Condividi tramite


Abilitare le regole di riduzione della superficie di attacco in Microsoft Defender per le aziende

Le superfici di attacco sono tutte le posizioni e i modi in cui la rete e i dispositivi dell'organizzazione sono vulnerabili a minacce informatiche e attacchi. I dispositivi non protetti, l'accesso senza restrizioni a qualsiasi URL in un dispositivo aziendale e l'esecuzione di qualsiasi tipo di app o script nei dispositivi aziendali sono tutti esempi di superfici di attacco. Lasciano la tua azienda vulnerabile agli attacchi informatici.

Per proteggere la rete e i dispositivi, Microsoft Defender for Business include diverse funzionalità di riduzione della superficie di attacco, incluse le regole di riduzione della superficie di attacco. Questo articolo descrive come configurare le regole di riduzione della superficie di attacco e descrive le funzionalità di riduzione della superficie di attacco.

Regole asr di protezione standard

Sono disponibili molte regole di riduzione della superficie di attacco. Non è necessario impostarli tutti contemporaneamente. Inoltre, è possibile configurare alcune regole in modalità di controllo solo per vedere come funzionano per l'organizzazione e modificarle in modo che funzionino in modalità blocco in un secondo momento. Detto questo, è consigliabile abilitare le seguenti regole di protezione standard il prima possibile:

Queste regole consentono di proteggere la rete e i dispositivi, ma non devono causare interruzioni per gli utenti. Usare Intune per configurare le regole di riduzione della superficie di attacco.

Configurare le regole asr con Intune

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare aRiduzione della superficie di attacco per la sicurezza> degli endpoint.

  2. Scegliere Crea criterio per creare un nuovo criterio.

    • Per Piattaforma scegliere Windows 10, Windows 11 e Windows Server.
    • In Profilo selezionare Regole di riduzione della superficie di attacco e quindi scegliere Crea.
  3. Configurare i criteri come indicato di seguito:

    1. Specificare un nome e una descrizione e quindi scegliere Avanti.

    2. Per almeno le tre regole seguenti, impostare ognuna su Blocca:

      • Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows
      • Bloccare la persistenza tramite la sottoscrizione di eventi WMI
      • Bloccare l'abuso di driver firmati vulnerabili sfruttati

      Quindi scegliere Avanti.

    3. Nel passaggio Tag ambito scegliere Avanti.

    4. Nel passaggio Assegnazioni scegliere gli utenti o i dispositivi per ricevere le regole e quindi scegliere Avanti. È consigliabile selezionare Aggiungi tutti i dispositivi.

    5. Nel passaggio Rivedi e crea esaminare le informazioni e quindi scegliere Crea.

Consiglio

Se si preferisce, è possibile configurare le regole di riduzione della superficie di attacco in modalità di controllo in un primo momento per visualizzare i rilevamenti prima che i file o i processi vengano effettivamente bloccati. Per informazioni più dettagliate sulle regole di riduzione della superficie di attacco, vedere Panoramica della distribuzione delle regole di riduzione della superficie di attacco.

Visualizzare il report sulla riduzione della superficie di attacco

Defender for Business include un report sulla riduzione della superficie di attacco che mostra come funzionano le regole di riduzione della superficie di attacco.

  1. Nel riquadro di spostamento del portale di Microsoft Defender scegliere Report.

  2. In Endpoint scegliere Regole di riduzione della superficie di attacco. Il report viene aperto e include tre schede:

    • Rilevamenti, in cui è possibile visualizzare i rilevamenti che si sono verificati in seguito alle regole di riduzione della superficie di attacco
    • Configurazione, in cui è possibile visualizzare i dati per le regole di protezione standard o altre regole di riduzione della superficie di attacco
    • Aggiungere esclusioni, in cui è possibile aggiungere elementi da escludere dalle regole di riduzione della superficie di attacco (usare le esclusioni con parsimonia; ogni esclusione riduce il livello di protezione)

Per altre informazioni sulle regole di riduzione della superficie di attacco, vedere gli articoli seguenti:

Funzionalità di riduzione della superficie di attacco in Defender per le aziende

Le regole di riduzione della superficie di attacco sono disponibili in Defender for Business. La tabella seguente riepiloga le funzionalità di riduzione della superficie di attacco in Defender per le aziende. Si noti che altre funzionalità, ad esempio la protezione di nuova generazione e il filtro dei contenuti Web, interagiscono con le funzionalità di riduzione della superficie di attacco.

Funzionalità Come configurarlo
Regole per la riduzione della superficie di attacco
Impedire l'esecuzione di azioni specifiche comunemente associate ad attività dannose nei dispositivi Windows.
Abilitare le regole di riduzione della superficie di attacco di protezione standard (sezione in questo articolo).
Accesso controllato alle cartelle
L'accesso controllato alle cartelle consente solo alle app attendibili di accedere alle cartelle protette nei dispositivi Windows. Si pensi a questa funzionalità come mitigazione ransomware.
Configurare i criteri di accesso controllato alle cartelle in Microsoft Defender per le aziende.
Protezione di rete
La protezione di rete impedisce agli utenti di accedere a domini pericolosi tramite applicazioni nei dispositivi Windows e Mac. La protezione di rete è anche un componente chiave del filtro contenuto Web in Microsoft Defender per le aziende.
La protezione di rete è già abilitata per impostazione predefinita quando i dispositivi vengono caricati in Defender per le aziende e vengono applicati i criteri di protezione di nuova generazione in Defender for Business . I criteri predefiniti sono configurati per l'uso delle impostazioni di sicurezza consigliate.
Protezione sul Web
La protezione Web si integra con i Web browser e funziona con la protezione di rete per la protezione da minacce Web e contenuti indesiderati. La protezione Web include il filtro dei contenuti Web e i report sulle minacce Web.
Configurare il filtro contenuto Web in Microsoft Defender per le aziende.
Protezione del firewall
La protezione del firewall determina il traffico di rete a cui è consentito il flusso da o verso i dispositivi dell'organizzazione.
La protezione del firewall è già abilitata per impostazione predefinita quando si esegue l'onboarding dei dispositivi in Defender per le aziende e vengono applicati i criteri del firewall in Defender for Business .

Passaggi successivi