Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Consiglio
Come complemento di questo articolo, vedere la guida alla configurazione dell'analizzatore della sicurezza per esaminare le procedure consigliate e imparare a rafforzare le difese, migliorare la conformità e esplorare il panorama della sicurezza informatica con fiducia. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Security Analyzer nel interfaccia di amministrazione di Microsoft 365.
La superficie di attacco dell'organizzazione include tutte le posizioni in cui un utente malintenzionato potrebbe ottenere l'accesso. Per altre informazioni, vedere Riduzione della superficie di attacco in Microsoft Defender per endpoint.
Le regole di riduzione della superficie di attacco (ASR) in Microsoft Defender antivirus hanno come destinazione un comportamento software rischioso nei dispositivi Windows che gli utenti malintenzionati sfruttano comunemente tramite malware. Ad esempio:
- Avvio di file eseguibili e script che tentano di scaricare o eseguire file.
- Esecuzione di script offuscati o in altro modo non attendibili.
- Creazione di processi figlio da applicazioni potenzialmente vulnerabili, ad esempio app di Office.
- Inserimento di codice in altri processi.
Anche se anche le app legittime possono eseguire queste operazioni, gli utenti malintenzionati usano in genere malware che si comportano allo stesso modo.
Vedere la serie di articoli seguenti per pianificare, testare, implementare e monitorare le regole asr:
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Regole asr
Le regole asr sono raggruppate nelle categorie seguenti:
Standard le regole di protezione offrono vantaggi di sicurezza significativi, quindi Microsoft consiglia di abilitarle in modalità blocco senza la necessità di test approfonditi. In genere, queste regole hanno un effetto minimo o non evidente sugli utenti, ma esistono eccezioni:
- Blocca la persistenza tramite la sottoscrizione di eventi WMI: se si usa Microsoft Configuration Manager per gestire i dispositivi, non usare altri metodi di distribuzione disponibili (ad esempio, Criteri di gruppo o PowerShell) per attivare questa regola in modalità Blocco o Avviso nel dispositivo senza test approfonditi in modalità di controllo. Il client Gestione configurazione si basa principalmente su WMI.
- Blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows: se è stata abilitata la protezione LSA (Local Security Authority) (scelta consigliata, insieme a Credential Guard), questa regola è ridondante.
Altre regole asr offrono una protezione importante, ma richiedono test in modalità di controllo prima di attivarle in modalità blocco o avviso , come descritto nella guida alla distribuzione delle regole di riduzione della superficie di attacco.
Le regole asr disponibili, i valori GUID corrispondenti e le relative categorie sono descritti nella tabella seguente:
I collegamenti nei nomi delle regole consentono di ottenere descrizioni dettagliate delle regole nell'articolo di riferimento sulle regole asr .
Oltre ai criteri di sicurezza degli endpoint in Microsoft Intune e Microsoft Configuration Manager, tutti gli altri metodi di configurazione delle regole asr identificano le regole in base al valore GUID.
Nella tabella vengono descritte tutte le differenze di nome delle regole asr tra Microsoft Intune e Microsoft Configuration Manager.
Consiglio
Microsoft Configuration Manager era noto in precedenza con altri nomi:
- Microsoft System Center Configuration Manager: versione da 1511 a 1906 (da novembre 2015 a luglio 2019)
- Microsoft Endpoint Configuration Manager: versione da 1910 a 2211 (da dicembre 2019 a dicembre 2022)
- Microsoft Configuration Manager: versione 2303 (aprile 2023) o successiva
Per informazioni su supporto e aggiornamento, vedere Aggiornamenti e manutenzione per Gestione configurazione.
