Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce informazioni sulle regole di riduzione della superficie di attacco Microsoft Defender per endpoint:
- Le regole asr supportati versioni del sistema operativo supportate
- Le regole asr supportato sistemi di gestione della configurazione
- Dettagli di avviso e notifica per regola ASR
- Regola asr alla matrice GUID
- Modalità regola ASR
- Descrizioni per regola
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Consiglio
Come complemento di questo articolo, vedere la guida alla configurazione Microsoft Defender per endpoint per esaminare le procedure consigliate e informazioni sugli strumenti essenziali, ad esempio la riduzione della superficie di attacco e la protezione di nuova generazione. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Defender per endpoint nel interfaccia di amministrazione di Microsoft 365.
Prerequisiti
Sistemi operativi supportati
- Windows
Regole di riduzione della superficie di attacco per tipo
Le regole di riduzione della superficie di attacco sono classificate come uno dei due tipi seguenti:
Standard regole di protezione: è il set minimo di regole che Microsoft consiglia di abilitare sempre, mentre si valutano l'effetto e le esigenze di configurazione delle altre regole asr. Queste regole hanno in genere un effetto minimo o nessun effetto evidente sull'utente finale.
Altre regole: regole che richiedono una certa misura di seguire i passaggi di distribuzione documentati [Plan > Test (audit) > Enable (block/warn modes)], come documentato nella guida alla distribuzione delle regole di riduzione della superficie di attacco.
Per il metodo più semplice per abilitare le regole di protezione standard, vedere Opzione di protezione standard semplificata.
| Nome regola ASR | Standard Protezione Regola? |
Altro Regola? |
|---|---|---|
| Bloccare l'abuso di driver firmati vulnerabili sfruttati | Sì | |
| Impedire ad Adobe Reader di creare processi figlio¹ | Sì | |
| Impedire a tutte le applicazioni di Office di creare processi figlio | Sì | |
| Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)¹ ² | Sì | |
| Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail | Sì | |
| Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile. | Sì | |
| Blocca l'esecuzione di script potenzialmente offuscati | Sì | |
| Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato | Sì | |
| Impedire alle applicazioni di Office di creare contenuto eseguibile¹ | Sì | |
| Impedire alle applicazioni di Office di inserire codice in altri processi¹ ² | Sì | |
| Impedire all'applicazione di comunicazione di Office di creare processi figlio¹ | Sì | |
| Bloccare la persistenza tramite la sottoscrizione di eventi WMI | Sì | |
| Bloccare le creazioni di processi provenienti da comandi PSExec e WMI¹ | Sì | |
| Blocca il riavvio della macchina in modalità provvisoria | Sì | |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | Sì | |
| Blocca l'uso di strumenti di sistema copiati o rappresentati | Sì | |
| Bloccare la creazione di WebShell per i server | Sì | |
| Bloccare le chiamate API Win32 dalle macro di Office⁴ | Sì | |
| Usare la protezione avanzata contro il ransomware | Sì |
¹ Questa regola asr non rispetta Microsoft Defender esclusioni antivirus. Per informazioni sulla configurazione delle esclusioni per regola dell'ASR, vedere Configurare le esclusioni per regola per la riduzione della superficie di attacco.
² Questa regola asr non rispetta Microsoft Defender per endpoint indicatori di compromissione (IOC) per file o certificati.
³ Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di riduzione della superficie di attacco Intune a causa di un problema back-end noto. Tuttavia, la regola esiste ancora ed è disponibile tramite altri metodi. Ad esempio, Microsoft Defender per endpoint la gestione delle impostazioni di sicurezza, il provider di servizi di configurazione (CSP), Add-MpPreference o la configurazione esistente dei criteri Intune ASR nelle regole create prima del problema.
⁴ Questa regola asr non rispetta Microsoft Defender per endpoint indicatori di compromissione (IOC) per i certificati.
Le regole asr supportati dai sistemi operativi
Nella tabella seguente sono elencati i sistemi operativi supportati per le regole attualmente rilasciate per la disponibilità generale. Le regole sono elencate in ordine alfabetico in questa tabella.
