Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La riduzione della superficie di attacco è un set di funzionalità in Microsoft Defender per endpoint che eliminano comportamenti rischiosi o non necessari su dispositivi e reti, riducendo le opportunità che gli utenti malintenzionati hanno di compromettere l'organizzazione. Le superfici di attacco sono tutte le posizioni in cui l'organizzazione è vulnerabile alle minacce informatiche. Grazie alla protezione avanzata di queste superfici, è possibile impedire che si verifichino attacchi in primo luogo.
Queste funzionalità bloccano comportamenti software rischiosi, impediscono le connessioni a siti dannosi e proteggono i dati da accessi o esfiltrazioni non autorizzati. Insieme, formano una difesa a più livelli che integra le funzionalità di rilevamento e risposta in Defender per endpoint.
Capacità di riduzione della superficie di attacco
La riduzione della superficie di attacco in Defender per endpoint include le funzionalità seguenti:
Le regole di riduzione della superficie di attacco limitano i comportamenti software rischiosi che gli utenti malintenzionati sfruttano, ad esempio l'avvio di eseguibili che tentano di scaricare file, l'esecuzione di script offuscati o l'esecuzione di azioni che le app normalmente non avviano durante il lavoro quotidiano. Per altre informazioni, vedere Panoramica delle regole di riduzione della superficie di attacco (ASR).
L'accesso controllato alle cartelle protegge i dati preziosi da app dannose e minacce come ransomware. Controlla le app in base a un elenco di app note e attendibili e impedisce alle app non attendibili di modificare i file nelle cartelle protette. Per altre informazioni, vedere Proteggere cartelle importanti con accesso controllato alle cartelle.
La protezione dagli exploit applica automaticamente tecniche di mitigazione degli exploit ai processi e alle app del sistema operativo. Si basa sulle protezioni disponibili in Enhanced Mitigation Experience Toolkit (EMET) e si integra con Defender per endpoint per la creazione di report e avvisi. Per altre informazioni, vedere Proteggere i dispositivi dagli exploit.
La protezione di rete impedisce le connessioni a domini e indirizzi IP dannosi o sospetti. Estende Microsoft Defender protezione SmartScreen per bloccare tutto il traffico HTTP(S) in uscita che tenta di connettersi a origini con reputazione bassa. Per altre informazioni, vedere Protezione di rete.
La protezione Web protegge i dispositivi dalle minacce Web e consente di regolare i contenuti indesiderati. La protezione Web include la protezione dalle minacce Web, il filtro dei contenuti Web e gli indicatori personalizzati. Per altre informazioni, vedere Protezione Web.
Il filtro dei contenuti Web tiene traccia e regola l'accesso ai siti Web in base alle relative categorie di contenuto, consentendo di bloccare le categorie che violano le normative di conformità o i criteri dell'organizzazione. Per altre informazioni, vedere Filtro contenuto Web.
Il controllo del dispositivo determina se gli utenti possono installare e usare dispositivi periferici come unità USB, stampanti e dispositivi Bluetooth nei propri computer. Il controllo del dispositivo consente di evitare la perdita di dati e il malware da supporti rimovibili. Per altre informazioni, vedere Controllo del dispositivo in Microsoft Defender per endpoint.
La creazione di report del firewall di rete si integra con Windows Firewall per offrire visibilità centralizzata agli eventi del firewall nel portale di Microsoft Defender. Per altre informazioni, vedere Creazione di report del firewall host.
La disponibilità di queste funzionalità è riepilogata nella tabella seguente:
| Funzionalità | Windows | macOS | Linux |
|---|---|---|---|
| Regole asr | Y | N | N |
| Accesso alle cartelle controllato | Y | N | N |
| Protezione dagli exploit | Y | N | N |
| Protezione della rete | Y | Y | Y* |
| Protezione Web | Y | Y | Y* |
| Filtro contenuti Web | Y | Y | Y |
| Controllo del dispositivo | Y | Y | N |
| Creazione di report del firewall | Y | N | N |
* Attualmente in anteprima.
