Eventi
Weź udział w wyzwaniu Microsoft Learn
19 nov, 23 - 10 gen, 23
Ignite Edition — rozwijanie umiejętności w produktach zabezpieczeń firmy Microsoft i zdobywanie znaczka cyfrowego do 10 stycznia!
Zarejestruj się terazQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Gli avversari spesso si rivolgono alle workstation usando siti Web dannosi, messaggi di posta elettronica o supporti rimovibili nel tentativo di estrarre informazioni sensibili. La protezione avanzata delle applicazioni nelle workstation è una parte importante della riduzione di questo rischio. Grazie alla sua efficacia, User App Hardening è una delle 8 essenziali delle strategie di ACSC per mitigare gli incidenti di cyber security.
Gli avversari tentano spesso di sfruttare le vulnerabilità presenti nelle versioni precedenti e non supportate delle applicazioni. Le versioni più recenti dei prodotti Microsoft offrono miglioramenti significativi nelle funzionalità e nelle funzionalità di sicurezza e offrono una maggiore stabilità. Spesso è la mancanza di funzionalità di sicurezza migliorate che consentono a un antagonista di compromettere facilmente le versioni precedenti delle applicazioni. Per ridurre questo rischio, è necessario usare la versione più recente supportata dei prodotti Microsoft.
Per semplicità di riferimento, Intune richiede la distribuzione dei criteri seguenti per il controllo associato:
Java non viene installato per impostazione predefinita in Windows 10 o Windows 11.
Controllo ISM set 2024 | Mitigazione |
---|---|
1486 | Java non viene installato per impostazione predefinita in Windows 10 o Windows 11. |
Tutte le opzioni di configurazione disponibili per disabilitare gli annunci pubblicitari in Microsoft Edge vengono configurate durante la distribuzione della baseline di sicurezza di Microsoft Edge e della protezione avanzata ACSC per Microsoft Edge.
È possibile ottenere più blocchi usando estensioni di terze parti per Microsoft Edge, filtri di rete nel gateway o uso di un servizio DNS protetto. Tuttavia, l'implementazione di questi elementi non rientra nell'ambito di questo documento.
Controllo ISM set 2024 | Mitigazione |
---|---|
1485 | Il criterio 'Impostazioni annunci per i siti con annunci intrusivi' è stato configurato su Abilita. |
Internet Explorer 11 non è presente in Windows 11.
Il 15 giugno 2022 Microsoft ha ritirato Internet Explorer 11. Per un'organizzazione che richiede ancora Internet Explorer per la compatibilità legacy, la modalità Internet Explorer (modalità Internet Explorer) in Microsoft Edge offre un'esperienza semplice e con un singolo browser. Gli utenti possono accedere alle applicazioni legacy da Microsoft Edge senza dover tornare a Internet Explorer 11.
Dopo che l'amministratore ha configurato la modalità Internet Explorer, le organizzazioni possono disabilitare Internet Explorer 11 come browser autonomo. Le icone di Internet Explorer 11 nel menu Start e nella barra delle applicazioni vengono rimosse. Gli utenti vengono reindirizzati a Microsoft Edge quando tentano di avviare collegamenti o associazioni di file che usano Internet Explorer 11 o quando richiamano direttamente il file binario iexplore.exe.
Per configurare Internet Explorer per l'apertura direttamente all'interno di Microsoft Edge per siti Web specifici, configurare i criteri della modalità Internet Explorer. Per altre informazioni, vedere Configurare i criteri in modalità Internet Explorer.
Per usare Intune per disabilitare Internet Explorer 11 come browser autonomo per i dispositivi Windows 10:
Inoltre, per rimuovere completamente Internet Explorer 11:
Nota
Questo script disabilita anche .NET Framework 3.5 (include .NET 2.0 e 3.0) e Windows PowerShell 2.0.
Controllo ISM set 2024 | Mitigazione |
---|---|
1666 | Il criterio "Configurare l'elenco siti in modalità Enterprise" è configurato con un elenco di siti Web specifici dell'organizzazione. Internet Explorer 11 è stato rimosso dal criterio "Disabilita Internet Explorer 11 come browser autonomo" configurato come Abilita o rimosso tramite uno script. |
È possibile impedire a Microsoft Office di creare processi figlio tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.
Microsoft ha reso disponibile un'implementazione Intune delle linee guida per la protezione avanzata di Windows ACSC in GitHub. Laregola asr per impedire a Microsoft Office di creare processi figlio è contenuta in questa guida.
Per implementare la creazione di blocchi di processi figlio:
Questo criterio di sicurezza degli endpoint ASR contiene la regola asr specifica: impedire a tutte le applicazioni di Office di creare processi figlio (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
Nota
Importando questo profilo regola ASR, a Microsoft Office viene impedito di creare contenuto eseguibile (3B576869-A4EC-4529-8536-B80A7769E899) e di inserire codice in un altro processo (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
Nota
Questo criterio di riduzione della superficie di attacco (ASR) configura ognuna delle regole ASR consigliate da ACSC in modalità di controllo. Le regole asr devono essere testate per verificare la compatibilità in qualsiasi ambiente prima dell'imposizione.
Controllo ISM set 2024 | Mitigazione |
---|---|
1667 | È stata abilitata la regola asr 'Blocca la creazione di processi figlio a tutte le applicazioni di Office'. |
È possibile impedire a Microsoft Office di creare processi figlio (3B576869-A4EC-4529-8536-B80A7769E899) tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.
Controllo ISM set 2024 | Mitigazione |
---|---|
1668 | È stata abilitata la regola asr 'Blocca la creazione di contenuto eseguibile nelle applicazioni office'. |
Il blocco di Microsoft Office dalla creazione di processi figlio (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) può essere eseguito tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.
Controllo ISM set 2024 | Mitigazione |
---|---|
1669 | È stata abilitata la regola ASR "Blocca l'inserimento di codice in altri processi da parte delle applicazioni di Office". |
Distribuire lo script di PowerShellOfficeMacroHardening-PreventActivationofOLE.ps1per importare le chiavi del Registro di sistema che bloccano l'attivazione dei pacchetti OLE in Excel, PowerPoint e Word.
Per implementare la prevenzione dell'attivazione dei pacchetti OLE:
Nota
Questo script di PowerShell è specifico per Office 2016 e versioni successive. Uno script per impedire l'attivazione di OLE per Office 2013 è disponibile qui: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
Lo script non è firmato. Se è necessaria la firma dello script, esaminare la documentazione seguente per firmare lo script in modo che possa essere eseguito nei dispositivi Windows: Metodi di firma degli script e modificare il controllo Applica firma script su: Sì
Controllo ISM set 2024 | Mitigazione |
---|---|
1542 | L'attivazione dei pacchetti OLE è stata impedita tramite uno script. |
Microsoft Edge è configurato come visualizzatore PDF predefinito in Windows 10 e Windows 11. La visualizzazione PDF può essere ulteriormente avanzata con i criteri inclusi per ACSC o le linee guida per la protezione avanzata dei fornitori per i Web browser.
In alternativa, se l'organizzazione usa Adobe Reader come software PDF predefinito, configurare la regola di riduzione della superficie di attacco appropriata per impedire ad Adobe Reader di creare processi figlio, seguendo questa procedura:
Controllo ISM set 2024 | Mitigazione |
---|---|
1670 | È stata abilitata la regola ASR "Blocca la creazione di processi figlio in Adobe Reader". |
Microsoft Edge viene installato per impostazione predefinita in Windows 10 e Windows 11 ed è il Web browser consigliato. Microsoft Edge è sia il browser predefinito che il visualizzatore PDF, a meno che non sia configurato diversamente.
Microsoft e ACSC hanno fornito indicazioni e criteri specifici per rafforzare Microsoft Edge. Entrambi i set di indicazioni devono essere distribuiti contemporaneamente.
Per implementare la baseline di sicurezza:
Per implementare le linee guida per la protezione avanzata:
Nota
Microsoft ha anche rilasciato Intune criteri che sono stati messi insieme per aiutare le organizzazioni a rispettare le linee guida australiane per la protezione avanzata del cyber security center (ACSC Windows 10). Anche i criteri di protezione avanzata consigliati da ACSC per Microsoft Edge sono contenuti in questi criteri.
