Condividi tramite

Abilitare regole per la riduzione della superficie di attacco

  • Si applica a: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

Le regole di riduzione della superficie di attacco consentono di evitare azioni che il malware spesso viola i dispositivi e le reti. Questo articolo descrive come abilitare e configurare le regole di riduzione della superficie di attacco tramite:

Prerequisiti

Per usare l'intero set di funzionalità delle regole di riduzione della superficie di attacco, è necessario soddisfare i requisiti seguenti:

  • Microsoft Defender Antivirus deve essere impostato come antivirus primario. Non deve essere in esecuzione in modalità passiva o essere disabilitato.

  • La protezione in tempo reale deve essere attivata.

  • Cloud-Delivery Protection deve essere attivato (alcune regole richiedono Cloud Protection).

  • È necessario disporre della connettività di rete di Cloud Protection

  • Consigliato: Microsoft 365 E5

    Sebbene le regole di riduzione della superficie di attacco non richiedano una licenza Microsoft 365 E5, è consigliabile usare le regole di riduzione della superficie di attacco con una licenza Microsoft 365 E5 (o SKU di licenza simile) per sfruttare le funzionalità di gestione avanzate, tra cui monitoraggio, analisi e flussi di lavoro disponibili in Defender per endpoint, nonché funzionalità di creazione di report e configurazione nel Microsoft Defender XDR portale. Anche se queste funzionalità avanzate non sono disponibili con una licenza E3, con una licenza E3 è comunque possibile usare Visualizzatore eventi per esaminare gli eventi delle regole di riduzione della superficie di attacco.

    Se si dispone di un'altra licenza, ad esempio Windows Professional o Microsoft 365 E3 che non include funzionalità avanzate di monitoraggio e creazione di report, è possibile sviluppare strumenti di monitoraggio e creazione di report personalizzati in base agli eventi generati in ogni endpoint quando vengono attivate le regole di riduzione della superficie di attacco (ad esempio, Inoltro eventi).

    Per altre informazioni sulle licenze di Windows, vedere Windows 10 Licenze e ottenere la guida ai contratti multilicenza per Windows 10.

Sistemi operativi supportati

È possibile impostare le regole di riduzione della superficie di attacco per i dispositivi che eseguono una delle seguenti edizioni e versioni di Windows:

Nota

Alcune regole di riduzione della superficie di attacco vengono applicate solo se i file eseguibili di Office sono installati nelle directory %ProgramFiles% o %ProgramFiles(x86)% definite dal sistema (nella maggior parte dei sistemi%ProgramFiles% punta a C:\Program Files). Se Office è installato in un percorso personalizzato all'esterno di una di queste directory definite dal sistema, queste regole non verranno applicate. Le regole interessate sono:

  • Impedire alle applicazioni di comunicazione di Office di creare processi figlio (26190899-1602-49e8-8b27-eb1d0a1ce869)
  • Impedire a tutte le applicazioni di Office di creare processi figlio (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  • Impedire alle applicazioni di Office di inserire codice in altri processi (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)

Abilitazione delle regole di riduzione della superficie di attacco

Ogni regola di riduzione della superficie di attacco contiene una delle quattro impostazioni seguenti:

  • Non configurato o disabilitato: disabilitare la regola di riduzione della superficie di attacco
  • Blocca: abilitare la regola di riduzione della superficie di attacco
  • Controllo: valutare l'impatto della regola di riduzione della superficie di attacco sull'organizzazione, se abilitata
  • Avviso: abilitare la regola di riduzione della superficie di attacco, ma consentire all'utente finale di ignorare il blocco

È possibile abilitare le regole di riduzione della superficie di attacco usando uno dei metodi seguenti:

È consigliabile gestire a livello aziendale, ad esempio Intune o Microsoft Configuration Manager. La gestione a livello aziendale sovrascrive eventuali criteri di gruppo in conflitto o impostazioni di PowerShell all'avvio.

Escludere file e cartelle dalle regole di riduzione della superficie di attacco

È possibile escludere file e cartelle dalla valutazione in base alla maggior parte delle regole di riduzione della superficie di attacco. Ciò significa che anche se una regola di riduzione della superficie di attacco determina il file o la cartella contiene comportamenti dannosi, non blocca l'esecuzione del file.

