Comprendere e usare le funzionalità di riduzione della superficie di attacco
Si applica a:
- Microsoft 365 Defender
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
Suggerimento
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Le superfici di attacco sono tutti i luoghi in cui l'organizzazione è vulnerabile a minacce informatiche e attacchi. Defender per endpoint include diverse funzionalità che consentono di ridurre le superfici di attacco. Guardare il video seguente per altre informazioni sulla riduzione della superficie di attacco.
Configurare le funzionalità per la riduzione della superficie di attacco
Per configurare la riduzione della superficie di attacco nell'ambiente, seguire questa procedura:
Abilitare l'isolamento basato su hardware per Microsoft Edge.
Abilitare il controllo applicazione.
- Esaminare i criteri di base in Windows. Vedere Criteri di base di esempio.
- Vedere la guida alla progettazione Windows Defender Controllo applicazioni.
- Fare riferimento alla distribuzione di criteri WDAC (Deploying Windows Defender Application Control).
Distribuire le regole di riduzione della superficie di attacco.
Configurare il firewall di rete.
- Panoramica di Windows Defender Firewall con sicurezza avanzata.
- Usare la guida alla progettazione Windows Defender Firewall per decidere come progettare i criteri del firewall.
- Usare la guida alla distribuzione Windows Defender Firewall per configurare il firewall dell'organizzazione con sicurezza avanzata.
Suggerimento
Nella maggior parte dei casi, quando si configurano le funzionalità di riduzione della superficie di attacco, è possibile scegliere tra diversi metodi:
- Microsoft Endpoint Manager (che ora include Microsoft Intune e Microsoft Endpoint Configuration Manager)
- Criteri di gruppo
- Cmdlet di PowerShell
Riduzione della superficie di attacco di test in Microsoft Defender per endpoint
Come parte del team di sicurezza dell'organizzazione, è possibile configurare le funzionalità di riduzione della superficie di attacco da eseguire in modalità di controllo per vedere come funzioneranno. È possibile abilitare le funzionalità di sicurezza asr seguenti in modalità di controllo:
- Regole di riduzione della superficie di attacco
- Protezione dagli exploit
- Protezione della rete
- E l'accesso controllato alle cartelle
La modalità di controllo consente di visualizzare un record di ciò che sarebbe successo se la funzionalità fosse stata abilitata.
È possibile abilitare la modalità di controllo durante il test del funzionamento delle funzionalità. L'abilitazione della modalità di controllo solo per i test consente di impedire che la modalità di controllo influisca sulle app line-of-business. È anche possibile avere un'idea di quanti tentativi sospetti di modifica dei file si verificano in un determinato periodo di tempo.
Le funzionalità non bloccano o impediscono la modifica di app, script o file. Tuttavia, il registro eventi Windows registrerà gli eventi come se le funzionalità fossero completamente abilitate. Con la modalità di controllo, è possibile esaminare il registro eventi per vedere quale effetto avrebbe avuto la funzionalità se fosse stata abilitata.
Per trovare le voci controllate, passare ad Applicazioni e servizi > Microsoft > Windows > Windows Defender > Operativo.
Usare Defender per endpoint per ottenere maggiori dettagli per ogni evento. Questi dettagli sono particolarmente utili per analizzare le regole di riduzione della superficie di attacco. L'uso della console di Defender per endpoint consente di analizzare i problemi come parte degli scenari di analisi e sequenza temporale degli avvisi.
È possibile abilitare la modalità di controllo usando Criteri di gruppo, PowerShell e provider di servizi di configurazione.
Suggerimento
È anche possibile visitare il sito Web Windows Defender Testground all'indirizzo demo.wd.microsoft.com per verificare che le funzionalità funzionino e vedere come funzionano.
