Informazioni di riferimento sulle regole di riduzione della superficie di attacco
Si applica a:
- Microsoft Microsoft Defender XDR per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Piattaforme:
- Windows
Questo articolo fornisce informazioni sulle regole di riduzione della superficie di attacco Microsoft Defender per endpoint:
- Le regole asr supportati versioni del sistema operativo supportate
- Le regole asr supportato sistemi di gestione della configurazione
- Dettagli di avviso e notifica per regola ASR
- Regola asr alla matrice GUID
- Modalità regola ASR
- Descrizioni per regola
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Consiglio
Come complemento di questo articolo, vedere la guida alla configurazione Microsoft Defender per endpoint per esaminare le procedure consigliate e informazioni sugli strumenti essenziali, ad esempio la riduzione della superficie di attacco e la protezione di nuova generazione. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Defender per endpoint nel interfaccia di amministrazione di Microsoft 365.
Regole di riduzione della superficie di attacco per tipo
Le regole di riduzione della superficie di attacco sono classificate come uno dei due tipi seguenti:
Standard regole di protezione: è il set minimo di regole che Microsoft consiglia di abilitare sempre, mentre si valutano l'effetto e le esigenze di configurazione delle altre regole asr. Queste regole hanno in genere un impatto minimo o nessun impatto evidente sull'utente finale.
Altre regole: regole che richiedono una certa misura di seguire i passaggi di distribuzione documentati [Plan > Test (audit) > Enable (block/warn modes)], come documentato nella guida alla distribuzione delle regole di riduzione della superficie di attacco
Per il metodo più semplice per abilitare le regole di protezione standard, vedere: Opzione di protezione standard semplificata.
Nome regola ASR: | Standard regola di protezione? | Un'altra regola? |
---|---|---|
Bloccare l'abuso di driver firmati vulnerabili sfruttati | Sì | |
Impedire ad Adobe Reader di creare processi figlio | Sì | |
Impedire a tutte le applicazioni di Office di creare processi figlio | Sì | |
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) | Sì | |
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail | Sì | |
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile | Sì | |
Blocca l'esecuzione di script potenzialmente offuscati | Sì | |
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato | Sì | |
Impedire alle applicazioni di Office di creare contenuto eseguibile | Sì | |
Impedire alle applicazioni di Office di inserire codice in altri processi | Sì | |
Impedire all'applicazione di comunicazione di Office di creare processi figlio | Sì | |
Bloccare la persistenza tramite la sottoscrizione di eventi WMI | Sì | |
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI | Sì | |
Blocca il riavvio del computer in modalità provvisoria (anteprima) | Sì | |
Bloccare i processi non attendibili e non firmati eseguiti da USB | Sì | |
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima) | Sì | |
Bloccare la creazione di WebShell per i server | Sì | |
Bloccare le chiamate API Win32 dalle macro di Office | Sì | |
Usare la protezione avanzata contro il ransomware | Sì |
Microsoft Defender esclusioni antivirus e regole asr
Microsoft Defender le esclusioni antivirus si applicano ad alcune funzionalità di Microsoft Defender per endpoint, ad esempio alcune delle regole di riduzione della superficie di attacco.
Le regole asr seguenti NON rispettano Microsoft Defender esclusioni antivirus:
Nota
Per informazioni sulla configurazione delle esclusioni per regola, vedere la sezione Configure ASR rules per-rule exclusions nell'argomento Testare le regole di riduzione della superficie di attacco.
Regole ASR e Defender per gli indicatori di compromissione (IOC)
Le regole ASR seguenti NON rispettano Microsoft Defender per endpoint Indicatori di compromissione (IOC):
Nome regola ASR | Descrizione |
---|---|
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) | Non rispetta gli indicatori di compromissione per file o certificati. |
Impedire alle applicazioni di Office di inserire codice in altri processi | Non rispetta gli indicatori di compromissione per file o certificati. |
Bloccare le chiamate API Win32 dalle macro di Office | Non rispetta gli indicatori di compromissione per i certificati. |
Le regole asr supportati dai sistemi operativi
Nella tabella seguente sono elencati i sistemi operativi supportati per le regole attualmente rilasciate per la disponibilità generale. Le regole sono elencate in ordine alfabetico in questa tabella.
