Domande frequenti sulla riduzione della superficie di attacco

Sì. Le regole di riduzione della superficie di attacco sono una funzionalità di Microsoft Defender Antivirus, inclusa in tutte le edizioni correnti di Windows. Tuttavia, la gestione centralizzata e la creazione di report per le regole asr richiedono Microsoft Defender per endpoint. Per altre informazioni, vedere Panoramica delle regole di riduzione della superficie di attacco.

No. Le regole asr sono una funzionalità di Microsoft Defender Antivirus, quindi funzionano in tutte le edizioni correnti di Windows. Tuttavia, la gestione centralizzata e la creazione di report tramite Microsoft Intune o Microsoft Configuration Manager richiedono Microsoft Defender per endpoint e le licenze aziendali corrispondenti.

Per altre informazioni sulle licenze di Windows, vedere https://www.microsoft.com/licensing/product-licensing/windows.

Microsoft Defender per endpoint fornisce la gestione centralizzata e il monitoraggio per le regole asr, tra cui:

• Distribuzione centralizzata e configurazione delle regole asr tra dispositivi.
• Creazione di report delle regole ASR e visibilità degli avvisi nel portale di Microsoft Defender.
• Query di ricerca avanzate per gli eventi delle regole ASR.

Queste funzionalità richiedono una licenza di Defender per endpoint, ad esempio come parte di Microsoft 365 E3 o E5. Per altre informazioni, vedere Metodi di distribuzione e configurazione per le regole asr.

Per altre informazioni, vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco.

È possibile abilitare le regole asr singolarmente. È consigliabile abilitare prima di tutto la maggior parte delle regole in modalità di controllo per determinare il possibile effetto per l'organizzazione, ad esempio per le applicazioni line-of-business.

Le regole asr supportano i tipi di esclusioni seguenti:

• Le esclusioni delle regole asr globali si applicano a tutte le regole asr. Tutti i metodi di configurazione delle regole ASR supportano esclusioni globali.
• Le esclusioni delle regole per asr si applicano a singole regole, quindi è possibile assegnare esclusioni diverse a regole diverse. Solo Criteri di gruppo e i criteri di sicurezza degli endpoint in Microsoft Intune supportano esclusioni per regola.

Non tutte le regole ASR rispettano Microsoft Defender esclusioni antivirus. Per una suddivisione completa del supporto di esclusione per regola, vedere Esclusioni di file e cartelle per le regole asr.

Le diverse regole di riduzione della superficie di attacco hanno flussi di protezione diversi. Si pensi sempre a cosa protegge la regola di riduzione della superficie di attacco e a come funziona il flusso di esecuzione. Ad esempio, la lettura direttamente dal processo del sottosistema dell'autorità di sicurezza locale (LSASS) può costituire un rischio per la sicurezza, perché potrebbe esporre le credenziali aziendali.

La regola blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe) impedisce ai processi non attendibili di avere accesso diretto alla memoria LSASS. Quando un processo con il PROCESS_VM_READ diritto di accesso tenta di usare la OpenProcess() funzione per accedere a LSASS, la regola blocca in modo specifico tale diritto di accesso, come illustrato nello screenshot seguente:

Se è necessario creare un'eccezione per il processo bloccato, usare il nome file e il percorso completo, come illustrato nello screenshot seguente:

Il valore 0 indica che le regole asr ignorano il file o il processo specificato e non lo bloccano o non lo controllano.

Le esclusioni delle regole per asr sono supportate solo nei criteri di sicurezza Criteri di gruppo ed endpoint in Microsoft Intune. Per istruzioni di configurazione, vedere Abilitare le regole di riduzione della superficie di attacco. Per informazioni sui diversi tipi di esclusioni, vedere Esclusioni di file e cartelle per le regole asr.

In genere, è consigliabile abilitare tutte le regole, ma con le considerazioni seguenti:

• In genere, è possibile abilitare le regole di protezione standard seguenti in modalità blocco senza test in modalità di controllo :

  • Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo)
  • Blocca il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di WindowsNota: se è stata abilitata la protezione dell'autorità di sicurezza locale (LSA), che è consigliabile usare insieme a Credential Guard, questa regola è ridondante.
  • Blocca la persistenza tramite la sottoscrizione di eventi WMINota: il client Microsoft Configuration Manager (o versioni precedenti) si basa molto su WMI, quindi è consigliabile eseguire test approfonditi in modalità di controllo prima di attivare questa regola in modalità blocco.

  Per informazioni dettagliate su ognuna di queste regole, vedere Standard regole di protezione.

• Tutte le altre regole richiedono il test in modalità di controllo prima di attivarle in modalità blocco . Per informazioni dettagliate su ognuna di queste regole, vedere Altre regole asr.

Testare le regole di riduzione della superficie di attacco in modalità di controllo per identificare eventuali applicazioni line-of-business che è necessario escludere dalla riduzione della superficie di attacco.

Le organizzazioni di grandi dimensioni devono prendere in considerazione l'implementazione di regole di riduzione della superficie di attacco nell'espansione degli "anelli" in cui si controlla e si abilitano le regole a più dispositivi. È possibile organizzare i dispositivi in anelli usando Microsoft Intune o uno strumento di gestione Criteri di gruppo.