Importante

L'esclusione di file o cartelle può ridurre in modo grave la protezione fornita dalle regole di riduzione delle superficie di attacco. I file esclusi possono essere eseguiti e non vengono registrati report o eventi. Se le regole di riduzione della superficie di attacco rilevano file che si ritiene non debbano essere rilevati, è necessario usare prima la modalità di controllo per testare la regola. Un'esclusione viene applicata solo all'avvio dell'applicazione o del servizio escluso. Ad esempio, se si aggiunge un'esclusione per un servizio di aggiornamento già in esecuzione, il servizio di aggiornamento continua a attivare eventi fino a quando il servizio non viene arrestato e riavviato.

Quando si aggiungono esclusioni, tenere presenti questi punti:

Come vengono gestiti i conflitti di criteri

Se un criterio in conflitto viene applicato tramite MDM e Criteri di gruppo, l'impostazione applicata da Criteri di gruppo ha la precedenza.

Le regole di riduzione della superficie di attacco per i dispositivi gestiti supportano il comportamento per l'unione di impostazioni da criteri diversi per creare un superset di criteri per ogni dispositivo. Solo le impostazioni che non sono in conflitto vengono unite, mentre i conflitti di criteri non vengono aggiunti al superset di regole. In precedenza, se due criteri includevano conflitti per una singola impostazione, entrambi i criteri venivano contrassegnati come in conflitto e non erano state distribuite impostazioni da entrambi i profili.

Il comportamento di unione delle regole di riduzione della superficie di attacco funziona come segue:

  • Le regole di riduzione della superficie di attacco dei profili seguenti vengono valutate per ogni dispositivo a cui si applicano le regole:

  • Le impostazioni che non presentano conflitti vengono aggiunte a un superset di criteri per il dispositivo.

  • Quando due o più criteri hanno impostazioni in conflitto, le impostazioni in conflitto non vengono aggiunte ai criteri combinati, mentre le impostazioni che non sono in conflitto vengono aggiunte ai criteri superset che si applicano a un dispositivo.

  • Vengono trattenute solo le configurazioni per le impostazioni in conflitto.

Metodi di configurazione

Questa sezione fornisce informazioni dettagliate sulla configurazione per i metodi di configurazione seguenti:

Le procedure seguenti per abilitare le regole di riduzione della superficie di attacco includono istruzioni su come escludere file e cartelle.

Intune

Importante

Se si usa Intune in Windows Server 2012 R2 e Windows Server 2016 con la soluzione unificata moderna, è necessario impostare le regole Not Configured di riduzione della superficie di attacco seguenti su perché non sono supportate in queste versioni del sistema operativo. In caso contrario, i criteri contenenti una di queste regole destinate a Windows Server 2012 R2 o Windows Server 2016 non verranno applicati:

Criteri di sicurezza degli endpoint (preferito)

  1. Selezionare Riduzionedella superficie di attacco diEndpoint Security>. Scegliere una regola di riduzione della superficie di attacco esistente o crearne una nuova. Per crearne uno nuovo, selezionare Crea criteri e immettere le informazioni per questo profilo. Per Tipo di profilo selezionare Regole di riduzione della superficie di attacco. Se è stato scelto un profilo esistente, selezionare Proprietà e quindi impostazioni.

  2. Nel riquadro Impostazioni di configurazione selezionare Riduzione superficie di attacco e quindi selezionare l'impostazione desiderata per ogni regola di riduzione della superficie di attacco.

  3. In Elenco di cartelle aggiuntive che devono essere protette, Elenco delle app che hanno accesso alle cartelle protette ed Escludi file e percorsi dalle regole di riduzione della superficie di attacco immettere singoli file e cartelle.

    È anche possibile selezionare Importa per importare un file CSV che contiene file e cartelle da escludere dalle regole di riduzione della superficie di attacco. Ogni riga nel file CSV deve essere formattata nel modo seguente:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selezionare Avanti nei tre riquadri di configurazione, quindi selezionare Crea se si sta creando un nuovo criterio o Salva se si modifica un criterio esistente.