Nota
Il sito demo di Defender per endpoint demo.wd.microsoft.com è deprecato e sarà rimosso in futuro.
| Opzioni di controllo | Come abilitare la modalità di controllo | Come visualizzare gli eventi |
|---|---|---|
| Il controllo si applica a tutti gli eventi | Abilitare l’accesso controllato alle cartelle | Eventi di accesso controllato alle cartelle |
| Il controllo si applica alle singole regole | Passaggio 1: Testare le regole asr usando la modalità di controllo | Passaggio 2: Comprendere la pagina di segnalazione delle regole di riduzione della superficie di attacco |
| Il controllo si applica a tutti gli eventi | Abilitare la protezione di rete | Eventi di protezione della rete |
| Il controllo si applica alle singole mitigazioni | Abilitare la protezione dagli exploit | Eventi di protezione dagli exploit |
Regole per la riduzione della superficie di attacco (RSA)
Le regole di riduzione della superficie di attacco (ASR) sono predefinite per rafforzare le superfici di attacco comuni note. Esistono diversi metodi che è possibile usare per implementare le regole di riduzione della superficie di attacco. Il metodo preferito è documentato negli argomenti di distribuzione delle regole di riduzione della superficie di attacco (ASR) seguenti:
- Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)
- Guida alla distribuzione delle regole del piano di riduzione della superficie di attacco (ASR)
- Testare le regole per la riduzione della superficie di attacco (ARS)
- Abilitare le regole per la riduzione della superficie di attacco (ARS)
- Distribuire le regole per la riduzione della superficie di attacco (ARS)
Visualizzare eventi per la riduzione della superficie di attacco
Esaminare gli eventi di riduzione della superficie di attacco in Visualizzatore eventi per monitorare le regole o le impostazioni che funzionano. È anche possibile determinare se le impostazioni sono troppo "rumorose" o influiscono sul flusso di lavoro quotidiano.
La revisione degli eventi è utile quando si valutano le funzionalità. È possibile abilitare la modalità di controllo per le funzionalità o le impostazioni e quindi verificare cosa sarebbe successo se fossero state completamente abilitate.
Questa sezione elenca tutti gli eventi, la funzionalità o l'impostazione associata e descrive come creare visualizzazioni personalizzate per filtrare in base a eventi specifici.
Ottenere report dettagliati su eventi, blocchi e avvisi come parte di Sicurezza di Windows se si dispone di una sottoscrizione E5 e si usa Microsoft Defender per endpoint.
Usare visualizzazioni personalizzate per esaminare le funzionalità di riduzione della superficie di attacco
Creare visualizzazioni personalizzate nel Windows Visualizzatore eventi per visualizzare solo gli eventi per funzionalità e impostazioni specifiche. Il modo più semplice consiste nell'importare una visualizzazione personalizzata come file XML. È possibile copiare il codice XML direttamente da questa pagina.
È anche possibile passare manualmente all'area eventi corrispondente alla funzionalità.
Importare una visualizzazione personalizzata XML esistente
Creare un file di .txt vuoto e copiare il codice XML per la visualizzazione personalizzata da usare nel file .txt. Eseguire questa operazione per ognuna delle visualizzazioni personalizzate che si desidera usare. Rinominare i file nel modo seguente (assicurarsi di modificare il tipo da .txt a .xml):
- Visualizzazione personalizzata degli eventi di accesso controllato alle cartelle: cfa-events.xml
- Visualizzazione personalizzata degli eventi di protezione dagli exploit: ep-events.xml
- Visualizzazione personalizzata degli eventi di riduzione della superficie di attacco: asr-events.xml
- Visualizzazione personalizzata degli eventi di rete/protezione: np-events.xml
Digitare visualizzatore eventi nel menu Start e aprire Visualizzatore eventi.
Selezionare Azione > Importa visualizzazione personalizzata...
Passare alla posizione in cui è stato estratto il file XML per la visualizzazione personalizzata desiderata e selezionarlo.
Seleziona Apri.
Verrà creata una visualizzazione personalizzata che filtra solo gli eventi correlati a tale funzionalità.
