Valutare la protezione dagli exploit
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
La protezione dagli exploit consente di proteggersi dai malware che usano gli exploit per diffondersi e infettare gli altri dispositivi. La mitigazione può essere applicata al sistema operativo o a una singola app. Molte delle funzionalità che facevano parte di Enhanced Mitigation Experience Toolkit (EMET) sono incluse nella protezione dagli exploit. (EMET ha raggiunto la fine del supporto.)
Nell’audit, è possibile vedere come funziona la mitigazione per determinate app in un ambiente di testing. Questa visualizzazione mostra cosa sarebbe accaduto se si fosse attivata la protezione dagli exploit nell’ambiente di produzione. In questo modo, è possibile verificare che la protezione dagli exploit non influisca negativamente sulle app line-of-business e vedere quali eventi sospetti o dannosi si verificano.
Abilitare la protezione dagli exploit per il test
È possibile impostare le mitigazioni in una modalità di test per programmi specifici utilizzando l’app Sicurezza di Windows o Windows PowerShell.
App Sicurezza di Windows
Aprire l'app Sicurezza di Windows. Selezionare l’icona a forma di scudo nella barra delle applicazioni o eseguire la ricerca di Sicurezza di Windows nel menu Start.
Selezionare il riquadro Controllo app e browser, o l'icona dell'app sulla barra dei menu a sinistra, e selezionare quindi Protezione dagli exploit.
Andare a Impostazioni del programma e scegliere l'app a cui si desidera applicare le mitigazioni.
- Se l'app che si desidera configurare è già elencata, selezionarla poi scegliere Modifica.
- Se l'app non è elencata nella parte superiore dell'elenco, selezionare Aggiungi programma da personalizzare. Quindi, scegliere la modalità di aggiunta dell’app.
- Usare Aggiungi per nome programma per applicare la mitigazione a qualsiasi processo in esecuzione con tale nome. Specificare un file con un'estensione. È possibile immettere un percorso completo per limitare la mitigazione solo all'app con questo nome in quella posizione.
- Usare Scegli il percorso esatto del file per utilizzare una finestra di selezione file Esplora risorse standard per trovare e selezionare il file desiderato.
Dopo aver selezionato l'app, verrà visualizzato un elenco di tutte le mitigazioni che è possibile applicare. Se si sceglie Audit , la mitigazione verrà applicata solo in modalità test. Si riceverà una notifica se è necessario riavviare il processo o l'app o Windows.
Ripetere questa procedura per tutte le app e le mitigazioni da configurare. Al termine della configurazione, selezionare Applica.
PowerShell
Per impostare le mitigazioni a livello di app sulla modalità di test, usare Set-ProcessMitigation con il cmdlet Della modalità di controllo .
Configurare ciascuna mitigazione nel formato seguente:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Dove:
-
<Ambito>:
-
-Nameper indicare che le mitigazioni devono essere applicate a un'app specifica. Specificare l'eseguibile dell'app dopo questo flag.
-
-
<Azione>:
-
-Enableper abilitare la mitigazione-
-Disableper disabilitare la mitigazione
-
-
-
<Mitigazione>:
- Cmdlet di mitigazione, come definito nella tabella seguente. Ogni mitigazione è separata da una virgola.
| Mitigazione | Cmdlet per la modalità di test |
|---|---|
| Controllo arbitrario di codice (ACG) | AuditDynamicCode |
| Blocca immagini con bassa integrità | AuditImageLoad |
| Blocca i tipi di carattere non attendibili |
AuditFont, FontAuditOnly |
| Controllo integrità codice |
AuditMicrosoftSigned, AuditStoreSigned |
| Disabilita le chiamate di sistema Win32k | AuditSystemCall |
| Non consente i processi figlio | AuditChildProcess |
Ad esempio, per abilitare Arbitrary Code Guard (ACG) in modalità di test per un'app denominata testing.exe, eseguire il comando seguente:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
È possibile disabilitare la modalità di controllo sostituendola -Enable con -Disable.
Esaminare gli eventi di controllo di protezione dagli exploit
Per verificare quali app sarebbero state bloccate, aprire il Visualizzatore eventi e filtrare gli eventi seguenti nel log Security-Mitigations.
| Funzionalità | Provider/origine | ID evento | Descrizione |
|---|---|---|---|
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 1 | Controllo di ACG |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 3 | Non consente il controllo dei processi figlio |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 5 | Controllo di Blocca immagini con bassa integrità |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 7 | Controllo di Blocca immagini remote |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 9 | Controllo di Disabilita le chiamate di sistema win32k |
| Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 11 | Controllo di Controllo integrità codice |
Vedere anche
- Abilitare la protezione dagli exploit
- Configurare e controllare le mitigazioni della protezione dagli exploit
- Importare, esportare e distribuire configurazioni di protezione da exploit
- Risolvere i problemi di protezione dagli exploit
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.