Nota
Se non diversamente indicato, la build minima di Windows10 è la versione 1709 (RS3, build 16299) o successiva; la build Windows Server minima è la versione 1809 o successiva. Le regole di riduzione della superficie di attacco in Windows Server 2012 R2 e Windows Server 2016 sono disponibili per i dispositivi caricati usando il pacchetto di soluzioni unificato moderno. Per altre informazioni, vedere New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nuove funzionalità di R2 e 2016 nella soluzione unificata moderna).
(1) Si riferisce alla soluzione unificata moderna per Windows Server 2012 e 2016. Per altre informazioni, vedere Onboarding di server Windows nel servizio Defender per endpoint.
(2) Per Windows Server 2016 e Windows Server 2012 R2, la versione minima richiesta di Microsoft Endpoint Configuration Manager è la versione 2111.
(3) La versione e il numero di build si applicano solo a Windows10.
Le regole asr supportato sistemi di gestione della configurazione
I collegamenti alle informazioni sulle versioni del sistema di gestione della configurazione a cui si fa riferimento in questa tabella sono elencati sotto questa tabella.
(1) È possibile configurare le regole di riduzione della superficie di attacco in base alle regole usando il GUID di qualsiasi regola.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM è ora Microsoft Configuration Manager.
Dettagli di avviso e notifica per regola ASR
Le notifiche di tipo avviso popup vengono generate per tutte le regole in modalità blocco. Le regole in qualsiasi altra modalità non generano notifiche di tipo avviso popup.
Per le regole con "Rule State" specificato:
- Le regole asr con
\ASR Rule, Rule State\
combinazioni vengono usate per visualizzare avvisi (notifiche di tipo avviso popup) in Microsoft Defender per endpoint solo per i dispositivi a livello di blocco cloud "High". - I dispositivi che non sono a livello di blocco cloud elevato non generano avvisi per le
ASR Rule, Rule State
combinazioni - Gli avvisi EDR vengono generati per le regole asr negli stati specificati, per i dispositivi a livello di blocco cloud "High+"
- Le notifiche di tipo avviso popup si verificano solo in modalità blocco e per i dispositivi a livello di blocco cloud "Alto"
Regola asr alla matrice GUID
Nome regola | GUID regola |
---|---|
Bloccare l'abuso di driver firmati vulnerabili sfruttati | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Impedire ad Adobe Reader di creare processi figlio | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Impedire a tutte le applicazioni di Office di creare processi figlio | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Blocca l'esecuzione di script potenzialmente offuscati | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato | d3e037e1-3eb8-44c8-a917-57927947596d |
Impedire alle applicazioni di Office di creare contenuto eseguibile | 3b576869-a4ec-4529-8536-b80a7769e899 |
Impedire alle applicazioni di Office di inserire codice in altri processi | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Impedire all'applicazione di comunicazione di Office di creare processi figlio | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Bloccare la persistenza tramite la sottoscrizione di eventi WMI * Esclusioni di file e cartelle non supportate. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Blocca il riavvio del computer in modalità provvisoria (anteprima) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Bloccare i processi non attendibili e non firmati eseguiti da USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Bloccare la creazione di WebShell per i server | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Bloccare le chiamate API Win32 dalle macro di Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Usare la protezione avanzata contro il ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Modalità regola ASR
- Non configurato o disabilitato: stato in cui la regola asr non è abilitata o è disabilitata. Codice per questo stato = 0.
- Blocca: stato in cui è abilitata la regola asr. Il codice per questo stato è 1.
- Controllo: stato in cui viene valutata la regola asr per l'effetto che avrebbe sull'organizzazione o sull'ambiente, se abilitata (impostata per bloccare o avvisare). Il codice per questo stato è 2.
- Avvertire Stato in cui la regola asr è abilitata e presenta una notifica all'utente finale, ma consente all'utente finale di ignorare il blocco. Il codice per questo stato è 6.
