Migrazione da un hips non Microsoft alle regole di riduzione della superficie di attacco

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2

Questo articolo consente di eseguire il mapping di regole comuni a Microsoft Defender per endpoint.

Scenari durante la migrazione da un prodotto HIPS non Microsoft alle regole di riduzione della superficie di attacco

Blocca la creazione di file specifici

• Si applica a- Tutti i processi
• Operazione- Creazione di file
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco bloccano le tecniche di attacco e non gli indicatori di compromissione (IOC). Il blocco di un'estensione di file specifica non è sempre utile, in quanto non impedisce a un dispositivo di compromettere. Contrasta solo parzialmente un attacco fino a quando gli utenti malintenzionati non creano un nuovo tipo di estensione per il payload.
• Altre funzionalità consigliate: è consigliabile avere Microsoft Defender Antivirus abilitato, insieme a Cloud Protection e analisi del comportamento. È consigliabile usare altre misure di prevenzione, ad esempio la regola di riduzione della superficie di attacco Usare la protezione avanzata contro il ransomware, che offre un maggiore livello di protezione dagli attacchi ransomware. Inoltre, Microsoft Defender per endpoint monitora molte di queste chiavi del Registro di sistema, ad esempio le tecniche ASEP, che attivano avvisi specifici. Le chiavi del Registro di sistema usate richiedono almeno i privilegi local Amministrazione o Programma di installazione attendibile. È consigliabile usare un ambiente bloccato con diritti o account amministrativi minimi. È possibile abilitare altre configurazioni di sistema, tra cui Disabilitare SeDebug per i ruoli non necessari che fanno parte delle raccomandazioni di sicurezza più ampie.

Blocca la creazione di chiavi del Registro di sistema specifiche

• Si applica a- Tutti i processi
• Processi- N/D
• Operazione- Modifiche al Registro di sistema
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco bloccano le tecniche di attacco e non gli indicatori di compromissione (IOC). Il blocco di un'estensione di file specifica non è sempre utile, perché non impedisce a un dispositivo di compromettere. Contrasta solo parzialmente un attacco fino a quando gli utenti malintenzionati non creano un nuovo tipo di estensione per il payload.
• Altre funzionalità consigliate: è consigliabile avere Microsoft Defender Antivirus abilitato, insieme a Cloud Protection e analisi del comportamento. È consigliabile usare la prevenzione aggiuntiva, ad esempio la regola di riduzione della superficie di attacco Usare la protezione avanzata contro il ransomware. Questo fornisce un livello maggiore di protezione dagli attacchi ransomware. Inoltre, Microsoft Defender per endpoint monitora diverse di queste chiavi del Registro di sistema, ad esempio le tecniche ASEP, che attivano avvisi specifici. Inoltre, le chiavi del Registro di sistema usate richiedono un minimo di privilegi di installazione locale Amministrazione o attendibile. È consigliabile usare un ambiente bloccato con diritti o account amministrativi minimi. È possibile abilitare altre configurazioni di sistema, tra cui Disabilitare SeDebug per i ruoli non necessari che fanno parte delle raccomandazioni di sicurezza più ampie.

Impedire l'esecuzione di programmi non attendibili da unità rimovibili

• Si applica a- Programmi non attendibili da USB
• Processi- *
• Operazione- Esecuzione del processo
• *Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi:-
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco hanno una regola predefinita per impedire l'avvio di programmi non attendibili e non firmati da unità rimovibili: blocca i processi non attendibili e non firmati eseguiti da USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Altre funzionalità consigliate: esplorare altri controlli per i dispositivi USB e altri supporti rimovibili usando Microsoft Defender per endpoint:Come controllare i dispositivi USB e altri supporti rimovibili usando Microsoft Defender per endpoint.

Impedire a Mshta di avviare determinati processi figlio

• Si applica a- Mshta
• Processi- mshta.exe
• Operazione- Esecuzione del processo
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- powershell.exe, cmd.exe, regsvr32.exe
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco non contengono alcuna regola specifica per impedire ai processi figlio di mshta.exe. Questo controllo rientra nell'ambito di Protezione dagli exploit o Windows Defender controllo delle applicazioni.
• Altre funzionalità consigliate: abilitare Windows Defender controllo applicazione per impedire l'esecuzione totale di mshta.exe. Se l'organizzazione richiede mshta.exe per le app line-of-business, configurare una regola di protezione dagli exploit Windows Defender specifica per impedire mshta.exe di avviare processi figlio.

Impedire a Outlook di avviare processi figlio

• Si applica a- Outlook
• Processi- outlook.exe
• Operazione- Esecuzione del processo
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- powershell.exe
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco hanno una regola predefinita per impedire alle app di comunicazione di Office (Outlook, Skype e Teams) di avviare processi figlio: Blocca l'applicazione di comunicazione di Office dalla creazione di processi figlio, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Altre funzionalità consigliate: è consigliabile abilitare la modalità del linguaggio vincolato di PowerShell per ridurre al minimo la superficie di attacco da PowerShell.

