Abilitare regole per la riduzione della superficie di attacco

Si applica a:

Piattaforme

  • Windows

Mancia

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Le regole di riduzione della superficie di attacco (regole ASR) consentono di evitare azioni che il malware spesso viola i dispositivi e le reti.

Requisiti

Funzionalità di riduzione della superficie di attacco nelle versioni di Windows

È possibile impostare le regole di riduzione della superficie di attacco per i dispositivi che eseguono una delle seguenti edizioni e versioni di Windows:

Per usare l'intero set di funzionalità delle regole di riduzione della superficie di attacco, è necessario:

  • Microsoft Defender Antivirus come av primario (protezione in tempo reale attivata)
  • Cloud-Delivery Protection on (alcune regole lo richiedono)
  • licenza Windows 10 Enterprise E5 o E3

Anche se le regole di riduzione della superficie di attacco non richiedono una licenza di Windows E5, con una licenza di Windows E5 si ottengono funzionalità di gestione avanzate, tra cui monitoraggio, analisi e flussi di lavoro disponibili in Defender per endpoint, nonché funzionalità di creazione di report e configurazione nel portale di Microsoft 365 Defender. Queste funzionalità avanzate non sono disponibili con una licenza E3, ma è comunque possibile usare Visualizzatore eventi per esaminare gli eventi delle regole di riduzione della superficie di attacco.

Ogni regola asr contiene una delle quattro impostazioni seguenti:

  • Non configurato | Disabilitato: disabilitare la regola asr
  • Blocca: abilitare la regola asr
  • Controllo: valutare l'impatto della regola asr sull'organizzazione se abilitata
  • Avviso: abilitare la regola asr, ma consentire all'utente finale di ignorare il blocco

È consigliabile usare regole ASR con una licenza di Windows E5 (o SKU di licenza simile) per sfruttare le funzionalità avanzate di monitoraggio e creazione di report disponibili in Microsoft Defender per endpoint (Defender per endpoint). Tuttavia, se si dispone di un'altra licenza, ad esempio Windows Professional o Windows E3 che non include funzionalità avanzate di monitoraggio e creazione di report, è possibile sviluppare strumenti di monitoraggio e creazione di report personalizzati in cima agli eventi generati in ogni endpoint quando vengono attivate le regole asr (ad esempio, Inoltro eventi).

Mancia

Per altre informazioni sulle licenze di Windows, vedere Windows 10 Licenze e ottenere la guida ai contratti multilicenza per Windows 10.

È possibile abilitare le regole di riduzione della superficie di attacco usando uno dei metodi seguenti:

È consigliabile gestire a livello aziendale, ad esempio Intune o Microsoft Endpoint Manager. La gestione a livello aziendale sovrascriverà qualsiasi Criteri di gruppo in conflitto o impostazioni di PowerShell all'avvio.

Escludere file e cartelle dalle regole asr

È possibile escludere file e cartelle dalla valutazione in base alla maggior parte delle regole di riduzione della superficie di attacco. Ciò significa che anche se una regola asr determina il file o la cartella contiene comportamenti dannosi, non impedirà l'esecuzione del file. Ciò potrebbe consentire l'esecuzione di file non sicuri e l'infezione dei dispositivi.

È anche possibile escludere le regole asr dall'attivazione in base agli hash di certificati e file consentendo gli indicatori di file e certificati di Defender per endpoint specificati. Vedere Gestire gli indicatori.

Importante

L'esclusione di file o cartelle può ridurre notevolmente la protezione fornita dalle regole asr. I file esclusi saranno consentiti per l'esecuzione e non verrà registrato alcun report o evento. Se le regole asr rilevano file che si ritiene non debbano essere rilevati, è necessario usare prima la modalità di controllo per testare la regola.

È possibile specificare singoli file o cartelle (usando percorsi di cartelle o nomi di risorse completi), ma non è possibile specificare a quali regole si applicano le esclusioni. Un'esclusione viene applicata solo all'avvio dell'applicazione o del servizio escluso. Ad esempio, se si aggiunge un'esclusione per un servizio di aggiornamento già in esecuzione, il servizio di aggiornamento continuerà a attivare gli eventi fino a quando il servizio non viene arrestato e riavviato.

Le regole asr supportano variabili di ambiente e caratteri jolly. Per informazioni sull'uso dei caratteri jolly, vedere Usare i caratteri jolly negli elenchi di esclusione del nome file e della cartella o dell'estensione.

Conflitto di criteri

  1. Se un criterio in conflitto viene applicato tramite MDM e Criteri di gruppo, l'impostazione applicata da MDM avrà la precedenza.