Nota
Se non diversamente indicato, la build Windows 10 minima è la versione 1709 (RS3, build 16299) o successiva. La build Windows Server minima è la versione 1809 o successiva. Le regole di riduzione della superficie di attacco in Windows Server 2012 R2 e Windows Server 2016 sono disponibili per i dispositivi caricati usando il pacchetto di soluzioni unificato moderno. Per altre informazioni, vedere New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nuove funzionalità di R2 e 2016 nella soluzione unificata moderna).
*Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di riduzione della superficie di attacco Intune a causa di un problema di back-end noto. Tuttavia, la regola esiste ancora ed è disponibile tramite altri metodi. Ad esempio, Microsoft Defender per endpoint la gestione delle impostazioni di sicurezza, il provider di servizi di configurazione (CSP), Add-MpPreference o la configurazione dei criteri Intune ASR esistenti nelle regole create prima del problema).
Nota
- Per Windows Server 2012 R2 e Windows Server 2016, vedere Eseguire l'onboarding di Windows Server 2016 e Windows Server 2012 R2.
- Se si usa Configuration Manager, la versione minima richiesta di Microsoft Endpoint Configuration Manager è la versione 2111.
Le regole asr supportato sistemi di gestione della configurazione
I collegamenti alle informazioni sulle versioni del sistema di gestione della configurazione a cui si fa riferimento in questa tabella sono elencati sotto questa tabella.
(1) È possibile configurare le regole di riduzione della superficie di attacco in base alle regole usando il GUID di qualsiasi regola.
*Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di riduzione della superficie di attacco Intune a causa di un problema di back-end noto. Tuttavia, la regola esiste ancora ed è disponibile tramite altri metodi. Ad esempio, Microsoft Defender per endpoint la gestione delle impostazioni di sicurezza, il provider di servizi di configurazione (CSP), Add-MpPreference o la configurazione dei criteri Intune ASR esistenti nelle regole create prima del problema).
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM è ora Microsoft Configuration Manager.
Dettagli di avviso e notifica per regola ASR
Le notifiche di tipo avviso popup vengono generate per tutte le regole in modalità blocco. Le regole in qualsiasi altra modalità non generano notifiche di tipo avviso popup.
Per le regole con "Rule State" specificato:
- Le regole asr con
\ASR Rule, Rule State\combinazioni vengono usate per visualizzare avvisi (notifiche di tipo avviso popup) in Microsoft Defender per endpoint solo per i dispositivi impostati a livelloHighdi blocco cloud. - I dispositivi che non sono impostati a livello
Highdi blocco cloud non generano avvisi per leASR Rule, Rule Statecombinazioni. - Gli avvisi di rilevamento e risposta degli endpoint (EDR) vengono generati per le regole ASR negli stati specificati, per i dispositivi impostati a livello
High+di blocco cloud. - Le notifiche di tipo avviso popup si verificano solo in modalità blocco e per i dispositivi impostati a livello
Highdi blocco cloud.
*Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di riduzione della superficie di attacco Intune a causa di un problema di back-end noto. Tuttavia, la regola esiste ancora ed è disponibile tramite altri metodi. Ad esempio, Microsoft Defender per endpoint la gestione delle impostazioni di sicurezza, il provider di servizi di configurazione (CSP), Add-MpPreference o la configurazione dei criteri Intune ASR esistenti nelle regole create prima del problema).
