o l'icona dell'app sulla barra dei menu a sinistra, e selezionare quindi Protezione dagli exploit.

  3. Andare alle impostazioni del programma e scegliere l'app a cui si desidera applicare le mitigazioni.

    • Se l'app che si desidera configurare è già elencata, selezionarla poi scegliere Modifica.
    • Se l'app non è elencata, nella parte superiore dell'elenco selezionare Aggiungi programma da personalizzare e quindi scegliere come aggiungere l'app.
      • Usare Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con un'estensione. È possibile immettere un percorso completo per limitare la mitigazione solo all'app con questo nome in quella posizione.
      • Usare Scegli il percorso esatto del file per utilizzare una finestra di selezione file Esplora risorse standard per trovare e selezionare il file desiderato.
  4. Dopo aver selezionato l'app, verrà visualizzato un elenco di tutte le mitigazioni che è possibile applicare. Se si sceglie Audit , la mitigazione viene applicata solo in modalità di controllo. Si riceve una notifica se è necessario riavviare il processo o l'app o se è necessario riavviare Windows.

  5. Ripetere i passaggi da 3 a 4 per tutte le app e le mitigazioni da configurare. Al termine della configurazione, selezionare Applica.

Intune

  1. Accedere al portale di Azure e aprire Intune.

  2. Passare a Configurazione del dispositivoProfili> di configurazione >Crea profilo.

  3. Assegnare al profilo il nome, scegliere Windows 10 e versioni successive, selezionare modelli per Tipo di profilo e scegliere Endpoint Protection in Nome modello.

    Creazione di un profilo di protezione endpoint

  4. Selezionare Configura>protezione dagli exploit diWindows Defender Exploit Guard>.

  5. Caricare un file XML con le impostazioni di protezione dagli exploit:

    Abilitazione delle impostazioni di protezione della rete in Intune

  6. Selezionare OK per salvare ogni pannello aperto e quindi scegliere Crea.

  7. Selezionare la scheda Assegnazioni del profilo, assegnare il criterio a Tutti gli utenti e tutti i dispositivi, quindi selezionare Salva.

MDM

Usare il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings per abilitare o disabilitare le mitigazioni della protezione dagli exploit o per usare la modalità di controllo.

Microsoft Configuration Manager

Sicurezza endpoint

  1. In Microsoft Configuration Manager passare a Endpoint SecurityAttack surface reduction (Riduzione della superficie di attacco di Endpoint Security>).

  2. Selezionare Crea piattaforma criteri> e, in Profilo, scegliere Protezione dagli exploit. Quindi selezionare Crea.

  3. Specificare un nome e una descrizione, quindi scegliere Avanti.

  4. Scegliere Seleziona file XML e passare alla posizione del file XML di protezione dagli exploit. Selezionare il file, quindi scegliere Avanti.

  5. Configurare Tag di ambito e Assegnazioni, se necessario.

  6. In Rivedi e crea, esaminare le impostazioni di configurazione poi scegliere Crea.

Asset e conformità

  1. In Microsoft Configuration Manager passare a Asset e conformità>Endpoint Protection>Windows Defender Exploit Guard.

  2. SelezionareHome Create Exploit Guard Policy (Crea> criteri di Exploit Guard).

  3. Specificare un nome e una descrizione, selezionare Protezione dagli exploit e quindi scegliere Avanti.

  4. Passare alla posizione del file XML di protezione dagli exploit e selezionare Avanti.

  5. Verificare le impostazioni e scegliere Avanti per creare il criterio.

  6. Dopo la creazione del criterio, selezionare Chiudi.

Criteri di gruppo

  1. Nel dispositivo di gestione Criteri di gruppo aprire Criteri di gruppo Management Console. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

  2. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

  3. Espandere l'albero in Componenti> diWindows Windows Defender Exploit Guard>Exploit Protection>Usare un set comune di impostazioni di protezione dagli exploit.

  4. Selezionare Abilitato e digitare la posizione del file XML, quindi scegliere OK.

PowerShell

È possibile usare il verbo di PowerShell Get o Set con il cmdlet ProcessMitigation. L'uso Get di elenca lo stato di configurazione corrente di eventuali mitigazioni abilitate nel dispositivo. Aggiungere il cmdlet e l'exe -Name dell'app per visualizzare le mitigazioni solo per l'app:

Get-ProcessMitigation -Name processName.exe

Importante

Le mitigazioni a livello di sistema che non sono state configurate mostreranno lo stato di NOTSET.

  • Per le impostazioni a livello di sistema, NOTSET indica che è stata applicata l'impostazione predefinita per tale mitigazione.
  • Per le impostazioni a livello di app, NOTSET indica che è stata applicata l'impostazione a livello di sistema per tale mitigazione. L'impostazione predefinita per ogni mitigazione a livello di sistema può essere visualizzata in sicurezza di Windows.