La modalità di avviso è un tipo in modalità blocco che avvisa gli utenti di azioni potenzialmente rischiose. Gli utenti possono scegliere di ignorare il messaggio di avviso di blocco e consentire l'azione sottostante. Gli utenti possono selezionare OK per applicare il blocco o selezionare l'opzione bypass - Sblocca - tramite la notifica popup dell'utente finale generata al momento del blocco. Dopo lo sblocco dell'avviso, l'operazione è consentita fino alla successiva ricezione del messaggio di avviso, quando l'utente finale dovrà riperformare l'azione.
Quando si fa clic sul pulsante Consenti, il blocco viene eliminato per 24 ore. Dopo 24 ore, l'utente finale dovrà consentire nuovamente il blocco. La modalità di avviso per le regole asr è supportata solo per i dispositivi RS5+ (1809+). Se il bypass viene assegnato alle regole asr nei dispositivi con versioni precedenti, la regola è in modalità bloccata.
È anche possibile impostare una regola in modalità di avviso tramite PowerShell specificando " AttackSurfaceReductionRules_Actions
Warn". Ad esempio:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Descrizioni per regola
Bloccare l'abuso di driver firmati vulnerabili sfruttati
Questa regola impedisce a un'applicazione di scrivere un driver firmato vulnerabile su disco. In-the-wild, i driver firmati vulnerabili possono essere sfruttati dalle applicazioni locali, che dispongono di privilegi sufficienti , per ottenere l'accesso al kernel. I driver firmati vulnerabili consentono agli utenti malintenzionati di disabilitare o aggirare le soluzioni di sicurezza, con conseguente compromissione del sistema.
La regola Blocca l'uso improprio dei driver firmati vulnerabili sfruttati non impedisce il caricamento di un driver già esistente nel sistema.
Nota
È possibile configurare questa regola usando Intune URI OMA. Vedere Intune URI OMA per la configurazione di regole personalizzate. È anche possibile configurare questa regola usando PowerShell. Per fare in modo che un driver venga esaminato, usare questo sito Web per inviare un driver per l'analisi.
Intune Nome:Block abuse of exploited vulnerable signed drivers
Configuration Manager nome: non ancora disponibile
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Tipo di azione di ricerca avanzata:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Impedire ad Adobe Reader di creare processi figlio
Questa regola impedisce agli attacchi impedendo ad Adobe Reader di creare processi.
Il malware può scaricare e avviare payload e uscire da Adobe Reader tramite social engineering o exploit. Bloccando la generazione di processi figlio da parte di Adobe Reader, il malware che tenta di usare Adobe Reader come vettore di attacco non viene diffuso.
Intune nome:Process creation from Adobe Reader (beta)
Configuration Manager nome: non ancora disponibile
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Tipo di azione di ricerca avanzata:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Impedire a tutte le applicazioni di Office di creare processi figlio
Questa regola impedisce alle app di Office di creare processi figlio. Le app di Office includono Word, Excel, PowerPoint, OneNote e Access.
La creazione di processi figlio dannosi è una strategia malware comune. Il malware che abusa di Office come vettore spesso esegue macro VBA e codice di exploit per scaricare e tentare di eseguire più payload. Tuttavia, alcune applicazioni line-of-business legittime potrebbero anche generare processi figlio per scopi non dannosi; ad esempio la generazione di un prompt dei comandi o l'uso di PowerShell per configurare le impostazioni del Registro di sistema.
Intune nome:Office apps launching child processes
Configuration Manager nome:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Tipo di azione di ricerca avanzata:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows
Nota
Se la protezione LSA è abilitata e Credential Guard è abilitato, questa regola di riduzione della superficie di attacco non è necessaria.
Questa regola consente di evitare il furto di credenziali bloccando il servizio LSASS (Local Security Authority Subsystem Service).
LSASS autentica gli utenti che accedono in un computer Windows. Microsoft Defender Credential Guard in Windows impedisce in genere i tentativi di estrarre le credenziali da LSASS. Alcune organizzazioni non possono abilitare Credential Guard in tutti i computer a causa di problemi di compatibilità con driver di smart card personalizzati o altri programmi caricati nell'autorità di sicurezza locale (LSA). In questi casi, gli utenti malintenzionati possono usare strumenti come Mimikatz per raschiare le password non crittografati e gli hash NTLM da LSASS.
