Condividi tramite


Informazioni di riferimento sulle regole di riduzione della superficie di attacco

Si applica a:

Piattaforme:

  • Windows

Questo articolo fornisce informazioni sulle regole di riduzione della superficie di attacco Microsoft Defender per endpoint:

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Consiglio

Come complemento di questo articolo, vedere la guida alla configurazione Microsoft Defender per endpoint per esaminare le procedure consigliate e informazioni sugli strumenti essenziali, ad esempio la riduzione della superficie di attacco e la protezione di nuova generazione. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Defender per endpoint nel interfaccia di amministrazione di Microsoft 365.

Regole di riduzione della superficie di attacco per tipo

Le regole di riduzione della superficie di attacco sono classificate come uno dei due tipi seguenti:

  • Standard regole di protezione: è il set minimo di regole che Microsoft consiglia di abilitare sempre, mentre si valutano l'effetto e le esigenze di configurazione delle altre regole asr. Queste regole hanno in genere un impatto minimo o nessun impatto evidente sull'utente finale.

  • Altre regole: regole che richiedono una certa misura di seguire i passaggi di distribuzione documentati [Plan > Test (audit) > Enable (block/warn modes)], come documentato nella guida alla distribuzione delle regole di riduzione della superficie di attacco

Per il metodo più semplice per abilitare le regole di protezione standard, vedere: Opzione di protezione standard semplificata.

Nome regola ASR: Standard regola di protezione? Un'altra regola?
Bloccare l'abuso di driver firmati vulnerabili sfruttati
Impedire ad Adobe Reader di creare processi figlio
Impedire a tutte le applicazioni di Office di creare processi figlio
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile
Blocca l'esecuzione di script potenzialmente offuscati
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
Impedire alle applicazioni di Office di creare contenuto eseguibile
Impedire alle applicazioni di Office di inserire codice in altri processi
Impedire all'applicazione di comunicazione di Office di creare processi figlio
Bloccare la persistenza tramite la sottoscrizione di eventi WMI
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI
Blocca il riavvio del computer in modalità provvisoria (anteprima)
Bloccare i processi non attendibili e non firmati eseguiti da USB
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima)
Bloccare la creazione di WebShell per i server
Bloccare le chiamate API Win32 dalle macro di Office
Usare la protezione avanzata contro il ransomware

Microsoft Defender esclusioni antivirus e regole asr

Microsoft Defender le esclusioni antivirus si applicano ad alcune funzionalità di Microsoft Defender per endpoint, ad esempio alcune delle regole di riduzione della superficie di attacco.

Le regole asr seguenti NON rispettano Microsoft Defender esclusioni antivirus:

Nome regole ASR:
Impedire ad Adobe Reader di creare processi figlio
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
Impedire alle applicazioni di Office di creare contenuto eseguibile
Impedire alle applicazioni di Office di inserire codice in altri processi
Impedire all'applicazione di comunicazione di Office di creare processi figlio

Nota

Per informazioni sulla configurazione delle esclusioni per regola, vedere la sezione Configure ASR rules per-rule exclusions nell'argomento Testare le regole di riduzione della superficie di attacco.

Regole ASR e Defender per gli indicatori di compromissione (IOC)

Le regole ASR seguenti NON rispettano Microsoft Defender per endpoint Indicatori di compromissione (IOC):

Nome regola ASR Descrizione
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) Non rispetta gli indicatori di compromissione per file o certificati.
Impedire alle applicazioni di Office di inserire codice in altri processi Non rispetta gli indicatori di compromissione per file o certificati.
Bloccare le chiamate API Win32 dalle macro di Office Non rispetta gli indicatori di compromissione per i certificati.

Le regole asr supportati dai sistemi operativi

Nella tabella seguente sono elencati i sistemi operativi supportati per le regole attualmente rilasciate per la disponibilità generale. Le regole sono elencate in ordine alfabetico in questa tabella.

Nota

Se non diversamente indicato, la build minima di Windows10 è la versione 1709 (RS3, build 16299) o successiva; la build Windows Server minima è la versione 1809 o successiva. Le regole di riduzione della superficie di attacco in Windows Server 2012 R2 e Windows Server 2016 sono disponibili per i dispositivi caricati usando il pacchetto di soluzioni unificato moderno. Per altre informazioni, vedere New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nuove funzionalità di R2 e 2016 nella soluzione unificata moderna).

