Comprendere e usare le funzionalità di riduzione della superficie di attacco

Si applica a:

Piattaforme

  • Windows

Suggerimento

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Le superfici di attacco sono tutti i luoghi in cui l'organizzazione è vulnerabile a minacce informatiche e attacchi. Defender per endpoint include diverse funzionalità che consentono di ridurre le superfici di attacco. Guardare il video seguente per altre informazioni sulla riduzione della superficie di attacco.

Configurare le funzionalità per la riduzione della superficie di attacco

Per configurare la riduzione della superficie di attacco nell'ambiente, seguire questa procedura:

  1. Abilitare l'isolamento basato su hardware per Microsoft Edge.

  2. Abilitare il controllo applicazione.

    1. Esaminare i criteri di base in Windows. Vedere Criteri di base di esempio.
    2. Vedere la guida alla progettazione Windows Defender Controllo applicazioni.
    3. Fare riferimento alla distribuzione di criteri WDAC (Deploying Windows Defender Application Control).
  3. Abilitare l'accesso controllato alle cartelle.

  4. Attivare Protezione di rete.

  5. Abilitare la protezione dagli exploit.

  6. Distribuire le regole di riduzione della superficie di attacco.

  7. Configurare il firewall di rete.

    1. Panoramica di Windows Defender Firewall con sicurezza avanzata.
    2. Usare la guida alla progettazione Windows Defender Firewall per decidere come progettare i criteri del firewall.
    3. Usare la guida alla distribuzione Windows Defender Firewall per configurare il firewall dell'organizzazione con sicurezza avanzata.

Suggerimento

Nella maggior parte dei casi, quando si configurano le funzionalità di riduzione della superficie di attacco, è possibile scegliere tra diversi metodi:

  • Microsoft Endpoint Manager (che ora include Microsoft Intune e Microsoft Endpoint Configuration Manager)
  • Criteri di gruppo
  • Cmdlet di PowerShell

Riduzione della superficie di attacco di test in Microsoft Defender per endpoint

Come parte del team di sicurezza dell'organizzazione, è possibile configurare le funzionalità di riduzione della superficie di attacco da eseguire in modalità di controllo per vedere come funzioneranno. È possibile abilitare le funzionalità di sicurezza asr seguenti in modalità di controllo:

  • Regole di riduzione della superficie di attacco
  • Protezione dagli exploit
  • Protezione della rete
  • E l'accesso controllato alle cartelle

La modalità di controllo consente di visualizzare un record di ciò che sarebbe successo se la funzionalità fosse stata abilitata.

È possibile abilitare la modalità di controllo durante il test del funzionamento delle funzionalità. L'abilitazione della modalità di controllo solo per i test consente di impedire che la modalità di controllo influisca sulle app line-of-business. È anche possibile avere un'idea di quanti tentativi sospetti di modifica dei file si verificano in un determinato periodo di tempo.

Le funzionalità non bloccano o impediscono la modifica di app, script o file. Tuttavia, il registro eventi Windows registrerà gli eventi come se le funzionalità fossero completamente abilitate. Con la modalità di controllo, è possibile esaminare il registro eventi per vedere quale effetto avrebbe avuto la funzionalità se fosse stata abilitata.

Per trovare le voci controllate, passare ad Applicazioni e servizi > Microsoft > Windows > Windows Defender > Operativo.

Usare Defender per endpoint per ottenere maggiori dettagli per ogni evento. Questi dettagli sono particolarmente utili per analizzare le regole di riduzione della superficie di attacco. L'uso della console di Defender per endpoint consente di analizzare i problemi come parte degli scenari di analisi e sequenza temporale degli avvisi.

È possibile abilitare la modalità di controllo usando Criteri di gruppo, PowerShell e provider di servizi di configurazione.

Suggerimento

È anche possibile visitare il sito Web Windows Defender Testground all'indirizzo demo.wd.microsoft.com per verificare che le funzionalità funzionino e vedere come funzionano.

Nota

Il sito demo di Defender per endpoint demo.wd.microsoft.com è deprecato e sarà rimosso in futuro.

Opzioni di controllo Come abilitare la modalità di controllo Come visualizzare gli eventi
Il controllo si applica a tutti gli eventi Abilitare l’accesso controllato alle cartelle Eventi di accesso controllato alle cartelle
Il controllo si applica alle singole regole Passaggio 1: Testare le regole asr usando la modalità di controllo Passaggio 2: Comprendere la pagina di segnalazione delle regole di riduzione della superficie di attacco
Il controllo si applica a tutti gli eventi Abilitare la protezione di rete Eventi di protezione della rete
Il controllo si applica alle singole mitigazioni Abilitare la protezione dagli exploit Eventi di protezione dagli exploit

Regole per la riduzione della superficie di attacco (RSA)

Le regole di riduzione della superficie di attacco (ASR) sono predefinite per rafforzare le superfici di attacco comuni note. Esistono diversi metodi che è possibile usare per implementare le regole di riduzione della superficie di attacco. Il metodo preferito è documentato negli argomenti di distribuzione delle regole di riduzione della superficie di attacco (ASR) seguenti:

Visualizzare eventi per la riduzione della superficie di attacco

Esaminare gli eventi di riduzione della superficie di attacco in Visualizzatore eventi per monitorare le regole o le impostazioni che funzionano. È anche possibile determinare se le impostazioni sono troppo "rumorose" o influiscono sul flusso di lavoro quotidiano.

