Passaggio 4. Proteggere i dispositivi

Per proteggere i dispositivi (endpoint) dalla parte di accesso iniziale di un attacco ransomware:

• Distribuire Intune come provider di gestione dei dispositivi mobili (MDM) e di gestione delle applicazioni mobili (MAM) per i dispositivi e registrare i dispositivi di proprietà dell'organizzazione.
• Implementare i criteri comuni di identità e accesso ai dispositivi per convalidare le credenziali dell'account utente e applicare i requisiti di integrità e conformità del dispositivo.
• Abilitare Protezione rete in Microsoft Defender per endpoint e Microsoft Defender XDR.
• Configurare il controllo del sito e il download e l'archiviazione di app e file Microsoft Defender SmartScreen bloccare o avvisare.
• Abilita Antivirus Microsoft Defender analisi dei file e degli allegati scaricati.
• Impostare il livello di sicurezza desktop remoto su TLS in Microsoft Defender per endpoint e Microsoft Defender XDR.

Dispositivi Windows 11 o 10

Per proteggere dalla parte di movimento laterale di un attacco da un dispositivo Windows 11 o 10:

• Attiva Microsoft Defender Firewall.
• Aggiorna definizioni di Antivirus Microsoft Defender.

Per ridurre l'impatto dell'attacco:

• Usa le regole di riduzione della superficie di attacco e la protezione avanzata contro i ransomware.

Per proteggere un utente malintenzionato che evade le difese di sicurezza:

• Mantenere la protezione fornita dal cloud in Antivirus Microsoft Defender attivata.
• Mantenere Antivirus Microsoft Defender monitoraggio del comportamento in tempo reale attivato.
• Attiva protezione in tempo reale.
• Attivare protezione antimanomissione in Microsoft Defender per endpoint per evitare modifiche dannose alle impostazioni di sicurezza.

Per proteggersi da un utente malintenzionato che esegue codice come parte di un attacco:

• Attiva Antivirus Microsoft Defender.
• Blocca le chiamate API Win32 dalle macro di Office.
• Eseguire la migrazione di tutte le cartelle di lavoro legacy che richiedono macro di Excel 4.0 al formato di macro VBA aggiornato.
• Disabilita l'utilizzo di macro non firmate. Assicurarsi che tutte le macro interne con esigenze aziendali siano firmate e sfruttando percorsi attendibili per garantire che le macro sconosciute non vengano eseguite nell'ambiente.
• Arrestare le macro XLM o VBA dannose assicurandosi che l'analisi delle macro di runtime 'interfaccia di analisi antimalware (AMSI) sia attivata. Questa funzionalità (abilitata per impostazione predefinita) è attivata se l'impostazione di Criteri di gruppo per Ambito di analisi in fase di esecuzione macro è impostata su Abilita per tutti i file o Abilita per i file con attendibilità bassa. Ottenere i file dei modelli di Criteri di gruppo più recenti.

Impatto sugli utenti e gestione delle modifiche

Quando si implementano queste protezioni, eseguire la gestione delle modifiche per gli elementi seguenti:

• I criteri comuni di identità e accesso ai dispositivi Zero Trust possono negare l'accesso agli utenti che dispongono di dispositivi non conformi.
• Il download dei file potrebbe avvisare gli utenti prima del download o potrebbe essere bloccato.
• Alcune macro di Office, Excel 4.0, XLM o VBA potrebbero non essere più eseguite.

Configurazione risultante

Ecco la protezione ransomware per il tenant per i passaggi da 1 a 4.

Passaggio successivo

Continuare con passaggio 5 per proteggere le informazioni nel tenant di Microsoft 365.