Nome regola Windows 11
e
Windows 10
Windows Server 2022
e
Windows Server 2019
Server Windows Windows Server 2016 [1, 2] Server Windows
2012 R2 [1, 2]
Bloccare l'abuso di driver firmati vulnerabili sfruttati Y Y Y
versione 1803 (Canale Enterprise semestrale) o versione successiva
Y Y
Impedire ad Adobe Reader di creare processi figlio Y
versione 1809 o successiva [3]
Y Y Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio Y Y Y Y Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) Y
versione 1803 o successiva [3]
Y Y Y Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y Y Y Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Y
versione 1803 o successiva [3]
Y Y Y Y
Blocca l'esecuzione di script potenzialmente offuscati Y Y Y Y Y
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Y Y Y N N
Impedire alle applicazioni di Office di creare contenuto eseguibile Y Y Y Y Y
Impedire alle applicazioni di Office di inserire codice in altri processi Y Y Y Y Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio Y Y Y Y Y
Bloccare la persistenza tramite la sottoscrizione di eventi di Strumentazione gestione Windows (WMI) Y
versione 1903 (build 18362) o successiva [3]
Y Y
versione 1903 (build 18362) o successiva
N N
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Y
versione 1803 o successiva [3]
Y Y Y Y
Blocca il riavvio del computer in modalità provvisoria (anteprima) Y Y Y Y Y
Bloccare i processi non attendibili e non firmati eseguiti da USB Y Y Y Y Y
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima) Y Y Y Y Y
Bloccare la creazione di WebShell per i server N Y
Solo ruolo exchange
Y
Solo ruolo exchange
Y
Solo ruolo exchange
Y
Solo ruolo exchange
Bloccare le chiamate API Win32 dalle macro di Office Y N N N N
Usare la protezione avanzata contro il ransomware Y
versione 1803 o successiva [3]
Y Y Y Y

(1) Si riferisce alla soluzione unificata moderna per Windows Server 2012 e 2016. Per altre informazioni, vedere Onboarding di server Windows nel servizio Defender per endpoint.

(2) Per Windows Server 2016 e Windows Server 2012 R2, la versione minima richiesta di Microsoft Endpoint Configuration Manager è la versione 2111.

(3) La versione e il numero di build si applicano solo a Windows10.

Le regole asr supportato sistemi di gestione della configurazione

I collegamenti alle informazioni sulle versioni del sistema di gestione della configurazione a cui si fa riferimento in questa tabella sono elencati sotto questa tabella.

Nome regola Microsoft Intune Microsoft Endpoint Configuration Manager Criteri di gruppo[1] PowerShell[1]
Bloccare l'abuso di driver firmati vulnerabili sfruttati Y Y Y
Impedire ad Adobe Reader di creare processi figlio Y Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio Y Y

CB 1710
Y Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) Y Y

CB 1802
Y Y
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y Y

CB 1710
Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile Y Y

CB 1802
Y Y
Blocca l'esecuzione di script potenzialmente offuscati Y Y

CB 1710
Y Y
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Y Y

CB 1710
Y Y
Impedire alle applicazioni di Office di creare contenuto eseguibile Y Y

CB 1710
Y Y
Impedire alle applicazioni di Office di inserire codice in altri processi Y Y

CB 1710
Y Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio Y Y

CB 1710
Y Y
Bloccare la persistenza tramite la sottoscrizione di eventi WMI Y Y Y
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI Y Y Y
Blocca il riavvio del computer in modalità provvisoria (anteprima) Y Y Y
Bloccare i processi non attendibili e non firmati eseguiti da USB Y Y

CB 1802
Y Y
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima) Y Y Y
Bloccare la creazione di WebShell per i server Y Y Y
Bloccare le chiamate API Win32 dalle macro di Office Y Y

CB 1710
Y Y
Usare la protezione avanzata contro il ransomware Y Y

CB 1802
Y Y

(1) È possibile configurare le regole di riduzione della superficie di attacco in base alle regole usando il GUID di qualsiasi regola.

