Riferimento alle regole per la riduzione della superficie di attacco (ARS)

  • Si applica a: Microsoft Defender for Endpoint Plan 2

Le regole di riduzione della superficie di attacco (ASR) sono destinate al comportamento software rischioso nei dispositivi Windows che gli utenti malintenzionati sfruttano comunemente tramite malware (ad esempio, l'avvio di script che scaricano file, l'esecuzione di script offuscati e l'inserimento di codice in altri processi). Per altre informazioni sulle regole asr, vedere Panoramica delle regole di riduzione della superficie di attacco .

Questo articolo è un riferimento tecnico per le regole asr che fornisce le informazioni seguenti:

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Supporto del sistema operativo per le regole asr

Le regole asr sono una funzionalità antivirus Microsoft Defender disponibile in qualsiasi edizione di Windows che include Microsoft Defender Antivirus (ad esempio, Windows 11 Home). È possibile configurare le regole asr localmente usando PowerShell o Criteri di gruppo.

La tabella seguente descrive il supporto del sistema operativo per le regole asr in Microsoft Defender per endpoint, che fornisce gestione centralizzata, creazione di report e avvisi tramite Microsoft Intune, Microsoft Configuration Manager e portale Microsoft Defender:

Nome regola Windows 11 o versioni successive Windows 10 Windows Server 2019 o versione successiva Windows Server 2016* Windows Server 2012 R2*
regole di protezione Standard
Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) Y 1709 o versione successiva Y Windows Server 1803 (SAC) o versione successiva Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows Y 1803 o versione successiva Y Y Y
Bloccare la persistenza tramite la sottoscrizione di eventi WMI Y 1903 o versioni successive Windows Server 1903 (SAC) o versioni successive N N
Altre regole asr
Impedire ad Adobe Reader di creare processi figlio Y 1809 o versione successiva Y Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio Y 1709 o versione successiva Y Y Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y 1709 o versione successiva Y Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Y 1803 o versione successiva Y Y Y
Blocca l'esecuzione di script potenzialmente offuscati Y 1709 o versione successiva Y Y Y
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Y 1709 o versione successiva Y N N
Impedire alle applicazioni di Office di creare contenuto eseguibile Y 1709 o versione successiva Y Y Y
Impedire alle applicazioni di Office di inserire codice in altri processi Y 1709 o versione successiva Y Y Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio Y 1709 o versione successiva Y Y Y
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Y 1803 o versione successiva Y Y Y
Blocca il riavvio della macchina in modalità provvisoria Y 1709 o versione successiva Y Y Y
Bloccare i processi non attendibili e non firmati eseguiti da USB Y 1709 o versione successiva Y Y Y
Blocca l'uso di strumenti di sistema copiati o rappresentati Y 1709 o versione successiva Y Y Y
Bloccare la creazione di WebShell per i server n/d n/d Solo server Exchange Solo server Exchange N
Bloccare le chiamate API Win32 dalle macro di Office Y 1709 o versione successiva n/d n/d n/d
Usare la protezione avanzata contro il ransomware Y 1803 o versione successiva Y Y Y

*Le regole asr supportate in Windows Server 2016 e Windows Server 2012 R2 richiedono l'onboarding usando il pacchetto di soluzione unificata moderno. Per altre informazioni, vedere New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nuove funzionalità di R2 e 2016 nella soluzione unificata moderna).

Supporto del metodo di distribuzione per le regole asr

Anche se Defender per endpoint supporta le regole asr, è necessario un servizio separato per distribuire le regole nei dispositivi. I metodi supportati per la distribuzione delle regole asr sono descritti nella tabella seguente.