| Nome regola in Microsoft Intune | Nome regola in Microsoft Configuration Manager | GUID | Categoria |
|---|---|---|---|
| regole di protezione Standard | |||
| Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) | n/d | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Varie |
| Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows | Stessa | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Spostamento laterale & furto di credenziali |
| Bloccare la persistenza tramite la sottoscrizione di eventi WMI | n/d | e6db77e5-3df2-4cf1-b95a-636979351e5b | Spostamento laterale & furto di credenziali |
| Altre regole asr | |||
| Impedire ad Adobe Reader di creare processi figlio | n/d | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | App di produttività |
| Impedire a tutte le applicazioni di Office di creare processi figlio | Impedire all'applicazione di Office di creare processi figlio | d4f940ab-401b-4efc-aadc-ad5f3c50688a | App di produttività |
| Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail | Stessa | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | Posta elettronica |
| Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile | Blocca l'esecuzione dei file eseguibili a meno che non soddisfino criteri di prevalenza, età o elenco attendibile | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Minacce polimorfiche |
| Blocca l'esecuzione di script potenzialmente offuscati | Stessa | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Script |
| Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato | Stessa | d3e037e1-3eb8-44c8-a917-57927947596d | Script |
| Impedire alle applicazioni di Office di creare contenuto eseguibile | Stessa | 3b576869-a4ec-4529-8536-b80a7769e899 | App di produttività |
| Impedire alle applicazioni di Office di inserire codice in altri processi | Stessa | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | App di produttività |
| Impedire all'applicazione di comunicazione di Office di creare processi figlio | n/d | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, App per la produttività |
| Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI | n/d | d1e49aac-8f56-4280-b9ba-993a6d77406c | Spostamento laterale & furto di credenziali |
| Blocca il riavvio della macchina in modalità provvisoria | n/d | 33ddedf1-c6e0-47cb-833e-de6133960387 | Varie |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | Stessa | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Minacce polimorfiche |
| Blocca l'uso di strumenti di sistema copiati o rappresentati | n/d | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Varie |
| Bloccare la creazione di WebShell per i server | n/d | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Varie |
| Bloccare le chiamate API Win32 dalle macro di Office | Stessa | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | App di produttività |
| Usare la protezione avanzata contro il ransomware | Stessa | c1db55ab-c21a-4637-bb3f-a12568109d35 | Minacce polimorfiche |
Requisiti per le regole asr
Le regole asr richiedono Microsoft Defender Antivirus come app antivirus primaria nei dispositivi Windows:
Microsoft Defender Antivirus deve essere abilitato e in modalità attiva. In particolare, Microsoft Defender Antivirus non può essere in una delle modalità seguenti:
- Passivo
- Modalità passiva con rilevamento e risposta degli endpoint (EDR) in modalità blocco
- Analisi periodica limitata (LPS)
- Disattivato
Per altre informazioni sulle modalità in Microsoft Defender Antivirus, vedere Come Microsoft Defender Antivirus influisce sulle funzionalità di Defender per endpoint.
La protezione in tempo reale in Microsoft Defender Antivirus deve essere attivata.
La protezione fornita dal cloud (nota anche come Microsoft Advanced Protection Service o MAPS) è fondamentale per la funzionalità delle regole asr. La protezione cloud migliora la protezione standard in tempo reale ed è un componente fondamentale per la prevenzione delle violazioni da malware. Alcune regole asr hanno in particolare requisiti di protezione per la distribuzione cloud per gli avvisi edr (Endpoint Detection and Response) in Defender per endpoint e i popup di notifica degli utenti. Per informazioni dettagliate, vedere Avvisi e notifiche dalle azioni delle regole asr.
Per lo stesso motivo, l'ambiente deve consentire le connessioni al servizio cloud antivirus Microsoft Defender.
Microsoft Defender le versioni dei componenti antivirus non devono essere più di due versioni precedenti alla versione attualmente più disponibile:
- Versione dell'aggiornamento della piattaforma: aggiornata mensilmente.
- Versione MEngine: aggiornata mensilmente.
- Intelligence per la sicurezza: Microsoft aggiorna continuamente l'intelligence di sicurezza (nota anche come definizioni e firme) per affrontare le minacce più recenti e perfezionare la logica di rilevamento.
Mantenere aggiornate le versioni di Microsoft Defender Antivirus consente di ridurre i falsi positivi delle regole asr e di migliorare Microsoft Defender funzionalità di rilevamento antivirus. Per altre informazioni sulle versioni correnti e su come aggiornare i diversi componenti antivirus Microsoft Defender, vedere Microsoft Defender Supporto della piattaforma Antivirus.
Anche se le regole asr non richiedono Microsoft 365 E5, Microsoft consiglia le funzionalità di sicurezza di E5 o sottoscrizioni equivalenti per sfruttare le funzionalità di gestione avanzate seguenti:
- Monitoraggio, analisi e flussi di lavoro in Defender per endpoint.
- Funzionalità di creazione di report e configurazione nel portale di Microsoft Defender XDR.
Le funzionalità di gestione avanzata non sono disponibili con altre licenze, ad esempio Windows Professional o Microsoft 365 E3. Tuttavia, è possibile sviluppare strumenti di monitoraggio e creazione di report personalizzati in base agli eventi della regola ASR generati in Windows Visualizzatore eventi in ogni dispositivo , ad esempio Inoltro eventi di Windows.
