Configurare la Riduzione della Superficie di Attacco in Windows 10

0
307

Riduzione della Superficie di attacco è una nuova funzionalità di protezione di Windows Defender Sfruttare Guardia su Windows 10 che Microsoft ha introdotto in Autunno Creatori di Aggiornamento.

Riduzione della Superficie di attacco può prevenire i più comuni azioni di software dannoso che viene eseguito su Windows 10 per dispositivi che hanno la funzione è abilitata.

La funzionalità è basata sulle regole, e progettati per indirizzare le azioni e il comportamento, che è in genere di malware. Si possono attivare le regole che bloccano l’esecuzione di script offuscati, eseguibile contenuto nel client di posta elettronica, o di un Ufficio di generare i processi figli.

Riduzione della Superficie di attacco è disponibile solo se si attiva la protezione in tempo reale di Windows Defender Antivirus.

Riduzione della Superficie di attacco regole

Le seguenti regole sono disponibili in Windows 10 Cadere Creatori di Aggiornamento:

  1. Esecuzione di un blocco di (potenzialmente) script offuscati (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
    )
  2. Blocco eseguibile contenuto nel client di posta e web mail (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Blocco di applicazioni per l’Ufficio di generare i processi figli (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Bloccare le applicazioni di Office dalla creazione di file eseguibili (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Blocco di applicazioni di Office da iniettare dati in altri processi (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Blocco Win32 importazioni dal codice della Macro in Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Impedire JavaScript e VBScript per lanciare gli eseguibili (D3E037E1-3EB8-44C8-A917-57927947596D)

La Configurazione Di Riduzione Della Superficie Di Attacco

La Riduzione della Superficie di Attacco di protezione può essere configurata in tre modi diversi:

  1. Utilizzando Criteri Di Gruppo.
  2. Utilizzo Di PowerShell.
  3. Utilizzando MDM CSP.

La configurazione di regole con le politiche di

attack surface reduction policy

È necessario avviare l’editor Criteri di Gruppo per iniziare. Nota che l’editor Criteri di Gruppo non è disponibile sulle versioni Home di Windows 10.

Home gli utenti possono controllare la Politica Plus che porta la politica di editing per l’edizione di Windows 10.

  1. Toccare il tasto di Windows, digitare gpedit.msc e premere il tasto Invio per avviare l’editor Criteri di Gruppo in Windows 10.
  2. Passare alla Configurazione Computer > Modelli Amministrativi > componenti di Windows > Windows Defender Antivirus > Windows Defender Sfruttare la Guardia > > Riduzione della Superficie di Attacco
  3. Fare doppio clic sul criterio “Configurare riduzione della superficie di Attacco regole”.
  4. Impostare l’opzione abilitata.
  5. Impostazione per l’attivazione del criterio attiva il pulsante “show”. Fare clic su mostra per caricare la “mostra contenuto della finestra”.

Mostra il contenuto è una tabella che accetta una Riduzione della Superficie di Attacco regola per ogni riga. Nome valore è l’ID che è elencato sotto le regole di cui sopra tra parentesi quadre.

Valore accetta i seguenti input:

  • 0 = disabilitato. La regola non è attivo.
  • 1 = abilitato. La regola è attiva, e la modalità di blocco è attivata.
  • 2 = modalità di controllo. Gli eventi verranno registrati, ma la regola non viene applicata.

Configurazione delle regole di utilizzo di PowerShell

Si può utilizzare PowerShell per configurare le regole.

  1. Toccare il tasto di Windows, tipo di PowerShell, tenere premuto il tasto Shift e il tasto Ctrl, e caricare il PowerShell voce con un click.

Utilizzare il seguente comando per aggiungere una modalità di blocco regola:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Abilitato

Utilizzare il seguente comando per aggiungere una modalità di controllo regola:

Leggi anche: il Blocco di Telemetria in Windows 7 e 8.1

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Utilizzare il seguente comando per impostare una regola per disabili:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabili

È possibile combinare più regole in un unico comando, separando ogni regola con una virgola, e dall’elenco dei singoli stati membri, per ogni regola. Esempio:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> <ID regola 2>, <ID regola 3> -AttackSurfaceReductionRules_Actions Disabled, Enabled Enabled

Nota: è possibile utilizzare Set-MpPreference o Add-MpPreference. Il comando Set sarà sempre sovrascrivere il set di regole esistente, mentre il comando Add aggiunge ad esso senza sovrascrivere le regole esistenti.

È possibile visualizzare il set di regole utilizzando il Get-MpPreference comando.

Riduzione Della Superficie Di Attacco Eventi

attack surface reduction events

Voci di registro vengono creati ogni volta che si cambiano le regole, e quando gli eventi di incendio norme in modalità di controllo o in modalità di blocco.

  1. Scarica l’Exploit della Guardia di Valutazione del Pacchetto di Microsoft.
  2. Estrarre il contenuto dell’archivio per il sistema locale, in modo che asr-events.xml è accessibile sul sistema.
  3. Toccare il tasto di Windows, digitare il Visualizzatore Eventi e selezionare la voce dall’elenco di suggerimenti per caricare il Visualizzatore Eventi di interfaccia.
  4. Selezionare Azioni > Importa visualizzazione personalizzata quando l’interfaccia è aperto.
  5. Selezionare il asr-events.xml il file che hai estratto in precedenza.
  6. Selezionare ok quando il “importa file di visualizzazione personalizzata” si apre la finestra. È possibile aggiungere una descrizione, se si desidera.

La nuova visualizzazione è elencato sotto Visualizzazioni Personalizzate in seguito che mostra i seguenti eventi:

  • ID evento 1121 — modalità di blocco eventi
  • ID evento 1122 — modalità di controllo degli eventi
  • ID evento 5007 — modifica delle impostazioni di eventi.

Esclusione di file e cartelle

attack surface reduction exclusion

È possibile escludere file o cartelle in modo che le voci escluse non sono valutati dalla Riduzione della Superficie di Attacco regole.

  • Criteri di gruppo: Vai su configurazione Computer > modelli Amministrativi > componenti di Windows > Windows Defender Antivirus > Windows Defender Sfruttare la Guardia > > riduzione della superficie di Attacco > Escludere file e i percorsi di riduzione della superficie di Attacco Regole. Impostare l’impostazione attivata, fare clic sul pulsante mostra e aggiungere file o cartelle (cartella di percorso o di una risorsa, ad esempio c:Windows in nome del valore e 0 nel campo valore di ogni colonna.
  • PowerShell: Utilizzare il comando Add-MpPreference -AttackSurfaceReductionOnlyExclusions “<percorso completo o risorsa>” per aggiungere i file o le cartelle all’elenco delle eccezioni.

Risorse Di Microsoft

Check out le seguenti risorse sul sito web di Microsoft per ulteriori informazioni sulla Riduzione della Superficie di Attacco:

  • Attivare la riduzione della superficie di Attacco
  • Personalizzare la riduzione della superficie di Attacco
  • Ridurre le superfici di attacco con Windows Defender Sfruttare Guardia
  • Windows Defender Sfruttare Guardia
  • Set-MpPreference documentazione
  • Add-MpPreference documentazione
  • Get-MpPreference documentazione