Informazioni di riferimento sulle regole di riduzione della superficie di attacco

Si applica a:

Piattaforme:

  • Windows

Questo articolo fornisce informazioni sulle regole di riduzione degli attacchi:

Sistemi operativi supportati

Nella tabella seguente sono elencati i sistemi operativi supportati per le regole attualmente rilasciate per la disponibilità generale. Le regole sono elencate in ordine alfabetico in questa tabella.

Nota

Se non diversamente indicato, la build minima di Windows 10 è la versione 1709 (RS3, build 16299) o successiva. La build minima di Windows Server è la versione 1809 o successiva.

Le regole di riduzione della superficie di attacco in Windows Server 2012 R2 e Windows Server 2016 sono disponibili per i dispositivi caricati usando il pacchetto di soluzione unificata moderno. Per altre informazioni, vedere Nuove funzionalità nella soluzione unificata moderna per Windows Server 2012 R2 e 2016 Preview.

Nome regola Windows 11
e
Windows 10
Windows Server
2022
e
Windows Server
2019
Server Windows Windows Server
2016 [1, 2]
Windows Server
2012 R2 [1, 2]
Bloccare l'abuso di driver firmati vulnerabili sfruttati Y Y Y
versione 1803 (Canale Enterprise semestrale) o versione successiva
Y Y
Impedire ad Adobe Reader di creare processi figlio Y
versione 1809 o successiva [3]
Y Y Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio Y Y Y Y Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) Y
versione 1803 o successiva [3]
Y Y Y Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y Y Y Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Y
versione 1803 o successiva [3]
Y Y Y Y
Blocca l'esecuzione di script potenzialmente offuscati Y Y Y Y Y
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Y Y Y N N
Impedire alle applicazioni di Office di creare contenuto eseguibile Y Y Y Y Y
Impedire alle applicazioni di Office di inserire codice in altri processi Y Y Y Y Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio Y Y Y Y Y
Bloccare la persistenza tramite la sottoscrizione di eventi WMI
*Esclusioni di file e cartelle non supportate.
Y
versione 1903 (build 18362) o successiva [3]
Y Y
versione 1903 (build 18362) o successiva
N N
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Y
versione 1803 o successiva [3]
Y Y Y Y
Bloccare i processi non attendibili e non firmati eseguiti da USB Y Y Y Y Y
Bloccare le chiamate API Win32 dalle macro di Office Y Y Y N N
Usare la protezione avanzata contro il ransomware Y
versione 1803 o successiva [3]
Y Y Y Y

(1) Si riferisce alla soluzione unificata moderna per Windows Server 2012 e 2016. Per altre informazioni, vedere Onboarding di server Windows nel servizio Defender per endpoint.

(2) Per Windows Server 2016 e Windows Server 2012 R2, la versione minima richiesta di Microsoft Endpoint Configuration Manager è la versione 2111.

(3) La versione e il numero di build si applicano solo a Windows 10.

Sistemi di gestione della configurazione supportati

I collegamenti alle informazioni sulle versioni del sistema di gestione della configurazione a cui si fa riferimento in questa tabella sono elencati sotto questa tabella.

Nome regola Intune Microsoft Endpoint Manager Microsoft Endpoint Configuration Manager Criteri di gruppo[1] PowerShell[1]
Bloccare l'abuso di driver firmati vulnerabili sfruttati Y Y MEM OMA-URI Y Y
Impedire ad Adobe Reader di creare processi figlio Y Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio Y Y

CB 1710
Y Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) Y Y

CB 1802
Y Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y Y

CB 1710
Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Y Y

CB 1802
Y Y
Blocca l'esecuzione di script potenzialmente offuscati Y Y

CB 1710
Y Y
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Y Y

CB 1710
Y Y
Impedire alle applicazioni di Office di creare contenuto eseguibile Y Y

CB 1710
Y Y
Impedire alle applicazioni di Office di inserire codice in altri processi Y Y

CB 1710
Y Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio Y Y

CB 1710
Y Y
Bloccare la persistenza tramite la sottoscrizione di eventi WMI Y Y
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Y Y Y
Bloccare i processi non attendibili e non firmati eseguiti da USB Y Y

CB 1802
Y Y
Bloccare le chiamate API Win32 dalle macro di Office Y Y

CB 1710
Y Y
Usare la protezione avanzata contro il ransomware Y Y

CB 1802
Y Y

(1) È possibile configurare le regole di riduzione della superficie di attacco in base alle regole usando il GUID di qualsiasi regola.