Regola asr alla matrice GUID
| Nome regola | GUID regola |
|---|---|
| Bloccare l'abuso di driver firmati vulnerabili sfruttati | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Impedire ad Adobe Reader di creare processi figlio | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Impedire a tutte le applicazioni di Office di creare processi figlio | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Blocca l'esecuzione di script potenzialmente offuscati | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato | d3e037e1-3eb8-44c8-a917-57927947596d |
| Impedire alle applicazioni di Office di creare contenuto eseguibile | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Impedire alle applicazioni di Office di inserire codice in altri processi | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Impedire all'applicazione di comunicazione di Office di creare processi figlio | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Bloccare la persistenza tramite la sottoscrizione di eventi WMI * Esclusioni di file e cartelle non supportate. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Blocca il riavvio della macchina in modalità provvisoria | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Blocca l'uso di strumenti di sistema copiati o rappresentati | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Bloccare la creazione di WebShell per i server | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Bloccare le chiamate API Win32 dalle macro di Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Usare la protezione avanzata contro il ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di riduzione della superficie di attacco Intune a causa di un problema di back-end noto. Tuttavia, la regola esiste ancora ed è disponibile tramite altri metodi. Ad esempio, Microsoft Defender per endpoint la gestione delle impostazioni di sicurezza, il provider di servizi di configurazione (CSP), Add-MpPreference o la configurazione dei criteri Intune ASR esistenti nelle regole create prima del problema).
Modalità regola ASR
| Modalità regola | Codice | Descrizione |
|---|---|---|
| Non configurato o disabilitato | 0 | La regola asr non è abilitata o è disabilitata. |
| Blocca | 1 | La regola ASR è abilitata in modalità blocco. |
| Audit | 2 | La regola ASR viene valutata per l'effetto sull'ambiente se abilitata in modalità blocco o avviso. |
| Avvertire | 6 | La regola asr è abilitata e presenta una notifica all'utente, ma l'utente può ignorare il blocco. |
Warn è un tipo di blocco che avvisa gli utenti di azioni potenzialmente rischiose tramite un popup di avviso. Gli utenti possono selezionare OK per applicare il blocco o selezionare Sblocca per ignorare il blocco per le prossime 24 ore. Dopo 24 ore, l'utente deve consentire di nuovo il blocco.
La modalità di avviso per le regole asr è supportata solo in Windows 10 versione 1809 o successiva. Le versioni precedenti di Windows 10 con una regola in modalità avviso assegnata sono effettivamente in modalità blocco.
In PowerShell è possibile creare una regola asr in modalità avviso specificando il parametro AttackSurfaceReductionRules_Actions con il valore Warn. Ad esempio:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Descrizioni per regola
Bloccare l'abuso di driver firmati vulnerabili sfruttati
Nota
Per proteggere l'ambiente da driver vulnerabili, è necessario innanzitutto implementare questi metodi:
- Per Windows 10 o versioni successive, Windows Server 2016 o versioni successive usando Controllo app Microsoft per le aziende, è consigliabile bloccare tutti i driver per impostazione predefinita e consentire solo i driver che si ritiene necessari e che non sono noti per essere vulnerabili.
- Per Windows 8.1 o versioni precedenti, Windows Server 2012 R2 o versioni precedenti, usando Microsoft AppLocker, è consigliabile bloccare tutti i driver per impostazione predefinita e consentire solo i driver che si ritiene necessari e che non sono noti per essere vulnerabili.
- Per Windows 11 o versioni successive e Windows Server core 1809 o versione successiva o Windows Server 2019 o versioni successive, è necessario abilitare anche l'elenco dei blocchi di driver vulnerabili di Microsoft Windows. Quindi, come altro livello di difesa, è necessario abilitare questa regola di riduzione della superficie di attacco.
Questa regola impedisce a un'applicazione di scrivere un driver firmato vulnerabile su disco. In-the-wild, le applicazioni locali con privilegi sufficienti possono sfruttare i driver firmati vulnerabili per ottenere l'accesso al kernel. I driver firmati vulnerabili consentono agli utenti malintenzionati di disabilitare o aggirare le soluzioni di sicurezza, con conseguente compromissione del sistema.
La regola Blocca l'uso improprio dei driver firmati vulnerabili sfruttati non impedisce il caricamento di un driver già esistente nel sistema.
Nota
È possibile configurare questa regola usando Intune URI OMA. Vedere Intune URI OMA per la configurazione di regole personalizzate. È anche possibile configurare questa regola usando PowerShell. Per fare in modo che un driver venga esaminato, usare questo sito Web per inviare un driver per l'analisi.
Intune Nome:Block abuse of exploited vulnerable signed drivers
Configuration Manager nome: non ancora disponibile
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Tipo di azione di ricerca avanzata:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Impedire ad Adobe Reader di creare processi figlio
Questa regola impedisce agli attacchi impedendo ad Adobe Reader di creare processi.