Dettagli di avviso e notifica per regola ASR

Le notifiche di tipo avviso popup vengono generate per tutte le regole in modalità blocco. Le regole in qualsiasi altra modalità non generano notifiche di tipo avviso popup.

Per le regole con "Rule State" specificato:

  • Le regole asr con \ASR Rule, Rule State\ combinazioni vengono usate per visualizzare avvisi (notifiche di tipo avviso popup) in Microsoft Defender per endpoint solo per i dispositivi a livello di blocco cloud "High".
  • I dispositivi che non sono a livello di blocco cloud elevato non generano avvisi per le ASR Rule, Rule State combinazioni
  • Gli avvisi EDR vengono generati per le regole asr negli stati specificati, per i dispositivi a livello di blocco cloud "High+"
  • Le notifiche di tipo avviso popup si verificano solo in modalità blocco e per i dispositivi a livello di blocco cloud "Alto"
Nome regola Stato della regola Avvisi EDR Notifiche di tipo avviso popup
Bloccare l'abuso di driver firmati vulnerabili sfruttati N Y
Impedire ad Adobe Reader di creare processi figlio Blocca Y Y
Impedire a tutte le applicazioni di Office di creare processi figlio N Y
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) N N
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail Y Y
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile N Y
Blocca l'esecuzione di script potenzialmente offuscati Controllo o blocco Y (in modalità blocco)
N (in modalità di controllo)
Y (in modalità blocco)
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato Blocca Y Y
Impedire alle applicazioni di Office di creare contenuto eseguibile N Y
Impedire alle applicazioni di Office di inserire codice in altri processi N Y
Impedire all'applicazione di comunicazione di Office di creare processi figlio N Y
Bloccare la persistenza tramite la sottoscrizione di eventi WMI Controllo o blocco Y (in modalità blocco)
N (in modalità di controllo)
Y (in modalità blocco)
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI N Y
Blocca il riavvio del computer in modalità provvisoria (anteprima) N N
Bloccare i processi non attendibili e non firmati eseguiti da USB Controllo o blocco Y (in modalità blocco)
N (in modalità di controllo)
Y (in modalità blocco)
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima) N N
Bloccare la creazione di WebShell per i server N N
Bloccare le chiamate API Win32 dalle macro di Office N Y
Usare la protezione avanzata contro il ransomware Controllo o blocco Y (in modalità blocco)
N (in modalità di controllo)
Y (in modalità blocco)

Regola asr alla matrice GUID

Nome regola GUID regola
Bloccare l'abuso di driver firmati vulnerabili sfruttati 56a863a9-875e-4185-98a7-b882c64b5ce5
Impedire ad Adobe Reader di creare processi figlio 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Impedire a tutte le applicazioni di Office di creare processi figlio d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile 01443614-cd74-433a-b99e-2ecdc07bfc25
Blocca l'esecuzione di script potenzialmente offuscati 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato d3e037e1-3eb8-44c8-a917-57927947596d
Impedire alle applicazioni di Office di creare contenuto eseguibile 3b576869-a4ec-4529-8536-b80a7769e899
Impedire alle applicazioni di Office di inserire codice in altri processi 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Impedire all'applicazione di comunicazione di Office di creare processi figlio 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloccare la persistenza tramite la sottoscrizione di eventi WMI
* Esclusioni di file e cartelle non supportate.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Blocca il riavvio del computer in modalità provvisoria (anteprima) 33ddedf1-c6e0-47cb-833e-de6133960387
Bloccare i processi non attendibili e non firmati eseguiti da USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Bloccare la creazione di WebShell per i server a8f5898e-1dc8-49a9-9878-85004b8a61e6
Bloccare le chiamate API Win32 dalle macro di Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Usare la protezione avanzata contro il ransomware c1db55ab-c21a-4637-bb3f-a12568109d35

Modalità regola ASR

  • Non configurato o disabilitato: stato in cui la regola asr non è abilitata o è disabilitata. Codice per questo stato = 0.
  • Blocca: stato in cui è abilitata la regola asr. Il codice per questo stato è 1.
  • Controllo: stato in cui viene valutata la regola asr per l'effetto che avrebbe sull'organizzazione o sull'ambiente, se abilitata (impostata per bloccare o avvisare). Il codice per questo stato è 2.
  • Avvertire Stato in cui la regola asr è abilitata e presenta una notifica all'utente finale, ma consente all'utente finale di ignorare il blocco. Il codice per questo stato è 6.

