Creare e distribuire criteri di Exploit Guard
Si applica a: Configuration Manager (Current Branch)
È possibile configurare e distribuire criteri di Configuration Manager che gestiscono tutti e quattro i componenti di Windows Defender Exploit Guard. Questi componenti includono:
- Riduzione della superficie di attacco
- Accesso alle cartelle controllato
- Protezione dagli exploit
- Protezione della rete
I dati di conformità per la distribuzione dei criteri di Exploit Guard sono disponibili dalla console di Configuration Manager.
Nota
Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita. È necessario abilitare questa funzionalità prima di usarla. Per altre informazioni, vedere Abilitare le funzionalità facoltative dagli aggiornamenti.
Prerequisiti
I dispositivi gestiti devono essere eseguiti Windows 10 1709 o versioni successive. La build minima di Windows Server è la versione 1809 o successiva fino solo a Server 2019. Devono essere soddisfatti anche i requisiti seguenti, a seconda dei componenti e delle regole configurati:
| Componente di Exploit Guard | Prerequisiti aggiuntivi |
|---|---|
| Riduzione della superficie di attacco | I dispositivi devono avere Microsoft Defender per endpoint protezione always-on abilitata. |
| Accesso alle cartelle controllato | I dispositivi devono avere Microsoft Defender per endpoint protezione always-on abilitata. |
| Protezione dagli exploit | Nessuno |
| Protezione della rete | I dispositivi devono avere Microsoft Defender per endpoint protezione always-on abilitata. |
Creare criteri di Exploit Guard
Nella console Configuration Manager passare ad Asset e conformità>Endpoint Protection e quindi fare clic su Windows Defender Exploit Guard.
Nel gruppo Crea della scheda Home fare clic su Crea criterio exploit.
Nella pagina Generale della Creazione guidata elemento di configurazione specificare un nome e una descrizione facoltativa per l'elemento di configurazione.
Selezionare quindi i componenti di Exploit Guard da gestire con questo criterio. Per ogni componente selezionato, è quindi possibile configurare altri dettagli.
- Riduzione della superficie di attacco: Configurare la minaccia di Office, le minacce di scripting e le minacce di posta elettronica che si desidera bloccare o controllare. È anche possibile escludere da questa regola file o cartelle specifici.
- Accesso controllato alle cartelle: Configurare il blocco o il controllo e quindi aggiungere app che possono ignorare questo criterio. È anche possibile specificare cartelle aggiuntive non protette per impostazione predefinita.
- Protezione dagli exploit: Specificare un file XML contenente le impostazioni per attenuare gli exploit di processi e app di sistema. È possibile esportare queste impostazioni dall'app centro sicurezza Windows Defender in un dispositivo Windows 10 o versione successiva.
- Protezione di rete: Impostare la protezione di rete per bloccare o controllare l'accesso ai domini sospetti.
Completare la procedura guidata per creare i criteri, che è possibile distribuire in un secondo momento nei dispositivi.
Avviso
Il file XML per la protezione dagli exploit deve essere mantenuto sicuro durante il trasferimento tra computer. Il file deve essere eliminato dopo l'importazione o conservato in un percorso sicuro.
Distribuire un criterio di Exploit Guard
Dopo aver creato i criteri di Exploit Guard, usare la procedura guidata Distribuisci criteri di Exploit Guard per distribuirli. A tale scopo, aprire la console Configuration Manager in Asset e conformità>Endpoint Protection, quindi fare clic su Distribuisci criteri di Exploit Guard.
Importante
Dopo aver distribuito un criterio di Exploit Guard, ad esempio Riduzione della superficie di attacco o Accesso controllato alle cartelle, le impostazioni di Exploit Guard non verranno rimosse dai client se si rimuove la distribuzione. Delete not supported viene registrato nella ExploitGuardHandler.log del client se si rimuove la distribuzione di Exploit Guard del client. Lo script di PowerShell seguente può essere eseguito nel contesto SYSTEM per rimuovere queste impostazioni:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender impostazioni dei criteri di Exploit Guard
Criteri e opzioni di riduzione della superficie di attacco
La riduzione della superficie di attacco può ridurre la superficie di attacco delle applicazioni con regole intelligenti che arrestano i vettori usati da Office, script e malware basato sulla posta elettronica. Altre informazioni sulla riduzione della superficie di attacco e sugli ID evento usati.