Nota

Nell'interfaccia Intune più recente, i profili di configurazione si trovano in Profili di configurazione dei dispositivi>.
Le versioni precedenti di Intune lo mostravano in Profili di configurazione > del dispositivo.
Se "Profilo di configurazione" non viene visualizzato come scritto nelle istruzioni precedenti, cercare Profili di configurazione nel menu Dispositivi.

Profili di configurazione del dispositivo (alternativa 1)

  1. Selezionare Profili di configurazione> del dispositivo. Scegliere un profilo di Endpoint Protection esistente o crearne uno nuovo. Per crearne uno nuovo, selezionare Crea profilo e immettere le informazioni per questo profilo. Per Tipo di profilo selezionare Endpoint Protection. Se è stato scelto un profilo esistente, selezionare Proprietà e quindi impostazioni.

  2. Nel riquadro Endpoint Protection selezionare Windows Defender Exploit Guard e quindi selezionare Riduzione della superficie di attacco. Selezionare l'impostazione desiderata per ogni regola di riduzione della superficie di attacco.

  3. In Eccezioni di riduzione della superficie di attacco immettere singoli file e cartelle. È anche possibile selezionare Importa per importare un file CSV che contiene file e cartelle da escludere dalle regole di riduzione della superficie di attacco. Ogni riga nel file CSV deve essere formattata nel modo seguente:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selezionare OK nei tre riquadri di configurazione. Selezionare quindi Crea se si sta creando un nuovo file di Endpoint Protection o Salva se ne si sta modificando uno esistente.

Profilo personalizzato in Intune (alternativa 2)

È possibile usare Microsoft Intune URI OMA per configurare regole di riduzione della superficie di attacco personalizzate. La procedura seguente usa la regola Blocca l'abuso di driver firmati vulnerabili sfruttati per l'esempio.

  1. Nell'interfaccia di amministrazione Microsoft Intune in https://intune.microsoft.comselezionare Dispositivi> Gestisciconfigurazionedispositivi>. Oppure, per passare direttamente ai dispositivi | Pagina di configurazione , usare https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. Nella scheda Criteri dei dispositivi | Pagina configurazione , selezionare Crea>nuovo criterio.

    Screenshot della scheda Criteri della pagina Dispositivi - Configurazione nell'interfaccia di amministrazione Microsoft Intune con l'opzione Crea selezionata.

  3. Nel riquadro a comparsa Crea un profilo aperto configurare le impostazioni seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare uno dei valori seguenti:

      • Modelli

        Nella sezione Nome modello visualizzata selezionare Personalizzato.

        o

      • Se le regole di riduzione della superficie di attacco sono già impostate tramite Sicurezza degli endpoint, selezionare Catalogo impostazioni.

    Al termine del riquadro a comparsa Crea un profilo , selezionare Crea.

    Attributi del profilo della regola nel portale dell'interfaccia di amministrazione Microsoft Intune.

  4. Lo strumento Modello personalizzato viene aperto al passaggio 1 Nozioni di base. In 1 Nozioni di base, in Nome digitare un nome per il modello e in Descrizione è possibile digitare una descrizione (facoltativa). Attributi di base nel portale dell'interfaccia di amministrazione Microsoft Intune

  5. Fare clic su Avanti. Si apre il passaggio 2 Impostazioni di configurazione . Per Impostazioni URI OMA fare clic su Aggiungi. Ora vengono visualizzate due opzioni: Aggiungi ed Esporta.

    Screenshot che mostra le impostazioni di configurazione nel portale dell'interfaccia di amministrazione Microsoft Intune.

  6. Fare di nuovo clic su Aggiungi . Verrà visualizzata l'opzione Aggiungi impostazioni URI OMA di riga . In Aggiungi riga immettere le informazioni seguenti:

    1. In Nome digitare un nome per la regola.

    2. In Descrizione digitare una breve descrizione.

    3. In URI OMA digitare o incollare il collegamento URI OMA specifico per la regola che si sta aggiungendo. Fare riferimento alla sezione MDM in questo articolo per l'URI OMA da usare per questa regola di esempio. Per i GUID della regola di riduzione della superficie di attacco, vedere Descrizioni per regola.