La modalità di avviso è un tipo in modalità blocco che avvisa gli utenti di azioni potenzialmente rischiose. Gli utenti possono scegliere di ignorare il messaggio di avviso di blocco e consentire l'azione sottostante. Gli utenti possono selezionare OK per applicare il blocco o selezionare l'opzione bypass - Sblocca - tramite la notifica popup dell'utente finale generata al momento del blocco. Dopo lo sblocco dell'avviso, l'operazione è consentita fino alla successiva ricezione del messaggio di avviso, quando l'utente finale dovrà riperformare l'azione.

Quando si fa clic sul pulsante Consenti, il blocco viene eliminato per 24 ore. Dopo 24 ore, l'utente finale dovrà consentire nuovamente il blocco. La modalità di avviso per le regole asr è supportata solo per i dispositivi RS5+ (1809+). Se il bypass viene assegnato alle regole asr nei dispositivi con versioni precedenti, la regola è in modalità bloccata.

È anche possibile impostare una regola in modalità di avviso tramite PowerShell specificando " AttackSurfaceReductionRules_Actions Warn". Ad esempio:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Descrizioni per regola

Bloccare l'abuso di driver firmati vulnerabili sfruttati

Questa regola impedisce a un'applicazione di scrivere un driver firmato vulnerabile su disco. In-the-wild, i driver firmati vulnerabili possono essere sfruttati dalle applicazioni locali, che dispongono di privilegi sufficienti , per ottenere l'accesso al kernel. I driver firmati vulnerabili consentono agli utenti malintenzionati di disabilitare o aggirare le soluzioni di sicurezza, con conseguente compromissione del sistema.

La regola Blocca l'uso improprio dei driver firmati vulnerabili sfruttati non impedisce il caricamento di un driver già esistente nel sistema.

Nota

È possibile configurare questa regola usando Intune URI OMA. Vedere Intune URI OMA per la configurazione di regole personalizzate. È anche possibile configurare questa regola usando PowerShell. Per fare in modo che un driver venga esaminato, usare questo sito Web per inviare un driver per l'analisi.

Intune Nome:Block abuse of exploited vulnerable signed drivers

Configuration Manager nome: non ancora disponibile

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Tipo di azione di ricerca avanzata:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Impedire ad Adobe Reader di creare processi figlio

Questa regola impedisce agli attacchi impedendo ad Adobe Reader di creare processi.

Il malware può scaricare e avviare payload e uscire da Adobe Reader tramite social engineering o exploit. Bloccando la generazione di processi figlio da parte di Adobe Reader, il malware che tenta di usare Adobe Reader come vettore di attacco non viene diffuso.

Intune nome:Process creation from Adobe Reader (beta)

Configuration Manager nome: non ancora disponibile

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Tipo di azione di ricerca avanzata:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Dipendenze: Microsoft Defender Antivirus

Impedire a tutte le applicazioni di Office di creare processi figlio

Questa regola impedisce alle app di Office di creare processi figlio. Le app di Office includono Word, Excel, PowerPoint, OneNote e Access.

La creazione di processi figlio dannosi è una strategia malware comune. Il malware che abusa di Office come vettore spesso esegue macro VBA e codice di exploit per scaricare e tentare di eseguire più payload. Tuttavia, alcune applicazioni line-of-business legittime potrebbero anche generare processi figlio per scopi non dannosi; ad esempio la generazione di un prompt dei comandi o l'uso di PowerShell per configurare le impostazioni del Registro di sistema.

Intune nome:Office apps launching child processes

Configuration Manager nome:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Tipo di azione di ricerca avanzata:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Dipendenze: Microsoft Defender Antivirus

Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows

Nota

Se la protezione LSA è abilitata e Credential Guard è abilitato, questa regola di riduzione della superficie di attacco non è necessaria.

