Leggere in inglese

Condividi tramite


Protezione avanzata dell'applicazione utente Essential Eight

Gli avversari spesso si rivolgono alle workstation usando siti Web dannosi, messaggi di posta elettronica o supporti rimovibili nel tentativo di estrarre informazioni sensibili. La protezione avanzata delle applicazioni nelle workstation è una parte importante della riduzione di questo rischio. Grazie alla sua efficacia, User App Hardening è una delle 8 essenziali delle strategie di ACSC per mitigare gli incidenti di cyber security.

Gli avversari tentano spesso di sfruttare le vulnerabilità presenti nelle versioni precedenti e non supportate delle applicazioni. Le versioni più recenti dei prodotti Microsoft offrono miglioramenti significativi nelle funzionalità e nelle funzionalità di sicurezza e offrono una maggiore stabilità. Spesso è la mancanza di funzionalità di sicurezza migliorate che consentono a un antagonista di compromettere facilmente le versioni precedenti delle applicazioni. Per ridurre questo rischio, è necessario usare la versione più recente supportata dei prodotti Microsoft.

Risorse e riferimenti

Per semplicità di riferimento, Intune richiede la distribuzione dei criteri seguenti per il controllo associato:

I Web browser non elaborano Java da Internet

Java non viene installato per impostazione predefinita in Windows 10 o Windows 11.

Controllo ISM set 2024 Mitigazione
1486 Java non viene installato per impostazione predefinita in Windows 10 o Windows 11.

I Web browser non elaborano annunci Web da Internet

Tutte le opzioni di configurazione disponibili per disabilitare gli annunci pubblicitari in Microsoft Edge vengono configurate durante la distribuzione della baseline di sicurezza di Microsoft Edge e della protezione avanzata ACSC per Microsoft Edge.

È possibile ottenere più blocchi usando estensioni di terze parti per Microsoft Edge, filtri di rete nel gateway o uso di un servizio DNS protetto. Tuttavia, l'implementazione di questi elementi non rientra nell'ambito di questo documento.

Controllo ISM set 2024 Mitigazione
1485 Il criterio 'Impostazioni annunci per i siti con annunci intrusivi' è stato configurato su Abilita.

Internet Explorer 11 è disabilitato o rimosso

Internet Explorer 11 non è presente in Windows 11.

Il 15 giugno 2022 Microsoft ha ritirato Internet Explorer 11. Per un'organizzazione che richiede ancora Internet Explorer per la compatibilità legacy, la modalità Internet Explorer (modalità Internet Explorer) in Microsoft Edge offre un'esperienza semplice e con un singolo browser. Gli utenti possono accedere alle applicazioni legacy da Microsoft Edge senza dover tornare a Internet Explorer 11.

Dopo che l'amministratore ha configurato la modalità Internet Explorer, le organizzazioni possono disabilitare Internet Explorer 11 come browser autonomo. Le icone di Internet Explorer 11 nel menu Start e nella barra delle applicazioni vengono rimosse. Gli utenti vengono reindirizzati a Microsoft Edge quando tentano di avviare collegamenti o associazioni di file che usano Internet Explorer 11 o quando richiamano direttamente il file binario iexplore.exe.

Per configurare Internet Explorer per l'apertura direttamente all'interno di Microsoft Edge per siti Web specifici, configurare i criteri della modalità Internet Explorer. Per altre informazioni, vedere Configurare i criteri in modalità Internet Explorer.

Dettagli di implementazione per la disabilitazione di Internet Explorer 11

Per usare Intune per disabilitare Internet Explorer 11 come browser autonomo per i dispositivi Windows 10:

  1. Creare un nuovo criterio catalogo impostazioni.
  2. Sfoglia per categoria e cerca: Disabilita Internet Explorer 11 come browser autonomo (utente).Browse by category, and search for: Disable Internet Explorer 11 as a standalone browser (User).
  3. Passare a *Modelli amministrativi\Componenti di Windows\Internet Explorer e selezionare l'impostazione: Disabilitare Internet Explorer 11 come browser autonomo (utente).
  4. Abilitare l'impostazione Disabilita Internet Explorer 11 come browser autonomo (utente).Enable the setting Disable Internet Explorer 11 as a standalone browser (User).
  5. Distribuire i criteri in un set di dispositivi o utenti.