Il malware può scaricare e avviare payload e uscire da Adobe Reader tramite social engineering o exploit. Impedendo ad Adobe Reader di generare processi figlio, il malware che tenta di usare Adobe Reader come vettore di attacco non viene diffuso.
Intune nome:Process creation from Adobe Reader (beta)
Configuration Manager nome: non ancora disponibile
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Tipo di azione di ricerca avanzata:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Impedire a tutte le applicazioni di Office di creare processi figlio
Questa regola impedisce alle app di Office di creare processi figlio. Le app di Office includono Word, Excel, PowerPoint, OneNote e Access.
La creazione di processi figlio dannosi è una strategia malware comune. Il malware che abusa di Office come vettore spesso esegue macro VBA e codice di exploit per scaricare e tentare di eseguire più payload. Tuttavia, alcune applicazioni line-of-business legittime potrebbero anche generare processi figlio per scopi non dannosi. Ad esempio, la generazione di un prompt dei comandi o l'uso di PowerShell per configurare le impostazioni del Registro di sistema.
Intune nome:Office apps launching child processes
Configuration Manager nome:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Tipo di azione di ricerca avanzata:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows
Nota
Se la protezione LSA è abilitata, questa regola di riduzione della superficie di attacco non è necessaria. Per un comportamento più sicuro, è anche consigliabile abilitare Credential Guard con la protezione LSA.
Se la protezione LSA è abilitata, la regola asr viene classificata come non applicabile nelle impostazioni di Gestione endpoint di Defender nel portale di Microsoft Defender.
Questa regola consente di evitare il furto di credenziali bloccando il servizio LSASS (Local Security Authority Subsystem Service).
LSASS autentica gli utenti che accedono in un computer Windows. Credential Guard in Windows impedisce in genere i tentativi di estrarre le credenziali da LSASS. Alcune organizzazioni non possono abilitare Credential Guard in tutti i computer a causa di problemi di compatibilità con driver di smart card personalizzati o altri programmi caricati nell'autorità di sicurezza locale (LSA). In questi casi, gli utenti malintenzionati possono usare strumenti come Mimikatz per raschiare le password non crittografati e gli hash NTLM da LSASS.
Per impostazione predefinita, lo stato di questa regola è impostato su non configurato (disabilitato). Nella maggior parte dei casi, molti processi effettuano chiamate a LSASS per i diritti di accesso che non sono necessari. Ad esempio, quando il blocco iniziale dalla regola ASR genera una chiamata successiva per un privilegio minore che ha esito positivo. Per informazioni sui tipi di diritti in genere richiesti nelle chiamate di elaborazione a LSASS, vedere Diritti di accesso e sicurezza dei processi.
L'abilitazione di questa regola non offre protezione aggiuntiva se la protezione LSA è abilitata perché la regola ASR e la protezione LSA funzionano in modo analogo. Tuttavia, se non è possibile abilitare la protezione LSA, è possibile configurare questa regola per fornire una protezione equivalente da malware destinato lsass.exea .
Consiglio
- Gli eventi di controllo asr non generano notifiche di tipo avviso popup. La regola LSASS ASR produce un volume elevato di eventi di controllo, quasi tutti da ignorare quando la regola è abilitata in modalità blocco. È possibile scegliere di ignorare la valutazione della modalità di controllo e procedere alla distribuzione in modalità blocco. È consigliabile iniziare con un piccolo set di dispositivi ed espandersi gradualmente per coprire il resto.
- La regola è progettata per eliminare i report di blocco o gli avvisi popup per i processi descrittivi. È anche progettato per eliminare i report per i blocchi duplicati. Di conseguenza, la regola è adatta per essere abilitata in modalità blocco, indipendentemente dal fatto che le notifiche di tipo avviso popup siano abilitate o disabilitate.
