Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le regole di riduzione della superficie di attacco (ASR) sono destinate al comportamento software rischioso nei dispositivi Windows che gli utenti malintenzionati sfruttano comunemente tramite malware (ad esempio, l'avvio di script che scaricano file, l'esecuzione di script offuscati e l'inserimento di codice in altri processi). Questo articolo descrive come abilitare e configurare le regole asr.
Per ottenere risultati ottimali, usare soluzioni di gestione a livello aziendale come Microsoft Intune o Microsoft Configuration Manager per gestire le regole asr. Le impostazioni delle regole ASR da Intune o Gestione configurazione sovrascrivere eventuali impostazioni in conflitto da Criteri di gruppo o PowerShell all'avvio.
Prerequisiti
Per altre informazioni, vedere Requisiti per le regole asr.
Configurare le regole asr in Microsoft Intune
Microsoft Intune è lo strumento consigliato per la configurazione e la distribuzione dei criteri delle regole asr ai dispositivi. Richiede Microsoft Intune (piano 1) (incluso nelle sottoscrizioni come Microsoft 365 E3 o disponibile come componente aggiuntivo autonomo).
In Intune, i criteri di sicurezza degli endpoint sono il metodo consigliato per distribuire le regole asr, anche se altri metodi sono disponibili anche in Intune come descritto nelle sottosezioni seguenti.
Configurare le regole e le esclusioni dell'ASR in Intune usando i criteri di sicurezza degli endpoint
Per configurare le regole asr usando un criterio di riduzione della superficie di attacco di Endpoint Security Microsoft Intune, vedere Creare un criterio di sicurezza degli endpoint (viene aperto in una nuova scheda nella documentazione di Intune). Quando si creano i criteri, usare queste impostazioni:
Importante
Microsoft Defender per endpoint la gestione supporta solo gli oggetti dispositivo. La destinazione degli utenti non è supportata. Assegnare i criteri a Microsoft Entra gruppi di dispositivi, non a gruppi di utenti.
- Tipo di criterio: Riduzione della superficie di attacco
- Piattaforma: Windows
- Profilo: Regole di riduzione della superficie di attacco
-
Impostazioni di configurazione:
Riduzione della superficie di attacco: in genere, è possibile abilitare le regole di protezione standard in modalità Blocca o Avvisa senza test. È consigliabile testare altre regole asr in modalità di controllo prima di passare alla modalità Blocca o Avvisa . Per altre informazioni, vedere la guida alla distribuzione delle regole asr.
Dopo aver impostato la modalità regola su Audit, Block o Warn, viene visualizzata una sezione ASR only per rule exclusions in cui è possibile specificare esclusioni che si applicano solo a tale regola.
Solo esclusioni di riduzione della superficie di attacco: usare questa sezione per specificare le esclusioni applicabili a tutte le regole asr.
Per specificare esclusioni di regole per asr o esclusioni di regole asr globali, usare uno dei metodi seguenti:
Selezionare Aggiungi. Nella casella visualizzata immettere il percorso o il percorso e il nome file da escludere. Ad esempio:
C:\folder%ProgramFiles%\folder\file.exeC:\path
Selezionare Importa per importare un file CSV che contiene i nomi di file e cartelle da escludere. Il file CSV usa il formato seguente:
AttackSurfaceReductionOnlyExclusions "C:\folder" "%ProgramFiles%\folder\file.exe" "C:\path" ...Consiglio
Le virgolette doppie intorno ai valori sono facoltative e vengono ignorate (non vengono usate nei valori) se vengono incluse. Non usare virgolette singole intorno ai valori.
Per altre informazioni sulle esclusioni, vedere Esclusioni di file e cartelle per le regole asr.
Abilitare l'accesso controllato alle cartelle, le cartelle protette con accesso controllato alle cartelle e le applicazioni consentite per l'accesso controllato alle cartelle: per altre informazioni, vedere Proteggere le cartelle importanti con accesso controllato alle cartelle.
