Abilitare la protezione dagli exploit
Si applica a:
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender XDR
Consiglio
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
La protezione dagli exploit consente di proteggersi dai malware che usano gli exploit per infettare i dispositivi e diffondersi. La protezione dagli exploit è costituita da numerose mitigazioni che possono essere applicate al sistema operativo o alle singole app.
Importante
.NET 2.0 non è compatibile con alcune funzionalità di protezione dagli exploit, in particolare EAF (Export Address Filtering) e IAF (Import Address Filtering). Se .NET 2.0 è stato abilitato, l'uso di EAF e IAF non è supportato.
Molte delle funzionalità in Enhanced Mitigation Experience Toolkit (EMET) sono incluse nella protezione dagli exploit.
Prerequisiti
Questa sezione include consigli per la corretta distribuzione della protezione dagli exploit.
Configurare il monitoraggio per gli arresti anomali dell'applicazione (ID evento 1000 e/o ID evento 1001) e/o blocchi (ID evento 1002)
Verificare quali applicazioni sono già compilate con "Control Flow Guard" (CFG) che si concentrano principalmente sulla mitigazione delle vulnerabilità di danneggiamento della memoria. Usare lo strumento dumpbin per verificare se è compilato con cfg. Per queste applicazioni, è possibile ignorare l'abilitazione dell'imposizione per DEP, ASRL, SEHOP e ACG.
Usare procedure di distribuzione sicure.
Avviso
Se non si testano e non si passano attraverso procedure di distribuzione sicure, è possibile contribuire alle interruzioni della produttività degli utenti finali.
Procedure di distribuzione sicure
Procedure di distribuzione sicura (SDP): i processi e le procedure di distribuzione sicuri definiscono come apportare e distribuire in modo sicuro le modifiche al carico di lavoro. L'implementazione di SDP richiede di considerare le distribuzioni attraverso l'obiettivo della gestione dei rischi. È possibile ridurre al minimo il rischio di interruzioni della produttività degli utenti finali nelle distribuzioni e limitare gli effetti delle distribuzioni problematiche sugli utenti implementando SDP.
Iniziare con un piccolo set (ad esempio, da 10 a 50) di dispositivi Windows e usarlo come ambiente di test per vedere quali delle 21 mitigazioni sono incompatibili con la protezione dagli exploit. Rimuovere le mitigazioni non compatibili con l'applicazione. Ripetere con le applicazioni di destinazione. Una volta che si ritiene che il criterio sia pronto per la produzione.
Per iniziare, eseguire il push in User Acceptance Testing (UAT) composto da amministratori IT, amministratori della sicurezza e personale dell'help desk. Quindi a 1%, 5%, 10%, 25%, 50%, 75% e infine al 100% dell'ambiente.
Abilitazione delle mitigazioni della protezione dagli exploit
È possibile abilitare ciascuna mitigazione separatamente con uno di questi metodi:
- App di sicurezza di Windows
- Microsoft Intune
- Gestione dei dispositivi mobili (MDM)
- Microsoft Configuration Manager
- Criteri di gruppo
- PowerShell
La protezione dagli exploit è configurata in Windows 10 e Windows 11 per impostazione predefinita. È possibile impostare ciascuna mitigazione su attivata, disattivata o sul valore predefinito. Alcune mitigazioni dispongono di più opzioni. È possibile esportare le impostazioni come file XML e distribuirle in altri dispositivi.
È anche possibile impostare le mitigazioni sulla modalità di controllo. La modalità di controllo consente di testare il funzionamento delle mitigazioni, oltre a esaminare gli eventi, senza influire sul normale utilizzo del dispositivo.
App Sicurezza di Windows
Aprire l'app Sicurezza di Windows selezionando l'icona a forma di scudo nella barra delle applicazioni o eseguendo la ricerca di Sicurezza nel menu Start.
Selezionare il riquadro Controllo app e browser, o l'icona dell'app sulla barra dei menu a sinistra, e selezionare quindi Impostazioni di protezione dagli exploit.
Andare alle impostazioni del programma e scegliere l'app a cui si desidera applicare le mitigazioni.
- Se l'app che si desidera configurare è già elencata, selezionarla poi scegliere Modifica.
- Se l'app non è elencata, nella parte superiore dell'elenco selezionare Aggiungi programma da personalizzare e quindi scegliere come aggiungere l'app.
- Usare Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con la relativa estensione. È possibile immettere un percorso completo per limitare la mitigazione solo all'app con questo nome in quella posizione.
- Usare Scegli il percorso esatto del file per utilizzare una finestra di selezione file Esplora risorse standard per trovare e selezionare il file desiderato.