File e cartelle da escludere dalle regole di riduzione della superficie di attacco : fare clic su Imposta e specificare eventuali file o cartelle da escludere.
Email Minacce:
- Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail.
- Non configurata
- Blocca
- Audit
- Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail.
Minacce di Office:
- Impedire all'applicazione di Office di creare processi figlio.
- Non configurata
- Blocca
- Audit
- Impedire alle applicazioni di Office di creare contenuto eseguibile.
- Non configurata
- Blocca
- Audit
- Impedire alle applicazioni di Office di inserire codice in altri processi.
- Non configurata
- Blocca
- Audit
- Blocca le chiamate API Win32 dalle macro di Office.
- Non configurata
- Blocca
- Audit
- Impedire all'applicazione di Office di creare processi figlio.
Minacce di scripting:
- Impedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato.
- Non configurata
- Blocca
- Audit
- Blocca l'esecuzione di script potenzialmente offuscati.
- Not Configured
- Blocca
- Audit
- Impedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato.
Minacce ransomware: (a partire da Configuration Manager versione 1802)
- Usa la protezione avanzata da ransomware.
- Non configurata
- Blocca
- Audit
- Usa la protezione avanzata da ransomware.
Minacce del sistema operativo: (a partire da Configuration Manager versione 1802)
- Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows.
- Non configurata
- Blocca
- Audit
- Blocca l'esecuzione dei file eseguibili a meno che non soddisfino criteri di prevalenza, età o elenco attendibile.
- Non configurata
- Blocca
- Audit
- Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows.
Minacce ai dispositivi esterni: (a partire da Configuration Manager versione 1802)
- Bloccare i processi non attendibili e non firmati eseguiti da USB.
- Non configurata
- Blocca
- Audit
- Bloccare i processi non attendibili e non firmati eseguiti da USB.
Opzioni e criteri di accesso controllato alle cartelle
Consente di proteggere i file nelle cartelle di sistema chiave dalle modifiche apportate da app dannose e sospette, incluso il malware ransomware per la crittografia dei file. Per altre informazioni, vedere Accesso controllato alle cartelle e ID evento usato.
- Configurare l'accesso controllato alle cartelle:
- Blocca
- Blocca solo i settori del disco (a partire da Configuration Manager versione 1802)
- Consente di abilitare l'accesso controllato alle cartelle solo per i settori di avvio e non consente la protezione di cartelle specifiche o delle cartelle protette predefinite.
- Audit
- Controlla solo i settori del disco (a partire da Configuration Manager versione 1802)
- Consente di abilitare l'accesso controllato alle cartelle solo per i settori di avvio e non consente la protezione di cartelle specifiche o delle cartelle protette predefinite.
- Disabilitato
- Consenti app tramite accesso controllato alle cartelle - Fare clic su Imposta e specificare le app.
- Cartelle protette aggiuntive : fare clic su Imposta e specificare cartelle protette aggiuntive.
Criteri di protezione dagli exploit
Applica tecniche di mitigazione degli exploit ai processi del sistema operativo e alle app usate dall'organizzazione. Queste impostazioni possono essere esportate dall'app centro sicurezza Windows Defender in dispositivi Windows 10 o versioni successive. Per altre informazioni, vedere Protezione dagli exploit.
XML protezione dagli exploit: -Fare clic su Sfoglia e specificare il file XML da importare.
Avviso
Il file XML per la protezione dagli exploit deve essere mantenuto sicuro durante il trasferimento tra computer. Il file deve essere eliminato dopo l'importazione o conservato in un percorso sicuro.
Criteri di protezione della rete
Consente di ridurre al minimo la superficie di attacco sui dispositivi da attacchi basati su Internet. Il servizio limita l'accesso a domini sospetti che potrebbero ospitare truffe di phishing, exploit e contenuti dannosi. Per altre informazioni, vedere Protezione di rete.
- Configurare la protezione di rete:
- Blocca
- Audit
- Disabilitato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per