Protezione avanzata dell'applicazione utente Essential Eight
Gli avversari spesso si rivolgono alle workstation usando siti Web dannosi, messaggi di posta elettronica o supporti rimovibili nel tentativo di estrarre informazioni sensibili. La protezione avanzata delle applicazioni nelle workstation è una parte importante della riduzione di questo rischio. Grazie alla sua efficacia, User App Hardening è una delle 8 essenziali delle strategie di ACSC per mitigare gli incidenti di cyber security.
Gli avversari tentano spesso di sfruttare le vulnerabilità presenti nelle versioni precedenti e non supportate delle applicazioni. Le versioni più recenti dei prodotti Microsoft offrono miglioramenti significativi nelle funzionalità e nelle funzionalità di sicurezza e offrono una maggiore stabilità. Spesso è la mancanza di funzionalità di sicurezza migliorate che consentono a un antagonista di compromettere facilmente le versioni precedenti delle applicazioni. Per ridurre questo rischio, è necessario usare la versione più recente supportata dei prodotti Microsoft.
Risorse e riferimenti
Per semplicità di riferimento, Intune richiede la distribuzione dei criteri seguenti per il controllo associato:
-
OfficeMacroHardening-PreventActivationofOLE.ps1
- Questo script di PowerShell viene usato per soddisfare i controlli seguenti:
-
UserApplicationHardening-RemoveFeatures.ps1
- Questo script di PowerShell viene usato per soddisfare i controlli seguenti:
- Internet Explorer è disabilitato o rimosso.
- .NET Framework 3.5 (include .NET 2.0 e 3.0) è disabilitato o rimosso.
- Windows PowerShell 2.0 è disabilitato o rimosso.
- Questo script di PowerShell viene usato per soddisfare i controlli seguenti:
-
Linee guida per la protezione avanzata di Microsoft Edge ACSC
- Questo Intune profilo di configurazione del dispositivo viene usato per soddisfare i controlli seguenti:
- I Web browser non elaborano annunci Web da Internet.
- Vengono implementate linee guida per la protezione avanzata di ACSC o fornitore per i Web browser.
- Questo Intune profilo di configurazione del dispositivo viene usato per soddisfare i controlli seguenti:
-
Linee guida per la protezione avanzata di Windows ACSC - Regole di riduzione della superficie di attacco
- Questo Intune profilo della regola di riduzione della superficie di attacco di Endpoint Security viene usato per soddisfare i controlli seguenti:
- A Microsoft Office è impedito di creare processi figlio.
- A Microsoft Office è impedito di creare contenuto eseguibile.
- A Microsoft Office viene impedito di inserire codice in altri processi.
- Questo Intune profilo della regola di riduzione della superficie di attacco di Endpoint Security viene usato per soddisfare i controlli seguenti:
I Web browser non elaborano Java da Internet
Java non viene installato per impostazione predefinita in Windows 10 o Windows 11.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1486 | Java non viene installato per impostazione predefinita in Windows 10 o Windows 11. |
I Web browser non elaborano annunci Web da Internet
Tutte le opzioni di configurazione disponibili per disabilitare gli annunci pubblicitari in Microsoft Edge vengono configurate durante la distribuzione della baseline di sicurezza di Microsoft Edge e della protezione avanzata ACSC per Microsoft Edge.
È possibile ottenere più blocchi usando estensioni di terze parti per Microsoft Edge, filtri di rete nel gateway o uso di un servizio DNS protetto. Tuttavia, l'implementazione di questi elementi non rientra nell'ambito di questo documento.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1485 | Il criterio 'Impostazioni annunci per i siti con annunci intrusivi' è stato configurato su Abilita. |
Internet Explorer 11 è disabilitato o rimosso
Internet Explorer 11 non è presente in Windows 11.
Il 15 giugno 2022 Microsoft ha ritirato Internet Explorer 11. Per un'organizzazione che richiede ancora Internet Explorer per la compatibilità legacy, la modalità Internet Explorer (modalità Internet Explorer) in Microsoft Edge offre un'esperienza semplice e con un singolo browser. Gli utenti possono accedere alle applicazioni legacy da Microsoft Edge senza dover tornare a Internet Explorer 11.
Dopo che l'amministratore ha configurato la modalità Internet Explorer, le organizzazioni possono disabilitare Internet Explorer 11 come browser autonomo. Le icone di Internet Explorer 11 nel menu Start e nella barra delle applicazioni vengono rimosse. Gli utenti vengono reindirizzati a Microsoft Edge quando tentano di avviare collegamenti o associazioni di file che usano Internet Explorer 11 o quando richiamano direttamente il file binario iexplore.exe.