Per impostazione predefinita, lo stato di questa regola è impostato su block. Nella maggior parte dei casi, molti processi effettuano chiamate a LSASS per i diritti di accesso che non sono necessari. Ad esempio, ad esempio, quando il blocco iniziale dalla regola ASR genera una chiamata successiva per un privilegio minore che successivamente ha esito positivo. Per informazioni sui tipi di diritti in genere richiesti nelle chiamate di elaborazione a LSASS, vedere: Diritti di accesso e sicurezza dei processi.
L'abilitazione di questa regola non offre protezione aggiuntiva se la protezione LSA è abilitata perché la regola ASR e la protezione LSA funzionano in modo analogo. Tuttavia, quando non è possibile abilitare la protezione LSA, questa regola può essere configurata per fornire una protezione equivalente da malware destinato lsass.exe
a .
Consiglio
- Gli eventi di controllo asr non generano notifiche di tipo avviso popup. Tuttavia, poiché la regola LSASS ASR produce un volume elevato di eventi di controllo, quasi tutti da ignorare quando la regola è abilitata in modalità blocco, è possibile scegliere di ignorare la valutazione della modalità di controllo e procedere alla distribuzione in modalità blocco, a partire da un piccolo set di dispositivi e espandendosi gradualmente per coprire il resto.
- La regola è progettata per eliminare i report di blocco o gli avvisi popup per i processi descrittivi. È anche progettato per eliminare i report per i blocchi duplicati. Di conseguenza, la regola è adatta per essere abilitata in modalità blocco, indipendentemente dal fatto che le notifiche di tipo avviso popup siano abilitate o disabilitate.
- Asr in modalità di avviso è progettato per presentare agli utenti una notifica di tipo avviso popup di blocco che include un pulsante "Sblocca". A causa della natura "sicura da ignorare" dei blocchi LSASS ASR e del loro volume elevato, la modalità WARN non è consigliabile per questa regola (indipendentemente dal fatto che le notifiche di tipo avviso popup siano abilitate o disabilitate).
Nota
In questo scenario, la regola asr è classificata come "non applicabile" nelle impostazioni di Defender per endpoint nel portale di Microsoft Defender. La regola ASR blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows non supporta la modalità WARN. In alcune app il codice enumera tutti i processi in esecuzione e tenta di aprirli con autorizzazioni complete. Questa regola nega l'azione di apertura del processo dell'app e registra i dettagli nel registro eventi di sicurezza. Questa regola può generare molto rumore. Se si dispone di un'app che enumera semplicemente LSASS, ma non ha alcun impatto reale sulle funzionalità, non è necessario aggiungerla all'elenco di esclusione. Di per sé, questa voce del registro eventi non indica necessariamente una minaccia dannosa.
Intune nome:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tipo di azione di ricerca avanzata:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Dipendenze: Microsoft Defender Antivirus
Problemi noti: queste applicazioni e la regola "Blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows" non sono compatibili:
Nome applicazione | Per informazioni |
---|---|
Sincronizzazione password di Quest Dirsync | Dirsync Password Sync non funziona quando Windows Defender è installato, errore: "VirtualAllocEx failed: 5" (4253914) |
Per il supporto tecnico, contattare il fornitore del software.
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail
Questa regola impedisce alla posta elettronica aperta all'interno dell'applicazione Microsoft Outlook o Outlook.com e altri provider di posta Web più diffusi di propagare i tipi di file seguenti:
- File eseguibili (ad esempio .exe, .dll o .scr)
- File script (ad esempio un .ps1 di PowerShell, Visual Basic .vbs o un file di .js JavaScript)
Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nome:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Tipo di azione di ricerca avanzata:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Dipendenze: Microsoft Defender Antivirus
Nota
La regola Blocca il contenuto eseguibile dal client di posta elettronica e dalla webmail include le descrizioni alternative seguenti, a seconda dell'applicazione usata:
- Intune (profili di configurazione): esecuzione del contenuto eseguibile (exe, dll, ps, js, vbs e così via) eliminato dalla posta elettronica (client webmail/mail) (nessuna eccezione).
