Abilitare la protezione dagli exploit

Si applica a:

Suggerimento

Vuoi provare Defender per Endpoint? iscriversi a una versione di valutazione gratuita.

La protezione da exploit consente di proteggere da malware che usa exploit per infettare i dispositivi e diffondersi. La protezione degli exploit è costituita da numerose mitigazioni che possono essere applicate al sistema operativo o alle singole app.

Importante

.NET 2.0 non è compatibile con alcune funzionalità di protezione degli exploit, in particolare, export address filtering (EAF) e Import Address Filtering (IAF). Se è stato abilitato .NET 2.0, l'utilizzo di EAF e IAF non è supportato.

Molte funzionalità di Enhanced Mitigation Experience Toolkit (EMET) sono incluse nella protezione dagli exploit.

È possibile abilitare ogni mitigazione separatamente utilizzando uno dei metodi seguenti:

La protezione dagli exploit è configurata per impostazione predefinita in Windows 10 e Windows 11. È possibile impostare ogni mitigazione su on, off o sul relativo valore predefinito. Alcune mitigazioni hanno più opzioni. Puoi esportare queste impostazioni come file XML e distribuirle in altri dispositivi.

È inoltre possibile impostare le mitigazioni sulla modalità di controllo. La modalità di controllo consente di testare il funzionamento delle mitigazioni (e di esaminare gli eventi) senza influire sul normale utilizzo del dispositivo.

Sicurezza di Windows app

  1. Apri l Sicurezza di Windows app selezionando l'icona scudo nella barra delle applicazioni o cercando la menu Start sicurezza.

  2. Seleziona il riquadro Controllo browser & app (o l'icona dell'app sulla barra dei menu sinistra) e quindi seleziona Impostazioni protezione exploit.

  3. Vai a Impostazioni programma e scegli l'app a cui vuoi applicare le mitigazioni.

    • Se l'app che si desidera configurare è già elencata, selezionarla e quindi selezionare Modifica.
    • Se l'app non è elencata, nella parte superiore dell'elenco seleziona Aggiungi programma da personalizzare e quindi scegli come vuoi aggiungere l'app.
    • Usa Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con l'estensione. Puoi immettere un percorso completo per limitare la mitigazione solo all'app con quel nome in tale posizione.
    • Usa Scegli il percorso esatto del file per usare una finestra di selezione file Windows Explorer standard per trovare e selezionare il file desiderato.
  4. Dopo aver selezionato l'app, vedrai un elenco di tutte le mitigazioni che possono essere applicate. Se si sceglie Controllo, la mitigazione verrà applicata solo in modalità di controllo. Viene notificato se è necessario riavviare il processo o l'app o se è necessario riavviare Windows.

  5. Ripeti i passaggi da 3 a 4 per tutte le app e le mitigazioni che vuoi configurare.

  6. Nella sezione Impostazioni di sistema individuare la mitigazione che si desidera configurare e quindi specificare una delle impostazioni seguenti. Le app che non sono configurate singolarmente nella sezione Impostazioni programma usano le impostazioni configurate qui.

    • Attivato per impostazione predefinita: la mitigazione è abilitata per le app che non hanno questa mitigazione impostata nella sezione Impostazioni programma specifiche dell'app
    • Disattivato per impostazione predefinita: la mitigazione è disabilitata per le app che non hanno questa mitigazione impostata nella sezione Impostazioni programma specifiche dell'app
    • Usa predefinito : la mitigazione è abilitata o disabilitata, a seconda della configurazione predefinita impostata dall'installazione di Windows 10 o Windows 11; il valore predefinito (Attivato o Disattivato ) viene sempre specificato accanto all'etichetta Usa predefinito per ogni mitigazione
  7. Ripetere il passaggio 6 per tutte le mitigazioni a livello di sistema che si desidera configurare. Al termine della configurazione, selezionare Applica.

Se aggiungi un'app alla sezione Impostazioni programma e configura le singole impostazioni di mitigazione, queste verranno rispettate sopra la configurazione per le stesse mitigazioni specificate nella sezione Impostazioni di sistema. La matrice e gli esempi seguenti illustrano il funzionamento delle impostazioni predefinite:

Abilitato nelle impostazioni del programma Abilitato nelle impostazioni di sistema Comportamento
No Come definito in Impostazioni programma
Come definito in Impostazioni programma
No Come definito in Impostazioni di sistema
No Impostazione predefinita definita in Usa opzione predefinita

Esempio 1: Mikael configura la sezione Protezione esecuzione programmi nelle impostazioni di sistema in modo che sia disattivata per impostazione predefinita

Mikael aggiunge l'app test.exe alla sezione Impostazioni programma. Nelle opzioni per l'app, in Protezione esecuzione programmi, Mikael abilita l'opzione Ignora impostazioni di sistema e imposta l'opzione su Attiva. Nella sezione Impostazioni programma non sono elencate altre app.

Il risultato è che Protezione esecuzione programmi è abilitato solo per test.exe. A tutte le altre app non verrà applicata la funzionalità Protezione esecuzione programmi.