Per configurare Internet Explorer per l'apertura direttamente all'interno di Microsoft Edge per siti Web specifici, configurare i criteri della modalità Internet Explorer. Per altre informazioni, vedere Configurare i criteri in modalità Internet Explorer.
Dettagli di implementazione per la disabilitazione di Internet Explorer 11
Per usare Intune per disabilitare Internet Explorer 11 come browser autonomo per i dispositivi Windows 10:
- Creare un nuovo criterio catalogo impostazioni.
- Sfoglia per categoria e cerca: Disabilita Internet Explorer 11 come browser autonomo (utente).Browse by category, and search for: Disable Internet Explorer 11 as a standalone browser (User).
- Passare a *Modelli amministrativi\Componenti di Windows\Internet Explorer e selezionare l'impostazione: Disabilitare Internet Explorer 11 come browser autonomo (utente).
- Abilitare l'impostazione Disabilita Internet Explorer 11 come browser autonomo (utente).Enable the setting Disable Internet Explorer 11 as a standalone browser (User).
- Distribuire i criteri in un set di dispositivi o utenti.
Inoltre, per rimuovere completamente Internet Explorer 11:
- Aggiungere il UserApplicationHardening-RemoveFeatures.ps1come script di PowerShell con le opzioni seguenti:
- Eseguire questo script usando le credenziali di accesso: No
- Applicare il controllo della firma dello script: No
- Eseguire script nell'host PowerShell a 64 bit: No
- Assegnare lo script a un gruppo di distribuzione.
Nota
Questo script disabilita anche .NET Framework 3.5 (include .NET 2.0 e 3.0) e Windows PowerShell 2.0.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1666 | Il criterio "Configurare l'elenco siti in modalità Enterprise" è configurato con un elenco di siti Web specifici dell'organizzazione. Internet Explorer 11 è stato rimosso dal criterio "Disabilita Internet Explorer 11 come browser autonomo" configurato come Abilita o rimosso tramite uno script. |
A Microsoft Office è impedito di creare processi figlio
È possibile impedire a Microsoft Office di creare processi figlio tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.
Microsoft ha reso disponibile un'implementazione Intune delle linee guida per la protezione avanzata di Windows ACSC in GitHub. Laregola asr per impedire a Microsoft Office di creare processi figlio è contenuta in questa guida.
Dettagli di implementazione per bloccare la creazione di processi figlio
Per implementare la creazione di blocchi di processi figlio:
- Passare a Graph Explorer e eseguire l'autenticazione.
- Creare una richiesta POST usando lo schema beta per l'endpoint dei criteri di riduzione della superficie di attacco: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
- Copiare il codice JSON nei criteri acsc Windows Hardening Guidelines-Attack Surface Reduction e incollarlo nel corpo della richiesta.
- (Facoltativo) modificare il valore del nome , se necessario.
Questo criterio di sicurezza degli endpoint ASR contiene la regola asr specifica: impedire a tutte le applicazioni di Office di creare processi figlio (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
Nota
Importando questo profilo regola ASR, a Microsoft Office viene impedito di creare contenuto eseguibile (3B576869-A4EC-4529-8536-B80A7769E899) e di inserire codice in un altro processo (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
Nota
Questo criterio di riduzione della superficie di attacco (ASR) configura ognuna delle regole ASR consigliate da ACSC in modalità di controllo. Le regole asr devono essere testate per verificare la compatibilità in qualsiasi ambiente prima dell'imposizione.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1667 | È stata abilitata la regola asr 'Blocca la creazione di processi figlio a tutte le applicazioni di Office'. |
A Microsoft Office è impedito di creare contenuto eseguibile
È possibile impedire a Microsoft Office di creare processi figlio (3B576869-A4EC-4529-8536-B80A7769E899) tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1668 | È stata abilitata la regola asr 'Blocca la creazione di contenuto eseguibile nelle applicazioni office'. |
A Microsoft Office è impedito l'inserimento di codice in altri processi
Il blocco di Microsoft Office dalla creazione di processi figlio (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) può essere eseguito tramite un criterio di sicurezza degli endpoint di riduzione della superficie di attacco (ASR), distribuito tramite Intune.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1669 | È stata abilitata la regola ASR "Blocca l'inserimento di codice in altri processi da parte delle applicazioni di Office". |
Microsoft Office è configurato per impedire l'attivazione di pacchetti OLE
Distribuire lo script di PowerShellOfficeMacroHardening-PreventActivationofOLE.ps1per importare le chiavi del Registro di sistema che bloccano l'attivazione dei pacchetti OLE in Excel, PowerPoint e Word.