- Configuration Manager: blocca il download di contenuto eseguibile dai client di posta elettronica e webmail.
- Criteri di gruppo: bloccare il contenuto eseguibile dal client di posta elettronica e dalla posta web.
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile
Questa regola impedisce l'avvio dei file eseguibili, ad esempio .exe, .dll o scr. Pertanto, l'avvio di file eseguibili non attendibili o sconosciuti può essere rischioso, in quanto potrebbe non essere inizialmente chiaro se i file sono dannosi.
Importante
Per usare questa regola, è necessario abilitare la protezione fornita dal cloud .
La regola Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
è di proprietà di Microsoft e non è specificato dagli amministratori. Questa regola usa la protezione fornita dal cloud per aggiornare regolarmente l'elenco attendibile.
È possibile specificare singoli file o cartelle (usando percorsi di cartelle o nomi di risorse completi), ma non è possibile specificare a quali regole o esclusioni si applicano.
Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Tipo di azione di ricerca avanzata:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Dipendenze: Microsoft Defender Antivirus, Cloud Protection
Blocca l'esecuzione di script potenzialmente offuscati
Questa regola rileva le proprietà sospette all'interno di uno script offuscato.
Nota
Gli script di PowerShell sono ora supportati per la regola "Blocca l'esecuzione di script potenzialmente offuscati".
Importante
Per usare questa regola, è necessario abilitare la protezione fornita dal cloud.
L'offuscamento degli script è una tecnica comune usata sia da autori di malware che da applicazioni legittime per nascondere la proprietà intellettuale o ridurre i tempi di caricamento degli script. Gli autori di malware usano anche l'offuscamento per rendere il codice dannoso più difficile da leggere, il che ostacola lo stretto controllo da parte degli esseri umani e del software di sicurezza.
Intune nome:Obfuscated js/vbs/ps/macro code
Configuration Manager nome:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Tipo di azione di ricerca avanzata:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Dipendenze: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
Questa regola impedisce agli script di avviare contenuto scaricato potenzialmente dannoso. Il malware scritto in JavaScript o VBScript spesso funge da downloader per recuperare e avviare altri malware da Internet. Sebbene non siano comuni, le applicazioni line-of-business usano talvolta script per scaricare e avviare programmi di installazione.
Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Tipo di azione di ricerca avanzata:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Dipendenze: Microsoft Defender Antivirus, AMSI
Impedire alle applicazioni di Office di creare contenuto eseguibile
Questa regola impedisce alle app di Office, tra cui Word, Excel e PowerPoint, di creare contenuto eseguibile potenzialmente dannoso, bloccando la scrittura di codice dannoso su disco. Il malware che abusa di Office come vettore potrebbe tentare di uscire da Office e salvare i componenti dannosi su disco. Questi componenti dannosi sopravviverebbero a un riavvio del computer e sarebbero persistenti nel sistema. Pertanto, questa regola si difende da una tecnica di persistenza comune. Questa regola blocca anche l'esecuzione di file non attendibili che potrebbero essere stati salvati da macro di Office che possono essere eseguite nei file di Office.
Intune nome:Office apps/macros creating executable content
Configuration Manager nome:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Tipo di azione di ricerca avanzata:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Dipendenze: Microsoft Defender Antivirus, RPC
Impedire alle applicazioni di Office di inserire codice in altri processi
Questa regola blocca i tentativi di inserimento di codice dalle app di Office in altri processi.
Nota
La regola blocca l'inserimento di codice in altri processi della regola ASR non supporta la modalità WARN.
Importante
Questa regola richiede il riavvio Microsoft 365 Apps (applicazioni di Office) per rendere effettive le modifiche di configurazione.
Gli utenti malintenzionati potrebbero tentare di usare le app di Office per eseguire la migrazione di codice dannoso in altri processi tramite l'inserimento di codice, in modo che il codice possa essere mascherato come processo pulito. Non esistono scopi aziendali legittimi noti per l'uso dell'inserimento di codice.