  2. Le regole di riduzione della superficie di attacco per i dispositivi gestiti da MEM ora supportano il comportamento per la fusione di impostazioni da criteri diversi, per creare un superset di criteri per ogni dispositivo. Solo le impostazioni che non sono in conflitto vengono unite, mentre quelle in conflitto non vengono aggiunte al superset di regole. In precedenza, se due criteri includevano conflitti per una singola impostazione, entrambi i criteri venivano contrassegnati come in conflitto e non venivano distribuite impostazioni da entrambi i profili. Il comportamento di unione delle regole di riduzione della superficie di attacco è il seguente:

    • Le regole di riduzione della superficie di attacco dei profili seguenti vengono valutate per ogni dispositivo a cui si applicano le regole:
    • Le impostazioni che non presentano conflitti vengono aggiunte a un superset di criteri per il dispositivo.
    • Quando due o più criteri hanno impostazioni in conflitto, le impostazioni in conflitto non vengono aggiunte ai criteri combinati, mentre le impostazioni che non sono in conflitto vengono aggiunte ai criteri superset che si applicano a un dispositivo.
    • Vengono trattenute solo le configurazioni per le impostazioni in conflitto.

Metodi di configurazione

Questa sezione fornisce informazioni dettagliate sulla configurazione per i metodi di configurazione seguenti:

Le procedure seguenti per l'abilitazione delle regole asr includono istruzioni su come escludere file e cartelle.

Intune

Profili di configurazione del dispositivo

  1. Selezionare Profili di configurazione> del dispositivo. Scegliere un profilo di Endpoint Protection esistente o crearne uno nuovo. Per crearne uno nuovo, selezionare Crea profilo e immettere le informazioni per questo profilo. Per Tipo di profilo selezionare Endpoint Protection. Se è stato scelto un profilo esistente, selezionare Proprietà e quindi impostazioni.

  2. Nel riquadro Endpoint Protection selezionare Windows Defender Exploit Guard e quindi selezionare Riduzione della superficie di attacco. Selezionare l'impostazione desiderata per ogni regola asr.

  3. In Eccezioni di riduzione della superficie di attacco immettere singoli file e cartelle. È anche possibile selezionare Importa per importare un file CSV contenente file e cartelle da escludere dalle regole asr. Ogni riga nel file CSV deve essere formattata nel modo seguente:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selezionare OK nei tre riquadri di configurazione. Selezionare quindi Crea se si sta creando un nuovo file di Endpoint Protection o Salva se ne si sta modificando uno esistente.

Criteri di sicurezza degli endpoint

  1. Selezionare Riduzionedella superficie di attacco diEndpoint Security>. Scegliere una regola asr esistente o crearne una nuova. Per crearne uno nuovo, selezionare Crea criteri e immettere le informazioni per questo profilo. Per Tipo di profilo selezionare Regole di riduzione della superficie di attacco. Se è stato scelto un profilo esistente, selezionare Proprietà e quindi impostazioni.

  2. Nel riquadro Impostazioni di configurazione selezionare Riduzione superficie di attacco e quindi selezionare l'impostazione desiderata per ogni regola asr.

  3. In Elenco di cartelle aggiuntive che devono essere protette, Elenco delle app che hanno accesso alle cartelle protette ed Escludi file e percorsi dalle regole di riduzione della superficie di attacco immettere singoli file e cartelle. È anche possibile selezionare Importa per importare un file CSV contenente file e cartelle da escludere dalle regole asr. Ogni riga nel file CSV deve essere formattata nel modo seguente:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selezionare Avanti nei tre riquadri di configurazione, quindi selezionare Crea se si sta creando un nuovo criterio o Salva se si modifica un criterio esistente.

Mem

È possibile usare l'URI OMA di Microsoft Endpoint Manager (MEM) per configurare regole ASR personalizzate. La procedura seguente usa la regola Blocca l'abuso di driver firmati vulnerabili sfruttati per l'esempio.

  1. Aprire l'interfaccia di amministrazione di Microsoft Endpoint Manager (MEM). Nel menu Home fare clic su Dispositivi, selezionare Profili di configurazione e quindi fare clic su Crea profilo.

    Pagina Crea profilo nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

  2. In Creare un profilo, nei due elenchi a discesa seguenti, selezionare quanto segue:

    • In Piattaforma selezionare Windows 10 e versioni successive
    • In Tipo di profilo selezionare Modelli
    • Se le regole asr sono già impostate tramite Sicurezza endpoint, in Tipo di profilo selezionare Catalogo impostazioni.

    Selezionare Personalizzato e quindi Crea.

    Attributi del profilo della regola nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

  3. Lo strumento Modello personalizzato viene aperto al passaggio 1 Nozioni di base. In 1 Nozioni di base, in Nome digitare un nome per il modello e in Descrizione è possibile digitare una descrizione (facoltativa).