Per altre informazioni sulle licenze di Windows, vedere Licenze windows e ottenere la Guida di riferimento per i contratti multilicenza Microsoft.
Sistemi operativi supportati per le regole asr
Le regole asr sono una funzionalità antivirus Microsoft Defender disponibile in qualsiasi edizione di Windows che include Microsoft Defender Antivirus (ad esempio, Windows 11 Home). È possibile configurare le regole asr localmente nei dispositivi usando PowerShell o Criteri di gruppo.
La gestione centralizzata, la creazione di report e gli avvisi per le regole asr in Microsoft Defender per endpoint sono disponibili nelle seguenti edizioni e versioni di Windows:
- Edizioni Pro ed Enterprise di Windows 10 o versioni successive.
- Windows Server 2012 R2 o versioni successive.
- Azure Localee (in precedenza noto come Azure Stack HCI) versione 23H2 o successiva.
Per altre informazioni sul supporto del sistema operativo, vedere Supporto del sistema operativo per le regole asr.
Modalità per le regole asr
Una regola asr può essere in una delle modalità seguenti, come descritto nella tabella seguente:
| Modalità regola | Codice | Descrizione |
|---|---|---|
|
Disattivato o Disabled |
0 | La regola asr è disabilitata in modo esplicito. Questo valore può causare conflitti quando allo stesso dispositivo viene assegnata la stessa regola ASR in modalità diverse da criteri diversi. |
|
Blocca o Attivato |
1 | La regola ASR è abilitata in modalità blocco . |
|
Controllo o Modalità di controllo |
2 | La regola asr è abilitata come se fosse in modalità blocco , ma senza intervenire. I rilevamenti per le regole asr in modalità di controllo sono disponibili nelle posizioni seguenti:
|
| Non configurata | 5 | La regola asr non è abilitata in modo esplicito. Questo valore è funzionalmente equivalente a Disabilitato o Disattivato, ma senza la possibilità di conflitti di regole. |
|
Avvisare o Avviso |
6 | La regola ASR è abilitata come in modalità blocco , ma gli utenti possono selezionare Sblocca nella notifica di avviso popup per ignorare il blocco per 24 ore. Dopo 24 ore, l'utente deve ignorare nuovamente il blocco. La modalità di avviso è supportata in Windows 10 versione 1809 (novembre 2018) o successiva. Le regole asr in modalità avviso nelle versioni non supportate di Windows sono effettivamente in modalità blocco (il bypass non è disponibile). La modalità di avviso non è disponibile in Microsoft Configuration Manager. La modalità di avviso presenta i requisiti seguenti per la versione Microsoft Defender Antivirus:
Le regole asr seguenti non supportano la modalità Avviso : |
Microsoft consiglia la modalità blocco per le regole di protezione standard e il test iniziale in modalità di controllo per altre regole asr prima di attivarle in modalità blocco o avviso .
Molte applicazioni line-of-business sono scritte con problemi di sicurezza limitati e possono agire in modi simili al malware. Monitorando i dati dalle regole asr in modalità di controllo e aggiungendo esclusioni per le app necessarie, è possibile distribuire le regole asr senza ridurre la produttività.By monitoring data from ASR rules in Audit mode and adding exclusions for required apps, you can deploy ASR rules without reducing productivity.
Prima di abilitare le regole asr in modalità blocco , valutarne gli effetti in modalità di controllo e nelle raccomandazioni sulla sicurezza. Per altre informazioni, vedere Test delle regole asr.
Metodi di distribuzione e configurazione per le regole asr
Microsoft Defender per endpoint supporta le regole asr, ma non include un metodo predefinito per distribuire le impostazioni delle regole asr nei dispositivi. Si usa invece uno strumento di distribuzione o gestione separato per creare e distribuire i criteri delle regole asr ai dispositivi. Non tutti i metodi di distribuzione supportano ogni regola asr. Per informazioni dettagliate su ogni regola, vedere Supporto del metodo di distribuzione per le regole asr.