Inoltre, per rimuovere completamente Internet Explorer 11:

  1. Aggiungere il UserApplicationHardening-RemoveFeatures.ps1come script di PowerShell con le opzioni seguenti:
  • Eseguire questo script usando le credenziali di accesso: No
  • Applicare il controllo della firma dello script: No
  • Eseguire script nell'host PowerShell a 64 bit: No
  1. Assegnare lo script a un gruppo di distribuzione.
Controllo ISM set 2024 Mitigazione
1666 Il criterio "Configurare l'elenco siti in modalità Enterprise" è configurato con un elenco di siti Web specifici dell'organizzazione. Internet Explorer 11 è stato rimosso dal criterio "Disabilita Internet Explorer 11 come browser autonomo" configurato come Abilita o rimosso tramite uno script.

A Microsoft Office è impedito di creare processi figlio

È possibile impedire a Microsoft Office di creare processi figlio tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.

Microsoft ha reso disponibile un'implementazione Intune delle linee guida per la protezione avanzata di Windows ACSC in GitHub. Laregola asr per impedire a Microsoft Office di creare processi figlio è contenuta in questa guida.

Dettagli di implementazione per bloccare la creazione di processi figlio

Per implementare la creazione di blocchi di processi figlio:

  1. Passare a Graph Explorer e eseguire l'autenticazione.
  2. Creare una richiesta POST usando lo schema beta per l'endpoint dei criteri di riduzione della superficie di attacco: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
  3. Copiare il codice JSON nei criteri acsc Windows Hardening Guidelines-Attack Surface Reduction e incollarlo nel corpo della richiesta.
  4. (Facoltativo) modificare il valore del nome , se necessario.

Questo criterio di sicurezza degli endpoint ASR contiene la regola asr specifica: impedire a tutte le applicazioni di Office di creare processi figlio (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).

Nota

Importando questo profilo regola ASR, a Microsoft Office viene impedito di creare contenuto eseguibile (3B576869-A4EC-4529-8536-B80A7769E899) e di inserire codice in un altro processo (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).

Nota

Questo criterio di riduzione della superficie di attacco (ASR) configura ognuna delle regole ASR consigliate da ACSC in modalità di controllo. Le regole asr devono essere testate per verificare la compatibilità in qualsiasi ambiente prima dell'imposizione.

Controllo ISM set 2024 Mitigazione
1667 È stata abilitata la regola asr 'Blocca la creazione di processi figlio a tutte le applicazioni di Office'.

A Microsoft Office è impedito di creare contenuto eseguibile

È possibile impedire a Microsoft Office di creare processi figlio (3B576869-A4EC-4529-8536-B80A7769E899) tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.

Controllo ISM set 2024 Mitigazione
1668 È stata abilitata la regola asr 'Blocca la creazione di contenuto eseguibile nelle applicazioni office'.

A Microsoft Office è impedito l'inserimento di codice in altri processi

Il blocco di Microsoft Office dalla creazione di processi figlio (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) può essere eseguito tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.

Controllo ISM set 2024 Mitigazione
1669 È stata abilitata la regola ASR "Blocca l'inserimento di codice in altri processi da parte delle applicazioni di Office".

Microsoft Office è configurato per impedire l'attivazione di pacchetti OLE

Distribuire lo script di PowerShellOfficeMacroHardening-PreventActivationofOLE.ps1per importare le chiavi del Registro di sistema che bloccano l'attivazione dei pacchetti OLE in Excel, PowerPoint e Word.

Dettagli di implementazione per impedire l'attivazione di pacchetti OLE

Per implementare la prevenzione dell'attivazione dei pacchetti OLE:

  1. Aggiungere OfficeMacroHardening-PreventActivationofOLE.ps1come script di PowerShell con le opzioni seguenti:
  • Eseguire questo script usando le credenziali di accesso:
  • Applicare il controllo della firma dello script: No
  • Eseguire script nell'host PowerShell a 64 bit: No
  1. Assegnare lo script a un gruppo di distribuzione.

Nota

Questo script di PowerShell è specifico per Office 2016 e versioni successive. Uno script per impedire l'attivazione di OLE per Office 2013 è disponibile qui: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.