Dettagli di avviso e notifica per regola

Le notifiche di tipo avviso popup vengono generate per tutte le regole in modalità blocco. Le regole in qualsiasi altra modalità non generano notifiche di tipo avviso popup

Per le regole con "Rule State" specificato:

  • Le regole asr con <ASR Rule, Rule State> combinazioni vengono usate per visualizzare avvisi (notifiche di tipo avviso popup) in Microsoft Defender per endpoint solo per i dispositivi a livello di blocco cloud elevato. I dispositivi non a livello di blocco cloud elevato non genereranno avvisi per le combinazioni <regola ASR, Stato regola>
  • Gli avvisi EDR vengono generati per le regole asr negli stati specificati, ma solo per i dispositivi a livello di blocco cloud elevato.
Nome regola: Stato della regola: Genera avvisi in EDR?
(Sì | No)
Genera notifiche di tipo avviso popup?
(Sì | No)
Solo per i dispositivi a livello di blocco cloud elevato Solo in modalità blocco
Bloccare l'abuso di driver firmati vulnerabili sfruttati N Y
Impedire ad Adobe Reader di creare processi figlio Blocca Y
Richiede un dispositivo a livello di blocco cloud elevato
Y
Richiede un dispositivo a livello di blocco cloud elevato
Impedire a tutte le applicazioni di Office di creare processi figlio N Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) N Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y
Richiede un dispositivo a livello di blocco cloud elevato
Y
Richiede un dispositivo a livello di blocco cloud elevato
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile N Y
Blocca l'esecuzione di script potenzialmente offuscati Blocco di controllo |  Y | Y
Richiede un dispositivo a livello di blocco cloud elevato
N | Y
Richiede un dispositivo a livello di blocco cloud elevato
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Blocca Y
Richiede un dispositivo a livello di blocco cloud elevato
Y
Richiede un dispositivo a livello di blocco cloud elevato
Impedire alle applicazioni di Office di creare contenuto eseguibile N Y
Impedire alle applicazioni di Office di inserire codice in altri processi N Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio N Y
Bloccare la persistenza tramite la sottoscrizione di eventi WMI Blocco di controllo |  Y | Y
Richiede un dispositivo a livello di blocco cloud elevato
N | Y
Richiede un dispositivo a livello di blocco cloud elevato
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI N Y
Bloccare i processi non attendibili e non firmati eseguiti da USB Blocco di controllo |  Y | Y
Richiede un dispositivo a livello di blocco cloud elevato
N | Y
Richiede un dispositivo a livello di blocco cloud elevato
Bloccare le chiamate API Win32 dalle macro di Office N Y
Usare la protezione avanzata contro il ransomware Blocco di controllo |  Y | Y
Richiede un dispositivo a livello di blocco cloud elevato
N | Y
Richiede un dispositivo a livello di blocco cloud elevato

Regola asr alla matrice GUID

Nome regola GUID regola
Bloccare l'abuso di driver firmati vulnerabili sfruttati 56a863a9-875e-4185-98a7-b882c64b5ce5
Impedire ad Adobe Reader di creare processi figlio 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Impedire a tutte le applicazioni di Office di creare processi figlio d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile 01443614-cd74-433a-b99e-2ecdc07bfc25
Blocca l'esecuzione di script potenzialmente offuscati 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato d3e037e1-3eb8-44c8-a917-57927947596d
Impedire alle applicazioni di Office di creare contenuto eseguibile 3b576869-a4ec-4529-8536-b80a7769e899
Impedire alle applicazioni di Office di inserire codice in altri processi 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Impedire all'applicazione di comunicazione di Office di creare processi figlio 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloccare la persistenza tramite la sottoscrizione di eventi WMI
* Esclusioni di file e cartelle non supportate.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloccare i processi non attendibili e non firmati eseguiti da USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloccare le chiamate API Win32 dalle macro di Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Usare la protezione avanzata contro il ransomware c1db55ab-c21a-4637-bb3f-a12568109d35