Questa regola si applica a Word, Excel, OneNote e PowerPoint.
Intune nome:Office apps injecting code into other processes (no exceptions)
Configuration Manager nome:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Tipo di azione di ricerca avanzata:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Dipendenze: Microsoft Defender Antivirus
Problemi noti: queste applicazioni e la regola "Blocca l'inserimento di codice in altri processi" delle applicazioni di Office non sono compatibili:
Nome applicazione | Per informazioni |
---|---|
Avecto (BeyondTrust) Privilege Guard | Settembre-2024 (piattaforma: 4.18.24090.11 | Motore 1.1.24090.11). |
Sicurezza Heimdal | n/d |
Per il supporto tecnico, contattare il fornitore del software.
Impedire all'applicazione di comunicazione di Office di creare processi figlio
Questa regola impedisce a Outlook di creare processi figlio, pur consentendo funzioni di Outlook legittime. Questa regola protegge dagli attacchi di ingegneria sociale e impedisce allo sfruttamento del codice di abusare delle vulnerabilità in Outlook. Protegge anche dalle regole di Outlook e dagli exploit dei moduli che gli utenti malintenzionati possono usare quando le credenziali di un utente vengono compromesse.
Nota
Questa regola blocca i suggerimenti per i criteri DLP e le descrizioni comandi in Outlook. Questa regola si applica solo a Outlook e Outlook.com.
Intune nome:Process creation from Office communication products (beta)
Configuration Manager nome: Non disponibile
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Tipo di azione di ricerca avanzata:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Bloccare la persistenza tramite la sottoscrizione di eventi WMI
Questa regola impedisce al malware di abusare di WMI per ottenere la persistenza in un dispositivo.
Le minacce senza file usano diverse tattiche per rimanere nascoste, per evitare di essere visualizzate nel file system e per ottenere il controllo periodico dell'esecuzione. Alcune minacce possono abusare del repository WMI e del modello di evento per rimanere nascosti.
Nota
Se CcmExec.exe
nel dispositivo viene rilevato (agente SCCM), la regola asr viene classificata come "non applicabile" nelle impostazioni di Defender per endpoint nel portale di Microsoft Defender.
Intune nome:Persistence through WMI event subscription
Configuration Manager nome: Non disponibile
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Tipo di azione di ricerca avanzata:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Dipendenze: Microsoft Defender Antivirus, RPC
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI
Questa regola blocca l'esecuzione dei processi creati tramite PsExec e WMI . Sia PsExec che WMI possono eseguire il codice in remoto. C'è il rischio che il malware abusi delle funzionalità di PsExec e WMI per scopi di comando e controllo o per diffondere un'infezione nella rete di un'organizzazione.
Avviso
Usare questa regola solo se si gestiscono i dispositivi con Intune o un'altra soluzione MDM. Questa regola non è compatibile con la gestione tramite Microsoft Endpoint Configuration Manager perché questa regola blocca i comandi WMI usati dal client Configuration Manager per funzionare correttamente.
Intune nome:Process creation from PSExec and WMI commands
Configuration Manager nome: Non applicabile
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Tipo di azione di ricerca avanzata:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Blocca il riavvio del computer in modalità provvisoria (anteprima)
Questa regola impedisce l'esecuzione dei comandi per riavviare i computer in modalità provvisoria. La modalità provvisoria è una modalità di diagnostica che carica solo i file e i driver essenziali necessari per l'esecuzione di Windows. Tuttavia, in modalità provvisoria, molti prodotti di sicurezza sono disabilitati o funzionano in una capacità limitata, che consente agli utenti malintenzionati di avviare ulteriormente i comandi di manomissione o semplicemente eseguire e crittografare tutti i file nel computer. Questa regola blocca tali attacchi impedendo ai processi di riavviare i computer in modalità provvisoria.
Nota
Questa funzionalità è attualmente in anteprima. Sono in fase di sviluppo aggiornamenti aggiuntivi per migliorare l'efficacia.