Configurare le regole asr in Intune usando profili personalizzati con OMA-URIs e CSP
Anche se i criteri di sicurezza degli endpoint sono consigliati, è anche possibile configurare le regole asr in Intune usando profili personalizzati che contengono profili Open Mobile Alliance - URI OMA (Uniform Resource) usando un provider di servizi di configurazione dei criteri di Windows (CSP).
Per informazioni generali sui OMA-URIs in Intune, vedere Distribuire OMA-URIs per definire come destinazione un provider di servizi di configurazione tramite Intune e un confronto con l'ambiente locale.
Nell'interfaccia di amministrazione Microsoft Intune in https://intune.microsoft.comselezionare Dispositivi> Gestisciconfigurazionedispositivi>. Oppure, per passare direttamente ai dispositivi | Pagina di configurazione , usare https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.
Nella scheda Criteri dei dispositivi | Pagina configurazione , selezionare Crea>nuovo criterio.
Nel riquadro a comparsa Crea un profilo aperto configurare le impostazioni seguenti:
- Piattaforma: selezionare Windows 10 e versioni successive.
-
Tipo di profilo: selezionare Modelli.
- Nella sezione Nome modello visualizzata selezionare Personalizzato.
Selezionare Crea.
Verrà visualizzata la procedura guidata per i modelli personalizzati. Nella scheda Informazioni di base configurare le impostazioni seguenti:
- Nome: immettere un nome univoco per il modello.
- Descrizione: immettere una descrizione facoltativa.
Al termine della scheda Informazioni di base , selezionare Avanti.
Nella scheda Impostazioni di configurazione selezionare Aggiungi.
Nel riquadro a comparsa Aggiungi riga visualizzato configurare le impostazioni seguenti:
Nome: immettere un nome univoco per la regola.
Descrizione: immettere una breve descrizione facoltativa.
OMA-URI: immettere il valore Device dal provider di servizi di configurazione AttackSurfaceReductionRules :
./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRulesTipo di dati: selezionare Stringa.
Valore: usare la sintassi seguente:
<RuleGuid1>=<ModeForRuleGuid1> <RuleGuid2>=<ModeForRuleGuid2> ... <RuleGuidN>=<ModeForRuleGuidN>- I valori GUID per le regole ASR sono disponibili nelle regole asr.
- Sono disponibili le seguenti modalità di regola :
-
0:Fuori -
1:Blocco -
2:Revisione -
5: non configurato -
6:Avvertire
-
Ad esempio:
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2 3b576869-a4ec-4529-8536-b80a7769e899=1 d4f940ab-401b-4efc-aadc-ad5f3c50688a=2 d3e037e1-3eb8-44c8-a917-57927947596d=1 5beb7efe-fd9a-4556-801d-275e5ffc04cc=0 be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
Al termine del riquadro a comparsa Aggiungi riga , selezionare Salva.
Consiglio
A questo punto, è anche possibile aggiungere esclusioni di regole asr globali al profilo personalizzato invece di creare un profilo separato solo per le esclusioni. Per istruzioni, vedere la sottosezione successiva Configurare le esclusioni di regole asr globali in Intune usando profili personalizzati con OMA-URIs e CSP.
Nella scheda Impostazioni di configurazione selezionare Avanti.
Nella scheda Assegnazioni configurare le impostazioni seguenti:
-
Sezione Gruppi inclusi : selezionare una delle opzioni seguenti:
- Aggiungi gruppi: selezionare uno o più gruppi da includere.
- Aggiungere tutti gli utenti
- Aggiungere tutti i dispositivi
- Sezione Gruppi esclusi : selezionare Aggiungi gruppi per specificare eventuali gruppi da escludere.
Al termine della scheda Assegnazioni , selezionare Avanti.
-
Sezione Gruppi inclusi : selezionare una delle opzioni seguenti:
Nella scheda Regole di applicabilità selezionare Avanti.
È possibile usare le proprietà dell'edizione del sistema operativo e della versione del sistema operativo per definire i tipi di dispositivi che devono o non devono ottenere il profilo.
Nella scheda Rivedi e crea esaminare le impostazioni. È possibile usare Precedente o selezionare una scheda per tornare indietro e apportare modifiche.
Quando si è pronti per creare il profilo, selezionare Crea nella scheda Rivedi e crea .