Esempio 2: Josie configura La protezione esecuzione programmi nelle impostazioni di sistema è disattivata per impostazione predefinita

Josie aggiunge l'app test.exe alla sezione Impostazioni programma. Nelle opzioni per l'app, in Protezione esecuzione programmi, Josie abilita l'opzione Ignora impostazioni di sistema e imposta l'opzione su Attiva.

Josie aggiunge anche ilmiles.exeapp alla sezione Impostazioni programma e configura Control flow guard (CFG) su On. Josie non abilita l'opzione Ignora impostazioni di sistema per Protezione esecuzione programmi o altre mitigazioni per l'app.

Il risultato è che Protezione esecuzione programmi è abilitato pertest.exe. Protezione esecuzione programmi non verrà abilitato per altre app, incluso miles.exe. CFG verrà abilitato per miles.exe.

  1. Apri l Sicurezza di Windows app selezionando l'icona scudo nella barra delle applicazioni o cercando nel menu Start Sicurezza di Windows.

  2. Seleziona il riquadro Controllo browser & app (o l'icona dell'app sulla barra dei menu sinistra) e quindi seleziona Protezione da exploit.

  3. Vai a Impostazioni programma e scegli l'app a cui vuoi applicare le mitigazioni.

    • Se l'app che si desidera configurare è già elencata, selezionarla e quindi selezionare Modifica.
    • Se l'app non è elencata, nella parte superiore dell'elenco seleziona Aggiungi programma da personalizzare e quindi scegli come vuoi aggiungere l'app.
      • Usa Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con un'estensione. Puoi immettere un percorso completo per limitare la mitigazione solo all'app con quel nome in tale posizione.
      • Usa Scegli il percorso esatto del file per usare una finestra di selezione file Windows Explorer standard per trovare e selezionare il file desiderato.
  4. Dopo aver selezionato l'app, vedrai un elenco di tutte le mitigazioni che possono essere applicate. Se si sceglie Controllo, la mitigazione verrà applicata solo in modalità di controllo. Ti verrà notificato se devi riavviare il processo o l'app o se devi riavviare Windows.

  5. Ripeti i passaggi da 3 a 4 per tutte le app e le mitigazioni che vuoi configurare. Al termine della configurazione, selezionare Applica.

Intune

  1. Accedi al portale di Azure e apri Intune.

  2. Vai a Profili di configurazione dei > dispositivi > Crea profilo.

  3. Assegnare un nome al profilo, scegliere Windows 10 e versioni successive e Endpoint protection.

    Creare il profilo di endpoint protection.

  4. Seleziona Configura Windows Defender Exploit > Guard Protezione da exploit > .

  5. Upload un file XML con le impostazioni di protezione degli exploit:

    Abilitare la protezione di rete in Intune.

  6. Selezionare OK per salvare ogni pannello aperto, quindi scegliere Crea.

  7. Selezionare la scheda Assegnazioni profilo, assegnare il criterio a Tutti gli utenti & Tutti i dispositivi e quindi selezionare Salva.

MDM

Usa il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings per abilitare o disabilitare le mitigazioni della protezione da exploit o per usare la modalità di controllo.

Microsoft Endpoint Manager

  1. In Microsoft Endpoint Manager, vai a Endpoint Security Attack > surface reduction.

  2. Selezionare Crea piattaforma > criteri e per Profilo scegliere Protezione da exploit. Selezionare quindi Crea.

  3. Specificare un nome e una descrizione, quindi scegliere Avanti.

  4. Scegliere Seleziona file XML e passare al percorso del file XML di protezione da exploit. Selezionare il file e quindi scegliere Avanti.

  5. Se necessario, configurare tag di ambito e assegnazioni.

  6. In Revisione e creazione esaminare le impostazioni di configurazione e quindi scegliere Crea.

Microsoft Endpoint Configuration Manager

  1. In Microsoft Endpoint Configuration Manager, andare a Assets and Compliance > Endpoint Protection Windows Defender Exploit > Guard.

  2. Selezionare Home > Create Exploit Guard Policy.

  3. Specificare un nome e una descrizione, selezionare Protezione da exploit e quindi scegliere Avanti.

  4. Passare al percorso del file XML di protezione da exploit e selezionare Avanti.

  5. Rivedere le impostazioni e quindi scegliere Avanti per creare il criterio.

  6. Dopo aver creato il criterio, selezionare Chiudi.

Criteri di gruppo

  1. Nel dispositivo di gestione di Criteri di gruppo, aprire console Gestione Criteri di gruppo,fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

  2. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

  3. Espandi l'albero per Windows componenti Windows Defender Protezione da exploit > guard > > Usa un set comune di impostazioni di protezione da exploit.

  4. Selezionare Abilitato e digitare il percorso del file XMLe quindi scegliere OK.

PowerShell

È possibile utilizzare il verbo powershell Get o con il cmdlet Set ProcessMitigation . Using elenca lo stato di configurazione corrente di tutte le mitigazioni abilitate nel dispositivo: aggiungi il cmdlet e l'exe dell'app per visualizzare le mitigazioni solo per Get -Name l'app:

Get-ProcessMitigation -Name processName.exe

Importante

Le mitigazioni a livello di sistema che non sono state configurate mostreranno lo stato NOTSET .