Nome regola Intune Gestione configurazione Provider di servizi di configurazione MDM Criteri di gruppo centralizzato
regole di protezione Standard
Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) Y N Y Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows Y 1802 o versione successiva Y Y
Bloccare la persistenza tramite la sottoscrizione di eventi WMI Y N Y Y
Altre regole asr
Impedire ad Adobe Reader di creare processi figlio Y N Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio Y 1710 o versione successiva Y Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y 1710 o versione successiva Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile[1] Y 1802 o versione successiva Y Y
Blocca l'esecuzione di script potenzialmente offuscati Y 1710 o versione successiva Y Y
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Y 1710 o versione successiva Y Y
Impedire alle applicazioni di Office di creare contenuto eseguibile Y 1710 o versione successiva Y Y
Impedire alle applicazioni di Office di inserire codice in altri processi Y 1710 o versione successiva Y Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio Y N Y Y
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Y N Y Y
Blocca il riavvio della macchina in modalità provvisoria Y N Y Y
Bloccare i processi non attendibili e non firmati eseguiti da USB Y 1802 o versione successiva Y Y
Blocca l'uso di strumenti di sistema copiati o rappresentati Y N Y Y
Bloccare la creazione di WebShell per i server Y N Y Y
Bloccare le chiamate API Win32 dalle macro di Office Y 1710 o versione successiva Y Y
Usare la protezione avanzata contro il ransomware Y 1802 o versione successiva Y Y

Consiglio

È anche possibile configurare le regole asr localmente nei singoli dispositivi usando Criteri di gruppo o PowerShell. Tutte le regole asr sono supportate da entrambi i metodi nei dispositivi locali.

1 Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di Intune ASR a causa di un problema back-end noto. Tuttavia, la regola è disponibile tramite gli altri metodi di configurazione dei criteri asr disponibili o nei criteri asr Intune esistenti creati prima del problema.But, the rule is available through the other available ASR policy configuration methods or in existing Intune ASR policies created before the issue.

Avvisi e notifiche dalle azioni delle regole asr

La tabella seguente descrive l'organizzazione e gli avvisi locali che le regole asr attive possono generare.

  • Il valore degli avvisi EDR indica se la regola ASR in modalità blocco o avviso genera avvisi di rilevamento e risposta degli endpoint in Defender per endpoint.
  • Il valore Notifiche utente indica se la regola asr supporta i popup di notifica utente in modalità Blocco o Avviso (se la regola supporta la modalità Avviso ).
Nome regola Avvisi EDR Utente
Notifiche
regole di protezione Standard
Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) N Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows[¹] N N
Bloccare la persistenza tramite la sottoscrizione di eventi WMI Y Y
Altre regole asr
Impedire ad Adobe Reader di creare processi figlio[²] Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio N Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail[²] Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile N Y
Blocca l'esecuzione di script potenzialmente offuscati Y Y
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato[²] Y Y
Impedire alle applicazioni di Office di creare contenuto eseguibile N Y
Impedire alle applicazioni di Office di inserire codice in altri processi[¹] N Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio N Y
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI N Y
Blocca il riavvio della macchina in modalità provvisoria N N
Bloccare i processi non attendibili e non firmati eseguiti da USB Y Y
Blocca l'uso di strumenti di sistema copiati o rappresentati N Y
Bloccare la creazione di WebShell per i server N N
Bloccare le chiamate API Win32 dalle macro di Office Y N
Usare la protezione avanzata contro il ransomware Y Y

¹ Questa regola asr non supporta la modalità Avviso .

² Questa regola asr in modalità blocco o avviso presenta i requisiti aggiuntivi seguenti nel livello di protezione cloud in Microsoft Defender Antivirus:

  • Gli avvisi EDR vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto più o Tolleranza zero.
  • I popup di notifica utente vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto, Alto più o Tolleranza Zero.

Dettagli della regola ASR

regole di protezione Standard

Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo)

Le app locali con privilegi sufficienti possono sfruttare i driver firmati vulnerabili per ottenere l'accesso al kernel del sistema operativo. I driver firmati vulnerabili consentono agli utenti malintenzionati di disabilitare o aggirare le soluzioni di sicurezza, con conseguente compromissione del sistema.

Questa regola asr impedisce alle app di salvare i driver firmati vulnerabili nel computer. Non impedisce di caricare i driver esistenti già nel computer.

  • Microsoft Intune nome:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager nome: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Tipo di azione di ricerca avanzata:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Dipendenze: nessuna

Nota

Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows

Nota

Se è stata abilitata la protezione dell'autorità di sicurezza locale (LSA) (scelta consigliata, insieme a Credential Guard):

  • Questa regola asr non è necessaria.
  • Questa regola ASR non fornisce protezione aggiuntiva (la regola ASR e la protezione LSA funzionano in modo analogo).
  • Questa regola asr è classificata come non applicabile nelle impostazioni di gestione di Defender per endpoint nel portale di Microsoft Defender.