Tornare immediatamente alla scheda Criteri dei dispositivi | Pagina configurazione . Potrebbe essere necessario selezionare Aggiorna per visualizzare i criteri.
Le regole asr sono attive in pochi minuti.
Configurare le esclusioni di regole asr globali in Intune usando profili personalizzati con OMA-URIs e CSP
I passaggi per configurare le esclusioni di regole asr globali in Intune usando un profilo personalizzato sono molto simili ai passaggi della regola asr nella sezione precedente. L'unica differenza è nel passaggio 5 (scheda Impostazioni di configurazione ) in cui si immettono le informazioni per le eccezioni delle regole asr:
Nella scheda Impostazioni di configurazione selezionare Aggiungi. Nel riquadro a comparsa Aggiungi riga visualizzato configurare le impostazioni seguenti:
-
Nome: immettere un nome univoco per la regola.
- Descrizione: immettere una breve descrizione facoltativa.
-
OMA-URI: immettere il valore Device dal provider di servizi di configurazione AttackSurfaceReductionOnlyExclusions :
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusionsTipo di dati: selezionare Stringa.
Valore: usare la sintassi seguente:
<PathOrPathAndFilename1> <PathOrPathAndFilename1> ... <PathOrPathAndFilenameN>Ad esempio:
C:\folder %ProgramFiles%\folder\file.exe C:\path
Al termine del riquadro a comparsa Aggiungi riga , selezionare Salva.
Nella scheda Impostazioni di configurazione selezionare Avanti.
Il resto dei passaggi è lo stesso della configurazione delle regole asr.
Configurare le regole asr in qualsiasi soluzione MDM usando il provider di servizi di configurazione dei criteri
Il provider di servizi di configurazione dei criteri (CSP) consente alle organizzazioni aziendali di configurare i criteri nei dispositivi Windows usando qualsiasi soluzione di gestione dei dispositivi mobili (MDM), non solo Microsoft Intune. Per altre informazioni, vedere Policy CSP.For more information, see Policy CSP.
È possibile configurare le regole asr usando il provider di servizi di configurazione AttackSurfaceReductionRules con le impostazioni seguenti:
Percorso URI OMA: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Valore: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>
- I valori GUID per le regole ASR sono disponibili nelle regole asr
- Sono disponibili le seguenti modalità di regola :
-
0:Fuori -
1:Blocco -
2:Revisione -
5: non configurato -
6:Avvertire
-
Ad esempio:
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
Nota
Assicurarsi di immettere valori URI OMA senza spazi.
Configurare le esclusioni di regole asr globali in qualsiasi soluzione MDM usando il provider di servizi di configurazione dei criteri
È possibile usare il provider di servizi di configurazione dei criteri per configurare il percorso della regola asr globale e le esclusioni di percorso e nome file usando il provider di servizi di configurazione AttackSurfaceReductionOnlyExclusions con le impostazioni seguenti:
Percorso URI OMA: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Valore: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0
Ad esempio, C:\folder|%ProgramFiles%\folder\file.exe|C:\path
Configurare le regole asr e le esclusioni delle regole asr globali in Microsoft Configuration Manager
Per istruzioni, vedere le informazioni sulla riduzione della superficie di attacco in Creare e distribuire criteri di Exploit Guard.
Avviso
Esiste un problema noto relativo all'applicabilità della riduzione della superficie di attacco nelle versioni del sistema operativo server contrassegnate come conformi senza alcuna imposizione effettiva. Attualmente, non esiste una data di rilascio definita per quando verrà risolto questo problema.
Importante
Se si usa "Disabilita unione amministrativa" impostata su true nei dispositivi e si usa uno dei seguenti strumenti/metodi, l'aggiunta di regole ASR per ogni regola o esclusioni di regole ASR locali non si applica:
- Defender per endpoint Security Settings Management (Disable Local Amministrazione Merge) Windows policies (Disabilita i criteri di windows Amministrazione locale) della pagina Criteri di sicurezza degli endpoint nel portale di Microsoft Defender all'indirizzohttps://security.microsoft.com/policy-inventory?osPlatform=Windows
- Microsoft Intune (Disabilita unione Amministrazione locale)
- Defender CSP (DisableLocalAdminMerge)
- Criteri di gruppo (Configurare il comportamento di unione dell'amministratore locale per gli elenchi)
Per modificare questo comportamento, è necessario modificare "Disabilita unione amministratore" in false.