Dopo aver selezionato l'app, verrà visualizzato un elenco di tutte le mitigazioni che è possibile applicare. Se si sceglie Audit , la mitigazione viene applicata solo in modalità di controllo. Si riceve una notifica se è necessario riavviare il processo o l'app o se è necessario riavviare Windows.
Ripetere i passaggi da 3 a 4 per tutte le app e le mitigazioni da configurare.
Nella sezione Impostazioni di sistema, individuare la mitigazione che si desidera configurare e quindi specificare una delle impostazioni seguenti. Le app che non sono configurate singolarmente nella sezione Impostazioni programma usano le impostazioni configurate qui.
- Attivata per impostazione predefinita: la mitigazione è abilitata per le app per cui la mitigazione non è impostata nella sezione Impostazioni programma specifica dell'app
- Disattivata per impostazione predefinita: la mitigazione è abilitata per le app per cui la mitigazione non è impostata nella sezione Impostazioni programma specifica dell'app
- Usa l'impostazione predefinita: la mitigazione è abilitata o disabilitata, a seconda della configurazione predefinita configurata dall'installazione di Windows 10 o Windows 11. Il valore predefinito (Attivata o Disattivata) viene sempre specificato accanto all'etichetta Usa predefinita per ogni mitigazione
Ripetere il passaggio 6 per tutte le mitigazioni a livello di sistema da configurare. Al termine della configurazione, selezionare Applica.
Se si aggiunge un'app alla sezione Impostazioni programma e si configurano le singole impostazioni di mitigazione, queste vengono rispettate sopra la configurazione per le stesse mitigazioni specificate nella sezione Impostazioni di sistema . La matrice e gli esempi seguenti consentono di illustrare il funzionamento delle impostazioni predefinite:
Abilitato nelle Impostazioni del programma | Abilitato nelle Impostazioni di sistema | Comportamento |
---|---|---|
Sì | No | Come definito nelle Impostazioni del programma |
Sì | Sì | Come definito nelle Impostazioni del programma |
No | Sì | Come definito nelle Impostazioni di sistema |
No | No | Impostazione predefinita come determinato nell'opzione Usa predefinito |
Esempio 1: Luca configura la prevenzione dell'esecuzione dei dati nella sezione delle impostazioni di sistema in modo che sia disattivata per impostazione predefinita
Luca aggiunge l'app test.exe alla sezione Impostazioni programma. Nelle opzioni per l'app, in Protezione dell'esecuzione dei dati, Luca abilita l'opzione Ignora impostazioni di sistema e imposta l'interruttore su Attivato. Nella sezione Impostazioni del programma non sono elencate altre app.
Il risultato è che DEP è abilitato solo per test.exe. A tutte le altre app non verrà applicato dep.
Esempio 2: Martina configura la prevenzione dell'esecuzione dei dati nelle impostazioni di sistema in modo che sia disattivata per impostazione predefinita
Martina aggiunge l'app test.exe alla sezione Impostazioni programma. Nelle opzioni per l'app, in Protezione dell'esecuzione dei dati, Martina abilita l'opzione Ignora impostazioni di sistema e imposta l'interruttore su Attivato.
Martina aggiunge anche l'app miles.exe alla sezione Impostazioni del programma e configura Protezione del flusso di controllo (Control Flow Guard, CFG) su Attivato. Martina non abilita l'opzione Ignora impostazioni di sistema per DEP o altre mitigazioni per l'app.
Il risultato è che DEP è abilitato per test.exe. Dep non verrà abilitato per altre app, tra cui miles.exe. La CFG verrà abilitata per miles.exe.
Aprire l'app Sicurezza di Windows selezionando l'icona a forma di scudo nella barra delle applicazioni o eseguendo la ricerca di Sicurezza nel menu Start.
Selezionare il riquadro Controllo app e browser, o l'icona dell'app sulla barra dei menu a sinistra, e selezionare quindi Protezione dagli exploit.
Andare alle impostazioni del programma e scegliere l'app a cui si desidera applicare le mitigazioni.
- Se l'app che si desidera configurare è già elencata, selezionarla poi scegliere Modifica.
- Se l'app non è elencata, nella parte superiore dell'elenco selezionare Aggiungi programma da personalizzare e quindi scegliere come aggiungere l'app.
- Usare Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con un'estensione. È possibile immettere un percorso completo per limitare la mitigazione solo all'app con questo nome in quella posizione.
- Usare Scegli il percorso esatto del file per utilizzare una finestra di selezione file Esplora risorse standard per trovare e selezionare il file desiderato.