La revisione degli eventi è utile quando si valutano le funzionalità. È possibile abilitare la modalità di controllo per le funzionalità o le impostazioni e quindi verificare cosa sarebbe successo se fossero state completamente abilitate.

Questa sezione elenca tutti gli eventi, la funzionalità o l'impostazione associata e descrive come creare visualizzazioni personalizzate per filtrare in base a eventi specifici.

Ottenere report dettagliati su eventi, blocchi e avvisi come parte di Sicurezza di Windows se si dispone di una sottoscrizione E5 e si usa Microsoft Defender per endpoint.

Usare visualizzazioni personalizzate per esaminare le funzionalità di riduzione della superficie di attacco

Creare visualizzazioni personalizzate nel Windows Visualizzatore eventi per visualizzare solo gli eventi per funzionalità e impostazioni specifiche. Il modo più semplice consiste nell'importare una visualizzazione personalizzata come file XML. È possibile copiare il codice XML direttamente da questa pagina.

È anche possibile passare manualmente all'area eventi corrispondente alla funzionalità.

Importare una visualizzazione personalizzata XML esistente

  1. Creare un file di .txt vuoto e copiare il codice XML per la visualizzazione personalizzata da usare nel file .txt. Eseguire questa operazione per ognuna delle visualizzazioni personalizzate che si desidera usare. Rinominare i file nel modo seguente (assicurarsi di modificare il tipo da .txt a .xml):

    • Visualizzazione personalizzata degli eventi di accesso controllato alle cartelle: cfa-events.xml
    • Visualizzazione personalizzata degli eventi di protezione dagli exploit: ep-events.xml
    • Visualizzazione personalizzata degli eventi di riduzione della superficie di attacco: asr-events.xml
    • Visualizzazione personalizzata degli eventi di rete/protezione: np-events.xml
  2. Digitare visualizzatore eventi nel menu Start e aprire Visualizzatore eventi.

  3. Selezionare Azione > Importa visualizzazione personalizzata...

    Evidenziazione animazione Importa visualizzazione personalizzata a sinistra della finestra Visualizzatore pari.

  4. Passare alla posizione in cui è stato estratto il file XML per la visualizzazione personalizzata desiderata e selezionarlo.

  5. Seleziona Apri.

  6. Verrà creata una visualizzazione personalizzata che filtra solo gli eventi correlati a tale funzionalità.

Copiare direttamente il codice XML

  1. Digitare visualizzatore eventi nel menu Start e aprire il Visualizzatore eventi Windows.

  2. Nel pannello a sinistra, in Azioni, selezionare Crea visualizzazione personalizzata...

    Animazione che evidenzia l'opzione crea visualizzazione personalizzata nella finestra Visualizzatore eventi.

  3. Passare alla scheda XML e selezionare Modifica query manualmente. Verrà visualizzato un avviso che indica che non è possibile modificare la query usando la scheda Filtro se si usa l'opzione XML. Selezionare .

  4. Incollare il codice XML per la funzionalità da cui filtrare gli eventi nella sezione XML.

  5. Seleziona OK. Specificare un nome per il filtro. In questo modo viene creata una visualizzazione personalizzata che filtra per visualizzare solo gli eventi correlati a tale funzionalità.

XML per gli eventi delle regole di riduzione della superficie di attacco

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML per gli eventi di accesso controllato alle cartelle

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML per gli eventi di protezione dagli exploit

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML per gli eventi di protezione di rete

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Elenco di eventi di riduzione della superficie di attacco

Tutti gli eventi di riduzione della superficie di attacco si trovano in Registri applicazioni e servizi > Microsoft > Windows e quindi nella cartella o nel provider elencati nella tabella seguente.

È possibile accedere a questi eventi in Windows Visualizzatore eventi:

  1. Aprire il menu Start e digitare Visualizzatore eventi e quindi selezionare il risultato Visualizzatore eventi.

  2. Espandere Registri applicazioni e servizi > Microsoft > Windows e quindi passare alla cartella elencata in Provider/origine nella tabella seguente.

  3. Fare doppio clic sull'elemento secondario per visualizzare gli eventi. Scorrere gli eventi per trovare quello che si sta cercando.

    Animazione che mostra l'uso di Visualizzatore eventi.