Questa regola ASR consente di evitare il furto di credenziali bloccando il servizio LSASS (Local Security Authority Subsystem Service). LSASS autentica gli utenti che accedono nei computer Windows. In genere, Credential Guard in Windows impedisce i tentativi di estrarre le credenziali da LSASS.

Molti processi effettuano chiamate non necessarie a LSASS per i diritti di accesso che non sono necessari. Questa attività genera un notevole rumore delle regole asr, ma non blocca le funzionalità. Ad esempio, gli aggiornamenti di Google Chrome accedono inutilmente a LSASS, perché le password vengono archiviate in LSASS nel dispositivo. L'attivazione di questa regola ASR nel dispositivo impedisce agli aggiornamenti di Chrome di accedere a LSASS, ma non impedisce a Chrome di eseguire l'aggiornamento. Questi eventi delle regole ASR sono validi perché il processo di aggiornamento software Chrome non deve accedere a LSASS.

Per informazioni sui tipi di diritti in genere richiesti nelle chiamate di elaborazione a LSASS, vedere Diritti di accesso e sicurezza dei processi.

Alcune organizzazioni non possono abilitare Credential Guard a causa di problemi di compatibilità con driver di smart card personalizzati o altri programmi caricati nell'LSA. In questi casi, gli utenti malintenzionati possono usare strumenti come Mimikatz per raschiare le password non crittografati e gli hash NTLM da LSASS.

Se non è possibile abilitare la protezione LSA e/o Credential Guard, è possibile configurare questa regola per fornire una protezione equivalente da malware destinato lsass.exea .

  • Microsoft Intune nome:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Tipo di azione di ricerca avanzata:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Dipendenze: antivirus Microsoft Defender

Nota

  • Questa regola asr non supporta la modalità Avviso .
  • Questa regola asr produce un volume elevato di eventi di controllo, quasi tutti da ignorare quando la regola è abilitata in modalità blocco . È possibile scegliere di ignorare la valutazione della modalità di controllo e procedere alla distribuzione in modalità blocco. Microsoft consiglia di iniziare con un piccolo set di dispositivi e di espandersi gradualmente per coprire il resto.
  • Questa regola ASR elimina gli avvisi e i popup di notifica utente per processi descrittivi e azioni di blocco duplicate.
  • Questa regola ASR blocca l'accesso alla memoria del processo LSASS. Non blocca l'esecuzione dei processi. Quando questa regola ASR blocca processi come svchost.exe, significa che al processo viene impedito l'accesso alla memoria del processo LSASS. È spesso possibile ignorare in modo sicuro il blocco di questi processi tramite questa regola asr.
  • Alcune app enumerano tutti i processi in esecuzione e tentano di aprirli con autorizzazioni complete. Questa regola asr nega le azioni del processo aperto dell'app e registra i dettagli nel log di sicurezza in Windows Visualizzatore eventi. Questa regola può generare numerosi rumori. Se si dispone di un'app che enumera semplicemente LSASS, ma non ha alcun effetto reale sulle funzionalità, non è necessario aggiungerla all'elenco di esclusione. Di per sé, questa voce del registro eventi non indica necessariamente una minaccia dannosa.
  • Questa regola asr presenta problemi con la sincronizzazione password di Quest Dirsync. Per altre informazioni, vedere Dirsync Password Sync is not working when Windows Defender is installed (Sincronizzazione password di dirsync non funziona quando Windows Defender è installato), errore: "VirtualAllocEx failed: 5" (4253914)).
  • Questa regola offre un supporto limitato per l'esclusione. Per informazioni dettagliate, vedere Esclusioni di file e cartelle per le regole asr.

Bloccare la persistenza tramite la sottoscrizione di eventi WMI

Questa regola asr impedisce al malware di abusare di WMI per ottenere la persistenza nei dispositivi.