Controllo ISM set 2024 | Mitigazione |
---|---|
1412, 1860 | - Distribuire la baseline di sicurezza di Microsoft Edge - Distribuire le linee guida per la protezione avanzata di Microsoft Edge ACSC. |
Microsoft Apps per le aziende con protezione avanzata con le impostazioni consigliate per la protezione avanzata di Microsoft 365, Office 2021, Office 2019 e Office 2016 da ACSC, come parte del pilastro Essential 8 Configure Microsoft Office macro settings (Configurare le impostazioni macro di Microsoft Office).
Controllo ISM set 2024 | Mitigazione |
---|---|
1859 | Distribuire le linee guida per la protezione avanzata di AcSC Office. |
Quando i criteri forniti in questo documento vengono distribuiti tramite Intune, le impostazioni contenute nei criteri vengono applicate e non possono essere modificate dagli utenti standard.
Controllo ISM set 2024 | Mitigazione |
---|---|
1585 | Quando i criteri forniti in questo documento vengono distribuiti tramite Intune, le impostazioni contenute nei criteri vengono applicate e non possono essere modificate dagli utenti standard. |
La distribuzione del UserApplicationHardening-RemoveFeatures.ps1 script di PowerShell disattiva la funzionalità .NET Framework 3.5 (include .NET 2.0 e 3.0), se installata.
Controllo ISM set 2024 | Mitigazione |
---|---|
ISM-1655 | .NET Framework 3.5 (include .NET 2.0 e 3.0) è disabilitato o rimosso. |
La distribuzione dello script di PowerShellUserApplicationHardening-RemoveFeatures.ps1 disattiva la funzionalità Windows PowerShell 2.0, se installata.
Controllo ISM set 2024 | Mitigazione |
---|---|
1612 | Windows PowerShell 2.0 viene disabilitato o rimosso usando lo script fornito. |
La modalità linguaggio vincolato è abilitata come parte del documento di strategia di mitigazione del controllo delle applicazioni Essential Eight.
Microsoft Defender per endpoint (MDE) può essere usato per ottenere e conservare i log dagli endpoint che possono essere usati per il rilevamento di eventi di cyber security.
L'esecuzione dello script può essere verificata in modo nativo in Microsoft Defender per endpoint Ricerca avanzata. Microsoft Defender per endpoint funzionalità Ricerca avanzata registra più eventi di Controllo applicazione, incluso l'ID evento 8029, che segnala gli script bloccati o gli script applicati per l'esecuzione in modalità linguaggio vincolato.
In alternativa, è possibile usare l'inoltro di eventi WDAC per monitorarli in una soluzione di monitoraggio di terze parti.
Referenze:
Informazioni sugli ID evento del controllo delle applicazioni (Windows) - Sicurezza di | WindowsEseguire query sugli eventi di controllo dell'applicazione con Ricerca avanzata (Windows) - Sicurezza di Windows
Intune può essere usato per eseguire facilmente l'onboarding dei dispositivi in MDE.
Come per le esecuzioni di script di PowerShell bloccate, gli eventi di creazione del processo della riga di comando che sono precursori di indicazioni di compromissione vengono raccolti quando un dispositivo viene registrato in Defender per endpoint. Gli eventi possono essere visualizzati nel portale di Defender per endpoint nella pagina del dispositivo in Sequenza temporale.
Per implementare gli endpoint di onboarding in MDE:
Dopo aver eseguito l'onboarding dei dispositivi in MDE, le esecuzioni di PowerShell vengono acquisite per la revisione e, se necessario, è possibile intervenire. Per altre informazioni, vedere Eseguire azioni di risposta in un dispositivo in Microsoft Defender per endpoint.
Controllo ISM set 2024 | Mitigazione |
---|---|
1664, 1665, 1405 | Gli ID evento di Controllo applicazioni vengono acquisiti da Defender per endpoint quando i dispositivi vengono registrati in Defender per endpoint. |
1899 | Gli eventi di creazione del processo della riga di comando che sono precursori di indicazioni di compromissione vengono acquisiti da Defender per endpoint quando i dispositivi vengono registrati in Defender per endpoint. |
Eventi
Weź udział w wyzwaniu Microsoft Learn
19 nov, 23 - 10 gen, 23
Ignite Edition — rozwijanie umiejętności w produktach zabezpieczeń firmy Microsoft i zdobywanie znaczka cyfrowego do 10 stycznia!
Zarejestruj się teraz