    4. In Valore digitare o incollare il valore GUID, il \= segno e il valore state senza spazi (GUID=StateValue):

      • 0: Disabilita (disabilita la regola di riduzione della superficie di attacco)
      • 1: Blocca (abilita la regola di riduzione della superficie di attacco)
      • 2: controllo (valutare l'impatto della regola di riduzione della superficie di attacco sull'organizzazione, se abilitata)
      • 6: Avvisa (abilita la regola di riduzione della superficie di attacco, ma consenti all'utente finale di ignorare il blocco)

      Configurazione dell'URI OMA nel portale dell'interfaccia di amministrazione Microsoft Intune.

  7. Seleziona Salva. Aggiungi chiusura riga . In Personalizzato selezionare Avanti. Nel passaggio 3 Tag ambito, i tag di ambito sono facoltativi. Eseguire una delle operazioni seguenti:

    • Selezionare Seleziona tag ambito, selezionare il tag di ambito (facoltativo) e quindi selezionare Avanti.
    • In alternativa, selezionare Avanti

  8. Nel passaggio 4 Assegnazioni, in Gruppi inclusi, per i gruppi che si desidera applicare questa regola, selezionare tra le opzioni seguenti:

    • Aggiungere i gruppi
    • Aggiungere tutti gli utenti
    • Aggiungere tutti i dispositivi

    Assegnazioni nel portale dell'interfaccia di amministrazione Microsoft Intune

  9. In Gruppi esclusi selezionare tutti i gruppi da escludere da questa regola e quindi selezionare Avanti.

  10. Nel passaggio 5 Regole di applicabilità per le impostazioni seguenti, eseguire le operazioni seguenti:

    1. In Regola selezionare Assegna profilo se o Non assegnare il profilo se.
    2. In Proprietà selezionare la proprietà a cui si vuole applicare questa regola.
    3. In Valore immettere il valore o l'intervallo di valori applicabile.

    Regole di applicabilità nel portale dell'interfaccia di amministrazione Microsoft Intune.

  11. Seleziona Avanti. Nel passaggio 6 Rivedi e crea esaminare le impostazioni e le informazioni selezionate e immesse e quindi selezionare Crea.

    Screenshot che mostra l'opzione Rivedi e crea nel portale dell'interfaccia di amministrazione Microsoft Intune.

    Le regole sono attive e attive in pochi minuti.

Nota

Per quanto riguarda la gestione dei conflitti, se si assegnano a un dispositivo due criteri di riduzione della superficie di attacco diversi, possono verificarsi potenziali conflitti di criteri, a seconda che alle regole vengano assegnati stati diversi, se la gestione dei conflitti è in atto e se il risultato è un errore.

Le regole non in conflitto non generano un errore e tali regole vengono applicate correttamente. Viene applicata la prima regola e le regole successive di non conflitto vengono unite nel criterio.

MDM

Usare il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules (CSP) per abilitare e impostare singolarmente la modalità per ogni regola.

Di seguito è riportato un esempio di riferimento, che usa i valori GUID per il riferimento alle regole di riduzione della superficie di attacco.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

I valori da abilitare (Blocca), disabilitare, avvisare o abilitare in modalità di controllo sono:

  • 0: Disabilita (disabilita la regola di riduzione della superficie di attacco)
  • 1: Blocca (abilita la regola di riduzione della superficie di attacco)
  • 2: Controllare (valutare in che modo la regola di riduzione della superficie di attacco influirebbe sull'organizzazione se abilitata)
  • 6: Avvisa (abilita la regola di riduzione della superficie di attacco, ma consenti all'utente finale di ignorare il blocco). La modalità di avviso è disponibile per la maggior parte delle regole di riduzione della superficie di attacco.

Usare il provider di servizi di configurazione ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions (CSP) per aggiungere esclusioni.

Esempio:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Nota

Assicurarsi di immettere valori URI OMA senza spazi.