Per istruzioni, vedere Panoramica della distribuzione delle regole di riduzione della superficie di attacco.

Una regola in modalità di controllo per circa 30 giorni deve fornire una linea di base valida per il funzionamento della regola. È possibile identificare qualsiasi applicazione line-of-business che richiede esclusioni.

Nella maggior parte dei casi, è più semplice e meglio iniziare con le raccomandazioni di base suggerite da Defender per endpoint piuttosto che tentare di importare regole da un'altra soluzione di sicurezza. Usare la modalità di controllo , il monitoraggio e l'analisi per configurare Defender per endpoint.

La configurazione predefinita per la maggior parte delle regole di riduzione della superficie di attacco, combinata con la protezione in tempo reale di Defender per endpoint, protegge da un numero elevato di exploit e vulnerabilità.

In Defender per endpoint è possibile aggiornare le difese con indicatori personalizzati per consentire e bloccare un comportamento software specifico. Le regole asr supportano anche le esclusioni di file e cartelle. In genere, testare una regola in modalità di controllo per identificare le esclusioni che potrebbero essere necessarie per le applicazioni line-of-business.

Sì. Per altre informazioni, vedere gli articoli seguenti:

• Esclusioni di file e cartelle per le regole asr
• Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella.

Dipende dalla regola. La maggior parte delle regole riguarda il comportamento di prodotti e servizi di Microsoft Office, ad esempio Word, Excel, PowerPoint, OneNote o Outlook. Alcune regole, ad esempio Blocca l'esecuzione di script potenzialmente offuscati, sono più generali nell'ambito.

No. La riduzione della superficie di attacco usa Microsoft Defender Antivirus per bloccare le app. Non è possibile configurare la riduzione della superficie di attacco per usare un'altra soluzione di sicurezza.

Quando una regola di riduzione della superficie di attacco attiva in locale una notifica, viene inviato anche un report sull'evento al portale di Defender per endpoint. Se si verificano problemi durante la ricerca dell'evento, è possibile filtrare la sequenza temporale degli eventi usando la casella di ricerca.

È anche possibile visualizzare gli eventi di riduzione della superficie di attacco selezionando Vai alla gestione della superficie di attacco da Gestione configurazione nella barra delle applicazioni Microsoft Defender per Cloud. La pagina di gestione della superficie di attacco include una scheda per i rilevamenti dei report, che include un elenco completo degli eventi delle regole di riduzione della superficie di attacco segnalati a Defender per endpoint.

Provare ad aprire le opzioni di indicizzazione direttamente da Windows 10 o versioni successive immettendo opzioni di indicizzazione nella casella di ricerca.

No. Microsoft Cloud Protection mantiene i criteri usando i dati raccolti da tutto il mondo. È possibile personalizzare la regola aggiungendo app all'elenco delle esclusioni per impedire l'attivazione della regola.

Questa regola determina la reputazione di un'app usando la prevalenza, l'età o l'inclusione in un elenco di app attendibili. La valutazione di questi criteri da parte di Microsoft Cloud Protection determina in definitiva la decisione di bloccare o consentire un'app.

In genere, la protezione cloud può determinare che una nuova versione di un'app è sufficientemente simile alle versioni precedenti dell'app, quindi non è necessaria una lunga rivalutazione dell'app. Tuttavia, la nuova versione dell'app potrebbe richiedere tempo per creare una reputazione, in particolare dopo un aggiornamento importante. Nel frattempo, è possibile aggiungere l'app all'elenco delle esclusioni. Se si aggiornano e si usano spesso nuove versioni delle app, è possibile configurare questa regola in modalità di controllo .

Una notifica generata da questa regola non indica necessariamente attività dannose. Ma questa regola è ancora utile per bloccare le attività dannose. Il malware spesso si rivolge lsass.exe per ottenere l'accesso illecito agli account. Il processo lsass.exe archivia le credenziali utente in memoria dopo l'accesso di un utente. Windows usa queste credenziali per convalidare gli utenti e applicare i criteri di sicurezza locali.

Poiché molti processi legittimi chiamano su lsass.exe per le credenziali, questa regola può essere particolarmente rumorosa. Se un'app nota e legittima causa la generazione di un numero eccessivo di notifiche da parte di questa regola, è possibile aggiungerla all'elenco di esclusione. La maggior parte delle altre regole di riduzione della superficie di attacco genera un numero relativamente inferiore di notifiche.

No. Se è stata abilitata la protezione dell'autorità di sicurezza locale (LSA), che è consigliabile usare insieme a Credential Guard:

• Questa regola non è obbligatoria.
• Questa regola non fornisce protezione aggiuntiva (la regola e la protezione LSA funzionano in modo analogo).
• Questa regola è classificata come non applicabile nelle impostazioni di gestione di Defender per endpoint nel portale di Microsoft Defender.

Se non è possibile abilitare la protezione LSA e/o Credential Guard, è possibile configurare questa regola per fornire una protezione equivalente da malware destinato lsass.exea .

• Panoramica delle regole di riduzione della superficie di attacco
• Riferimento alle regole per la riduzione della superficie di attacco (ARS)
• Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)
• Monitorare l'attività delle regole di riduzione della superficie di attacco
• Configurare le regole di riduzione della superficie di attacco