- Asr in modalità di avviso è progettato per presentare agli utenti una notifica di tipo avviso popup di blocco che include un pulsante "Sblocca". A causa della natura "sicura da ignorare" dei blocchi LSASS ASR e del loro volume elevato, la modalità WARN non è consigliabile per questa regola (indipendentemente dal fatto che le notifiche di tipo avviso popup siano abilitate o disabilitate).
- Questa regola è progettata per impedire ai processi di accedere alla memoria dei processi LSASS.EXE. Non impedisce l'esecuzione. Se vengono visualizzati processi come svchost.exe bloccati, l'accesso alla memoria dei processi LSASS viene bloccato solo. Pertanto, svchost.exe e altri processi possono essere ignorati in modo sicuro. L'unica eccezione si verifica nei problemi noti seguenti.
Nota
In questo scenario, la regola asr è classificata come "non applicabile" nelle impostazioni di Defender per endpoint nel portale di Microsoft Defender.
La regola asr del sottosistema dell'autorità di sicurezza locale di Windows blocca il furto delle credenziali non supporta la modalità di avviso.
In alcune app il codice enumera tutti i processi in esecuzione e tenta di aprirli con autorizzazioni complete. Questa regola nega l'azione di apertura del processo dell'app e registra i dettagli nel registro eventi di sicurezza. Questa regola può generare numerosi rumori. Se si dispone di un'app che enumera semplicemente LSASS, ma non ha alcun effetto reale sulle funzionalità, non è necessario aggiungerla all'elenco di esclusione. Di per sé, questa voce del registro eventi non indica necessariamente una minaccia dannosa.
Intune nome:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tipo di azione di ricerca avanzata:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Dipendenze: Microsoft Defender Antivirus
Problemi noti: queste applicazioni e la regola "Blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows" non sono compatibili:
| Nome applicazione | Per informazioni |
|---|---|
| Sincronizzazione password di Quest Dirsync | Dirsync Password Sync non funziona quando Windows Defender è installato, errore: "VirtualAllocEx failed: 5" (4253914) |
Per il supporto tecnico, contattare l'editore del software.
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail
Questa regola impedisce alla posta elettronica aperta all'interno dell'applicazione Microsoft Outlook o Outlook.com e altri provider di posta Web più diffusi di propagare i tipi di file seguenti:
File eseguibili (ad esempio .exe, .dll o .scr)
File script (ad esempio un file PowerShell.ps1, visual basic vbs o JavaScript .js)
Archivio file (ad esempio .zip e altri)
Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nome:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Tipo di azione di ricerca avanzata:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Dipendenze: Microsoft Defender Antivirus
Nota
La regola Blocca il contenuto eseguibile dal client di posta elettronica e dalla webmail include le descrizioni alternative seguenti, a seconda dell'applicazione usata:
- Intune (profili di configurazione): esecuzione del contenuto eseguibile (exe, dll, ps, js, vbs e così via) eliminato dalla posta elettronica (client webmail/mail) (nessuna eccezione).
- Configuration Manager: blocca il download di contenuto eseguibile dai client di posta elettronica e webmail.
- Criteri di gruppo: bloccare il contenuto eseguibile dal client di posta elettronica e dalla posta web.
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile
Consiglio
*Attualmente, questa regola asr potrebbe non essere disponibile nella configurazione dei criteri di riduzione della superficie di attacco Intune a causa di un problema di back-end noto. Tuttavia, la regola esiste ancora ed è disponibile tramite altri metodi. Ad esempio, Microsoft Defender per endpoint la gestione delle impostazioni di sicurezza, il provider di servizi di configurazione (CSP), Add-MpPreference o la configurazione dei criteri Intune ASR esistenti nelle regole create prima del problema).
Questa regola impedisce l'avvio dei file eseguibili, ad esempio .exe, .dll o scr. Pertanto, l'avvio di file eseguibili non attendibili o sconosciuti può essere rischioso, in quanto potrebbe non essere inizialmente chiaro se i file sono dannosi.
Importante
Per usare questa regola, è necessario abilitare la protezione fornita dal cloud . Questa regola usa la protezione fornita dal cloud per aggiornare regolarmente l'elenco attendibile. È possibile specificare singoli file o cartelle usando percorsi di cartella o nomi di risorse completi. Supporta anche l'impostazione ASROnlyPerRuleExclusions .
Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Tipo di azione di ricerca avanzata:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Dipendenze: Microsoft Defender Antivirus, Cloud Protection
Blocca l'esecuzione di script potenzialmente offuscati
Questa regola rileva le proprietà sospette all'interno di uno script offuscato.
Nota
Gli script di PowerShell sono ora supportati per la regola "Blocca l'esecuzione di script potenzialmente offuscati".
Importante
Per usare questa regola, è necessario abilitare la protezione fornita dal cloud.
L'offuscamento degli script è una tecnica comune usata sia da autori di malware che da applicazioni legittime per nascondere la proprietà intellettuale o ridurre i tempi di caricamento degli script. Gli autori di malware usano anche l'offuscamento per rendere il codice dannoso più difficile da leggere, il che ostacola lo stretto controllo da parte degli esseri umani e del software di sicurezza.
Intune nome:Obfuscated js/vbs/ps/macro code
Configuration Manager nome:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Tipo di azione di ricerca avanzata:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Dipendenze: Microsoft Defender Antivirus, Anti-malware Scan Interface (AMSI), Cloud Protection
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
Questa regola impedisce agli script di avviare contenuto scaricato potenzialmente dannoso. Il malware scritto in JavaScript o VBScript spesso funge da downloader per recuperare e avviare altri malware da Internet. Sebbene non siano comuni, le applicazioni line-of-business usano talvolta script per scaricare e avviare programmi di installazione.
Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Tipo di azione di ricerca avanzata:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Dipendenze: Microsoft Defender Antivirus, AMSI
Impedire alle applicazioni di Office di creare contenuto eseguibile
Questa regola impedisce alle app di Office, tra cui Word, Excel e PowerPoint, di essere usate come vettore per rendere persistente il codice dannoso sul disco. Il malware che abusa di Office come vettore potrebbe tentare di salvare componenti dannosi su disco che potrebbero sopravvivere a un riavvio del computer e rendere persistenti nel sistema. Questa regola protegge da questa tecnica di persistenza bloccando l'accesso (aperto/eseguito) al codice scritto su disco. Questa regola blocca anche l'esecuzione di file non attendibili che potrebbero essere stati salvati da macro di Office che possono essere eseguite nei file di Office.
Intune nome:Office apps/macros creating executable content
Configuration Manager nome:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Tipo di azione di ricerca avanzata:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Dipendenze: Microsoft Defender Antivirus, RPC
Impedire alle applicazioni di Office di inserire codice in altri processi
Questa regola blocca i tentativi di inserimento di codice dalle app di Office in altri processi.
Nota
La regola blocca l'inserimento di codice in altri processi della regola ASR non supporta la modalità WARN.
Importante
Questa regola richiede il riavvio Microsoft 365 Apps (applicazioni di Office) per rendere effettive le modifiche di configurazione.
Gli utenti malintenzionati potrebbero tentare di usare le app di Office per eseguire la migrazione di codice dannoso in altri processi tramite l'inserimento di codice, in modo che il codice possa essere mascherato come processo pulito. Non esistono scopi aziendali legittimi noti per l'uso dell'inserimento di codice.
Questa regola si applica a Word, Excel, OneNote e PowerPoint.
Intune nome:Office apps injecting code into other processes (no exceptions)
Configuration Manager nome:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Tipo di azione di ricerca avanzata:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Dipendenze: Microsoft Defender Antivirus
Problemi noti: queste applicazioni e la regola "Blocca l'inserimento di codice in altri processi" delle applicazioni di Office non sono compatibili:
| Nome applicazione | Per informazioni |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | Settembre-2024 (piattaforma: 4.18.24090.11 |Motore 1.1.24090.11). |
| Sicurezza Heimdal | n/d |
Per il supporto tecnico, contattare l'editore del software.