La tabella seguente riepiloga i metodi disponibili. Per istruzioni dettagliate sulla configurazione, vedere Configurare le regole e le esclusioni della riduzione della superficie di attacco.
| Metodo | Descrizione |
|---|---|
| Microsoft Intune criteri di sicurezza degli endpoint | Metodo consigliato per la configurazione e la distribuzione dei criteri delle regole asr ai dispositivi. Richiede Microsoft Intune (piano 1) (incluso nelle sottoscrizioni come Microsoft 365 E3 o disponibile come componente aggiuntivo autonomo). |
| Microsoft Intune profili personalizzati con URI OMA | Un metodo alternativo per configurare le regole ASR in Intune usando profili Open Mobile Alliance - Uniform Resource (URI OMA). |
| Qualsiasi soluzione MDM che usa il provider di servizi di configurazione dei criteri | Usare il provider di servizi di configurazione dei criteri di Windows (CSP) con qualsiasi soluzione MDM. |
| Microsoft Configuration Manager | Usa i criteri antivirus Microsoft Defender nell'area di lavoro Asset e conformità. |
| Criteri di gruppo | Usare Criteri di gruppo centralizzate per configurare e distribuire le regole del servizio app nei dispositivi aggiunti a un dominio. In alternativa, è possibile configurare Criteri di gruppo in locale nei singoli dispositivi. |
| PowerShell | Configurare le regole asr localmente nei singoli dispositivi. PowerShell supporta tutte le regole asr. |
Esclusioni di file e cartelle per le regole asr
Importante
L'esclusione di file o cartelle può ridurre notevolmente la protezione delle regole asr. I file esclusi possono essere eseguiti e non vengono registrati report o eventi relativi al file. Se le regole asr rilevano file che non devono essere rilevati, usare la modalità di controllo per testare la regola.
È possibile escludere file e cartelle specifici dalla valutazione in base alle regole asr. Anche se una regola asr determina il file o la cartella contiene un comportamento dannoso, non impedisce l'esecuzione dei file esclusi.
È possibile usare i metodi seguenti per escludere file e cartelle dalle regole asr:
Microsoft Defender esclusioni antivirus: non tutte le regole asr rispettano queste esclusioni. Per altre informazioni sulle esclusioni Microsoft Defender Antivirus, vedere Configurare esclusioni personalizzate per Microsoft Defender Antivirus.
Consiglio
Tutte le regole ASR rispettano le esclusioni dei processi in Microsoft Defender Antivirus.
Esclusioni di regole asr globali: queste esclusioni si applicano a tutte le regole asr. Tutti i metodi di configurazione delle regole ASR supportano anche la configurazione delle esclusioni delle regole asr globali.
Esclusioni di regole per asr: assegnare esclusioni diverse in modo selettivo a regole asr diverse. Solo i metodi di configurazione delle regole ASR seguenti supportano anche la configurazione delle esclusioni delle regole per asr:
- Criteri di gruppo (e le impostazioni del Registro di sistema corrispondenti)
- Criteri di sicurezza degli endpoint in Microsoft Intune.
Indicatori di compromissione (IoC): la maggior parte delle regole asr rispetta gli IoC per i file bloccati e i certificati bloccati. Per altre informazioni sugli ioc, vedere Panoramica degli indicatori in Microsoft Defender per endpoint.
L'imposizione di diversi tipi di esclusioni per le regole asr è riepilogata nella tabella seguente:
| Nome regola | Rispetta il file MDAV e esclusioni di cartelle |
Rispetta l'ASR globale Esclusioni |
Rispetta la regola per asr Esclusioni |
Onora gli ioc per file |
Onora gli ioc per Certificati |
|---|---|---|---|---|---|
| regole di protezione Standard | |||||
| Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo) | Y | Y | Y | Y | Y |
| Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows | N | Y | Y | N | N |
| Bloccare la persistenza tramite la sottoscrizione di eventi WMI | N | Y | Y | N | N |
| Altre regole asr | |||||
| Impedire ad Adobe Reader di creare processi figlio | N | Y | Y | Y | Y |
| Impedire a tutte le applicazioni di Office di creare processi figlio | Y | Y | Y | Y | Y |
| Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail | Y | Y | Y | Y | Y |
| Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile | Y | Y | Y | Y | Y |
| Blocca l'esecuzione di script potenzialmente offuscati | Y | Y | Y | Y | Y |
| Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato | Y | Y | Y | Y | Y |
| Impedire alle applicazioni di Office di creare contenuto eseguibile | N | Y | Y | Y | Y |
| Impedire alle applicazioni di Office di inserire codice in altri processi | N | Y | Y | N | N |
| Impedire all'applicazione di comunicazione di Office di creare processi figlio | N | Y | Y | Y | Y |
| Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI | N | Y | Y | Y | Y |
| Blocca il riavvio della macchina in modalità provvisoria | Y | Y | Y | Y | Y |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | Y | Y | Y | Y | Y |
| Blocca l'uso di strumenti di sistema copiati o rappresentati | Y | Y | Y | Y | Y |
| Bloccare la creazione di WebShell per i server | Y | Y | Y | Y | Y |
| Bloccare le chiamate API Win32 dalle macro di Office | Y | Y | Y | Y | N |
| Usare la protezione avanzata contro il ransomware | Y | Y | Y | Y | Y |
Quando si aggiungono esclusioni, tenere presenti questi punti:
I percorsi di esclusione possono usare variabili di ambiente e caratteri jolly. Per altre informazioni, vedere Usare caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione.