Funzionalità Provider/origine ID evento Descrizione
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 1 Controllo di ACG
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 2 Applicazione di ACG
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 3 Non consente il controllo dei processi figlio
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 4 Non consente il blocco dei processi figlio
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 5 Controllo di Blocca immagini con bassa integrità
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 6 Blocco di Blocca immagini con bassa integrità
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 7 Controllo di Blocca immagini remote
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 8 Blocca di Blocca immagini remote
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 9 Controllo di Disabilita le chiamate di sistema win32k
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 10 Blocco di Disabilita le chiamate di sistema win32k
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 11 Controllo di Controllo integrità codice
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 12 Blocco di Controllo integrità codice
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 13 Controllo di EAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 14 Applicazione di EAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 15 Controllo di EAF+
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 16 Applicazione di EAF+
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 17 Controllo di IAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 18 Applicazione di IAF
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 19 Controllo di ROP StackPivot
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 20 Applicazione di ROP StackPivot
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 21 Controllo di ROP CallerCheck
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 22 Applicazione di ROP CallerCheck
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 23 Controllo di ROP SimExec
Protezione dagli exploit Security-Mitigations (modalità kernel/modalità utente) 24 Applicazione di ROP SimExec
Protezione dagli exploit WER-Diagnostics 5 Blocco di CFG
Protezione dagli exploit Win32K (Operativo) 260 Tipo di carattere non attendibile
Protezione della rete Windows Defender (operativo) 5007 Evento quando vengono modificate le impostazioni
Protezione della rete Windows Defender (operativo) 1125 Evento quando la protezione di rete viene attivata in modalità di controllo
Protezione della rete Windows Defender (operativo) 1126 Evento quando la protezione di rete viene attivata in modalità blocco
Accesso alle cartelle controllato Windows Defender (operativo) 5007 Evento quando vengono modificate le impostazioni
Accesso alle cartelle controllato Windows Defender (operativo) 1124 Audited Controlled folder access event (Evento di accesso controllato alle cartelle)
Accesso alle cartelle controllato Windows Defender (operativo) 1123 Evento di accesso controllato alle cartelle bloccato
Accesso alle cartelle controllato Windows Defender (operativo) 1127 Blocked Controlled folder access sector write block event (Evento blocco di scrittura del settore accesso controllato alle cartelle bloccato)
Accesso alle cartelle controllato Windows Defender (operativo) 1128 Audited Controlled folder access sector write block event
Riduzione della superficie d'attacco Windows Defender (operativo) 5007 Evento quando vengono modificate le impostazioni
Riduzione della superficie d'attacco Windows Defender (operativo) 1122 Evento quando la regola viene attivata in modalità di controllo
Riduzione della superficie d'attacco Windows Defender (operativo) 1121 Evento quando la regola viene attivata in modalità blocco

Nota

Dal punto di vista dell'utente, le notifiche in modalità avviso ASR vengono effettuate come Windows Notifica avviso popup per le regole di riduzione della superficie di attacco.

In ASR Protezione rete offre solo le modalità Di controllo e Blocco.

Risorse per altre informazioni sulla riduzione della superficie di attacco

Come indicato nel video, Defender per endpoint include diverse funzionalità di riduzione della superficie di attacco. Per altre informazioni, usare le risorse seguenti:

Articolo Descrizione
Isolamento basato su hardware Proteggere e mantenere l'integrità di un sistema all'avvio e durante l'esecuzione. Convalidare l'integrità del sistema tramite attestazione locale e remota. Usare l'isolamento del contenitore per Microsoft Edge per proteggere i siti Web dannosi.
Controllo delle applicazioni Usare il controllo dell'applicazione in modo che le applicazioni debbano ottenere attendibilità per l'esecuzione.
Accesso controllato alle cartelle Impedisci ad app dannose o sospette (incluso il malware ransomware per la crittografia dei file) di apportare modifiche ai file nelle cartelle di sistema chiave (richiede Antivirus Microsoft Defender).
Protezione di rete Estendere la protezione al traffico di rete e alla connettività nei dispositivi dell'organizzazione. (Richiede Antivirus Microsoft Defender).
Protezione dagli exploit Proteggere i sistemi operativi e le app usate dall'organizzazione dallo sfruttamento. La protezione dagli exploit funziona anche con soluzioni antivirus di terze parti.
Controllo dispositivo Protegge dalla perdita di dati monitorando e controllando i supporti usati nei dispositivi, ad esempio archiviazione rimovibile e unità USB, nell'organizzazione.
Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR) Presenta informazioni generali e prerequisiti per la distribuzione delle regole di riduzione della superficie di attacco.
Guida alla distribuzione delle regole del piano di riduzione della superficie di attacco (ASR) Elenca i passaggi consigliati per la distribuzione delle regole di riduzione della superficie di attacco.
Testare le regole per la riduzione della superficie di attacco (ARS) Fornisce i passaggi per usare la modalità di controllo per testare le regole di riduzione della superficie di attacco.
Abilitare le regole per la riduzione della superficie di attacco (ARS) Mostra i passaggi per eseguire la transizione delle regole di riduzione della superficie di attacco dalla modalità di test (controllo) alla modalità attiva, abilitata (blocco).
Distribuire le regole per la riduzione della superficie di attacco (ARS) Fornisce informazioni sulle attività quotidiane di revisione e manutenzione.
Riferimento alle regole per la riduzione della superficie di attacco (ARS) Fornisce informazioni dettagliate su ogni regola di riduzione della superficie di attacco.
Regole per la riduzione della superficie di attacco Ridurre le vulnerabilità (superfici di attacco) nelle applicazioni con regole intelligenti che consentono di arrestare i malware. (Richiede Antivirus Microsoft Defender).