Impedire all'applicazione di comunicazione di Office di creare processi figlio
Questa regola impedisce a Outlook di creare processi figlio, pur consentendo funzioni di Outlook legittime. Questa regola protegge dagli attacchi di ingegneria sociale e impedisce allo sfruttamento del codice di abusare delle vulnerabilità in Outlook. Protegge anche dalle regole di Outlook e dagli exploit dei moduli che gli utenti malintenzionati possono usare quando le credenziali di un utente vengono compromesse.
Intune nome:Process creation from Office communication products (beta)
Configuration Manager nome: Non disponibile
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Tipo di azione di ricerca avanzata:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Bloccare la persistenza tramite la sottoscrizione di eventi WMI
Questa regola impedisce al malware di abusare di WMI per ottenere la persistenza in un dispositivo.
Le minacce senza file usano diverse tattiche per rimanere nascoste, per evitare di essere visualizzate nel file system e per ottenere il controllo periodico dell'esecuzione. Alcune minacce possono abusare del repository WMI e del modello di evento per rimanere nascosti.
Nota
Se si usa Configuration Manager (CM, noto in precedenza come MEMCM o SCCM) con CcmExec.exe (agente SCCM), è consigliabile eseguirlo in modalità di controllo per almeno 60 giorni.
Dopo aver predisposto il passaggio alla modalità blocco, assicurarsi di distribuire le regole asr appropriate, considerando eventuali esclusioni di regole necessarie.
Intune nome:Persistence through WMI event subscription
Configuration Manager nome: Non disponibile
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Tipo di azione di ricerca avanzata:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Dipendenze: Microsoft Defender Antivirus, RPC
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI
Questa regola blocca l'esecuzione dei processi creati tramite PsExec e WMI . Sia PsExec che WMI possono eseguire il codice in remoto. C'è il rischio che il malware abusi delle funzionalità di PsExec e WMI per scopi di comando e controllo o per diffondere un'infezione nella rete di un'organizzazione.
Avviso
Usare questa regola solo se si gestiscono i dispositivi con Intune o un'altra soluzione MDM. Questa regola non è compatibile con la gestione tramite Microsoft Endpoint Configuration Manager perché questa regola blocca i comandi WMI usati dal client Configuration Manager per funzionare correttamente.
Intune nome:Process creation from PSExec and WMI commands
Configuration Manager nome: Non applicabile
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Tipo di azione di ricerca avanzata:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Blocca il riavvio della macchina in modalità provvisoria
Questa regola impedisce l'esecuzione di determinati comandi per riavviare i computer in modalità provvisoria. In modalità provvisoria, molti prodotti di sicurezza sono disabilitati o funzionano in una capacità limitata. Questo effetto consente agli utenti malintenzionati di avviare ulteriormente i comandi di manomissione o di eseguire e crittografare tutti i file nel computer. Questa regola blocca l'uso improprio della modalità provvisoria impedendo comandi di uso comune, ad esempio bcdedit e bootcfg riavviando i computer in modalità provvisoria. La modalità provvisoria è ancora accessibile manualmente dall'ambiente di ripristino di Windows.
Intune Nome:Block rebooting machine in Safe Mode
Configuration Manager nome: non ancora disponibile
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Tipo di azione di ricerca avanzata:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Dipendenze: Microsoft Defender Antivirus
Nota
Attualmente Gestione minacce e vulnerabilità non riconosce questa regola, quindi il report della regola di riduzione della superficie di attacco lo mostra come "Non applicabile".
Bloccare i processi non attendibili e non firmati eseguiti da USB
Con questa regola, gli amministratori possono impedire l'esecuzione di file eseguibili non firmati o non attendibili da unità rimovibili USB, incluse le schede SD. I tipi di file bloccati includono file eseguibili (ad esempio .exe, .dll o .scr)
Importante
Questa regola blocca i file copiati dall'USB nell'unità disco se e quando sta per essere eseguito nell'unità disco.