Configurare le regole e le esclusioni asr nei criteri di gruppo
Avviso
Se si gestiscono computer e dispositivi con Intune, Microsoft Configuration Manager o altro software di gestione a livello aziendale, il software di gestione sovrascrive eventuali impostazioni di Criteri di gruppo in conflitto all'avvio.
In Centralized Criteri di gruppo aprire Criteri di gruppo Management Console (GPMC) nel computer di gestione Criteri di gruppo.
Nell'albero della console Console Gestione Criteri di gruppo espandere Criteri di gruppo Oggetti nella foresta e nel dominio contenente l'oggetto Criteri di gruppo da modificare.
Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Modifica.
Nell'editor di gestione Criteri di gruppo passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft Defender Antivirus>Microsoft Defender Riduzione della superficie di attacco di Exploit Guard>.
Nel riquadro dei dettagli di Riduzione della superficie di attacco, le impostazioni disponibili sono:
- Configurare le regole di riduzione della superficie di attacco
- Escludere file e percorsi dalle regole di riduzione della superficie di attacco
- Applicare un elenco di esclusioni a specifiche regole di riduzione della superficie di attacco
Per aprire e configurare un'impostazione di regola asr, usare uno dei metodi seguenti:
- Fare doppio clic sull'impostazione.
- Fare clic con il pulsante destro del mouse sull'impostazione e quindi scegliere Modifica
- Selezionare l'impostazione e quindi Selezionare Modifica azione>.
Consiglio
È anche possibile configurare Criteri di gruppo in locale nei singoli dispositivi usando l'Editor Criteri di gruppo locale (gpedit.msc). Passare allo stesso percorso: Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Le impostazioni disponibili sono descritte nelle sottosezioni seguenti.
Importante
Le virgolette, gli spazi iniziali, gli spazi finali e i caratteri aggiuntivi non sono supportati in nessuno dei valori correlati alle regole asr nei criteri di gruppo.
Criteri di gruppo percorsi precedenti Windows 10 versione 2004 (maggio 2020) potrebbero usare Windows Antivirus Defender anziché Microsoft Antivirus Defender. Entrambi i nomi fanno riferimento allo stesso percorso dei criteri.
Configurare le regole asr nei criteri di gruppo
Nel riquadro dei dettagli di Riduzione della superficie di attacco aprire l'impostazione Configura regole di riduzione della superficie di attacco .
Nella finestra di impostazione visualizzata configurare le opzioni seguenti:
- Selezionare Abilitato.
- Impostare lo stato per ogni regola asr: selezionare Mostra.
Nella finestra di dialogo Imposta lo stato per ogni regola del servizio app visualizzata configurare le impostazioni seguenti:
- Nome valore: immettere il valore GUID della regola asr.
-
Valore: immettere uno dei valori della modalità regola seguenti:
-
0:Fuori -
1:Blocco -
2:Revisione -
5: non configurato -
6:Avvertire
-
Per altre informazioni, vedere Modalità regola ASR.
Ripetere questo passaggio tutte le volte necessarie. Al termine, selezionare OK.
Configurare le esclusioni delle regole asr globali nei criteri di gruppo
I percorsi o i nomi di file con i percorsi specificati vengono usati come esclusioni per tutte le regole asr.
Nel riquadro dei dettagli di Riduzione della superficie di attacco aprire l'impostazione Escludi file e percorsi dalle regole di riduzione della superficie di attacco .
Nella finestra di impostazione visualizzata configurare le opzioni seguenti:
- Selezionare Abilitato.
- Esclusioni dalle regole asr: selezionare Mostra.
Nella finestra di dialogo Esclusioni dalle regole ASR visualizzata configurare le impostazioni seguenti:
- Nome valore: immettere il percorso o il percorso e il nome file da escludere da tutte le regole asr.