Modalità regola ASR

  • Non configurato o disabilitato: stato in cui la regola del servizio app non è stata abilitata o è stata disabilitata. Codice per questo stato = 0.
  • Blocca: stato in cui è abilitata la regola asr. Il codice per questo stato è 1.
  • Controllo: stato in cui viene valutata la regola asr per l'effetto che avrebbe sull'organizzazione o sull'ambiente, se abilitata (impostata per bloccare o avvisare). Il codice per questo stato è 2.
  • Avvertire Stato in cui la regola asr è abilitata e presenta una notifica all'utente finale, ma consente all'utente finale di ignorare il blocco. Il codice per questo stato è 6.

La modalità di avviso è un tipo in modalità blocco che avvisa gli utenti di azioni potenzialmente rischiose. Gli utenti possono scegliere di ignorare il messaggio di avviso di blocco e consentire l'azione sottostante. Gli utenti possono selezionare OK per applicare il blocco o selezionare l'opzione bypass - Sblocca - tramite la notifica popup dell'utente finale generata al momento del blocco. Dopo lo sblocco dell'avviso, l'operazione è consentita fino alla successiva ricezione del messaggio di avviso, quando l'utente finale dovrà riperformare l'azione.

Quando si fa clic sul pulsante Consenti, il blocco verrà eliminato per 24 ore. Dopo 24 ore, l'utente finale dovrà consentire nuovamente il blocco. La modalità di avviso per le regole asr è supportata solo per i dispositivi RS5+ (1809+). Se il bypass viene assegnato alle regole asr nei dispositivi con versioni precedenti, la regola sarà in modalità bloccata.

È anche possibile impostare una regola in modalità di avviso tramite PowerShell specificando il AttackSurfaceReductionRules_Actions come "Warn". Ad esempio:

-command "& {&'Add-MpPreference' -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn"} 

Descrizioni per regola

Bloccare l'abuso di driver firmati vulnerabili sfruttati

Questa regola impedisce a un'applicazione di scrivere un driver firmato vulnerabile su disco. In-the-wild, i driver firmati vulnerabili possono essere sfruttati da applicazioni - locali che hanno privilegi - sufficienti per ottenere l'accesso al kernel. I driver firmati vulnerabili consentono agli utenti malintenzionati di disabilitare o aggirare le soluzioni di sicurezza, con conseguente compromissione del sistema.

La regola Blocca l'uso improprio dei driver firmati vulnerabili sfruttati non impedisce il caricamento di un driver già esistente nel sistema.

Nota

È possibile configurare questa regola usando MEM OMA-URI. Vedere MEM OMA-URI per la configurazione di regole personalizzate.

È anche possibile configurare questa regola usando PowerShell.

Per fare in modo che un driver venga esaminato, usare questo sito Web per inviare un driver per l'analisi.

Intune Nome:Block abuse of exploited vulnerable signed drivers

Configuration Manager nome: non ancora disponibile

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Tipo di azione di ricerca avanzata:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Impedire ad Adobe Reader di creare processi figlio

Questa regola impedisce agli attacchi impedendo ad Adobe Reader di creare processi.

Il malware può scaricare e avviare payload e uscire da Adobe Reader tramite social engineering o exploit. Bloccando la generazione di processi figlio da parte di Adobe Reader, il malware che tenta di usare Adobe Reader come vettore di attacco non viene diffuso.

Intune nome:Process creation from Adobe Reader (beta)

Configuration Manager nome: non ancora disponibile

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Tipo di azione di ricerca avanzata:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Dipendenze: MDAV

Impedire a tutte le applicazioni di Office di creare processi figlio

Questa regola impedisce alle app di Office di creare processi figlio. Le app di Office includono Word, Excel, PowerPoint, OneNote e Access.

