Condividi tramite


Proteggere i dispositivi dagli exploit

Si applica a:

La protezione da exploit applica automaticamente molte tecniche di mitigazione da exploit ai processi e alle app del sistema operativo. La protezione da exploit è supportata a partire da Windows 10, versione 1709, Windows 11 e Windows Server, versione 1803.

La protezione dagli exploit funziona meglio con Defender per endpoint, che offre report dettagliati sugli eventi di protezione e sui blocchi degli exploit come parte dei consueti scenari di indagine sugli avvisi.

È possibile abilitare la protezione dagli exploit in un singolo dispositivo e quindi usare Criteri di gruppo per distribuire il file XML a più dispositivi contemporaneamente.

Quando viene trovata una mitigazione nel dispositivo, viene visualizzata una notifica dal Centro notifiche. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto. È anche possibile abilitare le regole singolarmente per personalizzare le tecniche monitorate dalla funzionalità.

Puoi anche usare la modalità di controllo per valutare in che modo la protezione da exploit influirebbe sull'organizzazione se fosse abilitata.

Molte delle funzionalità in Enhanced Mitigation Experience Toolkit (EMET) sono incluse nella protezione dagli exploit. In effetti, è possibile convertire e importare i profili di configurazione EMET esistenti in protezione dagli exploit. Per altre informazioni, vedere Importare, esportare e distribuire configurazioni di protezione da exploit.

Importante

Se attualmente si usa EMET, tenere presente che EMET non è più supportato a partire dal 31 luglio 2018. Provare a sostituire EMET con la protezione dagli exploit in Windows 10.

Avviso

Alcune tecnologie di mitigazione della sicurezza possono presentare problemi di compatibilità con alcune applicazioni. È consigliabile testare la protezione dagli exploit in tutti gli scenari di utilizzo di destinazione usando la modalità di controllo prima di distribuire la configurazione in un ambiente di produzione o nel resto della rete.

Esaminare gli eventi di protezione dagli exploit nel portale di Microsoft Defender

Defender per endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di indagine sugli avvisi.

È possibile eseguire query sui dati di Defender per endpoint usando la Rilevazione avanzata. Se si usa la modalità di controllo, è possibile usare la rilevazione avanzata per vedere in che modo le impostazioni di protezione dagli exploit potrebbero influire sull'ambiente.

Ecco una query di esempio:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Protezione dagli exploit e ricerca avanzata

Di seguito sono riportati i tipi di azione di ricerca avanzati disponibili per Protezione dagli exploit.

Nome della mitigazione di Protezione dagli exploit Protezione dagli exploit - Ricerca avanzata - ActionTypes
Code guard arbitrario ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Non consente i processi figlio ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Filtro di indirizzi da esportare (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Filtro di indirizzi da importare (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Blocca immagini con bassa integrità ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Controllo integrità codice ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Simulare l'esecuzione (SimExec)
• Convalidare la chiamata API (CallerCheck)
• Convalidare l'integrità dello stack (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Blocca immagini remote ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Disabilita le chiamate di sistema Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Esaminare gli eventi di protezione dagli exploit nel Visualizzatore eventi di Windows

È possibile esaminare il registro eventi di Windows per visualizzare gli eventi creati quando la protezione dagli exploit blocca (o controlla) un'app:

Provider/origine ID evento Descrizione
Security-Mitigations 1 Controllo di ACG
Security-Mitigations 2 Applicazione di ACG
Security-Mitigations 3 Non consente il controllo dei processi figlio
Security-Mitigations 4 Non consente il blocco dei processi figlio
Security-Mitigations 5 Controllo di Blocca immagini con bassa integrità
Security-Mitigations 6 Blocco di Blocca immagini con bassa integrità
Security-Mitigations 7 Controllo di Blocca immagini remote
Security-Mitigations 8 Blocca di Blocca immagini remote
Security-Mitigations 9 Controllo di Disabilita le chiamate di sistema win32k
Security-Mitigations 10 Blocco di Disabilita le chiamate di sistema win32k
Security-Mitigations 11 Controllo di Controllo integrità codice
Security-Mitigations 12 Blocco di Controllo integrità codice
Security-Mitigations 13 Controllo di EAF
Security-Mitigations 14 Applicazione di EAF
Security-Mitigations 15 Controllo di EAF+
Security-Mitigations 16 Applicazione di EAF+
Security-Mitigations 17 Controllo di IAF
Security-Mitigations 18 Applicazione di IAF
Security-Mitigations 19 Controllo di ROP StackPivot
Security-Mitigations 20 Applicazione di ROP StackPivot
Security-Mitigations 21 Controllo di ROP CallerCheck
Security-Mitigations 22 Applicazione di ROP CallerCheck
Security-Mitigations 23 Controllo di ROP SimExec
Security-Mitigations 24 Applicazione di ROP SimExec
WER-Diagnostics 5 Blocco di CFG
Win32K 260 Tipo di carattere non attendibile

Confronto di mitigazioni

Le mitigazioni disponibili in EMET sono incluse in modo nativo in Windows 10 (a partire dalla versione 1709), Windows 11 e Windows Server (a partire dalla versione 1803), in Protezione da exploit.

La tabella in questa sezione indica la disponibilità e il supporto delle mitigazioni native tra EMET e protezione dagli exploit.

Mitigazione Disponibile in protezione dagli exploit Disponibile in EMET
Controllo arbitrario di codice (ACG)
Come "controllo protezione della memoria"
Blocca immagini remote
Come "controllo caricamento libreria"
Blocca i tipi di carattere non attendibili
Protezione esecuzione programmi (DEP)
Filtro di indirizzi da esportare (EAF)
Forza l'assegnazione casuale per le immagini (ASLR obbligatorio)
Mitigazione della sicurezza NullPage
Incluso in modo nativo in Windows 10 e Windows 11
Per altre informazioni, vedere Mitigare le minacce usando le funzionalità di sicurezza Windows 10
Utilizza le allocazioni di memoria casuali (ASLR bottom-up)
Simula l'esecuzione (SimExec)
Convalida chiamata di API (CallerCheck)
Convalida catene di eccezione (SEHOP)
Convalida l'integrità della pila (StackPivot)
Attendibilità del certificato (aggiunta di certificati configurabile) Windows 10 e Windows 11 forniscono l'aggiunta di certificati aziendali
Allocazione di heap spray Inefficiente contro gli exploit più recenti basati su browser; le mitigazioni più recenti offrono una protezione migliore
Per altre informazioni, vedere Mitigare le minacce usando le funzionalità di sicurezza Windows 10
Blocca immagini con bassa integrità No
Controllo integrità codice No
Disabilita i punti di estensione No
Disabilita le chiamate di sistema Win32k No
Non consente i processi figlio No
Filtro di indirizzi da importare (IAF) No
Convalida l'uso di handle No
Convalida l'integrità dell'heap No
Convalida l'integrità di dipendenza dell'immagine No

Nota

Le mitigazioni ROP avanzate disponibili in EMET sono sostituite da ACG in Windows 10 e Windows 11, che altre impostazioni avanzate EMET sono abilitate per impostazione predefinita, come parte dell'abilitazione delle mitigazioni anti-ROP per un processo. Per altre informazioni su come Windows 10 usa la tecnologia EMET esistente, vedere Mitigazione delle minacce tramite le funzionalità di sicurezza Windows 10.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.