Copiare direttamente il codice XML
Digitare visualizzatore eventi nel menu Start e aprire il Visualizzatore eventi Windows.
Nel pannello a sinistra, in Azioni, selezionare Crea visualizzazione personalizzata...
Passare alla scheda XML e selezionare Modifica query manualmente. Verrà visualizzato un avviso che indica che non è possibile modificare la query usando la scheda Filtro se si usa l'opzione XML. Selezionare Sì.
Incollare il codice XML per la funzionalità da cui filtrare gli eventi nella sezione XML.
Seleziona OK. Specificare un nome per il filtro. In questo modo viene creata una visualizzazione personalizzata che filtra per visualizzare solo gli eventi correlati a tale funzionalità.
XML per gli eventi delle regole di riduzione della superficie di attacco
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML per gli eventi di accesso controllato alle cartelle
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML per gli eventi di protezione dagli exploit
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML per gli eventi di protezione di rete
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Elenco di eventi di riduzione della superficie di attacco
Tutti gli eventi di riduzione della superficie di attacco si trovano in Registri applicazioni e servizi > Microsoft > Windows e quindi nella cartella o nel provider elencati nella tabella seguente.
È possibile accedere a questi eventi in Windows Visualizzatore eventi:
Aprire il menu Start e digitare Visualizzatore eventi e quindi selezionare il risultato Visualizzatore eventi.
Espandere Registri applicazioni e servizi > Microsoft > Windows e quindi passare alla cartella elencata in Provider/origine nella tabella seguente.
Fare doppio clic sull'elemento secondario per visualizzare gli eventi. Scorrere gli eventi per trovare quello che si sta cercando.
| Funzionalità | Provider/origine | ID evento | Descrizione |
|---|---|---|---|
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 1 | Controllo di ACG |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 2 | Applicazione di ACG |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 3 | Non consente il controllo dei processi figlio |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 4 | Non consente il blocco dei processi figlio |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 5 | Controllo di Blocca immagini con bassa integrità |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 6 | Blocco di Blocca immagini con bassa integrità |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 7 | Controllo di Blocca immagini remote |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 8 | Blocca di Blocca immagini remote |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 9 | Controllo di Disabilita le chiamate di sistema win32k |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 10 | Blocco di Disabilita le chiamate di sistema win32k |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 11 | Controllo di Controllo integrità codice |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 12 | Blocco di Controllo integrità codice |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 13 | Controllo di EAF |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 14 | Applicazione di EAF |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 15 | Controllo di EAF+ |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 16 | Applicazione di EAF+ |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 17 | Controllo di IAF |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 18 | Applicazione di IAF |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 19 | Controllo di ROP StackPivot |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 20 | Applicazione di ROP StackPivot |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 21 | Controllo di ROP CallerCheck |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 22 | Applicazione di ROP CallerCheck |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 23 | Controllo di ROP SimExec |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 24 | Applicazione di ROP SimExec |
| Protezione dagli exploit | WER-Diagnostics | 5 | Blocco di CFG |
| Protezione dagli exploit | Win32K (Operativo) | 260 | Tipo di carattere non attendibile |
| Protezione della rete | Windows Defender (operativo) | 5007 | Evento quando vengono modificate le impostazioni |
| Protezione della rete | Windows Defender (operativo) | 1125 | Evento quando la protezione di rete viene attivata in modalità di controllo |
| Protezione della rete | Windows Defender (operativo) | 1126 | Evento quando la protezione di rete viene attivata in modalità blocco |
| Accesso alle cartelle controllato | Windows Defender (operativo) | 5007 | Evento quando vengono modificate le impostazioni |
| Accesso alle cartelle controllato | Windows Defender (operativo) | 1124 | Audited Controlled folder access event (Evento di accesso controllato alle cartelle) |
| Accesso alle cartelle controllato | Windows Defender (operativo) | 1123 | Evento di accesso controllato alle cartelle bloccato |
| Accesso alle cartelle controllato | Windows Defender (operativo) | 1127 | Blocked Controlled folder access sector write block event (Evento blocco di scrittura del settore accesso controllato alle cartelle bloccato) |
| Accesso alle cartelle controllato | Windows Defender (operativo) | 1128 | Audited Controlled folder access sector write block event |
| Riduzione della superficie d'attacco | Windows Defender (operativo) | 5007 | Evento quando vengono modificate le impostazioni |
| Riduzione della superficie d'attacco | Windows Defender (operativo) | 1122 | Evento quando la regola viene attivata in modalità di controllo |
| Riduzione della superficie d'attacco | Windows Defender (operativo) | 1121 | Evento quando la regola viene attivata in modalità blocco |
Nota
Dal punto di vista dell'utente, le notifiche in modalità avviso ASR vengono effettuate come Windows Notifica avviso popup per le regole di riduzione della superficie di attacco.