Lo script non è firmato. Se è necessaria la firma dello script, esaminare la documentazione seguente per firmare lo script in modo che possa essere eseguito nei dispositivi Windows: Metodi di firma degli script e modificare il controllo Applica firma script su: Sì

Controllo ISM set 2024 Mitigazione
1542 L'attivazione dei pacchetti OLE è stata impedita tramite uno script.

Il software PDF non è in esecuzione per la creazione di processi figlio

Microsoft Edge è configurato come visualizzatore PDF predefinito in Windows 10 e Windows 11. La visualizzazione PDF può essere ulteriormente avanzata con i criteri inclusi per ACSC o le linee guida per la protezione avanzata dei fornitori per i Web browser.

In alternativa, se l'organizzazione usa Adobe Reader come software PDF predefinito, configurare la regola di riduzione della superficie di attacco appropriata per impedire ad Adobe Reader di creare processi figlio, seguendo questa procedura:

  1. In Intune passare aRiduzione della superficie degli attacchi di sicurezza> degli endpoint.
  2. Creare (o modificare) un nuovo criterio di sicurezza degli endpoint di riduzione della superficie di attacco.
  3. Impostare Blocca adobe reader dalla creazione di processi figlio su Abilita.
  4. Assegnare i criteri regola di riduzione della superficie di attacco a un gruppo.
Controllo ISM set 2024 Mitigazione
1670 È stata abilitata la regola ASR "Blocca la creazione di processi figlio in Adobe Reader".

Linee guida per la protezione avanzata per Web browser, software Microsoft Office e PDF

Web browser e software PDF con Microsoft Edge

Microsoft Edge viene installato per impostazione predefinita in Windows 10 e Windows 11 ed è il Web browser consigliato. Microsoft Edge è sia il browser predefinito che il visualizzatore PDF, a meno che non sia configurato diversamente.

Microsoft e ACSC hanno fornito indicazioni e criteri specifici per rafforzare Microsoft Edge. Entrambi i set di indicazioni devono essere distribuiti contemporaneamente.

Dettagli dell'implementazione tramite la baseline di sicurezza di Microsoft Edge

Per implementare la baseline di sicurezza:

  1. Passare a Baseline di sicurezza della sicurezza>degli> endpointdi Microsoft Edge.
  2. Creare una nuova baseline di Microsoft Edge selezionando Crea profilo.
  3. Esaminare la configurazione e assegnare la baseline di sicurezza a un gruppo.

Dettagli di implementazione per le linee guida per la protezione avanzata di Microsoft Edge

Per implementare le linee guida per la protezione avanzata:

  1. Salvare i criteri ACSC Microsoft Edge Hardening Guidelines nel dispositivo locale.
  2. Passare alla console Microsoft Intune.
  3. Importare un criterio, in Dispositivi > Profili > di configurazione di Windows > Creare > criteri di importazione
  4. Assegnare un nome al criterio, selezionare Cerca file in File di criteri e passare al criterio salvato dal passaggio 1.
  5. Seleziona Salva.

Nota

Microsoft ha anche rilasciato Intune criteri che sono stati messi insieme per aiutare le organizzazioni a rispettare le linee guida australiane per la protezione avanzata del cyber security center (ACSC Windows 10). Anche i criteri di protezione avanzata consigliati da ACSC per Microsoft Edge sono contenuti in questi criteri.

Controllo ISM set 2024 Mitigazione
1412, 1860 - Distribuire la baseline di sicurezza di Microsoft Edge
- Distribuire le linee guida per la protezione avanzata di Microsoft Edge ACSC.

Microsoft Office: Microsoft Apps per le aziende

Microsoft Apps per le aziende con protezione avanzata con le impostazioni consigliate per la protezione avanzata di Microsoft 365, Office 2021, Office 2019 e Office 2016 da ACSC, come parte del pilastro Essential 8 Configure Microsoft Office macro settings (Configurare le impostazioni macro di Microsoft Office).

Controllo ISM set 2024 Mitigazione
1859 Distribuire le linee guida per la protezione avanzata di AcSC Office.

Le impostazioni di sicurezza del web browser, di Microsoft Office e del software PDF non possono essere modificate dagli utenti

Quando i criteri forniti in questo documento vengono distribuiti tramite Intune, le impostazioni contenute nei criteri vengono applicate e non possono essere modificate dagli utenti standard.