  • Per le impostazioni a livello di sistema, indica che è stata applicata l'impostazione predefinita per NOTSET tale mitigazione.
  • Per le impostazioni a livello di app, indica che verrà applicata l'impostazione a livello di sistema per NOTSET la mitigazione. L'impostazione predefinita per ogni mitigazione a livello di sistema è visibile nella Sicurezza di Windows.

Utilizzare Set per configurare ogni mitigazione nel formato seguente:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Dove:

  • <Scope>:
    • -Name per indicare che le mitigazioni devono essere applicate a un'app specifica. Specifica il file eseguibile dell'app dopo questo flag.
      • -System per indicare che la mitigazione deve essere applicata a livello di sistema
  • <Action>:
    • -Enable per abilitare la mitigazione
    • -Disable per disabilitare la mitigazione
  • <Mitigation>:
    • Cmdlet della mitigazione insieme a tutte le opzioni secondarie (circondate da spazi). Ogni mitigazione è separata da una virgola.

Ad esempio, per abilitare la mitigazione di Protezione esecuzione programmi con l'emulazione thunk ATL e per un eseguibile denominato testing.exe nella cartella C:\Apps\LOB\tests e per impedire a tale eseguibile di creare processi figlio, è necessario utilizzare il comando seguente:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Importante

Separare ogni opzione di mitigazione con virgole.

Se si desidera applicare Protezione esecuzione programmi a livello di sistema, utilizzare il comando seguente:

Set-Processmitigation -System -Enable DEP

Per disabilitare le mitigazioni, è possibile sostituire -Enable con -Disable . Tuttavia, per le mitigazioni a livello di app, questa azione impone la disabilitazione della mitigazione solo per l'app.

Se è necessario ripristinare l'impostazione predefinita del sistema, è necessario includere anche il -Remove cmdlet, come nell'esempio seguente:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Nella tabella seguente sono elencate le singole mitigazioni (e i controlli, se disponibili) da utilizzare con i -Enable parametri del cmdlet o -Disable .

Tipo di mitigazione Si applica a Parola chiave del parametro cmdlet di mitigazione Parametro cmdlet modalità di controllo
Control flow guard (CFG) Livello di sistema e app CFG, StrictCFG, SuppressExports Controllo non disponibile
Protezione esecuzione programmi (DEP) Livello di sistema e app DEP, EmulateAtlThunks Controllo non disponibile
Forza l'assegnazione casuale per le immagini (ASLR obbligatorio) Livello di sistema e app ForceRelocateImages Controllo non disponibile
Utilizza le allocazioni di memoria casuali (ASLR bottom-up) Livello di sistema e app BottomUp, HighEntropy Controllo non disponibile
Convalida catene di eccezione (SEHOP) Livello di sistema e app SEHOP, SEHOPTelemetry Controllo non disponibile
Convalida l'integrità dell'heap Livello di sistema e app TerminateOnError Controllo non disponibile
Controllo arbitrario di codice (ACG) Solo a livello di app DynamicCode AuditDynamicCode
Blocca immagini con bassa integrità Solo a livello di app BlockLowLabel AuditImageLoad
Blocca immagini remote Solo a livello di app BlockRemoteImages Controllo non disponibile
Blocca i tipi di carattere non attendibili Solo a livello di app DisableNonSystemFonts AuditFont, FontAuditOnly
Controllo integrità codice Solo a livello di app BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Disabilita i punti di estensione Solo a livello di app ExtensionPoint Controllo non disponibile
Disabilita le chiamate di sistema Win32k Solo a livello di app DisableWin32kSystemCalls AuditSystemCall
Non consentire processi figlio Solo a livello di app DisallowChildProcessCreation AuditChildProcess
Filtro di indirizzi da esportare (EAF) Solo a livello di app EnableExportAddressFilterPlus, EnableExportAddressFilter [ 1 ] Controllo non disponibile [ 2 ]
Filtro di indirizzi da importare (IAF) Solo a livello di app EnableImportAddressFilter Controllo non disponibile [ 2 ]
Simula l'esecuzione (SimExec) Solo a livello di app EnableRopSimExec Controllo non disponibile [ 2 ]
Convalida chiamata di API (CallerCheck) Solo a livello di app EnableRopCallerCheck Controllo non disponibile [ 2 ]
Convalida l'uso di handle Solo a livello di app StrictHandle Controllo non disponibile
Convalida l'integrità di dipendenza dell'immagine Solo a livello di app EnforceModuleDepencySigning Controllo non disponibile
Convalida l'integrità della pila (StackPivot) Solo a livello di app EnableRopStackPivot Controllo non disponibile [ 2 ]

[ 1 ] : utilizzare il formato seguente per abilitare i moduli EAF per le DLL per un processo:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2 ] : il controllo per questa mitigazione non è disponibile tramite i cmdlet di PowerShell.

Personalizzare la notifica

Per informazioni sulla personalizzazione della notifica quando viene attivata una regola e un'app o un file è bloccato, vedi Sicurezza di Windows.

Vedere anche