Intune Nome:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager nome: non ancora disponibile
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Tipo di azione di ricerca avanzata:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Dipendenze: Microsoft Defender Antivirus
Bloccare i processi non attendibili e non firmati eseguiti da USB
Con questa regola, gli amministratori possono impedire l'esecuzione di file eseguibili non firmati o non attendibili da unità rimovibili USB, incluse le schede SD. I tipi di file bloccati includono file eseguibili (ad esempio .exe, .dll o .scr)
Importante
I file copiati dall'USB nell'unità disco verranno bloccati da questa regola se e quando sta per essere eseguito nell'unità disco.
Intune nome:Untrusted and unsigned processes that run from USB
Configuration Manager nome:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Tipo di azione di ricerca avanzata:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Dipendenze: Microsoft Defender Antivirus
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima)
Questa regola blocca l'uso di file eseguibili identificati come copie degli strumenti di sistema di Windows. Questi file sono duplicati o impostori degli strumenti di sistema originali. Alcuni programmi dannosi possono provare a copiare o rappresentare gli strumenti di sistema di Windows per evitare il rilevamento o ottenere privilegi. Consentire tali file eseguibili può causare potenziali attacchi. Questa regola impedisce la propagazione e l'esecuzione di tali duplicati e impostori degli strumenti di sistema nei computer Windows.
Nota
Questa funzionalità è attualmente in anteprima. Sono in fase di sviluppo aggiornamenti aggiuntivi per migliorare l'efficacia.
Intune Nome:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager nome: non ancora disponibile
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Tipo di azione di ricerca avanzata:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Dipendenze: Microsoft Defender Antivirus
Bloccare la creazione di WebShell per i server
Questa regola blocca la creazione di script della shell Web in Microsoft Server, ruolo di Exchange. Uno script della shell Web è uno script appositamente creato che consente a un utente malintenzionato di controllare il server compromesso. Una shell Web può includere funzionalità come la ricezione e l'esecuzione di comandi dannosi, il download e l'esecuzione di file dannosi, il furto e l'esfiltrazione di credenziali e informazioni sensibili, l'identificazione di potenziali destinazioni e così via.
Intune nome:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dipendenze: Microsoft Defender Antivirus
Bloccare le chiamate API Win32 dalle macro di Office
Questa regola impedisce alle macro VBA di chiamare le API Win32. Office VBA abilita le chiamate API Win32. Il malware può abusare di questa funzionalità, ad esempio chiamare API Win32 per avviare codice shell dannoso senza scrivere nulla direttamente sul disco. La maggior parte delle organizzazioni non si basa sulla possibilità di chiamare le API Win32 nel funzionamento quotidiano, anche se usano macro in altri modi.
Intune nome:Win32 imports from Office macro code
Configuration Manager nome:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Tipo di azione di ricerca avanzata:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Dipendenze: Microsoft Defender Antivirus, AMSI
Usare la protezione avanzata contro il ransomware
Questa regola fornisce un ulteriore livello di protezione contro il ransomware. Usa sia l'euristica client che quella cloud per determinare se un file assomiglia a ransomware. Questa regola non blocca i file con una o più delle caratteristiche seguenti:
- Il file è già stato rilevato come nonharmful nel cloud Microsoft.
- Il file è un file firmato valido.
- Il file è abbastanza diffuso da non essere considerato come ransomware.
La regola tende a errare sul lato della cautela per prevenire ransomware.
Nota
Per usare questa regola, è necessario abilitare la protezione fornita dal cloud .
Intune nome:Advanced ransomware protection
Configuration Manager nome:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Tipo di azione di ricerca avanzata:
AsrRansomwareAudited
AsrRansomwareBlocked
Dipendenze: Microsoft Defender Antivirus, Cloud Protection
Vedere anche
- Panoramica della distribuzione delle regole di riduzione della superficie di attacco
- Pianificare la distribuzione delle regole di riduzione della superficie di attacco
- Testare le regole di riduzione della superficie di attacco
- Abilitare regole di riduzione della superficie di attacco
- Rendere operative le regole di riduzione della superficie di attacco
- Report delle regole di riduzione della superficie di attacco
- Informazioni di riferimento sulle regole di riduzione della superficie di attacco
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.