Abilitare le regole per la riduzione della superficie di attacco (ARS)

L'implementazione delle regole di riduzione della superficie di attacco (ASR) sposta il primo anello di test in uno stato funzionale abilitato.

Passaggio 1: Eseguire la transizione delle regole asr da controllo a blocco

  1. Dopo aver determinato tutte le esclusioni in modalità di controllo, iniziare a impostare alcune regole asr su "blocca", a partire dalla regola con il minor numero di eventi attivati. Vedere" Abilitare le regole di riduzione della superficie di attacco.
  2. Esaminare la pagina dei report nel portale di Microsoft 365 Defender. Vedere Report sulla protezione dalle minacce in Microsoft Defender per endpoint. Esaminare anche i commenti e suggerimenti dei promotori dell'ASR.
  3. Perfezionare le esclusioni o creare nuove esclusioni in base alle esigenze.
  4. Tornare a Regole problematiche in Controllo.

Nota

Per le regole problematiche (regole che creano troppo rumore), è preferibile creare esclusioni piuttosto che disattivare le regole o tornare a Controllo. Sarà necessario determinare qual è la soluzione migliore per l'ambiente in uso.

Suggerimento

Quando disponibile, sfruttare l'impostazione della modalità di avviso nelle regole per limitare le interruzioni. L'abilitazione delle regole ASR in modalità Avviso consente di acquisire gli eventi attivati e visualizzarne le potenziali interruzioni, senza bloccare effettivamente l'accesso dell'utente finale. Altre informazioni: Modalità di avviso per gli utenti.

Come funziona la modalità Avviso?

La modalità di avviso è effettivamente un'istruzione Block, ma con l'opzione per l'utente di "Sbloccare" le esecuzioni successive del flusso o dell'app specificata. La modalità di avviso si sblocca in una combinazione per dispositivo, utente, file e processo. Le informazioni sulla modalità di avviso vengono archiviate in locale e hanno una durata di 24 ore.

Passaggio 2: Espandere la distribuzione per squillare n + 1

Quando si è certi di aver configurato correttamente le regole asr per l'anello 1, è possibile estendere l'ambito della distribuzione all'anello successivo (anello n + 1).

Il processo di distribuzione, passaggi da 1 a 3, è essenzialmente lo stesso per ogni anello successivo:

  1. Regole di test in Controllo
  2. Esaminare gli eventi di controllo attivati da ASR nel portale di Microsoft 365 Defender
  3. Creare esclusioni
  4. Verifica: perfezionare, aggiungere o rimuovere le esclusioni in base alle esigenze
  5. Impostare le regole su "block"
  6. Esaminare la pagina dei report nel portale di Microsoft 365 Defender.
  7. Creare esclusioni.
  8. Disabilitare le regole problematiche o tornare a Controllo.

Personalizzare regole per la riduzione della superficie di attacco

Quando si continua ad espandere la distribuzione delle regole di riduzione della superficie di attacco, potrebbe essere necessario o utile personalizzare le regole di riduzione della superficie di attacco abilitate.

Escludere file e cartelle

È possibile scegliere di escludere file e cartelle dalla valutazione in base alle regole di riduzione della superficie di attacco. Se escluso, l'esecuzione del file non verrà bloccata anche se una regola di riduzione della superficie di attacco rileva che il file contiene comportamenti dannosi.

Si consideri, ad esempio, la regola ransomware:

La regola ransomware è progettata per aiutare i clienti aziendali a ridurre i rischi di attacchi ransomware garantendo al tempo stesso la continuità aziendale. Per impostazione predefinita, gli errori delle regole ransomware sul lato della cautela e la protezione da file che non hanno ancora raggiunto una reputazione e una fiducia sufficienti. Per reemphasize, la regola ransomware si attiva solo su file che non hanno guadagnato abbastanza reputazione positiva e prevalenza, in base alle metriche di utilizzo di milioni di nostri clienti. In genere, i blocchi vengono risolti automaticamente, perché i valori "reputazione e attendibilità" di ogni file vengono aggiornati in modo incrementale man mano che aumenta l'utilizzo non problematico.

Nei casi in cui i blocchi non vengono risolti in modo tempestivo, i clienti possono , a proprio rischio , usare il meccanismo self-service o una funzionalità di "elenco consenti" basata su Indicatore di compromissione (IOC) per sbloccare i file stessi.

Avviso

L'esclusione o lo sblocco di file o cartelle potrebbe consentire l'esecuzione di file non sicuri e l'infezione dei dispositivi. L'esclusione di file o cartelle può ridurre in modo grave la protezione fornita dalle regole di riduzione delle superficie di attacco. I file che sarebbero stati bloccati da una regola potranno essere eseguiti e non verranno registrati report o eventi.

Un'esclusione si applica a tutte le regole che consentono le esclusioni. È possibile specificare un singolo file, un percorso di cartella o il nome di dominio completo per una risorsa. Tuttavia, non è possibile limitare un'esclusione a una regola specifica.

Un'esclusione viene applicata solo all'avvio dell'applicazione o del servizio escluso. Ad esempio, se si aggiunge un'esclusione per un servizio di aggiornamento già in esecuzione, il servizio di aggiornamento continuerà a attivare gli eventi fino a quando il servizio non viene arrestato e riavviato.

La riduzione della superficie di attacco supporta variabili di ambiente e caratteri jolly. Per informazioni sull'uso dei caratteri jolly, vedere Usare i caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione. Se si verificano problemi con le regole che rilevano i file che si ritiene non debbano essere rilevati, usare la modalità di controllo per testare la regola.

Per informazioni dettagliate su ogni regola, vedere l'argomento di riferimento sulle regole di riduzione della superficie di attacco .

Usare Criteri di gruppo per escludere file e cartelle
  1. Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

  2. Nell'editor di gestione Criteri di gruppo passare a Configurazione computer e fare clic su Modelli amministrativi.

  3. Espandere l'albero in Componenti > di Windows Riduzione della superficie di attacco di Microsoft Defender Antivirus > Microsoft Defender Exploit Guard>.

  4. Fare doppio clic sull'impostazione Escludi file e percorsi dalle regole di riduzione della superficie di attacco e impostare l'opzione su Abilitato. Selezionare Mostra e immettere ogni file o cartella nella colonna Nome valore . Immettere 0 nella colonna Valore per ogni elemento.

Avviso

Non usare le virgolette perché non sono supportate per la colonna Nome valore o per la colonna Valore .

Usare PowerShell per escludere file e cartelle
  1. Nel menu Start, digitare powershell, fare clic con il pulsante destro del mouse su Windows PowerShell e selezionare Esegui come amministratore.

  2. Immettere il seguente cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Continuare a usare Add-MpPreference -AttackSurfaceReductionOnlyExclusions per aggiungere altre cartelle all'elenco.

    Importante

    Usare Add-MpPreference per aggiungere o aggiungere app all'elenco. L'uso del Set-MpPreference cmdlet sovrascriverà l'elenco esistente.

Usare CSP MDM per escludere file e cartelle

Usare il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions (CSP) per aggiungere esclusioni.

Personalizzare la notifica

È possibile personalizzare la notifica per quando viene attivata una regola e blocca un'app o un file. Vedere l'articolo Sicurezza di Windows.

Argomenti aggiuntivi in questa raccolta di distribuzione

Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)

Guida alla distribuzione delle regole del piano di riduzione della superficie di attacco (ASR)

Testare le regole per la riduzione della superficie di attacco (ARS)

Distribuire le regole per la riduzione della superficie di attacco (ARS)

Riferimento alle regole per la riduzione della superficie di attacco (ARS)