Dettagli di implementazione per impedire l'attivazione di pacchetti OLE
Per implementare la prevenzione dell'attivazione dei pacchetti OLE:
- Aggiungere OfficeMacroHardening-PreventActivationofOLE.ps1come script di PowerShell con le opzioni seguenti:
- Eseguire questo script usando le credenziali di accesso: Sì
- Applicare il controllo della firma dello script: No
- Eseguire script nell'host PowerShell a 64 bit: No
- Assegnare lo script a un gruppo di distribuzione.
Nota
Questo script di PowerShell è specifico per Office 2016 e versioni successive. Uno script per impedire l'attivazione di OLE per Office 2013 è disponibile qui: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
Lo script non è firmato. Se è necessaria la firma dello script, esaminare la documentazione seguente per firmare lo script in modo che possa essere eseguito nei dispositivi Windows: Metodi di firma degli script e modificare il controllo Applica firma script su: Sì
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1542 | L'attivazione dei pacchetti OLE è stata impedita tramite uno script. |
Il software PDF non è in esecuzione per la creazione di processi figlio
Microsoft Edge è configurato come visualizzatore PDF predefinito in Windows 10 e Windows 11. La visualizzazione PDF può essere ulteriormente avanzata con i criteri inclusi per ACSC o le linee guida per la protezione avanzata dei fornitori per i Web browser.
In alternativa, se l'organizzazione usa Adobe Reader come software PDF predefinito, configurare la regola di riduzione della superficie di attacco appropriata per impedire ad Adobe Reader di creare processi figlio, seguendo questa procedura:
- In Intune passare aRiduzione della superficie degli attacchi di sicurezza> degli endpoint.
- Creare (o modificare) un nuovo criterio di sicurezza degli endpoint di riduzione della superficie di attacco.
- Impostare Blocca adobe reader dalla creazione di processi figlio su Abilita.
- Assegnare i criteri regola di riduzione della superficie di attacco a un gruppo.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1670 | È stata abilitata la regola ASR "Blocca la creazione di processi figlio in Adobe Reader". |
Linee guida per la protezione avanzata per Web browser, software Microsoft Office e PDF
Web browser e software PDF con Microsoft Edge
Microsoft Edge viene installato per impostazione predefinita in Windows 10 e Windows 11 ed è il Web browser consigliato. Microsoft Edge è sia il browser predefinito che il visualizzatore PDF, a meno che non sia configurato diversamente.
Microsoft e ACSC hanno fornito indicazioni e criteri specifici per rafforzare Microsoft Edge. Entrambi i set di indicazioni devono essere distribuiti contemporaneamente.
Dettagli dell'implementazione tramite la baseline di sicurezza di Microsoft Edge
Per implementare la baseline di sicurezza:
- Passare a Baseline di sicurezza della sicurezza>degli> endpointdi Microsoft Edge.
- Creare una nuova baseline di Microsoft Edge selezionando Crea profilo.
- Esaminare la configurazione e assegnare la baseline di sicurezza a un gruppo.
Dettagli di implementazione per le linee guida per la protezione avanzata di Microsoft Edge
Per implementare le linee guida per la protezione avanzata:
- Salvare i criteri ACSC Microsoft Edge Hardening Guidelines nel dispositivo locale.
- Passare alla console Microsoft Intune.
- Importare un criterio, in Dispositivi > Profili > di configurazione di Windows > Creare > criteri di importazione
- Assegnare un nome al criterio, selezionare Cerca file in File di criteri e passare al criterio salvato dal passaggio 1.
- Seleziona Salva.
Nota
Microsoft ha anche rilasciato Intune criteri che sono stati messi insieme per aiutare le organizzazioni a rispettare le linee guida australiane per la protezione avanzata del cyber security center (ACSC Windows 10). Anche i criteri di protezione avanzata consigliati da ACSC per Microsoft Edge sono contenuti in questi criteri.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1412, 1860 | - Distribuire la baseline di sicurezza di Microsoft Edge - Distribuire le linee guida per la protezione avanzata di Microsoft Edge ACSC. |
Microsoft Office: Microsoft Apps per le aziende
Microsoft Apps per le aziende con protezione avanzata con le impostazioni consigliate per la protezione avanzata di Microsoft 365, Office 2021, Office 2019 e Office 2016 da ACSC, come parte del pilastro Essential 8 Configure Microsoft Office macro settings (Configurare le impostazioni macro di Microsoft Office).