-
Valore: immettere
0.
Sono supportati i tipi di nomi di valore seguenti:
- Per escludere tutti i file in una cartella, immettere il percorso completo della cartella. Ad esempio,
C:\Data\Test. - Per escludere un file specifico in una cartella specifica (scelta consigliata), immettere il percorso e il nome del file. Ad esempio,
C:\Data\Test\test.exe.
Ripetere questo passaggio tutte le volte necessarie. Al termine, selezionare OK.
Configurare le esclusioni delle regole per asr nei criteri di gruppo
I percorsi o i nomi di file con i percorsi specificati vengono usati come esclusioni per regole asr specifiche.
Nota
Se l'impostazione Applica un elenco di esclusioni a specifiche regole di riduzione della superficie di attacco (ASR) non è disponibile nella console Gestione Criteri di gruppo, è necessaria la versione 24H2 o successiva dei file dei modelli amministrativinell'archivio centrale.
Nel riquadro dei dettagli di Riduzione della superficie di attacco aprire l'impostazione Applica un elenco di esclusioni a specifiche regole di riduzione della superficie di attacco (ASR ).
Nella finestra di impostazione visualizzata configurare le opzioni seguenti:
- Selezionare Abilitato.
- Esclusioni per ogni regola asr: selezionare Mostra.
Nella finestra di dialogo Esclusioni per ogni regola asr visualizzata configurare le impostazioni seguenti:
- Nome valore: immettere il valore GUID della regola asr.
-
Valore: immettere una o più esclusioni per la regola asr. Usare la sintassi
Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Ad esempio,C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.
Ripetere questo passaggio tutte le volte necessarie. Al termine, selezionare OK.
Configurare le regole asr in PowerShell
Avviso
Se si gestiscono computer e dispositivi con Intune, Gestione configurazione o un'altra piattaforma di gestione a livello aziendale, il software di gestione sovrascrive eventuali impostazioni di PowerShell in conflitto all'avvio.
Nel dispositivo di destinazione usare la sintassi del comando di PowerShell seguente in una sessione di PowerShell con privilegi elevati (finestra di PowerShell aperta selezionando Esegui come amministratore):
<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>
Set-MpPreferencesovrascrive tutte le regole esistenti e le relative modalità corrispondenti con i valori specificati. Per visualizzare l'elenco dei valori esistenti, eseguire il comando seguente:
$p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSizePer aggiungere nuove regole e le relative modalità corrispondenti senza influire sui valori esistenti, usare il cmdlet Add-MpPreference . Per rimuovere le regole specificate e le relative modalità corrispondenti senza influire su altri valori esistenti, usare il cmdlet Remove-MpPreference . La sintassi del comando è identica per i tre cmdlet.
I valori GUID per le regole ASR sono disponibili nelle regole asr.
I valori validi per il parametro AttackSurfaceReductionRules_Actions sono:
-
0oDisabled -
1oEnabled(modalità blocco ) -
2o oAuditModeAudit -
5oNotConfigured -
6oWarn
-
Nell'esempio seguente vengono configurate le regole asr specificate nel dispositivo:
- Le prime due regole sono abilitate in modalità blocco .
- La terza regola è disabilitata.
- L'ultima regola è abilitata in modalità di controllo .
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode
Configurare le esclusioni di regole asr globali in PowerShell
Nel dispositivo di destinazione usare la sintassi del comando di PowerShell seguente in una sessione di PowerShell con privilegi elevati:
<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"
Set-MpPreferencesovrascrive eventuali esclusioni di regole asr esistenti con i valori specificati. Per visualizzare l'elenco dei valori esistenti, eseguire il comando seguente:
(Get-MpPreference).AttackSurfaceReductionOnlyExclusionsPer aggiungere nuove eccezioni senza influire sui valori esistenti, usare il cmdlet Add-MpPreference . Per rimuovere le eccezioni specificate senza influire su altri valori, usare il cmdlet Remove-MpPreference . La sintassi del comando è identica per i tre cmdlet.
L'esempio seguente configura il percorso e il percorso specificati con nome file come esclusioni per tutte le regole asr nel dispositivo:
Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"