In ASR Protezione rete offre solo le modalità Di controllo e Blocco.
Risorse per altre informazioni sulla riduzione della superficie di attacco
Come indicato nel video, Defender per endpoint include diverse funzionalità di riduzione della superficie di attacco. Per altre informazioni, usare le risorse seguenti:
| Articolo | Descrizione |
|---|---|
| Isolamento basato su hardware | Proteggere e mantenere l'integrità di un sistema all'avvio e durante l'esecuzione. Convalidare l'integrità del sistema tramite attestazione locale e remota. Usare l'isolamento del contenitore per Microsoft Edge per proteggere i siti Web dannosi. |
| Controllo delle applicazioni | Usare il controllo dell'applicazione in modo che le applicazioni debbano ottenere attendibilità per l'esecuzione. |
| Accesso controllato alle cartelle | Impedisci ad app dannose o sospette (incluso il malware ransomware per la crittografia dei file) di apportare modifiche ai file nelle cartelle di sistema chiave (richiede Antivirus Microsoft Defender). |
| Protezione di rete | Estendere la protezione al traffico di rete e alla connettività nei dispositivi dell'organizzazione. (Richiede Antivirus Microsoft Defender). |
| Protezione dagli exploit | Proteggere i sistemi operativi e le app usate dall'organizzazione dallo sfruttamento. La protezione dagli exploit funziona anche con soluzioni antivirus di terze parti. |
| Controllo dispositivo | Protegge dalla perdita di dati monitorando e controllando i supporti usati nei dispositivi, ad esempio archiviazione rimovibile e unità USB, nell'organizzazione. |
| Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR) | Presenta informazioni generali e prerequisiti per la distribuzione delle regole di riduzione della superficie di attacco. |
| Guida alla distribuzione delle regole del piano di riduzione della superficie di attacco (ASR) | Elenca i passaggi consigliati per la distribuzione delle regole di riduzione della superficie di attacco. |
| Testare le regole per la riduzione della superficie di attacco (ARS) | Fornisce i passaggi per usare la modalità di controllo per testare le regole di riduzione della superficie di attacco. |
| Abilitare le regole per la riduzione della superficie di attacco (ARS) | Mostra i passaggi per eseguire la transizione delle regole di riduzione della superficie di attacco dalla modalità di test (controllo) alla modalità attiva, abilitata (blocco). |
| Distribuire le regole per la riduzione della superficie di attacco (ARS) | Fornisce informazioni sulle attività quotidiane di revisione e manutenzione. |
| Riferimento alle regole per la riduzione della superficie di attacco (ARS) | Fornisce informazioni dettagliate su ogni regola di riduzione della superficie di attacco. |
| Regole per la riduzione della superficie di attacco | Ridurre le vulnerabilità (superfici di attacco) nelle applicazioni con regole intelligenti che consentono di arrestare i malware. (Richiede Antivirus Microsoft Defender). |