Dopo aver selezionato l'app, verrà visualizzato un elenco di tutte le mitigazioni che è possibile applicare. Se si sceglie Audit , la mitigazione viene applicata solo in modalità di controllo. Si riceve una notifica se è necessario riavviare il processo o l'app o se è necessario riavviare Windows.
Ripetere i passaggi da 3 a 4 per tutte le app e le mitigazioni da configurare. Al termine della configurazione, selezionare Applica.
Intune
Accedere al portale di Azure e aprire Intune.
Passare a Configurazione del dispositivoProfili> di configurazione >Crea profilo.
Assegnare al profilo il nome, scegliere Windows 10 e versioni successive, selezionare modelli per Tipo di profilo e scegliere Endpoint Protection in Nome modello.
Selezionare Configura>protezione dagli exploit diWindows Defender Exploit Guard>.
Caricare un file XML con le impostazioni di protezione dagli exploit:
Selezionare OK per salvare ogni pannello aperto e quindi scegliere Crea.
Selezionare la scheda Assegnazioni del profilo, assegnare il criterio a Tutti gli utenti e tutti i dispositivi, quindi selezionare Salva.
MDM
Usare il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings per abilitare o disabilitare le mitigazioni della protezione dagli exploit o per usare la modalità di controllo.
Microsoft Configuration Manager
Sicurezza endpoint
In Microsoft Configuration Manager passare a Endpoint SecurityAttack surface reduction (Riduzione della superficie di attacco di Endpoint Security>).
Selezionare Crea piattaforma criteri> e, in Profilo, scegliere Protezione dagli exploit. Quindi selezionare Crea.
Specificare un nome e una descrizione, quindi scegliere Avanti.
Scegliere Seleziona file XML e passare alla posizione del file XML di protezione dagli exploit. Selezionare il file, quindi scegliere Avanti.
Configurare Tag di ambito e Assegnazioni, se necessario.
In Rivedi e crea, esaminare le impostazioni di configurazione poi scegliere Crea.
Asset e conformità
In Microsoft Configuration Manager passare a Asset e conformità>Endpoint Protection>Windows Defender Exploit Guard.
SelezionareHome Create Exploit Guard Policy (Crea> criteri di Exploit Guard).
Specificare un nome e una descrizione, selezionare Protezione dagli exploit e quindi scegliere Avanti.
Passare alla posizione del file XML di protezione dagli exploit e selezionare Avanti.
Verificare le impostazioni e scegliere Avanti per creare il criterio.
Dopo la creazione del criterio, selezionare Chiudi.
Criteri di gruppo
Nel dispositivo di gestione Criteri di gruppo aprire Criteri di gruppo Management Console. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.
Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.
Espandere l'albero in Componenti> diWindows Windows Defender Exploit Guard>Exploit Protection>Usare un set comune di impostazioni di protezione dagli exploit.
Selezionare Abilitato e digitare la posizione del file XML, quindi scegliere OK.
PowerShell
È possibile usare il verbo di PowerShell Get
o Set
con il cmdlet ProcessMitigation
. L'uso Get
di elenca lo stato di configurazione corrente di eventuali mitigazioni abilitate nel dispositivo. Aggiungere il cmdlet e l'exe -Name
dell'app per visualizzare le mitigazioni solo per l'app:
Get-ProcessMitigation -Name processName.exe
Importante
Le mitigazioni a livello di sistema che non sono state configurate mostreranno lo stato di NOTSET
.
- Per le impostazioni a livello di sistema,
NOTSET
indica che è stata applicata l'impostazione predefinita per tale mitigazione. - Per le impostazioni a livello di app,
NOTSET
indica che è stata applicata l'impostazione a livello di sistema per tale mitigazione. L'impostazione predefinita per ogni mitigazione a livello di sistema può essere visualizzata in sicurezza di Windows.
Usare Set
per configurare ciascuna mitigazione nel formato seguente:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Dove:
-
<Ambito>:
-
-Name
per indicare che le mitigazioni devono essere applicate a un'app specifica. Specificare l'eseguibile dell'app dopo questo flag.-
-System
per indicare che la mitigazione deve essere applicate a livello di sistema
-
-
-
<Azione>:
-
-Enable
per abilitare la mitigazione -
-Disable
per disabilitare la mitigazione
-
-
<Mitigazione>:
- Il cmdlet della mitigazione insieme a eventuali opzioni secondarie (racchiuse tra spazi). Ogni mitigazione è separata da una virgola.
Ad esempio, per abilitare la mitigazione DEP (Data Execution Prevention) con l'emulazione thunk ATL e per un file eseguibile denominato testing.exe nella cartella C:\Apps\LOB\tests e per impedire a tale eseguibile di creare processi figlio, è consigliabile usare il comando seguente:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
Importante
Separare ogni opzione di mitigazione con virgole.