Questa regola consente di evitare il furto di credenziali bloccando il servizio LSASS (Local Security Authority Subsystem Service).

LSASS autentica gli utenti che accedono in un computer Windows. Microsoft Defender Credential Guard in Windows impedisce in genere i tentativi di estrarre le credenziali da LSASS. Alcune organizzazioni non possono abilitare Credential Guard in tutti i computer a causa di problemi di compatibilità con driver di smart card personalizzati o altri programmi caricati nell'autorità di sicurezza locale (LSA). In questi casi, gli utenti malintenzionati possono usare strumenti come Mimikatz per raschiare le password non crittografati e gli hash NTLM da LSASS.

Per impostazione predefinita, lo stato di questa regola è impostato su block. Nella maggior parte dei casi, molti processi effettuano chiamate a LSASS per i diritti di accesso che non sono necessari. Ad esempio, ad esempio, quando il blocco iniziale dalla regola ASR genera una chiamata successiva per un privilegio minore che successivamente ha esito positivo. Per informazioni sui tipi di diritti in genere richiesti nelle chiamate di elaborazione a LSASS, vedere: Diritti di accesso e sicurezza dei processi.

L'abilitazione di questa regola non offre protezione aggiuntiva se la protezione LSA è abilitata perché la regola ASR e la protezione LSA funzionano in modo analogo. Tuttavia, quando non è possibile abilitare la protezione LSA, questa regola può essere configurata per fornire una protezione equivalente da malware destinato lsass.exea .

Consiglio

  1. Gli eventi di controllo asr non generano notifiche di tipo avviso popup. Tuttavia, poiché la regola LSASS ASR produce un volume elevato di eventi di controllo, quasi tutti da ignorare quando la regola è abilitata in modalità blocco, è possibile scegliere di ignorare la valutazione della modalità di controllo e procedere alla distribuzione in modalità blocco, a partire da un piccolo set di dispositivi e espandendosi gradualmente per coprire il resto.
  2. La regola è progettata per eliminare i report di blocco o gli avvisi popup per i processi descrittivi. È anche progettato per eliminare i report per i blocchi duplicati. Di conseguenza, la regola è adatta per essere abilitata in modalità blocco, indipendentemente dal fatto che le notifiche di tipo avviso popup siano abilitate o disabilitate. 
  3. Asr in modalità di avviso è progettato per presentare agli utenti una notifica di tipo avviso popup di blocco che include un pulsante "Sblocca". A causa della natura "sicura da ignorare" dei blocchi LSASS ASR e del loro volume elevato, la modalità WARN non è consigliabile per questa regola (indipendentemente dal fatto che le notifiche di tipo avviso popup siano abilitate o disabilitate).

Nota

In questo scenario, la regola asr è classificata come "non applicabile" nelle impostazioni di Defender per endpoint nel portale di Microsoft Defender. La regola ASR blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows non supporta la modalità WARN. In alcune app il codice enumera tutti i processi in esecuzione e tenta di aprirli con autorizzazioni complete. Questa regola nega l'azione di apertura del processo dell'app e registra i dettagli nel registro eventi di sicurezza. Questa regola può generare molto rumore. Se si dispone di un'app che enumera semplicemente LSASS, ma non ha alcun impatto reale sulle funzionalità, non è necessario aggiungerla all'elenco di esclusione. Di per sé, questa voce del registro eventi non indica necessariamente una minaccia dannosa.

Intune nome:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Tipo di azione di ricerca avanzata:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Dipendenze: Microsoft Defender Antivirus

Problemi noti: queste applicazioni e la regola "Blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows" non sono compatibili:

Nome applicazione Per informazioni
Sincronizzazione password di Quest Dirsync Dirsync Password Sync non funziona quando Windows Defender è installato, errore: "VirtualAllocEx failed: 5" (4253914)

Per il supporto tecnico, contattare il fornitore del software.

Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail

Questa regola impedisce alla posta elettronica aperta all'interno dell'applicazione Microsoft Outlook o Outlook.com e altri provider di posta Web più diffusi di propagare i tipi di file seguenti:

  • File eseguibili (ad esempio .exe, .dll o .scr)
  • File script (ad esempio un .ps1 di PowerShell, Visual Basic .vbs o un file di .js JavaScript)

Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager nome:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Tipo di azione di ricerca avanzata:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Dipendenze: Microsoft Defender Antivirus

Nota

La regola Blocca il contenuto eseguibile dal client di posta elettronica e dalla webmail include le descrizioni alternative seguenti, a seconda dell'applicazione usata:

  • Intune (profili di configurazione): esecuzione del contenuto eseguibile (exe, dll, ps, js, vbs e così via) eliminato dalla posta elettronica (client webmail/mail) (nessuna eccezione).
  • Configuration Manager: blocca il download di contenuto eseguibile dai client di posta elettronica e webmail.
  • Criteri di gruppo: bloccare il contenuto eseguibile dal client di posta elettronica e dalla posta web.

Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile

Questa regola impedisce l'avvio dei file eseguibili, ad esempio .exe, .dll o scr. Pertanto, l'avvio di file eseguibili non attendibili o sconosciuti può essere rischioso, in quanto potrebbe non essere inizialmente chiaro se i file sono dannosi.

Importante

Per usare questa regola, è necessario abilitare la protezione fornita dal cloud . La regola Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 è di proprietà di Microsoft e non è specificato dagli amministratori. Questa regola usa la protezione fornita dal cloud per aggiornare regolarmente l'elenco attendibile. È possibile specificare singoli file o cartelle (usando percorsi di cartelle o nomi di risorse completi), ma non è possibile specificare a quali regole o esclusioni si applicano.

Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Tipo di azione di ricerca avanzata:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Dipendenze: Microsoft Defender Antivirus, Cloud Protection

Blocca l'esecuzione di script potenzialmente offuscati

Questa regola rileva le proprietà sospette all'interno di uno script offuscato.

Nota

Gli script di PowerShell sono ora supportati per la regola "Blocca l'esecuzione di script potenzialmente offuscati".

Importante

Per usare questa regola, è necessario abilitare la protezione fornita dal cloud.

L'offuscamento degli script è una tecnica comune usata sia da autori di malware che da applicazioni legittime per nascondere la proprietà intellettuale o ridurre i tempi di caricamento degli script. Gli autori di malware usano anche l'offuscamento per rendere il codice dannoso più difficile da leggere, il che ostacola lo stretto controllo da parte degli esseri umani e del software di sicurezza.

Intune nome:Obfuscated js/vbs/ps/macro code

Configuration Manager nome:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Tipo di azione di ricerca avanzata:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Dipendenze: Microsoft Defender Antivirus, AntiMalware Scan Interface (AMSI)

Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato

Questa regola impedisce agli script di avviare contenuto scaricato potenzialmente dannoso. Il malware scritto in JavaScript o VBScript spesso funge da downloader per recuperare e avviare altri malware da Internet. Sebbene non siano comuni, le applicazioni line-of-business usano talvolta script per scaricare e avviare programmi di installazione.

Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Tipo di azione di ricerca avanzata:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Dipendenze: Microsoft Defender Antivirus, AMSI

Impedire alle applicazioni di Office di creare contenuto eseguibile

Questa regola impedisce alle app di Office, tra cui Word, Excel e PowerPoint, di creare contenuto eseguibile potenzialmente dannoso, bloccando la scrittura di codice dannoso su disco. Il malware che abusa di Office come vettore potrebbe tentare di uscire da Office e salvare i componenti dannosi su disco. Questi componenti dannosi sopravviverebbero a un riavvio del computer e sarebbero persistenti nel sistema. Pertanto, questa regola si difende da una tecnica di persistenza comune. Questa regola blocca anche l'esecuzione di file non attendibili che potrebbero essere stati salvati da macro di Office che possono essere eseguite nei file di Office.

Intune nome:Office apps/macros creating executable content

Configuration Manager nome:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Tipo di azione di ricerca avanzata:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Dipendenze: Microsoft Defender Antivirus, RPC

Impedire alle applicazioni di Office di inserire codice in altri processi

Questa regola blocca i tentativi di inserimento di codice dalle app di Office in altri processi.