Le minacce senza file usano diverse tattiche per rimanere nascoste, per evitare di essere visualizzate nel file system e per ottenere un controllo periodico. Alcune minacce possono abusare del repository WMI e del modello di evento per rimanere nascosti.

  • Microsoft Intune nome:Block persistence through WMI event subscription
  • Microsoft Configuration Manager nome: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Tipo di azione di ricerca avanzata:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Dipendenze: Microsoft Defender Antivirus, RPC

Nota

  • Questa regola non è supportata quando viene distribuita tramite Microsoft Intune per Windows Server 2012 R2 o Windows Server 2016 usando la soluzione unificata moderna.
  • Se si usa Microsoft Configuration Manager, Microsoft consiglia test approfonditi di questa regola asr in modalità di controllo prima di passare alla modalità blocco. Il client Gestione configurazione si basa principalmente su WMI.
  • Questa regola offre un supporto limitato per l'esclusione. Per informazioni dettagliate, vedere Esclusioni di file e cartelle per le regole asr.

Altre regole asr

Impedire ad Adobe Reader di creare processi figlio

Questa regola ASR impedisce agli attacchi impedendo ad Adobe Reader di creare processi.

Il malware può scaricare e avviare payload e uscire da Adobe Reader tramite social engineering o exploit. Impedendo ad Adobe Reader di generare processi figlio, il malware che tenta di usare Adobe Reader come vettore di attacco non viene diffuso.

  • Microsoft Intune nome:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager nome: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Tipo di azione di ricerca avanzata:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Dipendenze: antivirus Microsoft Defender

Nota

  • Questa regola offre un supporto limitato per l'esclusione. Per informazioni dettagliate, vedere Esclusioni di file e cartelle per le regole asr.
  • Questa regola asr in modalità blocco o avviso presenta requisiti aggiuntivi nel livello di protezione cloud in Microsoft Defender Antivirus:
    • Gli avvisi EDR vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto più o Tolleranza zero.
    • I popup di notifica utente vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto, Alto più o Tolleranza Zero.

Impedire a tutte le applicazioni di Office di creare processi figlio

Questa regola impedisce alle app di Office di creare processi figlio. Le app di Office includono Word, Excel, PowerPoint, OneNote e Access.

La creazione di processi figlio dannosi è una strategia malware comune. Il malware che abusa di Office come vettore spesso esegue macro VBA e codice di exploit per scaricare e tentare di eseguire più payload. Tuttavia, alcune app line-of-business legittime potrebbero anche generare processi figlio a scopo non dannoso. Ad esempio, la generazione di un prompt dei comandi o l'uso di PowerShell per configurare le impostazioni del Registro di sistema.

  • Microsoft Intune nome:Block all Office applications from creating child processes
  • Microsoft Configuration Manager nome:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Tipo di azione di ricerca avanzata:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Dipendenze: antivirus Microsoft Defender

Nota

Questa regola viene applicata solo se Office è installato nei %ProgramFiles% percorsi o %ProgramFiles(x86)% (per impostazione predefinita C:\Program Files e C:\Program Files (x86)).

Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail

Questa regola impedisce alla posta elettronica aperta con Microsoft Outlook, Outlook.com e altri provider di posta Web più diffusi di propagare i tipi di file seguenti:

  • File eseguibili(ad esempio, .exe, .dll o .scr).

  • File di script, ad esempio .ps1, vbs o .js.

  • Archivio file (ad esempio, .zip).

  • Microsoft Intune nome:Block executable content from email client and webmail

  • Microsoft Configuration Manager nome:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Tipo di azione di ricerca avanzata:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Dipendenze: antivirus Microsoft Defender

Nota

  • Questa regola asr in modalità blocco o avviso presenta requisiti aggiuntivi nel livello di protezione cloud in Microsoft Defender Antivirus:
    • Gli avvisi EDR vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto più o Tolleranza zero.
    • I popup di notifica utente vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto, Alto più o Tolleranza Zero.
  • Questa regola asr include le descrizioni alternative seguenti:
    • Intune (profili di configurazione):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Gestione configurazione:Block executable content download from email and webmail clients
    • Criteri di gruppo:Block executable content from email client and webmail

Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile

Consiglio

Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di Intune ASR a causa di un problema back-end noto. Tuttavia, la regola è disponibile tramite gli altri metodi di configurazione dei criteri asr disponibili o nei criteri asr Intune esistenti creati prima del problema.

Questa regola ASR blocca l'avvio dei file eseguibili, ad esempio .exe, .dll o scr. L'avvio di file eseguibili non attendibili o sconosciuti può essere rischioso, in quanto inizialmente non è chiaro se i file sono dannosi.

  • Microsoft Intune nome:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Tipo di azione di ricerca avanzata:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Dipendenze: Microsoft Defender Antivirus, Cloud Protection

Nota

Blocca l'esecuzione di script potenzialmente offuscati

Questa regola asr rileva proprietà sospette all'interno di uno script offuscato.

L'offuscamento degli script è una tecnica comune usata sia da autori di malware che da applicazioni legittime per nascondere la proprietà intellettuale o ridurre i tempi di caricamento degli script. Gli autori di malware usano anche l'offuscamento per rendere il codice dannoso più difficile da leggere, il che ostacola lo stretto controllo da parte degli esseri umani e del software di sicurezza.

  • Microsoft Intune nome:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager nome:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Tipo di azione di ricerca avanzata:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Dipendenze: Microsoft Defender Antivirus, Antimalware Scan Interface (AMSI), Cloud Protection

Nota

Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato

Questa regola asr impedisce agli script di avviare contenuto scaricato potenzialmente dannoso. Il malware scritto in JavaScript o VBScript spesso funge da downloader per recuperare e avviare altri malware da Internet. Anche se non sono comuni, le app line-of-business usano talvolta script per scaricare e avviare i programmi di installazione.

  • Microsoft Intune nome:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Tipo di azione di ricerca avanzata:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Dipendenze: Microsoft Defender Antivirus, Antimalware Scan Interface (AMSI)

Nota

  • Questa regola non è supportata quando viene distribuita tramite Microsoft Intune per Windows Server 2012 R2 o Windows Server 2016 usando la soluzione unificata moderna.

  • Questa regola asr in modalità blocco o avviso presenta requisiti aggiuntivi nel livello di protezione cloud in Microsoft Defender Antivirus:

    • Gli avvisi EDR vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto più o Tolleranza zero.
    • I popup di notifica utente vengono generati solo quando il livello di protezione cloud nel dispositivo è Alto, Alto più o Tolleranza Zero.

Impedire alle applicazioni di Office di creare contenuto eseguibile

Questa regola asr impedisce alle app di Office (ad esempio, Word, Excel e PowerPoint) di essere usate come vettore per salvare i componenti dannosi su disco. Questi componenti dannosi possono sopravvivere a un riavvio del computer e rimanere persistenti nel sistema. Questa regola protegge da questa tecnica di persistenza:

  • Blocco dell'accesso (aperto/eseguito) al codice scritto su disco.

  • Blocco dell'esecuzione di file non attendibili salvati dalle macro di Office che possono essere eseguite nei file di Office.

  • Microsoft Intune nome:Block Office applications from creating executable content

  • Microsoft Configuration Manager nome:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Tipo di azione di ricerca avanzata:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Dipendenze: Microsoft Defender Antivirus, RPC

Nota

Questa regola offre un supporto limitato per l'esclusione. Per informazioni dettagliate, vedere Esclusioni di file e cartelle per le regole asr.

Questa regola asr non è interessata dal percorso di installazione di Office.

Impedire alle applicazioni di Office di inserire codice in altri processi

Questa regola asr blocca i tentativi di inserimento del codice dalle app di Office in altri processi. Gli utenti malintenzionati potrebbero tentare di usare le app di Office per eseguire la migrazione di codice dannoso in altri processi tramite l'inserimento di codice, in modo che il codice possa essere mascherato come processo pulito. Non esistono scopi aziendali legittimi noti per l'uso dell'inserimento di codice.

  • Microsoft Intune nome:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager nome:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Tipo di azione di ricerca avanzata:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Dipendenze: antivirus Microsoft Defender

Nota

  • Questa regola asr non supporta la modalità Avviso .
  • Questa regola asr si applica a Word, Excel, OneNote e PowerPoint.
  • Questa regola asr richiede il riavvio Microsoft 365 Apps (applicazioni di Office) per rendere effettive le modifiche di configurazione.
  • Questa regola offre un supporto limitato per l'esclusione. Per informazioni dettagliate, vedere Esclusioni di file e cartelle per le regole asr.
  • Questa regola asr non è compatibile con le app seguenti:
  • Questa regola asr viene applicata solo se Office è installato nei %ProgramFiles% percorsi o %ProgramFiles(x86)% (per impostazione predefinita e C:\Program FilesC:\Program Files (x86)).

Impedire all'applicazione di comunicazione di Office di creare processi figlio

Questa regola asr impedisce a Outlook di creare processi figlio, pur consentendo funzioni di Outlook legittime. Questa regola asr protegge da:

  • Attacchi di ingegneria sociale e impedisce allo sfruttamento del codice di abusare delle vulnerabilità in Outlook.

  • Regole di Outlook e exploit di moduli che gli utenti malintenzionati possono usare quando le credenziali di un utente vengono compromesse.

  • Microsoft Intune nome:Block Office communication application from creating child processes

  • Microsoft Configuration Manager nome: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Tipo di azione di ricerca avanzata:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Dipendenze: antivirus Microsoft Defender

Nota

Questa regola offre un supporto limitato per l'esclusione. Per informazioni dettagliate, vedere Esclusioni di file e cartelle per le regole asr.

Questa regola viene applicata solo se Office è installato nei %ProgramFiles% percorsi o %ProgramFiles(x86)% (per impostazione predefinita C:\Program Files e C:\Program Files (x86)).

Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI

Importante

Se si usa Microsoft Configuration Manager, non usare altri metodi di distribuzione disponibili per abilitare questa regola nei dispositivi gestiti. Il client Gestione configurazione si basa principalmente su WMI.

Questa regola ASR blocca l'esecuzione dei processi creati tramite PsExec e WMI . PsExec e WMI possono eseguire il codice in remoto. Il malware può usare PsExec e WMI per il comando e il controllo o per diffondere le infezioni di rete.

  • Microsoft Intune nome:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager nome: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Tipo di azione di ricerca avanzata:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Dipendenze: antivirus Microsoft Defender

Nota

Questa regola offre un supporto limitato per l'esclusione. Per informazioni dettagliate, vedere Esclusioni di file e cartelle per le regole asr.

Blocca il riavvio della macchina in modalità provvisoria

Questa regola asr impedisce il riavvio di computer Windows in modalità provvisoria, ad bcdedit esempio e bootcfg in modalità provvisoria. In modalità provvisoria, molti prodotti di sicurezza sono disabilitati o eseguiti con funzionalità limitate. La modalità provvisoria consente agli utenti malintenzionati di avviare ulteriormente i comandi di manomissione o di eseguire e crittografare tutti i file nel computer.

La modalità provvisoria è ancora accessibile manualmente dall'ambiente di ripristino di Windows.

  • Microsoft Intune nome:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager nome: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Tipo di azione di ricerca avanzata:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Dipendenze: antivirus Microsoft Defender

Nota

Attualmente, Gestione delle vulnerabilità di Microsoft Defender non riconosce questa regola. Il report regole di riduzione della superficie di attacco (ASR) mostra questa regola come Non applicabile.

Bloccare i processi non attendibili e non firmati eseguiti da USB

Questa regola ASR impedisce l'esecuzione di file eseguibili non firmati o non attendibili (ad esempio, .exe, .dll o .scr) da unità rimovibili USB, incluse le schede SD.

Questa regola asr non impedisce la copia dei file dall'unità USB al disco. Blocca l'esecuzione dei file copiati dal disco.

  • Microsoft Intune nome:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager nome:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Tipo di azione di ricerca avanzata:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Dipendenze: antivirus Microsoft Defender

Blocca l'uso di strumenti di sistema copiati o rappresentati

Questa regola ASR blocca la propagazione e l'uso di file eseguibili identificati come copie (duplicati o imposter) degli strumenti di sistema di Windows. Alcuni programmi dannosi potrebbero provare a copiare o rappresentare gli strumenti di sistema di Windows per evitare il rilevamento o ottenere privilegi. Consentire tali file eseguibili può causare potenziali attacchi.

  • Microsoft Intune nome:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager nome: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Tipo di azione di ricerca avanzata:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Dipendenze: antivirus Microsoft Defender

Nota

Attualmente, Gestione delle vulnerabilità di Microsoft Defender non riconosce questa regola. Il report regole di riduzione della superficie di attacco (ASR) mostra questa regola come Non applicabile.

Bloccare la creazione di WebShell per i server

Questa regola asr blocca la creazione di script della shell Web nei server Windows che eseguono Microsoft Exchange. Uno script della shell Web è uno script creato che consente a un utente malintenzionato di controllare il server compromesso. Uno script della shell Web potrebbe includere le funzionalità seguenti:

  • Ricevere ed eseguire comandi dannosi.

  • Scaricare ed eseguire file dannosi.

  • Rubare ed esfiltrare credenziali e informazioni riservate.

  • Identificare potenziali destinazioni.

  • Microsoft Intune nome:Block Webshell creation for Servers

  • Microsoft Configuration Manager nome: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Tipo di azione di ricerca avanzata: n/a

  • Dipendenze: antivirus Microsoft Defender

Nota

  • Questa regola non è supportata quando viene distribuita tramite Microsoft Intune per Windows Server 2012 R2 o Windows Server 2016 usando la soluzione unificata moderna.
  • Se si gestiscono le regole asr in Microsoft Defender per endpoint, non configurare questo asr in Criteri di gruppo o in altre impostazioni locali (lasciare il valore come Not Configured). Qualsiasi altro valore , ad esempio o Disabled, Enabled può causare conflitti e impedire che la regola venga applicata correttamente.
  • Attualmente, Gestione delle vulnerabilità di Microsoft Defender non riconosce questa regola. Il report regole di riduzione della superficie di attacco (ASR) mostra questa regola come Non applicabile.

Bloccare le chiamate API Win32 dalle macro di Office

Office Visual Basic, Applications Edition (VBA) abilita le chiamate API Win32. Questa regola asr impedisce alle macro VBA di chiamare le API Win32. Il malware può abusare di questa funzionalità, ad esempio chiamare API Win32 per avviare codice shell dannoso senza scrivere nulla direttamente sul disco.

La maggior parte delle organizzazioni non richiede chiamate API Win32 da macro VBA, anche se usano macro in altri modi.

  • Microsoft Intune nome:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager nome:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Tipo di azione di ricerca avanzata:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Dipendenze: Microsoft Defender Antivirus, Antimalware Scan Interface (AMSI)

Usare la protezione avanzata contro il ransomware

Nota

Questa regola asr offre un ulteriore livello di protezione contro il ransomware. Usa sia l'euristica client che quella cloud per determinare se un file assomiglia a ransomware. Questa regola non blocca i file con una o più delle caratteristiche seguenti:

  • Il file risulta nonharmful nel cloud Microsoft.
  • Il file è un file firmato valido.
  • Il file è abbastanza diffuso da non essere considerato come ransomware.

Questa regola non blocca solo i file con una cattiva reputazione. Al contrario, la regola sbaglia a livello di cautela e blocca anche i file che non hanno ancora una reputazione positiva. In genere, i blocchi su file sconosciuti non benigni da questa regola alla fine si risolveranno autonomamente. I valori di reputazione e attendibilità del file aumentano in modo incrementale man mano che aumenta l'utilizzo non problematico.

Se i blocchi in file sconosciuti non benigni non vengono risolti in modo tempestivo, è possibile configurare un'esclusione di regola per asr per questa regola o usare l'azione Consenti per un indicatore di compromissione (IoC).

  • Microsoft Intune nome:Use advanced protection against ransomware
  • Microsoft Configuration Manager nome:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Tipo di azione di ricerca avanzata:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Dipendenze: Microsoft Defender Antivirus, Cloud Protection

Contenuto correlato

  • Last updated on