La creazione di processi figlio dannosi è una strategia malware comune. Il malware che abusa di Office come vettore spesso esegue macro VBA e codice di exploit per scaricare e tentare di eseguire più payload. Tuttavia, alcune applicazioni line-of-business legittime potrebbero anche generare processi figlio per scopi non dannosi; ad esempio la generazione di un prompt dei comandi o l'uso di PowerShell per configurare le impostazioni del Registro di sistema.

Intune nome:Office apps launching child processes

Configuration Manager nome:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Tipo di azione di ricerca avanzata:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Dipendenze: MDAV

Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows

Questa regola consente di evitare il furto di credenziali bloccando il servizio LSASS (Local Security Authority Subsystem Service).

LSASS autentica gli utenti che accedono in un computer Windows. Microsoft Defender Credential Guard in Windows impedisce in genere i tentativi di estrarre le credenziali da LSASS. Alcune organizzazioni non possono abilitare Credential Guard in tutti i computer a causa di problemi di compatibilità con driver di smart card personalizzati o altri programmi caricati nell'autorità di sicurezza locale (LSA). In questi casi, gli utenti malintenzionati possono usare strumenti come Mimikatz per raschiare le password non crittografati e gli hash NTLM da LSASS.

Nota

In alcune app il codice enumera tutti i processi in esecuzione e tenta di aprirli con autorizzazioni complete. Questa regola nega l'azione di apertura del processo dell'app e registra i dettagli nel registro eventi di sicurezza. Questa regola può generare molto rumore. Se si dispone di un'app che enumera semplicemente LSASS, ma non ha alcun impatto reale sulle funzionalità, non è necessario aggiungerla all'elenco di esclusione. Di per sé, questa voce del registro eventi non indica necessariamente una minaccia dannosa.

Importante

Lo stato predefinito per la regola di riduzione della superficie di attacco (ASR) "Blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)" passerà da Non configurato a Configurato e la modalità predefinita impostata su Blocca. Tutte le altre regole asr rimarranno nello stato predefinito: Non configurata. La logica di filtro aggiuntiva è già stata incorporata nella regola per ridurre le notifiche degli utenti finali. I clienti possono configurare la regola in modalità Audit, Warn o Disabled , che sostituirà la modalità predefinita. La funzionalità di questa regola è la stessa, indipendentemente dal fatto che la regola sia configurata in modalità on-by-default o se si abilita manualmente la modalità Blocco.

Intune nome:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Tipo di azione di ricerca avanzata:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Dipendenze: MDAV

Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail

Questa regola impedisce l'avvio dei tipi di file seguenti dalla posta elettronica aperta all'interno dell'applicazione Microsoft Outlook o Outlook.com e altri provider di posta Web più diffusi:

  • File eseguibili (ad esempio .exe, .dll o .scr)
  • File script (ad esempio un .ps1 di PowerShell, Visual Basic .vbs o un file di .js JavaScript)

Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Nome Endpoint Manager Microsoft:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Tipo di azione di ricerca avanzata:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Dipendenze: MDAV

Nota

La regola Blocca il contenuto eseguibile dal client di posta elettronica e dalla webmail include le descrizioni alternative seguenti, a seconda dell'applicazione usata:

  • Intune (profili di configurazione): esecuzione del contenuto eseguibile (exe, dll, ps, js, vbs e così via) eliminato dalla posta elettronica (client webmail/mail) (nessuna eccezione).
  • Endpoint Manager: blocca il download di contenuto eseguibile dai client di posta elettronica e webmail.
  • Criteri di gruppo: bloccare il contenuto eseguibile dal client di posta elettronica e dalla posta web.

Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile

Questa regola impedisce l'avvio dei file eseguibili, ad esempio .exe, .dll o scr. Pertanto, l'avvio di file eseguibili non attendibili o sconosciuti può essere rischioso, in quanto potrebbe non essere inizialmente chiaro se i file sono dannosi.

Importante

Per usare questa regola, è necessario abilitare la protezione fornita dal cloud .

La regola Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 è di proprietà di Microsoft e non è specificato dagli amministratori. Questa regola usa la protezione fornita dal cloud per aggiornare regolarmente l'elenco attendibile.

È possibile specificare singoli file o cartelle (usando percorsi di cartelle o nomi di risorse completi), ma non è possibile specificare a quali regole o esclusioni si applicano.

Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Tipo di azione di ricerca avanzata:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Dipendenze: MDAV, Cloud Protection

Blocca l'esecuzione di script potenzialmente offuscati

Questa regola rileva le proprietà sospette all'interno di uno script offuscato.

Importante

Gli script di PowerShell sono stati temporaneamente esclusi dalla regola "Blocca l'esecuzione di script potenzialmente offuscati" a causa dei problemi fp su larga scala riscontrati in passato.

L'offuscamento degli script è una tecnica comune usata sia da autori di malware che da applicazioni legittime per nascondere la proprietà intellettuale o ridurre i tempi di caricamento degli script. Gli autori di malware usano anche l'offuscamento per rendere il codice dannoso più difficile da leggere, il che ostacola lo stretto controllo da parte degli esseri umani e del software di sicurezza.

Importante

A causa dell'elevato numero di falsi positivi, questa regola attualmente non rileva gli script di PowerShell. si tratta di una soluzione temporanea. La regola verrà aggiornata e inizierà a rilevare nuovamente gli script di PowerShell a breve.

Intune nome:Obfuscated js/vbs/ps/macro code

Configuration Manager nome:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Tipo di azione di ricerca avanzata:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Dipendenze: MDAV, AMSI

Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato

Questa regola impedisce agli script di avviare contenuto scaricato potenzialmente dannoso. Il malware scritto in JavaScript o VBScript spesso funge da downloader per recuperare e avviare altri malware da Internet.

Sebbene non siano comuni, le applicazioni line-of-business usano talvolta script per scaricare e avviare programmi di installazione.

Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Tipo di azione di ricerca avanzata:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Dipendenze: MDAV, AMSI

Impedire alle applicazioni di Office di creare contenuto eseguibile

Questa regola impedisce alle app di Office, tra cui Word, Excel e PowerPoint, di creare contenuto eseguibile potenzialmente dannoso, bloccando la scrittura di codice dannoso su disco.

Il malware che abusa di Office come vettore potrebbe tentare di uscire da Office e salvare i componenti dannosi su disco. Questi componenti dannosi sopravviverebbero a un riavvio del computer e sarebbero persistenti nel sistema. Pertanto, questa regola si difende da una tecnica di persistenza comune.

Intune nome:Office apps/macros creating executable content

Nome SCCM: Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Tipo di azione di ricerca avanzata:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Dipendenze: MDAV, RPC

Impedire alle applicazioni di Office di inserire codice in altri processi

Questa regola blocca i tentativi di inserimento di codice dalle app di Office in altri processi.

Gli utenti malintenzionati potrebbero tentare di usare le app di Office per eseguire la migrazione di codice dannoso in altri processi tramite l'inserimento di codice, in modo che il codice possa essere mascherato come processo pulito.

Non esistono scopi aziendali legittimi noti per l'uso dell'inserimento di codice.

Questa regola si applica a Word, Excel e PowerPoint.

Intune nome:Office apps injecting code into other processes (no exceptions)

Configuration Manager nome:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Tipo di azione di ricerca avanzata:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Dipendenze: MDAV

Impedire all'applicazione di comunicazione di Office di creare processi figlio

Questa regola impedisce a Outlook di creare processi figlio, pur consentendo funzioni di Outlook legittime.

Questa regola protegge dagli attacchi di ingegneria sociale e impedisce allo sfruttamento del codice di abusare delle vulnerabilità in Outlook. Protegge anche dalle regole di Outlook e dagli exploit dei moduli che gli utenti malintenzionati possono usare quando le credenziali di un utente vengono compromesse.

