Implementare regole di riduzione della superficie di attacco

Articolo
04/26/2024

Si applica a:

L'implementazione delle regole di riduzione della superficie di attacco sposta il primo anello di test in uno stato funzionale abilitato.

Passaggio 1: Eseguire la transizione delle regole di riduzione della superficie di attacco da Audit a Block

Dopo aver determinato tutte le esclusioni durante la modalità di controllo, iniziare a impostare alcune regole di riduzione della superficie di attacco sulla modalità "blocca", a partire dalla regola con il minor numero di eventi attivati. Vedere Abilitare le regole di riduzione della superficie di attacco.
Esaminare la pagina dei report nel portale di Microsoft Defender. Vedere Report sulla protezione dalle minacce in Microsoft Defender per endpoint. Esaminare anche i commenti e suggerimenti dei campioni.
Perfezionare le esclusioni o creare nuove esclusioni in base alle esigenze.
Tornare a Regole problematiche in Controllo.

Nota

Per le regole problematiche (regole che creano troppo rumore), è preferibile creare esclusioni piuttosto che disattivare le regole o tornare a Controllo. Sarà necessario determinare qual è la soluzione migliore per l'ambiente in uso.

Consiglio

Quando disponibile, sfruttare l'impostazione della modalità di avviso nelle regole per limitare le interruzioni. L'abilitazione delle regole di riduzione della superficie di attacco in modalità Avviso consente di acquisire gli eventi attivati e visualizzarne le potenziali interruzioni, senza bloccare effettivamente l'accesso dell'utente finale. Altre informazioni: Modalità di avviso per gli utenti.

Come funziona la modalità Avviso?

La modalità di avviso è effettivamente un'istruzione Block, ma con l'opzione per l'utente di "Sbloccare" le esecuzioni successive del flusso o dell'app specificata. La modalità di avviso viene sbloccata in una combinazione per dispositivo, utente, file e processo. Le informazioni sulla modalità di avviso vengono archiviate in locale e hanno una durata di 24 ore.

Passaggio 2: Espandere la distribuzione per squillare n + 1

Quando si è certi di aver configurato correttamente le regole di riduzione della superficie di attacco per l'anello 1, è possibile estendere l'ambito della distribuzione all'anello successivo (anello n + 1).

Il processo di distribuzione, passaggi da 1 a 3, è essenzialmente lo stesso per ogni anello successivo:

Regole di test in Controllo
Esaminare gli eventi di controllo attivati dalla riduzione della superficie di attacco nel portale di Microsoft Defender
esclusioni Create
Verifica: perfezionare, aggiungere o rimuovere le esclusioni in base alle esigenze
Impostare le regole su "block"
Esaminare la pagina dei report nel portale di Microsoft Defender.
Create esclusioni.
Disabilitare le regole problematiche o tornare a Controllo.

Personalizzare regole per la riduzione della superficie di attacco

Quando si continua ad espandere la distribuzione delle regole di riduzione della superficie di attacco, potrebbe essere necessario o utile personalizzare le regole di riduzione della superficie di attacco abilitate.

Escludere file e cartelle

È possibile scegliere di escludere file e cartelle dalla valutazione in base alle regole di riduzione della superficie di attacco. Se escluso, l'esecuzione del file non viene bloccata anche se una regola di riduzione della superficie di attacco rileva che il file contiene comportamenti dannosi.

Si consideri, ad esempio, la regola ransomware:

La regola ransomware è progettata per aiutare i clienti aziendali a ridurre i rischi di attacchi ransomware garantendo al tempo stesso la continuità aziendale. Per impostazione predefinita, gli errori delle regole ransomware sul lato della cautela e la protezione da file che non hanno ancora raggiunto una reputazione e una fiducia sufficienti. Per reemphasize, la regola ransomware si attiva solo su file che non hanno guadagnato abbastanza reputazione positiva e prevalenza, in base alle metriche di utilizzo di milioni di nostri clienti. In genere, i blocchi vengono risolti automaticamente, perché i valori "reputazione e attendibilità" di ogni file vengono aggiornati in modo incrementale man mano che aumenta l'utilizzo non problematico.

Nei casi in cui i blocchi non vengono risolti in modo tempestivo, i clienti possono , a proprio rischio , usare il meccanismo self-service o una funzionalità "allowlist" basata su Indicatore di compromissione (IOC) per sbloccare i file stessi.

Avviso

L'esclusione o lo sblocco di file o cartelle potrebbe consentire l'esecuzione di file non sicuri e l'infezione dei dispositivi. L'esclusione di file o cartelle può ridurre in modo grave la protezione fornita dalle regole di riduzione delle superficie di attacco. I file che sarebbero stati bloccati da una regola potranno essere eseguiti e non verranno registrati report o eventi.

Un'esclusione può essere applicata a tutte le regole che consentono esclusioni o si applicano a regole specifiche usando esclusioni per regola. È possibile specificare un singolo file, un percorso di cartella o il nome di dominio completo per una risorsa.

Un'esclusione viene applicata solo all'avvio dell'applicazione o del servizio escluso. Ad esempio, se si aggiunge un'esclusione per un servizio di aggiornamento già in esecuzione, il servizio di aggiornamento continua a attivare eventi fino a quando il servizio non viene arrestato e riavviato.

La riduzione della superficie di attacco supporta variabili di ambiente e caratteri jolly. Per informazioni sull'uso dei caratteri jolly, vedere Usare i caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione. Se si verificano problemi con le regole che rilevano i file che si ritiene non dovrebbero essere rilevati, usare la modalità di controllo per testare la regola.

Per informazioni dettagliate su ogni regola, vedere l'articolo di riferimento sulle regole di riduzione della superficie di attacco .

Usare Criteri di gruppo per escludere file e cartelle

Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.
Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.
Espandere l'albero in Componenti> di Windows Microsoft Defender Antivirus> Microsoft DefenderRiduzione della superficie di attaccodi Exploit Guard>.
Fare doppio clic sull'impostazione Escludi file e percorsi dalle regole di riduzione della superficie di attacco e impostare l'opzione su Abilitato. Selezionare Mostra e immettere ogni file o cartella nella colonna Nome valore . Immettere 0 nella colonna Valore per ogni elemento.

Avviso

Non usare le virgolette perché non sono supportate per la colonna Nome valore o per la colonna Valore .

Usare PowerShell per escludere file e cartelle

Nel menu Start, digitare powershell, fare clic con il pulsante destro del mouse su Windows PowerShell e selezionare Esegui come amministratore.
Immettere il seguente cmdlet:
```
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
```
Continuare a usare Add-MpPreference -AttackSurfaceReductionOnlyExclusions per aggiungere altre cartelle all'elenco.

Importante

Usare Add-MpPreference per aggiungere o aggiungere app all'elenco. L'uso del Set-MpPreference cmdlet sovrascriverà l'elenco esistente.