Abilitare le regole di riduzione della superficie di attacco in Microsoft Defender for Business
Le superfici di attacco sono tutte le posizioni e i modi in cui la rete e i dispositivi dell'organizzazione sono vulnerabili a minacce informatiche e attacchi. I dispositivi non protetti, l'accesso senza restrizioni a qualsiasi URL in un dispositivo aziendale e l'esecuzione di qualsiasi tipo di app o script nei dispositivi aziendali sono tutti esempi di superfici di attacco. Lasciano la tua azienda vulnerabile agli attacchi informatici.
Per proteggere la rete e i dispositivi, Microsoft Defender for Business include diverse funzionalità di riduzione della superficie di attacco, incluse le regole di riduzione della superficie di attacco. Questo articolo descrive come configurare le regole di riduzione della superficie di attacco e descrive le funzionalità di riduzione della superficie di attacco.
Nota
Intune non è incluso nella versione autonoma di Defender for Business, ma può essere aggiunto.
Regole asr di protezione standard
Sono disponibili molte regole di riduzione della superficie di attacco. Non è necessario impostarli tutti contemporaneamente. Inoltre, è possibile configurare alcune regole in modalità di controllo solo per vedere come funzionano per l'organizzazione e modificarle in modo che funzionino in modalità blocco in un secondo momento. Detto questo, è consigliabile abilitare le seguenti regole di protezione standard il prima possibile:
- Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows
- Bloccare l'abuso di driver firmati vulnerabili sfruttati
- Bloccare la persistenza tramite la sottoscrizione di eventi WMI
Queste regole consentono di proteggere la rete e i dispositivi, ma non devono causare interruzioni per gli utenti. Usare Intune per configurare le regole di riduzione della superficie di attacco.
Configurare le regole asr usando Intune
In qualità di amministratore globale, nell'interfaccia di amministrazione di Microsoft Intune (https://intune.microsoft.com/), passare aRiduzione della superficie di attacco per la sicurezza> degli endpoint.
Scegliere Create criterio per creare un nuovo criterio.
- In Piattaforma scegliere Windows 10, Windows 11 e Windows Server.
- In Profilo selezionare Regole di riduzione della superficie di attacco e quindi scegliere Create.
Configurare i criteri come indicato di seguito:
Specificare un nome e una descrizione e quindi scegliere Avanti.
Per almeno le tre regole seguenti, impostare ognuna su Blocca:
- Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows
- Bloccare la persistenza tramite la sottoscrizione di eventi WMI
- Bloccare l'abuso di driver firmati vulnerabili sfruttati
Quindi scegliere Avanti.
Nel passaggio Tag ambito scegliere Avanti.
Nel passaggio Assegnazioni scegliere gli utenti o i dispositivi per ricevere le regole e quindi scegliere Avanti. È consigliabile selezionare Aggiungi tutti i dispositivi.
Nel passaggio Rivedi e crea esaminare le informazioni e quindi scegliere Create.
Consiglio
Se si preferisce, è possibile configurare le regole di riduzione della superficie di attacco in modalità di controllo in un primo momento per visualizzare i rilevamenti prima che i file o i processi vengano effettivamente bloccati. Per informazioni più dettagliate sulle regole di riduzione della superficie di attacco, vedere Panoramica della distribuzione delle regole di riduzione della superficie di attacco.
Visualizzare il report sulla riduzione della superficie di attacco
Defender for Business include un report sulla riduzione della superficie di attacco che mostra come funzionano le regole di riduzione della superficie di attacco.
In qualità di amministratore globale, nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Report.
In Endpoint scegliere Regole di riduzione della superficie di attacco. Il report viene aperto e include tre schede:
- Rilevamenti, in cui è possibile visualizzare i rilevamenti che si sono verificati in seguito alle regole di riduzione della superficie di attacco
- Configurazione, in cui è possibile visualizzare i dati per le regole di protezione standard o altre regole di riduzione della superficie di attacco
- Aggiungere esclusioni, in cui è possibile aggiungere elementi da escludere dalle regole di riduzione della superficie di attacco (usare le esclusioni con parsimonia; ogni esclusione riduce il livello di protezione)
Per altre informazioni sulle regole di riduzione della superficie di attacco, vedere gli articoli seguenti:
- Panoramica delle regole di riduzione della superficie di attacco
- Report delle regole di riduzione della superficie di attacco
- Informazioni di riferimento sulle regole di riduzione della superficie di attacco
- Panoramica della distribuzione delle regole di riduzione della superficie di attacco
Funzionalità di riduzione della superficie di attacco in Defender per le aziende
Le regole di riduzione della superficie di attacco sono disponibili in Defender for Business. La tabella seguente riepiloga le funzionalità di riduzione della superficie di attacco in Defender per le aziende. Si noti che altre funzionalità, ad esempio la protezione di nuova generazione e il filtro dei contenuti Web, interagiscono con le funzionalità di riduzione della superficie di attacco.
| Funzionalità | Come configurarlo |
|---|---|
| Regole per la riduzione della superficie di attacco Impedire l'esecuzione di azioni specifiche comunemente associate ad attività dannose nei dispositivi Windows. |
Abilitare le regole di riduzione della superficie di attacco di protezione standard (sezione in questo articolo). |
| Accesso controllato alle cartelle L'accesso controllato alle cartelle consente solo alle app attendibili di accedere alle cartelle protette nei dispositivi Windows. Si pensi a questa funzionalità come mitigazione ransomware. |
Configurare i criteri di accesso controllato alle cartelle in Microsoft Defender for Business. |
| Protezione di rete La protezione di rete impedisce agli utenti di accedere a domini pericolosi tramite applicazioni nei dispositivi Windows e Mac. La protezione di rete è anche un componente chiave del filtro contenuto Web in Microsoft Defender for Business. |
La protezione di rete è già abilitata per impostazione predefinita quando i dispositivi vengono caricati in Defender per le aziende e vengono applicati i criteri di protezione di nuova generazione in Defender for Business . I criteri predefiniti sono configurati per l'uso delle impostazioni di sicurezza consigliate. |
| Protezione sul Web La protezione Web si integra con i Web browser e funziona con la protezione di rete per la protezione da minacce Web e contenuti indesiderati. La protezione Web include il filtro dei contenuti Web e i report sulle minacce Web. |
Configurare il filtro contenuto Web in Microsoft Defender for Business. |
| Protezione del firewall La protezione del firewall determina il traffico di rete a cui è consentito il flusso da o verso i dispositivi dell'organizzazione. |
La protezione del firewall è già abilitata per impostazione predefinita quando si esegue l'onboarding dei dispositivi in Defender per le aziende e vengono applicati i criteri del firewall in Defender for Business . |
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per