Nota

Questa regola blocca i suggerimenti per i criteri DLP e le descrizioni comandi in Outlook. Questa regola si applica solo a Outlook e Outlook.com.

Intune nome:Process creation from Office communication products (beta)

Configuration Manager nome: Non disponibile

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Tipo di azione di ricerca avanzata:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Dipendenze: MDAV

Bloccare la persistenza tramite la sottoscrizione di eventi WMI

Questa regola impedisce al malware di abusare di WMI per ottenere la persistenza in un dispositivo.

Importante

Le esclusioni di file e cartelle non si applicano a questa regola di riduzione della superficie di attacco.

Le minacce senza file usano diverse tattiche per rimanere nascoste, per evitare di essere visualizzate nel file system e per ottenere il controllo periodico dell'esecuzione. Alcune minacce possono abusare del repository WMI e del modello di evento per rimanere nascosti.

Intune nome: Non disponibile

Configuration Manager nome: Non disponibile

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Tipo di azione di ricerca avanzata:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Dipendenze: MDAV, RPC

Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI

Questa regola blocca l'esecuzione dei processi creati tramite PsExec e WMI . Sia PsExec che WMI possono eseguire il codice in remoto. C'è il rischio che il malware abusi delle funzionalità di PsExec e WMI per scopi di comando e controllo o per diffondere un'infezione nella rete di un'organizzazione.

Avviso

Usare questa regola solo se si gestiscono i dispositivi con Intune o un'altra soluzione MDM. Questa regola non è compatibile con la gestione tramite Microsoft Endpoint Configuration Manager perché questa regola blocca i comandi WMI usati dal client Configuration Manager per funzionare correttamente.

Intune nome:Process creation from PSExec and WMI commands

Configuration Manager nome: Non applicabile

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Tipo di azione di ricerca avanzata:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Dipendenze: MDAV

Bloccare i processi non attendibili e non firmati eseguiti da USB

Con questa regola, gli amministratori possono impedire l'esecuzione di file eseguibili non firmati o non attendibili da unità rimovibili USB, incluse le schede SD. I tipi di file bloccati includono file eseguibili (ad esempio .exe, .dll o .scr)

Importante

I file copiati dall'USB nell'unità disco verranno bloccati da questa regola se e quando sta per essere eseguito nell'unità disco.

Intune nome:Untrusted and unsigned processes that run from USB

Configuration Manager nome:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Tipo di azione di ricerca avanzata:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Dipendenze: MDAV

Bloccare le chiamate API Win32 dalle macro di Office

Questa regola impedisce alle macro VBA di chiamare le API Win32.

Office VBA abilita le chiamate API Win32. Il malware può abusare di questa funzionalità, ad esempio chiamare API Win32 per avviare codice shell dannoso senza scrivere nulla direttamente sul disco. La maggior parte delle organizzazioni non si basa sulla possibilità di chiamare le API Win32 nel funzionamento quotidiano, anche se usano macro in altri modi.

Sistemi operativi supportati:

Intune nome:Win32 imports from Office macro code

Configuration Manager nome:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Tipo di azione di ricerca avanzata:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Dipendenze: MDAV, AMSI

Usare la protezione avanzata contro il ransomware

Questa regola fornisce un ulteriore livello di protezione contro il ransomware. Usa sia l'euristica client che quella cloud per determinare se un file assomiglia a ransomware. Questa regola non blocca i file con una o più delle caratteristiche seguenti:

  • Il file è già stato rilevato come nonharmful nel cloud Microsoft.
  • Il file è un file firmato valido.
  • Il file è abbastanza diffuso da non essere considerato come ransomware.

La regola tende a errare sul lato della cautela per prevenire ransomware.

Nota

Per usare questa regola, è necessario abilitare la protezione fornita dal cloud .

Intune nome:Advanced ransomware protection

Configuration Manager nome:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Tipo di azione di ricerca avanzata:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Dipendenze: MDAV, Cloud Protection