Microsoft Configuration Manager

  1. In Microsoft Configuration Manager passare a Asset e conformità>Endpoint Protection>Windows Defender Exploit Guard.

  2. SelezionareHome Create Exploit Guard Policy (Crea> criteri di Exploit Guard).

  3. Immettere un nome e una descrizione, selezionare Riduzione superficie di attacco e selezionare Avanti.

  4. Scegliere le regole che bloccano o controllano le azioni e selezionare Avanti.

  5. Esaminare le impostazioni e selezionare Avanti per creare i criteri.

  6. Dopo la creazione del criterio, selezionare Chiudi.

Avviso

Esiste un problema noto relativo all'applicabilità della riduzione della superficie di attacco nelle versioni del sistema operativo server contrassegnate come conformi senza alcuna imposizione effettiva. Attualmente, non esiste una data di rilascio definita per quando verrà risolto questo problema.

Importante

Se si usa "Disabilita unione amministrativa" impostata su true nei dispositivi e si usa uno dei seguenti strumenti/metodi, l'aggiunta di regole ASR per ogni regola o esclusioni di regole ASR locali non si applica:

  • Defender per la gestione delle impostazioni di sicurezza degli endpoint (disabilita l'unione Amministrazione locale)
  • Intune (Disabilita unione Amministrazione locale)
  • Defender CSP (DisableLocalAdminMerge)
  • Criteri di gruppo (Configurare il comportamento di unione dell'amministratore locale per gli elenchi) Per modificare questo comportamento, è necessario modificare "Disabilita unione amministratore" in false.

Criteri di gruppo

Avviso

Se si gestiscono i computer e i dispositivi con Intune, Configuration Manager o un'altra piattaforma di gestione a livello aziendale, il software di gestione sovrascrive eventuali impostazioni di Criteri di gruppo in conflitto all'avvio.

  1. Aprire Criteri di gruppo Management Console (GPMC) nel computer di gestione Criteri di gruppo.

  2. Nell'albero della console Console Gestione Criteri di gruppo espandere Criteri di gruppo Oggetti nella foresta e nel dominio contenente l'oggetto Criteri di gruppo che si desidera modificare.

  3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Modifica.

  4. Nell'editor di gestione Criteri di gruppo passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft Defender Antivirus>Microsoft Defender Riduzione della superficie di attacco di Exploit Guard>.

  5. Nel riquadro dei dettagli di Riduzione della superficie di attacco, le impostazioni disponibili sono:

    Per aprire e configurare un'impostazione di regola asr, usare uno dei metodi seguenti:

    • Fare doppio clic sull'impostazione.
    • Fare clic con il pulsante destro del mouse sull'impostazione e quindi scegliere Modifica
    • Selezionare l'impostazione e quindi Selezionare Modifica azione>.

Le impostazioni disponibili sono descritte nelle sottosezioni seguenti.

Importante

Le virgolette non sono supportate in nessuno dei valori dei criteri di gruppo.

Non usare spazi iniziali o finali negli ID regola asr.

Microsoft ha rinominato Windows Antivirus Defender in Microsoft Defender Antivirus a partire da Windows 10 versione 2004 (maggio 2020). Criteri di gruppo percorsi nelle versioni precedenti di Windows potrebbero comunque fare riferimento a Windows Antivirus Defender, mentre le build più recenti mostrano Microsoft Defender Antivirus. Entrambi i nomi fanno riferimento allo stesso percorso dei criteri.

Abilitare le regole ASR

  1. Nel riquadro dei dettagli di Riduzione della superficie di attacco aprire l'impostazione Configura regole di riduzione della superficie di attacco .

  2. Nella finestra di impostazione visualizzata configurare le opzioni seguenti:

    1. Selezionare Abilitato.
    2. Impostare lo stato per ogni regola asr: selezionare Mostra.

  3. Nella finestra di dialogo Imposta lo stato per ogni regola del servizio app visualizzata configurare le impostazioni seguenti:

    • Nome valore: immettere il valore GUID della regola asr.
    • Valore: immettere uno dei valori seguenti:
      • 0: Disattivato
      • 1: Blocca
      • 2: Controllo
      • 5: Non configurato
      • 6: Avvisa

    Screenshot di Configurare le regole di riduzione della superficie di attacco in Criteri di gruppo.

    Per altre informazioni, vedere Modalità regola ASR.

    Ripetere questo passaggio tutte le volte necessarie. Al termine, selezionare OK.