Nota

La regola blocca l'inserimento di codice in altri processi della regola ASR non supporta la modalità WARN.

Importante

Questa regola richiede il riavvio Microsoft 365 Apps (applicazioni di Office) per rendere effettive le modifiche di configurazione.

Gli utenti malintenzionati potrebbero tentare di usare le app di Office per eseguire la migrazione di codice dannoso in altri processi tramite l'inserimento di codice, in modo che il codice possa essere mascherato come processo pulito. Non esistono scopi aziendali legittimi noti per l'uso dell'inserimento di codice.

Questa regola si applica a Word, Excel, OneNote e PowerPoint.

Intune nome:Office apps injecting code into other processes (no exceptions)

Configuration Manager nome:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Tipo di azione di ricerca avanzata:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Dipendenze: Microsoft Defender Antivirus

Problemi noti: queste applicazioni e la regola "Blocca l'inserimento di codice in altri processi" delle applicazioni di Office non sono compatibili:

Nome applicazione Per informazioni
Avecto (BeyondTrust) Privilege Guard Settembre-2024 (piattaforma: 4.18.24090.11 | Motore 1.1.24090.11).
Sicurezza Heimdal n/d

Per il supporto tecnico, contattare il fornitore del software.

Impedire all'applicazione di comunicazione di Office di creare processi figlio

Questa regola impedisce a Outlook di creare processi figlio, pur consentendo funzioni di Outlook legittime. Questa regola protegge dagli attacchi di ingegneria sociale e impedisce allo sfruttamento del codice di abusare delle vulnerabilità in Outlook. Protegge anche dalle regole di Outlook e dagli exploit dei moduli che gli utenti malintenzionati possono usare quando le credenziali di un utente vengono compromesse.

Nota

Questa regola blocca i suggerimenti per i criteri DLP e le descrizioni comandi in Outlook. Questa regola si applica solo a Outlook e Outlook.com.

Intune nome:Process creation from Office communication products (beta)

Configuration Manager nome: Non disponibile

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Tipo di azione di ricerca avanzata:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Dipendenze: Microsoft Defender Antivirus

Bloccare la persistenza tramite la sottoscrizione di eventi WMI

Questa regola impedisce al malware di abusare di WMI per ottenere la persistenza in un dispositivo.

Le minacce senza file usano diverse tattiche per rimanere nascoste, per evitare di essere visualizzate nel file system e per ottenere il controllo periodico dell'esecuzione. Alcune minacce possono abusare del repository WMI e del modello di evento per rimanere nascosti.

Nota

Se CcmExec.exe nel dispositivo viene rilevato (agente SCCM), la regola asr viene classificata come "non applicabile" nelle impostazioni di Defender per endpoint nel portale di Microsoft Defender.

Intune nome:Persistence through WMI event subscription

Configuration Manager nome: Non disponibile

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Tipo di azione di ricerca avanzata:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Dipendenze: Microsoft Defender Antivirus, RPC

Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI

Questa regola blocca l'esecuzione dei processi creati tramite PsExec e WMI . Sia PsExec che WMI possono eseguire il codice in remoto. C'è il rischio che il malware abusi delle funzionalità di PsExec e WMI per scopi di comando e controllo o per diffondere un'infezione nella rete di un'organizzazione.

Avviso

Usare questa regola solo se si gestiscono i dispositivi con Intune o un'altra soluzione MDM. Questa regola non è compatibile con la gestione tramite Microsoft Endpoint Configuration Manager perché questa regola blocca i comandi WMI usati dal client Configuration Manager per funzionare correttamente.

Intune nome:Process creation from PSExec and WMI commands

Configuration Manager nome: Non applicabile

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Tipo di azione di ricerca avanzata:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Dipendenze: Microsoft Defender Antivirus

Blocca il riavvio del computer in modalità provvisoria (anteprima)

Questa regola impedisce l'esecuzione dei comandi per riavviare i computer in modalità provvisoria. La modalità provvisoria è una modalità di diagnostica che carica solo i file e i driver essenziali necessari per l'esecuzione di Windows. Tuttavia, in modalità provvisoria, molti prodotti di sicurezza sono disabilitati o funzionano in una capacità limitata, che consente agli utenti malintenzionati di avviare ulteriormente i comandi di manomissione o semplicemente eseguire e crittografare tutti i file nel computer. Questa regola blocca tali attacchi impedendo ai processi di riavviare i computer in modalità provvisoria.