    Attributi di base nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

  4. Scegliere Avanti. Si apre il passaggio 2 Impostazioni di configurazione . Per Impostazioni URI OMA fare clic su Aggiungi. Ora vengono visualizzate due opzioni: Aggiungi ed Esporta.

    Impostazioni di configurazione nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

  5. Fare di nuovo clic su Aggiungi . Verrà visualizzata l'opzione Aggiungi impostazioni URI OMA di riga . In Aggiungi riga eseguire le operazioni seguenti:

    • In Nome digitare un nome per la regola.

    • In Descrizione digitare una breve descrizione.

    • In URI OMA digitare o incollare il collegamento URI OMA specifico per la regola che si sta aggiungendo. Fare riferimento alla sezione MDM in questo articolo per l'URI OMA da usare per questa regola di esempio. Per i GUID della regola di riduzione della superficie di attacco, vedere Descrizioni per regola nell'argomento Regole di riduzione della superficie di attacco.

    • In Tipo di dati selezionare Stringa.

    • In Valore digitare o incollare il valore GUID, il segno = e il valore State senza spazi (GUID=StateValue). Dove:

      • 0 : Disabilita (disabilita la regola asr)
      • 1 : Blocca (abilita la regola asr)
      • 2 : Controllo (valutare l'impatto della regola asr sull'organizzazione, se abilitata)
      • 6 : Avvisa (abilita la regola asr, ma consenti all'utente finale di ignorare il blocco)

    Configurazione dell'URI OMA nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

  6. Selezionare Salva. Aggiungi chiusura riga . In Personalizzato selezionare Avanti. Nel passaggio 3 Tag ambito, i tag di ambito sono facoltativi. Eseguire una delle operazioni seguenti:

    • Selezionare Seleziona tag ambito, selezionare il tag di ambito (facoltativo) e quindi selezionare Avanti.
    • In alternativa, selezionare Avanti
  7. Nel passaggio 4 Assegnazioni, in Gruppi inclusi, per i gruppi che si desidera applicare questa regola, selezionare tra le opzioni seguenti:

    • Aggiungere i gruppi
    • Aggiungere tutti gli utenti
    • Aggiungere tutti i dispositivi

    Assegnazioni nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

  8. In Gruppi esclusi selezionare tutti i gruppi da escludere da questa regola e quindi selezionare Avanti.

  9. Nel passaggio 5 Regole di applicabilità per le impostazioni seguenti, eseguire le operazioni seguenti:

    • In Regola selezionare Assegna profilo se o Non assegnare profilo se
    • In Proprietà selezionare la proprietà a cui si vuole applicare questa regola
    • In Valore immettere il valore o l'intervallo di valori applicabile

    Regole di applicabilità nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

  10. Seleziona Avanti. Nel passaggio 6 Rivedi e crea esaminare le impostazioni e le informazioni selezionate e immesse e quindi selezionare Crea.

    Opzione Rivedi e crea nel portale dell'interfaccia di amministrazione di Microsoft Endpoint Manager

    Nota

    Le regole sono attive e attive in pochi minuti.

Nota

Gestione dei conflitti:

Se si assegnano due criteri ASR diversi a un dispositivo, il modo in cui viene gestito il conflitto è costituito da regole a cui sono assegnati stati diversi, non è stata eseguita alcuna gestione dei conflitti e il risultato è un errore.

Le regole non in conflitto non genereranno un errore e la regola verrà applicata correttamente. Il risultato è che viene applicata la prima regola e le regole successive non in conflitto vengono unite nel criterio.

MDM

Usare il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules (CSP) per abilitare e impostare singolarmente la modalità per ogni regola.

Di seguito è riportato un esempio di riferimento, che usa i valori GUID per il riferimento alle regole di riduzione della superficie di attacco.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

I valori da abilitare (Blocca), disabilitare, avvisare o abilitare in modalità di controllo sono:

  • 0 : Disabilita (disabilita la regola asr)
  • 1 : Blocca (abilita la regola asr)
  • 2 : Controllo (valutare l'impatto della regola asr sull'organizzazione, se abilitata)
  • 6 : Avvisa (abilita la regola asr, ma consenti all'utente finale di ignorare il blocco). La modalità di avviso è disponibile per la maggior parte delle regole asr.

Usare il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions (CSP) per aggiungere esclusioni.

Esempio:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Nota

Assicurarsi di immettere valori URI OMA senza spazi.