Applicare esclusioni per tutte le regole asr

  1. Nel riquadro dei dettagli di Riduzione della superficie di attacco aprire l'impostazione Escludi file e percorsi dalle regole di riduzione della superficie di attacco .

  2. Nella finestra di impostazione visualizzata configurare le opzioni seguenti:

    1. Selezionare Abilitato.
    2. Esclusioni dalle regole asr: selezionare Mostra.

  3. Nella finestra di dialogo Esclusioni dalle regole ASR visualizzata configurare le impostazioni seguenti:

    • Nome valore: immettere il valore GUID della regola asr.
    • Valore: immettere uno dei tipi di valori seguenti:
      • Per escludere tutti i file in una cartella, immettere il percorso completo della cartella. Ad esempio, C:\Data\Test.
      • Per escludere un file specifico in una cartella specifica (scelta consigliata), immettere il percorso e il nome del file. Ad esempio, C:\Data\Test\test.exe.

    Ripetere questo passaggio tutte le volte necessarie. Al termine, selezionare OK.

Applicare esclusioni per regola

Nota

Se l'impostazione Applica un elenco di esclusioni a specifiche regole di riduzione della superficie di attacco (ASR) non è disponibile nella console Gestione Criteri di gruppo, è necessaria la versione 24H2 o successiva dei file dei modelli amministrativinell'archivio centrale.

  1. Nel riquadro dei dettagli di Riduzione della superficie di attacco aprire l'impostazione Applica un elenco di esclusioni a specifiche regole di riduzione della superficie di attacco (ASR ).

  2. Nella finestra di impostazione visualizzata configurare le opzioni seguenti:

    1. Selezionare Abilitato.
    2. Esclusioni per ogni regola asr: selezionare Mostra.

  3. Nella finestra di dialogo Esclusioni per ogni regola asr visualizzata configurare le impostazioni seguenti:

    • Nome valore: immettere il valore GUID della regola asr.
    • Valore: immettere una o più esclusioni per la regola asr. Usare la sintassi Path1\ProcessName1>Path2ProcessName2>...PathNProcessNameN. Ad esempio, C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

    Ripetere questo passaggio tutte le volte necessarie. Al termine, selezionare OK.

PowerShell

Avviso

Se si gestiscono computer e dispositivi con Intune, Configuration Manager o un'altra piattaforma di gestione a livello aziendale, il software di gestione sovrascrive eventuali impostazioni di PowerShell in conflitto all'avvio.

  1. Nel menu Start, digitare powershell, fare clic con il pulsante destro del mouse su Windows PowerShell e selezionare Esegui come amministratore.

  2. Digitare uno dei cmdlet seguenti. Per altre informazioni, ad esempio l'ID regola, vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco.

    Attività Cmdlet di PowerShell
    Abilitare regole per la riduzione della superficie di attacco Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Abilitare le regole di riduzione della superficie di attacco in modalità di controllo Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Abilitare le regole di riduzione della superficie di attacco in modalità di avviso Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Abilitare la riduzione della superficie di attacco Bloccare l'abuso di driver firmati vulnerabili sfruttati Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Disattivare le regole di riduzione della superficie di attacco Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Importante

    È necessario specificare lo stato singolarmente per ogni regola, ma è possibile combinare regole e stati in un elenco delimitato da virgole.

    Nell'esempio seguente vengono abilitate le prime due regole, la terza regola è disabilitata e la quarta regola è abilitata in modalità di controllo: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    È anche possibile usare il Add-MpPreference verbo di PowerShell per aggiungere nuove regole all'elenco esistente.

    Avviso

    Set-MpPreference sovrascrive il set di regole esistente. Se si vuole aggiungere al set esistente, usare Add-MpPreference invece . È possibile ottenere un elenco di regole e il relativo stato corrente usando Get-MpPreference.

  3. Per escludere file e cartelle dalle regole di riduzione della superficie di attacco, usare il cmdlet seguente:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Continuare a usare Add-MpPreference -AttackSurfaceReductionOnlyExclusions per aggiungere altri file e cartelle all'elenco.

    Importante

    Usare Add-MpPreference per aggiungere o aggiungere app all'elenco. L'uso del Set-MpPreference cmdlet sovrascriverà l'elenco esistente.

Contenuto correlato

  • Last updated on