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1859 | Distribuire le linee guida per la protezione avanzata di AcSC Office. |
Le impostazioni di sicurezza del web browser, di Microsoft Office e del software PDF non possono essere modificate dagli utenti
Quando i criteri forniti in questo documento vengono distribuiti tramite Intune, le impostazioni contenute nei criteri vengono applicate e non possono essere modificate dagli utenti standard.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1585 | Quando i criteri forniti in questo documento vengono distribuiti tramite Intune, le impostazioni contenute nei criteri vengono applicate e non possono essere modificate dagli utenti standard. |
.NET Framework 3.5 (include .NET 2.0 e 3.0) è disabilitato o rimosso
La distribuzione del UserApplicationHardening-RemoveFeatures.ps1 script di PowerShell disattiva la funzionalità .NET Framework 3.5 (include .NET 2.0 e 3.0), se installata.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| ISM-1655 | .NET Framework 3.5 (include .NET 2.0 e 3.0) è disabilitato o rimosso. |
Windows PowerShell 2.0 è disabilitato o rimosso
La distribuzione dello script di PowerShellUserApplicationHardening-RemoveFeatures.ps1 disattiva la funzionalità Windows PowerShell 2.0, se installata.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1612 | Windows PowerShell 2.0 viene disabilitato o rimosso usando lo script fornito. |
PowerShell è configurato per l'uso della modalità linguaggio vincolato
La modalità linguaggio vincolato è abilitata come parte del documento di strategia di mitigazione del controllo delle applicazioni Essential Eight.
Le esecuzioni degli script di PowerShell bloccate vengono registrate e protette centralmente da modifiche ed eliminazioni non autorizzate, monitorate per individuare i segni di compromissione e attivate quando vengono rilevati eventi di cyber security
Microsoft Defender per endpoint (MDE) può essere usato per ottenere e conservare i log dagli endpoint che possono essere usati per il rilevamento di eventi di cyber security.
L'esecuzione dello script può essere verificata in modo nativo in Microsoft Defender per endpoint Ricerca avanzata. Microsoft Defender per endpoint funzionalità Ricerca avanzata registra più eventi di Controllo applicazione, incluso l'ID evento 8029, che segnala gli script bloccati o gli script applicati per l'esecuzione in modalità linguaggio vincolato.
In alternativa, è possibile usare l'inoltro di eventi WDAC per monitorarli in una soluzione di monitoraggio di terze parti.
Referenze:
Informazioni sugli ID evento del controllo delle applicazioni (Windows) - Sicurezza di | WindowsEseguire query sugli eventi di controllo dell'applicazione con Ricerca avanzata (Windows) - Sicurezza di Windows
Intune può essere usato per eseguire facilmente l'onboarding dei dispositivi in MDE.
Gli eventi di creazione del processo della riga di comando vengono registrati centralmente
Come per le esecuzioni di script di PowerShell bloccate, gli eventi di creazione del processo della riga di comando che sono precursori di indicazioni di compromissione vengono raccolti quando un dispositivo viene registrato in Defender per endpoint. Gli eventi possono essere visualizzati nel portale di Defender per endpoint nella pagina del dispositivo in Sequenza temporale.
Dettagli di implementazione per l'onboarding degli endpoint in Microsoft Defender per endpoint
Per implementare gli endpoint di onboarding in MDE:
- Creare un nuovo profilo di configurazione di Windows con un tipo di modello>Microsoft Defender per endpoint (dispositivi desktop in esecuzione Windows 10 o versioni successive).
- Impostare Velocizzare la frequenza dei report di telemetria su Abilita.
- Assegnare i criteri a un gruppo di distribuzione.
Dopo aver eseguito l'onboarding dei dispositivi in MDE, le esecuzioni di PowerShell vengono acquisite per la revisione e, se necessario, è possibile intervenire. Per altre informazioni, vedere Eseguire azioni di risposta in un dispositivo in Microsoft Defender per endpoint.
| Controllo ISM di dicembre 2024 | Mitigazione |
|---|---|
| 1664, 1665, 1405 | Gli ID evento di Controllo applicazioni vengono acquisiti da Defender per endpoint quando i dispositivi vengono registrati in Defender per endpoint. |
| 1899 | Gli eventi di creazione del processo della riga di comando che sono precursori di indicazioni di compromissione vengono acquisiti da Defender per endpoint quando i dispositivi vengono registrati in Defender per endpoint. |