Nota

Questa funzionalità è attualmente in anteprima. Sono in fase di sviluppo aggiornamenti aggiuntivi per migliorare l'efficacia.

Intune Nome:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager nome: non ancora disponibile

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Tipo di azione di ricerca avanzata:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Dipendenze: Microsoft Defender Antivirus

Bloccare i processi non attendibili e non firmati eseguiti da USB

Con questa regola, gli amministratori possono impedire l'esecuzione di file eseguibili non firmati o non attendibili da unità rimovibili USB, incluse le schede SD. I tipi di file bloccati includono file eseguibili (ad esempio .exe, .dll o .scr)

Importante

I file copiati dall'USB nell'unità disco verranno bloccati da questa regola se e quando sta per essere eseguito nell'unità disco.

Intune nome:Untrusted and unsigned processes that run from USB

Configuration Manager nome:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Tipo di azione di ricerca avanzata:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Dipendenze: Microsoft Defender Antivirus

Blocca l'uso di strumenti di sistema copiati o rappresentati (anteprima)

Questa regola blocca l'uso di file eseguibili identificati come copie degli strumenti di sistema di Windows. Questi file sono duplicati o impostori degli strumenti di sistema originali. Alcuni programmi dannosi possono provare a copiare o rappresentare gli strumenti di sistema di Windows per evitare il rilevamento o ottenere privilegi. Consentire tali file eseguibili può causare potenziali attacchi. Questa regola impedisce la propagazione e l'esecuzione di tali duplicati e impostori degli strumenti di sistema nei computer Windows.

Nota

Questa funzionalità è attualmente in anteprima. Sono in fase di sviluppo aggiornamenti aggiuntivi per migliorare l'efficacia.

Intune Nome:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager nome: non ancora disponibile

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Tipo di azione di ricerca avanzata:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Dipendenze: Microsoft Defender Antivirus

Bloccare la creazione di WebShell per i server

Questa regola blocca la creazione di script della shell Web in Microsoft Server, ruolo di Exchange. Uno script della shell Web è uno script appositamente creato che consente a un utente malintenzionato di controllare il server compromesso. Una shell Web può includere funzionalità come la ricezione e l'esecuzione di comandi dannosi, il download e l'esecuzione di file dannosi, il furto e l'esfiltrazione di credenziali e informazioni sensibili, l'identificazione di potenziali destinazioni e così via.

Intune nome:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Dipendenze: Microsoft Defender Antivirus

Bloccare le chiamate API Win32 dalle macro di Office

Questa regola impedisce alle macro VBA di chiamare le API Win32. Office VBA abilita le chiamate API Win32. Il malware può abusare di questa funzionalità, ad esempio chiamare API Win32 per avviare codice shell dannoso senza scrivere nulla direttamente sul disco. La maggior parte delle organizzazioni non si basa sulla possibilità di chiamare le API Win32 nel funzionamento quotidiano, anche se usano macro in altri modi.

Intune nome:Win32 imports from Office macro code

Configuration Manager nome:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Tipo di azione di ricerca avanzata:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Dipendenze: Microsoft Defender Antivirus, AMSI

Usare la protezione avanzata contro il ransomware

Questa regola fornisce un ulteriore livello di protezione contro il ransomware. Usa sia l'euristica client che quella cloud per determinare se un file assomiglia a ransomware. Questa regola non blocca i file con una o più delle caratteristiche seguenti:

  • Il file è già stato rilevato come nonharmful nel cloud Microsoft.
  • Il file è un file firmato valido.
  • Il file è abbastanza diffuso da non essere considerato come ransomware.

La regola tende a errare sul lato della cautela per prevenire ransomware.

Nota

Per usare questa regola, è necessario abilitare la protezione fornita dal cloud .

Intune nome:Advanced ransomware protection

Configuration Manager nome:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Tipo di azione di ricerca avanzata:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Dipendenze: Microsoft Defender Antivirus, Cloud Protection

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.