Impedire alle app di Office di avviare processi figlio

• Si applica a- Office
• Processi: winword.exe, powerpnt.exe, excel.exe
• Operazione- Esecuzione del processo
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco hanno una regola predefinita per impedire alle app di Office di avviare processi figlio: blocca tutte le applicazioni di Office dalla creazione di processi figlio, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Altre funzionalità consigliate- N/D

Impedire alle app di Office di creare contenuto eseguibile

• Si applica a- Office
• Processi: winword.exe, powerpnt.exe, excel.exe
• Operazione- Creazione di file
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Regole di riduzione della superficie di attacco- N/D.

Impedisci a Wscript di leggere determinati tipi di file

• Si applica a- Wscript
• Processi- wscript.exe
• Operazione- Lettura file
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Regole di riduzione della superficie di attacco: a causa di problemi di affidabilità e prestazioni, le regole di riduzione della superficie di attacco non hanno la capacità di impedire a un processo specifico di leggere un determinato tipo di file script. È disponibile una regola per impedire i vettori di attacco che potrebbero provenire da questi scenari. Il nome della regola è Blocca JavaScript o VBScript dall'avvio del contenuto eseguibile scaricato (GUID d3e037e1-3eb8-44c8-a917-57927947596d) e l'esecuzione in blocco di script potenzialmente offuscati (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Altre funzionalità consigliate: anche se esistono regole di riduzione della superficie di attacco specifiche che attenuano determinati vettori di attacco all'interno di questi scenari, è importante ricordare che AV è in grado per impostazione predefinita di esaminare gli script (PowerShell, Windows Script Host, JavaScript, VBScript e altro ancora) in tempo reale, tramite l'interfaccia AMSI (Antimalware Scan Interface). Altre informazioni sono disponibili qui: Antimalware Scan Interface (AMSI).

Bloccare l'avvio dei processi figlio

• Si applica a- Adobe Acrobat
• Processi- AcroRd32.exe, Acrobat.exe
• Operazione- Esecuzione del processo
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- cmd.exe, powershell.exe, wscript.exe
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco consentono di impedire ad Adobe Reader di avviare processi figlio. Il nome della regola è Impedisci ad Adobe Reader di creare processi figlio, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Altre funzionalità consigliate- N/D

Bloccare il download o la creazione di contenuto eseguibile

• Si applica a- CertUtil: Blocca il download o la creazione di file eseguibili
• Processi- certutil.exe
• Operazione- Creazione di file
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- *.exe
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco non supportano questi scenari perché fanno parte della protezione antivirus Microsoft Defender.
• Altre funzionalità consigliate: Microsoft Defender Antivirus impedisce a CertUtil di creare o scaricare contenuto eseguibile.

Impedire ai processi di arrestare i componenti di sistema critici

• Si applica a- Tutti i processi
• Processi- *
• Operazione- Terminazione del processo
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe e altro ancora.
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco non supportano questi scenari perché sono protette con le protezioni di sicurezza predefinite di Windows.
• Altre funzionalità consigliate: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light e Protezione del sistema.

Blocco di un tentativo di processo di avvio specifico

• Si applica a- Processi specifici
• Processi- Assegnare un nome al processo
• Operazione- Esecuzione del processo
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi tor.exe, bittorrent.exe, cmd.exe, powershell.exe e altro ancora
• Regole di riduzione della superficie di attacco: nel complesso, le regole di riduzione della superficie di attacco non sono progettate per funzionare come gestione applicazioni.
• Altre funzionalità consigliate: per impedire agli utenti di avviare processi o programmi specifici, è consigliabile usare Windows Defender controllo delle applicazioni. Microsoft Defender per endpoint indicatori file e certificati, può essere usato in uno scenario di risposta agli eventi imprevisti (non deve essere visto come un meccanismo di controllo dell'applicazione).

Bloccare le modifiche non autorizzate alle configurazioni di Microsoft Defender Antivirus

• Si applica a- Tutti i processi
• Processi- *
• Operazione- Modifiche al Registro di sistema
• Esempi di file/cartelle, chiavi/valori del Registro di sistema, processi, servizi- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring e così via.
• Regole di riduzione della superficie di attacco: le regole di riduzione della superficie di attacco non coprono questi scenari perché fanno parte della protezione predefinita Microsoft Defender per endpoint.
• Altre funzionalità consigliate: Protezione da manomissione (opt-in, gestito da Intune) impedisce modifiche non autorizzate alle chiavi del Registro di sistema DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring e DisableIOAVProtection (e altro ancora).

Vedere anche

• Domande frequenti per la riduzione della superficie di attacco
• Abilitare regole di riduzione della superficie di attacco
• Valutare le regole per la riduzione della superficie di attacco

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.