Usare Set per configurare ciascuna mitigazione nel formato seguente:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Dove:

  • <Ambito>:
    • -Name per indicare che le mitigazioni devono essere applicate a un'app specifica. Specificare l'eseguibile dell'app dopo questo flag.
      • -System per indicare che la mitigazione deve essere applicate a livello di sistema
  • <Azione>:
    • -Enable per abilitare la mitigazione
    • -Disable per disabilitare la mitigazione
  • <Mitigazione>:
    • Il cmdlet della mitigazione insieme a eventuali opzioni secondarie (racchiuse tra spazi). Ogni mitigazione è separata da una virgola.

Ad esempio, per abilitare la mitigazione DEP (Data Execution Prevention) con l'emulazione thunk ATL e per un file eseguibile denominato testing.exe nella cartella C:\Apps\LOB\tests e per impedire a tale eseguibile di creare processi figlio, è consigliabile usare il comando seguente:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Importante

Separare ogni opzione di mitigazione con virgole.

Se si vuole applicare DEP a livello di sistema, usare il comando seguente:

Set-Processmitigation -System -Enable DEP

Per disabilitare le mitigazioni, è possibile sostituire -Enable con -Disable. Tuttavia, per le mitigazioni a livello di app, questa azione forza la disabilitazione della mitigazione solo per l'app.

Se è necessario ripristinare l'impostazione predefinita di sistema per la mitigazione, è necessario includere anche il cmdlet -Remove, come nell'esempio seguente:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Nella tabella seguente sono elencate le singole mitigazioni (e controlli, se disponibili) da usare con i parametri del cmdlet -Enable o -Disable.

Piano di mitigazione Si applica a Parola chiave del parametro del cmdlet di mitigazione Parametro del cmdlet per la modalità di controllo
Protezione del flusso di controllo (CFG) A livello di sistema e di app CFG, StrictCFG, SuppressExports Controllo non disponibile
Protezione esecuzione programmi (DEP) A livello di sistema e di app DEP, EmulateAtlThunks Controllo non disponibile
Forza l'assegnazione casuale per le immagini (ASLR obbligatorio) A livello di sistema e di app ForceRelocateImages Controllo non disponibile
Utilizza le allocazioni di memoria casuali (ASLR bottom-up) A livello di sistema e di app BottomUp, HighEntropy Controllo non disponibile
Convalida catene di eccezione (SEHOP) A livello di sistema e di app SEHOP, SEHOPTelemetry Controllo non disponibile
Convalida l'integrità dell'heap A livello di sistema e di app TerminateOnError Controllo non disponibile
Controllo arbitrario di codice (ACG) Solo a livello app DynamicCode AuditDynamicCode
Blocca immagini con bassa integrità Solo a livello app BlockLowLabel AuditImageLoad
Blocca immagini remote Solo a livello app BlockRemoteImages Controllo non disponibile
Blocca i tipi di carattere non attendibili Solo a livello app DisableNonSystemFonts AuditFont, FontAuditOnly
Controllo integrità codice Solo a livello app BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Disabilita i punti di estensione Solo a livello app ExtensionPoint Controllo non disponibile
Disabilita le chiamate di sistema Win32k Solo a livello app DisableWin32kSystemCalls AuditSystemCall
Non consente i processi figlio Solo a livello app DisallowChildProcessCreation AuditChildProcess
Filtro di indirizzi da esportare (EAF) Solo a livello app EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Controllo non disponibile [2]
Filtro di indirizzi da importare (IAF) Solo a livello app EnableImportAddressFilter Controllo non disponibile [2]
Simula l'esecuzione (SimExec) Solo a livello app EnableRopSimExec Controllo non disponibile [2]
Convalida chiamata di API (CallerCheck) Solo a livello app EnableRopCallerCheck Controllo non disponibile [2]
Convalida l'uso di handle Solo a livello app StrictHandle Controllo non disponibile
Convalida l'integrità di dipendenza dell'immagine Solo a livello app EnforceModuleDepencySigning Controllo non disponibile
Convalida l'integrità della pila (StackPivot) Solo a livello app EnableRopStackPivot Controllo non disponibile [2]

[1]: usare il formato seguente per abilitare i moduli EAF per le DLL per un processo:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: il controllo per questa mitigazione non è disponibile tramite i cmdlet di PowerShell.

Personalizzare la notifica

Per informazioni sulla personalizzazione della notifica quando viene attivata una regola e un'app o un file viene bloccato, vedere Sicurezza di Windows.

Rimozione delle mitigazioni della protezione dagli exploit

Per reimpostare (annullare o rimuovere) le mitigazioni della protezione dagli exploit, vedere le informazioni di riferimento sulla protezione dagli exploit.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.