Microsoft Endpoint Configuration Manager

  1. In Microsoft Endpoint Configuration Manager passare ad Asset e endpoint di conformità>Windows Defender>Exploit Guard.

  2. SelezionareHome Create Exploit Guard Policy (Crea> criteri di Exploit Guard).

  3. Immettere un nome e una descrizione, selezionare Riduzione superficie di attacco e selezionare Avanti.

  4. Scegliere le regole che bloccano o controllano le azioni e selezionare Avanti.

  5. Esaminare le impostazioni e selezionare Avanti per creare i criteri.

  6. Dopo la creazione del criterio, selezionare Chiudi.

Avviso

Esiste un problema noto con l'applicabilità della riduzione della superficie di attacco nelle versioni del sistema operativo del server contrassegnate come conformi senza alcuna imposizione effettiva. Attualmente, non è disponibile alcun ETA per quando questo verrà risolto.

Criteri di gruppo

Avviso

Se si gestiscono computer e dispositivi con Intune, Configuration Manager o un'altra piattaforma di gestione a livello aziendale, il software di gestione sovrascriverà eventuali impostazioni di Criteri di gruppo in conflitto all'avvio.

  1. Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e scegliere Modifica.

  2. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

  3. Espandere l'albero in Componenti> di Windows Microsoft Defender Antivirus> Microsoft Defenderriduzione della superficie di attaccodi Exploit Guard>.

  4. Selezionare Configura regole di riduzione della superficie di attacco e selezionare Abilitato. È quindi possibile impostare il singolo stato per ogni regola nella sezione opzioni. Selezionare Mostra... e immettere l'ID regola nella colonna Nome valore e lo stato scelto nella colonna Valore come indicato di seguito:

    • 0 : Disabilita (disabilita la regola asr)
    • 1 : Blocca (abilita la regola asr)
    • 2 : Controllo (valutare l'impatto della regola asr sull'organizzazione, se abilitata)
    • 6 : Avvisa (abilita la regola asr, ma consenti all'utente finale di ignorare il blocco)

    Regole asr in Criteri di gruppo

  5. Per escludere file e cartelle dalle regole asr, selezionare l'impostazione Escludi file e percorsi dalle regole di riduzione della superficie di attacco e impostare l'opzione su Abilitato. Selezionare Mostra e immettere ogni file o cartella nella colonna Nome valore . Immettere 0 nella colonna Valore per ogni elemento.

    Avviso

    Non usare le virgolette perché non sono supportate per la colonna Nome valore o per la colonna Valore . L'ID regola non deve avere spazi iniziali o finali.

PowerShell

Avviso

Se si gestiscono computer e dispositivi con Intune, Configuration Manager o un'altra piattaforma di gestione a livello aziendale, il software di gestione sovrascriverà tutte le impostazioni di PowerShell in conflitto all'avvio. Per consentire agli utenti di definire il valore tramite PowerShell, usare l'opzione "Definito dall'utente" per la regola nella piattaforma di gestione. "Definito dall'utente" consente a un utente amministratore locale di configurare la regola. L'impostazione dell'opzione Definita dall'utente è illustrata nella figura seguente.

Opzione Abilita per la sicurezza delle credenziali

  1. Nel menu Start, digitare powershell, fare clic con il pulsante destro del mouse su Windows PowerShell e selezionare Esegui come amministratore.

  2. Digitare uno dei cmdlet seguenti. Per altri dettagli, ad esempio l'ID regola, vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco.

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    

    Per abilitare le regole asr in modalità di controllo, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    

    Per abilitare le regole asr in modalità avviso, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    

    Per abilitare l'uso improprio del blocco ASR dei driver firmati vulnerabili sfruttati, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    

    Per disattivare le regole asr, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
    

    Importante

    È necessario specificare lo stato singolarmente per ogni regola, ma è possibile combinare regole e stati in un elenco delimitato da virgole.

    Nell'esempio seguente verranno abilitate le prime due regole, la terza regola verrà disabilitata e la quarta regola verrà abilitata in modalità di controllo:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
    

    È anche possibile usare il Add-MpPreference verbo di PowerShell per aggiungere nuove regole all'elenco esistente.

    Avviso

    Set-MpPreference sovrascriverà sempre il set di regole esistente. Se si vuole aggiungere al set esistente, usare Add-MpPreference invece . È possibile ottenere un elenco di regole e il relativo stato corrente usando Get-MpPreference.

  3. Per escludere file e cartelle dalle regole asr, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Continuare a usare Add-MpPreference -AttackSurfaceReductionOnlyExclusions per aggiungere altri file e cartelle all'elenco.

    Importante

    Usare Add-MpPreference per aggiungere o aggiungere app all'elenco. L'uso del Set-MpPreference cmdlet sovrascriverà l'elenco esistente.