Controllo ISM set 2024 Mitigazione
1585 Quando i criteri forniti in questo documento vengono distribuiti tramite Intune, le impostazioni contenute nei criteri vengono applicate e non possono essere modificate dagli utenti standard.

.NET Framework 3.5 (include .NET 2.0 e 3.0) è disabilitato o rimosso

La distribuzione del UserApplicationHardening-RemoveFeatures.ps1 script di PowerShell disattiva la funzionalità .NET Framework 3.5 (include .NET 2.0 e 3.0), se installata.

Controllo ISM set 2024 Mitigazione
ISM-1655 .NET Framework 3.5 (include .NET 2.0 e 3.0) è disabilitato o rimosso.

Windows PowerShell 2.0 è disabilitato o rimosso

La distribuzione dello script di PowerShellUserApplicationHardening-RemoveFeatures.ps1 disattiva la funzionalità Windows PowerShell 2.0, se installata.

Controllo ISM set 2024 Mitigazione
1612 Windows PowerShell 2.0 viene disabilitato o rimosso usando lo script fornito.

PowerShell è configurato per l'uso della modalità linguaggio vincolato

La modalità linguaggio vincolato è abilitata come parte del documento di strategia di mitigazione del controllo delle applicazioni Essential Eight.

Le esecuzioni degli script di PowerShell bloccate vengono registrate e protette centralmente da modifiche ed eliminazioni non autorizzate, monitorate per individuare i segni di compromissione e attivate quando vengono rilevati eventi di cyber security

Microsoft Defender per endpoint (MDE) può essere usato per ottenere e conservare i log dagli endpoint che possono essere usati per il rilevamento di eventi di cyber security.

L'esecuzione dello script può essere verificata in modo nativo in Microsoft Defender per endpoint Ricerca avanzata. Microsoft Defender per endpoint funzionalità Ricerca avanzata registra più eventi di Controllo applicazione, incluso l'ID evento 8029, che segnala gli script bloccati o gli script applicati per l'esecuzione in modalità linguaggio vincolato.

In alternativa, è possibile usare l'inoltro di eventi WDAC per monitorarli in una soluzione di monitoraggio di terze parti.

Referenze:

Informazioni sugli ID evento del controllo delle applicazioni (Windows) - Sicurezza di | WindowsEseguire query sugli eventi di controllo dell'applicazione con Ricerca avanzata (Windows) - Sicurezza di Windows

Intune può essere usato per eseguire facilmente l'onboarding dei dispositivi in MDE.

Gli eventi di creazione del processo della riga di comando vengono registrati centralmente

Come per le esecuzioni di script di PowerShell bloccate, gli eventi di creazione del processo della riga di comando che sono precursori di indicazioni di compromissione vengono raccolti quando un dispositivo viene registrato in Defender per endpoint. Gli eventi possono essere visualizzati nel portale di Defender per endpoint nella pagina del dispositivo in Sequenza temporale.

Dettagli di implementazione per l'onboarding degli endpoint in Microsoft Defender per endpoint

Per implementare gli endpoint di onboarding in MDE:

  1. Creare un nuovo profilo di configurazione di Windows con un tipo di modello>Microsoft Defender per endpoint (dispositivi desktop in esecuzione Windows 10 o versioni successive).
  2. Impostare Velocizzare la frequenza dei report di telemetria su Abilita.
  3. Assegnare i criteri a un gruppo di distribuzione.

Dopo aver eseguito l'onboarding dei dispositivi in MDE, le esecuzioni di PowerShell vengono acquisite per la revisione e, se necessario, è possibile intervenire. Per altre informazioni, vedere Eseguire azioni di risposta in un dispositivo in Microsoft Defender per endpoint.

Controllo ISM set 2024 Mitigazione
1664, 1665, 1405 Gli ID evento di Controllo applicazioni vengono acquisiti da Defender per endpoint quando i dispositivi vengono registrati in Defender per endpoint.
1899 Gli eventi di creazione del processo della riga di comando che sono precursori di indicazioni di compromissione vengono acquisiti da Defender per endpoint quando i dispositivi vengono registrati in Defender per endpoint.