Funzionalità di sicurezza di Windows correlate
Le funzionalità di sicurezza di Windows seguenti integrano la riduzione della superficie di attacco in Defender per endpoint, ma sono configurate e gestite separatamente:
- Microsoft Defender Application Guard fornisce l'isolamento basato su hardware per Microsoft Edge, aprendo siti non attendibili in un contenitore per proteggere l'organizzazione. Per altre informazioni, vedere panoramica Microsoft Defender Application Guard.
- Windows Defender Application Control (WDAC) garantisce l'esecuzione solo di applicazioni attendibili nei dispositivi. Per altre informazioni, vedere Controllo dell'applicazione per Windows.
- Windows Firewall controlla il traffico di rete in ingresso e in uscita nei dispositivi. Per altre informazioni, vedere Windows Firewall con sicurezza avanzata.
Come si adatta la riduzione della superficie di attacco in Defender per endpoint
La riduzione della superficie di attacco integra altre funzionalità di Defender per endpoint che rilevano e rispondono alle minacce dopo che si verificano. Mentre la protezione di nuova generazione e il rilevamento degli endpoint e la risposta si concentrano sull'identificazione e la correzione delle minacce attive, la riduzione della superficie di attacco impedisce alle minacce di ottenere un punto d'appoggio.
Ogni funzionalità riguarda una parte diversa della superficie di attacco:
- Comportamento software rischioso: le regole asr limitano il comportamento di applicazioni e script, bloccando le tecniche comuni usate dagli utenti malintenzionati per distribuire malware o rubare credenziali.
- Connessioni di rete: protezione della rete e protezione Web bloccano l'accesso a siti noti dannosi o inappropriati prima che il contenuto raggiunga il dispositivo.
- Accesso ai dati e ai file: l'accesso controllato alle cartelle e il controllo dei dispositivi limitano le applicazioni e l'hardware che possono accedere o modificare i file sensibili.
- Vulnerabilità delle applicazioni: la protezione dagli exploit applica mitigazioni che rendono più difficile per gli utenti malintenzionati sfruttare le vulnerabilità nei processi e nelle applicazioni del sistema operativo.
Modalità di controllo
La modalità di controllo consente di valutare l'impatto delle funzionalità di riduzione della superficie di attacco sull'ambiente senza influire sulla produttività. Le funzionalità seguenti supportano la modalità di controllo:
- Regole ed esclusioni per la riduzione della superficie di attacco
- Accesso controllato alle cartelle
- Protezione dagli exploit
- Protezione di rete
In modalità di controllo, le funzionalità non bloccano app, script o connessioni. Al contrario, il registro eventi di Windows registra gli eventi come se le funzionalità fossero attive. È possibile esaminare i log eventi e usare la ricerca avanzata nel portale di Microsoft Defender per comprendere in che modo ogni funzionalità influirà sulle applicazioni line-of-business. Per altre informazioni sui dati in Windows Visualizzatore eventi, vedere Visualizzare gli eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi.
Strumenti di gestione
È possibile configurare le funzionalità di riduzione della superficie di attacco usando diversi strumenti di gestione. Gli strumenti seguenti sono comunemente usati:
- Microsoft Intune
- Microsoft Configuration Manager
- Criteri di gruppo
- Cmdlet di Microsoft PowerShell
Lo strumento corretto dipende dalle preferenze di infrastruttura e gestione dell'organizzazione. Per indicazioni dettagliate sulla configurazione, vedere i singoli articoli sulle funzionalità collegati nella sezione Funzionalità di riduzione della superficie di attacco .
Contenuto correlato
- Panoramica delle regole di riduzione della superficie di attacco
- Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)
- Eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi
- Proteggere le cartelle importanti con l'accesso controllato alle cartelle
- Proteggere i dispositivi dagli exploit
- Protezione di rete
- Protezione sul Web
- Controllo del dispositivo in Microsoft Defender per endpoint