Intune nome:Untrusted and unsigned processes that run from USB
Configuration Manager nome:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Tipo di azione di ricerca avanzata:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Blocca l'uso di strumenti di sistema copiati o rappresentati
Questa regola blocca l'uso di file eseguibili identificati come copie degli strumenti di sistema di Windows. Questi file sono duplicati o impostori degli strumenti di sistema originali. Alcuni programmi dannosi potrebbero provare a copiare o rappresentare gli strumenti di sistema di Windows per evitare il rilevamento o ottenere privilegi. Consentire tali file eseguibili può causare potenziali attacchi. Questa regola impedisce la propagazione e l'esecuzione di tali duplicati e impostori degli strumenti di sistema nei computer Windows.
Intune Nome:Block use of copied or impersonated system tools
Configuration Manager nome: non ancora disponibile
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Tipo di azione di ricerca avanzata:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Dipendenze: Microsoft Defender Antivirus
Nota
Attualmente Gestione minacce e vulnerabilità non riconosce questa regola, quindi il report della regola di riduzione della superficie di attacco lo mostra come "Non applicabile".
Bloccare la creazione di WebShell per i server
Questa regola blocca la creazione di script della shell Web in Microsoft Server, ruolo di Exchange. Uno script della shell Web è uno script creato che consente a un utente malintenzionato di controllare il server compromesso.
Una shell Web può includere funzionalità come la ricezione e l'esecuzione di comandi dannosi, il download e l'esecuzione di file dannosi, il furto e l'esfiltrazione di credenziali e informazioni sensibili e l'identificazione di potenziali destinazioni.
Intune nome:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dipendenze: Microsoft Defender Antivirus
Nota
Quando si gestiscono le regole asr usando Microsoft Defender per endpoint gestione delle impostazioni di sicurezza, è necessario configurare l'impostazione Blocca creazione di WebShell per server come Not Configured in Criteri di gruppo o in altre impostazioni locali. Se questa regola è impostata su qualsiasi altro valore , ad Enabled esempio o Disabled, potrebbe causare conflitti e impedire che i criteri vengano applicati correttamente tramite la gestione delle impostazioni di sicurezza.
Attualmente Gestione minacce e vulnerabilità non riconosce questa regola, quindi il report della regola di riduzione della superficie di attacco lo mostra come "Non applicabile".
Bloccare le chiamate API Win32 dalle macro di Office
Questa regola impedisce alle macro VBA di chiamare le API Win32. Office VBA abilita le chiamate API Win32. Il malware può abusare di questa funzionalità, ad esempio chiamare API Win32 per avviare codice shell dannoso senza scrivere nulla direttamente sul disco. La maggior parte delle organizzazioni non si basa sulla possibilità di chiamare le API Win32 nel funzionamento quotidiano, anche se usano macro in altri modi.
Intune nome:Win32 imports from Office macro code
Configuration Manager nome:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Tipo di azione di ricerca avanzata:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Dipendenze: Microsoft Defender Antivirus, AMSI
Usare la protezione avanzata contro il ransomware
Questa regola fornisce un ulteriore livello di protezione contro il ransomware. Usa sia l'euristica client che quella cloud per determinare se un file assomiglia a ransomware. Questa regola non blocca i file con una o più delle caratteristiche seguenti:
- Il file risulta nonharmful nel cloud Microsoft.
- Il file è un file firmato valido.
- Il file è abbastanza diffuso da non essere considerato come ransomware.
La regola tende a errare sul lato della cautela per prevenire ransomware.
Nota
Per usare questa regola, è necessario abilitare la protezione fornita dal cloud .
Intune nome:Advanced ransomware protection
Configuration Manager nome:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Tipo di azione di ricerca avanzata:
AsrRansomwareAuditedAsrRansomwareBlocked
Dipendenze: Microsoft Defender Antivirus, Cloud Protection
Vedere anche
Panoramica della distribuzione delle regole di riduzione della superficie di attacco
Pianificare la distribuzione delle regole di riduzione della superficie di attacco
Rendere operative le regole di riduzione della superficie di attacco
Report delle regole di riduzione della superficie di attacco
Informazioni di riferimento sulle regole di riduzione della superficie di attacco
Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Risolvere i problemi relativi alle regole di riduzione della superficie di attacco
Consiglio
Per saperne di più, Interagisci con la community Microsoft Security nella Community Tech: Community Tech di Microsoft Defender per endpoint.