Condividi tramite


Comprendere e usare le funzionalità di riduzione della superficie di attacco

Si applica a:

Piattaforme

  • Windows

Consiglio

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Le superfici di attacco sono tutti i luoghi in cui l'organizzazione è vulnerabile a minacce informatiche e attacchi. Defender per endpoint include diverse funzionalità che consentono di ridurre le superfici di attacco. Guardare il video seguente per altre informazioni sulla riduzione della superficie di attacco.

Configurare le funzionalità per la riduzione della superficie di attacco

Per configurare la riduzione della superficie di attacco nell'ambiente, seguire questa procedura:

  1. Abilitare l'isolamento basato su hardware per Microsoft Edge.

  2. Abilitare le regole di riduzione della superficie di attacco.

  3. Abilitare il controllo applicazione.

    1. Esaminare i criteri di base in Windows. Vedere Criteri di base di esempio.

    2. Vedere la guida alla progettazione Windows Defender Controllo applicazioni.

    3. Fare riferimento alla distribuzione di criteri WDAC (Deploying Windows Defender Application Control).

  4. Abilitare l'accesso controllato alle cartelle.

  5. Abilitare la protezione dell'archiviazione rimovibile.

  6. Attivare la protezione di rete.

  7. Abilitare la protezione Web.

  8. Abilitare la protezione dagli exploit.

  9. Configurare il firewall di rete.

    1. Panoramica di Windows Firewall con sicurezza avanzata.

    2. Usare la guida alla progettazione di Windows Firewall per decidere come progettare i criteri del firewall.

    3. Usare la guida alla distribuzione di Windows Firewall per configurare il firewall dell'organizzazione con sicurezza avanzata.

Consiglio

Nella maggior parte dei casi, quando si configurano le funzionalità di riduzione della superficie di attacco, è possibile scegliere tra diversi metodi:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Criteri di gruppo
  • Cmdlet di Microsoft PowerShell

Riduzione della superficie di attacco di test in Microsoft Defender per endpoint

Come parte del team di sicurezza dell'organizzazione, è possibile configurare le funzionalità di riduzione della superficie di attacco da eseguire in modalità di controllo per vedere come funzionano. È possibile abilitare le seguenti funzionalità di sicurezza per la riduzione della superficie di attacco in modalità di controllo:

  • Regole di riduzione della superficie di attacco
  • Protezione dagli exploit
  • Protezione della rete
  • Accesso alle cartelle controllato
  • Controllo del dispositivo

La modalità di controllo consente di visualizzare un record di ciò che sarebbe successo se la funzionalità fosse stata abilitata.

È possibile abilitare la modalità di controllo durante il test del funzionamento delle funzionalità. L'abilitazione della modalità di controllo solo per i test consente di impedire che la modalità di controllo influisca sulle app line-of-business. È anche possibile avere un'idea di quanti tentativi sospetti di modifica dei file si verificano in un determinato periodo di tempo.

Le funzionalità non bloccano o impediscono la modifica di app, script o file. Tuttavia, il registro eventi di Windows registra gli eventi come se le funzionalità fossero completamente abilitate. Con la modalità di controllo, è possibile esaminare il registro eventi per vedere quale effetto avrebbe avuto la funzionalità se fosse stata abilitata.

Per trovare le voci controllate, passare ad Applicazioni e servizi>Microsoft>Windows>Windows Defender>Operational.

Usare Defender per endpoint per ottenere maggiori dettagli per ogni evento. Questi dettagli sono particolarmente utili per analizzare le regole di riduzione della superficie di attacco. L'uso della console di Defender per endpoint consente di analizzare i problemi come parte degli scenari di analisi e sequenza temporale degli avvisi.

È possibile abilitare la modalità di controllo usando Criteri di gruppo, PowerShell e provider di servizi di configurazione.

Opzioni di controllo Come abilitare la modalità di controllo Come visualizzare gli eventi
Il controllo si applica a tutti gli eventi Abilitare l’accesso controllato alle cartelle Eventi di accesso controllato alle cartelle
Il controllo si applica alle singole regole Passaggio 1: Testare le regole di riduzione della superficie di attacco usando la modalità di controllo Passaggio 2: Comprendere la pagina di segnalazione delle regole di riduzione della superficie di attacco
Il controllo si applica a tutti gli eventi Abilitare la protezione di rete Eventi di protezione della rete
Il controllo si applica alle singole mitigazioni Abilitare la protezione dagli exploit Eventi di protezione dagli exploit

Ad esempio, è possibile testare le regole di riduzione della superficie di attacco in modalità di controllo prima di abilitarle in modalità blocco. Le regole di riduzione della superficie di attacco sono predefinite per rafforzare le superfici di attacco comuni e note. Esistono diversi metodi che è possibile usare per implementare le regole di riduzione della superficie di attacco. Il metodo preferito è documentato negli articoli sulla distribuzione delle regole di riduzione della superficie di attacco seguenti:

Visualizzare eventi per la riduzione della superficie di attacco

Esaminare gli eventi di riduzione della superficie di attacco in Visualizzatore eventi per monitorare le regole o le impostazioni che funzionano. È anche possibile determinare se le impostazioni sono troppo "rumorose" o influiscono sul flusso di lavoro quotidiano.

La revisione degli eventi è utile quando si valutano le funzionalità. È possibile abilitare la modalità di controllo per le funzionalità o le impostazioni e quindi verificare cosa sarebbe successo se fossero state completamente abilitate.

Questa sezione elenca tutti gli eventi, la funzionalità o l'impostazione associata e descrive come creare visualizzazioni personalizzate per filtrare in base a eventi specifici.

Ottenere report dettagliati su eventi, blocchi e avvisi come parte di Sicurezza di Windows se si dispone di una sottoscrizione E5 e si usa Microsoft Defender per endpoint.

Usare visualizzazioni personalizzate per esaminare le funzionalità di riduzione della superficie di attacco

Create visualizzazioni personalizzate in Windows Visualizzatore eventi visualizzare solo gli eventi per funzionalità e impostazioni specifiche. Il modo più semplice consiste nell'importare una visualizzazione personalizzata come file XML. È possibile copiare il codice XML direttamente da questa pagina.

È anche possibile passare manualmente all'area eventi corrispondente alla funzionalità.

Importare una visualizzazione personalizzata XML esistente

  1. Create un file di .txt vuoto e copiare il codice XML per la visualizzazione personalizzata da usare nel file .txt. Eseguire questa operazione per ognuna delle visualizzazioni personalizzate che si desidera usare. Rinominare i file nel modo seguente (assicurarsi di modificare il tipo da .txt a .xml):

    • Visualizzazione personalizzata degli eventi di accesso controllato alle cartelle: cfa-events.xml
    • Visualizzazione personalizzata degli eventi di protezione dagli exploit: ep-events.xml
    • Visualizzazione personalizzata degli eventi di riduzione della superficie di attacco: asr-events.xml
    • Visualizzazione personalizzata degli eventi di rete/protezione: np-events.xml
  2. Digitare Visualizzatore eventi nel menu Start e aprire Visualizzatore eventi.

  3. Selezionare Azione>Importa visualizzazione personalizzata...

    Evidenziazione animazione Importa visualizzazione personalizzata a sinistra della finestra Visualizzatore pari.

  4. Passare alla posizione in cui è stato estratto il file XML per la visualizzazione personalizzata desiderata e selezionarlo.

  5. Seleziona Apri.

  6. Crea una visualizzazione personalizzata che filtra per visualizzare solo gli eventi correlati a tale funzionalità.

Copiare direttamente il codice XML

  1. Digitare visualizzatore eventi nel menu Start e aprire il Visualizzatore eventi di Windows.

  2. Nel pannello a sinistra, in Azioni, selezionare Create Visualizzazione personalizzata...

    Animazione che evidenzia l'opzione crea visualizzazione personalizzata nella finestra Visualizzatore eventi.

  3. Passare alla scheda XML e selezionare Modifica query manualmente. Viene visualizzato un avviso che indica che non è possibile modificare la query usando la scheda Filtro se si usa l'opzione XML. Selezionare .

  4. Incollare il codice XML per la funzionalità da cui filtrare gli eventi nella sezione XML.

  5. Seleziona OK. Specificare un nome per il filtro. Questa azione crea una visualizzazione personalizzata che filtra solo gli eventi correlati a tale funzionalità.

XML per gli eventi delle regole di riduzione della superficie di attacco

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML per gli eventi di accesso controllato alle cartelle

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML per gli eventi di protezione dagli exploit

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML per gli eventi di protezione di rete

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Elenco di eventi di riduzione della superficie di attacco

Tutti gli eventi di riduzione della superficie di attacco si trovano in Registri > applicazioni e servizi Microsoft > Windows e quindi nella cartella o nel provider come indicato nella tabella seguente.

È possibile accedere a questi eventi nel Visualizzatore eventi di Windows:

  1. Aprire il menu Start e digitare Visualizzatore eventi e quindi selezionare il risultato Visualizzatore eventi.

  2. Espandere Registri > applicazioni e servizi Microsoft > Windows e quindi passare alla cartella elencata in Provider/origine nella tabella seguente.

  3. Fare doppio clic sull'elemento secondario per visualizzare gli eventi. Scorrere gli eventi per trovare quello che si sta cercando.

    Animazione che mostra l'uso di Visualizzatore eventi.

Funzionalità Provider/origine ID evento Descrizione
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 1 Controllo di ACG
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 2 Applicazione di ACG
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 3 Non consente il controllo dei processi figlio
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 4 Non consente il blocco dei processi figlio
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 5 Controllo di Blocca immagini con bassa integrità
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 6 Blocco di Blocca immagini con bassa integrità
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 7 Controllo di Blocca immagini remote
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 8 Blocca di Blocca immagini remote
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 9 Controllo di Disabilita le chiamate di sistema win32k
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 10 Blocco di Disabilita le chiamate di sistema win32k
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 11 Controllo di Controllo integrità codice
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 12 Blocco di Controllo integrità codice
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 13 Controllo di EAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 14 Applicazione di EAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 15 Controllo di EAF+
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 16 Applicazione di EAF+
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 17 Controllo di IAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 18 Applicazione di IAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 19 Controllo di ROP StackPivot
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 20 Applicazione di ROP StackPivot
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 21 Controllo di ROP CallerCheck
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 22 Applicazione di ROP CallerCheck
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 23 Controllo di ROP SimExec
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 24 Applicazione di ROP SimExec
Protezione dagli exploit WER-Diagnostics 5 Blocco di CFG
Protezione dagli exploit Win32K (Operativo) 260 Tipo di carattere non attendibile
Protezione della rete Windows Defender (operativo) 5007 Evento quando vengono modificate le impostazioni
Protezione della rete Windows Defender (operativo) 1125 Evento quando la protezione di rete viene attivata in modalità di controllo
Protezione della rete Windows Defender (operativo) 1126 Evento quando la protezione di rete viene attivata in modalità blocco
Accesso alle cartelle controllato Windows Defender (operativo) 5007 Evento quando vengono modificate le impostazioni
Accesso alle cartelle controllato Windows Defender (operativo) 1124 Audited Controlled folder access event (Evento di accesso controllato alle cartelle)
Accesso alle cartelle controllato Windows Defender (operativo) 1123 Evento di accesso controllato alle cartelle bloccato
Accesso alle cartelle controllato Windows Defender (operativo) 1127 Blocked Controlled folder access sector write block event (Evento blocco di scrittura del settore di accesso controllato alle cartelle bloccato)
Accesso alle cartelle controllato Windows Defender (operativo) 1128 Audited Controlled folder access sector write block event
Riduzione della superficie d'attacco Windows Defender (operativo) 5007 Evento quando vengono modificate le impostazioni
Riduzione della superficie d'attacco Windows Defender (operativo) 1122 Evento quando la regola viene attivata in modalità di controllo
Riduzione della superficie d'attacco Windows Defender (operativo) 1121 Evento quando la regola viene attivata in modalità blocco

Nota

Dal punto di vista dell'utente, la riduzione della superficie di attacco Notifiche modalità avviso vengono effettuate come notifica di avviso popup di Windows per le regole di riduzione della superficie di attacco.

Nella riduzione della superficie di attacco, Protezione di rete offre solo le modalità Di controllo e Blocco.

Risorse per altre informazioni sulla riduzione della superficie di attacco

Come indicato nel video, Defender per endpoint include diverse funzionalità di riduzione della superficie di attacco. Per altre informazioni, usare le risorse seguenti:

Articolo Descrizione
Controllo delle applicazioni Usare il controllo dell'applicazione in modo che le applicazioni debbano ottenere attendibilità per l'esecuzione.
Informazioni di riferimento sulle regole di riduzione della superficie di attacco Fornisce informazioni dettagliate su ogni regola di riduzione della superficie di attacco.
Guida alla distribuzione delle regole di riduzione della superficie di attacco Presenta informazioni generali e prerequisiti per la distribuzione delle regole di riduzione della superficie di attacco, seguito da indicazioni dettagliate per il test (modalità di controllo), l'abilitazione (modalità blocco) e il monitoraggio.
Accesso controllato alle cartelle Impedisci ad app dannose o sospette (incluso il malware ransomware per la crittografia dei file) di apportare modifiche ai file nelle cartelle di sistema chiave (richiede Microsoft Defender Antivirus).
Controllo dispositivo Protegge dalla perdita di dati monitorando e controllando i supporti usati nei dispositivi, ad esempio l'archiviazione rimovibile e le unità USB, nell'organizzazione.
Protezione dagli exploit Proteggere i sistemi operativi e le app usate dall'organizzazione dallo sfruttamento. La protezione dagli exploit funziona anche con soluzioni antivirus di terze parti.
Isolamento basato su hardware Consente di proteggere e mantenere l'integrità di un sistema all'avvio e durante l'esecuzione. Permette di convalidare l'integrità del sistema tramite l'attestazione locale e remota Usare l'isolamento dei contenitori per Microsoft Edge per proteggere i siti Web dannosi.
Protezione di rete Consente di estendere la protezione al traffico di rete e alla connettività nei dispositivi dell'organizzazione. (Richiede Antivirus Microsoft Defender).
Testare le regole di riduzione della superficie di attacco Fornisce i passaggi per usare la modalità di controllo per testare le regole di riduzione della superficie di attacco.
Protezione sul Web La protezione Web consente di proteggere i dispositivi dalle minacce Web e consente di regolare i contenuti indesiderati.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.