Se si vuole applicare DEP a livello di sistema, usare il comando seguente:
Set-Processmitigation -System -Enable DEP
Per disabilitare le mitigazioni, è possibile sostituire -Enable
con -Disable
. Tuttavia, per le mitigazioni a livello di app, questa azione forza la disabilitazione della mitigazione solo per l'app.
Se è necessario ripristinare l'impostazione predefinita di sistema per la mitigazione, è necessario includere anche il cmdlet -Remove
, come nell'esempio seguente:
Set-Processmitigation -Name test.exe -Remove -Disable DEP
Nella tabella seguente sono elencate le singole mitigazioni (e controlli, se disponibili) da usare con i parametri del cmdlet -Enable
o -Disable
.
Piano di mitigazione | Si applica a | Parola chiave del parametro del cmdlet di mitigazione | Parametro del cmdlet per la modalità di controllo |
---|---|---|---|
Protezione del flusso di controllo (CFG) | A livello di sistema e di app |
CFG , StrictCFG , SuppressExports |
Controllo non disponibile |
Protezione esecuzione programmi (DEP) | A livello di sistema e di app |
DEP , EmulateAtlThunks |
Controllo non disponibile |
Forza l'assegnazione casuale per le immagini (ASLR obbligatorio) | A livello di sistema e di app | ForceRelocateImages |
Controllo non disponibile |
Utilizza le allocazioni di memoria casuali (ASLR bottom-up) | A livello di sistema e di app |
BottomUp , HighEntropy |
Controllo non disponibile |
Convalida catene di eccezione (SEHOP) | A livello di sistema e di app |
SEHOP , SEHOPTelemetry |
Controllo non disponibile |
Convalida l'integrità dell'heap | A livello di sistema e di app | TerminateOnError |
Controllo non disponibile |
Controllo arbitrario di codice (ACG) | Solo a livello app | DynamicCode |
AuditDynamicCode |
Blocca immagini con bassa integrità | Solo a livello app | BlockLowLabel |
AuditImageLoad |
Blocca immagini remote | Solo a livello app | BlockRemoteImages |
Controllo non disponibile |
Blocca i tipi di carattere non attendibili | Solo a livello app | DisableNonSystemFonts |
AuditFont , FontAuditOnly |
Controllo integrità codice | Solo a livello app |
BlockNonMicrosoftSigned , AllowStoreSigned |
AuditMicrosoftSigned, AuditStoreSigned |
Disabilita i punti di estensione | Solo a livello app | ExtensionPoint |
Controllo non disponibile |
Disabilita le chiamate di sistema Win32k | Solo a livello app | DisableWin32kSystemCalls |
AuditSystemCall |
Non consente i processi figlio | Solo a livello app | DisallowChildProcessCreation |
AuditChildProcess |
Filtro di indirizzi da esportare (EAF) | Solo a livello app |
EnableExportAddressFilterPlus , EnableExportAddressFilter [1] |
Controllo non disponibile [2] |
Filtro di indirizzi da importare (IAF) | Solo a livello app | EnableImportAddressFilter |
Controllo non disponibile [2] |
Simula l'esecuzione (SimExec) | Solo a livello app | EnableRopSimExec |
Controllo non disponibile [2] |
Convalida chiamata di API (CallerCheck) | Solo a livello app | EnableRopCallerCheck |
Controllo non disponibile [2] |
Convalida l'uso di handle | Solo a livello app | StrictHandle |
Controllo non disponibile |
Convalida l'integrità di dipendenza dell'immagine | Solo a livello app | EnforceModuleDepencySigning |
Controllo non disponibile |
Convalida l'integrità della pila (StackPivot) | Solo a livello app | EnableRopStackPivot |
Controllo non disponibile [2] |
[1]: usare il formato seguente per abilitare i moduli EAF per le DLL per un processo:
Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
[2]: il controllo per questa mitigazione non è disponibile tramite i cmdlet di PowerShell.
Personalizzare la notifica
Per informazioni sulla personalizzazione della notifica quando viene attivata una regola e un'app o un file viene bloccato, vedere Sicurezza di Windows.
Rimozione delle mitigazioni della protezione dagli exploit
Per reimpostare (annullare o rimuovere) le mitigazioni della protezione dagli exploit, vedere le informazioni di riferimento sulla protezione dagli exploit.
Vedere anche
- Valutare la protezione dagli exploit
- Configurare e controllare le mitigazioni della protezione dagli exploit
- Importare, esportare e distribuire configurazioni di protezione da exploit
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.