Consiglio
Non usare le variabili di ambiente utente come caratteri jolly nelle esclusioni di cartelle e processi. Usare solo i tipi di variabili di ambiente seguenti come caratteri jolly:
- Variabili di ambiente di sistema.
- Variabili di ambiente che si applicano ai processi in esecuzione come account NT AUTHORITY\SYSTEM.
Per un elenco delle variabili di ambiente di sistema, vedere Variabili di ambiente di sistema.
- I caratteri jolly non possono definire una lettera di unità.
- Per escludere più cartelle in un percorso, usare più istanze di
\*\per indicare più cartelle annidate. Ad esempio,c:\Folder\*\*\Test. - Microsoft Configuration Manager supporta caratteri jolly (
*o?). - Per escludere un file che contiene caratteri casuali (ad esempio, dalla generazione automatica di file), usare il
?simbolo. Ad esempio,C:\Folder\fileversion?.docx.
Le esclusioni si applicano solo all'avvio dell'applicazione o del servizio. Ad esempio, se si aggiunge un'esclusione per un servizio di aggiornamento già in esecuzione, il servizio di aggiornamento continua ad attivare i rilevamenti delle regole asr fino al riavvio del servizio.
Conflitti di criteri nelle regole asr
Se allo stesso dispositivo vengono assegnati due criteri di regola asr diversi, possono verificarsi potenziali conflitti in base agli elementi seguenti:
- Indica se le stesse regole asr sono assegnate in modalità diverse.
- Se è in atto la gestione dei conflitti.
- Indica se il risultato è un errore.
Le regole asr non in conflitto non generano errori. Viene applicata la prima regola e le regole successive di non conflitto vengono unite nel criterio.
Se una soluzione di gestione di dispositivi mobili (MDM) e Criteri di gruppo applicare impostazioni di regola asr diverse allo stesso dispositivo, le impostazioni di Criteri di gruppo hanno la precedenza.
Per informazioni su come vengono gestiti i conflitti di impostazione delle regole asr per i metodi di distribuzione disponibili in Microsoft Intune, vedere Dispositivi gestiti da Intune.
Notifiche e avvisi per le regole asr
Quando viene attivata una regola asr in modalità blocco o avviso in un dispositivo, nel dispositivo viene visualizzata una notifica. È possibile personalizzare le informazioni nelle notifiche. Per altre informazioni, vedere Personalizzare le informazioni di contatto in Sicurezza di Windows.
Gli avvisi di rilevamento e risposta degli endpoint (EDR) in Defender per endpoint vengono generati quando vengono attivate le regole ASR supportate.
Per informazioni specifiche sulle funzionalità di notifica e avviso, vedere Avvisi e notifiche dalle azioni delle regole asr.
Per visualizzare l'attività di avviso asr nel portale di Microsoft Defender e nei dispositivi in Windows Visualizzatore eventi, vedere Monitorare l'attività delle regole di riduzione della superficie di attacco.To view ASR alert activity in the Microsoft Defender portal and on devices in Windows Visualizzatore eventi, see Monitor attack surface reduction (ASR) rule activity.
Monitorare l'attività delle regole asr
Per informazioni complete, vedere Monitorare l'attività delle regole di riduzione della superficie di attacco.For complete information, see Monitor attack surface reduction (ASR) rule activity.
Contenuto correlato
- Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)
- Pianificare la distribuzione delle regole di riduzione della superficie di attacco
- Testare la distribuzione delle regole di riduzione della superficie di attacco
- Abilitare le regole per la riduzione della superficie di attacco (ARS)
- Gestire e monitorare la distribuzione delle regole di riduzione della superficie di attacco
- Monitorare l'attività delle regole di riduzione della superficie di attacco
- Report delle regole di riduzione della superficie di attacco
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender